Former à la sécurité utilisation de la « e-formation »

28/08/2017
Auteurs : Nicole Chanal
Publication REE REE 2006-8
OAI : oai:www.see.asso.fr:1301:2006-8:19683
DOI :

Résumé

Former à la sécurité utilisation de la « e-formation »

Métriques

12
4
1.63 Mo
 application/pdf
bitcache://ad71a0ee1c9d51a400543404085a85910e8e3f94

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/1301:2006-8/19683</identifier><creators><creator><creatorName>Nicole Chanal</creatorName></creator></creators><titles>
            <title>Former à la sécurité utilisation de la « e-formation »</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2017</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Mon 28 Aug 2017</date>
	    <date dateType="Updated">Mon 28 Aug 2017</date>
            <date dateType="Submitted">Mon 15 Oct 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">ad71a0ee1c9d51a400543404085a85910e8e3f94</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>33440</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

Repères RISQUES ET SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES A COMPOSANTE LOG ICI ELLE (21-1 partie) Former à la sécurité utilisation de la « e-formation » Nicole CHANAL Ecole des Mines d'Alès/Aciade Mots clés Sécurité, e-formation, TICE 1. La e-formation 1.1. Définitions La e-formation est une formation en ligne, utilisant les TICE (Technologies de l'Information et de la Communi- cation pour l'Éducation). Comme toute formation, une e-formation se définit par qua- tre caractéristiques : . les objectifs à atteindre « ( A ta fin de la formation, l'apprenant est capable de... ») ; . les pré-requis (connaissances que doit avoir l'appre- nant pour pouvoir suivre la formation), . le public visé ; * ta durée (combien de temps, en heures ou en jours, l'apprenant va-t-il passer en moyenne pour suivre la formation). Plusieurs types d'acteurs sont impliqués dans un disposi- tif de e-formation : . l'apprenant : la personne en formation ; . le tuteur : la personne qui définit Je plan de forma- tion de l'apprenant en fonction de ses connaissances et de ses résultats, qui effectue le suivi de la forma- tion, qui apporte des réponses aux questions de l'ap- prenant ; . l'auteur : la personne qui produit des contenus et/ou des évaluations. Un dispositif de e-formation utilise plusieurs types de données : des contenus : documents sous forme de fichiers bu- reautiques (PDF, HTML...), documents « rich media » (avec du son et/ou de la vidéo, des animations,...). Ces documents peuvent avoir été créés spécifiquement pour de la formation ou être des documents réalisés dans un cadre plus général ; . des évaluations (sous forme informatisée ou non) : . évaluations sommatives (avec une « note ») : pour permettre de vérifier que les pré-requis sont acquis et que les objectifs sont atteints ; . évaluations formatives : pour faire le point à un moment donné de la fonnation et personnaliser le parcours de formation en fonction des résultats. . des données permettant le suivi apprenant : avance- ment dans la formation, temps passé (nécessaire sur le plan légal en formation continue pour qu'une action de formation puisse être imputée au budget formation), accès aux résultats des évaluations,... Une e-formation peut être intégrée dans une plate- forme de formation à distance. Une plate-forme de forma- tion permet de gérer les cours, les apprenants, les tuteurs, le suivi de l'apprenant,... Elle comporte souvent un « chat » (outil de discussion en simultané) et un forum (outil de communication en différé). On peut aussi y transférer des fichiers : fichiers ressources en complément des contenus, devoirs remis par les apprenants,... Pour gérer le suivi de l'apprenant, la plate-forme doit pouvoir échanger des informations avec les contenus. Il existe des normes pour définir le format des données échangées. Deux normes d'échange se sont imposées comme standard : la norme AICC (Aviation lndustry CET ESSENTIEL Après une présentationgénéralede ce qu'est la e-formation,ses avantages,ses inconvénients,cet article présente les spécificités de la e-formationen matière de sécurité. Larticle s'appuie sur l'expérience concrète de l'auteur dans le cadre des formations dispenséesà l'école des mines dAlès (for- mation initiale et formation continue) ainsi que dans celui de la mise en placede dispositifs de formation dans les PME/PMI. SYNOPSIS After a general presentationand definition of the e-learningandits pros andcons,this article presents how e-Iearningtechniquescan offer beneficesfor security purposes. Thisarticle is basedon the author'sconcrete experience in the field of courses,lecturesand practicesofferedfor the "école des minesd'Aiès " as weiiase-iear- ning programsdevelopedfor SME. REE N,9 Octobre2006 1 Repères RISQUES ET SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES A COMPOSANTE LOGICIELLE (2- partie r1 1 ,1,ça ponn, Va ? 1 Cr LUi (,< ... 1 toi ? bof... -- -er- - --- ---'llvtfrë ?Ir,n^..,f. Fii,ir,,//pç nlntpç-fnrm,,ç dp fnrmatin " n,,rmptfpnfFigure 1. Les plates-formes de formation permettent de communiguer par chat ouforum. 1.2. Modes d'utilisation Une e-formation peut être conçue pour être suivie de différentes manières : . en auto-fonnation : l'apprenant suit la formation de fa- çon autonome. Il n'y a pas de tuteur mais éventuelle- ment une plate-forme de fonnation peut permettre d'utiliser chat et forum pour communiquer avec les autres personnes qui suivent la même formation ; . en formation tutorée : un tuteur adapte le plan de for- mation en fonction des résultats de l'apprenant, répond aux questions. La communication apprenant-tuteur peut se faire en réunion, par téléphone, à distance avec les outils fournis par une plate-forme de formation (chat, forum, messagerie, transfert de fichiers,...) ; . en formation mixte : la formation alterne des pério- des où l'apprenant travaille avec des contenus nu- mérisés et des périodes où l'apport de contenus se fait en présentiel (un formateur en présence d'un groupe d'apprenants). En formation continue pour les entreprises, c'est la solution la mieux perçue quand on veut introduire les TICE dans un dispositif de formation. Committee) et la norme SCORM (Sharable Content Object Reference Model). La seconde est plus récente et tend de plus en plus à devenir le standard. On voit donc que contrairement à une opinion assez répandue, formation à distance n'est pas forcément syno- nyme d'auto-formation et d'isolement. f o r m a t Formation tutorée Autoformation ?'-.'''\ "'' B,'''*'S '.--i, Contenus Apprenant Outils coliaboratifs chat. forum,... Tutorat indivdualisé 11 1 1 Tiiteu r et présentiel - 11, -1.. Il = 1. 1, i 1 < « Il.. i Formation mixte Figure 2. Modes d'utilisation de la e-formation. REE N. 9 86 Octobre 2006 Exemples : 'à l'école des mines d'Alès, les travaux pratiques de l'enseignement à distance sont proposés en ligne et sont suivis de regroupements ; . sur le site internet de l'Institut National Polytechni- que de Lorraine [1] voici comment est décrit le disposi- tif de formation à distance : « Les phases du cursus organisées en enseigne- ment à distance s'appuient sur le dispositif péda- gogique et technique suivant : . Les enseignants de l'Institut ont conçu des sup- ports pédagogiques interactifs transposés sur Internet. . Ils assurent un tutorat à distance permettant un suivi personnalisé et constant de l'élève distant. . L'interactivité du dispositif est double : naviga- bilité et aide à l'apprentissage en ligne d'une part, et échange permanent d'informations (questions, réponses, corrigés, soumissions de tests en ligne et de devoirs) entre élèves et enseignants d'autre part. . Pendant le cycle préparatoire, quelques regrou- pements permettent : - d'évaluer les stagiaires (devoirs sur table en fin de module), - d'échanger en temps réel, avec l'équipe pédago- gique et l'équipe administrative. Une grande partie du travail se déroule en mode asynchrone (de manière souple en temps et en lieu) à partir de diverses ressources pédagogiques : docu- ments de cours et d'exercices, ateliers de simulation, exercices d'auto-évaluation, animations. Le dispositif technique de formation à distance associe à un micro-ordinateur de type PC ou Mac ou à une station de travail Unix, un accès au réseau Internet par l'intermédiaire d'un modem et d'un abonnement auprès d'un serveur d'accès à Internet. Les seuls logiciels requis sont les naviga- teurs internet : Internet Explorer ou Netscape Navigator, tous deux à partir des versions 3. Les cours sont téléchargés par le logiciel PHEDRE'et i) est conseillé de les imprimer pour éviter la fatigue de la lecture sur l'écran. Les exer- cices sont interactifs, avec des icônes " aide " et " solution " : l'avantage du dispositif est que l'inter- e PHEDREestla plate-formede formationutiliséepar)'INP. activité est conservée hors connexion. Les frais de connexion seront donc essentiellement ceux des " chatrooms ". » 1.3. La e-formation et la formation profes- sionnelle continue Une e-formation doit répondre à plusieurs critères pour pouvoir être prise en charge dans le cadre de la for- mation professionnelle continue. La circulaire DGEFP n 2001/22 du 20 juillet 2001 [2] indique que la e-formation doit respecter les conditions suivantes : . la fonnation se déroule conformément à un programme qui : . définit des objectifs ; . précise les moyens pédagogiques et d'encadrement mis en oeuvre ; . définit un dispositif permettant de suivre l'exécution du programme et d'en apprécier les résultats. . la formation donne lieu à l'établissement d'une con- vention de formation au même titre qu'une formation traditionnelle ; . la formation doit être encadrée par un formateur-tuteur, intervenant sur le lieu de la formation ou à distance (tutorat synchrone ou asynchrone) ; . la durée effective de la formation ou à défaut une durée estimée doit pouvoir être précisée. 1.4. Avantages de la e-formation D'après le baromètre CCIP 2006 [3] du e-learning, enquête annuelle menée par le PREAU (centre pour l'in- novation pédagogique et le e-learning), et l'OFEM (Observatoire de la Formation, de l'Emploi et des Métiers), les apports de la e.formation sont les suivants : Pourles collaborateurs Pour l'entreprise Lesapportslesplus cités Souplesse et flexibilité (72%) Baisse des coûts(43%) Gestiondutempsoptimisée(55%) Plus grandesouplessed'utilisation(40%) Individualisation du parcours (61 %) Plus d'efficacité de ia formation (38% · Autonomieetresponsabilisation(61 Gestiondutempsoptimisée(28%) Lesautresapportscités Formationsurlepostedetravail(54%) -Parcoursindividualisé Motivation Partage des connaissances Complément à la formation Suivi, conir5le et évaluation en présentiel REE N'9 Octobre2006 1 Repères RISQUES ET SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES A COMPOSANTE LOGICIELLE (2- partie) Les observations réalisées par les écoles des mines (formation continue diplômante sur deux ans) et par Aciade (Société spécialisée dans la formation continue dans les entreprises) confirment l'efficacité, la souplesse, l'optimisation du temps, la baisse des coûts (pas de frais ni de temps perdu dans les déplacements notamment). Il a été possible de comparer les résultats de formations identiques (mêmes contenus) suivant qu'elles étaient dis- pensées sous forme traditionnelle (cours magistral) ou en e- fonnation. Pour des formations de quelques heures à quelques jours, pour un résultat pédagogique identique, l'apport de contenu se fait plus rapidement en e-formation que sous forme tra- ditionnelle : les apprenants passent entre un tiers et moitié moins de temps. En revanche, sur les formations longues (plusieurs mois), les étudiants consacrent plus de temps à la consul- tation des contenus en ligne que le temps qu'ils n'en pas- saient en cours. L'expérience est trop récente pour qu'une explication ait été trouvée. 1.5. Inconvénients La mise en place d'actions de formation à distance rencontre les obstacles suivants : . les dispositifs de formation à distance sont encore jeunes et mal connus donc les demandeurs potentiels n'y pensent pas forcément ; . la résistance au changement (de la part des appre- nants, des formateurs). Il faut donc préparer les dif- férents intervenants à l'utilisation de la e-formation et les impliquer dans la préparation de la mise en place du dispositif ; . la législation sur la formation continue : si la loi prend en compte, les formations dispensées sous forme de e-formation, la formation est décomptée en fonction des heures passées et pas en fonction des objectifs atteints. Un organisme de formation n'a donc pas intérêt à remplacer ses formations tradi- tionnelles par des e-formations, sauf si le destina- taire de la formation le demande expressément ce qui est encore rare ; . la production de contenus est coûteuse. Les contenus disponibles concernent d'abord des contenus sus- ceptibles d'intéresser un large public : bureautique, utilisation d'Internet,... Petit à petit, l'offre se déve- loppe, en parallèle avec les travaux sur les « objets pédagogiques » permettant de réduire les coûts de production en favorisant la réutilisabilité des modu- les de contenu. 1.6. e-formation et pédagogie On considère traditionnellement qu'une formation peut permettre de transmettre des connaissances, un savoir faire et un savoir être. La e-formation, parce qu'elle utilise les outils infor- matiques, peut proposer des contenus basés sur une péda- gogie active, dont Jean-Louis Fréchin a décrit les avanta- ges dans un exposé [4] présenté à la conférence NumerOO et dont voici quelques extraits : . Les recherches autour des technologies de l'éduca- tion ont montré que les apports les plus significatifs n'étaient pas à rechercher dans l'accroissement des connaissances. Les effets qualitatifs les plus significatifs se rencon- traient en dehors de la " sphère des savoirs " là où se développent les compétences, les attitudes et les comportements. . L'ordinateur est adapté aux pratiques induites par les pédagogies actives. C'est ainsi qu'il trouvera sa place dans le cadre général de la mutation des systè- mes éducatifs. . Pour développer une nouvelle relation aux savoirs, il faut apprendre à apprendre. 'On a l'habitude de considérer de manière schématique que l'on retient 10 % de ce qu'on lit, 20 % de ce qu'on entend, 30 % de ce qu'on voit, 50 % de ce qu'on dit, 50 % de ce qu'on entend et l'on voit et 90 % de ce qu'on fait. . Il est admis de manière schématique que la mémori- sation entraîne un processus de réminiscence affec- tive et émotionnelle. . Ces concepts de mémoires affectives sont liés à la combinaison du faire et de la sollicitation des sens par les différents médias... . Les projets multimédias réalisés autour de ces concepts permettent de faire. Ils reposent sur l'association indissociable des contenus, de l'interactivité, d'une esthétique orien- tée sur la production " d'expériences et de connais- sances ". On le voit, en matière de formation à la sécurité, des outils bien conçus peuvent permettre d'améliorer les comportements. 1 REE N,9 Octobre2006 Former à la sécurité - utilisation de la « e-formation » 2. Besoins en formation 2.1. Besoins techniques l JI ". , 1 < Il t * 1 e> p- Figui-e 3. Le Iiiatériel infoi-iiiatiqiie à répai-er ! La sécurité concerne essentiellement la sécurité des réseaux informatiques pour limiter les risques liés à l'uti- lisation d'un réseau. On peut citer notamment : Risque Connaissances à avoir pour diminuer lerisque Panne de matériel serveur, disques Solutions limitant le risque de pannes durs,alimentationélectrique, oupermettantdebasculerrapidement d'unmatérielenpanneversunmaté- rielenétatdebonfonctionnement IntrusionmalveillantedanslesystèmeConfigurationduserveur,desutilisa- teurs, utilisationd'unpare-feu, d'un anti-virus,. Pointsfaiblesdessystèmes. Utilisationdefaillesdesécuritédans Veille, mises à jour régulières,. les programmes. Falsificationdedonnées Signatureélectronique Perte de données Sauvegardes (support, stockage,) 2.2. Sensibilisation des utilisateurs 161 à t L7 I-tt-,n Figarre 4. L'titilisateiir à sensibiliser ! Dans un article [5] paru dans le Journal du Net le 03/07/2006 (Sécurité : 4 actions pour sensibiliser les uti- lisateurs), Christophe Auffray (JDN Solutions) insiste sur le fait qu'une majorité des problèmes de sécurité provient des utilisateurs du système : « La menace interne n'est en effet pas nouvelle. Déjà en 2001, Computer Security Institute (CSI) pointait du doigt l'utilisateur. Selon CSI, 60 % des attaques provenaient de l'intérieur de l'entreprise. En 2006, ce chiffre était de 80 % d'après SmartLine, éditeur de logi- ciel spécialisé dans la sécurité informatique (lire l'arti- cle du 27/04/2006). Et 75 % des attaques venant de l'ex- térieur suivaient une divulgation d'information. L'humain est le maillon faible de la sécurité Former le personnel est un moyen performant pour limiter les risques : " L'enjeu de la sensibilisation et de l'éducation des employés est de développer une culture sécurité au sein de l'entreprise, afin qu'ils puissent contribuer à renforcer la sécurité du système d'information » La sécurité devant être partie prenante de la culture d'en- treprise, la démarche de formation doit impliquer tous les acteurs de l'entreprise et être permanente. La e-formation est bien adaptée à ce type d'action car : . elle est disponible à tout moment et peut être utilisée également comme support documentaire au quotidien ; . elle peut comporter plusieurs niveaux pour s'adapter au profil de l'apprenant (cadre, secrétaire,...) ; . elle véhicule la culture d'entreprise et permet de s'as- surer que tout le monde a reçu la même information ; . avec un scénario pédagogique bien choisi (jeu de ques- tions, simulations), elle peut faire évoluer non seule- ment les connaissances mais aussi le comportement. Si la formation est disponible sur un intranet, elle peut être mise à jour en permanence ce qui en fait un disposi- tif de formation " en continu ". La présence d'un forum dans le dispositif permet de développer l'esprit de groupe, favorise l'appropriation des consignes et implique les personnes dans une démar- che active. 3. Offres du marché 3.1. Formations techniques Les formations techniques concernent l'apport de connaissances et s'adressent à un public familier en géné- ral des nouvelles technologies. L'offre en e-formation est donc assez fournie et propose des auto-formations et des formations tutorées. Les principaux thèmes abordés sont : . la sécurité des réseaux ; . la gestion de la sécurité de l'information et des sys- tèmes d'information selon la norme ISO- ; . l'analyse de risques. REE N'9 Octobre2006 1 Repères RISQUES ET SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES A COMPOSANTE LOGICIELLE (21 ", partie) 3.2. Formations des utilisateurs On trouve des petits modules de formation assez dis- parates sur des sujets comme : ') a signature électronique : citons le module de forma- tion produit par le CFSSI - Centre de Formation à la Sécurité des Systèmes d'Information - (Ministère de la Défense) disponible à l'adresse www.ssi.gouv.fr/fr ainsi que le document pdf à télécharger sur www. certificat-electronique,fr : (utilisation de clé) ; . la protection du matériel ; . la protection des données ; . les virus, chevaux de Troie,..., . l'utilisation des mails et d'internet ; * te paiement en ligne ; . l'analyse de risque et la prévention ; Ces modules ont en moyenne une durée de deux à trois heures et sont proposés en auto-formation et parfois en formation tutorée. Ils peuvent s'intégrer dans une for- mation mixte comme préalable à des travaux de groupe, des jeux de rôle,... 4. Exemple de mise en place d'une solution personnalisée On l'a vu, la mise en place d'une formation à la sécu- rité doit impliquer toute l'entreprise et s'inscrire dans la durée. En effet, la formation ne doit pas se limiter à un apport de connaissances, elle doit aussi s'attacher à modi- fier le comportement des utilisateurs. La première phase de la mise en place va être consti- tuée par un audit qui va permettre de préciser : . les règles à mettre en place pour limiter les risques tout en restant dans des limites acceptables pour être effectivement appliquées au quotidien ; . les personnes à former et par qui elles le seront (la formation peut être tutorée par des intervenants exté- rieurs dans un premier temps puis relayée en interne, l'utilisation de la e-formation permettant de réduire le besoin en tutorat) ; . un planning. Cette phase est souvent l'occasion de mettre à plat la culture d'entreprise. Par les échanges qu'elle crée à diffé- rents niveaux de l'entreprise et par la formalisation qu'elle impose, on y prend souvent conscience que les consignes existantes sont souvent interprétées différem- ment d'une personne à l'autre ou d'un service à l'autre, parfois même de façon erronée. Bien que surprenante, cette constatation est si fréquente qu'on peut presque l'ériger en règle ! À l'issue de cette phase, on dispose d'un cahier des charges validé par l'entreprise. La formation peut mêler modules de e-formation exis- tants, modules personnalisés, regroupements, etc. Pour s'assurer de l'adéquation de la formation avec les besoins, on peut procéder en deux temps : . réalisation d'une maquette de formation à partir d'un module représentatif et validation pédagogique du résultat sur un public restreint ; . réalisation de la formation complète en tenant compte de la première évaluation et validation péda- gogique de la formation complète. On peut ensuite installer les modules de e-formation en réseau (intranet, internet,...) pour les rendre accessi- bles à tout moment (pour la formation comme pour la consultation au quotidien). Le contenu de la formation étant susceptible d'évoluer régulièrement, on peut prévoir aussi la formation de per- sonnes ressources qui vont pouvoir maintenir et faire évo- luer le dispositif. Références [1] Institut National Polytechnique de Lorraine, site Internet http ://www.inpl-nancy.fr [2] "Circulaire DGEFP n'2001122 du 20juillet 2001", document officiel, Bulletin Officiel du Travail, de l'Emploi et de la Formation Professionnelle No 2001/16, mercredi 5 septem- bre 2001. [3) "Baromètre CCIP2006 du e-learning", rapport d'enquête, Le PREAU-OFEM,http ://www.preau.ccip.fr/. juin 2006. [41 J.-L. FRÉCHIN,. "Education by Design ", acte de confé- rence, Conférence numerOO(Rencontres internationales du design interactif), décembre 2000. t5] C. AUFFRAY (JDN Solutions), "Sécurité : 4 actions pour sensibiliser les utilisateurs, " article du Journal du Net, http//wwwjournaldunetcom/, 3 juillet 2006. Crédits Illustrations issues du site http ://www.illustrations.fr L'a u t e u r Nicole Chanala d'abordété professeurcertifiéde mathémati- . -1 -1 -11 --- 1- - _--- -.- 11------.- - Nicole Chanala d'abordété professeurcertifiéde mathémati- ques,puiselles'estintéresséeauxapplicationsde l'informatique dansl'enseignementdèslesannées1980. EntantqueChefdeProjetdansuneSSII, puiscommeenseignant- chercheuràl'EcoledesMinesdAlès,elleaconçuetdéveloppédes produitsmultimédiade formationpourlaformationcontinuedes PME/PMI(simulateurde projetsinformatiques,formationaux méthodesdeconduitedeprojet,jeud'entreprisesurla Qualité,for- mationau contrôledesbalances,aucontrôledesanalyseursde gaz,formationHACCP,... ainsiqu'unenvironnementde dévelop- pementd'applicationsmultimédia Ematech). Elleestgérantedel'entrepriseAciadecrééeen2005,sociétéspé- cialiséedanslaformationàdistanceet lagestiondesconnaissan- ces.Elleparticipe,avecl'écoledesm ! nes dAiès,à desprojetsde recherchesurlamodélisationdesconnaissanceset le développe- mentd'outilsauto-adaptatifs,ainsiqu'àdesprojetsinter-régionaux. 1 REE N'9 Octobre2006