Avec l'utilisation croissante des ressources en ligne (par ex. l'enseignement à distance), la sécurité de l'information et la protection des données gagnent en importance. Les utilisatrices et utilisateurs doivent pouvoir compter sur le fait que leurs données qu'ils transmettent aux services et leurs autres interactions ne peuvent être observées ou manipulées par des tiers non autorisés pendant leur transit. Par exemple, les progrès d'apprentissage, l'attribution des notes et les autres commentaires d'évaluation (par ex., les références aux difficultés d'apprentissage) sont généralement tenus secrets – cela ne change pas à cause du support d'enseignement: on a les mêmes droits, également dans l'environnement numérique. Cela s'applique particulièrement à l'utilisation des nouvelles technologies dans le domaine éducatif (par ex., l'internet des objets), qui est stimulée par les récents développements des infrastructures (par ex., 5G, IPv6) – le besoin de transactions sécurisées devrait ainsi encore augmenter de manière significative.

Les techniques de cryptage

Pour garantir la confiance dans leurs services, les fournisseurs de services utilisent des techniques de cryptage. La cryptographie, qui permet la communication entre les parties en présence d'opposants, agit ainsi comme une serrure pour protéger l'échange de données avec les autres. Grâce à l'utilisation d'opérations mathématiques complexes, les messages sont convertis en un trafic de données incompréhensible, envoyé sur les réseaux publics avant de pouvoir être à nouveau décrypté par le destinataire. Pour actionner de telles serrures, le service doit être en possession d'une clé spéciale et l'attribution de cette clé aux entreprises, autorités ou institutions éducatives doit être garantie afin que nous puissions savoir en toute sécurité avec qui nous communiquons. En outre, cela exige que les services conservent aussi en sécurité les clés qui protègent leurs canaux de communication afin que celles-ci ne tombent pas entre les mains d'autres personnes qui pourraient sinon se faire passer pour elles.

La cryptographie seule ne crée pas la confiance

Secret ne signifie toutefois pas sécurité, loin s'en faut, et c'est là que le bât blesse: ce n'est pas la cryptographie qui crée la confiance – la cryptographie peut seulement la mettre en œuvre et l'appliquer techniquement. La confiance est créée uniquement par les autorités et les prestataires de services qui confirment l'identité et la légitimité des services. Cette confiance peut être certifiée et maintenue par la délivrance et la protection soigneuse de matériel clé. Toutefois, si l'autorité qui a donné la confiance devait être mise en cause, la cryptographie ne peut rien faire pour sauver la situation.

Le domaine de la gestion et de la certification des clés est régi par de nombreuses normes et standards internationaux et fait partie intégrante de chaque système de sécurité de l'information et de protection des données. De tels standards se trouvent, par exemple, dans la Fédération des services d'identité de l'espace suisse de formation (Edulog) et, en partie, auprès des fournisseurs d'identité associés. Ce système sera encore développé dans les prochaines années afin que les infrastructures nécessaires à l'échange sécurisé de données soient, de manière générale, à disposition de l'espace suisse de formation. De telles mesures devraient nécessiter des mesures réglementaires et organisationnelles supplémentaires pour accroître la confiance dans le système éducatif suisse. En d'autres termes: un effort coordonné en ce qui concerne les mesures techniques et organisationnelles est nécessaire pour maintenir une infrastructure de confiance.

Le côté obscur du cryptage

Le cryptage a également un côté obscur: lorsque des données sensibles sont stockées sur un disque dur, il n'est pas inhabituel de les crypter «en mode veille», de sorte que lors de l'élaboration de sauvegarde ou d'autres copies, celles-ci sont également protégées. Si les données doivent être supprimées, il est généralement plus facile de supprimer la clé de cryptage (ce qu'on appelle le «crypto-déchiquetage») que d'essayer de trouver et de supprimer toutes les données et leurs copies. Pourtant, cette approche a été exploitée, ces dernières années, par des pirates informatiques: ils essaient d'installer des logiciels malveillants (appelés «Ransomware») sur les ordinateurs dans le but de crypter des données et de les rendre ainsi inutilisables. Ils menacent d'effacer la clé correspondante si la victime ne veut pas payer de rançon. C'est une tendance croissante, qu'on peut observer dans le monde entier.

Alors que la cryptographie et les matériaux clés qui lui sont associés proposent des propriétés très utiles pour la sécurisation des transactions (par ex., protection, intégrité, non-répudiation), on doit reconnaître que la confiance est fondamentalement une facette des relations sociales et économiques qui existe en dehors de la technologie et doit être ancrée et préservée dans les systèmes de chaque société moderne.

 

 

 

Articles associés

Avec la diffusion accrue des systèmes d'IA dans le système de formation, de nombreuses questions juridiques surgissent. Les réponses à certaines des questions les plus urgentes sont fournies par un nouveau rapport que nous avons commandé.

L'accord existant avec Microsoft (auparavant nommé «contrat-cadre») a été prolongé jusqu'à fin juillet 2025. Un avis de droit externe constate que les accords-cadres ne constituent pas une base valable pour le droit des marchés publics.

Les écoles traitent, enregistrent et gèrent de nombreuses données (personnelles) sensibles. Notre nouveau dossier «École conforme à la protection des données» aide les écoles à gérer les données personnelles à l'aide d'outils pratiques. La confiance dans les écoles est ainsi renforcée et la protection des données améliorée. 

Dans le système éducatif fédéral, il existe différentes responsabilités en matière de protection des données pour les moyens d'enseignement numériques et les applications d'apprentissage. Cela entraîne des incertitudes, comme le montre le projet d'utilisation des données dans le canton d'Argovie. Des responsabilités claires et une sensibilisation sont nécessaires.