Sécurité et confidentialité sur Moodle : Ce que vous devez savoir
En tant que système de gestion de l’apprentissage établi et largement adopté dans les secteurs de l’éducation et de l’entreprise, Moodle dispose d’un modèle de sécurité mature qui protège les informations les plus précieuses de ses utilisateurs. Cependant, comme toute plateforme logicielle complexe, elle doit être correctement configurée pour s’assurer que votre personnel et vos étudiants sont protégés contre les cyber-menaces qui peuvent avoir un impact sur l’intégrité de vos cours et sur les données personnelles (ou les irenseignements identificatoires personnels (RIP) de toute personne utilisant le système.
Comprendre la sécurité de l’apprentissage en ligne
L’apprentissage en ligne comporte de nombreuses considérations et menaces, en particulier lorsque la plateforme recueille et stocke des informations personnelles sur les étudiants, ainsi que des notes de cours, des conférences et des notes pour des qualifications académiques ou même professionnelles.
Lors de la conception de votre système de gestion de l’apprentissage, la sécurité doit être une priorité. Les enjeux sont considérables et vous ne voulez pas mettre vos systèmes et les informations qu’ils contiennent en danger en les exposant à des cybercriminels ou à des initiés malveillants, ce qui pourrait entraîner une violation des données.
L’impact d’une violation de données peut avoir un impact physique sur la continuité de votre activité. Cependant, elle peut également nuire à votre réputation et avoir un impact sur les inscriptions des étudiants. Il faut également tenir compte des lois sur la protection de la vie privée, au cas où une violation inclurait des informations personnelles de vos étudiants ou de vos employés. Ce type d’infraction est passible d’une lourde amende, ainsi que d’une humiliation publique et d’un examen minutieux de votre service en ligne. Il est donc essentiel de prêter attention à la sécurité de l’information de votre système de gestion de contenu dès que possible.
Démarrer avec la sécurité de Moodle
Moodle est une application web complexe avec de nombreuses fonctionnalités pour faire fonctionner la plateforme : créer et gérer des cours, gérer vos utilisateurs de l’inscription à la retraite, ainsi qu’une vaste gamme de modules et de plugins supplémentaires pour répondre à presque tous les besoins de l’entreprise.
Configuration
Lorsque vous configurez votre site, assurez-vous de suivre les recommandations de sécurité de Moodle. Vous devez notamment revoir les paramètres de sécurité du site (Site administration > Security), qui comprennent les paramètres au niveau du site et la sécurité HTTP. Cependant, gardez à l’esprit qu’il n’y a pas de solution miracle en matière de sécurité de l’information. Moodle est une solution complexe. Vous pouvez vous attendre à rencontrer des problèmes de sécurité.
Une fois votre solution déployée, veillez à surveiller, entretenir et mettre à jour en permanence votre installation de Moodle et de ses plugins afin de vous assurer que les bogues de sécurité (vulnérabilités) sont corrigés dès que possible.
Infrastructure de l’application Moodle
Étant donné que de nombreuses instances de Moodle LMS sont tournées vers l’Internet, il est essentiel que votre Moodle soit géré selon les normes les plus strictes, comme n’importe quelle autre application web d’entreprise.
La maintenance de l’infrastructure de votre application Moodle implique de s’assurer que tous vos points d’accès au web et à l’API sont renforcés, c’est-à-dire de vérifier que la configuration et les paramètres de votre système aident à réduire la vulnérabilité informatique et la possibilité d’être compromis. Bien qu’il y ait une grande quantité d’informations en ligne pour vous aider à mettre en place et à déployer Moodle, elles n’égalent pas les connaissances, l’expérience et les garanties commerciales fournies par un partenaire certifié Moodle. En fonction de la taille, de la charge de travail et des contraintes de temps de votre équipe informatique, l’exploration d’un service entièrement géré peut souvent être l’option la plus efficace et la plus rentable pour votre entreprise.
Sauvegarde et récupération
L’un des conseils de sécurité les plus courants que nous donnons à nos clients est de traiter Moodle comme n’importe quelle autre plateforme de service basée sur le cloud. Pour protéger vos données, par exemple, vous avez besoin d’une solution pour sauvegarder et récupérer vos informations les plus importantes en cas de corruption ou de panne matérielle. Consultez la recommandation sur la sauvegarde du site Moodle sur Moodle Docs. Ce type de processus de sauvegarde et de récupération se prête également à la protection de votre sécurité globale, puisque les données cryptées par une attaque de ransomware peuvent également être récupérées à l’aide d’une bonne stratégie de récupération.
Rapport sur la sécurité de Moodle
Au-delà des conseils évidents et simples d’administration des systèmes, vous pouvez utiliser le rapport d’aperçu de la sécurité de Moodle pour identifier toute mauvaise configuration de votre plateforme qui pose des risques de sécurité pour vos données. Tout ce qui est signalé par cet outil Moodle doit être examiné par vos administrateurs système ou l’équipe de sécurité (ou le fournisseur de services) et des mesures doivent être prises pour remédier au risque.
Gestion des identités et des accès
Une autre considération importante pour toute installation de Moodle est la façon dont vous verrouillez l’accès aux utilisateurs. Vous pouvez voir les rôles standard et les accès qu’ils ont dans la documentation des rôles standard de Moodle. Idéalement, vous ne devriez donner accès qu’à ce qui est nécessaire pour effectuer un travail ou participer à un cours. Si un apprenant n’a pas besoin de télécharger des fichiers, par exemple, cette fonctionnalité devrait être supprimée.
Les rôles les plus privilégiés, tels que les comptes enseignants, doivent être réservés à vos utilisateurs les plus fiables. Les comptes d’enseignants disposent de privilèges système plus étendus que la plupart des autres utilisateurs. Par conséquent, il est plus facile pour un compte d’enseignant compromis d’être utilisé pour organiser une attaque.
Des incidents se produisent – soyez prêts
En matière de cybersécurité, il n’existe pas de solution parfaite. Vous devez toujours être prêt à faire face à un cyberincident et disposer de plans d’intervention documentés. Ces plans doivent inclure les procédures suivies par vos équipes pour identifier la menace, contenir l’épidémie et se remettre de la violation.
Chaque étape de vos plans doit être bien documentée et répétée avec l’équipe. Ce n’est pas quelque chose que toutes les équipes informatiques ont les compétences, les connaissances ou même le temps de mettre en place, mais c’est quelque chose que l’équipe de Catalyst IT peut vous aider à planifier et à déployer.
Éléments à inclure
Dans sa forme la plus simple, votre préparation doit comprendre les éléments suivants :
- Documentez votre plan d’intervention en cas d’incident
- Documentez vos procédures d’investigation et de confinement
- Documentez vos procédures de récupération
- Disposer d’une stratégie de sauvegarde et de récupération et s’assurer d’avoir des procédures de récupération reposées.
- Organisez des exercices de simulation de gestion des incidents afin d’identifier les problèmes liés à vos processus.
- Utiliser la technologie, comme les détecteurs de rootkits et les pare-feu, pour identifier les menaces.
Considérations relatives à la vie privée
Si vous fournissez un service d’apprentissage en ligne, vous recueillez et stockez certainement des informations personnelles sur vos étudiants.
Les informations telles que l’adresse personnelle et/ou professionnelle d’une personne, sa date de naissance, ses coordonnées et, bien sûr, les notes associées aux cours qu’elle suit sont toutes considérées comme privées en vertu des lois sur la protection de la vie privée en vigueur dans la plupart des pays. Vous devez vraiment vous assurer que vous faites tout ce qui est en votre pouvoir pour protéger les informations personnelles de vos apprenants contre les cybercriminels.
Vérification de l’âge numérique du consentement
Commencez par vérifier l’âge de consentement numérique. Si vous l’avez activée, tout utilisateur s’inscrivant avec un âge inférieur à l’âge de consentement (spécifique au pays dans lequel il réside) devra être accompagné d’un parent ou d’un tuteur qui contactera votre équipe d’assistance avant que le compte ne puisse être activé.
Nous vous recommandons également de nommer un responsable de la protection de la vie privée au sein de votre équipe d’administration Moodle, afin qu’il puisse répondre aux demandes de divulgation d’informations personnelles des utilisateurs et remplir les obligations requises par les lois sur la protection de la vie privée.
Gestion des RIPs
Un aspect important de toute solution de gestion de la confidentialité est la possibilité de supprimer les IPI de vos systèmes lorsque les données ne sont plus nécessaires.
Moodle peut supprimer les données automatiquement après une date d’expiration, en utilisant une tâche planifiée. Nous vous recommandons de mettre en œuvre cette fonctionnalité, afin de vous assurer que vous ne conservez pas inutilement des données, ce qui augmenterait votre exposition aux risques.
Restez vigilant avec l’aide de Moodle
La dernière chose que nous vous recommandons est de vous tenir au courant des derniers développements de Moodle en matière de sécurité. Vous pouvez le faire en consultant régulièrement la page des annonces de sécurité de Moodle.
Services de soutien pour Moodle
Catalyst est un partenaire certifié Premium Moodle, avec la certification ISO 27001. Nous sommes spécialisés dans la conception et le déploiement de plateformes Moodle hautement sécurisées. En travaillant en étroite collaboration avec nos clients, nous nous assurons qu’ils répondent à toutes les exigences de leurs engagements réglementaires.
Contactez-nous pour bénéficier de notre expérience. Nous pouvons vous aider à développer la cyber-résilience de votre Moodle.
