Aller au contenu principal
Mise en place de la Fédération
de services d’identités pour
l’espace suisse de formation
Politique d’utilisation des données | Interview de Martin Leuthold, SWITCH

«Dans l’espace virtuel, les identités deviennent un nouveau périmètre»

Le rapport «Données dans l'éducation - Données pour l'éducation» définit la marge de manœuvre à l’intérieur de laquelle une future politique d'utilisation des données peut être formulée pour l’espace suisse de formation. Martin Leuthold, responsable de Network & Security chez SWITCH, a contribué au chapitre sur la sécurité de l’information. Dans l’interview, il explique l’importance de l’identité numérique pour une politique solide d’utilisation des données.
Die digitale Identität steht im Zentrum des digitalen Wandels - auch in der Bildung. (Bild: Unsplash)

Question: Au préalable, que peut faire de mieux une nouvelle fédération formée à l’échelle nationale par rapport aux solutions ID dans les constellations existantes, par ex. aux niveaux des régions linguistiques?

Martin Leuthold: Une fédération est une communauté d’intérêts. Elle soutient les acteurs qui interagissent beaucoup les uns avec les autres et entretiennent une relation de confiance solide pour atteindre des objectifs communs. Trouver ici la bonne taille ou bonne constellation est un facteur de succès important. De petites constellations comportent le danger de devoir «réinventer la roue » en plusieurs endroits et de ne pas exploiter les potentiels de synergie. Une constellation trop grande peut conduire à une situation dans laquelle la relation de confiance souffre et cède à un sentiment d'anonymat. 

Les régions linguistiques jouent naturellement un rôle important. Les plans d'études le long des frontières linguistiques sont harmonisés avec le PER et Lehrplan 21. Il convient toutefois de noter que les frontières linguistiques ne suivent pas les frontières cantonales et que de nombreuses structures et réglementations concernant les écoles s'appliquent au niveau national.

Le cadre national me paraît donc être la bonne approche pour fédérer les solutions ID des écoles des degrés primaires et secondaires. Ainsi, une fédération nationale est également disponible en tant que partenaire pour d'autres solutions ID pertinentes. Elle peut couvrir globalement tous les cas d’application, par exemple en collaboration avec la Fédération ID de SWITCH dans le domaine des hautes écoles.

Vous constatez dans le rapport que les «limites du système» se dissolvent toujours plus. Pouvez-vous nous expliquer ce processus à l'aide d'un exemple parlant du quotidien scolaire? 

Mes constatations dans le rapport concernent le propre contrôle sur les systèmes informatiques utilisés. Avec la numérisation très avancée du système scolaire suisse, l'utilisation de divers services cloud est en forte croissance. Dans la plupart des cas, ceux-ci se trouvent en dehors du propre périmètre physique et ne peuvent, par conséquence, être contrôlés que dans une mesure limitée. Cela augmente l’importance de l’identité de l’utilisateur. Elle devient un nouveau périmètre dans le monde virtuel.  Par conséquent, le contrôle de ces identités et de leur qualité devient de plus en plus important.

Mais nous sommes aussi intéressés par une perméabilité élevée entre les différents niveaux du système éducatif et nous devons soutenir ceci du côté  de la gestion de l'identité. Nous pouvons ici même faire le lien avec les cas généraux d'application mentionnés ci-dessus. Si les étudiants des HEP suivent des stages dans les écoles ou si les enseignants effectuent des formations continues dans les HEP, les frontières du système entre les écoles et les hautes écoles sont dépassées. 

Afin de soutenir efficacement ces processus de collaboration importants pour les écoles et les hautes écoles, les exploitants de la Fédération sont les partenaires idéaux. Ils peuvent veiller au fonctionnement harmonieux des cas d'application au-delà des frontières du système. Ces limites deviennent de moins en moins perceptibles et, du point de vue de l'utilisateur se dissolvent dans une certaine mesure. 

Ces cas d'application et d'autres font déjà l'objet de discussions entre SWITCH et educa.ch.

Dans ce contexte, vous citez l'identification sans équivoque des utilisateurs et un contrôle strict des droits d'accès comme facteurs de sécurité décisifs. À qui incombe la responsabilité dans le système éducatif hétérogène-fédéraliste? 

Comme mentionné dans la réponse précédente, le périmètre physique classique d'une école perd fortement de son importance dans le cadre de la numérisation, de la virtualisation et de la dépendance croissante vis-à-vis d'un nombre toujours plus important de prestataires de services et de fournisseurs externes. Dans l'espace virtuel, les identités des utilisateurs autorisés deviennent ainsi le nouveau périmètre. Par conséquent, le contrôle de ces identités d'utilisateurs et des droits d'accès associés par les organisations responsables est élémentaire.

L'identification sans équivoque des utilisateurs et de leurs rôles – également comme base de leurs droits d'accès – a lieu dans les systèmes où les utilisateurs sont avant tout enregistrés. Dans le système éducatif hétérogène-fédéraliste  de la Suisse, des solutions très différentes sont utilisées. Par conséquent, il est tout à fait logique que FIDES puisse relier de tels systèmes avec la responsabilité première de ses propres utilisateurs, tant au niveau cantonal qu'au niveau de chaque école, commune ou communauté scolaire.

FIDES prend, sur cette base, la responsabilité de transporter ces données au sein de la Fédération selon les besoins et en conformité avec les objectifs. 

L'exigence de «bonnes pratiques» constitue le fil rouge de votre contribution au rapport. Est-ce qu'il existe un espace pour cela en dehors du «De facto Standards» des entreprises internationales?

Oui, absolument !

La responsabilité de la gestion de la sécurité de l'information dans les écoles et de la gestion des risques liés ne peut être déléguée. Les systèmes et services fournis par les entreprises internationales ne sont qu'une partie de ce système global. Les directions d'école doivent, en conséquence, connaître leurs risques en matière de sécurité de l'information  et définir comment elles les gèrent et quels risques résiduels sont acceptables. Il existe pour cela des méthodes et des systèmes de gestion reconnus et éprouvés au niveau international, comme par ex. ISO 27001, NIST CSF ou le Framework de protection de base du BSI en Allemagne. Ceux-ci peuvent s'appliquer à toutes les organisations - y compris les organisations à tous les niveaux du système éducatif suisse.

Les questions et les demandes en matière de systèmes d'information et de sécurité de l'information aux niveaux primaire et secondaire sont tout à fait comparables. Par conséquent, et étant donné le nombre limité de ressources et de spécialistes, nous plaidons pour le développement de ce que l'on appelle «bonnes pratiques» pour la gestion de la sécurité de l'information et l'architecture de sécurité IT pour les catégories d'organisations. De telles «bonnes pratiques» doivent être établies de manière modulaire afin de pouvoir être facilement adaptées aux différentes conditions-cadre. L'utilisation d'un modèle de référence commun d'architecture de sécurité  IT permet d'identifier les composants correspondants et de développer des solutions standardisées. En raison de la complexité croissante des questions de sécurité IT et de sécurité de l'information, il est impensable et inutile que chaque école «invente» ses propres solutions, les élabore et les exploite elle-même.

Les standards «de facto» des entreprises internationales sont à ce propos clairement un problème. Des solutions acceptables pour les organisations suisses de l'éducation sont uniquement négociables  si les intérêts peuvent être mis en commun et si les négociations peuvent être menées au niveau central. Cela permet d'élaborer des compromis viables, comme le montrent les négociations menées avec succès dans le domaine de la protection des données.

Vous recommandez d'examiner une collaboration dans toute la Suisse en matière de sécurité informatique pour les niveaux primaires et secondaires. Entendez-vous ainsi une solution commune à tous les cantons et à tous les niveaux, du lac Léman au lac de Constance?

Non, nous excluons explicitement une solution centrale. Ce n'est pas faisable dans notre système d'éducation diversifié et fédéraliste, où les responsabilités sont réparties à tous les niveaux.

À cela s'ajoutent les différents systèmes scolaires avec diverses structures organisationnelles et divers niveaux de numérisation, ainsi que différents paysages de systèmes informatiques. Néanmoins, nous nous attendons à ce que des exigences comparables en matière de sécurité de l'information et de sécurité IT se retrouvent dans de nombreux domaines de formation de même niveau. Il en résulte un potentiel élevé de synergie.

À côté du travail avec des approches en «bonnes pratiques» mentionné dans la réponse précédente, il faudra une collaboration entre les écoles dans des domaines  hautement spécialisés. C'est le cas par ex. avec FIDES à educa. Les hautes écoles l’appliquent également avec succès avec SWITCH. Une Computer Emergency Response Team commune a été mise sur pied et les, ainsi nommés, «Managed Security Services» (MSS) sont de plus en plus développés. Un bon exemple de MSS réussi est le SWITCH DNS Firewall, qui protège déjà plus de 80% des utilisateurs dans le domaine des hautes écoles. 

Qu'attendez-vous du projet FIDES à l'interface avec SWITCH, notamment en ce qui concerne les hautes écoles pédagogiques? 

Les hautes écoles pédagogiques sont de véritables «travailleurs frontaliers » entre le monde des écoles et celui des universités. Le projet FIDES peut sensiblement contribuer à la dissolution d’une partie de cette frontière. Pour y parvenir, le projet FIDES ne doit pas se concentrer uniquement sur la vision interne afin d'optimiser les processus entre les écoles. Il est important que FIDES identifie activement les cas d'utilisation transfrontalière dès leur phase de conception et cherche à collaborer avec les parties intéressées en dehors de sa propre communauté.Qu'il s'agisse des standards utilisés ailleurs, du choix des protocoles ou des profils, ou des outils employés il existe de nombreuses décisions en matière de design pour améliorer l’adéquation de la Fédération pour de tels cas d’application. 

SWITCH se réjouit de poursuivre sa collaboration actuelle avec educa.ch dans le cadre du projet FIDES.

Nous nous réjouissons de vous tenir au courant.
Inscrivez-vous à la liste FIDES:
The subscriber's email address.
DE
FR