Règlement 116 - Utilisation acceptable des ressources de TI

Approuvé Comité d'administration 2288.3

1. CONTEXTE

Dans le cadre de sa mission éducative, l’Université d’Ottawa acquiert, développe et maintient divers biens de technologies de l’information (TI). Ces biens de TI sont destinés à des fins liées aux buts de l’Université, notamment le soutien direct et indirect aux missions d’enseignement, de recherche et de service, les fonctions administratives, les activités liées à la vie étudiante et sur le campus, ainsi que le libre échange des idées au sein de la communauté universitaire et entre celle-ci et les communautés locales, nationales et mondiales plus larges.

L’Université recueille, entrepose et transmet de l’information électronique de nature sensible afin de faciliter et habiliter ses fonctions scolaires, de recherche et d’autres fonctions universitaires. La communication d’information sensible à des personnes non autorisées serait de nature à causer un préjudice irréparable à l’Université ou à des membres de sa communauté et elle pourrait aussi être passible d’amendes ou d’autres sanctions gouvernementales. En outre, si l’information de l’Université était altérée ou rendue indisponible, sa capacité de poursuivre ses activités pourrait être minée.
L’Université reconnaît l’importance de la sécurité de l’information et de la protection de ses biens de TI. Par conséquent, elle est engagée à préserver la confidentialité et l’intégrité de ses biens de TI et à utiliser des mesures de sécurité raisonnables, appropriées, pratiques et efficaces pour contrer l’utilisation, la modification, la divulgation et la destruction non autorisées de ses biens de TI.

L’Université d’Ottawa est également déterminée à préserver un environnement qui encourage la liberté universitaire et de la recherche en veillant à une utilisation responsable des ressources de TI.

2. BUT

Le Règlement sur l’utilisation acceptable des ressources de TI de l’Université d’Ottawa favorise l’utilisation efficace, éthique et licite de ses ressources de TI. La protection et la préservation des ressources de TI requièrent une attitude de collaboration qui demande à chaque membre de la communauté universitaire d’agir de façon responsable et de se prémunir contre les abus.

Le présent Règlement vise à assurer la confidentialité et l’intégrité des biens de technologies de l’information de l’Université d’Ottawa, tel que défini plus en détail ci-dessous (biens de TI), et représente le cadre général dans lequel s’articulent l’interprétation et l’application de toutes les politiques en matière de sécurité de l’information et les méthodes connexes.

3. RESPONSABILITÉS

Le dirigeant principal de l’information (CIO) de l’Université encadre les ressources et les services de TI centrales qui habilitent les fonctions universitaires et administratives et viennent à l’appui des membres du corps professoral, du personnel et des étudiants. Les services de TI englobent l’infrastructure, les applications, l’architecture d’entreprise, la sécurité de l’information et les services de soutien aux usagers au travers de l’Université.

Dans le contexte du présent règlement, le CIO de l’Université est principalement responsable :
• d’assurer la garde des biens de TI;
• d’encadrer la sécurité des TI;
• d’établir, de maintenir, de publier et d’assurer la sensibilisation au Règlement en matière d’utilisation acceptable des ressources de TI et aux méthodes connexes;
• d’informer la communauté universitaire de ses responsabilités à l’égard de la sécurité de l’information.

Le CIO élabore des méthodes et des lignes directrices en concertation avec les services pertinents comme le bureau juridique, de protection de la vie privée, et de gestion du risque afin d’aider la communauté universitaire à mettre en œuvre et à exécuter ce règlement. Ce règlement est à la base des politiques, des méthodes et des lignes directrices à venir en matière de sécurité des TI.

Le CIO peut déléguer les responsabilités et les pouvoirs individuels mentionnés dans le présent règlement ou les politiques, les méthodes et les lignes directrices afférentes en matière de sécurité de l’information.

Les modifications apportées au présent règlement seront approuvées par le Comité d’administration.

Ce règlement doit être lu en parallèle avec :
• le Règlement 117 - Classification et la manutention de l’information;
• le Règlement 118 - Utilisation du courrier électronique (courriel);
• le Règlement 37 – Micro-ordinateurs appartenant à l’Université d’Ottawa;
• le Règlement 45 – Communications sans fil à l’Université;
• le Règlement 23 – Archives de l’Université d’Ottawa;
• les Méthodes de sécurité TI.

4. APPLICATION, PORTÉE ET INTERPRÉTATION

Ce règlement et les méthodes connexes établies en vertu de celui ci couvrent tous les biens de TI et visent :

a) tous les employés, les étudiants, les entrepreneurs, les visiteurs, les bénévoles ainsi que les membres du Bureau des gouverneurs de l’Université;

b) les organisations externes et leurs employés, entrepreneurs et représentants respectifs qui utilisent ou à qui on a accordé l’accès aux biens ou aux ressources de TI de l’Université.

Le CIO est responsable de l’interprétation du présent Règlement.

5. Aux fins du présent règlement et lorsqu’il est appliqué de concert avec une méthode établie en vertu de celui ci :

a) un « employé » s’entend de tout le personnel (dans des postes réguliers et contractuels) enseignant, administratif et de soutien syndiqué et non syndiqué (y compris les personnes dont le salaire provient de sources autres que les fonds d’exploitation de l’Université comme des bourses, des subventions de recherche et des contrats externes);

b) un « étudiant » désigne toute personne inscrite à l’Université, soit à temps plein, à temps partiel ou à titre d’étudiant spécial, dans un programme de premier cycle ou d’études supérieures, y compris les résidents en médecine et les stagiaires postdoctoraux;

c) le « bien de TI » ou les « biens de TI » englobent toutes les ressources et désignent collectivement les ressources de TI de l’Université et l’information électronique qui y est entreposée ou qui passe dans une ressource de TI de l’Université;

d) la « ressource de TI » ou les « ressources de TI » comprennent notamment les logiciels, les systèmes, les réseaux, les ordinateurs ou toute autre ressource ou matériel informatique, les serveurs (physiques ou virtuels), les dispositifs de stockage de données ou de réseau, les serveurs de courriel, les serveurs d’imprimante et de télécopieur, les systèmes téléphoniques, les supports magnétiques ou de réseau et tout autre dispositif de communication appartenant ou exploités ou gérés par l’Université, ou encore qui sont concédés sous licence à l’Université ou exploités par une organisation externe pour le compte de l’Université;

e) la « communauté universitaire » désigne tous les employés, les personnes titulaires d’un poste d’enseignement à l’Université d’Ottawa, les étudiants, les entrepreneurs, les visiteurs et les bénévoles, ainsi que membres des institutions fédérées de l’Université d’Ottawa (p.ex. l’Université Saint-Paul);

f) une « chaîne de lettres » : une chaîne de lettres typique est habituellement constituée d’un message qui tente de convaincre le destinataire de faire un certain nombre de copies de la lettre et puis de la faire parvenir à autant de destinataires que possible.

g) un « pourriel » désigne tout message électronique commercial qui est envoyé sans avoir obtenu au préalable le consentement du destinataire. Le pourriel sert également de véhicule pour la propagation de menaces en ligne, y compris les logiciels espions, l’hameçonnage et les logiciels malveillants.

6. ÉNONCÉ DE POLITIQUE

a) Toutes les ressources de TI sont destinées aux fins de l’Université, notamment en soutien direct et indirect des activités d’enseignement, de recherche et administratives de l’Université;

b) L’Université interdit l’utilisation d’un de ses biens de TI qui :

i. entrave les activités opérationnelles de l’Université, ou qui nuit ou menace ses employés, ses étudiants ou autres;
ii. représente un risque significatif/important/inacceptable pour la santé ou la sécurité;
iii. est contraire aux lois applicables.

c) Avant de confier à des entités extérieures (p. ex. pour l’entreposage, la reproduction, l’impression, le formatage, le traitement, etc.) de l’information à diffusion restreinte ou confidentielle de l’Université ou toute autre information interne (voir le Règlement 117 - Classification et la manutention de l’information), l’Architecte de sécurité doit procéder à une évaluation du risque de sécurité du tiers;

d) Tous les logiciels développés par les employés ou des entrepreneurs pour le compte de l’Université appartiennent à celle ci et sont protégés par les lois du droit d’auteur applicables contre une utilisation ou une reproduction non autorisée, à moins d’une entente contraire par écrit;

e) Chaque utilisateur doit comprendre le degré de sensibilité de l’information à laquelle il a accès et la protéger adéquatement. Même si les mécanismes de sécurité techniques font défaut ou sont absents, chaque utilisateur doit néanmoins agir de façon prudente et raisonnable afin de protéger l’information selon son degré de sensibilité.

f) L’Université n’assure pas de façon régulière la surveillance, l’inspection, la reproduction ou la divulgation de l’information électronique entreposée sur un bien de TI ou dans laquelle elle circule, à moins qu’une telle intervention soit, dans la mesure où elle est strictement nécessaire, d’assurer le bon fonctionnement des activités ou d’un bien de TI de l’Université, d’en empêcher ou d’en corriger la mauvaise utilisation, ou d’assurer la conformité au présent règlement ou à une méthode de sécurité en matière d’information, ou à moins qu’une telle intervention soit permise ou requise par les lois applicables;

g) L’Université maintiendra des processus raisonnables pour contrer les virus, bloquer les pourriels et analyser le trafic réseau entrant et sortant afin de détecter et de protéger contre le contenu malveillant, mais l’Université ne peut pas garantir le succès de ces processus et l’utilisateur doit accepter le risque inhérent à l’utilisation de la technologie;

h) Les membres de la communauté universitaire doivent respecter ce Règlement et les méthodes établies en vertu de celui ci;

i) L’Université prendra des mesures préventives et correctives appropriées lorsqu’il y a infraction (ou risque d’infraction) au présent Règlement ou à toute méthode connexe et, lorsqu’il est justifié de le faire, tient les personnes responsables conformément aux dispositions de la convention collective, aux conditions d’emploi ou autres politiques ou règlements de l’Université ou aux lois applicables.

j) Pour une utilisation acceptable des ressources de TI, l’utilisateur :

i. ne doit pas utiliser les ressources à des fins non autorisées;
ii. doit protéger son identité d’utilisateur, son mot de passe et son système d’une utilisation non autorisée. Il est aussi responsable de toutes les activités sur son compte d’utilisateur ou qui émanent de ses appareils;
iii. ne doit accéder, utiliser ou divulguer des renseignements restreints, confidentiels ou internes (voir le Règlement 117 - Classification et la manutention de l’information) que dans la mesure où il est autorisé et nécessaire pour réaliser les fonctions liées à son poste;
iv. ne doit utiliser que la version légale d’un logiciel protégé par le droit d’auteur, conformément aux exigences de la licence du fournisseur;
v. doit être respectueux dans l’utilisation des ressources partagées, éviter de monopoliser les systèmes, de surcharger les réseaux de données excessives, de dégrader les services ou de gaspiller le temps machine, le temps de connexion, l’espace disque, le papier d’imprimante, les manuels ou d’autres ressources;
vi. doit signaler les incidents comme le vol d’équipement informatique (y compris, sans s’y limiter les ordinateurs portatifs, tablettes électroniques et ordinateurs de bureau), de mots de passe, ou les infections de virus qui ne sont pas nettoyés automatiquement par un logiciel antivirus résident. Ce genre d’activité doit être signalé immédiatement au Centre de services TI.

k) Les utilisations inacceptables des ressources de TI comprennent, mais non de façon limitative, ce qui suit :

i. l’utilisation d’une ressource à une fin contrevenant aux lois locales, provinciales ou fédérales;
ii. l’utilisation de systèmes ou de réseaux de l’Université pour un gain personnel; par exemple, en vendant l’accès à l’identité d’un utilisateur ou à des systèmes ou des réseaux de l’Université, ou en effectuant du travail à des fins lucratives en se servant des ressources de TI de l’Université sans son autorisation;
iii. la reproduction non autorisée d’information entreposée sur les biens de TI de l’Université;
iv. l’utilisation excessive de ressources informatiques, d’entreposage de données ou de largeur de bande passante du réseau dans des activités comme la propagation de chaînes de lettres ou la diffusion inappropriée de messages à des listes ou à des personnes ou de façon générale transférer un volume de fichiers ou de messages anormalement élevé ou l’impression de quantités excessives de papier;
v. l’envoi de matériel manifestement harcelant, choquant ou extrêmement offensant, intimidant ou abusif, ou son entreposage en vue de le récupérer. Il peut s’agir notamment de matériel raciste, de littérature haineuse, d’insultes sexistes ou de matériel sexuellement explicite;
vi. la déformation de son identité ou de son affiliation en utilisant les ressources de TI;
vii. l’utilisation de l’identité et du mot de passe d’autrui pour accéder à des ressources de TI, ouvrir une séance pour autrui dans le réseau afin de lui permettre d’accéder aux ressources de TI, ou utiliser le réseau pour effectuer une entrée non autorisée à d’autres dispositifs informatiques, d’information ou de communication;
viii. l’envoi, l’affichage ou l’entreposage de matériel obscène ou pornographique, ou tout autre matériel qui est assujetti aux lois et règlements;
ix. une tentative de contourner ou de pirater des mots de passe de systèmes sur le réseau;
x. une tentative de contourner ou de renverser les mesures de sécurité d’un système ou d’un réseau;
xi. la reproduction, le téléchargement ou la distribution de matériel protégé par une marque de commerce, un secret commercial ou autre droit de propriété intellectuelle sans l’autorisation appropriée;
xii. la création ou l’utilisation de copies illégales de matériel ou de logiciels ou de films protégés par un droit d’auteur, l’entreposage de ces copies sur les systèmes de l’Université ou leur transmission par ses réseaux;
xiii. la copie, la modification ou la destruction de fichiers n’appartenant à soi ou appartenant à l’Université sans autorisation, notamment la modification des données, l’introduction ou la propagation d’un virus, d’un cheval de Troie ou d’un ver, ou simplement les dommages aux fichiers;
xiv. l’ingérence ou la perturbation délibérée du travail d’un autre utilisateur ou le fonctionnement normal des ressources de TI;
xv. l’interception ou la modification des paquets de réseau;
xvi. toute autre activité qui entrave le travail d’autres étudiants, de membres du corps professoral ou du personnel, ou le fonctionnement normal des ressources de TI de l’Université.

7. CONFORMITÉ

Les considérations liées à la sécurité de l’information comme les exigences réglementaires et en matière de conformité, de confidentialité, d’intégrité et de disponibilité sont satisfaites lorsque la communauté universitaire se conforme aux politiques. Cependant, l’Université comprend que la mise en application des politiques et des méthodes de sécurité n’est pas toujours possible. Par conséquent, même si les écarts par rapport aux politiques et aux méthodes sont fortement déconseillés, elle pourrait admettre des dérogations pourvu que la solution de rechange constitue une exception raisonnable et justifiable sur le plan opérationnel ou de la recherche.

Le CIO informera annuellement le Comité d’administration centrale sur les cas de non-conformité et les exceptions.

8. EXCEPTIONS

A. CONDITIONS À PRENDRE EN CONSIDÉRATION POUR UNE DÉROGATION POSSIBLE

i. L’utilisateur ou l’unité organisationnelle ignorait qu’il n’était pas conforme et n’est pas en mesure de se conformer immédiatement;
ii. La conformité n’est pas possible et le système est en voie d’être éliminé progressivement; en attendant, le propriétaire doit gérer le risque;
iii. Il existe une autre méthode d’établissement de la conformité qui offre une sécurité équivalente ou meilleure.

B. PROCESSUS D’EXCEPTION

i. L’utilisateur (la partie requérante), fort de l’approbation du doyen de la faculté ou directeur du service, doit présenter au CIO ou à l’un de ses délégués :
Une description générale de la demande d’exception, y compris :
1) le besoin opérationnel pour une dérogation aux exigences de sécurité;
2) la portée et l’étendue des risques posés par la non conformité;
3) les méthodes et les ressources à utiliser pour satisfaire les exigences de conformité ou gérer le risque (mesures d’atténuation du risque);
4) les risques résiduels;
5) la date à laquelle la conformité sera atteinte ou le délai avant la fin de l’état de non conformité.

ii. L’accès à du matériel répréhensible ou offensant peut être permis à des fins d’étude ou de recherche pourvu que la recherche soit approuvée par le Comité d’éthique en recherche ou le doyen et que des mesures appropriées pour contenir la recherche et les ressources de TI de l’Université nécessaires pour l’effectuer soient prédéfinies. Il est recommandé de consulter au préalable avec un professeur, le doyen ou le directeur du département pour obtenir l’assurance que les normes communautaires et éthiques de l’Université sont respectées. S’il y a lieu, Technologies de l’information peut aussi être consulté afin de faciliter les activités décrites précédemment.

iii. L’Architecte de sécurité effectuera une analyse initiale de la demande. Si la non conformité est attribuable au demandeur qui a utilisé une solution de rechange ou supérieure ou si la demande est évidemment raisonnable et correspond aux modèles d’approbation antérieurs, l’Architecte de sécurité peut automatiquement accorder l’exception. Ce sera vraisemblablement le cas pour la plupart des demandes.

iv. Par ailleurs, la demande peut être présentée au CIO ou à l’administration principale pertinente de l’unité organisationnelle qui demande une exception.

v. Si la demande est refusée, elle est accompagnée d’une explication et possiblement de suggestions pour des méthodes de rechange.

vi. Le résultat est communiqué au demandeur, qui peut faire appel d’un refus en posant de nouveau sa demande. Les appels peuvent être soumis au CIO, qui fait la recommandation finale.

vii. Un journal des demandes d’exception et des décisions est conservé et rendu disponible s’il y a lieu.

viii. Une fois qu’un type particulier de demande d’exception a fait l’objet d’une décision, les demandes futures de même nature pourraient produire la même décision, à moins de circonstances particulières.

Pour que le processus d’exception soit efficace, il doit se dérouler d’une manière cohérente, neutre et opportune.

9. PÉRENNITÉ

Ce règlement sera revu régulièrement par le CIO ou au besoin, selon les changements dans les technologies ou les exigences réglementaires.

10. DATE D’ENTRÉE EN VIGUEUR

Ce règlement entre en vigueur à partir du 15 juin 2016.

Haut de page