Les solutions à mettre en œuvre

La première pratique à adopter est la définition d'une politique de sécurité globale. Les recommandations doivent bien sûr s'appliquer au domaine technique mais également impliquer les comportements humains.
Cette politique doit s'appuyer, au niveau technique, sur l'usage correct du code de programmation des applications Ainsi les passages en revue du code et l'application de programmes de test rigoureux doivent être soutenus. D'autre part les fonctionnalités codées doivent respecter des règles évidentes de sécurité : rappel de l'ancien mot de passe lors de l'actualisation d'un profil, contrainte de complexité du mot de passe (minimum de symboles exigés, obligation de lettres et de chiffres), utilisation d'un cryptage SSL, suppression des possibilités de cache sur les pages de login etc.
La politique de sécurité doit aussi toucher le rôle des administrateurs du système d'information qui doivent s'imposer une gestion sévère des clés d'authentification : changement des mots de passe périodique, gestion des mises à jour du système et des règles d'authentification …
Enfin, des solutions technologiques comme les infrastructures PKI et les systèmes d'authentification par clef ou carte à puce apparaissent pour pallier les défaillances des dispositifs standards.

L’assistance à l’utilisation des TIC offre un autre sujet de discussion important : quels y sont les rôles respectifs des enseignants et des non-enseignants ? Il est clair que des domaines entiers d’assistance seront à terme dévolus à des techniciens ou à des ingénieurs. Nous pouvons citer par exemple la maintenance techniques des réseaux, l’assistance technique aux usagers sur les outils de base (suite bureautique, navigateur...), le dépannage matériel des postes et des réseaux...

Il faut maintenant travailler à développer l’utilisation des compétences des équipes d’enseignants engagés dans le développement de ces technologies.
Dans la sphère des TIC nous n’aurons jamais assez de moyens humains pour assurer l’ensemble des potentialités de développements et il serait bien inconséquent de se battre pour que plusieurs structures effectuent parallèlement le même travail. Il y a forcément mieux à faire.
Seul un pilotage précis et efficace assurera la cohérence des interventions des centaines de personnes intervenant dans les TIC pour une académie.

Les champs où les enseignants peuvent mettre à profit leurs compétences sont suffisamment larges et nombreux.

Le premier domaine fondamental est celui des contenus, que ce soit sur les serveurs académiques ou dans des didacticiels de tous types permettant d’apporter des outils aux enseignants dans les différentes disciplines et de façon transversale.
Le deuxième domaine concerne l’accompagnement du développement des usages des TIC dans les enseignements, ce qui représente un volet important de l’assistance aux usagers que sont les enseignants.
Les réflexions et la communication sur les problèmes juridiques représentent un troisième domaine.

Enfin, même s’il se déplace logiquement, le secteur de prédilection des précurseurs est toujours présent. Il s’agit bien d’imaginer, de construire, de mettre en place des innovations, y compris dans leur dimension strictement informatique.
Un suivi et une évaluation des initiatives s’impose avant toute tentative d’extension ou de généralisation. Des pans entiers sont à défricher comme par exemple la formation à distance, le travail collaboratif...
Les compétences techniques acquises et maîtrisées par les enseignants sont encore nécessaires à ces évolutions ; pour qu’elles puissent se réaliser, il est primordial que travaillent ensemble, de façon étroite, des pédagogues, des développeurs et des enseignants techniciens. Les enseignants engagés dans le domaine des TIC se doivent d’être toujours des précurseurs des usages.

Pour conclure, on demandera à toutes les personnes ressources TIC d’observer sans cesse le principe d’isomorphisme : s’appliquer à soi ce que l’on demande de faire aux autres...
C’est à dire des innovations toujours plus nombreuses mais aussi un transfert de celles-ci vers des usages courants, un travail collectif et des collaborations importantes entre les disciplines, entre les établissements, le développement d’une culture de réseau permettant à la fois un partage des tâches et une mutualisation des expériences et des pratiques.

Comment aller vers un bon usage des compétences des enseignants

La disparition du « E » de TICE doit être vécue comme une banalisation de l’usage de l’outil informatique à tous les niveaux du fonctionnement de notre système éducatif.
Si ce sont des enseignants qui ont posé les premières pierres, pour ne pas dire construit les premiers immeubles, il convient de prendre en compte aujourd’hui toutes les dimensions de la modernisation qui sont les conséquences de l’évolution des technologies et en même temps de notre société et de la culture de l'information .
Le développement des réseaux est enfin pris en compte dans le fonctionnement même de notre institution.
Les rapports des administrations publiques avec leurs usagers sont transformés.
Une des conséquences de cette évolution est un difficile passage de relais à organiser et à assurer entre des enseignants précurseurs et des techniciens.

Il est clair que des compétences d’enseignants ne sont pas nécessaires à la gestion et au fonctionnement d’une messagerie électronique

Le premier exemple est l’évolution de la messagerie électronique, dans le cadre d’une vaste opération appelée « mel@uvert ». Il existait une messagerie créée par des pédagogues, en principe ouverte à tous mais en fait investie par les seuls pédagogues, et qui avait permis le développement d’usages nombreux par des milliers d’enseignants. Il a été décidé de basculer vers une messagerie utilisée par l’ensemble des personnels de l’Education Nationale et gérée par des techniciens spécialisés. Il est clair en effet que des compétences d’enseignants ne sont pas nécessaires à la gestion et au fonctionnement d’une messagerie électronique.
Il fallu surmonter plusieurs difficultés : La taille de notre institution multiplie le nombre de personnes concernées.
La collaboration entre pédagogues et non pédagogues est parfois problématique. Enfin, il n’est pas évident de mesurer a priori le retentissement d’un tel changement sur des services connexes comme les listes de diffusion employées par des milliers de personnes.

L’expérience de ce type d’opération dans notre académie montre combien il est indispensable de développer une communication forte dès que l’on touche à autant d’usagers qui auraient parfois besoin de réapprendre le sens du mot « patience ». Mais il serait également imprudent de ne pas être attentif aux conséquences de ces changements auprès d’utilisateurs encore fragiles que des difficultés persistantes pourraient décourager définitivement.
La mise en place annoncée du bureau virtuel de l’enseignant est un indice de la conception actuelle très élargie des usages de ces technologies par la sphère administrative.

Le passage des TICE aux TIC va aussi se traduire par des évolutions dans les fonctionnements des serveurs académiques. Les données administratives de gestion des personnels, les données de présentations des structures de l’Éducation Nationale visant le grand public et les parents d’élèves sont autant de ressources qui vont se développer.

La maintenance technique des serveurs académiques et leur fonctionnement 24h/24 devront également être assurés par des personnels non-enseignants tout en en permettant la gestion quotidienne, le pilotage à terme et la mise en oeuvre de nouveaux service par des équipes d’enseignants disposant de compétences informatiques opérationnelles.

m-learning : de nombreux freins, surtout techniques, se manifestent aujourd'hui.

Ainsi la diversité des réseaux et la faiblesse de la bande passante pèsent sur l'avancée de cette technologie. Les différents systèmes ne sont pas compatibles entre eux, ce qui entraîne des restrictions contraignantes pour les contenus créés. Il sera nécessaire de créer des systèmes intelligents intégrant base de données et procédures de distribution qui assureront la reconnaissance des outils utilisés pour accéder à la formation.
Par ailleurs, les différents matériels mobiles sont encore inadaptés à un réel apprentissage. L'écran est trop petit obligeant à un défilement des données fatiguant pour l'apprenant. La lisibilité des informations reste quant à elle imparfaite. Les fonctionnalités d'écriture (clavier, crayon …) doivent être développées pour une meilleure usabilité. Et la capacité de stockage est trop faible.

En ce qui concerne les supports de formation, tout reste à faire. En effet, le multimédia n'est pas accepté par la majorité des appareils ce qui impose l'utilisation du texte. Il faut donc concevoir une présentation des contenus adaptée à ce nouveau canal d'apprentissage.

Une amélioration technique des réseaux et de la bande passante disponible demeure indispensable à l'utilisation réelle du m-Learning. .Bien entendu comme de nombreuses applications, le secteur du e-learning suit plus qu'il ne précède l'évolution des technologies et des fonctionnalités offertes. Aussi, le m-Learning n'appartiendra-t-il qu'à la seconde vague des applications accessibles sur les appareils mobiles. Il faudra certainement attendre que l'usage de ces appareils se soit généralisé et diversifié à de nouvelles applications et que les individus aient reconsidéré leurs habitudes pour le voir s'imposer.

Les limites de l'authentification par mot de passe

Si la première des failles révélées par l'OWASP concerne les paramètres non validés lors des requêtes "HTTP", le rapport met ensuite l'accent sur les problèmes de vulnérabilité générés par l'authentification des utilisateurs. La vulnérabilité du système peut ainsi naître bien souvent d'abord du contrôle des accès puis de la gestion des comptes et des sessions d'utilisateurs. Or c'est bien souvent au niveau de la gestion des mots de passe, élément central des dispositifs d'authentification, que se présentent les failles.

Trois catégories de risques sont liées à la gestion des mots de passe :

Le vol technique :
De nombreux outils sont à la disposition d'un individu qui souhaite récupérer un mot de passe. Il faut ainsi se méfier :

· Des fichiers de configuration stockés sur le web et accessibles trop facilement par les internautes ;
· De certaines fonctionnalités facilement détournées comme l'envoi de mot de passe oublié ou l'actualisation de ce dernier ;
· Des créations de sessions non protégées ;
· Des e-mails dissimulant un cheval de Troie donnant accès à l'ordinateur et aux mots de passe se trouvant sur le réseau ;
· Des outils comme les "renifleurs de mots de passe" qui peuvent infiltrer le système d'exploitation puis capturer et envoyer le mot de passe demandé par l'application.

Les habitudes humaines :
Au-delà de la technologie, les comportements de chaque individu peuvent également mettre en danger le système d'information.

· Mémorisation du mot de passe : lorsque le mot de passe est choisi aléatoirement, les utilisateurs ont souvent du mal à le mémoriser. Ils présentent alors le risque de noter cette information pour la retenir sur un carnet ou sur leur ordinateur. Ils peuvent aussi le modifier (s'ils en ont le droit) mais choisissent alors généralement des mots de passe faciles à deviner (date de naissance, prénom de la famille etc.).

· Echange d'information : les mots de passe sont des données aisées à échanger. L'utilisateur peut par exemple "prêter" son accès pour une période à un collaborateur. Par ailleurs, les failles humaines sont également exploitées par les hackers selon des procédés rassemblés sous la notion "d'ingénierie sociale". Ces procédés consistent à utiliser par exemple la crédulité humaine en se faisant passer pour une personne du service informatique etc.

Les risques internes :

La majorité des entreprises continuent de se pencher essentiellement sur les risques extérieurs à l'entreprise. Les menaces externes sont pourtant largement plus faibles que les risques internes. Ceux-ci représentent en effet 70 % des "attaques", selon l'enquête d'Evidian* menée sur la sécurité des systèmes d'information auprès de 250 grandes entreprises dans 7 régions ou pays d'Europe. Il faut cependant noter que d'après cette même enquête, ces attaques internes sont jugées plus ou moins délibérées. Ainsi en France, les risques seraient plutôt accidentels (65%) que délibérés (15%) (au Royaume-Uni, le rapport est à l'opposé avec 70 % d'attaques délibérées pour 20 % accidentelles).

La formation basée sur le web et distribuée à partir d'Internet ou d'un intranet d'entreprise implique une protection accrue, en particulier lorsqu'il s'agit de :

• permettre la mise en ligne d'informations sensibles, confidentielles et privées
  (formation sur des procédures internes, formation lors pour le lancement d'un produit concurrentiel…)

• donner accès à ces informations à une communauté définie et autorisée
  (formation de responsables qualité, de commerciaux…)

• offrir des services personnalisés impliquant l'identité et l'autorisation d'un individu
  (abonnement, paiement par Internet…)

De manière générale, ces applications, pouvant donner accès, à travers un défaut de programmation, aux systèmes d'information d'une organisation, doivent donc être particulièrement bien protégées contre les risques d'intrusion.

Or la sécurité des applications web reste encore trop souvent occultée par les entreprises. Un rapport récent de l'OWASP (Open Web Application Security Project) sur les applications Web montre que les failles de sécurité constatées le plus fréquemment sont non seulement en majorité banales et évidentes mais aussi facilement exploitables.
L'OWASP est un projet de communauté Open Source composé de volontaires du monde entier. Ce projet a pour but de développer des outils logiciel et une base documentaire pour aider les personnes à sécuriser leurs applications basées sur le Web. C'est dans ce cadre que l'organisation a publié un rapport dénonçant les dix failles les plus fréquemment rencontrées sur les applications web.

le m-learning est en vogue mais des critiques se font jour de la part des enseignants.

De grandes tendances de recherche visant à contrer ces difficultés se dessinent :

Le développement de standards qui garantiraient l'interopérabilité des outils est considéré comme essentiel. Des outils différents doivent en effet être capables de recevoir une même information. Ces normes sont étudiées dans le cadre des standards WAP (Wireless Application Protocol) pour l'e-learning. Elles sont basées actuellement sur le langage HTML 3.0 et le javascript.

La recherche se concentre également sur la notion de Learning Object (LO). En effet, les contraintes techniques imposent que le contenu délivré soit léger. Le m-Learning doit donc s'appuyer sur un système de distribution des contenus finement personnalisé. Dans cette optique, les Learning Object qui privilégient une approche de décomposition fine des contenus de formation en grains réutilisables s'avancent comme une solution possible.

Un troisième axe de recherche est la réflexion sur les fonctionnalités liées au son. Des projets visent ainsi à améliorer l'intégration de voix à travers le développement de synthèses vocales. De même, les technologies de reconnaissance vocale doivent assurer un usage plus simple et plus rapide des outils disponibles.

« Le français sans secret » est une ressource pédagogique très utile pour les enseignantes et enseignants de français. Il s’agit d’une banque d’articles traitant de tous les aspects de la langue française incluant les anglicismes, la grammaire et la syntaxe, l’orthographe, la ponctuation, la typographie, le style et le vocabulaire. Le site fait partie du portail linguistique du gouvernement du Canada, donc l’information est de grande qualité.

Il y a aussi une section intitulée « La langue et ses péchés » qui présente les pièges de la langue française, incluant les mots empruntés à l’anglais, les prépositions mal choisies et les tournures boiteuses.

On y retrouve aussi des acadianismes, des amérindianismes, des archaïsmes, des barbarismes, des calques de l’anglais, des emprunts, des faux amis, des impropriétés, des néologismes, des québécismes et des régionalismes.