Politique sur la sécurité de l’information
Pour consulter le document1. Préambule
Cette politique permet au cégep de Saint-Laurent d’accomplir sa mission, de préserver sa réputation, de respecter les lois et de réduire les risques en protégeant l’information qu’il a créée ou reçue (dont il est le gardien). Cette information est multiple et diversifiée. Elle consiste en des renseignements personnels d’étudiants et de membres du personnel, en de l’information professionnelle et, finalement, en de l’information stratégique ou opérationnelle pour l’administration du Cégep.
Le monde d’aujourd’hui n’a plus de frontières, il est ouvert à des pirates modernes en quête d’argent ou de prestige. Ces pirates, cachés dans un espace numérique parfois proche, parfois très éloigné, recherchent les faiblesses des systèmes en place pour réussir à accéder à notre information. Notre Cégep, faisant partie du réseau de l’enseignement supérieur, a une image publique et est donc une cible potentielle.
Dans ce contexte, l’entrée en vigueur de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (LRQ, chapitre. G-1.03) et de la Directive sur la sécurité de l’information gouvernementale (une directive du Conseil du trésor du Québec applicable au Cégep) crée des obligations aux établissements collégiaux en leur qualité d’organismes publics. Ainsi, la Directive sur la sécurité de l’information gouvernementale oblige le Cégep à adopter, à mettre en oeuvre, à maintenir à jour et à assurer l’application d’une politique de sécurité de l’information – dont les principales modalités sont définies dans la directive gouvernementale – en ayant recours, notamment à des processus formels de sécurité de l’information qui permettent d’assurer la gestion des risques, la gestion de l’accès à l’information et la gestion des incidents.
2. Définitions
Actifs informationnels : Tous éléments contenant de l’information ayant une valeur pour le gouvernement ou pour l’organisation. Ils font aussi référence à des biens physiques tels que les appareils, systèmes, téléphones, support de toutes natures, bases de données, logiciels, etc.
CERT/AQ : Désigne l’équipe de réponse aux incidents de sécurité de l’information de l’administration québécoise à portée gouvernementale (Computer Emergency Response Team/AreaQuebec).
Confidentialité : La propriété d’une information de n’être accessible qu’aux personnes ou entités désignées et autorisées et de n’être divulguée qu’à celles-ci.
Incident : Un événement qui porte atteinte ou qui est susceptible de porter atteinte à la disponibilité, à l’intégrité ou à la confidentialité de l’information, ou plus généralement à la sécurité des systèmes d’information, notamment une interruption des services ou une réduction de leur qualité.
Plan de continuité : L’ensemble des mesures de planification établies et appliquées en vue de rétablir la disponibilité de l’information indispensable à la réalisation d’une activité du Cégep.
Responsable d’actifs informationnels : Le membre du personnel cadre détenant la plus haute autorité au sein d’une unité pédagogique ou administrative et dont le rôle consiste notamment, du point de vue décisionnel, fonctionnel ou opérationnel, à veiller à l’accessibilité, à l’utilisation adéquate, à la gestion efficiente et à la sécurité des actifs informationnels sous la responsabilité de cette unité.
Risque de sécurité de l’information : Le degré d’exposition d’une information ou d’un système d’information à une menace d’interruption ou de réduction de la qualité des services ou d’atteinte à la disponibilité, à l’intégrité ou à la confidentialité de l’information et qui peut avoir des conséquences sur la prestation des services, sur la vie, la santé ou le bien-être des personnes, sur le respect de leurs droits fondamentaux à la protection des renseignements personnels et au respect de leur vie privée, ou sur l’image du Cégep.
3. Objectifs
La présente politique a pour objectif d’affirmer l’engagement du Cégep à s’acquitter pleinement de ses obligations à l’égard de la sécurité de l’information, quels que soient son support ou ses moyens de communication. Plus précisément le Cégep doit veiller à :
- la disponibilité de l’information de façon à ce qu’elle soit accessible en temps voulu et de la manière requise aux personnes autorisées;
- l’intégrité de l’information de manière à ce que celle-ci ne soit ni détruite ni altérée d’aucune façon sans autorisation, et que le support de cette information lui procure la stabilité et la pérennité voulues;
- la confidentialité de l’information, en limitant la divulgation et l’utilisation de celle-ci aux seules personnes autorisées, surtout si elle constitue des renseignements personnels.
Par conséquent, le Cégep met en place cette politique dans le but d’orienter et de déterminer sa vision, qui sera détaillée par le cadre de gestion de la sécurité de l’information de l’institution.
Le cadre de gestion de la sécurité de l’information renforce les systèmes de contrôles internes en offrant une assurance raisonnable de conformité à l’égard des lois et directives gouvernementales, ainsi qu’aux autres besoins du Cégep en matière de réduction du risque associé à la protection de l’information.
4. Cadre légal et administratif
La politique de sécurité s’inscrit principalement dans un contexte régi par :
- la Charte des droits et libertés de la personne (LRQ, chapitre C-12);
- le Code civil du Québec (LQ, 1991, chapitre 64);
- la Politique-cadre sur la gouvernance et la gestion des ressources informationnelles des organismes publics;
- la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (LRQ, chapitre G-1.03);
- la Loi concernant le cadre juridique des technologies de l’information (LRQ, chapitre C-1.1);
- la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (LRQ, chapitre A-2.1);
- la Loi sur les archives (LRQ, chapitre A-21.1);
- le Code criminel (LRC, 1985, chapitre C-46);
- le Règlement sur la diffusion de l’information et sur la protection des renseignements personnels (chapitre A-2.1, r. 2);
- la Directive sur la sécurité de l’information gouvernementale;
- la Loi sur le droit d’auteur (LRC, 1985, chapitre C-42);
- le Code de conduite sur l’utilisation des ressources technologiques.
5. Champ d’application
La présente politique s’adresse aux utilisateurs de l’information, c’est-à-dire à tout le personnel, à toute personne physique ou morale qui, à titre d’employé, de consultant, de partenaire, de fournisseur, d’étudiant ou de public utilise les actifs informationnels du Cégep.
L’information visée est celle que le Cégep détient dans le cadre de ses activités, que sa conservation soit assurée par lui-même ou par un tiers.
Tous les supports, incluant le papier, sont concernés.
6. Principes directeurs
Les principes directeurs qui guident les actions du Cégep en matière de sécurité de l’information sont les suivants :
-
- a) s’assurer de bien connaitre l’information à protéger, en identifier les responsables et leurs caractéristiques de sécurité (principe qui confirme l’importance de maintenir à jour l’inventaire des actifs informationnels);
-
- b) s’appuyer sur les normes internationales pertinentes afin de favoriser le déploiement des meilleures pratiques et de recourir à des barèmes de comparaison avec des organismes ou établissements similaires;
-
- c) adhérer à une approche basée sur le risque acceptable (la mise en place du cadre de gestion étant un moyen d’ajuster le risque, par une combinaison de mesures raisonnables mises en place pour garantir la sécurité de l’information, à un coût proportionnel à la sensibilité de l’information et aux effets potentiels);
-
- d) reconnaître l’importance de la politique de sécurité de l’information, du cadre de gestion de la sécurité de l’information qui doit être articulé par une équipe compétente et suffisante en nombre (cette équipe devant définir, mettre en place, opérer et ajuster la gestion de la sécurité de l’information);
-
- e) protéger rigoureusement les renseignements personnels ainsi que toute autre information confidentielle;
-
- f) reconnaître que l’environnement technologique est en changement constant et interconnecté avec le monde (en mettant en place une gestion de la sécurité de l’information qui s’adapte à ces changements);
-
- g) reconnaître l’importance d’évaluer régulièrement les risques, de mettre en place des mesures proactives de sécurité et des méthodes de détection d’usage abusif ou inapproprié de l’information, de définir des actions d’éradication des menaces ou de recouvrement des activités compromises;
-
- h) protéger l’information tout au long de son cycle de vie, c’est-à-dire de son acquisition ou de sa création jusqu’à sa destruction (le niveau de sécurité pouvant varier au cours du cycle de vie du document);
-
- i) adhérer aux principes de partage des meilleures pratiques et de l’information opérationnelle en matière de la sécurité de l’information avec le réseau de l’éducation et organismes publics;
-
- j) adhérer à une démarche éthique visant à assurer la régulation des conduites et la responsabilisation individuelle (chaque individu qui a accès à l’information étant responsable de respecter les critères de confidentialité, de disponibilité et d’intégrité de celle-ci);
-
- k) s’assurer que chaque employé doit avoir accès au minimum d’information requis pour accomplir ses tâches normales;
-
-
- l) communiquer de façon transparente au sujet des menaces pouvant affecter les actifs informationnels, afin que chacun puisse comprendre l’importance d’appliquer la sécurité comme on le demande, être informé de telle sorte qu’il puisse reconnaître les incidents de sécurité et agir en conséquence;
- m) mettre en place un plan de continuité des opérations en vue de rétablir les services essentiels à sa clientèle, selon un temps prévu.
-
7. Cadre de gestion
L’efficacité des mesures de sécurité de l’information exige l’attribution claire des rôles et des responsabilités aux différents acteurs du Cégep par la mise en place d’un cadre de gestion de la sécurité permettant notamment une reddition de comptes adéquate.
Les pratiques et les solutions retenues en matière de sécurité de l’information doivent être remises en question de manière périodique dans le but de tenir compte non seulement des changements juridiques, organisationnels, technologiques, physiques et environnementaux, mais aussi de l’évolution des menaces et des risques.
La politique de sécurité de l’information du Cégep s’articule autour de trois axes fondamentaux de gestion. Ces axes sont la gestion des accès, la gestion des risques et la gestion des incidents.
7.1 Gestion des accès
La gestion des accès doit être encadrée et contrôlée pour faire en sorte que l’accès, la divulgation et l’utilisation de l’information soient strictement réservés aux personnes autorisées. Ces mesures sont prises dans le dessein de protéger l’intégrité et la confidentialité des données et des renseignements personnels.
L’efficacité des mesures de sécurité de l’information repose sur l’attribution de responsabilités et une imputabilité des personnes, à tous les niveaux de personnel du Cégep.
7.2 Gestion des risques
Une catégorisation des actifs informationnels à jour soutient l’analyse de risques en permettant de connaître la valeur de l’information à protéger.
L’analyse de risques guide également l’acquisition, le développement et l’exploitation des systèmes d’information, en spécifiant les mesures de sécurité à mettre en oeuvre pour leur déploiement dans l’environnement du Cégep. La gestion des risques liés à la sécurité de l’information s’inscrit dans le processus global de gestion des risques du Cégep. Les risques à portée gouvernementale sont déclarés conformément à la Directive sur la sécurité de l’information gouvernementale.
Le niveau de protection de l’information est établi en fonction :
- de la nature de l’information et de son importance;
- des probabilités d’accident, d’erreur ou de malveillance auxquels elle est exposée;
- des conséquences de la matérialisation de ces risques;
- du niveau de risque acceptable par le Cégep.
7.3 Gestion des incidents
Le Cégep déploie des mesures de sécurité de l’information de manière à assurer la continuité de ses services. À cet égard, il met en place les mesures nécessaires à l’obtention des buts suivants :
- limiter l’occurrence des incidents en matière de sécurité de l’information;
- gérer adéquatement ces incidents pour en minimiser les conséquences et rétablir les activités ou les opérations.
Les incidents de sécurité de l’information à portée gouvernementale sont déclarés conformément à la Directive sur la sécurité de l’information gouvernementale (par le CERT/AQ).
Dans la gestion des incidents, le Cégep peut exercer ses pouvoirs et ses prérogatives eu égard à toute utilisation inappropriée de l’information qu’il détient ou de ses systèmes d’information.
8. Rôles et responsabilités
La présente politique attribue la gestion de la sécurité de l’information du Cégep à des instances, à des comités et à des personnes en raison des fonctions particulières qu’elles exercent.
Conseil d’administration
Le conseil d’administration adopte la Politique de sécurité de l’information ainsi que toute modification à celle-ci. Le conseil est régulièrement informé des actions du Cégep en matière de sécurité de l’information. Il est le dirigeant de l’organisme responsable de l’application de la politique en sécurité de l’information.
Le comité exécutif du conseil d’administration peut prendre des décisions dans un cadre déterminé préalablement par ce dernier.
Comité de direction
Le comité de direction du Cégep détermine des mesures visant à favoriser l’application de la politique et des obligations légales du Cégep en matière de sécurité de l’information. Ainsi, il détermine les orientations stratégiques, les plans d’action et les bilans de sécurité de l’information. Il peut également déterminer des directives et des procédures qui viennent préciser ou soutenir l’application de la politique.
Comité de travail pour la sécurité de l’information
Le comité de travail pour la sécurité de l’information a comme objectif d’assister le responsable de la sécurité de l’information (RSI) à mettre en place le cadre de gestion de la sécurité de l’information et autre élément pouvant être nécessaire pour assurer la protection du Cégep et être conforme à la réglementation.
Sous la direction du responsable de la sécurité de l’information (RSI), ce comité est chargé en particulier de mettre en place les plans d’action et les bilans de sécurité de l’information, les activités de sensibilisation ou de formation ainsi que toutes propositions d’action en matière de sécurité de l’information. C’est aussi un forum d’échange ou d’observation en sécurité de l’information.
Le comité est composé d’un représentant de chaque unité d’accréditation syndicale, d’un représentant de chaque direction, de la coordonnatrice des communications et du responsable de la sécurité de l’information.
Directeur général
Le directeur général veille à l’application de la politique sur la sécurité de l’information.
Cette personne aura pour tâche :
- d’encadrer le responsable de la sécurité de l’information (RSI) dans la réalisation de son mandat;
- de déléguer certaines responsabilités au secrétaire général pour la gestion de l’information;
- de faire adopter par le Conseil d’administration les orientations stratégiques, les évaluations de risques, les plans d’action, les bilans de sécurité, les redditions de comptes en matière de sécurité de l’information;
- d’autoriser, de façon exceptionnelle, une dérogation à l’une ou l’autre des dispositions de la présente politique, d’une directive ou d’une procédure institutionnelle ayant une incidence directe ou indirecte sur la sécurité de l’information et qui serait incompatible avec une activité ou un projet directement relié à la mission du Cégep;
- d’autoriser une enquête lorsqu’il y a ou pourrait y avoir transgression de la politique;
- de tenir à jour le registre des dérogations et le registre des cas de contravention à la présente politique.
Responsable de la sécurité de l’information (RSI)
La fonction du RSI est déléguée au directeur des ressources technologiques par le conseil d’administration. Le RSI relève du directeur général au sens du Cadre gouvernemental de gestion de la sécurité de l’information. Cette personne met en place le cadre de gestion de la sécurité de l’information et s’assure que le niveau de maturité en gestion de la sécurité de l’information répond aux besoins. Il est nommé par le conseil d’administration.
Le RSI :
- élabore et propose le programme de sécurité de l’information du Cégep, rend compte de son implantation au comité de direction;
- formule des recommandations concernant les besoins, les priorités, les orientations, les plans d’action, les directives, les procédures, les initiatives et les bonnes pratiques en matière de sécurité de l’information et met à jour la politique;
- assure la coordination et la cohérence des actions menées au sein du Cégep en matière de sécurité de l’information, en conseillant les responsables d’actifs informationnels dans les unités;
- produit les plans d’action, les bilans et les redditions de comptes du Cégep en matière de sécurité de l’information;
- propose des dispositions visant le respect des exigences en matière de sécurité de l’information à intégrer dans les ententes de service et les contrats;
- s’assure de la déclaration par le Cégep des risques et des incidents de sécurité de l’information à portée gouvernementale (CERT/AQ);
- collabore à l’élaboration du contenu du plan de communication, du programme de sensibilisation et de formation en matière de sécurité de l’information et veille au déploiement de ceux-ci;
- procède aux enquêtes dans des transgressions sérieuses ayant trait vraisemblablement à la politique à la suite de l’autorisation du dirigeant de l’organisme;
- s’assure des veilles normatives, juridiques, gouvernementales et technologiques afin de suivre l’évolution des normes, des lois et règlements, des pratiques gouvernementales et des progrès technologiques en matière de sécurité de l’information.
Direction des ressources technologiques
En matière de sécurité de l’information, la Direction des ressources technologiques s’assure de la prise en charge des exigences de sécurité de l’information dans l’exploitation des systèmes d’information de même que dans la réalisation de projets de développement ou d’acquisition de systèmes d’information dans lesquels elle intervient :
- elle participe activement à l’analyse de risques, à l’évaluation des besoins et des mesures à mettre en oeuvre, et à l’anticipation de toute menace en matière de sécurité des systèmes d’information faisant appel aux technologies de l’information;
- elle applique des mesures de réaction appropriées à toute menace ou à tout incident de sécurité de l’information, telles que par exemple l’interruption ou la révocation temporaire – lorsque les circonstances l’exigent – des services d’un système d’information faisant appel aux technologies de l’information, et ce, en vue d’assurer la sécurité de l’information en cause;
- elle participe à l’exécution des enquêtes relatives à des contraventions réelles ou apparentes à la présente politique et autorisées par le directeur général.
Service des ressources matérielles
Le service des ressources matérielles participe, avec le responsable de la sécurité de l’information, à l’identification des mesures de sécurité physique permettant de protéger adéquatement les actifs informationnels du Cégep.
Direction des ressources humaines
En matière de sécurité de l’information, la Direction des ressources humaines remet à tout nouvel employé du Cégep une copie de la Politique et elle lui fait signer un engagement de confidentialité.
Responsable d’actifs informationnels
Le responsable d’actifs informationnels est le cadre détenant l’autorité au sein d’un service, qu’elle soit d’ordre pédagogique ou d’ordre administratif, et dont le rôle consiste à veiller à l’accessibilité, à l’utilisation adéquate et à la sécurité des actifs informationnels sous la responsabilité de ce service. Il peut donc y avoir plusieurs responsables d’actifs informationnels dans un cégep. Le responsable d’actifs informationnels peut déléguer la totalité ou bien une partie de sa responsabilité à un autre membre du service.
Le responsable d’actifs informationnels :
- informe le personnel relevant de son autorité et les tiers avec lesquels transige le service de la politique de sécurité de l’information et des dispositions du cadre de gestion dans le but de le sensibiliser à la nécessité de s’y conformer;
- collabore activement à la catégorisation de l’information du service sous sa responsabilité et à l’analyse de risques;
- voit à la protection de l’information et des systèmes d’information sous sa responsabilité et veille à ce que ceux-ci soient utilisés par le personnel relevant de son autorité en conformité avec la politique de sécurité de l’information et de tout autre élément du cadre de gestion;
- s’assure que les exigences en matière de sécurité de l’information sont prises en compte dans tout processus d’acquisition et tout contrat de service sous sa responsabilité et voit à ce que tout consultant, fournisseur, partenaire, invité, organisme ou firme externe s’engage à respecter la politique et tout autre élément du cadre de gestion;
- rapporte à la Direction des ressources technologiques toute menace ou tout incident afférant à la sécurité de l’information;
- collabore à la mise en œuvre de toute mesure visant à améliorer la sécurité de l’information ou à remédier à un incident de sécurité de l’information ainsi qu’à toute opération de vérification de la sécurité de l’information;
- rapporte à la Direction générale ou à tout autre officier dument mandaté de tout problème lié à l’application de la présente politique, dont toute contravention réelle ou apparente d’un membre du personnel à ce qui a trait à l’application de cette politique.
Utilisateurs
La responsabilité de la sécurité de l’information du Cégep incombe à tous les utilisateurs des actifs informationnels du Cégep.
Tout utilisateur qui accède à une information, qui la consulte ou qui la traite est responsable de l’utilisation qu’il en fait et doit procéder de manière à protéger cette information.
À cette fin, l’utilisateur doit :
- se conformer à la présente politique et à toute autre directive du Cégep en matière de sécurité de l’information et d’utilisation des actifs informationnels;
- utiliser les droits d’accès qui lui sont attribués et autorisés, l’information et les systèmes d’information qui sont mis à sa disposition uniquement dans le cadre de ses fonctions et aux fins auxquelles ils sont destinés;
- participer à la catégorisation de l’information de son service;
- respecter les mesures de sécurité mises en place, ne pas les contourner ni modifier leur configuration ni les désactiver;
- signaler au responsable des actifs informationnels de son unité tout incident susceptible de constituer une contravention à la présente politique ou de constituer une menace à la sécurité de l’information du Cégep;
- collaborer à toute intervention visant à indiquer ou à mitiger une menace à la sécurité de l’information ou un incident de sécurité de l’information;
Aussi, tout utilisateur du Cégep doit se conformer aux politiques et aux directives en vigueur dans une entreprise ou un organisme avec lequel il est en relation dans le cadre de ses activités professionnelles ou d’études lorsqu’il y partage des actifs informationnels, des dispositifs de technologies de l’information ou des systèmes d’information.
9. Sensibilisation et information
La sécurité de l’information repose notamment sur la régulation des conduites et la responsabilisation individuelle. À cet égard, les membres de la communauté du Cégep doivent être sensibilisés :
- à la sécurité de l’information et des systèmes d’information du Cégep;
- aux conséquences d’une atteinte à la sécurité;
- à leur rôle et à leurs responsabilités en la matière.
À ces fins, des activités de sensibilisation et de formation sont offertes périodiquement. De plus, des documents explicatifs sont disponibles sur l’intranet du Cégep.
10. Sanctions
En cas de contravention à la présente politique, l’utilisateur engage sa responsabilité personnelle; il en est de même pour la personne qui, par négligence ou par omission, fait en sorte que l’information n’est pas protégée adéquatement.
Tout membre de la communauté collégiale qui contrevient au cadre légal, à la présente politique et aux mesures de sécurité de l’information qui en découlent, s’expose à des sanctions selon la nature, la gravité et les conséquences de la contravention, en vertu de la loi ou des règles disciplinaires internes applicables dont celles des conventions collectives de travail et du Règlement intérieur relatif aux règles de vie collégiale.
De même, toute contravention à la politique, qu’elle soit perpétrée par un fournisseur, un partenaire, un invité, un consultant ou un organisme externe, est passible des sanctions prévues au contrat le liant au Cou en vertu des dispositions de la législation applicable en la matière.
11. Diffusion et mise à jour de la politique
Le RSI, assisté du comité de travail pour la sécurité de l’information, est responsable de la diffusion et de la mise à jour de la politique. La politique de sécurité de l’information sera révisée au plus tard trois ans après son adoption.
12. Entrée en vigueur
La présente politique entre en vigueur à la date de son adoption par le conseil d’administration, soit le 19 septembre 2018.