Dans le cadre de notre priorisation continue de la confidentialité et de la sécurité, D2L a fait un certain nombre de engagements en août et septembre 2023. Nous documentons ci-dessous les progrès que nous avons faits pour respecter ces engagements.
Le 8 août 2023, le PDG de D2L, John Baker, a été invité à annoncer plusieurs engagements de D2L lors d’un forum de la Maison Blanche présenté par la Première dame Jill Biden.
En septembre 2023, D2L a été parmi les premiers du secteur à signer le « Secure by Design » de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis pledge volontaire pour les fabricants de logiciels de technologie de l’éducation de la maternelle à la 12e année.
D2L reconnaît qu’un paysage de menaces en constante évolution exige que nous restions vigilants et adaptables pour aider à maintenir l’apprentissage en toute sécurité. Grâce à ces mesures et à d’autres initiatives en cours, D2L continue de travailler en étroite collaboration avec ses clients pour aider à mettre en œuvre de solides contrôles de confidentialité et de sécurité, contribuant ainsi à réduire le fardeau de la cybersécurité pour nos clients. Cela aide, par exemple, nos clients K-12 à se concentrer davantage sur leur mission fondamentale d’enseignement et d’apprentissage.
Chef d’entreprise en cybersécurité
Stephen Laster, président de D2L, est le chef principal de l’entreprise de cybersécurité de D2L pour aider à apporter une plus grande responsabilité en matière de cybersécurité aux niveaux les plus élevés de D2L. Stephen est responsable de la gestion du processus continu d’intégration de la sécurité en tant que fonction essentielle de l’entreprise aux côtés de Nick Oddson, directeur de la technologie et directeur de la sécurité de l’information de longue date de D2L, y compris le développement et la mise en œuvre de la feuille de route Secure by Design de D2L. [Principe de sécurité selon la conception 3.0]
SSO gratuit pour les clients
Depuis mars 2023, D2L propose l’authentification unique (SSO) basée sur le langage SAML (Security Assertion Markup Language) à tous les clients sans frais supplémentaires, afin de réduire les cyberattaques par mot de passe. Les clients peuvent trouver des détails sur la façon de configurer et de gérer leur SSO sur le Communauté Brightspace. [Principe de sécurité selon la conception 1.1]
Assistance au journal d’audit de sécurité
D2L aide les clients sans frais supplémentaires à répondre aux questions de sécurité et aux incidents, y compris en ce qui concerne l’analyse des journaux des produits et des serveurs pour la réponse aux tests de sécurité / pénétration, aux comptes d’utilisateurs compromis, au phishing par e-mail et aux vulnérabilités. Dans des circonstances exceptionnelles, des frais peuvent s’appliquer pour limiter les cas d’une portée extraordinaire. Les clients peuvent trouver des détails sur l’étendue du service sur le Communauté Brightspace. [Principe 1.2 de la sécurité par conception]
Aider à réduire le fardeau d'évaluation des outils tiers
D2L aide à alléger le fardeau pour les départements informatiques d’autres clients scolaires qui sont responsables d'examiner de nombreux outils et applications tiers. Bien que ce type d’examen soit déjà une pratique standard pour D2L, le badge « D2L Security Reviewed » récemment ajouté sur le D2L Partner Integration Hub peut aider à indiquer quels partenaires tiers ont démontré leur engagement envers la sécurité de l'information. Ces partenaires ont été confirmés par les experts D2L pour satisfaire aux normes suivantes :
- Avoir subi un examen complet de la sécurité de l’information, incluant la soumission d’un rapport tiers de type 2 SOC2 ou de son équivalent, ou
- Avoir complété une évaluation d'impact de l’IA (le cas échéant) examinée par le groupe de travail interne sur l’IA de D2L
S’appuyer sur la validation par un tiers
Les contrôles de confidentialité et de sécurité de D2L incluent le cryptage par défaut, les certifications de sécurité clés et d’autres protections en couches. D2L continue de travailler pour améliorer sa sécurité et la posture de sécurité de ses clients. D2L réalise régulièrement mis à jour certifications vérifiées par des tiersactualisées, y compris : ISO 27001, ISO 27017, ISO 27018, certification de niveau 2 pour TX-RAMP et certification de confidentialité 27701. D2L continue de rechercher une validation supplémentaire par des tiers pour confirmer davantage sa conformité avec les normes de sécurité de l’industrie.
Cours gratuit de cybersécurité pour les dirigeants d'écoles K-12
D2L et le Sinclair College ont lancé un cours gratuit sur la cybersécurité de la maternelle à la 12e année pour aider les dirigeants du système scolaire à guider leurs districts afin d’accroître leur résilience aux cybermenaces pour les données des élèves (et du personnel) et la continuité de l’apprentissage. Le cours court et à rythme libre est conçu spécifiquement pour les surintendants et les administrateurs de la maternelle à la 12e année afin de comprendre les principales menaces de l’école, les pratiques d’atténuation essentielles et les cadres de planification nécessaires. Pour plus d’informations, consultez le annonce et l' d'informations sur le cours et l’inscription page.
Feuille de route produit
D2L a encore accru sa transparence en mettant à jour Pratiques de sécurité D2L et continue de traiter la sécurité comme un aspect intégral de sa feuille de route produit. La conception des produits et services D2L a la protection des données privées et la sécurité en tête de liste à chaque étape de notre cycle de vie de développement logiciel (SDLC). [Principe 2.1 de la sécurité selon la conception]
Politique de divulgation des vulnérabilités
D2L a publié son Politique de divulgation des vulnérabilités (VDP) l’intention de fournir aux chercheurs en sécurité des lignes directrices claires pour mener des activités de découverte de vulnérabilités et de transmettre les préférences de D2L dans la façon de soumettre les vulnérabilités découvertes pour examen. La politique augmente la visibilité et la collaboration, y compris les termes concernant l’autorisation des tests, la sphère de sécurité juridique, la divulgation publique et les processus de correction. [Principe de sécurité par conception 2.2]
Où dois-je aller pour en savoir plus ?
Article de blog sur l'introduction de SAML et l'administration SAML
Article de blog sur la politique d'assistance au journal d'audit de sécurité
Cours de cybersécurité K-12 | D2L
Meilleures pratiques en matière de sécurité | D2L
Politique de divulgation des vulnérabilités