Le campus connecté et intelligent pose de légitimes questions de « sécurité » tant par les nouveaux usages qu’il induit que par les solutions et technologies manipulées.
Si la sécurité informatique semble la plus évidente dans la chronique tech, il ne faut pas pour autant oublier la sécurité physique des bâtiments, celle des personnes ou encore les aspects réglementaires ! Elles sont toutes étroitement liées.
Frédéric BELLAICHE, expert en sécurité des « smart workplaces » nous apporte les clés de lecture pour y voir plus clair.
La question de la sécurité dans le domaine de l’enseignement a évolué fortement ces dernières années. Comment y faire quand on sait qu’installer une simple lampe connectée peut représenter une menace ?
Le campus connecté et intelligent implique de relier les hommes, les bâtiments et les services du campus pour apporter une expérience client de plus en plus aboutie dont la finalité vise à « réenchanter » le campus et la Student eXperience.
Il n’y a plus d’obstacle technologique à la transformation de cette vision en réalité. Toutefois, les informations et solutions technologiques manipulées ne se sécurisent pas d’un coup de baguette magique. Elles sont issues de multiples sources et sont consommées presque à 100% en situation de mobilité. Il faut donc s’appuyer en premier lieu sur un intégrateur multi spécialiste capable de travailler aussi bien avec la DSI et les éditeurs de solutions que les architectes qui conçoivent le bâtiment.
Les informations et les données manipulées sont en effet issues des bâtiments du campus, du système d’information ou du smartphone des usagers ! Elles sont sensibles et stratégiques. Leur valeur n’est perçue que tardivement : lorsqu’on les perd ou que l’on est victime de malversation.
Ainsi, la gestion des risques liées à la sécurité de l’information est devenue la priorité numéro 1 des préoccupations des décideurs « IT » du secteur de l’éducation (TOP 10 2018 EDUCAUSE) :
Comment appréhender la sécurité du campus connecté et intelligent ?
Il faut comprendre que la technologie de l’Internet des Objets (IoT) et du « edge computing » rebat les cartes dans le domaine des usages et de la sécurité plus que jamais.
Ainsi, la sécurité physique, qui est certainement une des premières préoccupations des campus, évolue-t-elle considérablement en mettant en œuvre des moyens à la fois efficaces et respectueux de la vie privée.
En intégrant les exigences de sécurité aux pratiques digitales et collaboratives de tout un chacun, la sécurité individuelle et collective des usages du campus s’en trouve améliorée. Grâce à cela, vous pouvez enfin savoir combien d’usagers sont présents, qu’ils soient occasionnels comme des candidats, des alumni, des parents en visite, ou encore « permanents » comme vos étudiants, collaborateurs et sous-traitants.
Quelques exemples :
- Le contrôle d’accès comme à l’aéroport avec un pré-enregistrement qui permet de raccourcir considérablement le contrôle d’accès aux sites du campus doit être intégré aux outils collaboratifs et digitaux. La finalité ? Que la pré-inscription soit aussi simple que d’inviter quelqu’un par mail ou depuis son téléphone !
- L’éclairage intelligent participe, lui aussi, à la sécurité publique dans la perception des espaces : meilleure identification des personnes, perception des comportements, des obstacles, etc. Ce sont des projets qui, s’ils sont menés par les talents conjoints des architectes, de l’IT et des experts en sécurité, apportent à la fois convivialité, mise en valeur des lieux et sûreté… au moindre prix.
L’Internet des Objets n’élargit-il pas considérablement les surfaces d’attaques malveillantes ?
En effet, dans son dernier ouvrage « Click here to kill everybody », Bruce Schneier, spécialiste de renom en sécurité informatique et grand vulgarisateur, met bien en évidence comment ces nouvelles technologies bouleversent la donne.
Les composantes de l’IoT, comme tout élément IT, apportent au final leurs lots de faiblesses. Mais désormais, ils sortent du domaine du virtuel en reliant de nouvelles sources de vulnérabilité à l’environnement physique : électricité, chauffage, VMC et autres éléments vitaux sont alors susceptibles d’être attaqués, alors que l’IT traditionnel concentrait jusqu’alors ces efforts sur les réseaux informatiques et leurs équipements, les diverses formes de poste de travail et les data centers.
Qu’en est-il alors de la gouvernance et de la responsabilité ?
Le champ des responsabilités est désormais transformé. L’IT, les services généraux, les responsables de la sûreté, les architectes doivent travailler ensemble. Changements d’organisation, mise en place de nouveaux processus et moyens ainsi que qualification des dispositifs IoT (car on constate une réelle défaillance des constructeurs qui n’ont pas encore pris conscience de ces nouveaux enjeux) sont à revoir ou mettre en place. Etre accompagné par des experts devient nécessaire.
Le pendant de l’IoT est naturellement la donnée. Les campus gèrent des quantités importantes de données personnelles, souvent même sensibles, avec de forts enjeux : vie privée, propriété intellectuelle, voire enjeux industriels.
Dans ce cadre, la mise en place du Règlement Européen sur la Protection des Données (RGPD) a un impact très fort pour les enseignants et les personnels administratifs, les étudiants, mais également les parents d’élèves qui réclament à raison une visibilité totale sur ce qui est collecté et ce qui est fait des données.
Comment faire face ?
En s’organisant !
Il faut désigner qui porte les responsabilités, évaluer les risques, cartographier les processus « physiques » et « logiques » et les associer aux usages, identifier le cycle de vie des données et les moyens mis en œuvre, les protéger, veiller à la qualité et la pertinence de ces données, points d’entrée de la démarche.
Cela doit coûter très cher ! N’est-ce pas un investissement contradictoire avec l’ambition du campus ?
Est-ce que vous reprocheriez aujourd’hui à Amazon son business model ?
Non, il ne faut pas reléguer au second plan l’apport de valeur de l’hyperpersonnalisation des services. ! Là aussi, l’accompagnement est absolument nécessaire. Dans cette démarche, le règlement ne doit pas être vu comme une charge supplémentaire, mais comme une réelle opportunité pour maîtriser ses données, et, au final, donner de la valeur au campus.
Des réponses adaptées à chaque problématique existent : sensibilisation, chiffrement, blockchain (notamment pour les diplômes), anonymisation ou pseudonymisation, et, au final, mise en place des bonnes pratiques et surtout beaucoup de bon sens.
On néglige en effet trop souvent l’UX, alors que c’est un volet essentiel de la sécurité. Combien de données sensibles se sont-elles retrouvées copiées sur une clef USB ou un espace public d’un ENT ? Ces incidents de sécurité, auxquels les usagers sont devenus tellement sensibles que parfois ils refusent d’utiliser les outils informatiques mis à leur disposition, ne relèvent pas, la plupart du temps, de malveillances. Ce sont plutôt le symptôme d’outils mal adaptés à la réalité du terrain et aux métiers des professionnels de l’enseignement.
Au final, c’est toujours la compréhension des usages réels des outils, processus et procédures qui sont la clef de la solution, car le facteur humain sera toujours l’élément central de la chaîne de la sécurité.
Si vous souhaitez aller plus loin dans la réflexion, n’hésitez pas à contacter les équipes d’HEADway et d’Econocom : contact.chroniquetech@econocom.com
Sophie HIRAT et Grégor MACIAK.
https://www.campusfrance.org/fr/securite
…