COLLÈGE D'ENSEIGNEMENT GÉNÉRAL ET PROFESSIONNEL BEAUCE-APPALACHES POLITIQUE DE SÉCURITÉ SUR LES TECHNOLOGIES DE L INFORMATIQUE ET DES TÉLÉCOMMUNICATIONS 1055, 116 e Rue Ville Saint-Georges (Québec) G5Y 3G1 La présente politique a été adoptée par le conseil d'administration le 6 février 1997.
TABLE DES MATIÈRES Préambule Article 1 Article 2 Article 3 Article 4 Article 5 Article 6 Article 7 Article 8 Article 9 Objectifs Portée Principes Responsabilités des gestionnaires 4.1 Actifs informatiques et télécommunication 4.2 Systèmes d informations institutionnelles 4.3 Mesures de sécurité Responsabilités de tous les utilisateurs 5.1 Matériel informatique 5.2 Accès 5.3 Informations et les données des usagers 5.4 Courrier électronique 5.5 L Internet et les réseaux 5.6 Droit d auteur 5.7 Code de conduite Responsabilités du service informatique 6.1 Matériel informatique et télécommunication 6.1.1 Normalisation 6.2 Les informations 6.2.1 Protection 6.2.2 Systèmes d informations institutionnelles 6.2.3 Données des usagers 6.3 Mesures d urgence et de sécurité Mesures d intervention Sanctions Absence de responsabilité Article 10 Révision Article 11 Responsabilité Article 12 Entrée en vigueur Annexe 1 Définitions Politique de sécurité sur les technologies Page 4
PRÉAMBULE Avec l étendue du réseau informatique du Cégep, l information peut être partagée sans égard au temps ou au lieu. L ouverture des ordinateurs à l Internet et à la réseautique a introduit de nouveaux risques : l information peut être perdue, volée, corrompue ou utilisée à des fins non désirées. Le Cégep Beauce-Appalaches a donc l obligation de protéger ses actifs informatiques et de télécommunication contre ces risques tout en assurant une accessibilité aux différents usagers autorisés. Le but de la présente politique permet de fournir les repères nécessaires aux usagers afin que puissent s effectuer, dans le respect des droits de chacun et de chacune, un partage équitable et une utilisation efficace des ressources informatiques. La politique établit également les grandes lignes et les responsabilités nécessaires pour protéger les informations représentant les acquis de l organisation. Article 1 Objectifs L objectif de la politique de sécurité des technologies est d établir le cadre régissant l utilisation de tout actif informatique ou de télécommunication au Cégep Beauce-Appalaches. Cette politique vise également à assurer le respect de toute législation locale, provinciale, fédérale et internationale en vigueur. Article 2 Portée La présente politique s applique au personnel du Cégep, aux étudiants ainsi qu aux utilisateurs des services offerts au Cégep. Elle touche également toute personne ou entreprise appelée à utiliser les équipements informatiques ou de télécommunication installés au Cégep ou à traiter l information appartenant au Cégep ou à une des ses unités. Article 3 Principes Le Cégep Beauce-Appalaches doit protéger ses actifs informatiques et de télécommunication contre le piratage informatique ou l utilisation abusive et inadéquate tout en maintenant un accès à ses systèmes aux différents usagers autorisés. Le Cégep Beauce-Appalaches doit garantir l intégrité des informations véhiculées par l intermédiaire de ses actifs informatiques et de télécommunication. Tous les actifs informatiques et de télécommunication doivent être dédiés et réservés à la réalisation des activités d enseignement, d apprentissages, de recherche, de gestion et de services qui sont offerts à la communauté par le Cégep. Toutefois, le Cégep reconnaît que, occasionnellement, certains actifs peuvent être utilisés à des fins personnelles. La mise en œuvre et le respect de la présente politique et des règlements ou directives en découlant incombent à tout le personnel du Cégep, aux étudiants, aux gestionnaires et aux utilisateurs externes des installations du Cégep. Le droit d utilisation des actifs informatiques et de télécommunication du Cégep peut être révoqué en tout temps à toute personne qui ne se conforme pas à la présente politique, aux procédures et au code de conduite qui en découlent. Politique de sécurité sur les technologies Page 5
Article 4 Responsabilités des gestionnaires 4.1 Actifs informatiques et de télécommunication Les directeurs de services ont la responsabilité de sensibiliser les utilisateurs de leur secteur d activités aux principes de sécurité entourant l usage des technologies. 4.2 Systèmes d informations institutionnelles Le directeur doit désigner une personne ressource pour chaque système de traitement des données de masse qu il a sous sa responsabilité (ex. Finances, pédagogie, bibliothèque ). 4.3 Mesures de sécurité Le directeur doit s assurer que des mesures de sécurité et de protection soient prises afin de protéger physiquement les actifs informatiques du Cégep sous sa responsabilité. Article 5 Responsabilités des utilisateurs 5.1 Matériel informatique Les utilisateurs ne peuvent modifier la configuration des équipements informatiques et de télécommunication du Cégep sans autorisation. 5.2 Accès Seules les personnes dûment autorisées par la signature d un contrat d accès peuvent utiliser les équipements informatiques et de télécommunication du Cégep. Toute tentative d intrusion sur les actifs informatiques du Cégep constitue une violation à la présente politique. 5.3 Informations et les données de chaque usager Tout utilisateur doit assumer la responsabilité de la précision, de l intégrité, de la sécurité de l information et des traitements effectués sur les équipements qu il utilise. Tout extrant issu de systèmes informatisés ou de télécommunication et contenant de l information confidentielle doit être conservé de façon sécuritaire, et détruit selon les normes de sécurité, de confidentialité, et éventuellement d archivage, lorsque sa détention ou son utilisation n est plus nécessaire. L utilisateur doit prendre les mesures nécessaires pour supprimer les informations et les données qu il a stockées et qui deviennent périmées. 5.4 Courrier électronique L utilisateur doit toujours s identifier clairement par son nom et à quel titre il écrit. L utilisateur reconnaît que son adresse électronique comprend implicitement ou explicitement le nom du Cégep et qu il doit, par conséquent, en faire bon usage. 5.5 L Internet et les réseaux Le Cégep met à la disposition de sa communauté un accès à l Internet. Cet accès doit être utilisé pour le but auquel il est destiné : l enseignement et les tâches administratives du Cégep. Politique de sécurité sur les technologies Page 6
5.6 Droit d auteur Tout utilisateur des actifs informatiques et de télécommunication est tenu de respecter la Politique des droits d auteur du Cégep. Aucun utilisateur ne peut profiter des installations technologiques du Cégep pour reproduire illicitement des logiciels, des progiciels ou des objets numérisés, à moins qu il n ait obtenu l autorisation au préalable. 5.7 Code de conduite Tout usager doit respecter le Code de bonne conduite en matière d informatique adopté en 1996. Ce code précise les comportements attendus lors de l utilisation des actifs informatiques et de télécommunication du Cégep. Article 6 Responsabilités du service informatique 6.1 Matériel informatique et télécommunication 6.1.1 Normalisation Afin d améliorer le support aux utilisateurs, l exploitation des technologies de l information et des télécommunications doit s appuyer sur des normes établies dans Les standards d installation au Cégep Beauce-Appalaches. Elles permettent de réduire la complexité inhérente à la diversité des systèmes et applications. 6.2 Informations 6.2.1 Protection La protection des informations contre le piratage externe relève du service informatique. À cet effet, il doit instaurer des mesures de contrôle et de sécurité appropriées pour protéger adéquatement les installations sous sa responsabilité. 6.2.2 Accès aux systèmes d information institutionnels et réseaux locaux. Tout système d information est protégé par un mécanisme d authentification. Il doit, en plus, limiter cet accès aux personnes autorisées seulement. La personne ressource du système désigné autorise le service informatique à donner accès à tout nouvel utilisateur. 6.2.3 Données des usagers Lorsqu une personne perd sa qualité d utilisateur des actifs informatiques et de télécommunication au Cégep, ces informations et données seront considérées périmées 30 jours après la date de fin de contrat et le Cégep aura droit de les supprimer sans que l utilisateur puisse tenir le Cégep responsable de leur perte. 6.3 Mesures d urgence et de sécurité Le service informatique dispose d un plan de relève, consigné par écrit et éprouvé, pour assurer la remise en opération des installations informatiques et de télécommunication institutionnelles considérées comme essentielles en cas de panne majeure (ex. : incendie, panne électrique prolongée, inondation, terrorisme, etc.) Politique de sécurité sur les technologies Page 7
Article 7 Mesures d intervention Le Cégep peut procéder à des vérifications concernant l utilisation que fait un usager de ses systèmes d information. Ces vérifications sont effectuées par des personnes autorisées dans le cadre de leurs fonctions et selon le Code d intervention en cas d abus. Article 8 Sanctions Toute personne contrevenant au code de bonne conduite, à la présente politique ou à la réglementation qui en découle est passible, en plus des pénalités prévues aux lois (Loi du droit d auteur, Loi sur l accès à l information, etc.), des sanctions suivantes : - annulation du code d accès aux équipements et services visés par la présente politique ; - interdiction d utiliser en totalité ou en partie l équipement informatique; - remboursement au Cégep des coûts encourus pour : o le travail effectué par le remplacement de pièces volées ou détériorées ; o le travail effectué en vue de rétablir la fonctionnalité du matériel, logiciel ou réseau ; o toute somme que ce dernier serait dans l obligation de défrayer suite à une utilisation non autorisée, frauduleuse ou illicite de ses services ou actifs informatiques et de télécommunication ; - mesures disciplinaires ou autres sanctions prévues dans les règlements du Cégep ou imposées conformément aux conventions collectives de travail et aux protocoles en vigueur. Article 9 Absence de responsabilité Le Cégep n assume aucune responsabilité, directe ou indirecte, pour les pertes d informations, de données, dommages ou inconvénients causés aux utilisateurs à l occasion d une utilisation des équipements et des ressources informatiques ou de télécommunication. Advenant le cas où il devait, pour quelque cause que ce soit, diminuer ses services, ou les interrompre, quelle que soit la durée de telles diminutions ou interruptions, ou encore arrêter définitivement ses services, le Cégep ne peut être tenu responsable. Le Cégep ne peut en aucun cas être tenu responsable des dommages causés par les informations qu un utilisateur a véhiculées par l intermédiaire du réseau; l utilisateur demeure seul responsable. Article 10 Révision La présente politique doit être évaluée aux besoins afin de s ajuster aux nouvelles pratiques et technologies utilisées au Cégep. Article 11 Responsabilité Le directeur général veille à l application de la présente politique. Le directeur des services administratifs est responsable de l application et de la révision de la politique de sécurité sur les technologies de l information et des télécommunications. Article 12 Entrée en vigueur La présente politique entre en vigueur au moment de son adoption par le conseil d administration du Cégep. Politique de sécurité sur les technologies Page 8
ANNEXE 1 DÉFINITIONS Actifs informatiques et de télécommunication Équipements informatiques et de télécommunication, systèmes d information, logiciels, progiciels, banques de données et information (textuelle, sonore, symbolique ou visuelle) placées dans un équipement ou sur un média informatique, système de courrier électronique, les réseaux et leurs infrastructures. Authentification Permet d assurer au destinataire de la transaction que celle-ci provient bien de l expéditeur dont elle est attendue et, à ce dernier, qu il s agit bien du destinataire présumé. Confidentialité Caractère des données dont l accès doit être limité aux seules personnes ou autres entités autorisées. Équipements informatiques Ordinateurs, serveurs, mini-ordinateurs, postes de travail informatisés et leurs unités ou accessoires périphériques de lecture, d emmagasinage, de reproduction, d impression, de transmission, de réception et de traitement de l information et tout équipement de télécommunication. Extrant Tout objet permettant de conserver de l information ou des programmes informatiques provenant d un ordinateur ou de ses unités périphériques ou d un équipement de télécommunication. Intégrité des données Caractère des données qui n ont subi aucune altération, volontaire ou accidentelle, pendant leur traitement, leur conservation en mémoire ou leur transport par voie électronique. Objet numérisé Information textuelle, symbolique, sonore ou visuelle (animée ou non) qui est transformée afin qu elle puisse soit être transmise ou visualisée sur les réseaux de télécommunications, soit traitée par un ordinateur ou l un de ses périphériques, soit placée sur un support informatique ou électronique. Système d information institutionnel Système d information officiellement reconnu et utilisé par le Cégep pour ses activités de gestion interne et pour fournir de l information aux organismes externes. Généralement, on reconnaît que les données d un système d information institutionnel ont un caractère d unicité quant à leur source et normatif quant à leur définition (par exemple : le système de gestion financière, le système de gestion pédagogique ) Politique de sécurité sur les technologies Page 9