Sécurité et confidentialité sur ENC92 : comment protéger vos données ?

News
Femme consultant les paramètres de confidentialité sur un ordinateur portable dans un bureau à domicile moderne

ENC92, comme tout environnement numérique de travail (ENT) départemental, traite des données d’identification, de scolarité et de communication de mineurs. La surface d’attaque ne se limite pas au code de la plateforme : elle s’étend aux pratiques de chaque établissement, aux terminaux personnels des familles et aux intégrations tierces activées par les administrateurs locaux.

Sommaire
Failles locales sur ENC92 : ce que les audits ANSSI révèlentDésactivation des comptes et cycle de vie des identitésTraceurs et cookies tiers : la position de la CNIL appliquée à ENC92Vérifier les modules activés dans l’administration ENC92Registre des traitements et droits des familles sur la plateforme ENC92Durées de conservation : un point souvent négligéSécurité du mot de passe et MFA sur ENC92 : configuration recommandée

Failles locales sur ENC92 : ce que les audits ANSSI révèlent

Les audits de sécurité menés par l’ANSSI sur des ENT régionaux entre 2022 et 2024 ont démontré que les failles les plus critiques proviennent des pratiques locales, pas des plateformes. Mots de passe partagés en salle des professeurs, comptes non désactivés après le départ d’un personnel, absence d’authentification multifacteur (MFA) pour les comptes administrateurs : ces constats, désormais intégrés aux guides d’hygiène informatique de l’ANSSI, s’appliquent directement à ENC92.

A lire en complément : Acquérir la compétence : conseils pratiques pour développer vos compétences

Un compte administrateur sans MFA exposé sur un poste partagé donne accès à l’annuaire complet d’un collège. La compromission ne nécessite aucune compétence technique avancée, un simple keylogger suffit.

Désactivation des comptes et cycle de vie des identités

Nous observons que la majorité des établissements ne disposent pas de processus automatisé de désactivation des comptes lors d’un départ en cours d’année. Le délai entre le départ effectif d’un agent et la suppression de son accès ENC92 peut s’étendre sur plusieurs semaines. Pendant ce laps de temps, le compte reste une porte d’entrée potentielle sur la messagerie, les documents partagés et les ressources pédagogiques de l’établissement.

A lire aussi : Mail académique Lyon : Résolution des problèmes de messagerie

Nous recommandons de coupler la base annuaire d’ENC92 à la base RH du rectorat ou de la collectivité, de manière à déclencher une suspension automatique dès la radiation administrative.

Homme en entreprise vérifiant la sécurité de son smartphone dans un espace de travail moderne

Traceurs et cookies tiers : la position de la CNIL appliquée à ENC92

La CNIL a formellement rappelé en 2023 aux rectorats et collectivités que les ENT ne peuvent plus utiliser de traceurs publicitaires ni de cookies tiers à des fins de profilage. Cette décision a conduit l’académie de Versailles, dont dépend le périmètre des Hauts-de-Seine, à désactiver par défaut certaines intégrations grand public (YouTube, Google Fonts) tant qu’aucune base légale n’est établie pour le suivi des élèves.

En pratique, un enseignant qui intègre une vidéo YouTube directement dans un article du cahier de textes ENC92 peut déclencher le dépôt de cookies tiers sur le navigateur de l’élève. La solution technique retenue dans plusieurs académies consiste à remplacer l’intégration par un lien sortant, ou à utiliser des instances Peertube hébergées par le rectorat.

Vérifier les modules activés dans l’administration ENC92

Les administrateurs d’établissement disposent d’un panneau de gestion des briques applicatives. Chaque module tiers (visioconférence, stockage cloud, outils collaboratifs) doit être audité sous l’angle de la conformité RGPD. Un module actif mais inutilisé élargit la surface d’attaque sans apport fonctionnel.

  • Désactiver tout module tiers non utilisé depuis plus d’un trimestre pour réduire les vecteurs d’exposition.
  • Contrôler que chaque brique activée dispose d’une mention dans le registre des traitements de l’établissement.
  • Privilégier les outils hébergés sur l’infrastructure académique plutôt que les services commerciaux externes.

Registre des traitements et droits des familles sur la plateforme ENC92

Depuis 2024, ENC92 est soumis à l’obligation de publier une fiche standardisée de registre des traitements accessible aux usagers. Cette fiche précise quelles données sont collectées, pour quelles finalités et pendant combien de temps elles sont conservées, conformément aux recommandations actualisées de la CNIL pour l’Éducation nationale.

Pour les familles, ce registre constitue le point d’entrée pour exercer leurs droits d’accès, de rectification et de suppression. Nous recommandons aux parents de localiser ce document dans l’espace institutionnel d’ENC92 avant toute demande, afin de formuler une requête ciblée (par exemple, la suppression des données de messagerie d’un élève ayant quitté l’établissement).

Vue aérienne de mains tapant sur un clavier avec une clé USB de sécurité et des notes manuscrites sur la protection des données

Durées de conservation : un point souvent négligé

Les données de connexion (logs, horodatages) et les messages échangés via la messagerie ENC92 ont des durées de conservation distinctes. Les logs de connexion sont généralement conservés un an, conformément aux obligations légales applicables aux services publics numériques. Les messages, en revanche, peuvent persister tant que le compte reste actif.

Un élève quittant le département des Hauts-de-Seine en fin de troisième conserve-t-il un accès résiduel à son historique de messagerie ENC92 ? La réponse dépend de la politique de purge définie au niveau académique. En l’absence de suppression automatisée, des données personnelles de mineurs restent accessibles sur un compte orphelin.

Sécurité du mot de passe et MFA sur ENC92 : configuration recommandée

La première ligne de protection des données sur ENC92 reste le mot de passe. Les identifiants initiaux distribués en début d’année scolaire suivent souvent un schéma prédictible (prénom.nom + année de naissance). Changer ce mot de passe dès la première connexion est la mesure la plus efficace et la moins appliquée.

  • Utiliser un mot de passe d’au moins douze caractères, combinant lettres, chiffres et caractères spéciaux, différent de celui utilisé sur les réseaux sociaux.
  • Activer la double authentification (MFA) lorsque l’option est proposée, en particulier pour les comptes de direction et d’administration.
  • Ne jamais enregistrer le mot de passe ENC92 dans un navigateur utilisé par plusieurs personnes (poste en salle des professeurs, ordinateur familial partagé).

Sur un poste partagé, la déconnexion systématique après chaque session reste le geste le plus simple et le plus négligé. Un compte resté ouvert sur un navigateur donne accès à l’ensemble des données de l’utilisateur sans aucune barrière technique.

La sécurité sur ENC92 ne repose pas sur une fonctionnalité unique de la plateforme, mais sur l’articulation entre la configuration académique, les pratiques d’établissement et les réflexes individuels des utilisateurs. Les obligations CNIL de 2023 et 2024 ont posé un cadre plus strict. Reste à chaque collège des Hauts-de-Seine de l’appliquer au quotidien, en commençant par auditer les modules actifs et en automatisant la gestion du cycle de vie des comptes.

Quelques actus

Pourquoi devez-vous apprendre les bases du SEO en 2023 ?

Il est tout à fait indéniable qu’un site web est une vitrine pour votre entreprise sur le web.

En savoir plus

Les étapes à suivre pour chercher un emploi dentaire : de la préparation du CV à la recherche d’offres en ligne

Si vous êtes à la recherche d'un emploi dans le domaine dentaire, il peut être difficile de savoir

En savoir plus

Recherche

Dernières actus

Lost your password?