politique_securite by lanyuehua

VIEWS: 2 PAGES: 24

									        Politique de sécurité sur
les technologies de l’information


                                    Par Lino Cerantola
Politique de sécurité
Article 2 – Portée

• au personnel régulier et occasionnel de l'Université, aux étudiants et
  aux utilisateurs des services offerts par l’institution à la collectivité.
  Elle touche également toute personne ou firme externe appelée à
  utiliser les équipements informatiques ou de télécommunications
  installés à l'Université ou à traiter l'information appartenant à
  l'Université ou à une de ses unités ;

Article 4 – Responsabilités

• Toute unité qui utilise ou administre des actifs informatiques ou de
  télécommunications peut émettre des règlements ou des directives
  de sécurité.      Cependant, aucune politique, règle ou directive
  sectorielle de sécurité adoptée par une unité ne peut réduire la portée
  et la présente politique ou être moins contraignante ;




                                                  www.ulaval.ca                2
Politique de sécurité
Article 4 – Responsabilités (suite)

• Les gestionnaires d’unités sont imputables de la sécurité des
  systèmes d’information et des infrastructures sous leur juridiction.
  Ils doivent, entre autres, désigner un responsable des systèmes
  d’information et équipements qui sont utilisés localement. Les
  gestionnaires sont aussi imputables de la conception et de
  l’application du plan sectoriel de sécurité.




                                                www.ulaval.ca            3
Politique de sécurité
Article 6 – Actifs informatiques et de télécommunications

6.2 Identification et authentification des utilisateurs
(mise en place progressive)

• Tout utilisateur désirant accéder au réseau informatique et de
  télécommunications de l’Université par le biais d’un point d’entrée non
  protégé physiquement doit préalablement s’identifier et s’authentifier à
  l’aide d’un identifiant ou code d’utilisateur et d’un mot de passe. Seules
  les personnes dûment autorisées et possédant un privilège d’accès
  peuvent accéder à un système d’information protégé par l’Université.

• Tout système d'information que l’Université désire protéger, doit contenir
  un processus d'accès nécessitant un mécanisme d'identification et
  d'authentification de l'utilisateur.   Il doit, en plus, limiter cet accès
  uniquement aux personnes dûment autorisées en fonction du niveau
  d’autorisation que ces dernières détiennent et de la nature de l'information
  accédée et des applications utilisées.


                                                www.ulaval.ca                    4
Politique de sécurité
6.3 Utilisation

• L'utilisation des actifs informatiques et de télécommunications de
  l'Université est un privilège et non un droit. Ce privilège peut être
  révoqué, en tout temps, à tout utilisateur qui ne se conforme pas à
  la Politique de sécurité sur les technologies de l'information et des
  télécommunications, aux règlements de l’Université ou aux
  législations.

• L'Université ne peut être tenue responsable envers les utilisateurs
  de ses installations et services de tout dommage, perte ou autre
  conséquence découlant d’une défaillance aléatoire ou imprévisible
  de ses systèmes d’information lorsque ceux-ci ne sont pas utilisés
  dans le cadre d’activités liés à sa mission ou s’ils sont utilisés à des
  fins pécuniaires de manière personnelle ou privée. Dans ces cas,
  l’utilisateur doit assumer la responsabilité de ses actes.




                                                   www.ulaval.ca             5
Politique de sécurité
6.4   Protection

• La    protection    des    installations   informatiques    et    de
  télécommunications et de leur contenu incombe aux unités qui en
  sont les gestionnaires ou à qui ils appartiennent. Celles-ci doivent
  mettre en place les mesures de contrôle et de sécurité qui
  prennent en considération les risques présents dans leur
  environnement. Elles doivent également désigner un gestionnaire
  responsable pour ces systèmes administrés localement.




                                                www.ulaval.ca            6
Politique de sécurité

Article 7 – Gestion de l’information

7.3   Disposition de l’information

• Tout ordinateur dont on veut se départir doit faire l’objet d’un
  examen avant qu’il ne soit remis à son nouveau destinataire ou
  envoyé au surplus. L’information, les programmes et les logiciels
  contenus sur les disques rigides ou dans la mémoire des
  équipements dont on veut se défaire doivent être détruits ou
  enlevés.      Normalement, cette tâche incombe aux employés
  effectuant le support informatique dans chaque unité.




                                              www.ulaval.ca           7
Politique de sécurité

Article 8 – Mesures de sécurité et d’urgence

8.3   Plan institutionnel de relève et de continuité des services

• Toute unité responsable de la gestion ou de la mise à jour d'un système
  d'information identifié comme essentiel ou stratégique pour l’Université
  dans le plan de relève institutionnel doit se doter de mesures de relève afin
  d'assurer la continuité des services essentiels en cas de panne majeure.
  Ce plan doit identifier les services prioritaires et les ressources requises
  (humaines, matérielles et financières) au maintien des services minimum
  requis. Le plan doit être révisé et validé sur une base annuelle.




                                                 www.ulaval.ca                    8
Code de conduite
Code de conduite des gestionnaires

• Toute personne responsable de la gestion d'actifs, d’équipements,
  de systèmes ou de réseaux informatiques ou qui accomplit des
  tâches de support informatique a certaines obligations envers les
  utilisateurs  et    l'infrastructure   matérielle,  logicielle et
  informationnelle sous sa responsabilité.

Elle doit en particulier :

• prendre des mesures raisonnables afin d'améliorer, en fonction des
  besoins et des risques, la sécurité des actifs informatiques,
  notamment par l'installation des correctifs ou des améliorations
  fournis par les producteurs de logiciels ou par les manufacturiers
  d'équipements ;

• informer l'Officier de sécurité informatique de tout manquement à
  la Politique et aux normes de sécurité sur les technologies de
  l’information et des télécommunications et au présent code de
  conduite, et collaborer aux suites à donner.



                                               www.ulaval.ca           9
Annexe 3 – Norme de protection de l’information et du
réseau de télécommunications

3 – Protection de l’accès aux systèmes d’information

3.2   Mots de passe

• Quelle que soit la finalité du mot de passe utilisé, celui-ci doit être
  constitué d’au moins huit (8) caractères et contenir des caractères
  d’au moins deux (2) des quatre catégories suivantes :
    – Lettres majuscules et minuscules: A, B, C, … Z, a, b, c, … z
    – Chiffres :      0, 1, 2, … 9
    – Caractères spéciaux :       $%/?&*() …..
• Le changement des mots de passe doit être effectué au moins une
  fois à tous les quatre (4) mois peu importe le statut de l’utilisateur.
  Cette fréquence doit être plus élevée dans le cas de codes d’accès
  « administrateur » et sur les serveurs contenant des informations
  confidentielles ou nominatives. De plus, dans ces derniers cas, le
  mot de passe doit avoir une longueur minimale de dix (10)
  caractères et contenir des caractères de toutes les catégories
  précédemment énumérées.


                                                  www.ulaval.ca             10
Annexe 3 – Norme de protection de l’information et du
réseau de télécommunications (suite)

3.3   Contrôle des accès aux actifs protégés

 Les comptes d’accès aux actifs devant être protégés sont
 désactivés pendant une période de cinq (5) minutes suite à trois
 tentatives d’accès infructueuses.

3.4   Gestion des comptes d’accès des utilisateurs

 L’Université se réserve le droit de désactiver ou de détruire un
 compte d’accès qui n’a pas été utilisé depuis douze (12) mois
 consécutifs. Le détenteur du compte est préalablement informé
 de l’action prévue afin de lui laisser le temps de réagir.




                                             www.ulaval.ca          11
Annexe 3 – Norme de protection de l’information et du
réseau de télécommunications (suite)

4 – Protection et configuration des postes informatiques

4.1    Configuration et environnement des postes informatiques

 Afin de préserver la sécurité des accès et de l’information, tout poste
 informatique administré par l’Université ou l’une de ses composantes
 et qui se relie à une zone autre que la zone libre doit remplir les
 conditions minimales suivantes:

      • disposer d’un écran de sauvegarde qui s’active après une période
        d’inactivité et qui ne peut être désactivé que par un mot de passe
        respectant les règles sur les mots de passe antérieurement
        décrites ;
      • s’il s’agit d’un poste dédié à un accès public, indiquer à l’utilisateur
        qu’il est assujetti à la politique de sécurité et au code de conduite
        sur les technologies de l’information. À défaut de le faire, ces
        documents de sécurité doivent être affichés dans l’environnement
        immédiat des postes de travail.




                                                     www.ulaval.ca                 12
Annexe 3 – Norme de protection de l’information et du
réseau de télécommunications (suite)

4.3   Inventaire des équipements

 Un registre d’inventaire des équipements informatiques acquis doit
 être maintenu à jour. Cet inventaire doit être vérifié sur une base
 annuelle auprès des unités.

 Chaque unité a la responsabilité de vérifier les équipements
 informatiques envoyés au surplus afin de détruire toutes les
 informations qu’ils contiennent.  Normalement, cette tâche
 incombe au personnel effectuant le support informatique dans
 chaque unité.




                                               www.ulaval.ca           13
Annexe 4 – Norme d’utilisation et de gestion du courriel
pour le personnel et les organisations bénéficiant de ce
service à l’Université

5 - Admissibilité

 Tout membre du personnel peut obtenir un compte de courriel.

 L’Université permet aussi la création d'un compte de courriel à
 toute personne ou organisation avec qui elle n’a aucun lien
 d'emploi ou d'affaires à la condition que l’usage de ce service se
 fasse dans le cadre d'un projet, d'une entente ou d'un contrat
 contribuant à la réalisation de la mission de l'Université.
 Occasionnellement, l’Université peut vendre des services de
 courriel à des organisations avec lesquelles elle ne possède aucun
 lien corporatif ou constitutif si celles-ci occupent un local
 appartenant à l’Université ou vertu d’une entente écrite.




                                              www.ulaval.ca           14
Annexe 4 – Norme d’utilisation et de gestion du courriel
pour le personnel et les organisations bénéficiant de ce
service à l’Université (suite)

7 – Comptes et services de courriel

7.4   Départ d’un individu

 Aucune redirection permanente d’adresse de courriel n’est permise
 lorsqu’un individu quitte une unité ou son emploi à l’Université.

 Lorsqu’un individu quitte une unité ou l’Université, une entente doit être
 prise entre le détenteur du compte de courriel et la direction de l’unité
 pour qu’il élimine de son compte de courriel les messages à caractère
 personnel dans un délai de temps fixé entre les parties. Après ce délai,
 on peut acheminer, s’il y a lieu, les courriels restant s’ils s’avèrent utiles
 aux activités de l’unité et le compte de courriel est désactivé ou détruit.

 Lorsque l’adresse de courrier électronique doit demeurer active, on doit
 utiliser la fonction « répondeur automatique » afin de préciser le départ
 de la personne à tout individu transmettant du courrier électronique et
 indiquer à qui doivent dorénavant être acheminés les courriels.

                                                  www.ulaval.ca                   15
Annexe 4 – Norme d’utilisation et de gestion du courriel
pour le personnel et les organisations bénéficiant de ce
service à l’Université (suite)


7.5   Absence prolongée d’un individu

 Lors d’une absence prolongée d’un individu, ce dernier doit, au besoin,
 utiliser ou permettre que l’on utilise la fonction « répondeur
 automatique » afin de préciser sa période d’absence et indiquer à qui
 doivent être acheminés les courriers électroniques nécessaires aux
 activités de gestion de l’unité.

10 - Vie utile de l’adresse de courriel

 Un compte de courrier électronique et les adresses de courriels ou alias
 s’y rattachant doivent être détruits dès qu’un employé n’a plus de lien
 d’emploi avec l’Université ou qu’une organisation cesse ses activités de
 partenariat avec cette dernière. Toutefois, on doit tenir compte des
 arrangements qui peuvent survenir en vertu du paragraphe 7.4.




                                               www.ulaval.ca                16
Annexe 4 – Norme d’utilisation et de gestion du courriel
pour le personnel et les organisations bénéficiant de ce
service à l’Université (suite)

11 - Copie de sauvegarde

 Une copie de sauvegarde des courriers électroniques qui résident
 sur les serveurs de courrier électronique institutionnels est prise
 quotidiennement. Cette copie est conservée pour une période
 maximale de quatre (4) mois.




                                               www.ulaval.ca           17
ANNEXE 6 – Norme pour le déploiement et l’utilisation des
accès libre-service et sans fil

2 – Responsabilité d’installation et de gestion

 Le vice-rectorat à l’administration et aux finances, par l’entremise
 du Service de l’informatique et des télécommunications (SIT), est
 responsable du déploiement et de la gestion institutionnelle des
 technologies d’accès libre service et sans-fil dans toutes les
 infrastructures, incluant les pavillons des résidences, administrées
 par l’Université Laval. De plus, le Service de l’informatique et des
 télécommunications est le seul fournisseur de services de
 télécommunications à l’Université Laval.

 Une unité ne peut, de sa propre initiative, effectuer des
 installations d’accès libre-service ou sans-fil. Elle doit informer le
 SIT de son besoin et préciser, s’il y a lieu, la localisation des points
 d’accès et autres caractéristiques du réseau qu’elle désire voir
 déployer.




                                                  www.ulaval.ca             18
ANNEXE 6 – Norme pour le déploiement et l’utilisation des
accès libre-service et sans fil (suite)

4 - Accès et utilisation du RESUL

   Seuls les équipements d’infrastructures ainsi que les logiciels
   normés et approuvés par le Comité d’orientation, de politiques
   et de normalisation des technologies de l’information et des
   communications seront acceptés et permettront l’accès à
   certaines ressources de l’Université à partir des liens sans-fil.

   Aucun logiciel du type serveur (web, jeux, ftp, courriel, etc.)
   n’est toléré dans un réseau sans-fil et sur les prises libre-
   service. Un usager doit utiliser exclusivement des applications
   clientes lorsqu’il se branche. Les logiciels de partage (partage de
   partition, « peer-to-peer », etc.) et les utilisations de type «
   broadcast », ne sont tolérés que lorsqu’ils sont requis par une
   activité d’enseignement, d’apprentissage ou de recherche. De
   plus, ils ne doivent pas nuire au bon fonctionnement du réseau.




                                                www.ulaval.ca            19
Annexe 7 – Norme de gestion des services de courrier
électronique

5.1   Homologation des serveurs de courrier électronique

 Tous les appareils offrant un service de courriel doivent être
 homologués par l’Officier de sécurité informatique qui conserve les
 paramètres des serveurs de courrier. Seuls les serveurs de courrier
 électronique homologués sont autorisés à recevoir et à acheminer du
 courriel.
 Les paramètres des serveurs de courriel sont :
   • Nom et adresse de courriel du requérant;
   • Nom et adresse de courriel du responsable du support informatique
     de l’unité;
   • Nom du responsable administratif de l’unité;
   • Logiciel de courriel utilisé, système d’exploitation (e.g. OS) et leur
     version;
   • Une adresse de « postmaster » officielle;
   • Le logiciel de courriel utilisé, système d’exploitation (OS), et leur
     version;
   • Une adresse « postmaster » officielle.

                                                www.ulaval.ca                 20
Annexe 7 – Norme de gestion des services de courrier
électronique (suite)
5.5    Responsabilités

5.5.1    Gestionnaire des serveurs de courrier électronique

    Toute personne ou unité ayant la responsabilité de gérer un
    serveur de courrier électronique possède certaines obligations à
    l'endroit des utilisateurs et des installations administrées, dont
    notamment celles-ci indiquées à titre d'exemple:
•   informer, s'il y a lieu, les utilisateurs lorsque des travaux
    techniques effectués sur un serveur de courrier électronique
    peuvent affecter le service;
•   effectuer, selon les paramètres établis plus haut, les copies de
    sauvegarde du contenu des comptes des comptes de courrier
    situés sur le serveur afin de préserver l'information que les
    utilisateurs possèdent sur celui-ci;
•   respecter la confidentialité du courrier des utilisateurs possédant
    un compte de courrier sur leur serveur;
•   ne pas détruire le contenu d'un courrier électronique résidant sur
    un serveur sans en avoir préalablement obtenu la permission de
    son destinataire sauf dans les cas spécifiés dans la présente
    norme;
•   informer les utilisateurs des règles et des conventions
    complémentaires à la présente norme;
•   informer l'Officier de sécurité informatique de tout manquement à
    la présente politique.
                                                  www.ulaval.ca           21
Annexe 7 – Norme de gestion des services de courrier
électronique (suite)


Toute personne ou unité administrant un serveur de courrier
électronique en est responsable. Elle doit toujours s'assurer que
l'installation du service de courrier est efficiente, efficace et
sécuritaire. Elle évalue périodiquement les risques de son système
et applique, lorsque requis, les correctifs afin d'assurer la sécurité
des comptes de courrier des utilisateurs et éviter que des faiblesses
ne soient exploitées de façon malveillante par des tiers en vue de
causer ou de tenter de causer des préjudices aux utilisateurs, à
l’Université ou à des organisations externes (e.g. spamming, junk
mail, divulgation de courriel, interruption de service, etc.).




                                                www.ulaval.ca            22
Annexe 7 – Norme de gestion des services de courrier
électronique (suite)

5.5.2 Gestionnaires des comptes et des adresses de courrier
électronique
Toute personne ou unité responsable de la gestion des comptes et
des adresses de courriel doit:

   • aviser, s’il y a lieu, le Vice-rectorat aux ressources humaines
     des modifications apportées au compte de courrier électronique
     des employés qui arrivent dans l'unité ou qui la quittent;

   • rendre indisponible ou détruire, le cas échéant, les comptes
     et/ou les adresses de courrier de toute personne quittant son
     emploi à l'Université ou de toute organisation qui cesse sa
     collaboration ou ses liens d'affaires avec l'Université, si celle-ci
     possède un compte et/ou une adresse de courrier dans le
     domaine de l'Université (e.g. ulaval.ca);

   • mettre à jour périodiquement les listes d’adresse de courriel
     afin de s’assurer que les messages ne sont transmis qu’aux
     personnes autorisées à les recevoir et concernées par leur
     contenu.


                                                  www.ulaval.ca             23
Annexe 9 – Norme d’utilisation des logiciels et des progiciels
dans les activités de formation, d’apprentissage, de
recherche et de gestion
5.   Utilisation de logiciels ou de progiciels dans une activité de
     formation ou d’apprentissage

     • Lorsqu’un logiciel ou un progiciel est requis et utilisé dans le cadre
       d’un cours à des fins de formation ou d’apprentissage, il incombe à
       l’étudiant qui en aurait acquis une copie personnelle de faire la preuve
       qu’il possède un droit d’utilisation conformément à la licence du
       logiciel ou du progiciel concerné. Par surcroît, cette exigence peut
       s’appliquer au besoin à la version du logiciel ou progiciel requis.

6.   Installation de logiciels ou de progiciels sur les postes
     informatiques

     • Nul ne peut installer ou exiger d’un tiers qu’on installe un logiciel ou
       un progiciel sur un poste informatique si le droit d’utilisation n’a pas
       été acquis à cet effet.

7.   Utilisation de copies illicites de logiciels ou de progiciels

     • Il est strictement interdit d’utiliser des versions illicites de logiciels ou
       de progiciels ou copies pour lesquelles aucun droit d’utilisation n’a été
       acquis sur des ordinateurs appartenant à l’Université.


                                                     www.ulaval.ca                     24

								
To top