La sécurité des LMS en 3 points

La sécurité d’un système d’information est une problématique majeure des entreprises et collectivités publiques. On peut évoquer la garantie de l’intégrité des données dans la finance ou les banques, la confidentialité dans le domaine public/médical et la disponibilité dans l’industrie (entre autres).


Sur ces aspects les DSI et RSSI sont le plus souvent au fait des risques et des mesures de couvertures. Il reste néanmoins un flou dans l’intégration d’outils de plus en plus fréquents : les Learning Management Systems (LMS). Destinés à la diffusion et la gestion des formations en ligne on les considère encore trop souvent comme des plug-ins du SI. Pourtant ils deviennent indispensables voire stratégiques dans la politique RH, et parfois même dans l’identité de la société. Et ce qui est visible est toujours un risque.

Les 3 risques d’un LMS pour le SI

L’intrusion

Le LMS est une plateforme web, accessible sur le cloud éditeur ou sur un seveur hébergé. Pour en tirer profit il est indispensable de l’intégrer au SIRH, voire aux outils internes. Il devient alors un accès potentiel depuis l’extérieur au SI de l’entreprise.

Il existe de nombreuses solutions pour couvrir ce risque, tant par les procédures d’accès qui peuvent être limitées que par les choix d’architectures adaptées (réseau interne, mise en place de restriction par IP, DMZ ..).

Le secret industriel

Dans un souci de qualité de formation des collaborateurs il est fréquent de dispenser en ligne des formations métiers spécifiques à l’entreprise, parfois couvertes par le secret industriel ou des brevets restrictifs (pharmacie, armement, industrie etc.). Ces formations ne doivent donc pas être accessibles aux personnes extérieures.

C’est une limite réelle des LMS dans certains cas de figure où la confidentialité de l’information pourrait empêcher sa diffusion en ligne et la restreindre au présentiel. Il s’agit souvent d’un point prioritaire pour les prestataires de marchés publics ou travaillant dans la sécurité.

Les données personnelles

On néglige trop souvent ce point dans l’intégration d’un outil LMS. Chaque apprenant ou formateur, salarié ou client, est inscrit sur l’outil et dispose d’un minimum d’informations d’identification et de suivi. Ce référentiel ne peut être décorélé du LMS, et intéresse nombre de pirates informatiques puisqu’ils peuvent ainsi récupérer les noms, fonctions et adresses mails de la totalité des collaborateurs d’une entreprise.

L’impact direct pourra au minima être l’utilisation des comptes mails pour une campagne de phishing ciblée, mais peut aller jusqu’à l’arnaque au directeur, voire la menace directe envers les personnes.

Sécurité et flexibilité : un équilibre

Sur la base de ces trois points il faut que les différents acteurs de la mise en oeuvre d’un LMS en entreprise soient conscients à la fois des enjeux mais également des risques.

Le service formation, la DRH et la DSI doivent donc travailler de concert à déterminer le bon équilibre entre l’intérêt de diffuser les formations sur un LMS et les risques éventuels inhérents pour les faire entrer dans la zone de tolérance du RSSI : une collaboration forcément gagnante !


(cliquez sur le logo pour retourner à l’accueil)

N'hésitez pas à partager