Si votre établissement d’enseignement dispose d’un site web qui recueille des données sur les étudiants, la protection de ces données est une responsabilité à la fois légale et éthique.

Au-delà du maintien de la confiance avec les étudiants et leurs familles, le respect des lois sur la protection des données est obligatoire dans de nombreuses juridictions. Les deux principales réglementations à prendre en compte sont les suivantes :

  • FERPA (Family Educational Rights and Privacy Act). Cette réglementation américaine comprend des exigences de conformité telles que la restriction de l’accès aux données des étudiants aux seules personnes autorisées et l’obtention d’un consentement écrit avant de partager les données des étudiants. Le ministère américain de l’éducation dispose d’un site web dédié à la protection de la vie privée des étudiants qui contient de nombreuses ressources sur la FERPA.
  • RGPD (Règlement général sur la protection des données). Ce règlement européen comprend un certain nombre d’exigences de conformité telles que l’obtention d’un consentement clair pour la collecte de données, la garantie de la portabilité des données, la mise en œuvre des principes de « privacy by design » et la notification rapide aux étudiants et aux autorités en cas de violation des données. Nous avons un article complet sur la conformité de WordPress au RGPD.

Cet article présente des moyens pratiques de sécuriser les données des étudiants sur les sites web éducatifs construits avec WordPress. Il s’agit de conseils techniques, comme le cryptage des données des élèves, ainsi que d’autres stratégies importantes, comme l’éducation de votre personnel à la sécurité des données.

Entrons dans le vif du sujet..

Utiliser un fournisseur d’hébergement sécurisé

Un hébergeur sécurisé est l’un des moyens les plus efficaces de protéger les données des élèves sur votre site WordPress. Un hébergeur bien configuré permet d’éviter les accès non autorisés, les violations de données et les temps d’arrêt.

Par exemple, Kinsta propose un hébergement infogéré de WordPress pour les établissements d’enseignement avec des fonctions de sécurité intégrées pour aider à protéger les données de votre organisation, y compris :

  • Infrastructure sécurisée. Kinsta utilise une infrastructure sécurisée alimentée par Google Cloud Platform à l’origine et Cloudflare à la périphérie du réseau.
  • Certificat SSL gratuit. Kinsta propose des certificats SSL gratuits, ce qui est important car l’activation d’un certificat SSL vous permet de crypter les données lorsqu’elles transitent entre le serveur de votre site web et les navigateurs des étudiants.
  • Pare-feu. Tous les sites sont protégés par deux pare-feu de niveau entreprise. Le pare-feu de Cloudflare protège votre site à la périphérie du réseau, empêchant ainsi de nombreuses attaques d’atteindre le serveur d’origine de votre site. Votre site est également protégé par le pare-feu de protection IP de Google Cloud Platform.
  • Sauvegardes automatiques. Kinsta sauvegarde automatiquement votre site tous les jours pour tous les plans et stocke vos sauvegardes dans un endroit sécurisé. Vous pouvez également augmenter la fréquence de ces sauvegardes automatiques, jusqu’à des sauvegardes toutes les heures.
  • Authentification à deux facteurs (2FA). Vous pouvez utiliser l’authentification à deux facteurs pour sécuriser l’accès à votre compte d’hébergement.
  • Support 24/7. Vous pouvez accéder à l’assistance par discussion en direct 24/7 si vous avez besoin d’aide pour quoi que ce soit.
Infrastructure d'hébergement Kinsta.
Infrastructure d’hébergement Kinsta.

Quel que soit le fournisseur d’hébergement que vous choisissez, assurez-vous que vous tirez pleinement parti de toutes ses fonctionnalités de sécurité.

Cryptage des données et sauvegardes

Le cryptage peut aider à protéger les données des élèves lorsqu’elles sont en transit et au repos, garantissant que les informations sensibles restent à l’abri d’un accès non autorisé.

Pour commencer, il est essentiel d’utiliser un certificat SSL/TLS et d’activer le protocole HTTPS sur votre site web WordPress. Cela permet de crypter les données lorsqu’elles transitent entre les navigateurs des élèves et votre site WordPress, empêchant ainsi leur interception par des tiers.

Si vous stockez des données sur les élèves, il se peut que vous deviez également crypter les données au repos. L’approche dépend de l’endroit où les données sont stockées :

  • Si les données sont stockées dans votre base de données WordPress, envisagez d’utiliser une base de données avec des capacités de cryptage intégrées. Par exemple, MariaDB prend en charge le chiffrement transparent des données (TDE) pour chiffrer les données au repos.
  • Si vous utilisez une base de données externe, vérifiez si elle prend en charge le cryptage et comment la configurer correctement.

Il est également important de crypter toutes les sauvegardes contenant des données sur les élèves, car elles pourraient constituer un autre vecteur d’accès aux données des élèves pour un acteur non autorisé.

Si vous utilisez Kinsta, vous n’avez pas à vous en soucier, car les sauvegardes sont créées au niveau du serveur et stockées en toute sécurité dans Google Cloud Storage sur Google Cloud Platform (GCP). Toutefois, si vous préférez plus de flexibilité, le module de sauvegardes externes vous permet de stocker les sauvegardes dans votre propre stockage d’objets externe, tel qu’Amazon S3, où vous pouvez appliquer le chiffrement à l’aide des outils du fournisseur.

Une liste de sauvegardes provenant de l'outil de sauvegarde automatique de Kinsta.
Une liste de sauvegardes provenant de l’outil de sauvegarde automatique de Kinsta.

De nombreuses extensions WordPress de sauvegarde incluent également des fonctionnalités qui vous permettent de crypter vos sauvegardes WordPress. Par exemple, BackWPup Pro dispose d’une fonction de cryptage spéciale que vous pouvez utiliser pour sécuriser les données des élèves dans les sauvegardes.

Sensibiliser le personnel et les administrateurs à la sécurité des données

La sécurisation des données des élèves est un travail d’équipe. Même si vous avez tout mis en place à la perfection sur le plan technique, une simple erreur humaine, comme la réutilisation d’un mot de passe faible ou la mauvaise manipulation de données sensibles, peut entraîner des failles de sécurité.

Pour prévenir ces risques, il est important d’informer le personnel et les administrateurs de leurs responsabilités lorsqu’ils manipulent des données sur les élèves.

Voici quelques-uns des sujets que vous devriez aborder :

  • Politiques en matière de mots de passe. Exigez du personnel qu’il utilise des mots de passe uniques et robustes pour ses comptes. Vous pouvez également les encourager à utiliser un gestionnaire de mots de passe comme Bitwarden ou LastPass.
  • Pratiques de traitement des données. Le personnel autorisé doit être formé à la manipulation sécurisée des données des élèves. Par exemple, le fait de crypter les données des élèves sur votre serveur ne servira à rien si le personnel partage des fichiers non cryptés par e-mail ou par d’autres canaux non sécurisés.
  • Prévention du phishing. Vous devez expliquer les types d’attaques d’hameçonnage les plus courants et la manière dont votre personnel peut éviter ces problèmes. Par exemple, en ne cliquant pas sur les liens contenus dans les e-mails, en ne partageant jamais l’OTP pour l’authentification à deux facteurs, etc. Le gouvernement britannique propose une page intéressante sur la manière de protéger votre organisation contre les attaques par hameçonnage.

Limiter l’accès à votre site et à vos données

En plus d’éduquer le personnel et les administrateurs à la manipulation correcte des données, vous devriez restreindre l’accès aux données des étudiants. En général, le fait que moins de personnes aient accès aux données des élèves facilite leur sécurisation et réduit le risque qu’une erreur humaine conduise à une violation de données.

Au-delà de l’amélioration générale de la sécurité des données, la FERPA vous oblige explicitement à limiter l’accès aux données des étudiants aux seules personnes autorisées.

Sur WordPress, vous pouvez utiliser le système de rôles d’utilisateur de WordPress pour restreindre l’accès de chaque utilisateur. WordPress est livré avec cinq rôles d’utilisateur intégrés (ou six si vous utilisez WordPress multisite), mais vous êtes libre de créer vos propres rôles ou de modifier les rôles par défaut.

Les rôles d'utilisateur par défaut de WordPress.
Les rôles d’utilisateur par défaut de WordPress.

Chaque rôle est assorti d’un ensemble prédéfini de « capacités », qui contrôlent les actions individuelles et l’accès des utilisateurs. Nous couvrons ces sujets dans notre guide détaillé sur les rôles et les capacités de WordPress.

Pour gérer plus facilement ces rôles et capacités, vous pouvez utiliser l’extension User Role Editor.

Il offre une interface simple où vous pouvez activer ou désactiver des capacités spécifiques en cochant une case. Vous pouvez modifier les capacités des rôles d’utilisateur par défaut de WordPress ou créer vos propres rôles.

Comment gérer les rôles et les capacités des utilisateurs avec User Role Editor.
Comment gérer les rôles et les capacités des utilisateurs avec User Role Editor.

Vous pouvez ensuite aller plus loin en mettant en place une authentification à deux facteurs pour tous les utilisateurs qui ont accès à des données sensibles. Vous pouvez mettre cela en place en utilisant une extension comme Wordfence Login Security, qui vous permet d’exiger une authentification à deux facteurs pour des rôles d’utilisateurs spécifiques sur votre site.

Si vous exigez une authentification à deux facteurs pour tout rôle d’utilisateur ayant accès aux données des élèves (en plus d’imposer des mots de passe forts), vous pouvez réduire considérablement le risque qu’une personne non autorisée ait accès à ces données.

Si vous hébergez votre site web avec Kinsta, nous offrons également une gestion solide des rôles des utilisateurs pour les personnes ayant accès à votre compte d’hébergement. Vous pouvez assigner des utilisateurs à des sites web spécifiques, appliquer l’authentification à deux facteurs, et plus encore.

Collecter des données de manière responsable (et minimiser la collecte de données)

En plus de sécuriser les données des étudiants que vous possédez, il est également important d’être attentif à la manière dont vous collectez les données des étudiants.

Pour commencer, vous devez minimiser les données que vous collectez. Essayez de réfléchir à la raison pour laquelle vous collectez chaque donnée et ne collectez que les données réellement nécessaires au fonctionnement de votre établissement d’enseignement.

Ensuite, lorsque vous collectez ces données, assurez-vous que vous le faites de manière responsable.

Vous devez disposer de formulaires de consentement explicite pour toutes les données relatives aux étudiants que vous collectez.

Vous devez également disposer d’une politique de confidentialité complète qui explique les points suivants :

  • Quelles sont les données que vous collectez.
  • Pourquoi vous collectez ces données.
  • Comment vous stockez ces données.

Pour faciliter la création et l’affichage d’une politique de confidentialité, vous pouvez utiliser une extension WordPress telle que Complianz.

Il est également essentiel que vous installiez un certificat SSL/TLS et que vous activiez HTTPS afin que toutes les données que vous collectez via votre site soient cryptées lorsqu’elles passent du navigateur de l’utilisateur à votre serveur. Là encore, l’hébergement WordPress de Kinsta propose des certificats SSL/TLS gratuits.

Enfin, vous devez mettre en œuvre des politiques de conservation des données qui dictent la durée de stockage des données, et vous devez régulièrement supprimer les données qui ne sont plus nécessaires.

Par exemple, si vous n’avez besoin que de certaines informations sur les étudiants actifs, il n’est pas judicieux de continuer à stocker ces données une fois que l’étudiant a obtenu son diplôme. Une politique de conservation des données peut vous permettre de vous assurer que vous supprimez correctement les données dont vous n’avez plus besoin.

Pour automatiser certaines de ces politiques de conservation des données, vous pouvez utiliser une extension WordPress comme Advanced Database Cleaner. Elle vous permet de nettoyer certaines données de votre base de données selon un calendrier que vous définissez (ou vous pouvez simplement l’exécuter manuellement lorsque c’est nécessaire).

Comment supprimer des données à l'aide de l'extension Advanced Database Cleaner.
Comment supprimer des données à l’aide de l’extension Advanced Database Cleaner.

Sécuriser tous les téléversements de fichiers et les autorisations

Pour protéger votre site et vos données contre les fichiers malveillants, il est également important de sécuriser les téléversements de fichiers vers votre site. Cela permet d’éviter le téléversement intentionnel ou non d’un fichier malveillant sur votre serveur, susceptible de provoquer une violation des données.

Pour commencer, vous devez limiter les types de fichiers autorisés à être téléversés sur votre serveur. Bloquez tous les types de fichiers potentiellement malveillants et n’autorisez que les types de fichiers spécifiques nécessaires à votre site. Sur WordPress, vous pouvez contrôler les types de fichiers autorisés en utilisant une extension gratuite comme File Upload Types.

Comment utiliser l'extension File Upload Types pour limiter les types de fichiers.
Comment utiliser l’extension File Upload Types pour limiter les types de fichiers.

Vous devez également contrôler étroitement les utilisateurs autorisés à téléverser des fichiers sur votre site. Comme nous l’avons vu précédemment, vous pouvez le faire en utilisant le système de rôles de WordPress. Plus précisément, vous pouvez utiliser la fonctionnalité upload_files pour contrôler quels rôles d’utilisateurs ont la possibilité de téléverser des fichiers.

Il est également important de configurer votre serveur pour limiter l’accès aux fichiers téléversés, ce que vous pouvez faire avec les règles .htaccess ou nginx.conf. Veillez également à définir les autorisations appropriées pour contrôler l’accès à ces fichiers sur votre serveur.

Contrôler et surveiller l’accès aux données des élèves

Il est également essentiel de contrôler les données relatives aux étudiants et de vérifier l’accès à ces données.

Par exemple, si vous souhaitez savoir qui a consulté les données des élèves, si des modifications ont été apportées aux données des élèves, etc. Cela peut vous aider à détecter des problèmes potentiels et à vous assurer que les membres de votre personnel respectent vos politiques de stockage et de traitement des données.

Pour suivre les utilisateurs de WordPress qui consultent ou modifient les données des élèves, vous pouvez utiliser une extension comme WP Activity Log. En plus de vous permettre d’afficher un journal des actions dans votre tableau de bord WordPress, vous pouvez également configurer des alertes par e-mail ou SMS, ce qui peut vous aider à détecter rapidement toute activité suspecte.

Un exemple de l'extension WP Activity Log.
Un exemple de l’extension WP Activity Log.

Au-delà de l’enregistrement des activités dans WordPress, vous devriez également procéder à des audits réguliers pour examiner les entrées de la base de données et les journaux d’accès des utilisateurs.

MySQL et MariaDB incluent des outils de journalisation que vous pouvez utiliser, bien que vous deviez les activer :

N’utilisez que des plugins WordPress de confiance

Le large éventail d’extensions WordPress disponibles est l’une des raisons pour lesquelles WordPress est si bien adapté aux sites web consacrés à l’éducation.

Cependant, chaque extension que vous installez sur votre site est susceptible de poser des problèmes de sécurité des données. C’est pourquoi il est essentiel de vérifier minutieusement chaque extension et de n’utiliser que des extensions provenant de développeurs WordPress de haute qualité et de confiance.

Avant d’installer une extension, assurez-vous de prendre en compte les facteurs suivants :

  • Support et mises à jour du développeur. Assurez-vous que le développeur soutient toujours activement l’extension et publie de nouvelles mises à jour. Accordez une attention particulière aux mises à jour de sécurité. Les problèmes de sécurité peuvent survenir même avec les meilleurs logiciels, mais les développeurs s’efforcent de publier rapidement un correctif de sécurité et de fournir des informations sur la vulnérabilité.
  • Avis des utilisateurs. Ils peuvent constituer une excellente vision sur l’expérience d’autres utilisateurs et sur la qualité globale de l’extension.
  • Installations actives. Vous devez généralement vous méfier des extensions dont le nombre d’installations actives est faible. Il peut cependant y avoir des exceptions. Par exemple, si une extension résout un problème de niche mais provient d’un développeur de confiance, vous ne devriez pas l’exclure automatiquement.

Outre la qualité de l’extension et du développeur, vous devez également vérifier si l’extension est conçue d’une manière compatible avec la FERPA, le RGPD et d’autres directives pertinentes.

Par exemple, même si une extension provient d’un développeur de haute qualité avec un excellent historique, elle peut ne pas convenir si l’extension recueille ou stocke des données d’une manière qui n’est pas conforme à la FERPA ou au RGPD.

Mettre rapidement à jour WordPress, les plugins et les thèmes

Il est essentiel de maintenir votre noyau WordPress, vos extensions et vos thèmes à jour pour assurer la sécurité de votre site. Les logiciels obsolètes peuvent exposer des vulnérabilités que des acteurs malveillants peuvent exploiter.

Selon un rapport de sécurité de Sucuri datant de 2023, 39,1 % des sites web CMS piratés utilisaient des logiciels obsolètes au moment de l’infection. En outre, en 2023, les extensions étaient responsables de 97 % de toutes les nouvelles failles de sécurité dans l’écosystème WordPress.

Pour limiter ces risques, il est essentiel d’appliquer rapidement toutes les mises à jour de sécurité au noyau de WordPress, aux extensions et aux thèmes. Des mises à jour régulières garantissent que les vulnérabilités connues sont corrigées, ce qui réduit le risque d’exploitation.

Si vous craignez que les mises à jour logicielles ne causent des problèmes sur votre site, vous pouvez les tester sur un site de démonstration avant de les appliquer à votre site web en production. Si vous hébergez votre site chez Kinsta, vous pouvez facilement créer un site de staging et mettre en ligne tout ou partie des modifications après les avoir testées.

Kinsta propose également un module de mise à jour automatique pour faciliter l’application des mises à jour :

  • Mises à jour programmées pour les extensions et les thèmes. Cela effectue ces mises à jour pour toutes les extensions et thèmes aux jours que vous choisissez, garantissant ainsi que votre site reste à jour.
  • Sauvegardes automatiques avant les mises à jour. Cela effectue automatiquement une nouvelle sauvegarde avant d’appliquer les mises à jour afin que vous disposiez d’un point de restauration propre.
  • Tests de régression visuelle. Il s’agit de comparer l’apparence de votre site avant et après une mise à jour. Si un problème est détecté, le système revient automatiquement au point de restauration.
L'outil de mise à jour automatique de Kinsta.
L’outil de mise à jour automatique de Kinsta.

Vous pouvez également envisager d’utiliser une extension comme Easy Updates Manager. Elle peut vous aider de différentes manières :

  • Notification par e-mail des mises à jour disponibles. Vous pouvez recevoir un e-mail lorsqu’une nouvelle mise à jour de l’extension est disponible, ce qui est utile si vous ne vérifiez pas le tableau de bord de WordPress tous les jours.
  • Gérer les mises à jour automatiques. Si vous souhaitez activer les mises à jour automatiques des extensions, vous disposez d’outils pour les gérer, comme la planification de l’application des mises à jour.
  • Journalisation. Vous pouvez consulter les journaux des mises à jour qui ont été appliquées.
  • Sauvegardes automatiques. Si vous utilisez l’extension UpdraftPlus, elle peut sauvegarder automatiquement votre site avant de mettre à jour les extensions.

Préparer un protocole en cas de violation des données

Si vous suivez tous les conseils ci-dessus, vous devriez être en bonne position pour sécuriser les données de vos élèves.

Cependant, il est toujours important d’avoir un plan d’action en cas de problème. C’est pourquoi vous devez avoir un protocole prédéterminé en cas de violation de données.

Pour commencer, vous devez disposer d’un plan de notification sur la manière de communiquer toute violation de données :

  • Prévoyez comment notifier les utilisateurs concernés. Vous devez le faire rapidement. Par exemple, le RGPD exige que vous notifiiez les utilisateurs dans les 72 heures.
  • Renseignez-vous sur les autorités à qui vous devez notifier les violations de données et sur la manière dont vous pouvez les contacter.

De nombreuses extensions WordPress de conformité au RGPD peuvent vous aider à signaler les violations de données aux utilisateurs concernés. Par exemple, l’extension Complianz dispose d’un assistant de rapport de fuite de données qui peut vous aider à signaler et à gérer les fuites de données. D’autres extensions proposent également des outils similaires.

Outre le respect des exigences en matière de rapports, vous devez également mettre en place un plan de restauration de votre site web. Par exemple, en cas de violation d’un site web, vous voudrez peut-être restaurer la dernière sauvegarde propre.

Vous devez également tester périodiquement la restauration d’une sauvegarde dans un environnement de staging, car cela vous permet d’acquérir une expérience concrète et de restaurer votre sauvegarde lorsque la pression se fait sentir.

Si vous êtes hébergés chez Kinsta, vous pouvez facilement restaurer une sauvegarde dans votre environnement de production ou de simulation en cliquant simplement sur un bouton.

Comment restaurer une sauvegarde chez Kinsta.
Comment restaurer une sauvegarde chez Kinsta.

Résumé

Quelle que soit la manière dont vous construisez le site web de votre établissement d’enseignement, il est important de sécuriser les données des étudiants pour se conformer à des lois telles que la FERPA aux États-Unis et le RGPD en Europe.

Si vous utilisez WordPress, vous pouvez tirer parti des fonctionnalités de base de WordPress et de sa vaste bibliothèque d’extensions pour vous aider à sécuriser les données des étudiants et à vous conformer à la législation.

Si vous combinez la bonne configuration de WordPress et la formation des utilisateurs avec un hébergement web fiable et sécurisé, vous pouvez être sûr que les données de vos étudiants restent en sécurité.

Pour savoir comment l’hébergement WordPress de Kinsta peut vous aider à créer une base sécurisée pour le site web de votre établissement d’enseignement, consultez l’hébergement éducatif de Kinsta ici.

Jeremy Holcombe Kinsta

Rédacteur en chef du contenu et du marketing chez Kinsta, développeur web WordPress et rédacteur de contenu. En dehors de WordPress, j'aime la plage, le golf et le cinéma. J'ai aussi des problèmes avec les personnes de grande taille ;).