Entreprise
Contacter un commercial Inscrivez-vous gratuitement

Jotform Entreprise

HECVAT

Higher Education Cloud Vendor Assessment Toolkit

A propos de la HECVAT

La boîte à outils d'évaluation des fournisseurs de la communauté de l'enseignement supérieur (Higher Education Community Vendor Assessment Toolkit en anglais), également connue sous le nom de HECVAT, est un cadre de questionnaire d'auto-évaluation utilisé par les établissements d'enseignement supérieur pour s'assurer que leurs services cloud et leurs fournisseurs de logiciels respectent les normes de sécurité et de données. HECVAT a été créé par le Higher Education Information Security Council (HEISC), avec l'aide de EDUCAUSE, Internet2, et REN-ISAC. Les outils d'évaluation sont standardisés pour s'assurer que la majorité des établissements d'enseignement supérieur suivent les mêmes protocoles et pratiques de sécurité.

Chez Jotform, nous sommes fiers de pouvoir dire que depuis 2023, nous avons réussi l'auto-évaluation HECVAT pour Jotform Entreprise. Vous pouvez créer vos applications et formulaires éducatifs en toute tranquillité d'esprit avec Jotform Entreprise.

L'auto-évaluation HECVAT de Jotform est disponible sur la Cloud Broker Index de REN-ISAC.

Contacter un commercial

Qu'est-ce que la HECVAT et en quoi est-elle importante ?

Introduction

Qu’est-ce que la HECVAT ? Les lettres HECVAT sont un acronyme pour un système américain désignant une boîte à outils dédiée à la sécurité de l'information dans l'enseignement supérieur.

Plus de 150 universités privées et publiques américaines, dont Carnegie Mellon, Princeton et Rice, utilisent la HECVAT comme moyen d'évaluer les risques liés aux fournisseurs.

Mais la HECVAT ne se résume pas à ce que nous pouvons résumer en un seul paragraphe, c'est pourquoi nous avons créé cet article détaillé. Poursuivez votre lecture pour en savoir plus sur la HECVAT et ses outils d’évaluation ci-dessous.

Qu'est-ce que la HECVAT ?

HECVAT est un acronyme pour "igher Education Community Vendor Assessment Toolkit". Le Conseil de sécurité de l'information sur l'enseignement supérieur (Higher Education Information Security Council - HEISC) l'a créé en collaboration avec le consortium de réseaux informatiques Internet2 et l'alliance de cybersécurité REN-ISAC.

La HECVAT est une suite d'outils conçus pour aider les établissements d'enseignement supérieur à mesurer le risque des fournisseurs en matière de sécurité de l'information. Dans le cadre du processus d'évaluation des fournisseurs, les établissements d'enseignement supérieur peuvent demander aux fournisseurs de remplir l'un des nombreux questionnaires HECVAT afin de s'assurer que des politiques de cybersécurité appropriées sont en place pour protéger les informations sensibles des établissements et les informations personnelles identifiables (PII) des étudiants, du personnel et de toute autre personne impliquée.

À propos des collaborateurs HECVAT

Les questionnaires HECVAT sont des outils d'évaluation fiables car trois équipes expertes en réseaux d'information et en sécurité les ont développés en coopération :

  • HEISC. Créée en 2000, la HEISC est une équipe de professionnels de la sécurité de l'information et de la confidentialité qui se consacre à aider les établissements d'enseignement supérieur à améliorer la gouvernance, la conformité et la protection des données en matière de sécurité de l'information.
  • Internet2. Anciennement intitulé University Corporation for Advanced Internet Development (UCAID), Internet2 est un consortium à but non lucratif qui comprend des établissements d'enseignement supérieur et de recherche, des entités gouvernementales, des entreprises et des organisations culturelles. Son objectif est de fournir "un réseau haut débit sécurisé, des solutions cloud, ainsi qu'une assistance et des services adaptés à la recherche et à l’éducation".
  • REN-ISAC. Le "Research and Education Networks Information Sharing and Analysis Center" est une alliance internationale qui fournit des rapports d'actualité, des alertes et des avis sur la cybersécurité, ainsi que des analyses des menaces de cybersécurité et des solutions d'atténuation. L'alliance compte plus de 700 institutions membres.

En quoi la HECVAT est-elle importante ?

Selon une enquête réalisée en 2022 par la société de cybersécurité Sophos,64 % des établissements d’enseignement supérieur ont subi au moins une attaque de ransomware en 2021, contre 44 % en 2020. 74 % de ces attaques se sont soldées par un succès, contre 65 % en moyenne dans le reste du monde.

Les attaques de ransomwares ont un impact important sur les organisations, en particulier celles de l’enseignement supérieur. L'enquête Sophos indique que presque tous (97 %) les personnes interrogées dans l'enseignement supérieur du secteur public ont déclaré qu'une attaque avait eu un impact sur leur capacité à fonctionner, tandis que 96 % des personnes interrogées dans l'enseignement supérieur du secteur privé ont déclaré qu'une attaque avait entraîné une perte d'activité ou de revenus pour leur établissement.

Pourquoi les établissements d'enseignement représentent-ils une cible une cible privilégiée des attaquants de tous poils ? Voici quelques éléments à prendre en considération :

  • Ils disposent de tonnes de données. Les établissements d'enseignement supérieur conservent une multitude de données personnelles sur les étudiants et les professeurs, sans parler des données de recherche provenant d'agences gouvernementales et de partenaires universitaires.
  • Leurs réseaux sont plus susceptibles d'être attaqués. Les plus grands établissements les mieux établis ont tendance à conserver des systèmes existants qui présentent souvent plus de vulnérabilités que les systèmes modernes. En outre, les nombreux appareils et logiciels personnels et universitaires qui se connectent à ces systèmes présentent de nombreuses opportunités d'attaques, en particulier si les personnes qui les utilisent privilégient la commodité plutôt que la sécurité.
  • Ils ont des budgets limités. Les établissements publics comme privés ont souvent des budgets limités. Ils ont également tendance à allouer des ressources financières à des départements plus visibles et commercialisables, comme le sport ; plutôt qu’à l’informatique et à la cybersécurité.

Avec des tendances aussi troublantes en matière de cybersécurité et les facteurs cibles ci-dessus, il n'est pas étonnant qu'une méthode de sécurité comme la HECVAT soit nécessaire dans l'enseignement supérieur. Cette boîte à outils permet aux universités de gagner du temps, de normaliser leur évaluation des risques liés aux fournisseurs et de garantir que ces fournisseurs sont correctement évalués dans les domaines de la sécurité et de la confidentialité.

4 outils HECVAT

La suite d'outils HECVAT comprend quatre questionnaires qui permettent aux établissements d'enseignement supérieur d'adopter, de mettre en œuvre et de maintenir un programme cohérent d'évaluation des risques et de la sécurité. Chaque questionnaire représente un niveau de rigueur différent, et l'un d'entre eux est même fait pour être utilisé en interne.

Remarque : toutes les versions actuelles de ces outils sont disponibles sous forme de fichiers Excel téléchargeables sur la page web EDUCAUSE HECVAT.

1. HECVAT — Triage

Contrairement aux outils Full, Lite, et On-Premise que vous découvrirez ci-dessous, l'outil Triage n'est pas destiné aux fournisseurs. Il s'agit d'un malentendu courant de la part de ceux qui ne sont pas familiers avec la HECVAT. Cet outil est en fait destiné aux « demandeurs » internes, tels que les départements et les membres individuels du corps professoral qui souhaitent partager des données institutionnelles avec un fournisseur tiers ou une solution logicielle.

Grâce à cet outil, le demandeur documente et résume son intention, sa portée, ses éléments et ses exigences technologiques en matière de partage de données à travers environ 35 questions réparties dans six catégories telles que les cas d'utilisation, les achats et la technologie de l'institution. Remplir le questionnaire est une condition préalable pour que le service informatique puisse lancer une évaluation des risques et de la sécurité et utiliser les autres outils pour évaluer les fournisseurs.

Voici quelques exemples de questions :

  • Fournissez un résumé général de votre service et du domaine d'activité qui hébergera les données de l'établissement, en utilisant le logiciel/service tiers et/ou en demandant l'intégration avec le(s) système(s) d'entreprise d'un établissement.
  • Avez-vous consulté les professionnels des achats de l'institution concernant cette demande d'évaluation ?
  • Décrivez les responsabilités informatiques de l'institution en ce qui concerne ce logiciel/service tiers, cette application de service ou cette intégration avec un système d'entreprise.

2. HECVAT — Full

Conçu pour évaluer les engagements de partage de données les plus critiques, l'outil complet demande aux fournisseurs des réponses à plus de 250 questions sur leurs pratiques dans plus de 20 catégories, telles que la conformité HIPAA, l'analyse des vulnérabilités, la documentation et la reprise après sinistre.

Voici quelques exemples de questions de l'outil Full :

  • Les membres de votre personnel reçoivent-ils régulièrement des formations liées aux règles de confidentialité et de sécurité HIPAA et à la loi HITECH ?
  • Vos systèmes et applications ont-ils fait l’objet d’une évaluation de sécurité par un tiers au cours de l’année écoulée ?
  • Avez-vous subi un audit SSAE 18/SOC 2 ?
  • Votre organisation dispose-t-elle d'un site de reprise après sinistre ou d'un fournisseur de reprise après sinistre sous contrat ?

3. HECVAT — Lite

Cette version condensée de l'outil complet est utilisée pour accélérer le processus d'évaluation des fournisseurs tout en répondant aux principaux problèmes de sécurité. Les fournisseurs complètent l'outil Lite, qui comprend environ 100 questions réparties en 12 catégories, telles que l'accessibilité informatique, la gestion des systèmes, le centre de données et la gestion des incidents. La conformité HIPAA et l'analyse des vulnérabilités, qui sont incluses dans l'outil complet, ne font pas partie de cet outil.

Voici quelques exemples de questions de l'outil Lite :

  • Un expert tiers a-t-il réalisé un audit d'accessibilité de la version la plus récente de votre produit ?
  • L'institution sera-t-elle informée des changements majeurs apportés à votre environnement qui pourraient avoir un impact sur son positionnement en termes de sécurité ?
  • Votre entreprise gère-t-elle le centre de données physique où résideront les données de l'institution ?
  • Avez-vous la capacité de répondre aux incidents 24 heures sur 24, 7 jours sur 7, 365 jours par an ?

4. HECVAT — On-Premise

Comme pour les outils Full et Lite, les fournisseurs complètent l'outil On-Premise, qui évalue leur risque. Le questionnaire est cependant plus court que ceux des autres outils et est adapté aux solutions sur site. L'outil comprend 70 questions réparties en 10 catégories, telles que les bases de données, les politiques et les pare-feu.

Voici quelques exemples de questions de l'outil On-Premise :

  • La base de données prend-elle en charge le chiffrement des éléments de données spécifiés stockés ?
  • Les principes de sécurité de l’information sont-ils intégrés au cycle de vie du produit ?
  • Utilisez-vous une détection d'intrusion basée sur l'hôte ?

Ressources HECVAT complémentaires

La HECVAT propose deux autres ressources pour les établissements d'enseignement supérieur en plus des questionnaires :

  • Community Broker Index (CBI). Le CBI fournit une liste constamment mise à jour des fournisseurs disposés à partager leurs évaluations HECVAT complétées. Les établissements d'enseignement supérieur peuvent se référer à cette liste pour gagner du temps dans leur choix de fournisseurs.
  • Users Community Group. Ce groupe offre aux établissements d'enseignement supérieur un forum pour partager des informations, des bonnes pratiques et des stratégies d'utilisation de la HECVAT.

Comment utiliser un outil de collecte de données compatible HECVAT sur votre campus ?

Jotform Entreprise est un outil de collecte de données puissant et facile à utiliser destiné aux enseignants et aux administrateurs des grandes universités et autres établissements d'enseignement. Jotform est intégré à la liste Community Broker Index, ce qui vous permet d'accéder à ses évaluations HECVAT déjà réalisées et de gagner du temps dans l'évaluation des risques.

Que peut fait Jotform pour vous ?

Jotform propose près de 2000 modèles de formulaires pour l'enseignement allant des évaluations des enseignants aux questionnaires de performances académiques en passant par les demandes de bourses. Vous pouvez créer des formulaires en quelques minutes seulement.

Les établissements d’enseignement supérieur peuvent bénéficier de plusieurs autres fonctionnalités clés en plus des formulaires :

  • Accessibilité. Les formulaires de Jotform sont conformes aux niveaux A et AA avec les normes WCAG 2.1, vous pouvez donc créer des formulaires compatibles avec la section 508.
  • Signabilité. Collectez les signatures électroniques des élèves, des parents, et du personnel avec Jotform Sign. Automatisez le processus de signature pour garantir que toutes les parties concernées voient et signent votre document dans le bon ordre.
  • Sécurité. Vos données sont stockées dans un centre de résidence de données local avec une conformité SOC 2 supplémentaire. Vous pouvez également opter pour les fonctionnalités HIPAA si votre campus collecte des informations de santé sensibles auprès des étudiants ou des professeurs.

Offrez tous les outils indispensables à votre établissement d'enseignement supérieur en exploitant la HECVAT : les établissements d'enseignement ont droit à une réduction importante ! Lancez-vous dès maintenant avec un formulaire de collecte de données.