Sécurité des données dans l’ESR

Voici un retour sur une conférence passionnante que j’ai eu la chance d’animer à Paris Dauphine (Think 2018) en janvier dernier autour de la sécurité informatique comme enjeu technique et de réputationnel pour l’ESR. « La sécurité informatique est un enjeu technique et réputationnel pour l’ESR. Elle est stratégique par ce qu’elle implique techniquement en matière d’intégrité des infrastructures et des informations de nos usagers, mais elle est aussi déterminante en matière d’impact réputationnel pour une institution », a déclaré pour commencer Yves Condemine, vice-président chargé de la stratégie numérique de l’Université Lyon 3 et président du CSIESR, en ouverture de cette table ronde édifiante à l’approche du RGPD en mai prochain.  « Nous avons dans la communauté de l’enseignement et de la recherche en France de réelles cibles pour le vandalisme numérique. Les motivations de cette malveillance sont souvent liées à des questions d’argent, de réputation ou de réalisation d’exploit de sécurité », a ajouté Laurent Gydé, directeur technique de Renater. « Le déploiement des services numériques par les universités s’accompagne d’une politique de confiance et de transparence à propos des traitements de données personnelles réalisés », a fait valoir enfin de son côté Catherine Mongenet, directrice de Fun Mooc. Voici donc un florilège des débats.

 

Résultat de recherche d'images pour "sécurité des données"

Yves Condemine différencie deux types d’attaques informatiques : les attaques internes au système informatique d’un établissement et les attaques externes. Il est plus difficile pour une institution de gérer une attaque quand elle provient d’un usager qui est dans l’environnement de confiance. Il est également claire que les attaques issues de l’interne représenteraient 50 à 80 % des cas des menaces. Enfin, les causes principales évoquées sont la malveillance et la négligence. Et d’ajouter : « Nous ne serons pas prêts pour le 25/05/2018, date de l’entrée en application du RGPD (règlement général sur la protection des données) en Europe. Mais nous devons montrer que nous sommes en marche sur le sujet, et y voir une opportunité pour enfin travailler en profondeur le cycle de vie des données personnelles et améliorer la relation de confiance avec des tiers ».

Daniel Benabou, le DG IDECSI a proposé de son côté : « La massification et la diversification des usages avec le numérique posent une question fondamentale : comment associer une bonne ergonomie des systèmes à une sécurité de tous les instants ? Cette question traverse tous les milieux professionnels alors que les attaques informatiques sont de plus en plus nombreuses et de plus en plus complexes ».« Nous devons avoir des utilisateurs plus actifs sur les questions de sécurité informatique. Il est nécessaire de documenter, de mettre en place des modèles et des solutions pour permettre aux usagers de mieux saisir leur rôle dans le processus global de la sécurité. Il en va d’un changement de culture. » Daniel Benabou cible notamment les dirigeants et les décideurs pour faire avancer les problématiques de sécurité informatique. Un guide gratuit à leur intention a ainsi été publié en partenariat avec le magazine Challenges.

Résultat de recherche d'images pour "les datas"

Laurent Gydé de Renater a rappelé que « la situation de Renater est particulière : notre réseau est souverain et imperméable à l’extérieur, ce qui limite les attaques informatiques venant de biais étrangers. La grande force de notre réseau, c’est la maîtrise de l’ensemble de la connectivité ». Historiquement, Renater a créé dès le départ une cellule dédiée à la sécurité, le Cert-Renater. Ce pôle assure les missions de SSI pour le GIP et les usagers, mais il agit aussi pour animer la communauté des RSSI de l’enseignement supérieur et de la recherche et pour mettre à jour l’ensemble documentaire de la PSSI générique pour l’ESR. « Nous agissons aujourd’hui pour sensibiliser la communauté des RSSI aux enjeux de la protection des données. Renater a une offre de services réseau et applicatifs pour offrir des outils de sécurité communs et mutualisés. »

Catherine Mongenet, directrice de Fun Mooc a rappelé que « nous avons la chance d’avoir un réseau très bien informé de correspondants informatiques et libertés, présent dans la quasi-totalité des universités. C’est de ce réseau que nous allons pouvoir évoluer vers le RGPD. Certains d’entre eux deviendront les délégués à la protection des données ».

Pour rappel : Le réseau SupCIL regroupe les CIL (correspondants informatique et libertés) de l’ESR. Il a été créé par la convention signée entre la CPU et la Cnil en 2007. Le réseau compte 140 membres. Il agit comme une ressource pour accompagner la transition vers le RGPD, avec l’extension des missions des traitements des données dans les institutions.

La principale conclusion de ce débat a été de positionné la sécurité au niveau qu’elle mérite : trop souvent la prise en compte de cette dimension n’est pas suffisante ou – pire – pas comprise. L’enjeu est pourtant capital dans une économie de la connaissance qui place les idées au cœur de la compétitivité. Car au-delà des données personnelles, qui font la richesse des GAFAN, c’est bien la propriété intellectuelle et l’intégrité de nos systèmes qui en cause. Ne pas se soucier de ce sujet de manière prioritaire pose un réel problème. Il est fondamental de se protéger et de protéger nos savoir-faire, nos idées, nos brevets, nos recherches, etc. Bref ce qui fait aujourd’hui notre puissance économique et notre leadership intellectuel.

Be Sociable, Share!

This entry was posted on lundi, mars 12th, 2018 at 9:55 and is filed under News. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply