Règlement No 116 – Utilisation et sécurité des biens de technologies de l'information

Approuvé Comité d'administration 2288.3, révisé par le Comité d'administration le 8 novembre 2017 par résolution 2335.2.

RÈGLEMENT NO 116 – UTILISATION ET SÉCURITÉ DES BIENS DE TECHNOLOGIES DE L’INFORMATION

1. CONTEXTE

Dans le cadre de sa mission éducative, l’Université d’Ottawa acquiert, développe et maintient divers biens de technologies de l’information (TI). Ces biens sont destinés à des fins liées aux buts de l’Université, notamment le soutien direct et indirect aux missions d’enseignement, de recherche et de service, les fonctions administratives, les activités liées à la vie étudiante et sur le campus, ainsi que le libre échange des idées au sein de la communauté universitaire et entre celle-ci et les communautés locales, nationales et mondiales.

L’Université reconnaît l’importance de la sécurité de l’information et de la protection de ses biens de TI. Par conséquent, elle est résolue à préserver la confidentialité et l’intégrité de ses biens de TI et à utiliser des mesures de sécurité raisonnables, appropriées, pratiques et efficaces pour contrer l’utilisation, la modification, la divulgation et la destruction non autorisées de ses biens de TI.

L’Université d’Ottawa est également déterminée à préserver un environnement qui encourage la liberté universitaire et la liberté de la recherche en veillant à une utilisation responsable des ressources de TI.

2. BUT

Le présent règlement vise à assurer la confidentialité et l’intégrité des biens de TI de l’Université. Il favorise également l’utilisation efficace, éthique et licite des biens de TI de l’Université. Il représente le cadre général qui régit l’interprétation et l’application de toutes les autres politiques en matière d’utilisation et de sécurité de la technologie de l’information, énumérées à la section 3.2 ci-dessous et des normes ou procédures connexes.

3. INTERPRÉTATION

3.1 Les définitions qui suivent s’appliquent au présent règlement et à toute norme ou procédure établies en vertu de celui-ci : 

« bien de TI » ou « biens de TI » : englobent et désignent collectivement les ressources de TI de l’Université et l’information électronique qui est stockée, qui se trouve ou qui passe dans une ressource de TI de l’Université; 

« communauté universitaire » : englobe tous les employés, titulaires d’un poste d’enseignement, étudiants, entrepreneurs, visiteurs et bénévoles, qu’ils soient membres de l’Université ou de ses établissements fédérés (p. ex., l’Université Saint-Paul) ou qu’ils s’y trouvent;

« employé » : s’entend de tout membre du personnel enseignant, administratif et de soutien syndiqué ou non syndiqué, occupant un poste régulier ou contractuel (y compris les personnes dont le salaire provient de sources autres que les fonds d’exploitation de l’Université, comme des subventions, des subventions de recherche et des contrats externes);

« étudiant » : s’entend de toute personne inscrite à l’Université, à temps plein, à temps partiel ou à titre d’étudiant spécial, dans un programme de premier cycle ou d’études supérieures, y compris les résidents en médecine et les stagiaires postdoctoraux; 

« ressource de TI » ou « ressources de TI » : comprennent notamment les logiciels, les systèmes, les réseaux, les ordinateurs, toute autre ressource ou matériel informatique, les serveurs (physiques ou virtuels), les dispositifs de stockage de données ou de réseau, les serveurs de courriel, les serveurs d’imprimante et de télécopieur, les systèmes téléphoniques, les supports magnétiques ou supports de réseau, et tout autre dispositif de communication qui sont possédés, exploités ou gérés par l’Université, ou encore qui sont concédés sous licence à l’Université ou exploités par une organisation externe pour le compte de l’Université; 

« service de TI » ou « services de TI » : comprennent, sans s’y limiter, les services d’infrastructure, d’applications, d’architecture d’entreprise, de sécurité de l’information et de soutien aux utilisateurs finaux, qui sont fournis à l’échelle de l’Université. 

3.2 Le présent règlement et toute norme ou procédure établies en vertu de celui-ci doivent être lus en parallèle avec :

  • le Règlement 117 – Classification et manutention de l’information;
  • le Règlement 118 – Utilisation du courrier électronique (courriel);
  • le Règlement 37 – Micro-ordinateurs appartenant à l’Université d’Ottawa;
  • le Règlement 45 – Communications sans fil à l’Université.

3.3 Le dirigeant principal de l’information (DPI) est responsable de l’interprétation du présent règlement et de toute norme ou procédure établies en vertu de celui-ci.

4. PORTÉE ET APPLICATION

Les dispositions du présent règlement et des normes et procédures connexes établies en vertu de celui-ci couvrent tous les biens de TI de l’Université. Les exigences du présent règlement et des normes et procédures connexes établies en vertu de celui-ci visent :

a) tous les employés, étudiants, entrepreneurs, visiteurs et bénévoles, ainsi que les membres du Bureau des gouverneurs de l’Université;
b) les organisations externes et leurs employés, entrepreneurs et représentants respectifs qui utilisent les biens ou ressources de TI de l’Université ou à qui l’accès à ces biens ou ressources a été accordé.

5. RESPONSABILITÉS

5.1 Le DPI de l’Université coordonne les ressources et les services de TI de l’Université qui habilitent les fonctions universitaires et administratives et qui soutiennent les membres du corps professoral, le personnel et les étudiants. À ce titre, le DPI élabore et met en œuvre des politiques, des normes et des procédures en consultation avec les services pertinents pour aider la communauté universitaire à se conformer au présent règlement.

Sans préjudice de la portée générale de ce qui précède, le DPI est responsable de ce qui suit :

  • établir des procédures pour la mise en œuvre du présent règlement;
  • recommander au vice-recteur aux ressources les normes d’utilisation et de sécurité des biens de TI et les modifications de ces normes à mettre en œuvre conformément au présent règlement;
  • publier et maintenir le présent règlement et les politiques, normes et procédures connexes et assurer la sensibilisation à ce règlement et à ces politiques, normes et procédures;
  • assurer la garde des biens de TI;
  • assurer l’encadrement de l’utilisation et de la sécurité des biens de TI dans toute l’Université;
  • renseigner la communauté universitaire sur les responsabilités en matière d’utilisation et de sécurité des biens de TI.

Le DPI peut déléguer les responsabilités qui lui sont confiées dans le présent règlement ou dans les normes ou procédures établies en vertu de celui-ci; toutefois, il demeure tenu de rendre des comptes à l’égard de ces responsabilités.

5.2 Les personnes mentionnées à la section 4 du présent règlement doivent se conformer au présent règlement ainsi qu’à toutes les normes et procédures établies en vertu de celui-ci.

6. NORMES D’UTILISATION ET DE SÉCURITÉ DES BIENS DE TI

Les personnes mentionnées à la section 4 du présent règlement doivent se conformer aux normes d’utilisation et de sécurité des biens de TI établies dans les annexes suivantes du présent règlement :

a. Annexe A – Utilisation acceptable des biens de TI : utilisations permises et interdites des biens de TI de l’Université.
b. Annexe B – Surveillance des réseaux : la surveillance de routine du trafic sur les réseaux de TI de l’Université afin de détecter et de prévenir les cyberattaques, les tendances connues de brèches touchant les biens de TI de l’Université, ainsi que la communication inappropriée de renseignements confidentiels; le diagnostic et l’analyse des problèmes de réseau. 
c. Annexe C – Octroi de licences et utilisation de logiciels : le respect des conditions des contrats de licence de logiciel conclus par l’Université. 
d. Annexe D – Protection par mot de passe : les règles et exigences relatives à la définition de mots de passe sécurisés et à leur protection. 
e. Annexe E – Contrôle de l’accès : les règles et exigences relatives à l’octroi de l’accès et à l’établissement de contrôles d’accès pour prévenir la perte, la mauvaise utilisation ou le vol de biens de TI de l’Université. 
f. Annexe F – Communications et réseautage : les conditions auxquelles la connectivité à destination et à partir des réseaux de l’Université est approuvée et gérée. 
g. Annexe G – Accès à distance : la manière d’accéder à distance au réseau de l’Université, et les moyens utilisés à cette fin. 
h. Annexe H – Gestion et contrôle des changements : les processus visant à réduire au minimum le risque de changement technologique et son impact sur les applications, systèmes et réseaux de production.
i. Annexe I – Protection antivirus : les règles et exigences relatives à l’installation, à la mise à jour et à la maintenance de logiciels antivirus sur les biens de TI de l’Université, ainsi que d’autres moyens de protection contre les menaces ou attaques de virus informatiques touchant les biens de TI de l’Université. 
j. Annexe J – Élimination des biens de TI : moyens d’élimination sécuritaires pour les biens de TI de l’Université. 
k. Annexe K – Chiffrement acceptable : normes sur le chiffrement autorisé, technologies et exigences de mise en œuvre. 

7. CONFORMITÉ

7.1 Le DPI doit être promptement informé de tout défaut de se conformer aux exigences du présent règlement ou des normes ou procédures établies en vertu de celui-ci. Une fois par an, le DPI doit informer le Comité d’administration des cas de non-conformité importants.

7.2 L’Université prendra les mesures préventives et correctives appropriées en cas d’infraction (ou de risque d’infraction) au présent règlement ou à toute norme ou procédure établies en vertu de celui-ci et, lorsqu’il est justifié de le faire, tiendra des personnes responsables conformément aux dispositions de la convention collective applicable, aux conditions d’emploi ou autres politiques ou règlements de l’Université ou aux lois applicables.

8. EXCEPTIONS

8.1 Aucune exception au présent règlement ou à une norme ou procédure établie en vertu de celui-ci ne doit être faite sans l’autorisation préalable écrite du DPI. En règle générale, aucune exception ne sera faite à moins d’être justifiée par les motifs impérieux suivants ou par des motifs semblables :

a) un utilisateur ou une unité organisationnelle n’est pas conforme et il est impossible de remédier immédiatement à la non-conformité;
b) la conformité n’est pas possible dans le contexte d’un système qui est en voie d’être éliminé progressivement, de sorte que l’utilisateur ou l’unité organisationnelle doit provisoirement gérer le risque;
c) il existe une autre méthode d’établissement de la conformité qui offre une sécurité équivalente ou supérieure;
d) l’accès à du matériel répréhensible ou offensant est nécessaire à des fins d’étude ou de recherche approuvées par le Comité d’éthique en recherche ou le doyen compétent, sous réserve de mesures de protection suffisantes et appropriées pour limiter le matériel à des biens de TI prédéfinis.

8.2 Les exceptions visées à la section 8.1 doivent être demandées, examinées et, s’il y a lieu, accordées conformément aux procédures établies par le DPI en vertu du présent règlement.

8.3 Une fois par an, le DPI doit informer le Comité d’administration des exceptions importantes au présent règlement ou aux normes ou procédures établies en vertu de celui-ci qui ont été accordées.

9. EXAMEN ET MODIFICATIONS

9.1 Le présent règlement et les normes et procédures établies en vertu de celui-ci doivent être examinés régulièrement par le DPI, selon ce qui est jugé approprié compte tenu des changements sur le plan de la technologie ou des exigences réglementaires.

9.2 Sous réserve de la section 9.3, les modifications apportées au présent règlement doivent être approuvées par le Comité d’administration.

9.3 Les modifications apportées aux normes d’utilisation et de sécurité des biens de TI établies dans les annexes du présent règlement et à la liste et la description desdites annexes figurant à la section 6 du présent règlement doivent être approuvées par le vice-recteur aux ressources.

9.4 Les modifications apportées aux procédures établies en vertu du présent règlement doivent être approuvées par le DPI.

Haut de page