Leçons de cybersécurité pour la pratique éducative

Le système que je m’efforce de protéger au quotidien est l’expérience éducative de mes étudiants. Ce système est confronté à des menaces provenant de divers fronts, allant des utilisateurs inexpérimentés qui peuvent perturber involontairement l’apprentissage aux acteurs malveillants qui cherchent à exploiter les vulnérabilités à des fins personnelles. En outre, la posture éducative globale, notamment les systèmes obsolètes ou difficiles à manœuvrer et les ressources inadéquates, pose des défis à l’efficacité de l’environnement d’apprentissage. Défense en profondeur, surveillance proactive, réponse aux incidents, évaluation des vulnérabilités, gestion des correctifs : pouvons-nous appliquer les concepts de cybersécurité pour créer un environnement d’apprentissage fortifié qui non seulement résiste aux perturbations, mais favorise également une croissance et un développement académiques significatifs ?

L’année dernière, j’ai été chargée d’enseigner pour la première fois depuis cinq ans le cours « Introduction aux mathématiques finies ». Alors que je préparais ce cours, j’ai abordé son contenu sous un angle nouveau, en mettant l’accent sur les applications concrètes que j’utilise dans mes autres cours, principalement consacrés au calcul différentiel et intégral. Le domaine de la cybersécurité m’a particulièrement intéressée, car il me semble moderne et particulièrement pertinent pour les étudiants de ce cours.

Nous vivons dans un monde d’informations, et nous vivons de plus en plus dans un monde où les informations personnelles sont vendues, volées et utilisées. Des cyberattaques, petites ou grandes, se produisent quotidiennement et ont de graves répercussions sur la sécurité nationale. Nous entendons régulièrement parler de violations très médiatisées des infrastructures essentielles canadiennes. L’un des principaux problèmes dans le domaine de la cybersécurité est la pénurie actuelle de spécialistes capables de mettre en place et de soutenir des systèmes résistants aux attaques, mais la croissance continue de la technologie entraîne une demande constante pour ces spécialisations, ce qui est un problème qui nécessite une vision et un soutien à long terme.

Malgré diverses certifications, la plupart des emplois dans le domaine de la cybersécurité exigent des diplômes universitaires en informatique, en systèmes d’information, en génie informatique ou en mathématiques. Pourtant, peu de nos étudiants sont exposés à des notions de cybersécurité dans le cadre de leurs programmes d’études en mathématiques ou en informatique. Cela a pour conséquence que les étudiants ne sont pas conscients des possibilités de carrière qui s’offrent à eux et qu’ils passent à côté d’occasions d’acquérir des compétences et de l’expérience pertinentes pendant leurs études (telles que des stages coopératifs, des stages, des certifications supplémentaires, etc.). De plus, même si un étudiant ne souhaite pas faire carrière dans la cybersécurité, en tant que citoyen moderne, il doit savoir comment se protéger, protéger ses données et ses biens contre la cybercriminalité. C’est dans cet esprit que j’ai décidé de créer du contenu introduisant les notions de cybersécurité dans mes cours de première année.

L’une des notions faciles à introduire, qui revient plusieurs fois tout au long du cours, est un concept qui porte plusieurs noms. La défense en profondeur, la défense multicouche ou l’approche « château fort » est une approche de la sécurité réseau qui consiste à déployer une série de mesures défensives superposées afin d’empêcher un attaquant de pénétrer dans le système. Étant donné qu’aucun contrôle de sécurité ne peut à lui seul offrir une protection complète contre toutes les attaques possibles, l’idée ici est d’échelonner les défenses de manière à ce que si l’une d’entre elles échoue, une autre empêche la violation. L’authentification multifacteur (AMF) est un exemple de cette approche, qui consiste pour l’utilisateur à fournir deux ou plusieurs informations (mot de passe, réponse à une question de sécurité, code à usage unique) afin d’obtenir l’accès. De cette façon, si votre mot de passe a été compromis, il existe un autre niveau de protection qui, espérons-le, empêchera tout accès non autorisé. Il est facile de comprendre que cette autorisation à plusieurs niveaux est beaucoup plus sûre qu’une seule couche de défense ou qu’une approche parallèle consistant à choisir une seule des plusieurs options d’autorisation disponibles.

Si je me mets dans la peau d’un professeur de mathématiques, nous pouvons utiliser l’AMF pour discuter des différences entre les opérations logiques de conjonction et de disjonction, ainsi que lors de l’application des principes de multiplication et d’addition dans le comptage. Voici quelques exemples.

Exemple 1.

1. Supposons que votre mot de passe offre une sécurité de 70 % et que le code PIN textuel offre une sécurité de 90 %. Quel est le niveau de sécurité de l’authentification à deux facteurs dans ce cas ?
2. Supposons que vous ayez également la possibilité de vous connecter à votre compte en répondant à deux questions de sécurité, qui n’offrent chacune qu’un niveau de sécurité de 40 %. Quel est le niveau de sécurité du système dans ce cas ?

Exemple 2.

Le protocole Internet (IP) attribue des adresses à chaque appareil connecté. Le format de l’adresse varie en fonction de la version du protocole.

255. IPv4 utilise des adresses composées de 4 chiffres, chacun compris entre 0 et 255. Combien d’adresses possibles existe-t-il ? Pensez-vous que cela soit suffisant pour le nombre actuel d’utilisateurs Internet ?
256. IPv6 utilise des adresses sous la forme y : y : y : y : y : y : y : y, où chaque segment y est une valeur hexadécimale comprise entre 0 et FFFF. Combien y a-t-il d’adresses possibles ?

En effet, ce sont des questions assez simples. Cependant, lorsque mon université a introduit l’authentification multifactorielle, tout le monde s’est plaint, et je dis bien TOUT LE MONDE. Cet exemple illustre bien le renforcement de la sécurité apporté par cette méthode. Et, bien que j’enseigne à de nombreux étudiants en informatique dans mon cours de mathématiques finies, peu d’entre eux ont réfléchi au format de l’IP et au fait que la version 4 ne peut tout simplement pas supporter le nombre croissant d’appareils utilisateur dans le monde.

À une échelle méta (pas si méta que ça), le concept de défense en profondeur semble être une façon utile d’aborder un cours : tout comme les couches de sécurité protègent un réseau contre diverses menaces, une approche multifacette de la conception et de la gestion des cours peut renforcer la résilience face aux défis éducatifs. Plus je réfléchissais à des exemples de cybersécurité à intégrer dans mes cours, plus je commençais à voir comment le système éducatif lui-même pouvait être considéré sous cet angle.

À la base, de nombreux systèmes fonctionnent selon des principes similaires. Une fois le système mis en place, nous opérons tous dans ses limites et ses contraintes. Nous pouvons (et devrions souvent) remettre en question son organisation, mais pour l’instant, supposons que nous ne pouvons pas changer le système lui-même et concentrons-nous plutôt sur l’expérience. Nous pouvons alors diviser grossièrement les participants au système en deux catégories : les honnêtes et les corrompus. Les personnes honnêtes agissent de bonne foi, mais peuvent commettre des erreurs involontaires ; les personnes corrompues tentent de manipuler le système à leur avantage et croient parfois que leurs activités malveillantes n’affectent pas l’expérience des autres.

Les étudiants sont les utilisateurs des offres éducatives et les instructeurs, en tant que facilitateurs de l’apprentissage, sont les administrateurs de l’expérience d’apprentissage.  De ce point de vue, les défenses du système (éducatif) sont mises à mal par diverses erreurs provenant à la fois du côté honnête et du côté corrompu :

• erreurs des utilisateurs : les étudiants ne respectent pas les délais, soumettent un fichier erroné, plagient, etc.
• erreurs administratives : les instructeurs oublient de télécharger leurs notes, modifient le programme sans prévenir, plagient, etc.
• erreurs de mise en œuvre : matériel obsolète, activités en classe désorganisées, évaluation inadaptée, etc.
• erreurs de plateforme : panne du système de gestion de l’apprentissage de l’université, campus enneigé, projecteur de la salle de classe en panne, etc.
• erreurs de conception de la plateforme : manque de fonctionnalités d’accessibilité, politiques obsolètes, espace au tableau réduit ou inexistant dans la salle de classe, tables et chaises fixes, etc.

Tout ce qui précède entraîne des vulnérabilités et un affaiblissement du système. En planifiant la nouvelle stratégie, quelles sont, selon moi, les faiblesses qui risquent de causer le plus de dommages ? Contre quelles vulnérabilités dois-je renforcer mes défenses ? Quels types d’erreurs puis-je traiter de manière systématique ou éliminer complètement ?

Revenons à la défense en profondeur. L’objectif est de protéger le système contre les défaillances grâce à une approche systématique à plusieurs niveaux. En matière de cybersécurité, comme mentionné précédemment, cela implique plusieurs niveaux de contrôles de sécurité tels que des pare-feu, des logiciels antivirus, la détection des intrusions, le cryptage, les correctifs, etc. Chaque niveau ajoute une barrière et est différent des autres, de sorte qu’un intrus qui franchit un niveau ne pourra pas utiliser exactement les mêmes techniques pour pénétrer le niveau suivant. Qu’est-ce que cela signifie du point de vue de l’étudiant et de l’instructeur ? Comment organiser la planification de mon cours afin d’offrir à mes étudiants des couches supplémentaires de protection contre les défaillances ? Quelles options puis-je mettre en place pour mes étudiants afin qu’une compétence manquante n’affecte pas l’ensemble de leur expérience du cours ? La nuance essentielle de la défense en profondeur qui est souvent négligée dans sa mise en œuvre est que chaque couche de protection doit être de nature différente. Dans l’exemple de l’authentification multifactorielle, poser deux questions de sécurité de base à la suite ne renforce pas réellement le système, car il y a de fortes chances que si un acteur malveillant a volé vos informations personnelles, il en ait volé plusieurs, et qu’il connaisse donc à la fois votre code postal et le nom de jeune fille de votre mère. Une bonne authentification multifactorielle doit inclure une combinaison d’au moins deux des éléments suivants :

• Quelque chose que vous connaissez : un code, un mot de passe ou une question de sécurité
• Quelque chose que vous possédez : votre téléphone, un jeton ou un badge
• Quelque chose qui vous caractérise : votre empreinte digitale, votre visage, vos yeux ou votre voix

En concevant mon cours, j’ai réalisé que je devais adopter une philosophie similaire : superposer différents supports afin d’offrir aux étudiants de multiples opportunités, et surtout distinctes, de réussir. Cela peut se traduire par la proposition à la fois (ou au choix) de devoirs traditionnels et de projets collaboratifs, d’épreuves écrites standard et d’examens oraux, de quiz ‘’meilleurs k sur n’’ (pour une certaine valeur de k < n), du choix de k devoirs sur n à remettre, du format des rendus (tapés, écrits, affiches, présentations orales, vidéos, danse expressive, etc.), de politiques flexibles en cas d’imprévus dans la vie. Chaque soutien cible différents points d’échec potentiels – académiques, techniques, personnels – tout comme chaque couche de cyberdéfense contrecarre un type d’attaque différent. En structurant le cours de cette manière, je vise à rendre la réussite des étudiants moins fragile : manquer une occasion ou continuer à travailler pour acquérir une certaine maîtrise dans un type particulier de composante du cours ne condamne pas automatiquement les résultats d’un étudiant, tout comme le franchissement d’une mesure de sécurité ne fait pas tomber tout le réseau.

En fin de compte, considérer l’éducation sous l’angle de la cybersécurité permet d’avoir une vision différente du processus de planification des cours et du rôle de l’instructeur. Je ne suis pas une fournisseuse de contenu, je suis une architecte système qui conçoit un environnement favorisant la résilience et la croissance. Tout comme en matière de cybersécurité, une protection parfaite est impossible, mais une conception réfléchie et multicouche peut rendre un système suffisamment robuste pour absorber les chocs et soutenir un apprentissage authentique et durable.