Au service des dirigeants des TI
en enseignement supérieur du Canada

CUCCIO est fier d’aider la communauté des professionnels des TI dans l’enseignement supérieur au Canada à nouer des liens.

news

Western University
frame pjf

Nouvelles et mises à jour

Sécurité des TI : les universités sont-elles devenues des cibles?

Il suffit de survoler les nouvelles pour savoir que la sécurité des TI est un sujet de plus en plus important pour le secteur privé comme pour le secteur public.

Est-ce la même chose pour les établissements d’enseignement?

Souvent financées par l’État et collaborant fréquemment avec des organismes de recherche privés et publics, les universités sont-elles devenues un point de mire pour les pirates informatiques modernes les plus innovants (et dangereux)?

Paul Stokes est le DPI de l’Université de Victoria.

« Je fais partie de ceux qui pensent que nous sommes des cibles, il n’y a aucun doute là-dessus, explique-t-il. Cela concerne deux domaines principaux, l’administration et la recherche. Du côté administratif, nous tenons d’importants registres de données et les conservons longtemps. Nos fichiers de renseignements s’étoffent de plus en plus et les pirates aimeraient bien mettre la main sur toutes ces données personnelles. En ce qui concerne la recherche, nous passons constamment des accords – qui contiennent un nombre important de renseignements personnels – avec les gouvernements et les entreprises… du point de vue d’un pirate à la recherche d’information pour de l'espionnage industriel, il y a beaucoup de données intéressantes. »

Selon Paul, la sécurité des TI, comme les autres défis que doit surmonter la gestion des TI dans l’enseignement supérieur, peut être une question de ressources.

« La plupart d’entre nous ne disposons pas des mêmes fonds – ni de la même expertise – que les entreprises pour soutenir une infrastructure de sécurité massive, dit-il. Nous avons beau faire tout notre possible, nous sommes toujours limités par nos ressources. Par exemple, à cause d’accords syndicaux, nous n’engageons pas de consultants en sécurité, car cela revient trop cher. Je ne me plains pas, mais je constate que nous ne sommes pas sur la même échelle. »

Mike Langedock est le DPI de l’Université du Manitoba.

« Pourquoi les universités sont-elles des cibles? En raison de leur ouverture; ça fait partie de notre culture, constate-t-il. En fait, notre nature nous rend vulnérables. Nous sommes en grande partie des établissements gouvernementaux, ce qui veut dire que les attentes en matière d’accès sont d’autant plus élevées. »

Selon Mike, les attentes des étudiants compliquent l’équilibre entre accessibilité et sécurité.

« Les étudiants s’attendent à avoir accès à leurs dossiers personnels et à leurs notes comme s’ils étaient dans un classeur… comment concrétiser cette attente d’accessibilité, tout en la protégeant par des niveaux de sécurité qui ne compromettent pas la personnalisation? Les gens s’attendent à ce que les choses qu’on faisait auparavant de manière matérielle et traditionnelle puissent être faites aujourd’hui par voie électronique. »

Mike explique que de l’administration à la recherche en passant par les questions directement reliées aux étudiants, il existe un large éventail de besoins et de publics en matière de sécurité des TI. C’est cependant le monde de la recherche qui est souvent le plus difficile à gérer.

« Aujourd’hui, le problème que nous avons, c’est la dépendance exponentielle de la recherche envers l'informatique et le rôle de propulseur que jouent les services TI dans ce domaine. Nous devons permettre aux chercheurs de continuer leur travail sans limiter leur capacité de stockage, d’envoi de courriels, de partage de fichiers, etc., explique Mike. En plus, poussés par leurs ambitions à publier des textes, ces chercheurs ne se préoccupent pas toujours beaucoup de la sécurité ou de la confidentialité, comme pourrait nous le dire un vérificateur ou un administrateur. La recherche étant devenue une activité mondiale, il faut pouvoir se connecter à ces services de stockage, d’envoi, etc. Pas besoin de les mettre en place sur le campus… il faut juste veiller à ce que leur accès soit sécurisé et se fasse selon des modalités de vérification d’identité. »

Pour aider à relever ces défis, Paul et Mike estiment qu’il est fondamental de sensibiliser tous les utilisateurs aux risques encourus.

« Une nouvelle approche consiste à essayer de protéger les gens contre eux-mêmes. En fait, il s’agit de leur donner les connaissances et les outils nécessaires pour qu’ils soient conscients de leurs vulnérabilités quand ils travaillent avec la technologie. C’est un peu comme un modèle de gouvernement autonome, affirme Mike. Selon la façon dont vous établissez le contact avec les gens, vous pouvez transférer les coûts et les appliquer davantage à l’éducation qu’à l'infrastructure technique. C’est ça qui est innovant. »

« On en revient toujours au maillon le plus faible, déclare Paul. On a beau redoubler d’efforts en matière de processus de sécurité – chiffrement de données, protection des paramètres, pare-feu et protection des points d’extrémité, sensibilisation et information accrues – généralement, le maillon le plus faible est l’homme. Par exemple, on commence à voir de plus en plus de tentatives d’hameçonnage. Dans ces cas-là, les maillons les plus faibles sont les gens qui cliquent sur ces liens. »

« Vous aidez les gens à faire de bons choix en matière de stockage et de transfert de données – tout est une question de sensibilisation et d’information. »

Pourtant, Paul et Mike conviennent que les vérifications internes et externes sont des éléments essentiels de toute stratégie de sécurité des TI.

« Au-delà de la sécurité et de la vie privée, il y a la dimension du risque », affirme Paul. « Il faut toujours aborder les choses – qu’il s’agisse d'un établissement entier d'un projet – dans une perspective de risque. Choisir d’accepter, d’atténuer ou d’éliminer un risque… gérer le risque est une lourde tâche et le plus dur, c’est de penser à ces trois possibilités en même temps, ce que bon nombre de gens ne font pas. »

« Tachez d’obtenir des tests de vulnérabilité faits par un organisme indépendant, poursuit Paul. Se regarder soi-même est très différent que de se faire regarder par quelqu’un d’autre. »

L’interaction entre la sécurité TI, la vie privée et le risque continuera d’être un élément de discussion important à la prochaine réunion des membres du CUCCIO, qui aura lieu du 17 au 19 février à Vancouver. Pour obtenir des renseignements, consultez le site web.