Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

LE NUMERIQUE DANS LE PREMIER ET LE SECOND DEGRE :

SECURITE ET RESPONSABILITE

Responsabilités juridiques lors du développement des usages

du numérique dans les écoles et les EPLE

Lycée d’hôtellerie et de tourisme, à Guyancourt, le mardi 12 février 2019

Page 2 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

LE NUMERIQUE DANS LE PREMIER ET LE SECOND DEGRE :SECURITE ET RESPONSABILITE

Responsabilités juridiques lors du développementdes usages du numérique dans les écoles et les EPLE

Lycée d’hôtellerie et de tourisme, à Guyancourt, le mardi 12 février 2019

Anne-Sophie Poggi Avocat à la Cour,Cabinet POGGI AVOCATS IT

Anne SouviraCommissaire divisionnaire,Chargée de mission « cybercriminalité »,Cabinet du Préfet de Police de Paris

Page 3 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

Intervenants le matin, pour le 2nd degré

Intervenants

9H00 - 9H20Serge Clément, Directeur académique des services départementaux de l’Education nationale (DASEN) des Yvelines

9H20 – 9H40Pierre-Etienne Boucher-Chapuy, Secrétaire général adjoint, référent mise en conformité RGPD pour l’académie

9H40 - 10H40 Anne-Sophie Poggi, Avocat à la Cour, cabinet POGGI AVOCATS IT

10H40 - 11H00 Anne Souvira, Chargée de mission « cybercriminalité », cabinet du Préfet de Police

11h00 - 11h20 Hélène Carnet, Principal du Collège public Ste-Apolline, 95800 Courdimanche

11H20 - 11H40 Fabrice Gély, Conseiller de la rectrice , Délégué académique au numérique (DAN)

11H40 - 12H00Olivier Miller, Directeur de projet « confiance numérique et sécurité » de l’académie de Versailles

12H00 - 12H20Jacky Galicher, Directeur des systèmes d’information (DSI), responsable de la sécurité des systèmes d’information (RSSI) de l’académie

Page 4 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

Intervenants l’après-midi, pour le 1er degré

Intervenants

14H00 - 14H20Serge Clément, Directeur académique des services départementaux de l’Education nationale (DASEN) des Yvelines

14H20 – 14H40Pierre-Etienne Boucher-Chapuy, Secrétaire général adjoint, référent mise en conformité RGPD pour l’académie

14H40 - 15H40 Anne-Sophie Poggi, Avocat à la Cour, cabinet POGGI AVOCATS IT

15H40 - 16H00 Anne Souvira, Chargée de mission « cybercriminalité », cabinet du Préfet de Police

16h00 - 16h20Martine Degorce-Dumas, Inspectrice de l’Education nationale Circonscription Evry II Numérique en charge de la mission numérique pour l’Essonne

16H20 - 16H40Olivier Miller, Directeur de projet « confiance numérique et sécurité » de l’académie de Versailles

16H40 - 17H00Jacky Galicher, Directeur des systèmes d’information (DSI), responsable de la sécurité des systèmes d’information (RSSI) de l’académie

Page 5 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

Sommaire

• Les chartes pour les systèmes d’information

• Le filtrage des accès et de la navigation sur internet dans les écoles

• L’hébergement des systèmes d’information

• Les espaces numériques de travail (ENT)

• Les équipements individuels mobiles (EIM) pour les élèves et les enseignants

• Autres projets en cours

• Quelques préconisations

• La chaîne d’alerte de sécurité informatique – SSI

• L’information des sites institutionnels

• Quelques référentiels nationaux

Page 6 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

Les chartes pour les systèmes d’information

• Pour tous les personnels de l’académie Une charte régissant l’usage des technologies de l’information et de la communication par les

personnels du ministère de l’Education nationale dans l'académie de Versailles

• Dans les EPLE : Soit une charte d’établissement pour tous les utilisateurs et tous les usages

Soit une charte générique et un encadrement juridique spécifique pour certains usages numériques tels que l’ENT, les EIM (équipements individuels mobiles) et le BYOD (Bring your own device)

Documents en cours de revue avec les collectivités, au regard du RGPD

• Dans les écoles: Une charte type académique « adulte » des usages numériques à l’école (hors ENT et EIM)

Une charte type académique « élève » des usages numériques à l’école (hors ENT et EIM)

Un encadrement juridique spécifique dans le cadre des ENT et des EIM

Documents à revoir avec les missions TICE des DSDEN, au regard du RGPD

• Pour les administrateurs (et leur responsable) Une charte administrateur pour les personnels ayant des comptes à privilèges

• Importance des chartes Les chartes protègent l’académie et les utilisateurs en précisant les droits et les devoirs

L’académie propose des modèles de charte et un accompagnement

Page 7 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

Le filtrage des accès et de la navigation sur internet dans les écoles

• Le filtrage des accès et de la navigation sur internet dans les écoles Un préalable aux usages numériques dans les écoles

Une responsabilité partagée entre l’Etat et la commune

• L’académie recommande la mise en œuvre de la solution « AmonEcole» développée par l’Éducation nationale, en partenariat avec les collectivités territoriales, pour chacune de ses 3 224 écoles publiques. C'est un serveur qui assure le filtrage des accès et de la navigation sur internet. Il est installé dans l’école.

De plus amples informations sur les solutions “EOLE” et “AmonEcole”, ainsi que leur mise en œuvre au sein de l’académie : http://eole.ac-versailles.fr

• La collectivité a la liberté d’installer une solution de son choix pour le filtrage des accès et de la navigation sur internet En conformité avec les exigences de sécurité de l’Education nationale

• Les serveurs SLIS ne sont plus maintenus et ont été remplacés La solution "AmonEcole" est la seule solution proposée par l'académie

Page 8 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

L’hébergement des systèmes d’information

• Utilisez les ressources et le stockage mis en place par l’académie et la collectivité Dans les écoles et les EPLE :

Sur les serveurs locaux

Dans les ENT

Sur l’espace numérique de travail mis en place par la collectivité en lien avec l’académie

Sur les ressources pédagogiques accessibles via l’ENT

Dans l’académie

Pour les sites web

Pour les blogs

Sur les outils collaboratifs mis en place par l’académie

• Avant d’utiliser des applications dans le cloud, prenez garde à la nature des données à caractère personnel et au lieu d’hébergement Hébergement en France, dans un autre Etat de l’Union européenne, hors de l’Union européenne ?

Déclaration au délégué à la protection des données (DPD), pour les écoles et les EPLE

Aide et assistance : dpd@ac-versailles.fr et confiancenumerique@ac-versailles.fr

Déclaration sur le registre de l'académie, la DSDEN ou l'EPLE (en lien avec les services académiques)

Page 9 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

Les espaces numériques de travail (ENT)

• Une mise en œuvre en collaboration entre la collectivité et l’académie Pour les EPLE

Encadrée par une convention de partenariat entre l’académie et la collectivité

Déclinée en une convention tripartite pour chaque EPLE, entre l’académie, la collectivité et l’EPLE

Une inscription au registre de chaque EPLE

La mise à disposition de l’annuaire académique fédérateur (AAF) pour l’EPLE

Pour les écoles

Encadrée par une convention de partenariat entre l’académie et la collectivité (une convention cadre a été validée au niveau académique)

Une information au DPD à l’adresse dpd@ac-versailles.fr est effectuée automatiquement

La mise à disposition de l’annuaire académique fédérateur (AAF) pour les écoles listées dans la convention signée

Page 10 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

Les équipements individuels mobiles (EIM)pour les élèves et les enseignants

• Des EIM peuvent être mis à disposition des élèves et des enseignants pour favoriser les apprentissages.

• Si les EIM sont fournis par la collectivité Une convention entre l’académie et la collectivité doit définir le cadre du partenariat ainsi que les rôles

et les responsabilités

Pour les EPLE, cette convention est déclinée en une convention tripartite

• Dans tous les cas, les services suivants doivent être mis en œuvre Un outil de gestion de la flotte de tablettes

Le filtrage des connexions à internet ainsi que l’enregistrement des traces, dans et hors de l’établissement ou de l’école

Une configuration sécurisée des tablettes

• Dans tous les cas, l’encadrement juridique doit être mis en place Un bordereau de remise de la tablette

Une charte et les conditions d’utilisation de la tablette

Une déclaration au délégué à la protection des données (DPD), pour les écoles et les EPLE

Aide et assistance : dpd@ac-versailles.fr et confiancenumerique@ac-versailles.fr

Une déclaration sur le registre de l'académie, la DSDEN ou l'EPLE (en lien avec les services académiques)

Page 11 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

Autres projets en cours

• Expérimentation d’une solution de filtrage centralisée dans la mairie pour les écoles Projet Eole-Proxy avec la ville de Nanterre

• Elaboration des registres pour les EPLE, les DSDEN et l'académie Développement d'un questionnaire en ligne par l'académie, pour les écoles et les EPLE

Etude d’un outillage par la DNE, pour les académies et les EPLE

• Sites web d’informations relatives Aux enjeux du RGPD

A l’encadrement juridique et technique des services numériques

Page 12 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

Quelques préconisations :Préconisations relatives aux courriels

• Lorsque vous recevez des courriels, prenez les précautions suivantes : l’identité d’un expéditeur n’est en rien garantie : vérifiez la cohérence entre l’expéditeur présumé et le

contenu du message,

n’ouvrez pas les pièces jointes provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers que vous envoient habituellement vos contacts,

si un lien ou plusieurs figurent dans un courriel, vérifiez l’adresse du site en passant votre souris sur chaque lien avant de cliquer. L’adresse complète du site s’affichera alors dans la barre d’état en bas de la page ouverte. Si vous avez un doute sur l’adresse affichée, abstenez-vous de cliquer,

ne répondez jamais par courriel à une demande d’informations personnelles ou confidentielles (ex : code confidentiel et numéro de votre carte bancaire),

n’ouvrez pas et ne relayez pas de messages de types chaînes de lettre, appels à la solidarité, alertes virales, etc.

• Séparer vos usages professionnels de vos usages personnels : Utilisez la messagerie académique pour tous vos usages professionnels.

Ne transférez pas les messages professionnels vers une messagerie personnelle.

Page 13 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

Quelques préconisations :Préconisations relatives aux mots de passe

• Choisissez avec soin vos mots de passe : Définissez des mots de passe composés d’au moins 8 caractères :

mélangeant majuscules, minuscules, chiffres et caractères spéciaux,

n’ayant aucun lien avec vous comme votre nom, date ou lieu de naissance,

ne formant pas de mots figurant dans le dictionnaire.

En pratique, vous disposez de 2 méthodes simples :

la méthode phonétique : "J’ai acheté 5 CD pour cent euros cet après-midi" : ght5CD%E7am,

la méthode des premières lettres : "Un tiens vaut mieux que deux tu l’auras" : 1tvmQ2tl’A.

• Quelques recommandations supplémentaires : n’utilisez pas le même mot de passe pour tout, notamment pour accéder à votre banque en ligne et

votre messagerie personnelle ou professionnelle,

méfiez-vous des logiciels qui vous proposent de stocker vos mots de passe.

Page 14 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

La chaîne d’alerte de sécurité informatique - SSI

• La chaîne d’alerte de sécurité des systèmes d’information fonctionne comme suit : Dans les services académiques

les personnels informent le Chef de division des incidents constatés

le Chef de division saisit la chaîne d’alerte et informe le Secrétaire général

Dans les EPLE

les personnels informent le Chef d’établissement des incidents constatés

le Chef d’établissement saisit la chaîne d’alerte et informe le DASEN

Dans les écoles

les personnels informent le Directeur d’école des incidents constatés

le Directeur d’école saisit la chaîne d’alerte et informe l’IEN (Inspecteur de circonscription)

l’IEN ou un conseiller TICE peut aussi saisir la chaîne d’alerte

• La chaîne d’alerte peut être saisie par un ticket CARIINA en utilisant la rubrique « sécurité » ou par courriel à : alerte-ssi@ac-versailles.fr Dans tous les cas :

un ticket est créé dans CARIINA

les personnes saisies sont : le DSI et son Adjointe, le Directeur de projet « Confiance numérique et sécurité », le RSSI adjoint

L’incident est pris en charge en lien avec le responsable ou un de ses représentants : Chef de division, Chef d’établissement, Inspecteur de circonscription, Directeur d’école, Mission TICE

Si nécessaire, le RSSI national puis le haut fonctionnaire de défense sont informés.

Page 15 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

L’information des sites institutionnels (page 1/2)

• @riane – Intranet de l’académie Pour les personnels des services académiques et de direction d’EPLE, ainsi que les directeurs d’école

Onglet « Numérique et système d’information » puis « Sécurité système d’information »

Pour tous les personnels, dans « Espaces collaboratifs », « Sécurité des Systèmes d'Information »

http://ariane.ac-versailles.fr/pia/jcms/s2_1101995/fr/ssi

• La CNIL – Commission nationale de l’informatique et des libertés La page d’accueil http://www.cnil.fr propose notamment 3 modules majeurs :

Comprendre vos droits (Comment accéder à vos données personnelles, les rectifier, les supprimer ?)

http://www.cnil.fr/fr/comprendre-vos-droits

Maîtriser vos données (Comment protéger sa vie privée dans le monde numérique ?)

http://www.cnil.fr/fr/maitriser-mes-donnees

Agir (Comment faire valoir ses droits sur ses données ou agir en cas de problème ?)

http://www.cnil.fr/fr/agir

Page 16 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

L’information des sites institutionnels (page 2/2)

• L’ANSSI – Agence nationale de la sécurité des systèmes d’information La page d’accueil http://www.ssi.gouv.fr permet d’accéder notamment à des bonnes pratiques et de la

formation pour les administrations et les particuliers

http://www.ssi.gouv.fr/administration/bonnes-pratiques

http://www.ssi.gouv.fr/administration/formations (SecNumAcadémie)

http://www.ssi.gouv.fr/particulier/bonnes-pratiques

http://www.ssi.gouv.fr/particulier/formations (SecNumAcadémie)

SecNumAcadémie : http://www.secnumacademie.gouv.fr contient 4 modules de formation

1. PANORAMA DE LA SSI

2. SÉCURITÉ DE L'AUTHENTIFICATION

3. SÉCURITÉ SUR INTERNET

4. SÉCURITÉ DU POSTE DE TRAVAIL ET NOMADISME

• Le site web gouvernemental qui assume un rôle de sensibilisation, de prévention et de soutien en matière de sécurité du numérique auprès de la population française :

http://www.cybermalveillance.gouv.fr

• Le Gouvernement Notamment le document « CONSEILS AUX USAGERS » qui est publié sur le site www.gouvernement.fr, à

l’adresse suivante

http://www.gouvernement.fr/risques/conseils-aux-usagers

Page 17 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

Quelques référentiels nationaux

• Les référentiels en vigueur, pour les EPLE, du Ministère de l’éducation nationale Le référentiel Wi-Fi

http://eduscol.education.fr/cid89186/referentiel-wi-fi.html

Le schéma directeur des ENT (SDET version 6.2)

http://eduscol.education.fr/cid56994/sdet-version-5.0.html

Le Cadre de référence pour l'Accès aux Ressources pédagogiques via un équipement MObile (CARMO version 3)

http://eduscol.education.fr/cid137345/cadre-de-reference-carmo-version-3.0.html

Le référentiel S2i2e (Services intranet-internet d'établissements scolaires et d'écoles) - CARINE

http://eduscol.education.fr/cid57409/referentiel-s2i2e-carine.html

• D’autres liens utiles du Ministère de l’éducation nationale et de l’Etat La Politique de sécurité des systèmes d'information de l'Etat (PSSIE)

http://circulaire.legifrance.gouv.fr/index.php?action=afficherCirculaire&hit=1&r=38641

Le schéma stratégique des systèmes d'information et des télécommunications (S3IT) 2013

http://www.education.gouv.fr/cid4180/le-schema-strategique-des-systemes-d-information-et-des-telecommunications.html

La sécurité des systèmes d'information (SSI)

http://www.education.gouv.fr/cid2252/securite-des-systemes-d-information.html

Page 18 Olivier MILLER - Directeur de projet « confiance numérique et sécurité », DSI, Académie de Versailles

Questions et réponses