Comment Sécuriser un ENT ?

Les derniers chiffres du ministère de l’Éducation nationale et de la Jeunesse⁽¹⁾ rapportent que plus de 27 000 écoles, la quasi-totalité des lycées et près de 90 % des collèges publics utilisent un ENT (espace numérique de travail). L’application traite un volume massif de données personnelles.

Enseignants, personnels administratifs, responsables légaux et élèves – dont une large proportion d’enfants mineurs – sont concernés. Dans ce contexte, l’enjeu de sécurité des données est majeur. C’est pourquoi la mise en place des ENT s’inscrit dans un cadre réglementaire strict. Pour faciliter la tâche et s’assurer de sécuriser son espace numérique de travail, l’établissement est accompagné par son académie qui bénéficie elle-même du soutien financier et stratégique de la collectivité territoriale.

Espace numérique de travail ou ENT : définition officielle

“ La généralisation des ENT dans les établissements d'enseignement s'inscrit dans le cadre de la politique du numérique éducatif menée par le ministère de l'Éducation nationale et de la Jeunesse. Les services proposés par les plateformes permettent non seulement de tirer parti des nouvelles technologies pour faciliter l'enseignement, mais aussi de former les élèves aux usages du digital. ”

L’arrêté du 30 novembre 2006⁽²⁾ donne la définition suivante de l’ENT : « tout ensemble intégré de services numériques choisis et mis à disposition de tous les acteurs de la communauté éducative d’un ou plusieurs établissements de l’enseignement primaire, secondaire ou supérieur, dans un cadre défini par un schéma directeur des espaces numériques de travail (SDET) spécifique selon qu’il est mis en œuvre dans un établissement scolaire ou dans un établissement d’enseignement supérieur ; l’ENT constitue un point d’entrée unifié permettant à l’utilisateur d’accéder, selon son profil et son niveau d’habilitation, aux services et contenus numériques offerts ».

Concrètement, qu’est-ce qu’un ENT ?

Un ENT (espace numérique de travail) est une plateforme de services dématérialisés mise en place dans l’établissement scolaire, à disposition de l’ensemble de la communauté éducative : enseignants et personnels administratifs, élèves et étudiants, ainsi que parents d’élèves mineurs.

Chaque établissement choisit son fournisseur de services. Parmi les services inclus dans la plupart des ENT :

Des services pédagogiques : accès aux ressources en ligne, forum et blog d’école ou encore classe virtuelle.
Des services de communication : cahier de liaison et courrier électronique, notamment.
Des services d’accompagnement : gestion des absences, carnet de notes, emploi du temps et, plus généralement, stockage et partage de fichiers.

Concrètement, l’ENT se présente sous la forme d’un portail web. L’utilisateur saisit ses identifiants de connexion pour accéder à son espace, où il bénéficie de services dédiés en fonction de son profil utilisateur. Les utilisateurs de l’ENT sont : les enseignants et les personnels administratifs, les élèves, ainsi que les responsables légaux des élèves mineurs.

À quoi sert-il ?

L’ENT permet de digitaliser certains aspects de l’enseignement :

L’ENT remplace le support papier par le support numérique. Ex. : le carnet de correspondance de l’écolier ou le bulletin de notes du lycée sont établis et transmis au format numérique.
L’ENT dématérialise les ressources pédagogiques. Ex. : l’enseignement à distance est possible, en visioconférence.
L’ENT favorise la communication. Ex. : un espace communautaire peut permettre de discuter en ligne ; les enseignants peuvent partager des photos prises dans le cadre de projets ou d’activités scolaires.

Quels sont ses avantages ?

L’établissement n’a pas l’obligation de mettre en place un ENT. En pratique, pourtant, son usage se répand. L’espace numérique de travail, en effet, offre des avantages notables :

Pour l’établissement, c’est la possibilité de centraliser et de fiabiliser les données indispensables à son fonctionnement. Ex. : l’établissement accède facilement aux coordonnées à jour du parent à contacter en cas d’accident d’un élève.
Pour les enseignants, l’ENT offre un gain de temps, notamment au moment de transmettre des informations.
Pour les élèves et les étudiants, l’ENT participe à les familiariser aux usages du digital.

Sur ce dernier point, la généralisation des ENT dans les établissements d’enseignement s’inscrit dans le cadre de la politique du numérique éducatif menée par le ministère de l’Éducation nationale et de la Jeunesse. Les services proposés par les plateformes permettent non seulement de tirer parti des nouvelles technologies pour faciliter l’enseignement, et aussi de former les élèves aux usages du digital. La crise sanitaire de 2020 avait également démontré l’utilité des ENT pour assurer la continuité pédagogique en cas de fermeture des établissements.

Les types de risques liés à la protection des données

“ Deux catégories de risques : des risques liés à l'intégrité des données (...) et des risques liés à la sécurité des données personnelles. ”

Avec un ENT, les données personnelles des utilisateurs circulent dans un environnement numérisé, fourni par un prestataire tiers. Deux catégories de risques numériques émergent dans ce contexte :

Des risques liés à l’intégrité des données : des cyberattaques, peuvent compromettre le système ; en cas de virus informatique, l’établissement peut perdre ses données, ce qui altère son fonctionnement.
Des risques liés à la sécurité des données personnelles : dans la mesure où la plateforme est éditée par une entreprise commerciale privée, et non par l’établissement, il est important de s’interroger sur l’usage qui est fait des données.

Quelles sont les mesures prises par l’éditeur de la plateforme en matière de cybersécurité ? Qui accède aux données qui circulent via l’ENT ? Où sont hébergées les données personnelles des utilisateurs ?

Les données pédagogiques sont d’autant plus sensibles qu’elles concernent des enfants mineurs. Illustration : un parent d’élève ne souhaite pas qu’une photo de son enfant, prise lors d’une sortie à la plage, paraisse malencontreusement sur un réseau social.

Pour assurer la fiabilité du système informatique et la protection de l’utilisation des données personnelles, l’ENT est déployé dans un cadre de confiance, défini notamment par le SDET (schéma directeur des espaces numériques de travail) et le RGPD (règlement général sur la protection des données).

La garantie de protection des données des utilisateurs

“ Pour protéger les données personnelles qui transitent via l'ENT, l'établissement veille au respect du cadre réglementaire et met en place une charte de bonne conduite. ”

Si les élèves mineurs sont concernés au premier plan, les autres utilisateurs de l’ENT ont également intérêt à bénéficier de la protection de leurs données personnelles. L’enseignant, par exemple, ne souhaite sans doute pas que l’adresse de son domicile personnel soit divulguée à ses élèves.

Pour protéger les données personnelles qui transitent via l’ENT, l’établissement veille au respect du cadre réglementaire et met en place une charte de bonne conduite.

Bon à savoir :

Le chef d’établissement est accompagné par l’académie à toutes les étapes du déploiement de l’ENT, notamment sur le volet de la sécurité des données, via le délégué à la protection des données (DPD). L’académie délivre à cet effet délivre l’information, assure les formations nécessaires et assiste l’établissement de manière globale.

Zoom sur les règles du cadre général pour sécuriser un espace numérique de travail

L’ENT, en matière de sécurité des données, doit respecter les normes suivantes :

Le RGPD, règlement général d’application contraignante à l’échelle européenne.
Les lignes directrices du S3IT (schéma stratégique des systèmes d’information et des télécommunications) et le SDET (schéma directeur des espaces numériques de travail).
Le SDASIN (schéma directeur académique des systèmes d’information et du numérique), un référentiel élaboré en collaboration entre l’académie et la collectivité territoriale.
Les règles spécifiques éventuellement imposées eu égard à la nature et au projet de l’établissement.

L’arrêté du 30 novembre 2006⁽²⁾ précise les modalités d’application des normes régissant la sécurité des données dans l’ENT :

L’ENT traite des données à caractère personnel : identifiants de connexion, mais aussi informations confidentielles telles que l’identité, les coordonnées, la photo ou encore le parcours scolaire ; dès lors, le chef d’établissement déclare ce traitement à la CNIL (Commission nationale de l’informatique et des libertés) et signe un engagement de conformité.
Les destinataires n’ont accès aux données que conformément à leurs attributions, et à condition que le besoin soit justifié : le chef d’établissement, à cet égard, veille à paramétrer les droits d’accès aux données des utilisateurs. Ex. : l’élève peut accéder à sa fiche et au forum de discussion, mais n’accède pas aux données personnelles de l’enseignant.
Le chef d’établissement est responsable du traitement : de fait, il est tenu d’informer les utilisateurs « de la collecte et de la destination des données à caractère personnel les concernant » pour garantir leur droit d’opposition et de rectification ; cette information est diffusée par voie d’affichage et est consultable depuis la page d’accueil du profil utilisateur de l’ENT.
Les données personnelles doivent être mises à jour annuellement et supprimées dans un délai de trois mois à compter de la fin de la scolarité de l’élève.

Pour faciliter la tâche du chef d’établissement et assurer la sécurisation des données dans l’ENT, le ministère en charge de l’Éducation nationale met gratuitement à disposition des établissements le gestionnaire d’accès aux ressources numériques (GAR), dont la mise en œuvre est encadrée par l’arrêté du 18 décembre 2017⁽³⁾. Le GAR agit comme un filtre sécurisant qui se superpose à la plateforme ENT au moment où l’utilisateur se connecte : l’accès aux ressources est alors garanti conforme aux normes régissant la sécurité des données. Cela signifie que les fournisseurs n’accèdent qu’aux données strictement nécessaires au fonctionnement des services, et que la transmission des données est sécurisée et conforme aux droits des utilisateurs. La mise en place du GAR demeure facultative.

À la rentrée 2024, plus de 27 000 écoles et plus de 9 400 établissements du second degré (collèges et lycées)⁽⁴⁾ont choisi d’en bénéficier.

Les autres risques liés à l’utilisation des ENT

“ En dehors des risques liés à l’intégrité des données et à la sécurité des données personnelles, deux risques sont avérés : les cyberattaques qui menacent les personnes et le cyberharcèlement entre utilisateurs de l’ENT. ”

En dehors des risques liés à l’intégrité des données et à la sécurité des données personnelles, deux risques sont avérés :

• Les cyberattaques qui menacent les personnes.
• Le cyberharcèlement entre utilisateurs de l’ENT.

Retour sur le piratage massif des ENT en 2024

L’actualité du printemps 2024 a mis en lumière le risque de cyberattaque portant atteinte aux personnes – et non pas seulement aux données. Mars 2024 : une vague de cyberattaques déferlait sur les établissements scolaires. Les pirates étaient parvenus à introduire des virus de type « stealers » (virus capables de voler identifiants et mots de passe) dans les ordinateurs personnels d’élèves. Munis des identifiants, les pirates avaient posté sous l’identité des élèves des propos menaçants sur les espaces communautaires des ENT.

Comment les pirates s’y étaient-ils pris ? Pour appâter les élèves, les pirates s’étaient rendus sur leurs réseaux sociaux de prédilection (YouTube, Discord…) et y avaient diffusé des liens prétendant donner accès à des extensions pour de jeux vidéo et à des logiciels de triche. Les élèves qui les avaient téléchargés avaient sans le savoir introduit le virus sur leur ordinateur.

La loi SREN du 21 mai 2024⁽⁵⁾ prévoit de mettre en place un filtre de cybersécurité « anti-arnaque », pour protéger les internautes contre ce type d’actes cybermalveillants. Pour le moment, aucune mesure concrète n’a été déployée.

Comment les établissements ont-ils remédié à ces cyberattaques ?
En 3 temps :

1. Suspension de l’accès à l’ENT pour stopper la propagation des menaces.
2. Remise en sécurité des comptes utilisateurs – modification des identifiants, notamment.
3. Sensibilisation des utilisateurs – mise à jour de la charte de bonne conduite et opération Cactus.

Zoom sur l’opération Cactus

L’opération Cactus, initiée en 2024, a été reconduite en 2025. Le principe est le suivant : les élèves reçoivent, dans la messagerie de leur ENT, un lien de redirection vers des « jeux crackés » et des « cheats gratuits ». Ceux qui cliquent sont redirigés vers une vidéo pédagogique sur les risques du piratage. En 2025, d’autres opérations de sensibilisation à la cybersécurité sont menées, dont le challenge « Hack pour ton collège ! ».

Cyberharcèlement entre utilisateurs de l’ENT : quelles mesures de prévention ?

Les messageries et les espaces communautaires fournis par l’ENT risquent d’être des terrains favroables au cyberharcèlement et aux autres violences en ligne. Deux mesures peuvent être prises pour éviter ces dérives :

• L’article 9 de loi SREN⁽⁵⁾ modifie l’article L312-9 du Code de l’éducation⁽⁶⁾, imposant aux écoles et aux établissements d’enseignement de dispenser une formation à l’utilisation responsable des outils et des ressources numériques. « Cette formation inclut une sensibilisation aux violences sexistes et sexuelles commises par l’utilisation d’un service de communication au public en ligne ou par le biais d’un support numérique ou électronique. » Les établissements ont tout intérêt à se mettre rapidement en conformité avec cette nouvelle obligation de formation.
• La charte de bonne conduite est un outil de sensibilisation et de prévention indispensable pour lutter contre les actes cybermalveillants.

Comment mettre en place une charte de bonne conduite ?

“ La sécurisation de l’ENT – sécurité des données et protection contre les actes cyber malveillants (piratage et cyberharcèlement entre utilisateurs) – relève de la responsabilité du chef d’établissement, mais incombe également à l’ensemble des utilisateurs de l’ENT. ”

La sécurisation de l’ENT – sécurité des données et protection contre les actes cybermalveillants (piratage et cyberharcèlement entre utilisateurs) – relève de la responsabilité du chef d’établissement, mais incombe également à l’ensemble des utilisateurs de l’ENT. C’est pourquoi la CNIL invite les chefs d’établissement à sensibiliser les utilisateurs aux bonnes pratiques en matière de sécurité. À titre d’exemple, une précaution de base consiste à ne pas divulguer ses identifiants de connexion à son espace personnel. Imposer le renouvellement régulier des mots de passe est également une bonne pratique pour limiter le risque de cyberattaque.

Concrètement, il s’agit pour le chef d’établissement d’élaborer et de diffuser une charte de bonne conduite.

1) Élaborer le contenu de la charte

Le chef d’établissement peut utiliser le modèle de charte proposé par son académie. Pour élaborer la charte, il est important de veiller aux points suivants :

Rappeler les règles d’ordre public. Ex. : interdiction de publier des propos injurieux ou discriminatoires, respecter les droits de propriété intellectuelle des utilisateurs et de l’éditeur de l’ENT.
Expliquer le mode de fonctionnement de la plateforme ENT : les utilisateurs doivent être en mesure d’utiliser l’espace numérique de travail, quel que soit leur niveau de digitalisation.
Interdire formellement toute manipulation de nature à mettre en péril l’intégrité du système informatique : il est possible de lister de manière non exhaustive les pratiques interdites. Ex. : ne pas introduire de virus.
Enjoindre les utilisateurs à notifier les brèches éventuelles dans la sécurité des données : la notification permet ainsi à l’établissement de réagir rapidement, le cas échéant.
Indiquer les droits des utilisateurs sur leurs données personnelles.
Inclure les mesures de bonne conduite spécifiques à la nature et au projet de l’établissement. Ex. : interdiction de publier la photo d’un élève mineur sans l’autorisation de son responsable légal.

2) La diffuser

L’accès à l’ENT doit être subordonné à l’acceptation et à la signature de la charte de bonne conduite par l’utilisateur. La charte, en outre, est diffusée par voie d’affichage au sein de l’établissement.

Sources :

L’état du déploiement des espaces numériques de travail | Éduscol
Arrêté du 30 novembre 2006 portant création, au sein du ministère de l’Éducation nationale et du ministère de l’Enseignement supérieur et de la Recherche, d’un traitement de données à caractère personnel relatif aux espaces numériques de travail (ENT)
Arrêté du 18 décembre 2017 relatif à la mise en œuvre par le ministère de l’Éducation nationale d’un traitement de données à caractère personnel dénommé « gestionnaire d’accès aux ressources » (GAR)
Connaître les établissements et écoles déployés | GAR
Loi du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique dite loi SREN
Nouvel article L312-9 du Code de l’éducation