incorporatingLearning Forum

23-24 Janvier 2018, Espace Champerret, Paris

 

english

Portes Ouvertes

Cloud computing : une solution sûre pour l’e-learning ?

par Sally Ann Moore

Si le cloud est un incontestable vecteur de croissance et d’engagement pour l’apprentissage numérique, la sécurité reste une limite importante à son adoption par le secteur du e-learning.

Certains fournisseurs de plateformes LMS ne proposent plus que des solutions cloud, confiant dans l’avènement d’un modèle unique. Mais où en sont les réflexions des consommateurs et des fournisseurs de solutions e-learning,  qu’en disent spécialistes de la cybersécurité ? Le e-learning affiche-t-il des spécificités ? Tour d’horizon des enjeux et des recommandations pour faire de toute transition cloud, un succès…

Neil Lasher (http://neillasher.com/), expert judiciaire en cybersécurité, le confirme : le cloud représente un problème global de sécurité. Les cas d’intrusion ou de corruptions se multiplient, en témoigne cette chaîne de pharmacies des États-Unis qui a perdu 40 millions de numéros de carte bancaire avec les noms et les adresses de leurs détenteurs (ce qui a engendré un coût d’un milliard de dollars), malgré l’utilisation de serveurs totalement sécurisés. Les fournisseurs avaient accès aux systèmes de conception technique protégés par des mots de passe. Cependant, leurs propres serveurs n’étaient pas sécurisés de façon optimale. Les hackers ont donc été en mesure d’entrer dans le système des points de vente et de dérober cette immense quantité de données client.

Une mésaventure similaire peut évidemment arriver à tous ceux dont le système d’e-learning est hébergé dans le cloud, avec un fournisseur qui peut y accéder à des fins d’assistance et de dépannage. Pour une entreprise utilisatrice à la fois des plateformes cloud hors site et des plateformes internes sur site, le délai d’assistance et la réactivité sont évidemment réduits lorsque l’équipe technique peut accéder au système dans le cloud et résoudre rapidement et facilement le problème.

Les clients plus importants et le secteur public restent extrêmement prudents concernant leurs données et les accès externes. Pour le troubleshooting, certains choisissent d’envoyer uniquement des captures d’écran aux spécialistes lorsqu’ils ont besoin d’assistance. Il s’agit d’un procédé lent et fastidieux qui ne favorise pas la réactivité.

Quelle méthode est-il donc préférable de choisir pour les systèmes d’e-learning ?

Pour décider en connaissance de cause, il s’agit dans un premier temps de se poser les questions suivantes :

  • Quelles sont les données critiques stockées dans le système d’e-learning, dont le vol ou la corruption peut être préjudiciables ?
  • Quelles seraient les conséquences d’un hack de notre système d’e-learning – sur l’image, sur les utilisateurs, sur le fonctionnement général du système d’information, de l’entreprise ?

Dans la grande majorité des cas, le contenu de formation n’est pas spécialement confidentiel (ex. : formation sur la conformité) ou sensible, sauf s’il concerne un savoir-faire propriétaire susceptible d’être utilisé par la concurrence.  Par ailleurs, le stockage d’informations personnelles est soumis à des réglementations strictes au sein de l’Union européenne, notamment avec la nouvelle règlementation de protection des données qui entrera en vigueur en 2018, et les systèmes de gestion de l’apprentissage sont conçus pour respecter la législation sur les données personnelles. Il existe donc déjà un solide garde-fou.

Tous les cours s’appuyant sur la norme SCORM utilisent un script Java unique pour le contenu. Il est n’est pas difficile pour les hackers de s’introduire sur les serveurs, de remplacer le fichier .js et d’infiltrer l’environnement de données des utilisateurs finaux. Le problème concerne à la fois les installations sur site et cloud, même lorsqu’elles ont passé un test d’intrusion.

Dans un second temps se posent les questions suivantes :

  • Dans quelle mesure les « tunnels » entre les systèmes internes et le cloud sont-ils sécurisés ?
  • Quels sont les systèmes de sécurité actuellement installés au niveau du stockage des données ?  Les fournisseurs de solutions cloud doivent se conformer à la norme PCI et proposer des emplacements de serveurs sécurisés.
Que demander à un fournisseur de Cloud ?

Le sujet de la sécurité des données est rarement évoqué directement, il ne survient dans les conversations avec les fournisseurs de plateformes LMS que si vous leur posez directement la question. Voici certains points à aborder avant de prendre une décision.

  • Quels indicateurs ont-ils mis en place en cas d’infiltration du système d’e-learning ? Les informations sont-elles surveillées au point de terminaison ?
  • Peuvent-ils mettre en œuvre une authentification à deux facteurs pour les utilisateurs finaux à distance ?
  • Le contrat de niveau de service précise-t-il l’emplacement de stockage des données ? Où se trouvent les serveurs ? Il est fortement recommandé qu’ils soient situés au sein de l’Union européenne, et non aux États-Unis ou en Asie.
  • Quels tests de sécurité effectuent-ils ? Selon quelles certifications ? C’est comme si vous demandiez une alarme antivol, car si un voleur cherche à cambrioler une maison, il choisira celle qui n’est pas équipée d’une alarme.


Il s’avère donc que dans de nombreuses situations, si votre système d’e-learning comporte des données très sensibles, l’utilisation du cloud représente un danger important. Vous devez avoir une idée précise et mesurable des risques qui pèsent sur vos données d’e-learning.  En d’autres termes, ne misez pas sur un cheval que vous savez gravement blessé. Si vos données ne sont pas sensibles, les solutions d’e-learning SaaS cloud sont synonymes de grande commodité, d’assistance technique réactive et d’accès facile pour les utilisateurs finaux à distance, accessible à tout temps et en tout lieu. Une réelle source d’économie pour l’entreprise, dont le profit ne s’obtient qu’au prix d’un examen méticuleux.


 


 

Sponsors