Règlement 116 - Annexes - Normes d'utilisation et de sécurité des biens de TI


Table des matières
ANNEXE A – UTILISATION ACCEPTABLE DES BIENS DE TI
ANNEXE B – SURVEILLANCE DES RÉSEAUX
ANNEXE C – OCTROI DE LICENCES ET UTILISATION DE LOGICIELS
ANNEXE D – PROTECTION PAR MOT DE PASSE
ANNEXE E – CONTRÔLE DE L’ACCÈS
ANNEXE F – COMMUNICATIONS ET RÉSEAUTAGE
ANNEXE G – ACCÈS À DISTANCE
ANNEXE H – GESTION ET CONTRÔLE DES CHANGEMENTS
ANNEXE I – PROTECTION ANTIVIRUS
ANNEXE J – ÉLIMINATION DES BIENS DE TI
ANNEXE K – CHIFFREMENT ACCEPTABLE
 

ANNEXE A – UTILISATION ACCEPTABLE DES BIENS DE TI


1. BUT

1.1 La présente annexe définit la norme qui régit l’utilisation acceptable de tous les biens de TI.

2. APPLICATION, PORTÉE ET INTERPRÉTATION

2.1 La présente norme est établie en vertu du Règlement 116 – Utilisation acceptable des ressources de TI, et son application, sa portée et son interprétation sont régies par le Règlement 116.

2.2 Les définitions qui suivent s’appliquent à la présente norme :

a) « lettre faisant partie d’une chaîne » : s’entend notamment d’un message, sous quelque forme que ce soit, qui tente de convaincre le destinataire de faire un certain nombre de copies du message et de le faire parvenir à autant de destinataires que possible; 
b) « pourriel » : s’entend de tout message électronique commercial qui est envoyé sans le consentement exprès du destinataire, y compris un message servant de véhicule pour la propagation de menaces en ligne, comme les logiciels espions, l’hameçonnage et les logiciels malveillants;
c) « utilisation acceptable » : définie en plus de détails à la section 3 ci-dessous, cette expression s’entend largement de l’utilisation d’un bien de TI de l’Université uniquement aux fins de l’Université, tout en respectant les droits des autres utilisateurs de biens de TI, en préservant l’intégrité des biens de TI et en respectant tous les contrats de licence et accords contractuels pertinents.

3. NORME

3.1 Dans le cadre de son utilisation acceptable des biens de TI, l’utilisateur :

a) doit protéger son identité d’utilisateur, son mot de passe et son système contre toute utilisation non autorisée. Il est aussi responsable de toutes les activités sur son compte d’utilisateur ou émanant de ses dispositifs;
b) doit sécuriser les biens de TI de l’Université lorsqu’ils sont laissés sans surveillance. Les dispositifs en transit doivent demeurer en la possession de l’utilisateur ou être sécurisés (par exemple, s’ils sont laissés dans une voiture, ils doivent être cachés dans le coffre et le véhicule doit être verrouillé); 
c) doit comprendre le degré de sensibilité de l’information en sa possession et traiter cette information en conséquence. Même si les mécanismes de sécurité techniques font défaut ou sont absents, chaque utilisateur doit agir de façon raisonnable pour préserver la sécurité de l’information selon son degré de sensibilité;
d) ne doit accéder à de l’information à diffusion restreinte, confidentielle ou interne (au sens du Règlement 117 – Classification et manutention de l’information) ou en utiliser ou en divulguer que dans la mesure où cela est autorisé et nécessaire pour qu’il puisse s’acquitter des fonctions ou responsabilités qui lui ont été assignées; 
e) doit être respectueux lorsqu’il utilise des ressources partagées et éviter de monopoliser les systèmes, de surcharger les réseaux de données excessives, de dégrader les services ou de gaspiller le temps machine, le temps de connexion, l’espace disque, le papier d’imprimante, les manuels ou d’autres ressources (puisque l’utilisation des ressources de TI et les capacités technologiques évoluent au fil du temps, consultez les Technologies de l’information ou le département des TI de l’utilisateur pour définir les utilisations appropriées et efficaces des ressources de TI);
f) doit veiller à ce que son utilisation personnelle des biens de TI ne compromette pas ni ne viole les politiques ou principes établis ou adoptés par l’Université en ce qui concerne les réseaux, les ordinateurs, la sécurité des données ou la déontologie; 
g) doit signaler immédiatement au Centre de services TI les incidents comme les vols de matériel informatique (notamment les ordinateurs portatifs, tablettes électroniques et ordinateurs de bureau), les vols de mots de passe, ou les infections virales qui ne sont pas automatiquement nettoyées par un logiciel antivirus résident.

3.2 Les utilisations de biens de TI suivantes sont acceptables :

a) l’utilisation à des fins liées aux buts de l’Université, notamment le soutien direct et indirect aux activités d’enseignement et de recherche et aux activités administratives de l’Université;
b) l’utilisation personnelle, pourvu que celle-ci soit sans but lucratif, n’entraîne pas de coûts supplémentaires pour l’Université, ne nuit pas à la conduite des activités de l’Université et ne constitue pas une utilisation inacceptable au sens de la présente norme;
c) l’utilisation des installations de courriel de l’Université et des comptes de courriel officiels de l’Université d’une manière considérée comme acceptable en vertu du Règlement 118 – Utilisation du courrier électronique (courriel).

3.3 Les utilisations de ressources de TI suivantes sont interdites :

a) l’utilisation de noms d’utilisateur, de mots de passe, d’adresses d’ordinateur ou d’identités non autorisés, la modification de paramètres réseau assignés pour avoir accès à des ressources ou données informatiques, ou la tentative de contourner, de désactiver ou de déchiffrer les mesures de sécurité des systèmes de l’Université ou de systèmes externes; 
b) l’accès à des données qui ne sont pas publiquement disponibles, qui n’appartiennent pas à l’utilisateur et auxquelles l’accès n’est pas expressément accordé à l’utilisateur, ou l’accès à des biens de TI d’une manière qui contourne les restrictions relatives à l’accès public ou limité (p. ex. dupliquer une base de données au moyen de requêtes automatiques); 
c) l’inspection, la modification, la suppression, la publication ou l’altération de fichiers ou de structures de fichiers auxquels l’accès est interdit à l’utilisateur; 
d) la divulgation ou la distribution, sans autorisation, de renseignements qui sont la propriété de l’Université;
e) l’utilisation de tout processus ayant pour effet de priver un utilisateur de services ou ressources auxquels il s’attendrait normalement. Cela comprend notamment la création de pourriels (distribution excessive par courriel sans autorisation), la propagation de lettres faisant partie d’une chaîne, la diffusion de messages offensants ou autrement inappropriés, l’organisation d’attaques par déni de service, ainsi que l’utilisation, l’introduction, la distribution ou la création intentionnelle de virus, de vers ou d’autres logiciels malveillants;
f) l’utilisation de biens de TI ayant pour effet de désactiver d’autres biens de TI ou d’utiliser des biens de TI de façon disproportionnée de manière que d’autres utilisateurs se voient refuser un accès raisonnable à ces biens ou que leurs coûts augmentent de façon importante. Cela comprend notamment le téléchargement de fichiers volumineux non liés au travail, le téléchargement ou la distribution de matériel illégal au moyen de BitTorrent ou d’un autre protocole de partage de fichiers de poste à poste, ou l’organisation d’attaques par déni de service ou déni de service distribué;
g) la dégradation des systèmes par l’utilisation d’un espace de données injustifié, la consommation de temps et de bande passante par l’utilisation de programmes exigeant de nombreuses ressources, l’établissement de connexions de réseau sans surveillance, ou l’impression inutile de longs documents; 
h) l’utilisation de biens de TI à des fins autres que celles qui sont autorisées à la section 3.2 ci-dessus;
i) l’octroi, la vente ou la fourniture de biens de TI à des personnes ou groupes qui ne sont pas expressément autorisés à y avoir accès, à les acquérir ou à les utiliser; 
j) le partage de comptes d’ordinateur sans avoir obtenu au préalable l’autorisation des Technologies de l’information ou d’une autre autorité administrative compétente au sein de l’Université;
k) l’installation, la reproduction ou la distribution non autorisée de matériel protégé par le droit d’auteur, comme des logiciels privés ou des publications ou fichiers exclusifs; la reproduction ou la suppression de logiciels de l’Université fournis en vertu de contrats de licence conclus avec divers vendeurs; le stockage ou l’utilisation, sur des biens de TI de l’Université, d’information ou de logiciels de tiers protégés par le droit d’auteur que les utilisateurs ne sont pas expressément autorisés à stocker ou utiliser;
l) l’importation ou la distribution de matériel susceptible d’être répréhensible ou offensant pour d’autres ou dont la possession ou la distribution est régie par des lois, des règlements ou des politiques, notamment du matériel raciste, de la littérature haineuse, des insultes sexistes ou du matériel sexuellement explicite;  
m) l’envoi de matériel diffamatoire ou ayant pour effet de harceler ceux qui en prennent connaissance, au sens des lois, règlements ou politiques applicables, par quelque moyen que ce soit, y compris par messagerie texte, dans les médias sociaux, par courriel, par courriel vocal ou par des publications dans des groupes de discussion; 
n) la modification, la dissimulation ou la destruction de biens de TI de l’Université, ou le fait de faire modifier, dissimuler ou détruire de tels biens par une autre personne, dans l’intention de porter atteinte aux droits et obligations prévus par les lois sur l’accès à l’information ou par d’autres lois applicables;
o) l’utilisation de biens de TI d’une manière qui pose un risque appréciable, important ou inacceptable pour la santé ou la sécurité;
p) l’utilisation de biens de TI d’une manière qui viole une loi ou un règlement local, provincial ou fédéral ou une politique, une procédure, un règlement, une norme, une ligne directrice ou une directive de l’Université.


ANNEXE B – SURVEILLANCE DES RÉSEAUX

1. BUT

1.1 La présente annexe définit la norme qui régit la surveillance, l’enregistrement et la conservation du trafic qui utilise les réseaux de l’Université. 

2. APPLICATION, PORTÉE ET INTERPRÉTATION

2.1 La présente norme est établie en vertu du Règlement 116 – Utilisation acceptable des ressources de TI, et son application, sa portée et son interprétation sont régies par le Règlement 116.

2.2 Il est entendu que la présente norme s’applique expressément à l’ensemble des systèmes informatiques et des ressources d’infrastructure réseau possédés ou gérés par l’Université.

3. NORME

3.1 Les employés des TI désignés peuvent utiliser des technologies de surveillance, comme des logiciels antivirus, des pare-feu réseau, des passerelles de sécurité Web, des pare-feu pour la sécurité du courriel, des systèmes de gestion des vulnérabilités, des systèmes de gestion de l’identité et de l’accès et des systèmes de surveillance des bases de données et des applications, pour enregistrer les activités des réseaux, des utilisateurs et des systèmes afin de protéger les biens de TI de l’Université. Les renseignements découlant de ces technologies de surveillance peuvent être recueillis, mis en corrélation et analysés de manière centralisée au moyen d’un outil de gestion de l’information et des événements de sécurité (GIES). 

3.2 L’accès à un trafic de réseau particulier et la surveillance de ce trafic dans une portée définie ne peuvent avoir lieu que s’il existe un besoin manifeste et légitime :

a) soit de détecter des tendances connues d’attaques ou de brèches touchant la sécurité des TI; 
b) soit de détecter la communication inappropriée de données confidentielles ou de données à diffusion restreinte;
c) soit de diagnostiquer ou d’analyser des problèmes de réseau.

3.3 Une fois le besoin légitime établi, seuls les employés des TI autorisés par le gestionnaire des TI compétent de la faculté, de l’unité administrative ou de toute autre unité organisationnelle compétente sont autorisés à accéder à un trafic particulier sur les réseaux spécifiques dont ils sont responsables et à surveiller ce trafic, pourvu que les conditions suivantes soient réunies :

a) les employés des TI savent comment fonctionnent les dispositifs de surveillance de réseaux; 
b) les employés des TI ont signé une entente de confidentialité;
c) l’architecte de sécurité est informé de l’autorisation donnée aux employés des TI.

3.4 Tous les points de surveillance de réseaux doivent être structurés, approuvés et configurés par les Technologies de l’information. 

3.5 Les points de surveillance de réseaux et les dispositifs associés ne doivent pas être prolongés physiquement ou virtuellement (p. ex. au moyen d’un RPV) ni modifiés sans l’autorisation écrite de l’architecte de sécurité. Les Technologies de l’information doivent conserver par écrit des dossiers sur l’ensemble des points, architectures et autorisations de surveillance.

3.6 Les employés des TI désignés et l’architecte de sécurité peuvent stocker des données relatives aux incidents, au besoin. Les données de surveillance non connexes ne doivent pas être stockées par qui que ce soit.

3.7 Les dépôts et registres de données de surveillance ne doivent pas être accessibles au public sur Internet. Les employés des TI autorisés doivent faire preuve de prudence lorsqu’il s’agit de protéger, de manipuler et de stocker les données et registres de surveillance. L’accès hors campus aux dépôts et registres de données de surveillance doit être autorisé et mis à jour par une autorité compétente des Technologies de l’information.

3.8 L’architecte de sécurité ou un employé des TI désigné peut cesser de fournir un service à un réseau ou à un dispositif de réseau qui, selon le cas :

a) viole la présente norme ou toute autre norme ou procédure établie en vertu du Règlement 116;
b) a démontré qu’il constitue une menace ou un obstacle opérationnel pour l’Université ou ses biens de TI; 
c) constitue une menace pour la communauté Internet dans son ensemble.

ANNEXE C – OCTROI DE LICENCES ET UTILISATION DE LOGICIELS


1. BUT

1.1 La présente annexe définit la norme qui régit l’utilisation de logiciels à l’Université afin de prévenir les activités illicites.

2. APPLICATION, PORTÉE ET INTERPRÉTATION

2.1 La présente norme est établie en vertu du Règlement 116 – Utilisation acceptable des ressources de TI, et son application, sa portée et son interprétation sont régies par le Règlement 116.

2.2 La présente norme ne traite que des logiciels informatiques et des documents connexes et ne s’applique pas à d’autres éléments comme les œuvres littéraires, pédagogiques, dramatiques, musicales ou artistiques créées par des membres de la communauté universitaire.

2.3 La présente norme ne s’applique pas lorsque les membres de la communauté universitaire participent à des activités autres que celles de l’Université ou à des organisations qui fonctionnent indépendamment de l’Université (p. ex. emploi à l’extérieur, activité bénévole ou autre dans un domaine sans aucun rapport avec les activités de l’Université, ou activité exercée pendant un congé sans solde de l’Université). 

2.4 La présente norme ne s’applique pas aux dispositifs technologiques personnels qui ne sont pas connectés aux biens de TI de l’Université et qui n’utilisent pas ces biens.

2.5 Les définitions qui suivent s’appliquent à la présente norme :

a) « licence de logiciel » : s’entend du droit d’utiliser un logiciel accordé par un concédant à un licencié en vertu des conditions d’un contrat de licence;
b) « logiciel illégal » : s’entend d’un logiciel, notamment un gratuiciel, un partagiciel, un logiciel ouvert, un logiciel privé, ou des versions de démonstration ou d’essai d’un logiciel, qui est copié ou utilisé contrairement aux conditions de toute licence de logiciel applicable.

3. NORME

3.1 Lorsqu’il est connecté à un réseau ou autre bien de TI de l’Université ou qu’il utilise un tel réseau ou bien, un membre de la communauté universitaire ne doit pas participer à une activité qui viole les lois fédérales, provinciales ou locales en matière de propriété intellectuelle, des contrats de licence de logiciel ou les politiques de l’Université concernant les logiciels informatiques. Cette exigence s’applique à tout logiciel informatique possédé par l’Université ou concédé sous licence à celle-ci. 

3.2 Tous les logiciels installés sur les ressources de TI de l’Université doivent être achetés, loués ou concédés sous licence (p. ex. au moyen d’une licence d’entreprise, d’une licence pour serveur, d’une licence pour poste de travail individuel ou d’un contrat négocié).

3.3 La reproduction non autorisée de logiciels loués ou sous licence et de leur documentation est strictement interdite.

3.4 Les logiciels possédés par l’Université doivent être protégés contre toute action susceptible de compromettre la confidentialité, l’intégrité ou la disponibilité des renseignements organisationnels ou des systèmes automatisés.

3.5 Les logiciels achetés, loués, concédés sous licence ou développés par l’Université ne doivent être installés que sur le matériel possédé par l’Université, sauf autorisation contraire prévue dans les conditions de tout contrat de licence ou autre contrat applicable.

3.6 Les contrats, les licences et les autres accords dûment signés qui se rapportent à l’acquisition de logiciels doivent être conservés par l’agent administratif de l’unité organisationnelle compétente et, lorsque la politique de l’Université l’exige, par Approvisionnements. 

3.7 La reproduction de logiciels protégés par le droit d’auteur est interdite, sauf dans la mesure où elle est autorisée par les conditions de tout contrat de licence ou autre applicable. 

3.8 Les logiciels concédés sous licence à l’Université ne doivent pas être copiés ni stockés sur du matériel autre que celui de l’Université, sauf dans la mesure où l’autorisent les conditions de tout contrat de licence ou autre contrat applicable.

3.9 Les logiciels de démonstration obtenus en version d’essai doivent être enlevés après leur évaluation, à moins d’avoir été dûment concédés sous licence ou achetés.

3.10 Les logiciels et l’information stockés sur les ressources de TI de l’Université doivent être enlevés ou détruits avant que ces ressources de TI ne soient envoyées à une autre unité organisationnelle à des fins de maintenance, de récupération ou de redéploiement. La méthode de destruction doit garantir que l’information à diffusion restreinte, confidentielle ou interne (au sens du Règlement 117 – Classification et manutention de l’information) est détruite au point d’être méconnaissable et qu’elle ne peut être reconstruite.

3.11 Les membres de la communauté universitaire doivent retourner tous les logiciels concédés sous licence à l’Université dès la cessation de leur emploi ou de leur relation contractuelle ou autre avec l’Université.

3.12 Les logiciels, la documentation et l’information concédés sous licence à l’Université ne doivent pas être vendus ni transférés à une autre entité (autre que l’Université) sans l’autorisation préalable écrite du titulaire du droit d’auteur ou de l’autorité administrative compétente (p. ex. le doyen, l’enquêteur principal, le vice-président, le vice-président associé ou son équivalent), ainsi que d’Approvisionnements.

3.13 Les contrats négociés avec les vendeurs de logiciels à l’égard des applications critiques et des logiciels personnalisés doivent être examinés et approuvés conformément aux règlements en matière d’approvisionnement de l’Université (Règlement 36 et Règlement 98).

ANNEXE D – PROTECTION PAR MOT DE PASSE

1. BUT

1.1 La présente annexe définit la norme qui régit l’utilisation des mots de passe en lien avec l’utilisation des biens de TI de l’Université, y compris la création de mots de passe robustes, l’utilisation de la technologie de protection par mot de passe et la fréquence des changements de mot de passe nécessaires pour assurer l’intégrité de tous les comptes d’utilisateurs, privilégiés et administratifs.

2. APPLICATION, PORTÉE ET INTERPRÉTATION

2.1 La présente norme est établie en vertu du Règlement 116 – Utilisation acceptable des ressources de TI, et son application, sa portée et son interprétation sont régies par le Règlement 116. Il est entendu que la présente norme s’applique à tous les utilisateurs et administrateurs de biens de TI. 

3. NORME

3.1 Les mots de passe doivent contenir au moins 10 caractères alphanumériques.

3.2 Les mots de passe doivent contenir au moins trois des quatre catégories de caractères suivantes :

3.2.1 minuscules
3.2.2 majuscules
3.2.3 chiffres
3.2.4 ponctuation et caractères « spéciaux » (p. ex. @#$%^&*()_+|~-=\`{}[]:";'<>/).

3.3 Les mots de passe de compte par défaut doivent être changés conformément à la présente norme.

3.3.1 Les utilisateurs doivent changer leur mot de passe initial au moment de leur première ouverture de session.

3.3.2 Pour les systèmes auxquels accèdent les utilisateurs (p. ex. applications Web), la fréquence des changements de mot de passe/NIP devrait être fondée sur le risque, la sensibilité et la nature de l’application et de l’information accessible.

3.3.3 Tous les mots de passe relatifs à des systèmes (p. ex. comptes racine, comptes d’administrateur Windows, comptes d’administrateur des applications) doivent être changés au moins une fois par trimestre.

3.4 Les mots de passe ne doivent pas être partagés. Tous les mots de passe doivent être traités comme de l’information à diffusion restreinte (au sens du Règlement 117 – Classification et manutention de l’information).

3.5 Les mots de passe ne devraient pas être écrits, sauf si cela est strictement nécessaire. Dans les cas où il est nécessaire d’écrire un mot de passe, celui-ci doit être entreposé en lieu sûr et détruit de façon appropriée lorsqu’il n’est plus nécessaire.

3.6 Les mots de passe ne doivent pas être stockés sans chiffrement.

3.7 Les mots de passe ne doivent pas être stockés dans une forme aisément réversible.

3.8 Les mots de passe doivent être chiffrés durant leur transmission (quel que soit le réseau) et leur stockage.

3.9 L’identité de l’utilisateur doit toujours être vérifiée avant qu’un mot de passe ne soit réinitialisé.

3.10 Un mot de passe ne doit pas être fourni à un tiers sur demande; les demandeurs doivent être renvoyés à la présente norme ou à l’architecte de sécurité. 


ANNEXE E – CONTRÔLE DE L’ACCÈS

1. BUT

1.1 La présente annexe définit la norme qui régit l’utilisation de la technologie de contrôle de l’accès visant à s’assurer que l’information demeure exacte, documentée et gérée de façon permanente, et soit ainsi utile pour l’Université.

2. APPLICATION, PORTÉE ET INTERPRÉTATION

2.1 La présente norme est établie en vertu du Règlement 116 – Utilisation acceptable des ressources de TI, et son application, sa portée et son interprétation sont régies par le Règlement 116.

2.2 Les définitions qui suivent s’appliquent à la présente norme :

a) « information de production » : toute information stockée ou utilisée par des travailleurs pour accomplir leur travail;
b) « principe du privilège minimal » : s’entend de la pratique consistant à limiter l’accès à ce qui est strictement nécessaire pour un fonctionnement normal (p. ex. l’application du principe du privilège minimal aux employés consisterait à ne leur accorder que les droits d’utilisateur nécessaires à l’exécution de leurs fonctions professionnelles); 
c) « propriétaire de l’information » et « dépositaire des renseignements » : s’entendent au sens du Règlement 117 – Classification et manutention de l’information.

3. NORME

3.1 Classifications de l’information et contrôle de l’accès

a) L’accès à l’information et aux dossiers de production doit être autorisé par le propriétaire de l’information selon son niveau de classification, conformément au Règlement 117 – Classification et manutention de l’information.
b) L’information de production doit conserver le même niveau de sécurité même si elle est copiée ou déplacée d’une plate-forme informatique à une autre (p. ex. téléchargée d’un serveur à un ordinateur).
c) Si une ressource de TI de l’Université contient de l’information possédant différentes classifications de sensibilité, l’accès est régi par la classification de l’information la plus sensible.
d) L’information à diffusion restreinte au sens du Règlement 117 – Classification et manutention de l’information doit être chiffrée lors de sa transmission sur tout réseau.
e) L’information confidentielle au sens du Règlement 117 – Classification et manutention de l’information doit être chiffrée, dans la mesure du possible, lors de sa transmission sur tout réseau.
f) L’information à diffusion restreinte au sens du Règlement 117 – Classification et manutention de l’information doit être chiffrée pendant son stockage dans une base de données.
g) L’information à diffusion restreinte, confidentielle ou interne au sens du Règlement 117 – Classification et manutention de l’information ne doit pas être copiée ni stockée dans du matériel autre que celui de l’Université, y compris le matériel personnel de l’utilisateur.
h) L’information à diffusion restreinte et confidentielle au sens du Règlement 117 – Classification et manutention de l’information doit être gérée de manière à ce que sa confidentialité soit maintenue, quel que soit le support sur lequel elle est stockée. Cette information comprend notamment l’information dans les formats suivants :

  • document imprimé
  • courriel
  • télécopie
  • enregistrement vocal
  • traitement d’image
  • rapports en ligne
  • support de stockage de fichiers portatifs

i) Les imprimantes ne doivent pas être laissées sans surveillance si de l’information à diffusion restreinte, confidentielle ou interne au sens du Règlement 117 – Classification et manutention de l’information est en cours d’impression. Dans la mesure du possible, des options d’impression sécuritaires doivent être utilisées.
j) Les documents imprimés qui comprennent de l’information à diffusion restreinte, confidentielle ou interne au sens du Règlement 117 – Classification et manutention de l’information ne doivent être distribués ou rendus accessibles qu’aux personnes autorisées ou aux personnes qui ont un besoin légitime de les connaître.
k) Lorsque des techniques de chiffrement sont utilisées pour protéger de l’information, le propriétaire de l’information doit travailler avec le dépositaire des renseignements pour gérer et protéger les clés de chiffrement.

3.2 Connexion aux systèmes

a) Dans la mesure du possible, les comptes d’utilisateurs doivent être verrouillés après cinq tentatives de connexion infructueuses.
b) Des messages d’avertissement au sujet des connexions peuvent être affichés à tous les points d’accès aux ordinateurs et systèmes de l’Université, lorsque cela est techniquement possible.
c) Les utilisateurs ne doivent pas recevoir de commentaire précis au sujet de la source du problème (autre qu’un message d’erreur de code d’authentification) si une partie de leur séquence de connexion est erronée.
d) Dans la mesure du possible, les sessions doivent automatiquement se terminer ou exiger qu’un code d’authentification soit entré de nouveau dans le système après une certaine période d’inactivité. Le délai d’inactivité est fondé sur le système et sur la sensibilité de l’information et ne devrait généralement pas dépasser 30 minutes.
e) Des systèmes de sécurité du contrôle de l’accès doivent être utilisés pour fournir un journal d’audit de toutes les tentatives d’accès fructueuses et infructueuses et des messages d’infraction.

3.3 Identification, authentification et autorisation des utilisateurs

a) Chaque utilisateur doit se voir assigner un identificateur unique et doit utiliser un mot de passe pour assurer la confidentialité et la reddition de comptes.
b) Des logiciels de contrôle de l’accès doivent conserver l’historique des codes d’authentification antérieurs et empêcher la réutilisation, à tout le moins, des dix codes d’authentification antérieurs, lorsque cela est techniquement possible.
c) Un mot de passe ne doit être réinitialisé par le Centre de services TI que si le demandeur est en mesure de prouver qu’il est réellement la personne qu’il affirme être.
d) Les identificateurs d’utilisateurs et les mots de passe ne doivent pas être codés en dur ni intégrés dans des logiciels, des scripts de connexion, des macros ou des fichiers de lots.
e) Les droits d’accès doivent être accordés conformément aux principes du privilège minimal et du besoin de connaître.
f) Un contrôle de l’accès en fonction des rôles doit être mis en place pour sécuriser l’accès à tous les biens de TI.
g) L’allocation des droits de privilège (p. ex. administrateur local, administrateur de domaine, super utilisateur, accès à la racine) doit être restreinte et contrôlée, et ne doit pas être accordée par défaut.
h) Les tiers doivent se voir assigner des comptes leur permettant d’accéder uniquement aux systèmes ou données qu’ils sont chargés de manipuler, conformément aux principes du privilège minimal et du besoin de connaître.
i) L’accès à l’information à diffusion restreinte, confidentielle ou interne au sens du Règlement 117 – Classification et manutention de l’information doit être limité aux personnes autorisées dont le travail ou les études exigent un tel accès, comme le prévoient la loi, une entente contractuelle ou les politiques, procédures ou règlements de l’Université. Les propriétaires de l’information sont responsables de mettre en œuvre les restrictions d’accès.

3.4 Administration de l’identification des utilisateurs

a) L’accès à tous les biens de TI de l’Université doit être annulé dans les plus brefs délais dès la résiliation ou la fin d’un emploi ou d’une affectation auprès de l’Université, ou d’un contrat ou d’une relation avec celle-ci.
b) L’accès aux systèmes automatisés et aux données doit être réévalué lorsqu’un employé ou un entrepreneur change de département ou assume de nouvelles responsabilités professionnelles.

3.5 Contrôles de l’accès physique

a) Des contrôles doivent être établis pour limiter l’accès physique aux systèmes automatisés (p. ex. ordinateurs centraux, ordinateurs de moyenne gamme, serveurs de réseau local (RL) et dispositifs de réseau et de communication). L’accès doit être accordé conformément aux principes du privilège minimal et du besoin de connaître.
b) Les ordinateurs et le matériel connexe doivent être situés dans des salles à accès contrôlé qui limitent l’accès selon les fonctions du poste. Les petits systèmes, comme les serveurs de RL, les serveurs de passerelle, les ponts entre réseaux ou les routeurs doivent être situés dans un centre de données ou dans une salle à accès contrôlé séparée.
c) Les cabinets et armoires de câblage doivent être physiquement sécurisés. Les câbles de réseau ne doivent pas être exposés ni non protégés.
d) Le dépositaire des renseignements doit examiner régulièrement les dossiers de contrôle de l’accès physique et les privilèges d’accès pour en évaluer la justesse, au regard de l’aspect pratique et du risque éventuel. La preuve qu’un tel examen a eu lieu doit être conservée pendant au moins 13 mois et devrait comprendre des rapports avec des mécanismes d’approbation et de suivi appropriés.
e) Toutes les copies de sauvegarde doivent être entreposées dans un lieu dont l’environnement et l’accès sont contrôlés.
f) En plus d’être chiffrés, les supports de stockage de fichiers portatifs contenant de l’information à diffusion restreinte ou confidentielle au sens du Règlement 117 – Classification et manutention de l’information doivent être entreposés en lieu sûr, comme dans une armoire verrouillée, lorsqu’ils ne sont pas utilisés. 
g) En plus d’être chiffrés, les dispositifs portatifs tels que les ordinateurs portatifs doivent être placés en lieu sûr, dans une armoire verrouillée ou l’équivalent, lorsqu’ils ne sont pas utilisés au travail ou hors site.

ANNEXE F – COMMUNICATIONS ET RÉSEAUTAGE

1. BUT

1.1 La présente annexe définit la norme qui régit l’utilisation de la technologie de communication et de réseautage visant à assurer la confidentialité, l’intégrité, la disponibilité et l’authenticité de l’information partagée entre les systèmes informatiques de l’Université et avec les réseaux et ordinateurs extérieurs.

2. APPLICATION, PORTÉE ET INTERPRÉTATION

2.1 La présente norme est établie en vertu du Règlement 116 – Utilisation acceptable des ressources de TI, et son application, sa portée et son interprétation sont régies par le Règlement 116. 

2.2 Il est entendu que la présente norme s’applique aux biens de TI de l’Université ainsi qu’aux appareils ou ordinateurs que possèdent les personnes qui ont été autorisées à installer ou à brancher du matériel personnel dans les locaux de l’Université ou sur le réseau de l’Université.

2.3 Les définitions qui suivent s’appliquent à la présente norme :

« connexion de réseau privé » : s’entend d’un lien direct établi entre l’Université et une partie externe par l’intermédiaire d’un fournisseur de réseau spécialisé loué, RPV ou à valeur ajoutée privé (p. ex. Telus, Rogers);
« connexion de réseau public » : s’entend d’une connexion établie entre les systèmes informatiques de l’Université et d’autres ordinateurs sur Internet;
« connexion externe » : s’entend d’un lien établi entre un système informatique de l’Université et un système informatique qui ne relève pas de l’Université. En voici des exemples :

  • une unité fonctionnelle de l’Université qui a établi une connexion avec l’ordinateur d’un fournisseur de services ou d’un partenaire commercial à partir du réseau de l’Université;
  • un utilisateur de l’Université qui a établi une connexion à distance avec un système informatique de l’Université;
  • un employé ou un étudiant qui établit une session active sur Internet à partir du réseau de l’Université;

« pare-feu » : s’entend d’une série d’éléments ou d’interfaces formant une passerelle sécurisée entre le réseau interne de l’Université et les réseaux externes afin d’aider à protéger l’intégrité du réseau de l’Université et de l’information qu’il contient;
« partie externe » : s’entend de toute partie qui n’est pas visée par la définition de « partie interne » ci-dessous;
« partie interne » : s’entend, selon le cas :

  • d’un employé de l’Université;
  • d’un entrepreneur de l’Université qui utilise une installation de l’Université;
  • d’un étudiant de l’Université qui utilise une installation de l’Université;
  • d’un membre d’un établissement fédéré de l’Université d’Ottawa (p. ex. l’Université Saint-Paul);
  • de toute partie d’une entité commerciale qui est exploitée sous la direction de l’Université;

« service Internet » : s’entend de tout service utilisé ou fourni sur Internet.

3. NORME

3.1 La connectivité à destination ou à partir du réseau de l’Université doit être approuvée et coordonnée par les Technologies de l’information.

3.2 Connexions aux réseaux privés et publics

  • Les connexions de réseau avec des parties externes fondées sur des communications, des ports ou des protocoles IP doivent être sécurisées au moyen du pare-feu standard de l’Université.
  • L’architecture de connectivité doit être conçue de manière à ce que les parties externes qui se connectent à un système de l’Université soient empêchées d’accéder directement à tout réseau local (RL) de l’Université.
  • Tout accès à distance à destination ou à partir de l’Université doit se faire par les chemins d’accès aux données approuvés ou administrés par les Technologies de l’information.
  • Les connexions par modem à destination ou à partir des systèmes informatiques de l’Université (p. ex. dispositifs de bureau, serveurs de fichiers, systèmes centraux) ne sont pas permises sans l’examen et l’autorisation préalables des Technologies de l’information.
  • Les ordinateurs branchés au réseau de l’Université ne peuvent établir des connexions sortantes avec des parties externes que par l’intermédiaire de passerelles d’entreprise sécurisées (p. ex. pare-feux) établies à ces fins. Les connexions sortantes par d’autres moyens (p. ex. un modem) doivent être examinées et autorisées au préalable par les Technologies de l’information.
  • Les parties externes ne peuvent se connecter au réseau interne de l’Université par l’intermédiaire de passerelles d’entreprise (p. ex. RPV) sans l’examen et l’autorisation préalables des Technologies de l’information.
  • L’accès aux services de télécommunication, comme les téléphones, modems, télécopieurs ou dispositifs VoIP, est refusé à moins d’être expressément autorisé.
  • Des systèmes de détection et de prévention des intrusions doivent être utilisés pour surveiller le réseau de l’Université et bloquer le trafic malveillant connu.
  • La conception et le déploiement de dispositifs de sécurité des réseaux doivent être autorisés par les Technologies de l’information.
  • L’utilisation d’outils qui relèvent les vulnérabilités des hôtes de réseaux et des systèmes n’est pas permise sans l’examen et l’autorisation préalables des Technologies de l’information.
  • L’utilisation d’outils de diagnostic de réseau qui analysent le trafic, saisissent des données ou décodent des paquets (logiciels de surveillance, renifleurs, etc.) n’est pas permise sans l’examen et l’autorisation préalables des Technologies de l’information, sauf lorsqu’une telle utilisation fait partie de responsabilités professionnelles définies.
  • Les dispositifs de sécurité Internet et intranet (p. ex. routeurs, pare-feux) doivent être placés dans des lieux physiquement sécurisés.
  • Les adresses IP internes de l’Université ne doivent pas être divulguées à des parties externes par l’intermédiaire de connexions de réseaux publics ou privés.
  • L’intégrité des pare-feux et des systèmes à haut risque sur le périmètre du réseau doit être vérifiée régulièrement et chaque fois que des changements sont apportés à la configuration des systèmes.

3.3 Accès à distance aux systèmes de l’Université et au réseau de l’Université

a) L’accès à distance aux systèmes et au réseau de l’Université n’est autorisé que par l’intermédiaire des passerelles d’accès à distance désignées des entreprises.
b) L’entrave intentionnelle à l’exploitation normale de toute passerelle d’accès à distance de l’Université est interdite.
c) L’accès à distance aux systèmes automatisés sur le réseau interne de l’Université exige une protection par mot de passe robuste, conformément à la norme sur la protection par mot de passe établie à l’annexe D du Règlement 116 – Utilisation et sécurité des biens de technologie de l’information.
d) L’utilisation des passerelles d’accès à distance de l’Université n’est autorisée que pour accéder aux ressources sur le réseau interne de l’Université.

3.4 Chiffrement

a) L’information à diffusion restreinte au sens du Règlement 117 – Classification et manutention de l’information doit être chiffrée lors de sa transmission sur tout réseau.
b) L’information confidentielle au sens du Règlement 117 – Classification et manutention de l’information doit être chiffrée, dans la mesure du possible, lors de sa transmission sur tout réseau.

3.5 Services Internet

a) Toutes les connexions d’entreprise à Internet doivent être établies par l’intermédiaire d’une passerelle sécurisée (p. ex. un pare-feu).
b) Les connexions par d’autres sources (p. ex. modem DSL, points d’accès sans fil personnels) ne sont pas permises sans l’examen et l’autorisation préalables des Technologies de l’information.
c) Tous les services Internet sont refusés à moins d’être expressément autorisés. Les demandes de services qui ne sont pas expressément autorisées doivent être approuvées par les Technologies de l’information.
d) L’enregistrement des événements doit être activé aux éléments clés de l’infrastructure Internet (p. ex. pare-feu, passerelle Web sécurisée, courriel et serveurs FTP).
e) L’utilisation d’Internet doit être conforme à la norme sur l’utilisation acceptable des biens de TI établie à l’annexe A du Règlement 116 – Utilisation et sécurité des biens de technologie de l’information.

3.6 Courriel

Les fichiers entrants, les liens vers des adresses de courriel et les pièces jointes doivent tous être soumis à une analyse visant à détecter les virus avant d’être admis sur le réseau interne de l’Université. 

 

ANNEXE G – ACCÈS À DISTANCE

1. BUT

1.1 La présente annexe définit la norme qui régit l’utilisation de la technologie d’accès à distance pour se connecter au réseau de l’Université d’Ottawa à partir d’un hôte distant d’une manière qui réduit au minimum le risque d’utilisation non autorisée des biens de TI de l’Université.

2. APPLICATION, PORTÉE ET INTERPRÉTATION

2.1 La présente norme est établie en vertu du Règlement 116 – Utilisation acceptable des ressources de TI, et son application, sa portée et son interprétation sont régies par le Règlement 116.

2.2 Il est entendu que la présente norme s’applique à tous les membres de la communauté universitaire (y compris les membres d’établissements fédérés comme l’Université Saint-Paul) qui utilisent des dispositifs de l’Université ou de tiers ou des dispositifs personnels pour se connecter au réseau de l’Université. Elle s’applique également aux connexions à distance utilisées pour effectuer du travail pour le compte de l’Université ou pour des activités liées à l’Université.

2.3 Pour l’application de la présente norme, l’accès à distance comprend toutes les connexions directes aux systèmes et réseaux de l’Université à partir de l’extérieur du réseau de l’Université.

2.4 Toute activité exercée pendant une session d’accès à distance est assujettie aux politiques, normes et procédures de l’Université.

2.5 Lorsqu’elles utilisent la technologie d’accès à distance de l’Université, toutes les machines, y compris le matériel possédé par l’Université et le matériel personnel, font automatiquement partie du réseau de l’Université et sont assujetties au Règlement 116.

3. NORME

3.1 L’accès à distance sécurisé doit être strictement contrôlé par les Technologies de l’information au moyen d’une technologie d’accès à distance standard bien établie. L’accès par toute autre source exige un examen et une autorisation préalables de la part des Technologies de l’information.

3.2 L’entrave intentionnelle à l’exploitation normale de toute passerelle d’accès à distance des entreprises de l’Université est interdite.

3.3 Toutes les demandes d’accès à distance doivent être accompagnées d’une analyse de rentabilisation documentée et de l’autorisation du gestionnaire ou superviseur du demandeur. Cette exigence s’applique notamment aux demandes présentées par les employeurs, les fournisseurs de services, les experts-conseils, les entrepreneurs, les partenaires et les employés temporaires. Chaque demande doit être examinée et approuvée au cas par cas par les Technologies de l’information.

3.4 Tous les membres de la communauté universitaire et les tiers autorisés ayant des privilèges d’accès à distance doivent veiller à ce qu’aucun utilisateur non autorisé n’ait accès aux réseaux internes de l’Université et au contenu y associé. Les membres de la communauté universitaire ne doivent en aucun cas fournir leurs noms d’utilisateurs ou mots de passe à qui que ce soit.

3.5 Les membres de la communauté universitaire ayant des privilèges d’accès à distance doivent veiller à ce que leurs ordinateurs personnels ou postes de travail appartenant à l’Université qui sont connectés à distance au réseau de l’Université ne soient pas simultanément connectés à un autre réseau, exception faite des réseaux personnels qui sont entièrement sous le contrôle de l’utilisateur.

3.6 Les utilisateurs sont responsables d’avoir un système d’exploitation à jour et un logiciel antivirus pour les dispositifs avec lesquels ils se connectent au réseau interne de l’Université à distance ou au moyen de toute autre technologie, notamment les dispositifs personnels. Un logiciel antivirus n’est fourni qu’aux employés de l’Université.

3.7 Les connexions des vendeurs ou d’autres tiers doivent être conformes aux exigences énoncées dans tout accord ou contrat de tiers pertinent conclu avec l’Université.

3.8 Les facultés ou les personnes qui ont l’intention de mettre en œuvre des solutions non conventionnelles pour assurer l’accès à distance au réseau de production de l’Université doivent obtenir au préalable l’autorisation des Technologies de l’information.

ANNEXE H – GESTION ET CONTRÔLE DES CHANGEMENTS

1. BUT

1.1 La présente annexe définit la norme qui régit les changements apportés à l’environnement technologique de l’Université afin d’assurer la confidentialité, l’intégrité et la disponibilité des biens de TI. 

2. APPLICATION, PORTÉE ET INTERPRÉTATION

2.1 La présente norme est établie en vertu du Règlement 116 – Utilisation acceptable des ressources de TI, et son application, sa portée et son interprétation sont régies par le Règlement 116.

2.2 Il est entendu que la présente norme s’applique à tout appareil et à toute application que possède ou exploite l’Université, ainsi qu’aux personnes qui ont été autorisées à installer de nouveaux systèmes ou à apporter des changements aux systèmes existants.

2.3 Pour l’application de la présente norme, (1) le terme « infrastructure » désigne les éléments du logiciel d’exploitation, du matériel et du réseau utilisés pour soutenir une application, (2) le terme « gestion des changements » désigne un processus qui garantit que tous les changements apportés à l’infrastructure de TI sont évalués et autorisés de façon contrôlée et (3) le terme « Conseil consultatif sur les changements (CCC) » désigne une équipe qui se réunit pour évaluer les demandes de changement et recommander leur approbation ou leur rejet.

3. NORME

3.1 Des processus de contrôle des changements doivent être utilisés pour réduire au minimum le risque de changement et son impact sur les applications, systèmes et réseaux de production. Les changements doivent être autorisés, testés et documentés avant d’être mis en œuvre.

3.2 Tous les éléments des applications et de l’infrastructure faisant partie de l’environnement de production doivent être soumis à un processus formel de contrôle des changements visant à gérer les changements apportés à l’environnement. Le Conseil consultatif sur les changements (CCC) doit examiner tous les changements lors des réunions prévues, pour s’assurer que les préoccupations relatives aux applications, à l’infrastructure et à la sécurité sont abordées.

3.3 La portée et la promptitude de production du changement doivent être documentées et ensuite approuvées par les Technologies de l’information ou, dans le cas des applications et systèmes gérés par une faculté ou un service, par le propriétaire du bien de TI (ou son délégué).

3.4 Toute maintenance (programmes, fichiers, feuilles de calcul électroniques, éléments d’infrastructure, etc.) doit être appuyée par une demande ou par de la documentation.

3.5 Les logiciels, le matériel et les réseaux en voie de développement ou de modification doivent rester séparés des logiciels, du matériel et des réseaux de production, respectivement.

3.6 L’accès pour mettre à jour les bibliothèques ou répertoires contenant des programmes de production (code source et modules exécutables) est limité aux personnes qui ont besoin d’un tel accès pour exercer leurs responsabilités.

3.7 L’environnement de test doit rester séparé de l’environnement de production.

3.8 Une méthode de désignation de fichiers doit être employée pour établir une distinction claire entre les fichiers utilisés pour la production et les fichiers utilisés pour les tests et la formation.

3.9 Des dispositions doivent être prises pour veiller à ce que les changements apportés aux éléments de production puissent être retirés et à ce que la version de production antérieure puisse être rétablie ou recréée.

3.10 Au moment de mettre en œuvre des systèmes d’applications d’affaires, les développeurs de systèmes doivent en examiner la sécurité, dès le début du processus de conception des systèmes et jusqu’à la mise en œuvre des systèmes dans l’environnement de production.

ANNEXE I – PROTECTION ANTIVIRUS

1. BUT

La présente annexe définit la norme qui régit l’utilisation de techniques de prévention des virus visant à réduire au minimum le risque d’infection virale et d’attaque virale touchant les biens de TI de l’Université.

2. APPLICATION, PORTÉE ET INTERPRÉTATION

2.1 La présente norme est établie en vertu du Règlement 116 – Utilisation acceptable des ressources de TI, et son application, sa portée et son interprétation sont régies par le Règlement 116.

2.2 Il est entendu que la présente norme s’applique aux ressources de TI de l’Université ainsi qu’aux ressources de TI que possèdent les personnes qui ont été autorisées à installer ou à brancher du matériel personnel dans les locaux de l’Université ou sur le réseau de l’Université.

2.3 Il est entendu que la présente norme ne s’applique pas aux plateformes pour lesquelles aucun logiciel antivirus n’est disponible.

3. NORME

3.1 Les utilisateurs sont responsables de s’assurer qu’un logiciel antivirus mis à jour est installé sur toute ressource de TI (ordinateur de bureau, ordinateur portatif, serveur, etc.) qu’ils utilisent pour traiter des renseignements à diffusion restreinte, confidentielle ou interne (au sens du Règlement 117 – Classification et manutention de l’information), ainsi que sur les applications de production.

3.2 Les ressources de TI de l’Université doivent être fournies avec un produit antivirus approprié doté d’une mise à jour automatique, lorsqu’un tel produit est disponible.

3.3 Les utilisateurs qui ne travaillent pas à partir d’une ressource de TI de l’Université doivent s’assurer que des mesures antivirus adéquates sont mises en place dans leur ordinateur.

3.4 Les fichiers signature des logiciels antivirus doivent être tenus à jour.

3.5 Avant leur utilisation, tous les supports de stockage portatifs, quelle que soit leur provenance, doivent être soumis par l’utilisateur à une analyse visant à détecter les virus.

3.6 Les supports de stockage portatifs destinés à une distribution massive, qu’ils soient reproduits à l’interne ou par un vendeur, doivent être vérifiés par le personnel des TI pour s’assurer qu’ils sont exempts de virus avant leur distribution.

3.7 Le matériel doit être soumis à une analyse visant à détecter les virus après sa réparation et avant son utilisation sur le réseau de l’Université.

3.8 Toute activité visant à créer ou à distribuer des programmes malveillants sur le réseau de l’Université (p. ex., virus, vers, chevaux de Troie) est strictement interdite.

3.9 Les Technologies de l’information se réservent le droit de débrancher tout dispositif du réseau de l’Université si une infection est trouvée ou soupçonnée. La machine doit demeurer débranchée du réseau de l’Université jusqu’à ce que l’infection soit supprimée par le personnel des TI de l’unité organisationnelle compétente.

3.10 Quiconque soupçonne qu’un ordinateur est infecté par un virus doit immédiatement signaler l’incident au Centre de services des TI.

ANNEXE J – ÉLIMINATION DES BIENS DE TI

1. BUT

1.1 La présente annexe définit la norme qui régit les rôles et les responsabilités des membres de la communauté universitaire qui se sont vu confier un bien de TI de l’Université pour s’assurer de son élimination en toute sécurité.

2. APPLICATION, PORTÉE ET INTERPRÉTATION

2.1 La présente norme est établie en vertu du Règlement 116 – Utilisation acceptable des ressources de TI, et son application, sa portée et son interprétation sont régies par le Règlement 116.

2.2 Les définitions qui suivent s’appliquent à la présente norme :

a) « contrôleur de biens de TI » : la personne qui est responsable de la gestion d’un bien de TI;
b) « matériel informatique » : s’entend des ordinateurs personnels, ordinateurs portatifs, appareils mobiles, imprimantes, serveurs ou autres dispositifs possédés à titre personnel ou fournis par l’Université qui traitent ou stockent des données de l’Université.

3. NORME

3.1 Les membres de la communauté universitaire doivent suivre les méthodes de destruction approuvées pour s’assurer de prévenir ou de réduire au minimum l’exposition non autorisée des biens de TI de l’Université.

3.2 Lorsque du matériel informatique stockant de l’information à diffusion restreinte, confidentielle ou interne (au sens du Règlement 117 – Classification et manutention de l’information) n’est plus nécessaire ou a atteint la fin de son cycle de vie, cette information doit être supprimée de façon sécuritaire avant que, selon le cas : 

a) le matériel ne soit redistribué ou réutilisé au sein de l’Université;
b) le matériel ne cesse d’être en la possession de l’Université; 
c) les services essentiels du matériel ne soient mis hors service.

Ce matériel informatique doit être nettoyé de façon sécuritaire, ou l’information qu’il contient doit être supprimée par le personnel des TI de l’Université ou par un délégué autorisé, conformément aux procédures d’élimination de l’Université.

3.3 Aucun matériel informatique ne devrait être éliminé au moyen d’un envoi dans un dépotoir, une décharge, etc.

3.4 L’Université a conclu des ententes avec certaines sociétés concernant l’élimination du matériel informatique. Les contrôleurs de biens de TI qui se débarrassent de matériel informatique doivent faire appel à l’une de ces compagnies engagées par contrat aux fins de l’élimination ou de la vente avec reprise de ce matériel.

3.5 Dans le cadre de toute élimination, le contrôleur de biens de TI doit s’assurer que les données contenant des renseignements personnels (y compris des adresses de courriel, entre autres) sont supprimées conformément aux obligations prévues par la loi.

3.6 Pour se conformer aux licences et aux lois sur le droit d’auteur, lorsque du matériel informatique cesse d’être la propriété de l’Université ou d’être en la possession de celle-ci, le contrôleur de biens de TI s’assurera que tous les logiciels sont enlevés. Des exceptions peuvent être faites lorsque des licences de logiciels transférables, y compris les disques, le système d’exploitation et la documentation originaux, sont fournies avec l’ordinateur. Le système d’exploitation original peut être conservé si les certificats originaux sont disponibles pour être transférés avec la machine. 

3.7 Les biens financés par des sources externes qui sont assujettis à des règles et conditions imposées de l’extérieur concernant la propriété ne peuvent être éliminés qu’en conformité avec ces règles et conditions.


ANNEXE K – CHIFFREMENT ACCEPTABLE

1. BUT

1.1 La présente annexe définit la norme qui régit l’utilisation de la technologie de chiffrement visant à préserver la confidentialité et l’intégrité des renseignements.

2. APPLICATION, PORTÉE ET INTERPRÉTATION

2.1 La présente norme est établie en vertu du Règlement 116 – Utilisation acceptable des ressources de TI, et son application, sa portée et son interprétation sont régies par le Règlement 116.

3. NORME

3.1 L’information à diffusion restreinte (au sens du Règlement 117 – Classification et manutention de l’information) doit être chiffrée lors de sa transmission sur tout réseau.

3.2 L’information confidentielle (au sens du Règlement 117 – Classification et manutention de l’information) doit être chiffrée, dans la mesure du possible, lors de sa transmission sur tout réseau.

3.3 L’information à diffusion restreinte (au sens du Règlement 117 – Classification et manutention de l’information) doit être chiffrée pendant son stockage dans une base de données.

3.4 Les algorithmes et processus de chiffrement doivent être conformes aux normes de l’industrie suivantes :

  • American National Standards Institute (ANSI) X9; 
  • National Institute of Standards and Technology (NIST);
  • Federal Information Processing Standards (FIPS).

3.5 L’utilisation d’algorithmes de chiffrement exclusifs n’est pas autorisée, à moins d’avoir été examinée par des experts qualifiés indépendants du vendeur en question et approuvée par l’architecte de sécurité.

3.6 Le propriétaire de l’information (au sens du Règlement 117 – Classification et manutention de l’information) assume la responsabilité de protéger les clés de chiffrement.

3.7 Les clés ne doivent être utilisées qu’à une seule fin désignée. 

3.8 Les systèmes de chiffrement doivent être conçus afin qu’aucune personne n’ait, à elle seule, pleine connaissance d’une clé de chiffrement. Les clés de chiffrement doivent être protégées au moyen de la séparation des tâches et par des techniques de double contrôle.

3.9 Les clés de chiffrement doivent demeurer confidentielles, et seules les personnes qui ont besoin de les connaître peuvent y avoir accès.

3.10 Les personnes qui se voient confier un élément de clé doivent le protéger afin qu’il ne puisse être observé par une autre personne. 

3.11 Les processus de gestion des clés de chiffrement doivent être automatisés dans la mesure du possible pour éviter les erreurs et la divulgation non autorisée ou accidentelle de clés.

3.12 Les clés de chiffrement doivent être générées de façon aléatoire afin d’être difficiles à deviner.

3.13 Les clés de chiffrement asymétriques (paires de clés publique et privée) doivent être changées au moins une fois tous les trois ans.

3.14 Les versions papier des clés de chiffrement doivent demeurer confidentielles et être entreposées de façon sécuritaire sous double contrôle.

3.15 Le matériel et les fournitures utilisés pour générer, distribuer ou stocker des clés de chiffrement doivent demeurer confidentiels et être entreposés de façon sécuritaire. Les éléments qui ne sont plus nécessaires doivent aussi être détruits de façon sécuritaire, et leur destruction doit être constatée et documentée par un observateur.

3.16 Les clés de chiffrement et le matériel de codage par chiffrement connexe (motifs d’initialisation, horodateurs, paramètres SALT, etc.) utilisés dans le processus de chiffrement ne doivent pas résider sur un support de mémoire sous forme non chiffrée.

3.17 Les clés de chiffrement transmises sur des lignes de communication doivent être envoyées sous forme chiffrée.

3.18 Les identificateurs et les codes d’accès (mots de passe ou NIP) doivent être séparés (distribués dans des transmissions séparées) et dissimulés dans des enveloppes inviolables s’ils sont envoyés par la poste ou par un mode de distribution semblable.

Haut de page