Entreprise

Jotform Entreprise

HECVAT

Higher Education Cloud Vendor Assessment Toolkit

A propos de la HECVAT

La boîte à outils d'évaluation des fournisseurs de la communauté de l'enseignement supérieur, également connue sous le nom de HECVAT (Higher Education Community Vendor Assessment Toolkit), est un cadre de questionnaire d'auto-évaluation utilisé par les établissements d'enseignement supérieur pour garantir que leurs services cloud et leurs fournisseurs de logiciels respectent les normes de sécurité et de données. La HECVAT a été créé par le HEISC (Higher Education Information Security Council), avec EDUCAUSE, Internet2 et REN-ISAC. Les outils d'évaluation sont standardisés pour garantir que la majorité des établissements d'enseignement supérieur suivent des protocoles et pratiques de sécurité identiques.

Chez Jotform, nous sommes fiers de pouvoir dire que depuis 2023, nous avons réussi l'auto-évaluation HECVAT pour Jotform Entreprise. Vous pouvez créer vos applications et formulaires éducatifs en toute tranquillité d'esprit avec Jotform Entreprise.

Les auto-évaluations HECVAT de Jotform sont disponibles sur le Cloud Broker Index de REN-ISAC.

Contacter l'équipe commerciale

Qu'est-ce que la HECVAT et en quoi est-elle importante ?

Introduction

Qu’est-ce que la HECVAT ? Les lettres HECVAT sont un acronyme pour un système américain désignant une boîte à outils dédiée à la sécurité de l'information dans l'enseignement supérieur.

Plus de 150 universités privées et publiques américaines, dont Carnegie Mellon, Princeton et Rice, utilisent la HECVAT comme moyen d'évaluer les risques liés aux fournisseurs.

Mais la HECVAT ne se résume pas à ce que nous pouvons résumer en un seul paragraphe, c'est pourquoi nous avons créé cet article détaillé. Poursuivez votre lecture pour en savoir plus sur la HECVAT et ses outils d’évaluation ci-dessous.

Qu'est-ce que la HECVAT ?

HECVAT est un acronyme pour "igher Education Community Vendor Assessment Toolkit". Le Conseil de sécurité de l'information sur l'enseignement supérieur (Higher Education Information Security Council - HEISC) l'a créé en collaboration avec le consortium de réseaux informatiques Internet2 et l'alliance de cybersécurité REN-ISAC.

La HECVAT est une suite d'outils conçus pour aider les établissements d'enseignement supérieur à mesurer le risque des fournisseurs en matière de sécurité des informations. Dans le cadre du processus d'évaluation des fournisseurs, les établissements d'enseignement supérieur et les universités peuvent demander à ces derniers de remplir l'un des nombreux questionnaires HECVAT pour confirmer que des politiques d'information et de cybersécurité suffisantes sont en place pour protéger les informations sensibles des établissements et les informations personnelles identifiables des étudiants, du personnel et d'autres tiers impliqués.

À propos des collaborateurs HECVAT

Les questionnaires HECVAT sont des outils d'évaluation fiables car trois équipes expertes en réseaux d'information et en sécurité les ont développés en coopération :

  • HEISC. Créé en 2000, le HEISC est une équipe de professionnels de la sécurité de l'information et de la confidentialité qui se consacrent à aider les établissements d'enseignement supérieur à améliorer la gouvernance de la sécurité de l'information, la conformité et la protection des données.
  • Internet2. Officiellement appelé University Corporation for Advanced Internet Development (UCAID), Internet2 est un consortium à but non lucratif qui comprend des établissements d'enseignement supérieur et de recherche, des entités gouvernementales, des entreprises et des organisations culturelles. Son objectif est de fournir un "réseau haut débit sécurisé, des solutions cloud, un soutien à la recherche et des services adaptés à la recherche et à l'éducation".
  • REN-ISAC. Le Centre d'analyse et de partage d'informations des réseaux de recherche et d'éducation (Research and Education Networks Information Sharing and Analysis Center) est une alliance internationale qui fournit des rapports d'actualité, des alertes et des avis sur la cybersécurité, ainsi que des analyses des menaces de cybersécurité et des solutions d'atténuation. L'alliance compte plus de 700 institutions membres.

En quoi la HECVAT est-elle importante ?

Selon une étude réalisée en 2022 par l'entreprise de cybersécurité Sophos, 64 % des établissements d'enseignement supérieur ont subi au moins une attaque de ransomware en 2021, contre 44 % en 2020. Pas moins de 74 % de ces attaques ont réussi. Comparez ce taux de réussite à la moyenne mondiale de 65 %.

Les attaques de ransomwares ont un impact important sur les organisations, en particulier celles de l’enseignement supérieur. L'enquête Sophos indique que presque tous (97 %) les personnes interrogées dans l'enseignement supérieur du secteur public ont déclaré qu'une attaque avait eu un impact sur leur capacité à fonctionner, tandis que 96 % des personnes interrogées dans l'enseignement supérieur du secteur privé ont déclaré qu'une attaque avait entraîné une perte d'activité ou de revenus pour leur établissement.

Pourquoi les établissements d'enseignement représentent-ils une cible une cible privilégiée des attaquants de tous poils ? Voici quelques éléments à prendre en considération :

  • Ils disposent de tonnes de données. Les établissements d'enseignement supérieur conservent une multitude de données personnelles sur les étudiants et les professeurs, sans parler des données de recherche provenant d'agences gouvernementales et de partenaires universitaires.
  • Leurs réseaux sont plus susceptibles d'être attaqués. Les plus grands établissements les mieux établis ont tendance à conserver des systèmes existants qui présentent souvent plus de vulnérabilités que les systèmes modernes. En outre, les nombreux appareils et logiciels personnels et universitaires qui se connectent à ces systèmes présentent de nombreuses opportunités d'attaques, en particulier si les personnes qui les utilisent privilégient la commodité plutôt que la sécurité.
  • Ils ont des budgets limités. Les établissements publics comme privés ont souvent des budgets limités. Ils ont également tendance à allouer des ressources financières à des départements plus visibles et commercialisables, comme le sport ; plutôt qu’à l’informatique et à la cybersécurité.

Avec des tendances aussi troublantes en matière de cybersécurité et les facteurs cibles ci-dessus, il n'est pas étonnant qu'une méthode de sécurité comme la HECVAT soit nécessaire dans l'enseignement supérieur. Cette boîte à outils permet aux universités de gagner du temps, de normaliser leur évaluation des risques liés aux fournisseurs et de garantir que ces fournisseurs sont correctement évalués dans les domaines de la sécurité et de la confidentialité.

4 outils HECVAT

La suite d'outils HECVAT comprend quatre questionnaires qui permettent aux établissements d'enseignement supérieur d'adopter, de mettre en œuvre et de maintenir un programme cohérent d'évaluation des risques et de la sécurité. Chaque questionnaire représente un niveau de rigueur différent, et l'un d'entre eux est même fait pour être utilisé en interne.

Remarque : toutes les versions actuelles de ces outils sont disponibles sous forme de fichiers Excel téléchargeables sur la page web EDUCAUSE HECVAT.

1. HECVAT — Triage

Contrairement aux outils Full, Lite, et On-Premise que vous découvrirez ci-dessous, l'outil Triage n'est pas destiné aux fournisseurs. Il s'agit d'un malentendu courant de la part de ceux qui ne sont pas familiers avec la HECVAT. Cet outil est en fait destiné aux « demandeurs » internes, tels que les départements et les membres individuels du corps professoral qui souhaitent partager des données institutionnelles avec un fournisseur tiers ou une solution logicielle.

Grâce à cet outil, le demandeur documente et résume son intention, sa portée, ses éléments et ses exigences technologiques en matière de partage de données à travers environ 35 questions réparties dans six catégories telles que les cas d'utilisation, les achats et la technologie de l'institution. Remplir le questionnaire est une condition préalable pour que le service informatique puisse lancer une évaluation des risques et de la sécurité et utiliser les autres outils pour évaluer les fournisseurs.

Voici quelques exemples de questions :

  • Fournissez un résumé général de votre service et du domaine d'activité qui hébergera les données de l'établissement, en utilisant le logiciel/service tiers et/ou en demandant l'intégration avec le(s) système(s) d'entreprise d'un établissement.
  • Avez-vous consulté les professionnels des achats de l'institution concernant cette demande d'évaluation ?
  • Décrivez les responsabilités informatiques de l'institution en ce qui concerne ce logiciel/service tiers, cette application de service ou cette intégration avec un système d'entreprise.

2. HECVAT — Full

Conçu pour évaluer les engagements de partage de données les plus critiques, l'outil complet demande aux fournisseurs des réponses à plus de 250 questions sur leurs pratiques dans plus de 20 catégories, telles que la conformité HIPAA, l'analyse des vulnérabilités, la documentation et la reprise après sinistre.

Voici quelques exemples de questions de l'outil Full :

  • Les membres de votre personnel reçoivent-ils régulièrement des formations liées aux règles de confidentialité et de sécurité HIPAA et à la loi HITECH ?
  • Vos systèmes et applications ont-ils fait l’objet d’une évaluation de sécurité par un tiers au cours de l’année écoulée ?
  • Avez-vous subi un audit SSAE 18/SOC 2 ?
  • Votre organisation dispose-t-elle d'un site de reprise après sinistre ou d'un fournisseur de reprise après sinistre sous contrat ?

3. HECVAT — Lite

Cette version condensée de l'outil complet est utilisée pour accélérer le processus d'évaluation des fournisseurs tout en répondant aux principaux problèmes de sécurité. Les fournisseurs complètent l'outil Lite, qui comprend environ 100 questions réparties en 12 catégories, telles que l'accessibilité informatique, la gestion des systèmes, le centre de données et la gestion des incidents. La conformité HIPAA et l'analyse des vulnérabilités, qui sont incluses dans l'outil complet, ne font pas partie de cet outil.

Voici quelques exemples de questions de l'outil Lite :

  • Un expert tiers a-t-il réalisé un audit d'accessibilité de la version la plus récente de votre produit ?
  • L'institution sera-t-elle informée des changements majeurs apportés à votre environnement qui pourraient avoir un impact sur son positionnement en termes de sécurité ?
  • Votre entreprise gère-t-elle le centre de données physique où résideront les données de l'institution ?
  • Avez-vous la capacité de répondre aux incidents 24 heures sur 24, 7 jours sur 7, 365 jours par an ?

4. HECVAT — On-Premise

Comme pour les outils Full et Lite, les fournisseurs complètent l'outil On-Premise, qui évalue leur risque. Le questionnaire est cependant plus court que ceux des autres outils et est adapté aux solutions sur site. L'outil comprend 70 questions réparties en 10 catégories, telles que les bases de données, les politiques et les pare-feu.

Voici quelques exemples de questions de l'outil On-Premise :

  • La base de données prend-elle en charge le chiffrement des éléments de données spécifiés stockés ?
  • Les principes de sécurité de l’information sont-ils intégrés au cycle de vie du produit ?
  • Utilisez-vous une détection d'intrusion basée sur l'hôte ?

Ressources HECVAT complémentaires

La HECVAT propose deux autres ressources pour les établissements d'enseignement supérieur en plus des questionnaires :

  • Community Broker Index (CBI). Le CBI fournit une liste régulièrement mise à jour des fournisseurs disposés à partager leurs évaluations HECVAT complétées. Les établissements d'enseignement supérieur peuvent se référer à cette liste pour gagner du temps lorsqu'ils cherchent des solutions appropriées aux risques encourus.
  • Groupe communautaire d'utilisateurs. Ce groupe offre aux établissements d'enseignement supérieur un forum pour partager des informations, des bonnes pratiques et des stratégies d'utilisation du HECVAT.

Comment utiliser un outil de collecte de données compatible HECVAT sur votre campus ?

Jotform Entreprise est un outil de collecte de données puissant et facile à utiliser pour les enseignants et les administrateurs des grandes universités et autres établissements scolaires. Il est également répertorié dans le Community Broker Index de la HECVAT, ce qui signifie que vous pouvez accéder à ses évaluations HECVAT déjà complétées et gagner du temps dans l'évaluation des risques.

Que peut fait Jotform pour vous ?

Jotform propose près de 2000 modèles de formulaires pédagogiques, allant des évaluations des enseignants et des questionnaires de performance académique aux demandes de bourses. Vous pouvez créer des formulaires en quelques minutes seulement.

Les établissements d’enseignement supérieur peuvent bénéficier de plusieurs autres fonctionnalités clés en plus des formulaires :

  • Accessibilité. Les formulaires de Jotform sont conformes aux niveaux A et AA avec les normes WCAG 2.1, vous pouvez donc créer des formulaires compatibles avec la section 508.
  • Signabilité. Collectez les signatures électroniques des élèves, des parents, et du personnel avec Jotform Sign. Automatisez le processus de signature pour garantir que toutes les parties concernées voient et signent votre document dans le bon ordre.
  • Sécurité. Vos données sont stockées dans un centre de résidence de données local avec une conformité SOC 2 supplémentaire. Vous pouvez également opter pour les fonctionnalités HIPAA si votre campus collecte des informations de santé sensibles auprès des étudiants ou des professeurs.

Offrez-vous toute la puissance d'un outil performant avec une solution abordable compatible avec la HECVAT : les établissements d'enseignement sont éligibles à une remise importante ! Commencez dès aujourd'hui à utiliser un formulaire de collecte de données sur l'éducation.