Fonctionnalité de tests en ligne – Guide du technicien pour la mise en œuvre de mesures visant à protéger l’intégrité des examens

Table des matières

Introduction

La Commission de la fonction publique du Canada (CFP) a des pièces conçues pour les examens Fonctionnalité de tests en ligne (FTEL) où les ordinateurs personnels (OP) ont une image de Windows très personnalisée et verrouillée. Cependant, nous reconnaissons que l’utilisation d’une pièce ou d’ordinateurs personnels entièrement voués à ces tests n’est pas une solution pratique pour toutes les organisations. Par conséquent,la CFP autorise les organisations à utiliser un OP standard pour les tests FTEL si elles s’engagent à mettre en œuvre les mesures préventives visant à protéger l’intégrité des examens.

Ce guide a été créé en vue d’aider les spécialistes en technologie de l'information à bien sécuriser les ordinateurs utilisés pour la FTEL. Veuillez consulter les spécialistes en TI de votre organisation pour obtenir de l’aide afin de mettre en œuvre les suggestions contenues dans ce guide.

Dans ce guide, vous trouverez :

  • Section A – Les mesures préventives obligatoires requises par la CFP
  • Section B – Des suggestions pour faciliter la mise en œuvre de ces mesures
  • Annexe 1 – Une liste de vérification pour confirmer que les mesures sont en place

Section A – Mesures préventives obligatoires requises par la Commission de la fonction publique

Afin de garantir la sécurité du contenu des tests de la CFP, vous devez vous assurer que tout ordinateur utilisé pour les examens FTEL respecte les mesures de sécurité suivantes :

  1. S’assurer que le candidat n’a pas de droits d’administrateur sur l’ordinateur;
  2. S’assurer que les utilisateurs ont un droit d’accès limité au lecteur C:
    • Accorder l’accès « Lire et écrire » à %TEMP%, et
    • Accorder l’accès « Lire seulement » au reste du lecteur C :;
  3. Désactiver les ports USB, les lecteurs de disquettes et les lecteurs de CD-ROM;
  4. Désactiver l’accès intranet et Internet (sauf à FTEL);
  5. Désactiver l’accès aux lecteurs réseaux (F :, G :, H :, etc.);
  6. Empêcher l’exécution d’autres applications (MS Office, WordPerfect, Notepad, WordPad, MS Paint, etc.);
  7. Désactiver l’accès au courriel (Outlook, GroupWise, Hotmail, Gmail, etc.);
  8. S'assurer que la capture d’écran et la fonction « copier/coller » ne peuvent pas être utilisées pour copier les questions d'examen;
  9. L’ordinateur n’est pas relié à aucune imprimante.

Section B – Suggestions pour faciliter la mise en œuvre de ces mesures

Les mesures préventives énumérées à la section A sont requises par la CFP. Le but de la présente section est de vous aider à mettre en œuvre ces mesures. Nous vous faisons donc quelques suggestions pour vous faciliter la tâche.

La majorité de ces suggestions renvoie à des stratégies de groupe Windows (« Group Policies »). Les autres suggestions font référence à des logiciels d'une tierce partie et à d’autres mécanismes. En utilisant différentes combinaisons et un compte d'utilisateur spécifique, vous devriez être en mesure de mettre en œuvre les mesures de protection tout en utilisant l’OP pour d’autres tâches.

Si vous n’êtes pas en mesure de mettre en œuvre ces suggestions, il vous incombe de trouver une solution de rechange adéquate et sécuritaire. Gardez toujours à l’esprit de protéger l’intégrité du contenu des examens de la CFP. Veuillez noter que la CFP n’est pas responsable de tout problème qui pourrait résulter de l’utilisation de ces suggestions.

Marche à suivre

Désactiver les ports USB, les unités de disquettes et les lecteurs de CD-ROM 

Méthode 1  Avec Windows XP, il est possible d’utiliser une stratégie de groupe intégrée pour désactiver le lecteur de disquette et le CD-ROM. Toutefois, pour le port USB, vous devez utiliser une stratégie de groupe personnalisée. Il y a plusieurs articles à ce sujet sur Google. Par exemple, cet article http://www.petri.co.il/disable_usb_disks_with_gpo.htm montre comment utiliser une stratégie de groupe personnalisée pour désactiver les trois unités à la fois.

Méthode 2 : Windows 7 offre l’option de désactiver les trois composantes à l’aide de stratégies de groupe intégrées.

Méthode 3 : Vous pourriez aussi débrancher ces composantes ou les désactiver dans le système d’entrée-sortie de base (BIOS); toutefois cette méthode n’est pas pratique si vous voulez vous servir des composantes pour autre chose. De plus, cette option n'existe pas dans tous les BIOS.

Désactiver l’accès intranet et Internet (sauf à FTEL)

Autoriser : les sites commençant par www5.psc-cfp.gc.ca et oit.psc-cfp.gc.ca.
Bloquer : tout autre site, incluant les sites intranet.

Pour vous assurer d’avoir donné les permissions adéquates, vérifiez que vous pouvez accéder à la page www5.psc-cfp.gc.ca/oltf/

Méthode 1 :
Allez dans les options d’Internet Explorer -> Connexions -> Paramètres réseau et :

  • ajoutez un crochet dans la boîte « Utiliser un serveur proxy pour votre réseau local »;
  • inscrivez 127.0.0.1 pour l’adresse et 80 pour le port;
  • enlevez le crochet dans « Ne pas utiliser de serveur proxy pour les adresses locales »;
  • cliquez sur «Avancer» et dans la section « Exceptions » ajoutez les deux sites nommés ci-dessus;
  • par la suite, assurez-vous que l'usager n’a pas les droits d’administrateur pour changer ces options.

Méthode 2 :
Utilisez un produit de gestion d’accès à Internet, tel que Websense, afin de tout bloquer pour cet usager sauf les deux sites nommés plus haut. Il existe également des versions gratuites équivalentes de ce type de logiciel.

Méthode 3 :
Bloquez les accès au niveau du pare-feu ministériel, sauf les deux sites nommés ci-dessus. Ceci est la méthode la plus sécuritaire, mais la moins pratique si vous voulez donner accès à Internet dans d’autres circonstances.

Désactiver l’accès aux lecteurs réseaux

Assurez-vous que le candidat ne peut accéder à aucun lecteur réseau (F:, G:, H:, etc.). La méthode à employer pour y parvenir dépend de la façon dont vous créez les connexions aux lecteurs réseaux dans votre environnement. Vous pouvez soit empêcher la connexion d'être créée ou, si cela s'avère plus facile pour vous, vous pouvez l'effacer immédiatement après qu'elle a été créée.

Empêcher l’exécution d’autres applications (MS Office, WordPerfect, Notepad, WordPad, MS Paint, etc.) 

Ceci peut-être fait par différents moyens et produits. Par exemple, vous pouvez utiliser une stratégie de groupe Windows dans laquelle vous modifiez : Configuration utilisateur -> Modèles d'administration -> Système -> Ne pas exécuter les applications Windows spécifiées. Vous n'avez qu'à y rajouter le nom de l'exécutable à bloquer (p. ex. winword.exe, excel.exe, powerpnt.exe, wordpad.exe, notepad.exe, mspaint.exe).

Vous devrez aussi désactiver le processus cmd.exe (Windows Command Prompt) pour empêcher l’exécution de programmes à partir de cet endroit.

Dans le menu Démarrer, cachez la fonction « Exécuter... ». Ceci est également possible avec des stratégies de groupe, grâce à la fonction Configuration utilisateur -> Modèles d'administration -> Menu Démarrer et barre de tâches -> Supprimer le menu Exécuter du menu Démarrer.

Assurez-vous que les usagers ne peuvent renommer des fichiers exécutables. Sinon, même si vous bloquez wordpad.exe, l’usager pourrait le renommer wordpad2.exe et l'exécuter.

Désactiver l’accès au courriel (Outlook, GroupWise, Hotmail, Gmail, etc.)

Si l’accès à Internet a été correctement désactivé à l'aide des instructions ci-haut, les sites tels que Hotmail et Gmail ne seront pas accessibles.

Pour l’accès à des clients de courriel locaux, choisissez la même méthode que celle utilisée pour empêcher l’exécution de MS Office, WordPad, etc. (voir l’article précédent).

S'assurer que la capture d’écran et la fonction « copier/coller » ne peuvent être utilisées pour copier les questions d'examen

La saisie d’écran peut être désactivée avec les stratégies de polices. Cependant, il ne semble pas y avoir une façon sécuritaire de désactiver la fonction « copier/coller » sans verrouiller complètement le poste de travail (ce qui demande un certain temps).

Vous devez toutefois vous rappeler que l’objectif est de s’assurer que le contenu de l’examen ne peut être exporté d’aucune manière. Si vous avez bien mis en place toutes les autres mesures de protection mentionnées plus haut, alors le candidat ne devrait pas être capable d'utiliser ces fonctions pour copier les questions d'examen. En effet, s’il n’a pas accès à une disquette, à une clé USB, à un CD, à un lecteur réseau ou à un système de courriel, il n'aura pas d'endroit où « coller » une image ou du texte.

À noter

L’usager ne doit pas avoir des droits d’administrateur, sans quoi il pourrait modifier certains des changements de configuration que vous avez faits.

Le droit d’écrire sur le lecteur C:\ devrait être restreint, mais l’usager doit conserver l’accès à %TEMP%.

Si vous utilisez des fureteurs autres qu’Internet Explorer (par exemple, Chrome ou Firefox), assurez-vous que les mesures d'accès aux sites Web s'appliquent également à ceux-ci, ou qu’ils sont simplement désactivés.

La fonctionnalité « faire demi-tour » (« revert »), offerte par certains produits tels que les machines virtuelles et DeepFreeze, ne devrait pas être utilisée. Dans les cas où il y a une panne de serveur, d’ordinateur ou un autre genre d’interruption, la progression du candidat peut être récupérée grâce à un fichier chiffré sur le lecteur C:\. En faisant demi-tour, ce fichier serait perdu et le candidat devrait recommencer son test du début.

Conclusion

Toutes les procédures mentionnées ci-dessus doivent être mises en œuvre. Les façons de procéder pour y parvenir sont des suggestions. Vous avez une marge de manœuvre quant à la façon dont vous mettez en place ces mesures de protection: stratégies de groupe locales, stratégies de groupes gérées par Active Directory, scripts, produits d’une tierce partie, etc.

Il vous incombe de mettre en place ces mesures de protection et de les tester afin de vous assurer qu’elles fonctionnent correctement et que l’intégrité du contenu des examens de la CFP est assurée. Aucun soutien supplémentaire ne sera offert dans la mise en pratique de ces exigences, car l’environnement et les politiques de chaque organisation sont différents.

Annexe 1

Liste de vérification à l’intention des techniciens
Exigences en matière de sécurité des examens en ligne (FTEL) Conforme
1 Le candidat n’a pas de droits d’administrateur sur l’ordinateur.  
2 Les utilisateurs ont l’accès « Lire et écrire » à %TEMP%.  
3 Les utilisateurs ont l’accès « Lire seulement » au reste du lecteur C:.  
4 Les ports USB sont désactivés.  
5 Les lecteurs de disquettes sont désactivés.  
6 Les lecteurs de CD-ROM sont désactivés.  
7 Les graveurs CD-ROM sont désactivés.  
8 L’intranet est désactivé.  
9 L’Internet est désactivé
(sauf les sites commençant par www5.psc-cfp.gc.ca et oit.psc-cfp.gc.ca).
 
10 L'utilisateur n'a pas accès à des lecteurs partagés (F:, G:, H:, etc.).  
11 Les autres applications ne peuvent plus être exécutées (MS Office, WordPad, Notepad, MS Paint).  
12 L’accès au courriel est désactivé (Outlook, GroupWise, Hotmail, Gmail, etc.).  
13 L'usager ne peut utiliser la capture d'écran et la fonction « copier/coller » d'aucune façon pour copier les questions d'examen.  
14 L’ordinateur n’est relié à aucune imprimante.  

Votre organisation, située à ________________________________________________________ satisfait à toutes les exigences de la CFP en matière de sécurité concernant l’administration des examens en ligne.

OUI :

NON :

RAISONS :

COMMENTAIRES :

L’organisation a 60 jours afin de satisfaire aux exigences de la CFP en matière de sécurité concernant l’administration des examens en ligne dans leur installation. Après 60 jours, un suivi sera effectué. Si l’organisation ne se conforme pas aux exigences de sécurité après 60 jours, la CFP se réserve le droit de désactiver les certifications des administrateurs d’examen de ce centre.

________________________

Analyste en sécurité des examens de la CFP

________________________

Administrateur d’examen - Organisation

________________________

Technicien en TI – Organisation

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :