El Tribunal de Cuentas recuerda el código y la seguridad de Parcoursup
hace 5 años
La plataforma de orientación y elección de tareas en la educación superior para estudiantes de secundaria, Parcoursup, fue objeto de un informe del Tribunal de Cuentas. Se señala el mediocrito del código fuente utilizado, las fallas y la falta de seguridad del IS de la plataforma.
El Tribunal de Cuentas publica un flujo incesante e instructivo de informes. Después de la transformación digital del sector y los servicios públicos, el programa SIRHEN o Pôle Emploi, ahora es el turno de Parcoursup de sentarse a la parrilla de los sabios en la rue Cambon. En su último trabajo, el Tribunal hace una observación contrastante por decir lo menos sobre la orientación y la elección de la plataforma de asignación en la educación superior para estudiantes de secundaria: “la plataforma Parcoursup funciona satisfactoriamente, pero está expuesta a riesgos que deben reducirse. El procedimiento de asignación aún adolece de falta de transparencia, la única garantía de equidad. En cuanto al éxito de los estudiantes, que está financiado en gran medida, existe una falta de seguimiento que en última instancia compromete la medición de su posible éxito. "
Entre los diversos aspectos de Parcoursup seleccionados, encontramos en particular los relacionados con el sistema de información, el código utilizado y las medidas de seguridad de TI tomadas para soportar esta plataforma. Sin embargo, estos últimos están lejos de satisfacer a los ojos de la Corte: "Las debilidades del sistema de información en términos de seguridad, rendimiento y robustez no se han corregido", podemos leer en el informe, luego de que se pasó la antorcha en funcionamiento 2018 entre la muy controvertida plataforma APB (admisión post bac) y Parcoursup. "La gestión de Parcoursup en modo de proyecto en torno a unas pocas personas particularmente competentes y motivadas hizo posible establecer Parcoursup rápidamente, pero hoy debilita un sistema sin una dirección estratégica o gobierno satisfactorios".
Resumen de los riesgos identificados en el contexto de la auditoría de código realizada por Audit Cast y Bearing Point para el Tribunal de Cuentas. Los puntajes se dan en una escala de 1 a 4. 1 corresponde a un riesgo máximo y 4 a un riesgo mínimo. (crédito: D.R.)
Bearing Point y Orange Cyberdefense movilizados por el Tribunal de Cuentas para auditorías
Para respaldar su análisis, el Tribunal de Cuentas encargó varias auditorías, una dedicada al código Parcoursup por Audit Cast y Bearing Point, una segunda sobre seguridad por Orange Cyberdéfense. “Los resultados muestran que Parcoursup tiene un índice de calidad total de 2.28 en una escala de 4, el puntaje de 1 corresponde a un riesgo muy alto y el puntaje de 4 a un riesgo bajo. Este es un resultado pobre, con un alto nivel de riesgo. Para aplicaciones comparables, es decir, durante 10 años, la calificación promedio observada por los auditores obligatorios es 2.80. Por lo tanto, Parcoursup tiene un nivel de calidad más bajo que otro software de edad similar. Como parte de esta auditoría, se identificaron 1,582 violaciones críticas. Estos son defectos en el código que deben corregirse rápidamente ", dice el informe.
Mapeo de red Parcoursup. * Contiene los servicios que otros dispositivos necesitan para operar, como el servidor DNS, el servicio de mensajería, etc. (crédito: especificaciones simplificadas de Parcoursup)
En su auditoría de noviembre de 2018, Orange Cyberdéfense reveló importantes vulnerabilidades de seguridad dentro de la aplicación web Parcoursup. "El informe enumera 11 vulnerabilidades, de las cuales 1 presenta un riesgo crítico, 5 presentan un riesgo mayor y 5 riesgos más moderados". La auditoría también considera que las medidas de seguridad integradas no están en línea con los diversos estándares ANSSI. El Tribunal de Cuentas también hace varias recomendaciones: mejorar las medidas de seguridad implementando planes de acción formalizados y corrigiendo las vulnerabilidades de seguridad identificadas, implementando una matriz de separación de tareas para los establecimientos con el fin de limitar el riesgo de transacciones fraudulentas, implementar cuentas nominativas para los perfiles de administración, así como una matriz de separación de tareas para el polo de TI del SCN (servicios centrales y servicios con jurisdicción nacional) para limitar el riesgo de transacciones fraudulentas. Surge un punto positivo con respecto a la copia de seguridad del sistema "en línea con los diversos repositorios existentes" y de que "la creación de todas las copias de seguridad permite cubrir los riesgos de pérdida de datos en caso de incidente o intrusión.
“La plataforma Parcoursup ha sido calificada por ANSSI desde 2018 como un operador de servicio estatal esencial, de la misma manera que la CNIL ha reconocido repetidamente que era una plataforma segura y que no había preocupaciones basadas en el GDPR. Los equipos trabajan para la mejora continua de la plataforma y el Tribunal de Cuentas & # 39; La evaluación no significa que la plataforma sea insegura. A partir de 2019, el ministerio había puesto en marcha medios para fortalecer el equipo de Parcoursup mediante la contratación de agentes que trabajan en estos temas y manejan problemas de procedimiento con el objetivo de no permitir un incidente, que fue el caso. », Indica un portavoz del Ministerio de Educación Superior, Investigación e Innovación contactado por el personal editorial.
Y agrega: "Parcoursup se lanzó rápidamente con todas las limitaciones que usted conoce, el Tribunal elogió el desempeño realizado. Los equipos están destinados a extenderse y estabilizarse y se pondrán en práctica los medios necesarios para que la plataforma mejore". El ministerio ha trabajado para que se estudien los impactos de la orientación estudiantil y la ley de éxito estudiantil y se alienten los procesos de monitoreo externo. Un poco más de 2/3 años después, tomamos nota de esta primera evaluación para medirla ",
Si quieres conocer otros artículos parecidos a El Tribunal de Cuentas recuerda el código y la seguridad de Parcoursup puedes visitar la categoría Otros.
Otras noticias que te pueden interesar