Vol de données

Les cas documentés concernent le vol de données représentent un nombre astronomique de personnes impactées. 

Ce que vous devez savoir...

Le vol de données concerne l’ensemble des informations que vous conservez ou manipulez sur vous-mêmes, vos proches, l’Université et d’autres organisations.

Il cible toute information qui a une valeur, qu’elle soit intrinsèque ou combinée, telle que :

  • Renseignements personnels que ce soit les vôtres, de vos proches ou d'autres personnes
  • Appel d’offres en cours de rédaction
  • Curriculum vitae
  • Description d'invention
  • Données de recherche
  • Entente
  • Évaluation à venir
  • Proposition d’affaires
  • Notes de cours
  • Résultats non publiés
  • Travaux remis

Il conduit à la destruction accidentelle ou illégale, à la perte, à l'altération, à la divulgation non autorisée ou à l'accès aux données protégées transmises, stockées ou autrement traitées par vous pour l’Université.

Scénario plausible

Vous oubliez votre téléphone intelligent à la salle de bain. Il s’ensuit la séquence hypothétique suivante :

• La personne qui trouve votre téléphone préfère le conserver pour l'étudier

• Elle désactive la localisation, afin de ne pas être repérée

• Comme vous n'avez malheureusement pas de mot de passe pour activer votre téléphone, elle accède à vos courriels, à votre liste de contacts, à vos applications :

  • Dans vos courriels, elle y trouve les prochaines évaluations pour votre cours, vos rapports de recherche non publiés, des sollicitations que vous avez reçues d’étudiants internationaux, etc.
  • Dans votre liste de contacts, elle retrouve vos coordonnées personnelles et celles de vos proches.
  • En regardant vos applications bancaires installées, bien que protégées, elle sait maintenant avec quelles institutions vous traitez.
  • Dans votre liste de choses à faire, elle comprend que votre passeport est à renouveler d’ici 1 mois.
  • Votre application domotique de surveillance à distance permet de voir s’il y a quelqu’un dans votre demeure et ce qu’ils y font
  • Votre application d’achats en ligne permet d’effectuer plusieurs achats inutiles et vous devrez retourner. 

Les sections ci-dessous présentent notamment les caractéristiques du vol de données ses causes et effets, comment le prévenir et réagir si cela se produit, ce qui est attendu par la Directive relative à l'utilisation, à la gestion et à la sécurité des actifs informationnels ainsi que les formations qui me sont rendues accessibles par l’Université.

Définition

Le vol de données concerne l’ensemble des informations que je conserve ou manipule sur moi-même, mes proches, l’Université et d’autres organisations.

Il cible toute information qui a une valeur, qu’elle soit intrinsèque ou combinée, tel que :

 

  • Renseignements personnels que ce soit les miens, de mes proches ou d'autres personnes
  • Appel d’offres en cours de rédaction
  • Curriculum vitae
  • Description d'invention
  • Données de recherche
  • Entente
  • Évaluation à venir
  • Proposition d’affaires
  • Notes de cours
  • Résultats non publiés
  • Travaux remis

Il conduit à la destruction accidentelle ou illégale, à la perte, à l'altération, à la divulgation non autorisée ou à l'accès aux données protégées transmises, stockées ou autrement traitées par moi pour l’Université.

Causes et effets

La cause principale est l’erreur humaine selon Kroll, usuellement lorsqu’une personne gère mal les destinataires de ses courriels, les accès à un document partagé ou la configuration d’un logiciel. La seconde cause provient d’une vulnérabilité d’un logiciel, notamment s’il n’est pas régulièrement mis à jour.

Lorsque je vous êtes victime d’un vol de données, vous mettez votre vie privée à risque et  vous impliquez d’autres personnes sans le vouloir.

Les quatre principaux effets sont :

  1. Atteinte à la réputation de l’Université;
  2. Augmentation du risque d’escroquerie, surtout lorsque des renseignements personnels sont en cause;
  3. Pertes financières pour l’Université, notamment puisque chaque personne qui a été victime du vol doit être informée;
  4. Poursuites judiciaires selon les dommages potentiels ou réels subis.

Prévention

Les conseils de prévention qui suivent sont spécifiques à l’Université de Sherbrooke, bien qu’ils puissent être généralisés. Ainsi, vous devriez toujours :

• Vous assurer que vous fichiers sont sauvegardés par un moyen dont le rançongiciel n’aura pas accès. Par exemple, l’Université effectue ses sauvegardes par l'utilisation d'un système dédié;

• Vérifier l’expéditeur, le contenu et les destinataires d’un message :

  • Est-ce que vous connaissez l’expéditeur? L'adresse est-elle bien écrite?
  • Le contenu vous semble-t-il anormal? Est-ce qu'il y a une pièce jointe inattendue? S’il y a un lien cliquable, est-il bien écrit?
  • Êtes-vous le seul destinataire ou semble-t-il y avoir plusieurs destinataires plus ou moins pertinents?

• Vérifier un hyperlien et le site Web qui apparaît pour toute anomalie. Dans le doute, abstenez-vous et demandez l’aide du service informatique.

• Conserver le secret de vos mots de passe, les jetons numériques et autres moyens d’authentification, qui ne doivent pas être échangés, partagés ou divulgués avec une autre personne, qu’elle soit dans votre cercle intime ou en autorité. Un gestionnaire de mots de passe est disponible pour les personnes qui requièrent plusieurs mots de passe;

• Installer un antivirus et un pare-feu sur vos appareils;

• Maintenir vos logiciels à jour.

Réaction

Si vous découvrez que votre appareil a été égaré ou que des données ont été volées, même si c'est incertain, vous réagissez rapidement en contactant votre service informatique facultaire ou bien le service à la clientèle du Service des technologies de l’information par téléphone (poste 74444) ou directement par Casius

Directive de l'Université

La section 5.2 « Comportements interdits » de la Directive relative à l’utilisation, à la gestion et à la sécurité des actifs informationnels stipule notamment qu'un tiers ne peut pas utiliser un actif informationnel sans autorisation, ce qui inclut le consentement. 

En effet, il est interdit de prendre connaissance, de modifier, de détruire, de déplacer, de décoder, de chiffrer, de déchiffrer ou de divulguer, en tout ou en partie, un actif informationnel, et ce, sans autorisation.

Que devez-vous éviter de faire?

Au niveau de l’utilisation des actifs informationnels, vous évitez de :

• Selon la section « 5.2 Comportements interdits »

  • Stocker des renseignements personnels ou confidentiels dans des environnements non autorisés par l’Université;
  • Utiliser un système gratuit sur l’Internet pour conserver des données confidentielles et des renseignements personnels.

• Selon la section « 5.3 Sécurité de l’identifiant et de l’authentifiant »

  • Partager vos mots de passe, vos jetons numériques et les autres moyens d’authentification pour accéder à un actif informationnel de l’Université.
Que devez-vous faire?

Au niveau de l’utilisation des actifs informationnels, vous devez  :

•  Selon la section «  5.4 Communication d’informations confidentielles, sensibles ou personnelles »

  • Protéger la confidentialité d’un renseignement personnel;
  • Préférer un formulaire Web ou un appel téléphonique pour obtenir des renseignements personnels à des fins autorisées.

Selon la section « 5.5 Enregistrement de données ou de documents »

  • Analyser les impacts sur la confidentialité des documents, contenant des renseignements personnels, des informations confidentielles, des brevets ou des secrets sont partagés au moyen d’un autre moyen que l’infonuagique institutionnelle;
  • Pour des informations sensibles, préférer l’infonuagique institutionnelle.

• Selon la section « 5.7 Fins personnelles »

  • Respecter la directive, même s’il s’agit d’informations ou d’utilisation pour des fins personnelles, puisque tout actif informationnel utilisé à des fins personnelles est réputé être détenu par l’Université.

• Selon la section « 5.9 Protection des actifs informationnels »

  • Signaler une compromission potentielle ou réelle à un actif informationnel;
  • Contacter rapidement le service à la clientèle du Service des technologies de l’information par téléphone (poste 74444) ou directement par Casius.

Au niveau de la gestion des actifs informationnels, vous devez :

• Selon la section « 6.2 Configuration et mises à jour »

  • Configurer adéquatement un actif informationnel et le tenir à jour;
  • Vous référer à son service informatique facultaire ou au service à la clientèle du STI pour tout soutien nécessaire à la configuration d’un actif ou pour vous assurer que les mises à jour sont effectuées adéquatement.

• Selon la section « 6.3 Développement de logiciel »

  • Utiliser des données de test construites à partir du néant;
  • Si pour des raisons de réalisme de tests vous devez rendre anonymes des données existantes, assurez-vous que la technique utilisée ne permet pas d’identifier des personnes.

• Selon la section « 6.4 Droits d’accès »

Vérifier périodiquement les règles d’accès mises en place;

  • La gestion des droits d’accès est fondamentale. Il est important de vérifier périodiquement (aux 3, 6 ou 12 mois selon la criticité de l’actif informationnel) que seuls les utilisatrices et utilisateurs autorisés ont accès.

Selon la section « 6.6 Mobilité »

  • Ranger un appareil mobile, tels un téléphone cellulaire, une tablette ou un portable, contenant de l’information appartenant à l’Université, de façon sécuritaire;
  • Le lieu de rangement ne devrait pas être facilement accessible et ne devrait pas laisser entrevoir l’appareil mobile;
  • Avertir rapidement le service informatique facultaire ou le Service des technologies de l’information de la perte ou du vol d’un appareil mobile;
  • Il existe de nombreuses actions que l’Université peut effectuer lorsque vous perdez un appareil mobile, dont l’effacer à distance lorsque c’est possible ou bloquer votre compte;
  • Sur un appareil mobile, crypter les informations confidentielles appartenant à l’Université : ordinateur portable a été activé par le Service des technologies de l’information, appareil Apple est automatique si un code, une empreinte ou le visage est nécessaire pour le déverrouiller et un appareil Android s’effectue dans la section Réglages (roue dentée), dans l’onglet Sécurité et dans les paramètres de chiffrement en cliquant sur l'option « Chiffrer le téléphone ».

Formation

Pour vous aider dans votre compréhension sur le vol de données, l’Université vous offre la nano-formation « Protection de l’information sensible – Traitement de l’information » qui dure moins de 3 minutes et ces formations :

• « Appareils mobiles », 5 minutes

  • Comprendre pourquoi les organisations classifient leurs informations
  • S’exercer à classifier les informations selon leur niveau de sensibilité
  • Appliquer les bonnes pratiques associées au traitement de l’information en fonction de son niveau de classification

• «  Classification de l’information », 5 minutes

  • Comprendre les vulnérabilités inhérentes aux appareils mobiles
  • Apprendre comment préserver la sécurité et l’intégrité des appareils mobiles
  • Appliquer les bonnes pratiques pour réduire le risque de perte ou de vol d’appareils, ainsi que d’infections par logiciels malveillants

 • « Contrôle de l’accès », 7 minutes

  • Apprendre pourquoi les organisations doivent contrôler l’accès à leurs réseaux et systèmes
  • Comprendre les processus en cause dans l’attribution et la surveillance de l’accès
  • Appliquer les bonnes pratiques pour réduire le risque d’accès non autorisé à l’information

Suivre la formation