Un numérique responsable et souverain
#EtatsGénérauxNumérique
Pour garantir la sécurité des données, je propose la constitution d'un référentiel de logiciels semblable à ce qui se fait déjà :
* SILL (http://references.modernisation.gouv.fr/socle-logiciels-libres)
* RGI (http://references.modernisation.gouv.fr/interoperabilite)
* Visio (https://www.acteurspublics.fr/upload/media/default/0001/28/091da71be0010bb4d8bd37ffccaf3c0bb767c618.pdf)
Ce nouveau référentiel aurait vocation à recenser les outils disponibles sur le marché (libre ou commerciaux) dont l'usage est spécifique à et recommandé pour l'enseignement.
Les conditions permettant de figurer dans ce référentiel devraient être définies en concertation avec l'ANSSI et la CNIL afin de garantir la souveraineté des données, c'est-à-dire la sécurité du logiciel suite à un audit (plus ou moins approfondi) et une gestion raisonnable des données personnelles.
A titre indicatif, un des critères pourrait être l'interopérabilité (pour ne pas être dépendant d'une solution commerciale particulière) ou la portabilité des données (un élève pouvant changer d'établissement, ses données doivent changer de même et être exploitables par les systèmes d'information des deux établissements).
Signaler un contenu inapproprié
Ce contenu est-il inapproprié ?
11 commentaires
Conversation avec Prat
Bonne idée!
Si les données sont stockées dans une base de données relationnelle au standard SQL elle est accessible par tous avec n'importe quel logiciel utilisant ce standard. Les données peuvent être mises à jour en temps réel ou en temps différé. C'est SQL qu'il faut rendre obligatoire pour les logiciels qui sockent des données.
Non. L'approche que vous suggérez souffre de plusieurs faiblesses.
1) Il faut proposer un catalogue d'alternatives, pas de contraintes. SQL n'est qu'une solution parmi d'autres (e.g. fichier plat, bases non relationnelles) et le choix d'une solution ne revient pas à de lointains décideurs, pour aussi compétents qu'ils soient. Seuls les personnes sur le terrain (i.e. les DSI/RSSI/DPO des écoles) seront à même de prendre la bonne décision.
2) De plus, une base SQL dépend fortement du schéma des données, lequel est dépendant du (des) développeur(s) qui maintiennent la base. Ce schéma peut donc fortement varier d'une instance SQL à une autre, brisant ainsi l'interopérabilité.
3) Enfin, SQL n'est qu'une micro-solution et pas un logiciel complet accessible à des utilisateurs finaux tels que des professeurs.
Conversation avec pecidem
J'irai même un peu beaucoup plus loin :
- Stockage des données en France
- Cryptage franco-français (on a les compétents pour cela pour une fois ; servons nous-en!)
- Réseaux physiques (câbles, fibre, 5G) idem
- Contenus idem ; au moins sans aucune référence légale ou comportementale qui ne soit pas intégralement compatible avec la LOI française !
Et pour les futurs détracteurs, non, je ne porte aucune chemise brune ! Mais j'ai remarqué que ce sont des barrières utilisées par les pays qui restent à l'abri des influences qu'ils veulent éviter.
En outre, ces schémas s'appliquent bien à la Défense, ou devraient s'y appliquer (car tout ceci est top secret), alors pourquoi pas pour l'Ecole, laquelle me semble aussi "stratégique". Maintenant, imaginez qu'1 jour, notre réseau tombe parce que notre Président n'aura pas signé 1 déclaration d'1 G7... Demandez-vous combien de temps ça durera ? Quels contenus seront accessibles si nous avons perdu la maîtrise
Le stockage des données n'a que peu d'importance devant leur sécurité. Si les données sont correctement chiffrées, elles peuvent tout à fait être hébergées sur des infrastructures non françaises. C'est la raison pour laquelle je recommande à la fois l'aval de l'ANSSI (pour la qualité des mesures de protection employées par les logiciels du catalogue) et celui de la CNIL (pour une gestion proportionnée du risque qui pèse sur les données personnelles des élèves).
L'école est effectivement une institution sensible à bien des égards mais sa mission première est l'enseignement et l'éducation, ce qui est déjà plus que conséquent. Lui permettre de réaliser sa mission dans des conditions suffisantes de sécurité (numérique), sans lui demander de faire plus (éducation+sécurité) avec moins (plus de personnels informatique, c'est moins d'enseignants), c'est l'objet de ma proposition.
Le "chiffrement français" n'a aucune pertinence scientifique et n'a donc pas sa place ici.
Désolé, je persiste et signe !
stockage des données: le jour où on découvrira que nos données d'élèves seront sur des structures offshore, apatrides mais sous droit LéGoog, ne pensez-vous pas qu'on sera dans la m... ? Si les mots "guerre technologique" ne résonne nulle part dans votre bulle...
école institution sensible : ok mais déchargez-la svp de l'éducation ; ça, ce sont les parents ! Et incluez plutôt la formation tout au long de la vie (un beau challenge, non?) et la RESPONSABILITE, dont la sécurité des données. Loin de moi l'idée de lui en demander plus, vu ce que j'y sens de passion mais de dispersion, de créativité mais d'épuisement, etc... Car moins d'enseignants, même si ce n'est pas politiquement correct, c'est mieux d'enseignants, des enseignants plus efficaces, dont les présentiels seront souhaités et non subis, qui seront débarrassés d'une partie répétitive des apprentissages, pouvant alterner pédagogies d'enfant/adulte
et cf. 2e rép pour "chiffrement"
Comme je l'ai expliqué précédemment, l'hébergement de données chiffrées par des moyens appropriés n'a que peu d'importance. Si une société souhaite conserver des montagnes inutiles de données chiffrées, grand bien lui en fasse.
Si les parents sont chargés de l'éducation de l'enfant pour l'aider à devenir une personne, l'école va éduquer l'enfant dans la perspective de sa citoyenneté. Par ailleurs, je n'apprécie pas le terme "formation" qui renvoie à une simple tâche (e.g. tracer une lettre). La mission de l'école est beaucoup plus large à mon sens. Je vous renvoie au site suivant pour approfondir le sujet, bien mieux que je ne saurais le faire : https://bit.ly/33KTFPQ
L'objet de ma proposition vise justement à décharger l'école d'une partie de ses responsabilités vis-à-vis des données pour laquelle elle n'a pas les compétences ; ceci au profit de sa mission originale pour laquelle les moyens font défaut. Je gage que la qualité des enseignements n'en sera que meilleure.
je suis d'accord avec Evariste : le seul fait qu'une société héberge des données en France n'apporte aucune garantie complèmentaire vis à vis des reglementations en vigueur ni de la sécurité. Il existe des normes décrivant ce qui est au niveau et donc ce qui n'est pas au niveau. Je vous invite à consulter les normes SOC et ISO 270xx. C'est ce qui sert de base aux certifications pour l'hébergement des données de santé (données sensibles) et pour SecNumCloud de l'ANSSI. La sécurité et le chiffrement priment vraiment sur la localisation.
2e rép pour "chiffrement".
Merci de prendre sur vous de fixer ce qui est où n'est pas à sa place ici. Je prendrai pour une erreur d'hypoglycémie (11h31) !
Ne vous en déplaise, le "chiffrement français" a une pertinence économique : comme je l'ai dit, nous avons des compétences - et c'est devenu rare! - et comme simple citoyen, je VEUX que ce soient des crypteurs français qui se fassent payer des millions par l'EN et l'entreprise France ET les MAGAF.
Peut-être serons-nous d'accord sur un point : l'EN a grand besoin de cultures scientifique ET économique ?
Le "chiffrement" peut être compris de deux façons :
1) L'algorithme mathématique élaboré par des cryptographes. Cet algorithme est nécessairement public, généralement revu et analysé par de nombreux scientifiques reconnus. Cet algorithme n'est soumis à aucune restriction légale (nationale ou autre) : c'est de la connaissance publique librement partageable à travers le monde.
Si vous faites référence à la nationalité des concepteurs, cela n'a pas plus d'importance. Tant que l'algorithme est publique, il peut être audité et analysé par des spécialistes pour en valider la qualité. Pour peu que les dits spécialistes soient français, l'algorithme peut être repris et utilisé au bénéfice de leur pays sans ingérence ni menace extérieure. Cela reste vrai pour toutes les nationalités, d'où l'absence de pertinence.
2) La mise en œuvre de l'algorithme au sein d'un logiciel. Ce logiciel, contrairement à l'algorithme, peut effectivement se trouver soumis à des législation non-françaises.
Cependant, dans la mesure où, comme précédemment, ce logiciel est analysé, étudié et validé par des experts français (même si leur nationalité n'est pas pertinente), le fait qu'il soit français, allemand ou chinois n'a aucune espèce d'importance : il remplit la fonction demandée et son innocuité est garantie par l'audit mené.
Dans les deux cas, la nationalité du chiffrement n'a aucun intérêt scientifique. Il peut cependant avoir un sens économique comme vous le suggérez (conserver les compétences, maintenir une autonomie, etc.) mais ce n'est pas l'objet de ce site qui a vocation à favoriser des échanges autour des thèmes conjoints de l'éducation et du numérique. En conséquence, cette digression est aussi intéressante qu'inconvenante ; c'est ce que j'entendais par "n'a pas sa place ici".
Quand un partenaire de chat commence à mettre dans vos mots, donc ceux que ses lecteurs vous attribuerons, des faits et des idées que vous n'avez pas exprimés, les participants à ce site n'y gagnent plus rien et les plateaux de TPMP sont là pour remplir cette fonction sociale
Quand commencent à tomber des contre-vérités évidentes telles que "Cet algorithme est nécessairement public...", alors il est temps de quitter.
Il est vrai qu'Evariste Galois est parti bien tôt pour son époque !
Chargement des commentaires ...