Blog we move

Ce concept renvoie à une ambition de l’État : faire en sorte que les données ne soient pas hébergées aux États-Unis, et donc soumises à la loi américaine du Patriot Act. Or cette ambition se heurte au décalage entre les intentions et la réalité de terrain. L’Éducation nationale, qui représente 50 % de la fonction publique d’État, s’appuie sur un ministère extrêmement décentralisé ; de plus, la loi Peillon a mis la responsabilité des infrastructures du côté des collectivités territoriales. Or certaines d’entre elles sont séduites par les solutions américaines, qui sont très efficaces.

En tant que DSI, notre rôle est de lutter contre ces tendances, qui prennent plusieurs formes : des enseignants qui créent des comptes Google pour leurs élèves, sans le consentement des familles ; des souscriptions à Microsoft Office par des établissements scolaires ; ou des collectivités qui se dotent de solutions non compatibles avec le RGPD – dans mon précédent poste, j’ai notamment eu l’occasion de demander à mon rectorat de prévenir celles-ci des risques liés au déploiement de ces solutions. Nous devons poursuivre la sensibilisation de la communauté éducative sur les enjeux de cybersécurité, qui peuvent entrer en contradiction avec le respect de la liberté pédagogique.

La stratégie numérique pour l’éducation 2023-2027 ne doit pas brider les enseignants. C’est un équilibre très complexe à trouver. L’État est attendu pour garantir la protection des mineurs contre le harcèlement en ligne ou la radicalisation : autant de dangers qui passent par les outils numériques. Le contrôle des tablettes reste un vrai enjeu. C’est pourquoi nous collaborons avec différentes sociétés, dont idruide, pour permettre un usage plus conforme en masquant les identités des utilisateurs.

Notre principal objectif est de ne mettre en production que des applications conformes au RGPD, assurant la protection des données. Du côté de la sécurité des systèmes d’information, nous devons vérifier que les développements assurés par les académies ne comportent pas de failles.

Les données de l’Éducation nationale, sur les grands systèmes d’information (RH, scolarité, messagerie), ne sont pas confiées aux hébergeurs du cloud. Par exemple, en Normandie, le data center est mutualisé avec la Région et les centres de recherche universitaires ; le président du Conseil régional souhaite construire un deuxième CDR ² pour intégrer les CHU et limiter ainsi leur vulnérabilité aux cyberattaques.

D’après une étude internationale, un tiers des attaques viserait à récupérer les données relatives aux élèves. Ce constat appelle des mesures concrètes, comme l’acquisition de solutions d’audit du code des applications développées par les académies, afin de s’assurer de leur haut niveau de sécurité. La crise de Covid-19 a entraîné une baisse de vigilance, avec le recours massif à des solutions digitales qui n’entrent pas dans le cadre de la souveraineté numérique. Face aux produits des GAFAM, faciles à déployer, ergonomiques, et donc appréciés, les DSI doivent poursuivre la sensibilisation des utilisateurs. Dans le cadre de mes fonctions, j’ai notamment contribué à la réalisation d’une bande dessinée rappelant les règles essentielles de sécurité – comme la fiabilité du mot de passe – et à l’organisation de séminaires dédiés aux chefs d’établissement.

C’est effectivement le défi quotidien des DSI ! L’académie de Versailles a été l’une des premières à mettre en place Nextcloud, à la fois logiciel libre de site d’hébergement de fichiers et plateforme de collaboration. Ces solutions nécessitent une maintenance régulière, le libre n’est pas toujours sécurisé. Il fait partie des pistes à envisager, mais n’est pas toujours ergonomique, et implique une mise en œuvre plus complexe. Un autre facteur est à prendre en compte : le marché de l’emploi dans le numérique est en forte tension, ce qui renforce la tentation d’acquérir des solutions clés en main ; or leur coût peut rapidement s’envoler, et par ailleurs le principe de réversibilité n’est pas simple à concrétiser.

Aujourd’hui nous sommes à un tournant : les solutions de cloud souverain ont du mal à voir le jour, pour l’instant l’État a les moyens d’héberger ses propres données dans de grands systèmes d’information, mais il reste difficile de résister à l’offre des éditeurs américains. Des solutions associées à un tiers de confiance, qui masquerait l’identité des utilisateurs, seraient davantage en phase avec le cadre du RGPD. La mise en œuvre de ce règlement se poursuit, mais les marges de progrès restent encore importantes.

Je répondrai par une autre question : a-t-on les moyens de notre politique ? Sachant que le budget des GAFAM est supérieur à ceux de certains États, on voit difficilement comment aller vers des solutions alternatives, de niveau comparable, avec des investissements bien moindres. L’ensemble des acteurs a conscience de notre dépendance et des risques associés, mais le défi est énorme. La réponse passe donc, avant tout, par la sensibilisation en continu des utilisateurs. Le recours au numérique a pour ambition d’améliorer l’éducation des élèves ; communiquer uniquement sur ce qui est permis ou à éviter ne suffit pas, il faut aussi en démontrer les bénéfices.

Il est important, pour un DSI offrant des services numériques, d’avoir pour première préoccupation l’accompagnement des utilisateurs : c’est-à-dire être à leur écoute et créer les conditions de la confiance, pour faire en sorte que les messages sur l’« hygiène numérique » relèvent d’une forme d’acculturation des enseignants. Or souvent ces derniers manifestent une grande défiance envers leur institution et ses représentants.

Un deuxième axe de travail consiste à aller vers des solutions intermédiaires qui, sans être strictement conformes, protègent et rassurent – en attendant que l’État soit en capacité de proposer des solutions 100 % compatibles avec le RGPD et les règles de la CNIL ³. Pour rattraper le retard pris sur les géants du numérique, il faut à la fois des convictions fortes et un engagement concret. La sécurité a aujourd’hui des coûts prohibitifs, limitant les possibilités d’investissement. Pour contrecarrer ce problème, la sensibilisation des décideurs – dont les recteurs d’académie – reste indispensable. Il ne faut pas opposer sécurité et liberté : la première est une condition de la seconde.