|
Liaison, 23 mars 2006
Sécurité informatique
L'UdeS se donne un cadre de gestion
JULES CHASSÉ
Vice-recteur adjoint aux ressources informationnelles
Les technologies de l'information sont omniprésentes à l'Université de
Sherbrooke. En raison même de sa mission, l'Université doit privilégier un
environnement technologique ouvert, en favorisant un accès étendu à ses
ressources informationnelles et une utilisation intense de celles-ci par sa
communauté.
Cela pose évidemment tout un défi en matière de sécurité informatique.
Pour en juger, qu'il suffise de mentionner qu'en 2005, sur les
20,64 millions de courriels échangés sur le réseau de l'Université,
7,33 millions (36 %) étaient des polluriels, et près de 638 000 (3 %)
contenaient des virus. Sans compter les milliers de tentatives d'intrusion
qui ont été détectées.
Cadre de gestion
L'utilisation des ressources informationnelles de l'Université est
assujettie au Règlement 2575-001 Utilisation des équipements et des
ressources informatiques et de télécommunication, lequel vient notamment
d'être modifié par le Conseil d'administration pour intégrer les
dispositions relatives à la sécurité informatique et pour préciser davantage
le contexte de l'utilisation des équipements à des fins personnelles.
Pour sa part, le Comité de direction a adopté un cadre de gestion sur la
sécurité informatique qui comprend une Directive sur la sécurité
informatique (Directive 2600-027), établissant les conditions générales
aptes à maintenir un environnement sécuritaire pour les ressources
informationnelles universitaires, et des Règles de sécurité informatique
(Règles 2600-028) régissant les différents aspects pratiques de
l'utilisation des multiples équipements branchés sur le réseau de
l'Université. Ces documents ont fait l'objet d'une large consultation auprès
de différentes personnes concernées par la sécurité informatique, soit à
titre d'experte ou d'expert en informatique, soit à titre d'utilisatrice ou
d'utilisateur dans les activés d'enseignement et de recherche, soit à titre
de gestionnaire dont les responsabilités englobent l'utilisation des
technologies de l'information, et auprès des quelque 150 membres du
personnel technique œuvrant dans les facultés et services.
«La finalité du cadre de gestion de la sécurité informatique est de
favoriser la réalisation de la mission de l'Université dans toutes ses
sphères d'activité», précise Martin Buteau, vice-recteur aux ressources
informationnelles. «Pour ce faire, ajoute-t-il, nous avons préconisé une
approche qui privilégie la responsabilité personnelle et collective des
membres de la communauté universitaire afin de protéger les ressources
informationnelles de l'Université et celles utilisées sur une base
sectorielle ou individuelle, d'assurer la qualité des services informatiques
dispensés, de favoriser l'utilisation éthique de ces ressources et de
sensibiliser chaque usagère et usager à la sécurité informatique. Par
conséquent, la directive et les règles tentent de concilier les besoins
communs et individuels, étant entendu que la protection des actifs
universitaires et collectifs a préséance sur les biens et comportements
individuels.»
La mise en œuvre de ce nouveau cadre de gestion s'effectuera avec le
souci d'assurer une transition harmonieuse pour l'ensemble des personnes
concernées. «L'équipe de la sécurité informatique et l'équipe des
télécommunications du Service des technologies de l'information (STI)
veilleront à bien informer et à bien préparer les responsables de secteur à
ces changements, conformément au mode de fonctionnement collaboratif qui
s'est établi entre eux depuis plusieurs années. On ne doit pas craindre
d'interruption de service sans avis et discussion», mentionne Serge Fortier,
directeur du STI.
Sensibilisation et formation
De multiples activités de sensibilisation et de formation, touchant les
responsables de serveurs, le personnel technique, les gestionnaires, le
personnel en général et les étudiantes et étudiants sont prévues dans les
mois qui viennent. «Les actions que notre petite équipe de sécurité a
entreprises avec la collaboration des responsables de secteur nous ont
permis d'améliorer sensiblement la sécurité informatique ces dernières
années, mais il faudra toujours y consacrer beaucoup d'efforts car de
nouvelles vulnérabilités et menaces sont continuellement découvertes. La
nouvelle directive et les nouvelles règles seront des outils précieux pour
combler les lacunes qui subsistent et pour mieux se préparer aux dangers
futurs», souligne Marc Mazuhelli, analyste en sécurité informatique au STI
et animateur du groupe de travail qui a élaboré la directive et les règles
de sécurité informatique. On peut consulter les documents mentionnés
sur le site Web de l'Université :
www.USherbrooke.ca/accueil/documents/reglements/2575-001.pdf;
www.USherbrooke.ca/accueil/documents/procedures/2600-027.pdf
www.USherbrooke.ca/accueil/documents/procedures/2600-028.pdf
Surveillance et vie privée
Le Règlement 2575-001 permet l'utilisation des postes de travail et
de certains équipements à des fins personnelles. Comme l'Université
effectue la surveillance et le contrôle de ses équipements et ressources
par différents moyens informatiques, il en résulte que des données sont
collectées et conservées notamment dans les journaux d'activité des
passerelles de courrier électronique, dans ceux des serveurs de courrier
électronique et dans ceux des coupe-feu. Ces données peuvent servir lors
d'enquêtes effectuées conformément au Règlement 2575-001.
Par conséquent, l'utilisation de ces équipements et ressources
constitue de la part de l'usagère et de l'usager une reconnaissance et
une acceptation qu'elle est sujette à la surveillance de l'Université et
une renonciation, sous réserve de l'article 12.5 du Règlement 2575-001,
à invoquer son droit à la vie privée relativement à cette utilisation et
à cette surveillance. Pour bien sensibiliser les membres de la
communauté universitaire à cette réalité, un rappel sera notamment
diffusé dans différents lieux virtuels institutionnels fortement
fréquentés, tels les protocoles de connexion aux multiples systèmes
d'information de l'Université et les sites Web de certaines unités
administratives. |
Retour à la une |
|
Marc Mazuhelli fait partie de l'équipe qui voit à la sécurité
informatique au Service des technologies de l'information.
Photo : Roger Lafontaine |