Demandez votre abonnement gratuit d'un mois !

« La sécurité informatique est un enjeu technique et réputationnel pour l’ESR »

Paris - Actualité n°112115 - Publié le 02/02/2018 à 14:57
©  Seb Lascoux
De gauche à droite : Y. Condemine, P. Helly, D. Benabou, C. Mongenet, L. Gydé - ©  Seb Lascoux

« La sécurité informatique est un enjeu technique et réputationnel pour l’ESR Enseignement supérieur et recherche . Elle est stratégique par ce qu’elle implique techniquement en matière d’intégrité des infrastructures et des informations de nos usagers, mais elle est aussi déterminante en matière d’impact réputationnel pour une institution », dit Yves Condemine VP chargé de la stratégie numérique @ Université Jean Moulin Lyon 3
, vice-président chargé de la stratégie numérique de l’Université Lyon 3 et président du CSIESR Comité des Services Informatiques de l’Enseignement Supérieur et de la Recherche , en ouverture de la table ronde « Protection des systèmes d’information : les universités et leurs étudiants sont-ils protégés ? », lors de Think Education le 30/01/2018 à l’Université Paris Dauphine.

« Nous avons dans la communauté de l’enseignement et de la recherche en France de réelles cibles pour le vandalisme numérique. Les motivations de cette malveillance sont souvent liées à des questions d’argent, de réputation ou de réalisation d’exploit de sécurité », déclare Laurent Gydé
, directeur technique de Renater Réseau national de télécommunications pour la technologie l’enseignement et la recherche .

« Le déploiement des services numériques par les universités s’accompagne d’une politique de confiance et de transparence à propos des traitements de données personnelles réalisés », fait valoir de son côté Catherine Mongenet
, directrice de Fun France Université Numérique Mooc Massive open online courses .

État des lieux de la sécurité dans l’ESR, souveraineté des infrastructures, gouvernance des données sont quelques-uns des thèmes évoqués pendant cette table ronde qui met en perspectives des enjeux techniques et politiques. 

Perrine Helly Directrice adjointe Service Commun de la Documentation @ Université de Bretagne Occidentale (UBO)
directrice adjointe du service commun de la documentation à l’Université de Bretagne occidentale et Daniel Benabou Directeur Général @ IDECSI
, consultant spécialisé en sécurité informatique, participaient également aux échanges, dont News Tank propose une synthèse.

D’où proviennent les attaques informatiques ?

Yves Condemine différencie deux types d’attaques informatiques : les attaques internes au système informatique d’un établissement et les attaques externes.

  • Il est plus difficile pour une institution de gérer une attaque quand elle provient d’un usager qui est dans l’environnement de confiance.
  • Les attaques issues de l’interne représenteraient 50 à 80 % des cas des menaces.
  • Les causes principales évoquées sont la malveillance et la négligence.

« Le cas d’un étudiant qui va tenter de nuire à la sécurité de son établissement est problématique, puisqu’il est considéré comme un élément interne à l’institution, il dispose d’identifiants qui facilitent l’accès à certains services. »

« Quand on est victime d’une attaque informatique, on est aussi vu comme coupable, de n’avoir pas réussi à protéger un système d’information. Nous avons eu le cas avec un étudiant qui prétendait avoir effectué un vol massif de données d’étudiants, sans apporter la preuve technique. Sa simple déclaration met sur un pied d’égalité une institution et un individu. Après enquête de notre côté, nous étions loin des affirmations de cet étudiant », dit Yves Condemine.

Prévenir la négligence

Les attaques informatiques sont rendues possibles par la négligence des usagers. Un manquement vient compromettre l’intégrité des données ou la politique de sécurité définie par l’établissement. Il peut s’agir d’un mot de passe insuffisant, d’envoi de fichiers confidentiels sans protection, de clés USB contenant des virus utilisés par des services. Les causes sont multiples.

« À titre d’exemple, le ministère des Finances a récemment mené une expérimentation en envoyant un mail contenant un lien cliquable pour du phishing [hameçonnage], fait pour récupérer des informations importantes. Sur 145 000 mails envoyés aux agents, 30 000 personnes ont cliqué sur le lien », rapporte Yves Condemine.

Accélérer le changement de culture par la formation

« La massification et la diversification des usages avec le numérique posent une question fondamentale : comment associer une bonne ergonomie des systèmes à une sécurité de tous les instants ? Cette question traverse tous les milieux professionnels alors que les attaques informatiques sont de plus en plus nombreuses et de plus en plus complexes », selon le consultant Daniel Benabou.

« Nous devons avoir des utilisateurs plus actifs sur les questions de sécurité informatique. Il est nécessaire de documenter, de mettre en place des modèles et des solutions pour permettre aux usagers de mieux saisir leur rôle dans le processus global de la sécurité. Il en va d’un changement de culture. »

Daniel Benabou cible notamment les dirigeants et les décideurs pour faire avancer les problématiques de sécurité informatique. Un guide gratuit à leur intention a ainsi été publié en partenariat avec le magazine Challenges.

Perrine Helly revient sur des expériences de sessions d’initiation à la sécurité informatique réalisées par les BU de l’Université Rennes 1. Il s’agit de « cryptopartys », un terme générique pour désigner des temps de partage sur les enjeux de confidentialité et de respect de la vie privée.

« Après l’affaire Snowden, les citoyens se sont émus de l’espionnage massif des télécommunications par les gouvernements. Les BU ont à se positionner dans une vision libre et partagée des cultures numériques. Ce genre d’événements permet d’apporter des réponses concrètes à des enjeux de sécurité informatique. »

L’ESR Enseignement supérieur et recherche  : une filière souveraine face à de nouveaux défis

L’avantage d’un réseau souverain : Renater

Laurent Gydé - ©  Seb Lascoux
« La situation de Renater Réseau national de télécommunications pour la technologie l’enseignement et la recherche est particulière : notre réseau est souverain et imperméable à l’extérieur, ce qui limite les attaques informatiques venant de biais étrangers. La grande force de notre réseau, c’est la maîtrise de l’ensemble de la connectivité », indique Laurent Gydé, directeur technique du GIP Groupement d’intérêt public .

Historiquement, Renater a créé dès le départ une cellule dédiée à la sécurité, le Cert-Renater. Ce pôle assure les missions de SSI Sécurité des systèmes d’information pour le GIP et les usagers, mais il agit aussi pour animer la communauté des RSSI Responsable de la sécurité des systèmes d’information de l’enseignement supérieur et de la recherche et pour mettre à jour l’ensemble documentaire de la PSSI Politique de sécurité des systèmes d’information générique pour l’ESR.

« Nous agissons aujourd’hui pour sensibiliser la communauté des RSSI aux enjeux de la protection des données. Renater a une offre de services réseau et applicatifs pour offrir des outils de sécurité communs et mutualisés. »

La fin des stratégies en silo

L’ESR a connu un développement de ses infrastructures très lié à des logiques de territoires. Pour Yves Condemine, l’heure est à la mutualisation et à la rationalisation.

« Consolider les infrastructures, penser des stratégies inter établissements, grouper les équipements, ce sont des objectifs qui nous permettent de gagner en efficacité. La réflexion est à poursuivre au niveau des équipes en charge de l’infrastructure, de l’informatique, des services. »

Le défi de l’externalisation

Perrine Helly - ©  Seb Lascoux
Les universités font face à des besoins en innovations d’applications métiers et en Saas, les « softwares as a service » qui proposent des solutions logicielles en ligne pour remplacer certaines fonctionnalités qui étaient précédemment reliées à des applications métiers. Sans opposer les unes aux autres, l’évolution rapide des applications pose des enjeux de pérennité de service ainsi que de transparence sur les conditions d’utilisation.

Perrine Helly est directrice adjointe du SCD Service commun de documentation  de l’Université de Bretagne occidentale. En 2015, son service décide de faire évoluer l’outil de recherche de documentation en faisant appel à un prestataire externe avec une offre basée dans le cloud.

« Nous avons travaillé dès la conception du projet avec le correspondant informatique et libertés de l’université pour construire un projet respectueux des données de nos étudiants. Le prestataire israélien s’était engagé à fournir un service correspondant à nos attentes avec un hébergement des données aux Pays-Bas. »

Quelques mois plus tard, le service connaît des difficultés. Le SCD cherche à contacter l’entreprise prestataire, sans succès. Malgré les courriers officiels, l’université reste sans réponse.

« En plus des dysfonctionnements, nous avons découvert que lorsqu’une requête était émise depuis notre site sur lequel se trouvait l’outil de recherche, les informations liées à l’étudiant comme son prénom, son nom, son téléphone, son mail et les livres qu’il empruntait transitaient en clair sur le réseau, pour être hébergées non pas aux Pays-Bas, mais au Royaume-Uni ».

« Dans le déclaratif, tout marche toujours avec un prestataire. Mais dans l’opérationnel, nous avons vécu une expérience qui a mis en danger les données de nos étudiants en étant induit en erreur par le partenaire extérieur », dit Perrine Helly.

Laurent Gydé rappelle l’importance de se poser les bonnes questions en amont dès la conception d’un projet d’externalisation. Pendant la conférence, il mentionne le guide réalisé par l’Agence nationale de sécurité des systèmes d’information.

Trois grands types de risques sont identifiés :

• La perte de maîtrise du système d’information.

• Les interventions à distance.

• L’hébergement mutualisé.

Ce guide est disponible gratuitement sur le site de l’Anssi.

Progresser dans la gouvernance des données

Catherine Mongenet - ©  Seb Lascoux
« Nous ne serons pas prêts pour le 25/05/2018, date de l’entrée en application du RGPD (règlement général sur la protection des données) en Europe. Mais nous devons montrer que nous sommes en marche sur le sujet, et y voir une opportunité pour enfin travailler en profondeur le cycle de vie des données personnelles et améliorer la relation de confiance avec des tiers », affirme Yves Condemine.

« La Cnil Commission nationale de l’informatique et des libertés nous le dit : nous avons la chance d’avoir un réseau très bien informé de correspondants informatiques et libertés, présent dans la quasi-totalité des universités. C’est de ce réseau que nous allons pouvoir évoluer vers le RGPD Règlement général sur la protection des données . Certains d’entre eux deviendront les délégués à la protection des données », déclare Catherine Mongenet, directrice de Fun Mooc.

Le réseau SupCIL regroupe les CIL (correspondants informatique et libertés) de l’ESR. Il a été créé par la convention signée entre la CPU et la Cnil en 2007. Le réseau compte 140 membres. Il agit comme une ressource pour accompagner la transition vers le RGPD, avec l’extension des missions des traitements des données dans les institutions.

Fun Mooc :

Fun Mooc compte quatre millions d’inscrits, pour 370 cours disponibles en ligne. Lancée en 2013, la plateforme a fait des choix forts en matière de traitement des données à caractère personnel des étudiants.

« Nous pensons en permanence à l’adéquation entre les données captées par la plateforme et la finalité du traitement que l’on opère. Contrairement à d’autres types de plateformes connues pour centraliser puis revendre les données des étudiants, nous avons affirmé le fait de faire une déclaration très protectrice auprès de la Cnil. C’était un vrai travail à mener, car en tant qu’universitaire nous ne sommes pas formés à ces questions », selon Catherine Mongenet.

Une position qui a conduit le groupement à élaborer une plateforme dédiée pour les entreprises qui demandaient certaines données :

« Fun Mooc a été plébiscité par les entreprises pour former leurs salariés. Mais certaines de ces entreprises demandaient à récupérer les données d’apprentissage de leurs salariés, ce qui est contraire à notre politique d’utilisation des données. Pour répondre à la demande, nous avons imaginé un projet séparé, Fun corporate, avec une charte spécifique et des modes de rémunération différents. »

Parcours

Ministère de l’enseignement supérieur et de la recherche (MENESR)
Chargée de mission France Université Numérique
Université de Strasbourg (Unistra)
Vice-présidente politique numérique
Université Louis Pasteur de Strasbourg
Directrice de l’UFR de mathématique et informatique

Établissement & diplôme

Université de Franche-Comté (UFC)
Habilitation à diriger des recherches (informatique)
Université de Nancy
DEA en informatique
Université de Franche-Comté (UFC)
Maitrise d’informatique

Fiche n° 5394, créée le 22/07/2014 à 15:53 - MàJ le 30/10/2023 à 21:03

Perrine Helly

Email : perrine.helly@univ-brest.fr

Consulter la fiche dans l‘annuaire

Parcours

Université de Bretagne Occidentale (UBO)
Directrice adjointe Service Commun de la Documentation

Fiche n° 20679, créée le 02/01/2017 à 11:00 - MàJ le 04/10/2017 à 10:01

Daniel Benabou


Consulter la fiche dans l‘annuaire

Parcours

IDECSI
Directeur Général
Vente-privee.com (Vente privée)
Directeur Rosedeal
Vente-privee.com (Vente privée)
Président Voyages
Vente-privee.com (Vente privée)
Vice directeur général des ventes
L’Etudiant
Directeur Général Délégué

Fiche n° 26111, créée le 29/09/2017 à 15:15 - MàJ le 29/09/2017 à 15:23

Yves Condemine


Consulter la fiche dans l‘annuaire

Parcours

Université Jean Moulin Lyon 3
VP chargé de la stratégie numérique
Université Jean Moulin Lyon 3
Directeur des systèmes d’information
PTT et France Télécom
Administration des PTT et groupe France Télécom

Établissement & diplôme


Fiche n° 16099, créée le 18/02/2016 à 11:16 - MàJ le 23/07/2018 à 08:51

Parcours

Renater
Directeur technique

Fiche n° 21410, créée le 16/02/2017 à 06:04 - MàJ le 09/01/2018 à 19:49

©  Seb Lascoux
De gauche à droite : Y. Condemine, P. Helly, D. Benabou, C. Mongenet, L. Gydé - ©  Seb Lascoux