Comment la pandémie de COVID affectera-t-elle le système éducatif à long terme? Quelles seront les conséquences de l'arrêt Schrems II de la Cour de justice de l'Union européenne sur les services numériques en Suisse? Quelles mesures les écoles doivent-elles observer pour se protéger d'une attaque par ransomware? Toutes ces questions décrivent les incertitudes auxquelles est confronté le système éducatif à l'ère numérique. Mais comment aborder ces questions de manière systématique, efficace et efficiente?

Aujourd'hui, la gestion des risques est devenue une discipline spécialisée que l'on retrouve dans un large éventail de domaines d'activité. Plusieurs normes sont utilisées pour la gestion des risques: de la norme générale ISO/IEC 3100 à des normes très spécifiques liées à la gestion de la sécurité de l'information ou à la protection des données.

Edulog: focus sur la protection des données et la sécurité de l'infrastructure

Étant donné que la gestion des risques doit toujours refléter le contexte dans lequel elle est pratiquée, les activités spécifiques varient selon que les risques sont stratégiques, liés à un projet ou opérationnels. Par exemple, le Secrétariat Edulog recherche régulièrement de nouveaux risques qui pourraient violer la protection des données ou compromettre la sécurité de l'infrastructure.

Le Secrétariat y parvient en consultant de manière proactive les bases de données de sécurité ou en suivant les évolutions dans les domaines de la formation, du droit ou de la technologie. Une fois qu'il a identifié et analysé un risque, il définit des mesures appropriées et les met en œuvre. Souvent, ce processus conduit à la mise en place de nouveaux contrôles. Un contrôle est un moyen d'intégrer les pratiques de gestion des risques dans les processus existants. Un exemple concret d'une telle approche serait de protéger Edulog contre les attaques par ransomware. Pour ce faire, un certain nombre de mesures techniques et organisationnelles sont mises en oeuvre (par exemple, protection contre les logiciels malveillants, y compris des précautions contre l'hameçonnage, des procédures de sauvegarde régulières, la surveillance du trafic réseau, etc.). Ces mesures sont ensuite contrôlées en permanence pour s'assurer qu'elles restent réellement efficaces. Le Secrétariat Edulog traite tous ces risques et leurs contrôles dans un système de gestion de la sécurité de l'information (ISMS), qui est certifié ISO/IEC 27001 et vérifié par des auditeurs externes.

Une opportunité pour le système éducatif

Bien que l'on suppose généralement qu'un risque se rapporte à quelque chose de négatif, il peut parfois arriver que l'incertitude sous-jacente indique également une opportunité pour le système éducatif. Cela peut être le cas lorsqu'un nouveau développement systémique au sein de l'éducation rassemble les cantons et leur permet de partager les meilleures pratiques (par exemple, l'utilisation de solutions de gestion de l'identité) ou de convenir d'améliorations de la qualité (par exemple, le traitement des données). De telles situations nécessitent une analyse appropriée pour déterminer la meilleure façon de générer des synergies. Cela nécessite une communication ouverte avec toutes les parties prenantes.

La gestion des risques est une pratique qui s'étend à toutes les activités de l'agence spécialisée Educa (Secrétariat Edulog) et sert à sensibiliser l'ensemble du personnel à la sécurité de l'information et à la protection des données pendant leur travail, afin de prendre des décisions éclairées et bien informées.