DIRECTIVE 2600-027 TITRE : ADOPTION : Comité de direction Résolution : CD-2006-02-14-08 ENTRÉE EN VIGUEUR : 14 février 2006 TABLE DES MATIÈRES Préambule... 2 1. Objet... 2 2. Cadre juridique... 2 3. Champ d application... 2 4. Définitions...3 5. Objectifs... 4 6. Principes...4 7. Privilèges et responsabilités des usagères et usagers... 4 8. Responsabilités de gestion en sécurité informatique... 5 9. Règles de sécurité informatique... 5 10. Procédures de dérogation... 6 11. Comité de coordination de la sécurité informatique... 6 12. Responsabilité de l application et de la diffusion de la directive... 6 13. Sanctions... 6 Directive 2600-027 Page 1
PRÉAMBULE Considérant le rôle croissant des technologies de l information et des communications dans les activités reliées à la mission de l Université, il est impératif que ses ressources informationnelles soient adéquatement protégées. Voilà la finalité première de la présente directive sur la sécurité informatique et des règles qui l accompagnent : favoriser la réalisation de la mission de l Université dans toutes ses sphères d activité. Ainsi, la présente directive vise à établir les conditions relatives à l utilisation sécuritaire par les usagères et usagers de l Université des équipements, des systèmes, des logiciels et du réseau de même que des données contenues ou véhiculées par eux. Pour ce faire, l approche préconisée privilégie la responsabilisation personnelle et collective des membres de la communauté universitaire afin de protéger les ressources informationnelles de l Université et celles utilisées sur une base sectorielle ou individuelle, d assurer la qualité des services informatiques dispensés, de favoriser l utilisation éthique de ces ressources et de sensibiliser chaque usagère et usager à la sécurité informatique. Par conséquent, la présente directive tente de concilier les besoins communs et individuels, étant entendu que la protection des actifs universitaires et collectifs a préséance sur les biens et comportements individuels. Plus particulièrement, la présente directive sur la sécurité informatique englobe la protection des ressources informationnelles, la confidentialité des données et la continuité des services. Elle ne s intéresse pas au classement des données ou des informations et à leur niveau de confidentialité. Enfin, la présente directive a été élaborée et sera appliquée avec le souci d harmoniser les processus de gestion des ressources informationnelles de l Université. 1. OBJET Ce document expose les normes et procédures de l Université de Sherbrooke en matière de sécurité informatique. Il énonce les objectifs, les principes, les privilèges et responsabilités des usagères et usagers et précise le rôle des responsables de la gestion de la sécurité informatique. 2. CADRE JURIDIQUE La présente directive est assujettie aux politiques, règlements et normes pertinents de l Université. Plus particulièrement, les dispositions à l égard de la sécurité informatique à l Université de Sherbrooke sont rattachées au Règlement 2575-001 : Utilisation des équipements et des ressources informatiques et de télécommunication. D autre part, le mandat du Service des technologies de l information (STI) précise qu il doit assurer la sécurité informatique des équipements sous sa juridiction, de même qu assister et conseiller les facultés et services en cette matière. Par conséquent, plusieurs éléments de la présente directive de même que les Règles de sécurité informatique présentées en annexe servent à opérationnaliser ce mandat. 3. CHAMP D APPLICATION Cette directive sur la sécurité informatique s applique à toutes les usagères et tous les usagers de l Université de Sherbrooke, y compris les locataires des Résidences étudiantes, de même qu à toutes les usagères et tous les usagers oeuvrant dans des organismes ou des entreprises associés à l Université de Sherbrooke et les fournisseurs de l Université de Sherbrooke qui utilisent ses équipements et ses ressources informatiques et de télécommunication. Directive 2600-027 Page 2
4. DÉFINITIONS Dans ce document, à moins que le contexte n impose un sens différent, les termes suivants signifient : 4.1. Confidentialité : protection de l information et des données contre la divulgation non autorisée. 4.2. Code d accès : représente le nom de l usagère ou de l usager, le numéro de compte, l identification de départ, ou tout mécanisme servant à s identifier auprès d un système pour y accéder. 4.3. Équipements et ressources informatiques et de télécommunication : comprend les serveurs informatiques, les ordinateurs, micro-ordinateurs, mini-ordinateurs, les postes de travail informatisés et leurs unités ou accessoires périphériques de lecture, d emmagasinage, de reproduction, d impression, de transmission, de réception et de traitement de l information et tout équipement de télécommunication, les logiciels, progiciels, didacticiels, les banques de données et d informations (textuelle, sonore, symbolique ou visuelle) placées dans un équipement ou sur un média informatique, système de courrier électronique et système de messagerie vocale, dont l Université est propriétaire ou locataire, ou sur lesquels elle possède un droit d utilisation. 4.4. Intégrité : notion associée à l intégralité et à l exactitude de l information. 4.5. Point de distribution : point d interconnexion d un ou de plusieurs réseaux locaux au réseau dorsal. 4.6. Réseau : tout réseau de communication accessible par l intermédiaire des équipements et des ressources informatiques et de télécommunication, contrôlé ou administré par l Université. 4.7. Réseau dorsal : le réseau central de l Université, relié à Internet et auquel sont reliés tous les points de distribution des différents secteurs. 4.8. Responsable administrative ou responsable administratif : la doyenne ou le doyen, l adjointe administrative à la doyenne ou au doyen, l adjoint administratif à la doyenne ou au doyen, la directrice ou le directeur de service ou toute autre personne responsable d une unité. 4.9. Responsable de secteur : personne qualifiée dans le domaine de l informatique nommée par la ou le responsable administratif et agissant comme personne référant auprès de l équipe de sécurité informatique du STI. Pour les services dont le soutien technique est assuré par le STI, une personne désignée par ce dernier agit comme responsable de secteur. 4.10. Ressource informationnelle : ressource utilisée par l Université, dans le cadre direct de ses activités de traitement de l information, pour mener à bien sa mission, pour la prise de décision, ou encore pour la résolution de problèmes; une ressource informationnelle peut être une ressource humaine, matérielle ou financière directement affectée à la gestion, l acquisition, au développement, à l entretien, à l exploitation, à l accès, à l utilisation, à la protection, à la conservation et à destruction des éléments d information. 4.11. Secteur : ensemble d appareils reliés au réseau partageant une plage d adresse ayant été déléguée à une entité (faculté, département, service, groupe de recherche ou autre) et gérée par une ou un responsable de secteur. 4.12. Usagères, usagers : membres du personnel de direction de l Université, professeures et professeurs, chargées et chargés de cours, membres du personnel professionnel et administratif, employées et employés de soutien, étudiantes et étudiants, assistantes et assistants de recherche, ainsi que toute personne physique ou morale appelée ou autorisée à utiliser les équipements et ressources informatiques et de télécommunication ou le réseau. Directive 2600-027 Page 3
5. OBJECTIFS La présente directive vise les objectifs suivants : 5.1. Assurer que les usagères et les usagers se servent le plus efficacement et de façon sécuritaire des ressources informationnelles pour la réalisation de la mission de l Université. 5.2. Assurer, lorsque nécessaire, la confidentialité, l'intégrité et la disponibilité des ressources informationnelles de l'université. 5.3. Assurer que l utilisation des infrastructures technologiques de l Université est conforme aux lois et règlements en vigueur de même qu aux règles des fournisseurs de services. 5.4. Assurer que l utilisation des ressources informationnelles contribue au bon fonctionnement des facultés, services et autres unités administratives de l Université. 5.5. Sensibiliser, faire participer activement les usagères et usagers à la protection des ressources informationnelles de l Université et favoriser une utilisation responsable et éthique de ces ressources. 5.6. Assurer la collecte d information nécessaire au respect des lois, politiques, et règlements pertinents ainsi que de la présente directive. 6. PRINCIPES De ces objectifs en matière de sécurité, découlent des principes qui orientent la démarche institutionnelle, la répartition des responsabilités et la nature des actions et des moyens qui seront mis de l avant. Ces principes sont les suivants : 6.1. La sécurité informatique est l affaire de toutes et tous; les usagères et les usagers doivent être dûment informés et participer activement à sa mise en oeuvre. 6.2. L acquisition de tout équipement informatique et de télécommunication, son intégration au réseau et l usage qui en est fait sont assujettis aux règles décrites dans le document Règles de sécurité informatique. 6.3. Lorsque cela est possible et bénéfique, des pratiques communes (normes, procédures, mécanismes) seront privilégiées de façon à intégrer efficacement et harmonieusement les différents secteurs. 6.4. La présente directive et les règles qui l accompagnent représentent des normes minimales; chaque secteur peut aller au-delà de ces directives et règles en fonction de ses besoins spécifiques. 6.5. La mise à jour de la présente directive et des règles qui l accompagnent doit se faire en tenant compte des besoins des différents secteurs. 7. PRIVILÈGES ET RESPONSABILITÉS DES USAGÈRES ET USAGERS 7.1. Privilèges Les usagères et usagers ont accès aux équipements, aux ressources informationnelles, selon leur fonction et dans les limites de l autorisation accordée par l Université. L Université offre aux usagères et usagers des accès à des services informatiques fiables et disponibles, dans les limites de ses ressources. L Université accorde un droit d utilisation personnelle de ses ressources informationnelles, conformément au Règlement 2575-001 : Utilisation des équipements et des ressources informatiques et de télécommunication. Directive 2600-027 Page 4
7.2. Responsabilités Les usagères et usagers s assurent que les ressources informationnelles sont utilisées de façon efficace, conformément aux lois en la matière, à la mission de l Université et à la présente directive et aux règles qui l accompagnent. Les usagères et usagers prennent toutes les précautions nécessaires pour protéger l intégrité et le caractère confidentiel des données utilisées. À cet égard, les codes d accès, mots de passe et toute autorisation qui ont été octroyés ne doivent pas être partagés. Les usagères et usagers prennent les actions appropriées pour corriger toute situation préjudiciable à la sécurité informatique et pour réduire les risques de récidive. Elles ou ils en informent la ou le responsable de son secteur ou l équipe de la sécurité du STI. 8. RESPONSABILITÉS DE GESTION EN SÉCURITÉ INFORMATIQUE 8.1. La responsable administrative ou le responsable administratif La ou le responsable administratif voit à la sécurité informatique de son secteur. Dans les secteurs ayant du personnel en informatique, elle ou il nomme une personne à titre de responsable de secteur qui possède les connaissances techniques requises pour réaliser les tâches décrites au paragraphe 8.4. 8.2. La section «sécurité informatique» du STI La section «sécurité informatique» du STI est responsable de la mise en place des mécanismes nécessaires pour assurer la sécurité du réseau universitaire (coupe-feu, détecteur d intrusions, passerelles antivirus, etc.) en collaboration avec la section «télécommunications» du STI et les responsables de secteur. Elle a la responsabilité de signaler toute situation qui pourrait compromettre la sécurité du réseau de l Université et émettre les consignes visant la résolution des problèmes. 8.3. La section «télécommunications» du STI La section «télécommunications» du STI a la responsabilité de développer, maintenir et préserver l intégrité du réseau dorsal de l Université ainsi que ses points de distribution (passerelles, commutateurs, câblage, etc.). Elle assiste les responsables de secteur dans l installation, la configuration et le bon fonctionnement des réseaux locaux. En collaboration avec la section «sécurité informatique» du STI et les responsables de secteur, elle prend les mesures nécessaires pour localiser, isoler et corriger les problèmes. 8.4. Les responsables de secteur Les responsables des différents secteurs sont chargés de la mise en place et de l application dans leurs secteurs respectifs des mesures décrites dans la présente directive et dans les règles qui l accompagnent. Les responsables de secteur signalent immédiatement tout événement particulier en rapport à la sécurité informatique à la section «sécurité informatique» du STI, avec qui elles ou ils collaborent étroitement, notamment par l application dans les meilleurs délais de mesures visant à la résolution des problèmes. 9. RÈGLES DE SÉCURITÉ INFORMATIQUE Le document Règles de sécurité informatique complète la présente cette directive. Ces Règles définissent les différents aspects de la sécurité informatique sur le réseau universitaire, par exemple la gestion des mots de passe, les audits, les règles à suivre pour le branchement de postes de travail ou de serveurs au réseau universitaire et l accès à des ressources à distance par réseau privé virtuel. En raison de l étroite collaboration de la Faculté de médecine et des sciences de la santé avec le réseau de la santé, le document Normes de sécurité sur le campus de la santé de Sherbrooke approuvé par le comité de direction de l Université se substitue entièrement au document Règles Directive 2600-027 Page 5
de sécurité informatique pour les usagères et tous les usagers du Campus de la santé (Fleurimont et Hôpital Hôtel-Dieu). 10. PROCÉDURES DE DÉROGATION Dans le cas où la présente directive et les règles qui l accompagnent entrent en conflit avec des activités ou un projet reliés à la mission de l Université, l usagère ou l usager peut demander une dérogation en formulant une demande écrite à la directrice ou au directeur du STI. En collaboration avec la ou le responsable de secteur et après analyse des motifs appuyant la demande de dérogation, la directrice ou le directeur du STI rend sa décision. En cas de désaccord avec la décision rendue, la requérante ou le requérant peut présenter une demande de révision auprès du membre du comité de direction responsable du STI. La directrice ou le directeur du STI maintient un registre des dérogations accordées et en informe le Comité de coordination sur la sécurité informatique. 11. COMITÉ DE COORDINATION DE LA SÉCURITÉ INFORMATIQUE Le comité conseille la directrice ou le directeur du STI en matière de sécurité informatique, notamment dans la perspective des changements à apporter à la présente directive et aux règles qui l accompagnent. Ce comité, présidé par la directrice ou le directeur du STI, est composé des personnes suivantes : l analyste responsable de la sécurité informatique; une ou un analyste de la section «Télécommunications» du STI; une ou un analyste du STI oeuvrant dans le domaine des serveurs administratifs ou institutionnels; cinq responsables de secteur provenant des facultés et des services gérant leurs ressources informationnelles, nommés par le membre du comité de direction responsable du STI. La présidente ou le président peut inviter toute personne à participer aux réunions du comité. 12. RESPONSABILITÉ DE L APPLICATION ET DE LA DIFFUSION DE LA DIRECTIVE Le membre du comité de direction responsable du STI assume la responsabilité générale de la diffusion, de l application et de la mise à jour de cette directive et des Règles de sécurité informatiques qui l accompagnent. Il appartient cependant à la doyenne ou au doyen de chaque faculté ainsi qu à la directrice ou au directeur de chaque institut, observatoire ou service de voir à ce que la présente directive et les Règles de sécurité informatique soient respectées dans les lieux et les activités relevant de son unité administrative. 13. SANCTIONS L usagère ou l usager qui contrevient aux dispositions de cette directive peut être l objet de sanctions conformément au Règlement 2575-001 : Utilisation des équipements et des ressources informatiques et de télécommunication. Directive 2600-027 Page 6