Connexion
Connexion

Sécurité de l'information

Vol d'identité

À tout moment, vous pouvez être victime d’un vol d’identité. Il se produit lorsqu’une personne utilise vos renseignements personnels sans votre autorisation pour commettre une fraude ou d’autres crimes. Vos renseignements personnels incluent votre nom, votre date de naissance, votre numéro d’assurance sociale, votre numéro de permis de conduire, votre numéro de carte de crédit, le nom de vos proches, les réponses à vos questions secrètes, vos numéros d’identification personnels et mots de passe, etc. 

Ce que vous devez savoir...

Le vol d’identité est l’utilisation délibérée de votre identité afin d’obtenir un avantage, qui peut être financier ou autre, à votre nom et à votre détriment.

Il cible vos renseignements personnels, qui peuvent être obtenus d’une multitude de façons  :

  • Votre profil sur les médias sociaux
  • Vos publications sur les médias sociaux
  • Vos photos accessibles sur Internet
  • Un vol de données vous concernant
  • Extrait de votre curriculum vitae

Il conduit à des effets néfastes sur vos activités quotidiennes.

Scénario plausible 

Vous tentez de vous connecter à votre compte de courriel sans succès. Il s’ensuit la séquence hypothétique suivante :

• La personne a réussi, par un vol de données ou par escroquerie, à obtenir accès à votre compte de courriel.

• Elle a modifié votre mot de passe et vos autres informations d’identification.

• Tant que je ne vous vous en rendez pas compte, elle peut effectuer des actions à partir de ce compte de courriel. Par exemple :

  • Modifier votre mot de passe pour un compte bancaire pour effectuer des versements Interact;
  • Changer vos informations de contact pour d’autres services, comme votre ordre professionnel;
  • Écrire des messages haineux en votre nom à d’autres personnes.

• Il vous est difficile de retrouver vos accès, car vous devez prouver votre identité réelle. Vous devrez probablement vous présenter en personne avec des cartes d’identité avec photo.

• Comme vous n'avez aucune assurance en cas de vol d’identité, vous devez payer des frais.

• Vous devez surveiller vos rapports de crédit, afin de vous assurer qu’on n’a pas ouvert un compte, demandé une marge de crédit ou une carte de crédit à votre nom.

• Vous surveillerez l’arrivée de tout état de compte pour des achats que vous n'avez pas effectués. 

Les sections ci-dessous présentent notamment les caractéristiques du vol d'identité, ses causes et effets, comment le prévenir et réagir si cela se produit, ce qui est attendu par la Directive relative à l'utilisation, à la gestion et à la sécurité des actifs informationnels ainsi que les formations qui me sont rendues accessibles par l’Université.

Causes et effets

La cause principale est le vol de données. La seconde cause est un manque de sensibilisation de la personne qui divulgue des informations sensibles la concernant sur des sites Web, des médias sociaux, par courriel, etc.

Lorsque vous êtes victime d’un vol d’identité, vous pouvez être tenue responsable des actes de l’auteur.

Les quatre principaux effets sont :

  1. Détresse
  2. Pertes financières personnelles
  3. Mauvais dossier de crédit
  4. Poursuites judiciaires injustifiées

Prévention

Les conseils de prévention qui suivent sont spécifiques à l’Université de Sherbrooke, bien qu’ils puissent être généralisés. Ainsi, vous devriez toujours :

• Vous assurer que vous fichiers sont sauvegardés par un moyen dont le rançongiciel n’aura pas accès. Par exemple, l’Université effectue ses sauvegardes par l'utilisation d'un système dédié;

• Vérifier l’expéditeur, le contenu et les destinataires d’un message :

  • Est-ce que vous connaissez l’expéditeur? L'adresse est-elle bien écrite?
  • Le contenu vous semble-t-il anormal? Est-ce qu'il y a une pièce jointe inattendue? S’il y a un lien cliquable, est-il bien écrit?
  • Êtes-vous le seul destinataire ou semble-t-il y avoir plusieurs destinataires plus ou moins pertinents?

• Vérifier un hyperlien et le site Web qui apparaît pour toute anomalie. Dans le doute, abstenez-vous et demandez l’aide du service informatique.

• Conserver le secret de vos mots de passe, les jetons numériques et autres moyens d’authentification, qui ne doivent pas être échangés, partagés ou divulgués avec une autre personne, qu’elle soit dans votre cercle intime ou en autorité. Un gestionnaire de mots de passe est disponible pour les personnes qui requièrent plusieurs mots de passe;

• Installer un antivirus et un pare-feu sur vos appareils;

• Maintenir vos logiciels à jour.

Réaction

Si vous découvrez que votre identité a été usurpée, même si c'est incertain, vous réagissez rapidement en contactant votre service informatique facultaire ou bien le service à la clientèle du Service des technologies de l’information par téléphone (poste 74444), par courriel ou directement par CASIUS

Si cela concerne votre identité hors Université, vous contactez votre service local de maintien de l’ordre afin de déclarer l’incident. Vous pouvez également obtenir des conseils sur la marche à suivre sur le site du Centre antifraude du Canada

Directive de l'Université

La section 5.2 « Comportements interdits » de la Directive relative à l’utilisation, à la gestion et à la sécurité des actifs informationnels stipule qu'il est interdit de...

  1. falsifier son identité
  2. usurper l’identité d’une autre personne, d’un groupe ou d’une organisation
 Que devez-vous éviter de faire?

Au niveau de l’utilisation des actifs informationnels, vous évitez de :

• Selon la section « 5.2 Comportements interdits »

  • Utiliser un système gratuit sur l’Internet pour conserver des données confidentielles et des renseignements personnels.

• Selon la section « 5.3 Sécurité de l’identifiant et de l’authentifiant »

  • Partager vos mots de passe, vos jetons numériques et les autres moyens d’authentification pour accéder à un actif informationnel de l’Université.
Que devez-vous faire?

Au niveau de l’utilisation des actifs informationnels, vous devez :

• Selon la section «  5.4 Communication d’informations confidentielles, sensibles ou personnelles »

  • Protéger la confidentialité de mes renseignements personnels;
  • Préférer un formulaire Web officiel ou un appel téléphonique pour fournir mes renseignements personnels à des fins autorisées.

Selon la section « 5.7 Fins personnelles »

  • Respecter la directive, même s’il s’agit d’informations ou d’utilisation pour des fins personnelles, puisque tout actif informationnel utilisé à des fins personnelles est réputé être détenu par l’Université.

• Selon la section « 5.9 Protection des actifs informationnels »

  • Signaler une compromission potentielle ou réelle à mon identité concernant l’Université;
  • Contacter rapidement le service à la clientèle du Service des technologies de l’information par téléphone (poste 74444), par courriel ou directement par CASIUS.

Au niveau de la gestion des actifs informationnels, vous devez :

• Selon la section « 6.2 Configuration et mises à jour »

  • Configurer adéquatement un actif informationnel et le tenir à jour;
  • Vous référer à son service informatique facultaire ou au service à la clientèle du STI pour tout soutien nécessaire à la configuration d’un actif ou pour vous assurer que les mises à jour sont effectuées adéquatement.

• Selon la section « 6.3 Développement de logiciel »

  • Utiliser des données de test construites à partir du néant.

• Selon la section « 6.4 Droits d’accès »

  • Vérifier périodiquement les règles d’accès que vous avez mises en place aux 3, 6 ou 12 mois selon la criticité de l’actif informationnel afin que seuls les utilisatrices et utilisateurs autorisés y aient accès.

• Selon la section « 6.6 Mobilité »

  • Ranger votre appareil mobile, tels un téléphone cellulaire, une tablette ou un portable de façon sécuritaire. Le lieu de rangement ne devrait pas être facilement accessible et ne devrait pas laisser entrevoir l’appareil mobile;
  • Avertir rapidement le service informatique facultaire ou le Service des technologies de l’information de la perte ou du vol d’un appareil mobile;
  • Sur un appareil mobile, crypter mes informations confidentielles
  • Le cryptage d’un ordinateur portable de l’Université a été activé par le Service des technologies de l’information;
  • Le cryptage d’un appareil Apple est automatique si un code, une empreinte ou le visage est nécessaire pour le déverrouiller;
  • Le cryptage d’un appareil Android s’effectue dans la section Réglages (roue dentée), dans l’onglet Sécurité et dans les paramètres de chiffrement en cliquant  sur l’option « Chiffrer le téléphone ». 

Formation

Pour vous aider dans votre compréhension sur le vol de données, l’Université vous offre la nano-formation « Protection de l’information sensible – Traitement de l’information » et la micro-formation « Usurpation d’identité d’un haut dirigeant par courriel  qui durent moins de 3 minutes.

Suivre la formation