La pandémie et l'apprentissage virtuel ont exposé les établissements d'enseignement à un plus grand risque de conformité. Découvrez comment respecter les exigences de la loi FERPA dans un monde virtuel.
Le Family Educational Rights and Privacy Act (FERPA) est une loi fédérale américaine qui donne aux parents le droit d'accéder aux dossiers scolaires de leurs enfants, le droit de demander des modifications de ces dossiers et le droit d'exercer un certain contrôle sur la divulgation des données à caractère personnel contenues dans les dossiers scolaires. Ces droits sont transférés à l'élève lorsqu'il atteint l'âge de 18 ans ou bien lorsqu'il entre dans un établissement d'enseignement postsecondaire, quel que soit son âge.
Les dossiers des élèves comprennent (sans s'y limiter) le niveau scolaire, les relevés de notes, les listes d'élèves, les horaires de cours des élèves, les informations financières des élèves, les dossiers disciplinaires des élèves et les dossiers médicaux pour les niveaux primaires et secondaires, y compris les données personnelles liées au COVID. En vertu de la loi FERPA, les établissements d'enseignement doivent protéger les données à caractère personnel (DCP) qui figurent dans le dossier de chaque élève.
La loi s'applique à tous les organismes éducatifs et établissements d'enseignement qui reçoivent des fonds dans le cadre d'un programme administré par le Secrétaire à l'éducation. Lorsqu'un organisme ou un établissement enfreint les règles de la FERPA, il risque un retrait complet du soutien financier fédéral. Vous trouverez la loi FERPA dans le titre 20 de l'U.S.C., paragraphe 1232g, et le règlement FERPA dans le titre 34 du CFR, article 99.
Les professeurs, le personnel et les élèves travaillant à distance posent un risque de conformité à la FERPA
Il n'est pas surprenant que la pandémie ait exposé les établissements d'enseignement à un risque de conformité accru. Pourtant, beaucoup d'entre eux ne sont pas bien préparés pour éviter d'enfreindre les lois sur la confidentialité des données, notamment la loi FERPA.
Prenons le cas de l'Université de Californie (UC). Le 24 décembre 2020, le système de transfert de fichiers (FTA) Accellion de l'université a été compromis par une cyberattaque ciblée, ce qui a provoqué une importante violation de données. Selon une FAQ publiée par l'UC, les données à caractère personnel des étudiants qui ont été volées au cours de cet incident comprenaient probablement « des noms complets, des adresses, des numéros de téléphone, des numéros de sécurité sociale, des informations figurant sur les permis de conduire, des informations figurant sur les passeports, des informations financières, dont des codes de banque et des numéros de compte bancaire, des informations sur la santé et la couverture médicale, des informations sur le handicap et des dates de naissance, ainsi que d'autres informations personnelles fournies à l'UC ».
Malheureusement, l'UC a révélé aux étudiants (et à l'ensemble de la communauté de l'UC) que des données à caractère personnel avaient déjà été publiées sur internet le 29 mars 2021.
Outre le vol et la publication des données à caractère personnel des étudiants alors inscrits à l'UC, les candidats ayant sollicité une inscription à l'Université de Californie ont également reçu de mauvaises nouvelles : « Les informations contenues dans les demandes d'inscription adressées à l'Université de Californie pour l'année scolaire 2020-2021 ont été affectées. Ces informations peuvent inclure leur date de naissance, leur identité sexuelle, le niveau de revenu de leur foyer, leur origine ethnique et/ou affiliation tribale et leur première langue, leur orientation sexuelle, leurs résultats (moyenne générale, résultats aux tests), et s'ils ont bénéficié d'un placement en famille d'accueil », indique la FAQ de l'UC.
Pour tenter de prévenir de telles pertes de données à caractère personnel, que ce soit d'étudiants ou d'autres personnes, l'UC a informé la communauté qu'elle avait pris quatre mesures importantes :
Mise hors service de la technologie Accellion
Transition amorcée vers une solution plus sécurisée
Coopération avec le FBI
Engagement d'experts externes en cybersécurité pour approfondir l'enquête
Dans une section ultérieure de la même FAQ, l'UC a également déclaré qu'elle travaillait à l'amélioration de ses contrôles, processus et procédures de sécurité.
Les coûts d’un manque de préparation à la conformité FERPA
Il est certain que la possibilité d'un retrait du financement fédéral aurait dû motiver l'UC et d'autres établissements/organismes à mieux se préparer avant l'attaque de décembre 2020. Si cela ne suffisait pas, considérez les autres coûts auxquels l'UC a dû faire face à la suite de la violation de données. Ces coûts comprennent au minimum les éléments suivants :
Les honoraires de consultants en cybersécurité et en criminalistique très coûteux
Les coûts informatiques liés à la mise hors service et au remplacement d'une ou plusieurs solutions technologiques dans un délai très court
Frais juridiques associés aux éventuelles actions en justice des victimes
Les ressources consacrées au développement rapide de nouveaux contrôles, processus et procédures de sécurité
La perte des frais de scolarité et des droits d'inscription des élèves et des candidats qui ont renoncé à étudier à l'UC
La dégradation à long terme de la réputation de la marque UC
En résumé, votre établissement d'enseignement doit être mieux préparé à assurer la sécurité des données à caractère personnel des élèves/étudiants, d'autant plus que le taux de cyberattaques a explosé ces dernières années.
Respecter la FERPA dans un monde virtuel
Depuis deux décennies, Splashtop fournit des services d'accès à distance, de support à distance et de collaboration à des établissements d'enseignement de premier plan. Nous sommes ainsi particulièrement qualifiés pour vous indiquer les meilleures pratiques en matière de conformité à la FERPA pour la mise en place d'un environnement d'apprentissage virtuel pour les élèves/étudiants, le corps enseignant et le personnel. Suivez ces 4 meilleures pratiques éprouvées pour assurer la sécurité des données à caractère personnel de vos élèves/étudiants.
Meilleure pratique n° 1 : mettez à jour votre politique de cybersécurité pour refléter la réalité du télétravail.
Beaucoup de gens ne sont pas familiers avec les questions de sécurité des données et n'ont pas conscience que leurs actions peuvent conduire à une violation des données. Tous les membres de votre établissement doivent être informés et conscients afin d'éviter l'exposition des informations personnelles des élèves/étudiants.
La meilleure façon d'informer les employés est d'établir et de partager une politique de cybersécurité qui leur indique comment veiller à la sécurité des données des dossiers des élèves/étudiants. La politique de sécurité informatique peut être un document simple. Il doit expliquer les raisons de son existence et fournir les protocoles de sécurité spécifiques (en termes non techniques) que tous les employés doivent suivre. Elle doit également fournir une source de contact (email ou numéro de téléphone) pour les employés qui ont besoin d'une aide supplémentaire pour la comprendre.
Comment Splashtop applique-t-elle cette meilleure pratique ?
Chez Splashtop, par exemple, nous avons développé des « Politiques de sécurité » dans le cadre de nos Mesures techniques et organisationnelles (Technical and Organizational Measures, TOM). Celles-ci décrivent les mesures de sécurité et les contrôles mis en place et appliqués par Splashtop pour protéger et sécuriser les données que nous stockons et traitons.
Nos experts en sécurité informatique revoient et modifient régulièrement nos politiques de sécurité informatique. Les employés de Splashtop suivent chaque année une formation à la sécurité informatique et respectent les politiques de Splashtop en matière d'éthique commerciale, de confidentialité et de sécurité, telles que définies dans notre « Code de conduite ».
Si vous avez une politique, mais que vous ne l'avez pas mise à jour depuis que vous avez autorisé le travail à distance, vous pouvez rapidement créer une politique de travail à distance qui comprend des règles et des conseils pour le travail à distance. Concentrez-vous sur la manière dont les employés à distance doivent agir pour assurer la sécurité des informations personnelles et des données de l'entreprise, en particulier lorsqu'ils travaillent à domicile.
Meilleure pratique n° 2 : formez vos employés et assurez-vous que le service informatique leur apporte un soutien.
Comme mentionné ci-dessus, les employés de Splashtop suivent chaque année une formation à la sécurité de l'information et respectent les politiques de Splashtop en matière d'éthique commerciale, de confidentialité et de sécurité, telles que définies dans le code de conduite de Splashtop.
Nous préparons notre équipe informatique à soutenir les employés à distance de la manière suivante :
Politiques relatives aux comptes et aux mots de passe :
Splashtop attribue à tous les utilisateurs des identifiants qui leur sont propres et sécurise les accès par le biais de mots de passe forts et d’une authentification à deux ou plusieurs facteurs.
Contrôle de la sécurité des données :
Les contrôles de sécurité des données de Splashtop comprennent un accès basé sur les rôles selon le principe du moindre privilège, la surveillance des accès et la journalisation. Cela signifie que tous les utilisateurs ont un niveau minimal d’accès aux données lorsqu’ils commencent à utiliser le système Splashtop.
Contrôle d’accès :
Splashtop a mis en place des contrôles d’accès pour gérer l’accès électronique aux données et aux systèmes. Nos contrôles d’accès reposent sur les niveaux d’autorité, les critères de « besoin de savoir » ainsi qu’une ségrégation des tâches pour ceux qui accèdent au système.
Réponse aux incidents de sécurité :
Splashtop a mis en place des procédures de « réponse aux incidents de sécurité » qui lui permettent d’enquêter sur les événements liés aux services et aux actifs informatiques de Splashtop, d’y répondre, de les corriger et de les signaler.
Meilleure pratique n° 3 : cryptez les données, aussi bien quand elles sont en transit qu'au repos.
Les deux éléments clés pour assurer la protection de vos données lorsque vos employés sont en télétravail sont le chiffrement et les contrôles d’accès.
Chiffrement :
Splashtop chiffre toutes les données des utilisateurs en transit et au repos et toutes les sessions utilisateur sont établies de manière sécurisée en utilisant TLS. Le contenu consulté au cours de chaque session est toujours chiffré au moyen du protocole AES 256 bits.
Contrôle d’accès :
Splashtop a mis en place des contrôles d’accès pour gérer l’accès électronique aux données et aux systèmes. Nos contrôles d’accès reposent sur les niveaux d’autorité, les niveaux de « besoin de savoir » ainsi qu’une séparation des tâches pour ceux qui accèdent au système.
Conseil supplémentaire : Splashtop évite délibérément la collecte excessive de données – ce que trop d'entreprises font sans raison légitime. Nous nous alignons plus facilement sur les réglementations en NE collectant PAS de données/informations sensibles. Nous ne collectons, stockons et traitons que des DCP limitées, telles que le nom d'utilisateur (email), le mot de passe et les journaux de session (pour que les clients puissent les consulter, pour le dépannage, etc.), et Splashtop ne vend pas les informations des clients conformément aux directives du RGPD et de la CCPA.
Meilleure pratique n° 4 : utiliser un accès à distance sécurisé
La solution d'accès à distance de Splashtop suit une approche de confiance zéro. Lorsque les employés accèdent à distance à leur ordinateur ou à leur poste de travail au bureau, ils entrent par une connexion Splashtop spéciale. Une connexion qui ne fait pas partie du réseau de l'entreprise. Cela signifie qu'ils peuvent uniquement visualiser et travailler avec les données (par exemple, des documents Word) sur leur bureau à distance. Les données ne sortent jamais du réseau de l'entreprise. Avec Splashtop, les responsables de la sécurité informatique ont également le choix d'activer ou de désactiver les fonctions de transfert de fichiers et d'impression, ce qui est fortement recommandé pour la conformité.
L'accès à distance de Splashtop introduit encore plus de fonctionnalités de sécurité, telles que l'authentification du dispositif, l'authentification à deux facteurs (2FA), l'authentification unique (SSO) et bien d'autres. Ces mesures de sécurité modernes n'existent pas dans l'architecture VPN.
Conclusion : commencez dès maintenant à protéger les DCP de vos élèves/étudiants
Ces quatre meilleures pratiques sont des mesures simples et de bon sens qui protègent non seulement les DCP de vos élèves/étudiants, mais aussi votre établissement dans son ensemble. De plus, elles permettent de prévenir une violation de données généralisée causée par le non-respect de la loi FERPA. Mieux vaut prévenir que guérir, vous vous épargnerez ainsi les coûts associés aux mesures correctives et l'atteinte à l'image de votre marque.