Normes de sécurité informatique - fondation.banq.qc.ca · 1 NORMES DE SÉCURITÉ INFORMATIQUE DE LA FONDATION DE BIBLIOTHÈQUE ET ARCHIVES NATIONALES DU QUÉBEC 1. Sommaire Ce document

1

NORMES DE SÉCURITÉ INFORMATIQUE DE LA FONDATION DE

BIBLIOTHÈQUE ET ARCHIVES NATIONALES DU QUÉBEC

1. Sommaire

Ce document contient les normes en matière de sécurité informatique de la Fondation de Bibliothèque et

Archives nationales du Québec, ci-après « la Fondation ». Ces normes visent la protection des actifs

informationnels et des environnements informatiques de la Fondation. Elles correspondent aux pratiques

implantées de plus en plus par les organisations responsables et soucieuses de la protection de leurs actifs

informationnels. La conformité à ces normes est obligatoire et sujette à vérification.

Ces normes imposent l’utilisation d’un identifiant unique ainsi que d’un mot de passe pour accéder aux

systèmes informatiques de la Fondation. Ce mot de passe doit être changé régulièrement en plus de

correspondre à certains critères de qualité et de robustesse. L’utilisateur d’un code d’accès est responsable

et imputable des actes posés avec son identifiant.

Les systèmes informatiques de la Fondation ne doivent être utilisés qu’à des fins de travail. La Fondation

n’approuve pas l’utilisation de modems dans ses postes de travail, sauf dans le cas des ordinateurs

portables. Les accès à distance doivent s’effectuer par le biais d’un réseau privé virtuel (VPN) ou de tout

autre système sécurisé.

Les accès aux systèmes informatiques sont révoqués ou modifiés lorsque la situation l’exige, par exemple

dans le cas de mutation, promotion, départ volontaire ou non. Les identifiants confiés au personnel

temporaire doivent avoir une date d’expiration correspondant à la fin du mandat ou contrat de la personne

concernée.

La classification des ressources informationnelles permet à la Fondation d’établir une base servant à la

protection contre la perte, l’usage abusif, la divulgation non autorisée, etc. Lorsque des ressources

informationnelles sont créées par le détenteur, elles doivent être évaluées afin de déterminer quelle

classification est requise pour cette ressource. Les ressources existantes au moment de la mise en place de

la présente norme devront faire l’objet d’une évaluation similaire par les détenteurs. Par ailleurs, le

détenteur d’une ressource informationnelle doit spécifier à qui (poste occupé, individu) cette ressource doit

être accessible.

Les ressources d’exploitation doivent faire l’objet d’une protection particulière, car certaines d’entre elles

pourraient permettre de contourner les mécanismes de sécurité ou de les désactiver. Les postes de travail

de la Fondation doivent être protégés contre les virus informatiques et cette protection doit faire l’objet

d’une mise à jour périodique (signature des virus). Seuls les logiciels pour lesquels la Fondation détient

une licence d’utilisation en bonne et due forme peuvent être utilisés dans l’environnement informatique de

la Fondation.

Les privilèges systèmes, de même que l’autorité administrative de sécurité, font l’objet d’un encadrement

particulier, tout d’abord à fin de vérification et aussi afin de prévenir toute situation d’abus d’autorité dans

Adoptée le 11 février 2016 2

l’utilisation de ces privilèges. L’attribution de permissions d’accès à toute ressource informationnelle doit

faire l’objet d’une demande en bonne et due forme. La programmation d’une permission d’accès doit faire

l’objet d’une journalisation et cette fonction de journalisation doit être active en tout temps.

Les tentatives pour accéder à une ressource non autorisée doivent faire l’objet d’une journalisation et d’un

suivi. Il en est de même pour les accès en mise à jour pour les ressources d’exploitation ou certaines

ressources utilisateurs plus sensibles que d’autres (selon le détenteur). Les journaux systèmes et sécurité

doivent faire l’objet d’une protection particulière.

Des rapports doivent être produits à partir des journaux systèmes et sécurité pour détecter toute activité

illicite ou tentative de telle activité, y compris les attaques systématiques. Lorsque de tels événements sont

détectés, les suivis appropriés doivent être effectués.

L’environnement dit de production est l’environnement où sont effectivement exploités les systèmes

d’information de la Fondation. Les différentes tâches et activités reliées à l’exploitation des systèmes dits

en production doivent faire l’objet d’une séparation visant à prévenir l’exécution de toute tâche

incompatible par le même personnel. Aussi, toute modification à un tel environnement de production doit

être vérifiable. Ceci inclut évidemment toute activité de support ou de dépannage.

Lorsque de telles activités seront effectuées par du personnel externe (par exemple, un fournisseur de

logiciels), les normes prévoient des protocoles d’intervention précis en cas de problème et aussi en cas de

mise en place d’une nouvelle version de logiciel.

En plus de faire l’objet d’une protection efficace contre les virus informatiques, les postes de travail de la

Fondation doivent être munis d’un dispositif de mise en veille avec mot de passe ainsi que d’un

mécanisme de verrouillage immédiat, permettant à tout utilisateur de laisser son poste de travail protégé

lorsqu’il doit le quitter temporairement, mais sans attendre le déclenchement du dispositif de mise en

veille. De plus, seul le personnel autorisé peut procéder à l’installation de logiciels sur les postes de

travail. Les ordinateurs portatifs fournis par la Fondation doivent être munis d’un mécanisme de

chiffrement pour protéger les ressources informationnelles classifiées Fondation Confidentiel.

Les employés de la Fondation qui ont la possibilité d’utiliser le réseau Internet BAnQ au moyen des

facilités mises à leur disposition par la Fondation ou BAnQ ne doivent utiliser cet outil que pour des

activités reliées à leur travail pour la Fondation. Le téléchargement de logiciels à partir du réseau Internet

dans l’environnement informatique de la Fondation est réservé au personnel autorisé seulement, et les

précautions d’usage doivent être prises contre les virus informatiques. L’accès aux sites contenant du

matériel offensant est interdit et des contrôles doivent être mis en place pour détecter les accès à ces sites.

Le matériel offensant trouvé sur les équipements informatiques de la Fondation pourra être détruit sur le

champ, sauf dans les cas où ce matériel fait partie des éléments de preuve dans une cause criminelle.

L’utilisation du réseau Internet doit se faire à travers un mécanisme de type coupe-feu. Les adresses IP des

postes de travail de la Fondation ne doivent pas circuler sur ce réseau. L’utilisation des postes ouverts au

public fait l’objet d’un encadrement particulier, ceci afin de protéger l’image de la Fondation dans

l’éventualité d’une utilisation abusive ou illégale de ces postes. La plus grande confidentialité doit entourer

cet encadrement qui ne doit être utilisé que dans le cas d’enquêtes policières.

Les outils de courrier électronique mis à la disposition des employés de la Fondation, des consultants,

contractuels, fournisseurs ou toute autre personne travaillant de façon temporaire ou permanente pour la

Fondation, ne doivent être utilisés qu’à des fins de travail seulement. L’utilisation desdits outils est sujette

à vérification par la Fondation et BAnQ en tout temps. Toute information classifiée Fondation

Confidentiel doit être chiffrée avant d’être transmise. Les options de sécurité avancée doivent être

spécifiées par défaut sur les postes client du courrier électronique, plus spécifiquement, mais sans se

limiter aux options de signature et de scellement des messages.


Les normes incluent une version originale du registre d’autorité. Les systèmes d’information actuels et à

venir y sont inscrits. Ce registre devra faire l’objet de mises à jour suivant l’évolution de l’environnement

informatique de la Fondation.

Un processus d’évaluation et d’acceptation des risques est également inclus dans ces normes. Les

responsabilités y sont partagées entre le détenteur d’un système d’information et le directeur des

technologies de l’information et des télécommunications. On y tient compte du niveau de risque, des

impacts potentiels, de la probabilité d’occurrence ainsi que du niveau d’expertise requis pour exploiter la

faiblesse. On doit également justifier la dérogation à la norme et aussi minimiser les risques dans la

mesure du possible. Pour terminer, un formulaire d’acceptation des risques n’est valable que pour un an.

2. Introduction

2.1 Objectifs

L’objectif poursuivi par ces normes est d’établir des pratiques visant la protection des

renseignements personnels et celle de l’information concernant les affaires de la Fondation de

Bibliothèque et Archives nationales du Québec, ainsi que de ses environnements informatiques,

conformément à la Politique de la Fondation de Bibliothèque et Archives nationales du Québec en

matière de sécurité informatique de l’information et des actifs informationnels.

2.2 Portée

Cette norme définit les pratiques à implanter en termes de mesures de contrôle dans les systèmes et

réseaux où le traitement des affaires de la Fondation est effectué, et où la disponibilité, l’intégrité et

la confidentialité font partie des attentes des détenteurs des systèmes d’information de la Fondation

et de ses utilisateurs.

2.3 Conformité

La conformité à cette norme est obligatoire et sujette à vérification.

2.4 Transgressions

Les infractions au Code criminel seront rapportées aux autorités policières et des plaintes seront

portées en conséquence.

Les transgressions à la présente norme seront traitées selon les règles applicables en matière de

discipline, s’il y a lieu.

2.5 Dérogation

Toute dérogation à la présente norme doit être justifiée, documentée et faire l’objet d’une

acceptation de risque de la part de la Direction générale de la Fondation.

3. Identification et authentification des utilisateurs

L’équipement informatique de la Fondation, ainsi que les logiciels dont la Fondation détient une licence

d’utilisation sont réservés exclusivement à l’usage des employés de la Fondation, ainsi qu’à tout dirigeant,

de la Fondation, intervenant externe, consultant, contractuel ou fournisseur, dûment autorisé par la

Fondation. Chaque utilisateur autorisé doit s’identifier au système informatique et doit être en mesure de

prouver cette identité. Cette identification s’effectue par le biais d’un code d’accès et l’authentification, à

l’aide d’un mot de passe.

3.1 Les codes d’accès aux systèmes

Un code d’accès à un système informatique est réservé à l’usage exclusif d’une seule et unique

personne. Ce code d’accès doit être validé par le système informatique lors du début d’une session

de travail, quelle que soit la plate-forme technologique utilisée. Le code d’accès en question devra

de plus être revalidé après une période de 15 minutes d’inactivité.


3.2 Les mots de passe

Le mot de passe doit faire l’objet d’une vérification au début de chaque session de travail, et sert à

authentifier l’utilisateur détenteur du code d’accès. Ce mot de passe est strictement confidentiel. Il

doit être mémorisé et ne doit pas être écrit. L’utilisateur doit prendre des mesures raisonnables pour

préserver la confidentialité de son mot de passe. Il veillera notamment à ne pas le divulguer à

d’autres personnes. Le mot de passe est personnel, c’est la signature de l’utilisateur. Il engage sa

responsabilité lorsqu’il accède aux systèmes d’information.

3.2.1 Qualité et robustesse des mots de passe

Le mot de passe constitue la première ligne de défense dans l’ensemble des mesures mises en place

pour protéger les ressources informationnelles de la Fondation. Il doit donc correspondre à certains

critères de sécurité, de qualité et de robustesse.

Il doit :

1. Avoir une longueur minimale de 8 caractères ;

2. Être différent des trois derniers mots de passe ;

3. Être différent du nom, du prénom et du code d’accès de l’utilisateur;

4. Contenir des caractères appartenant à au moins trois des quatre catégories suivantes :

Caractères majuscules (A - Z)

Caractères minuscules (a - z)

Chiffres de 0 à 9

Caractères non-alphanumériques (par exemple !, $, # ou %)

Il ne doit pas :

1. Contenir plus de deux (2) caractères répétitifs ;

2. Correspondre à des chaînes de caractères consécutifs sur le clavier;

3. Comporter plus de deux caractères inclus dans le nom de compte de l’utilisateur;

4. Être facile à deviner ;

5. Correspondre à une terminologie typique de BANQ.

3.2.2 Changement des mots de passe

Le mot de passe doit être changé tous les trente (30) jours et ce changement doit être imposé par le

système informatique, quelle que soit la plate-forme technologique.

3.2.3 Ré-initialisation d’un mot de passe

Lorsqu’un utilisateur oublie son mot de passe, il peut le faire ré-initialiser par une personne

responsable des technologies de l’information et des télécommunications de la Fondation. Dans un

tel cas, le mot de passe émis par la personne responsable ne doit être valide qu’une seule fois, c’est-

à-dire qu’il doit expirer dès sa première utilisation. L’utilisateur doit donc le changer en conformité

avec les critères précédemment énoncés. La personne responsable des technologies de l’information

est responsable de l’élaboration et de la mise en place d’un processus d’identification positive lors

de la ré-initialisation d’un mot de passe pour un utilisateur.

3.2.4 Mot de passe administrateur

Le compte « Administrateur » représente le compte utilisateur le plus à risque dans un système

d’exploitation dû à ses droits d’accès illimités. Il est donc primordial de contrôler son utilisation

ainsi que de renforcer la sécurité de son mot de passe. Le mot de passe du compte

« Administrateur » doit donc respecter les critères suivants:

Il doit être modifié tous les trente (30) jours par l’administrateur de réseaux.

Il doit être conservé dans une enveloppe scellée à un endroit sécuritaire. Cette enveloppe

devra être utilisée seulement lors d'une urgence où l'administrateur de réseau n'est pas

présent. Lorsque l'enveloppe sera utilisée, le mot de passe devra être modifié aussitôt que

possible et une nouvelle enveloppe devra être créée.


Seulement l'administrateur de réseaux doit connaître le mot de passe du compte

« Administrateur ».

Le mot de passe doit avoir une longueur minimale de 8 caractères et être une combinaison de

lettres, de chiffres et d'un caractère spécial (!,+,$,-,%,?,&,*,#,|,...). De plus, tous les mots de

passe des comptes ayant des droits d'administrateur doivent respecter ces critères.

Le compte administrateur doit être utilisé seulement par l'administrateur de réseaux et en

aucun cas son mot de passe ne doit être divulgué à un employé ou un consultant (à moins

d'une urgence où l'enveloppe devra être utilisée).

3.2.5 Mots de passe d’installation

Dans plusieurs cas, des produits sont expédiés avec un mot de passe par défaut ; ces mots de passe

doivent être changés par la personne responsable des technologies de l’information de la Fondation

dès que le processus d’installation est complété. Aucun mot de passe par défaut, ou mot de passe

d’installation ne doit être conservé tel quel. La conservation de ces mots de passe doit se faire dans

la plus stricte confidentialité, tout en assurant sa disponibilité immédiate le cas échéant.

3.3 Utilisation d’un code d’accès

Le détenteur d’un code d’accès aux systèmes informatiques de la Fondation est responsable et

imputable des actes posés avec son code d’accès. Ce code doit donc être géré et utilisé en

conformité avec les règles précédemment énoncées.

3.3.1 Absence temporaire

Lors d’une absence temporaire pendant laquelle le code d’accès d’un détenteur doit être utilisé par

quelqu’un d’autre pour assurer la continuité d’une ou plusieurs activités, le détenteur doit aviser par

écrit son supérieur immédiat de la situation, en spécifiant par qui, pour combien de temps et pour

quelle raison son code d’accès doit être utilisé par quelqu’un d’autre. Une copie conforme de cet

avis doit être remise au coordonnateur de la sécurité informatique. À son retour au travail, le

détenteur doit modifier son mot de passe immédiatement.

3.4 Utilisation pour fins de travail seulement

Les équipements informatiques ainsi que les logiciels fournis par la Fondation à ses employés,

contractuels, consultants et fournisseurs ne doivent être utilisés qu’à des fins de travail. Toute

utilisation pour des fins personnelles est interdite. L’utilisation de ces équipements et logiciels peut

être vérifiée par la Fondation en tout temps.

3.5 Utilisation des modems et accès à distance

L’accès aux systèmes informatiques de la Fondation par le biais de modems et de lignes commutées

constitue un risque pour l’environnement informatique de la Fondation. Ce type d’accès doit faire

l’objet d’un processus d’authentification additionnel à celui des mots de passe.

À l’exception des ordinateurs portatifs, l’installation de modems dans les postes de travail est

prohibée. Dans le cas des ordinateurs portatifs, l’utilisation des modems à l’intérieur des locaux

administratifs est prohibée. Les modems ne doivent pas être placés en mode réponse (Auto-

Answer=YES ou paramètre équivalent).

L’accès à distance au réseau de la Fondation doit se faire par réseau privé virtuel (VPN). Le VPN

doit avoir été installé préalablement par une personne autorisée de la Fondation sur un ordinateur

portable de la Fondation.

3.6 Révocation des privilèges d’accès

3.6.1 Départ d’un utilisateur

Lorsqu’un utilisateur quitte la Fondation, prend un congé prolongé de plus d’un mois, ou n’a plus un

besoin de travail valide justifiant des accès aux systèmes informatiques de la Fondation, son


gestionnaire doit en aviser la personne responsable des technologies de l’information de la

Fondation, ainsi que les détenteurs des systèmes d’information auxquels il a accès. La personne

responsable des technologies de l’information de la Fondation doit disposer d’un processus et/ou de

contrôles techniques permettant d’interdire l’accès aux systèmes immédiatement après la réception

de l’avis du gestionnaire.

3.6.2 Mutation d’un utilisateur

Le gestionnaire d’un employé faisant l’objet d’une mutation doit aviser le(s) détenteur(s) des

systèmes d’information auxquels celui-ci a accès dans le cadre de son travail, ainsi que la personne

responsable des technologies de l’information de la Fondation, de ce mouvement de personnel. On

doit alors s’assurer que les privilèges d’accès qui ne sont plus nécessaires soient effectivement

retirés au code d’accès de l’utilisateur concerné.

3.6.3 Congédiement

Lors d’un congédiement, le gestionnaire de la personne concernée doit aviser la personne

responsable des technologies de l’information de la Fondation de l’événement avant le fait. Ce

dernier doit voir au retrait des privilèges d’accès de la personne concernée avant qu’elle ne soit

avisée de son congédiement. Le tout doit se dérouler dans la plus stricte confidentialité.

3.6.4 Accueil de nouveaux employés

Lors de l’arrivée d’un(e) nouvel(le) employé(e), la personne responsable des Ressources humaines

de la Fondation doit l’informer de l’existence de la politique de sécurité de l’information, ainsi que

des normes de sécurité informatique, et ensuite lui faire signer un accusé de réception à cet effet.

3.6.5 Personnel temporaire

Les codes d’utilisateur confiés au personnel temporaire (consultants, contractuels, fournisseurs ...)

doivent obligatoirement porter une date d’expiration correspondant à la fin prévue du contrat ou du

mandat. En cas de prolongation ou de renouvellement, une nouvelle date d’expiration devra être

fournie.

3.6.6 Révision semestrielle des codes d’accès

La personne responsable des technologies de l’information de la Fondation est responsable de la

mise en place d’un processus permettant d’identifier, parmi les codes d’accès aux composantes de

l’environnement informatique de la Fondation , ceux qui n’ont pas été utilisés durant une période

supérieure à 90 jours, d’aviser le gestionnaire du détenteur présumé de ces codes d’accès et, le cas

échéant, de les détruire. Cette révision doit être effectuée aux six mois et être vérifiable.

4. Définition et protection des ressources informationnelles

Les ressources informationnelles peuvent prendre la forme de textes, de programmes ou de données. Les

ressources appartenant à des individus ou à des groupes sont des ressources utilisateurs. Les ressources

reliées aux fonctions ou services de systèmes sont des ressources d’exploitation.

4.1 Classification des ressources

La classification des ressources informationnelles permet à la Fondation d’établir une base servant à

la protection contre la perte, l’usage abusif, la divulgation non autorisée, etc. Lorsque des ressources

informationnelles sont créées par le détenteur d’un système d’information, elles doivent être

évaluées afin de déterminer quelle classification est requise pour cette ressource. Les ressources

existantes au moment de la mise en place de la présente norme devront faire l’objet d’une évaluation

similaire par les détenteurs.

Le détenteur d’une ressource est responsable de sa classification selon le plan de classement de

la Fondation;


La personne responsable des technologies de l’information de la Fondation n’est pas

responsable de s’assurer que les détenteurs des ressources informationnelles se conforment à la

norme de classification qui est cependant sujette à vérification.

4.2 Protection de l’information confidentielle de la Fondation

Les ressources classifiées Fondation Confidentiel ne doivent être disponibles qu’aux personnes qui

ont un besoin de savoir et/ou de modifier, et l’accès en lecture et/ou en écriture à ces mêmes

ressources doit être permis explicitement. Si tous les membres d’un groupe ont un besoin de savoir

concernant une ressource Fondation Confidentiel, ce groupe peut avoir accès à cette ressource.

La personne responsable des technologies de l’information de la Fondation est chargée d’informer

les utilisateurs si des ressources Fondation Confidentiel ne peuvent pas être placées dans un

système particulier (système de test, formation, etc.). Les utilisateurs, ainsi que les ressources

utilisateurs, doivent se conformer au niveau de classification supporté par le système. Cet avis doit

être émis automatiquement à chaque début de session de travail.

4.3 Ressources utilisateurs

La personne responsable des technologies de l’information de la Fondation est chargée d’installer

les options de protection par défaut pour les ressources utilisateurs. Cette protection par défaut doit

limiter l’accès aux ressources seulement aux détenteurs. Les ressources utilisateurs comprennent les

applications, leurs fonctions et leurs données.

Le détenteur de la ressource est responsable de la classification et de la protection subséquente de la

ressource ainsi que de toutes conséquences si la ressource est exposée à cause d’une protection

insuffisante. Si un utilisateur possède une ressource contenant de l’information non classifiée

(d’ordre général) devant être accédée par tous les utilisateurs du système, il peut en permettre

explicitement l’accès à ces utilisateurs.

La personne responsable des technologies de l’information de la Fondation n’est pas tenue

d’approuver les changements aux permissions d’accès à la protection initiale par défaut, ni de

s’assurer que les ressources accessibles à tous les utilisateurs ne contiennent pas de l’information

classifiée Fondation Confidentiel.

La personne responsable des technologies de l’information de la Fondation doit cependant s’assurer

que les détenteurs des ressources soient dûment informés lorsque les permissions d’accès sont

accordées pour des ressources qui font l’objet d’une protection à titre de ressource utilisateur

classifiée Fondation Confidentiel.

4.4 Ressources d’exploitation

L’intégrité des ressources d’exploitation doit être assurée. Les ressources d’exploitation sont les

ressources qui font partie :

du logiciel d’exploitation et de ses mécanismes de contrôle d’accès ;

des sous-systèmes et produits supportés par la Fondation.

Aucune ressource d’exploitation ne peut être mise à jour par un utilisateur, sauf celles identifiées

spécifiquement comme exceptions par la personne responsable des technologies de l’information de

la Fondation.

Toute mise à jour et tentative d’accès infructueuse à une ressource d’exploitation n’étant pas

identifiée comme exception doit faire l’objet d’une journalisation dans les systèmes où une telle

journalisation est techniquement possible.

Une ressource d’exploitation peut être accessible en lecture et/ou en mode exécution à un utilisateur,

sauf si cela peut permettre à l’utilisateur de contourner les contrôles de sécurité.


4.5 Chiffrement

L’orientation de la Fondation est que toute information Fondation Confidentiel soit encryptée

lorsque transmise sur n’importe quel réseau. La personne responsable des technologies de

l’information de la Fondation est libre du choix et de la mise en place des équipements et/ou des

logiciels de chiffrement à utiliser.

4.6 Programmes dommageables

La personne responsable des technologies de l’information de la Fondation est responsable de

l’acquisition et de la mise en place d’un outil de protection contre les virus informatiques.

Les programmes anti-virus doivent être configurés pour rechercher les signatures de virus tous

les jours.

La mise à niveau du fichier de signatures de virus doit être effectuée immédiatement lorsqu’une

nouvelle version est disponible.

La personne responsable des technologies de l’information de la Fondation est responsable de

l’élaboration et de la mise en place d’un processus de réaction immédiate dans l’éventualité où

un poste de travail ou un serveur deviendrait infecté par un virus informatique.

4.7 Gestion des licences de logiciels

Seuls les logiciels pour lesquels la Fondation détient une licence d’utilisation en bonne et due forme

peuvent être utilisés dans l’environnement informatique de la Fondation. La personne responsable

des technologies de l’information de la Fondation est chargée de l’élaboration et de la mise en place

d’un processus visant à s’assurer de la conformité à cette section par le biais, par exemple, d’un

inventaire automatique et périodique des logiciels se trouvant sur les postes de travail. Le processus

doit également prévoir la suppression de tout logiciel pour lequel la Fondation ne détient pas de

licence, à la discrétion de la Fondation.

5. Privilèges système et Autorité administrative de sécurité

Privilèges système : L’autorité confiée à un individu par l’assignation d’attributs, de privilèges ou de

droits d’accès qui sont associés aux logiciels d’exploitation et qui sont requis pour fins de support de

systèmes et d’activités de maintenance.

Autorité administrative de sécurité : L’autorité confiée à un individu par l’assignation d’attributs, de

privilèges ou de droits d’accès qui sont associés aux mécanismes de contrôle d’accès et qui sont requis

pour l’établissement et l’administration des contrôles de sécurité des systèmes.

Abus d’autorité : Les utilisateurs ayant l’autorité administrative de sécurité peuvent utiliser leurs

privilèges d’une manière leur permettant de modifier des composantes de systèmes; par exemple, ces

privilèges pourraient être utilisés par l’individu pour se donner des privilèges d’accès lui permettant

d’accéder aux ressources informationnelles classifiées Fondation Confidentiel, ou bien pour attribuer ces

privilèges à un tiers avec lequel une collusion aurait été établie. Les utilisateurs ayant l’autorité système

peuvent utiliser leurs privilèges d’une manière leur permettant de contourner les contrôles d’accès; par

exemple, ces privilèges pourraient être utilisés pour modifier un fichier de configuration ou de paramètres

ayant pour effet de désactiver un mécanisme de contrôle. Dans les deux cas, il s’agit d’abus d’autorité.

5.1 Gestion de l’autorité administrative de sécurité et des privilèges système

Toute modification à l'environnement informatique de production doit être vérifiable, c'est-à-dire

qu'elle doit laisser des traces à savoir QUI a fait QUOI et QUAND, et doit faire l'objet d'une pièce

justificative. Ceci inclut plus particulièrement les ressources d’exploitation, sans pour autant se

limiter à ces dernières.

Toute modification aux règles de sécurité doit être vérifiable, c'est-à-dire qu'elle doit laisser des

traces à savoir QUI a fait QUOI et QUAND, et doit faire l'objet d'une pièce justificative.


Les privilèges conférés par l’autorité système et l’autorité administrative de sécurité doivent être

justifiés par un besoin relié au travail, lequel est déterminé par la personne responsable des

technologies de l’information de la Fondation. Cette dernière est responsable de l’élaboration et de

la mise ne place d’un processus vérifiable permettant de gérer efficacement l’attribution de ces

privilèges et surtout le retrait, dans les plus brefs délais, de ces privilèges lorsqu’ils ne correspondent

plus à un besoin relié au travail (changement d’affectation).

Les privilèges conférés par l’autorité système et l’autorité administrative de sécurité peuvent être

attribués à des groupes de personnes lorsque cela s’avère nécessaire (besoin relié au travail), mais

seulement si l’imputabilité individuelle peut être maintenue.

5.2 Journalisation des changements aux règles de sécurité

La personne responsable des technologies de l’information de la Fondation est chargée de

l’élaboration et de la mise en place d’une procédure formelle de demande d’accès aux ressources

informationnelles. Tous les actes posés par les administrateurs des systèmes de contrôle d’accès

dans le cadre des modifications aux permissions d’accès des utilisateurs ou du personnel

informatique, doivent faire l’objet d’une journalisation et de rapports permettant de réconcilier les

modifications aux permissions d’accès et les demandes à cet effet. Ces réconciliations doivent être

effectuées par un tiers et toute divergence doit faire l’objet d’un suivi et d’un rapport à la direction

générale. La fonction de journalisation doit être active en tout temps, sans exception.

5.3 Utilisation des codes d’accès à privilèges étendus

Les privilèges d’accès étendus, c’est-à-dire ceux permettant de contourner les règles de sécurité, ne

sont normalement attribués à personne. Des codes d’accès spéciaux possédant ces privilèges et

normalement inactifs peuvent cependant être activés et assignés temporairement à des individus

pour des activités de support et/ou de dépannage. La personne responsable des technologies de

l’information de la Fondation est chargée de l’élaboration et de la mise en place d’un processus

vérifiable visant l’attribution temporaire d’un tel code à un individu. Les accès réalisés par ces codes

d’accès doivent faire l’objet d’une journalisation et de rapports permettant de réconcilier les accès

privilégiés et des demandes de changement dûment autorisées ou des activités de résolution de

problèmes. Ces réconciliations doivent être effectuées par un tiers et toute divergence doit faire

l’objet d’un suivi et d’un rapport à la direction générale. La fonction de journalisation doit être

active en tout temps, sans exception.

6. Journalisation des tentatives d’accès

Toute transgression ou tentative d'infraction aux règles de sécurité doit faire l'objet d'un suivi et être

rapportée au détenteur identifié de la ressource informationnelle visée.

Tous les accès refusés par les mécanismes de contrôles d’accès doivent faire l’objet d’une journalisation.

6.1 Journalisation des accès aux ressources d’exploitation

Tous les accès aux ressources d’exploitation doivent faire l’objet d’une journalisation et être

justifiables par l’individu concerné. La personne responsable des technologies de l’information de la

Fondation est chargée de l’élaboration et de la mise en place d’un processus vérifiable de suivi sur

ces accès.

6.2 Journalisation des accès aux ressources utilisateurs

Le détenteur d’une ressource utilisateur peut exiger que tous les accès à une ressource classifiée

Fondation Confidentiel fassent l’objet d’une journalisation et de rapports correspondants. La

personne responsable des technologies de l’information de la Fondation est chargée de l’élaboration

et de la mise en place d’un processus vérifiable à cet effet.


6.3 Journalisation des activités

Tous les débuts et fins de session doivent faire l’objet d’une journalisation. La fonction de

journalisation doit être active en tout temps, sans exception.

6.4 Protection des journaux système et sécurité


l’élaboration et de la mise en place de mécanismes de contrôle empêchant la modification et la

suppression des fichiers servant à journaliser les activités système et sécurité.

7. Rapports de transgressions

7.1 Tentatives de branchement infructueuses


l’élaboration et de la mise en place d’un processus visant à produire des rapports sur les tentatives de

branchement infructueuses. Le processus doit également prévoir un suivi sur ces activités.

7.2 Attaques systématiques


l’élaboration et de la mise en place d’un processus permettant de détecter les attaques systématiques

(tentatives de branchement infructueuses à répétition). Le processus doit également prévoir une

escalade lorsque l’envergure de l’attaque dépasse un certain niveau (nombre de tentatives).

7.3 Suivi sur les transgressions


l’élaboration et de la mise en place d’un processus vérifiable de suivi sur ces transgressions. Le

processus doit prévoir que le détenteur de la ressource visée, ainsi que le supérieur immédiat de la

personne concernée, soient avisés de la tentative d’accès.

7.4 Imputabilité des adresses MAC et IP


l’élaboration et de la mise en place d’un processus permettant de relier facilement une adresse MAC

(« Machine Address Code ») et une adresse IP (« Internet Protocol ») à un utilisateur spécifique.

Lorsqu’un poste de travail n’est pas assigné à un individu spécifique, le processus doit prévoir

d’identifier facilement ce poste via les deux adresses mentionnées plus haut.

8. Sécurité de l’environnement de production

8.1 Partage des tâches

Les différentes tâches et activités reliées à l’exploitation des systèmes dits en production doivent

faire l’objet d’une séparation visant à prévenir l’exécution de toute tâche incompatible par le même

personnel. Par exemple, il ne doit pas être possible au même personnel de modifier un programme,

de le remplacer dans l’environnement de production et également de modifier les données de

l’environnement de production.

8.2 Mise en production

Toute modification à l'environnement informatique de production doit être vérifiable, c'est-à-dire

qu'elle doit laisser des traces à savoir QUI a fait QUOI et QUAND, et doit faire l'objet d'une pièce

justificative.


8.3 Activités de support et dépannage

8.3.1 Support micro-informatique

La prise de contrôle d’un poste de travail (par exemple lors de support à un utilisateur) doit

faire l’objet d’une piste de vérification, à savoir QUI a pris le contrôle de QUEL poste et

QUAND.

Lors d’une telle prise de contrôle pour fins de support, le personnel de support doit informer

l’utilisateur que son poste sera pris en charge et l’aviser de fermer préalablement tout dossier

Fondation Confidentiel. L’utilisateur, pour sa part, doit procéder à la fermeture de tels

dossiers, à moins que l’état actuel de son poste ne l’empêche de procéder à cette fermeture.

8.3.2 Support de l’environnement de production

Les accès aux composantes de l’environnement de production sont normalement interdits, c’est-à-

dire qu’aucune règle ne permet l’accès en mise à jour à ces composantes. Les accès requis pour fins

de support ou de dépannage ou d’activités de mise en production doivent faire l’objet de permissions

temporaires au personnel concerné dans des délais rapprochés permettant au personnel autorisé

d’intervenir efficacement pour procéder aux dites activités.

8.4 Protocole d’intervention des fournisseurs - environnement de production

Cette section vise à définir le mode d’intervention des fournisseurs ayant à supporter un produit

(logiciel) dans l’environnement de production pour résoudre un problème ou pour installer une

nouvelle version du produit.

8.4.1 En cas de problème

Le fournisseur doit être contacté et on doit lui fournir une description du problème.

On doit ensuite aviser l’administrateur du réseau afin que le compte VPN du fournisseur soit

réactivé, ce dernier étant normalement désactivé.

Le fournisseur peut ensuite intervenir, effectuer les recherches et les corrections nécessaires.

Le fournisseur doit ensuite documenter sommairement le problème ainsi que les actions

apportées pour corriger ce problème (composantes logicielles modifiées ou remplacées,

fichier(s) corrigé(s), etc.).

Le fournisseur doit ensuite aviser la personne responsable des technologies de l’information de

la Fondation que le problème a été corrigé.

L’intervenant concerné doit effectuer les vérifications nécessaires pour s’assurer que le

problème a effectivement été corrigé.

L’intervenant concerné doit ensuite aviser l’administrateur de réseau que l’intervention du

fournisseur est terminée.

L’administrateur de réseau doit ensuite procéder à la désactivation du compte VPN.

8.4.2 En cas de mise en production

En cas de mise en production d’une nouvelle version du produit, le fournisseur du produit doit :

Annoncer son intervention par écrit au moins une semaine à l’avance;

Justifier son intervention et définir les changements de la nouvelle version;

Indiquer les composantes logicielles impliquées de même que toute nouvelle composante du

produit;

Indiquer si une conversion est requise et, le cas échéant, la nature de celle-ci;

Indiquer la date prévue ainsi que la durée de l’intervention;

Juste avant l’intervention, le fournisseur doit contacter l’intervenant concerné et annoncer

l’imminence de l’intervention;

L’intervenant concerné doit ensuite aviser l’administrateur du réseau afin que le compte VPN du

fournisseur soit réactivé, ce dernier étant normalement désactivé;

Le fournisseur peut ensuite procéder à son intervention;


Une fois son intervention terminée, le fournisseur doit ensuite aviser l’intervenant concerné que

la mise en production a été complétée. Ce dernier doit effectuer les vérifications nécessaires

pour s’assurer du bon fonctionnement du produit;

L’intervenant concerné doit ensuite aviser l’administrateur de réseau que l’intervention du

fournisseur est terminée et qu’il peut donc procéder à la désactivation de son compte PVN.

9. Protection des postes de travail

9.1 Protection contre les virus

Tous les postes de travail de la Fondation, de même que les serveurs, doivent être équipés d’un

mécanisme de protection contre les virus informatiques. La désactivation de ce mécanisme par

l’employé utilisateur du poste est interdite. Le mécanisme doit être configuré de manière à effectuer

un balayage du disque dur du poste à intervalles réguliers. Sa configuration doit également prévoir

le balayage systématique des disquettes insérées dans le lecteur.


l’élaboration et de la mise en place d’un processus de réaction lors de la détection d’un virus

informatique. Le processus doit prévoir :

la réaction immédiate (isolation du poste de travail);

l’identification du virus;

l’enlèvement du virus;

le cas échéant, la récupération des données perdues lorsque cela est possible;

l’investigation sur la façon dont le poste a été infecté;

l’évaluation des dégâts;

la rédaction d’un post-mortem.

9.2 Dispositif de mise en veille

Tous les postes de travail de la Fondation doivent être équipés d’un mécanisme de mise en veille. Ce

mécanisme doit toujours être en fonction. Un mot de passe doit être requis pour la désactivation de

ce mécanisme. Le mot de passe doit correspondre aux critères de qualité et de robustesse énoncés à

la section 2.2.1.

9.3 Dispositif de verrouillage immédiat

Il doit être possible à un utilisateur de déclencher manuellement et à volonté le dispositif de mise en

veille. L’utilisateur qui quitte temporairement son poste de travail doit activer manuellement ce

dispositif.

9.4 Installation de logiciels dans les postes de travail

Seul le personnel autorisé de la Fondation peut procéder à l’installation de logiciels sur les postes de

travail. Seuls les logiciels pour lesquels la Fondation détient une licence d’utilisation en bonne et

due forme peuvent être utilisés dans les environnements informatiques de la Fondation. Les postes

de travail sont inclus dans cette description. La personne responsable des technologies de

l’information de la Fondation est chargée de la vérification de ces derniers et toute transgression fera

l’objet d’un rapport à la direction générale de la Fondation.

9.5 Ordinateur portatif

Les ordinateurs portatifs fournis par la Fondation à ses employés doivent être barrés en tout temps,

peu importe le lieu de travail, à l’aide du cadenas fourni à cet effet lors de la remise de l’ordinateur

portatif.


10. Utilisation du réseau Internet par le personnel de la Fondation

10.1 Utilisation pour fins du travail seulement

Les employés de la Fondation qui ont la possibilité d’utiliser le réseau Internet via les facilités

mises à leur disposition par la Fondation ne doivent utiliser cet outil que pour des activités reliées à

leur travail pour la Fondation. Les utilisateurs doivent prendre en compte le fait que le courrier

électronique et le réseau Internet ne doivent pas servir à :

envoyer des chaînes de lettres à des tiers;

recevoir des courriels de serveurs de listes à d’autres fins que professionnelles;

se brancher sur la diffusion en continu de sites radiophoniques;

utiliser des messageries instantanées (ICQ, CHAT, MSN, etc.);

utiliser des messageries Internet (Hotmail, yahoo mail, etc.);

utiliser des applications de type point-à-point (P2P) (Kazaa, etc.);

visionner, télécharger, copier, partager ou expédier des images ou des fichiers de type

pornographique ou dont le contenu a un caractère diffamatoire, offensant, haineux, violent,

menaçant ou raciste.

10.2 Téléchargement de logiciels

Le téléchargement de logiciels à partir du réseau Internet dans l’environnement informatique de la

Fondation est réservé au personnel autorisé des technologies de l’information seulement. Tout

logiciel téléchargé doit systématiquement faire l’objet d’un balayage permettant de détecter la

présence de virus informatiques avant toute utilisation. Le téléchargement d’un logiciel à partir du

réseau Internet doit également faire l’objet d’une justification reliée au travail. La personne

responsable des technologies de l’information de la Fondation est chargée de désigner la personne

autorisée à effectuer de tels téléchargements. Elle est également responsable de l’élaboration et de

la mise en place d’un processus vérifiable permettant à d’autres individus que ceux spécifiquement

désignés de faire une demande de téléchargement, laquelle demande doit évidemment faire l’objet

d’une justification reliée au travail.

10.3 Sites Internet à contenu répréhensible

Certains sites sur le réseau Internet contiennent des images ou des textes considérés comme répréhensibles au sens des lois (pornographie juvénile, racisme, etc.). À moins de nécessité professionnelle (dans le cas du personnel affecté à la sélection des ressources documentaires ou à la référence), il est strictement interdit d’accéder à ces sites via l’environnement informatique de la Fondation. Toute infraction à cette règle doit être détectée. Lorsqu’il est déterminé que l’accès ou la tentative d’accès est volontaire, le supérieur immédiat du contrevenant doit être informé, lors d’une première. En cas de répétition, l’événement doit être rapporté à la direction générale de la Fondation, qui prend les mesures qui s'imposent dans les circonstances. Tout matériel de ce genre doit être détruit aussitôt trouvé. Le stockage sur l’équipement informatique de la Fondation de matériel offensant est également interdit. La découverte de matériel illégal (par exemple, de la pornographie infantile) sera rapportée au supérieur immédiat de l’employé et pourra faire l’objet d’un rapport aux autorités policières. Dans ce dernier cas, on ne procède pas à la destruction immédiate du matériel qui fera partie de la preuve en cour criminelle.

10.4 Utilisation du coupe-feu

Les adresses IP des postes de travail du réseau informatique de la Fondation ne doivent pas circuler

sur le réseau Internet. La personne responsable des technologies de l’information de la Fondation

est chargée de la mise en place et du bon fonctionnement du coupe-feu.

10.5 Suivi sur les transgressions aux règles

Toute infraction ou tentative d’infraction aux règles programmées dans le coupe-feu ou dans les

filtres doit faire l’objet d’un suivi et, le cas échéant, d’un avis au contrevenant, ainsi qu’à son

supérieur immédiat. En cas de répétition, le tout fera l’objet d’un rapport à la direction générale de

la Fondation.


11. Courrier électronique

11.1 Utilisations pour fins de travail seulement

Les outils de courrier électronique mis à la disposition des employés de la Fondation, des

consultants, contractuels, fournisseurs ou toute autre personne travaillant de façon temporaire ou

permanente pour la Fondation, ne doivent être utilisés que pour des fins de travail seulement.

L’utilisation desdits outils est sujette à vérification par la Fondation en tout temps. Cette

vérification doit cependant s’effectuer selon les règles suivantes :

Au moins deux personnes doivent être impliquées dans ladite vérification dont au moins un

gestionnaire.

L’ouverture de la boîte de réception ainsi que du courrier d’un tiers pour fins de vérification

doit faire l’objet d’une piste de vérification, à savoir QUI a ouvert QUELLE boîte et QUEL

message et QUAND.

11.2 Transmission d’information Confidentielle par courrier

Toute information classifiée Fondation Confidentiel doit être chiffrée avant d’être transmise.

11.3 Identification et authentification des messages

L’émetteur d’un message par courrier électronique ne doit pas pouvoir répudier sa signature et cette

signature doit être exigée avant la transmission d’un message. Les options de sécurité avancée

doivent être configurées par défaut sur les postes client du courrier électronique, plus

spécifiquement, mais sans se limiter aux options de signature et de scellement des messages. La

personne responsable des technologies de l’information de la Fondation est chargée de la

configuration et de la mise en place des options de sécurité avancée. Chaque utilisateur du courrier

électronique est responsable et imputable de l’utilisation qui est faite de son code de courrier

électronique.

11.4 Gestion de la boîte aux lettres

L’utilisateur veillera à gérer adéquatement sa boîte aux lettres, en :

prenant connaissance de son courrier régulièrement et en traitant les messages dans un délai

raisonnable;

transmettant les courriers électroniques contenant des pièces jointes volumineuses hors des

heures durant lesquelles le réseau est très utilisé (il faut éviter si possible les fichiers de plus de

4 Mo et les plages horaires de 9 h à 11 h et de 13 h 30 à 15 h 30);

détruisant les courriers électroniques lorsque l’information contenue n’est plus utile.

12. Les registres

12.1 Le registre d’autorité des systèmes d’information

Le tableau qui suit constitue la base du registre d’autorité devant être maintenu par la Fondation. Il

identifie les systèmes d’information (actuels ou futurs) ainsi que leurs détenteurs. Il devra être mis à

jour plus tard, à l’implantation desdits systèmes d’information. On devra également y joindre, à titre

d’information complémentaire, les différents profils d’accès (selon les postes occupés) à ces

systèmes d’information, et finalement, les noms des employés permanents, temporaires, consultants

et contractuels reliés à ces profils d’accès.

Systèmes d’information Détenteur Nom

Site WEB Direction générale Responsable

Don en ligne Direction générale Directeur général

Systèmes comptables, financiers

et administratifs

Direction générale et

Agent comptable Responsable


Systèmes ressources humaines et santé Direction générale et personne

responsable des ressources humaines Responsable

Registre d’autorité de la sécurité* Technologies de l’information de BAnQ Responsable

Systèmes et journaux de sécurité Technologies de l’information de BAnQ Responsable

12.2 Le Registre d’autorité applicatif

Le tableau qui suit constitue le registre d’autorité applicatif devant être maintenu par la Fondation. Il

identifie les applications critiques de la Fondation, ainsi que leurs responsables. Toutes les

demandes d’accès aux environnements de production faites par un fournisseur ou un employé

doivent préalablement être approuvées par le responsable de l’application ou son substitut. En cas

d’impossibilité, d’incapacité ou d’absence du responsable et du substitut d’une application, la

personne responsable des technologies de l’information de la Fondation est habilitée à donner

l’approbation requise.

Application Responsable Substitut

13. Gestion du risque

13.1 Processus

13.1.1 Introduction

Ce document décrit le processus à suivre afin de compléter le formulaire d’acceptation des risques.

L’acceptation des risques vise à identifier les écarts quant aux pratiques de contrôle en vigueur par

rapport aux normes de sécurité informatique émises par la Fondation.

13.1.2 Rôles et responsabilités

Technologies de l’information La personne responsable des technologies de l’information de la Fondation approuve tous les

formulaires d’acceptation des risques.


Détenteur d’un système d’information

Le détenteur d’un système d’information autorise tous les formulaires d’acceptation des risques

relatifs aux systèmes d’information qu’il détient.

Gestionnaires Les gestionnaires ont la responsabilité d’identifier, au sein de leur unité administrative, les

situations où il existe un écart entre les pratiques de contrôle en vigueur et les normes de sécurité à

respecter.

Responsable de la sécurité informatique

Le responsable de la sécurité informatique assure la conservation et le suivi des formulaires

d’acceptation des risques quant à la validité de ceux-ci selon leurs dates d’expiration.

13.1.3 Champ d’application

Un formulaire d’acceptation des risques doit être complété pour chaque situation qui provoque un

écart quant au respect des normes de sécurité de la Fondation.

Le formulaire d’acceptation des risques ne modifie en rien l’obligation de se conformer à la norme

ultérieurement. Il s’agit d’une mesure temporaire jusqu’à ce que la situation soit conforme aux

normes de façon satisfaisante et permanente.

Les formulaires d’acceptation des risques doivent être disponibles en tout temps pour des fins de

vérification.

13.1.4 Contenu

Le formulaire d’acceptation des risques contient les éléments suivants:

l’unité administrative;

le niveau de classification des données impliquées;

l’identification de la norme pour laquelle la situation n’est pas conforme;

la description des éléments qui ne sont pas conformes à la norme;

la description des risques potentiels;

l’évaluation du niveau de risque;

l’évaluation des impacts;

la description des raisons justifiant les écarts;

le niveau d’expertise requis pour l’exploitation de la faiblesse;

les actions ou mécanismes mis en place afin de minimiser les risques;

la date d’expiration;

les signatures d’approbation.

13.1.5 Durée

Les formulaires d’acceptation des risques sont valides pour une durée maximale de 12 mois.

À la fin de cette période, des mesures permanentes devraient être en place afin de se conformer

aux normes. Dans le cas contraire, un nouveau formulaire d’acceptation des risques doit être

complété, de la même façon que pour un nouveau risque.

Il n’y a aucune prolongation ou renouvellement d’un formulaire d’acceptation des risques. Après

le délai maximal d’un an, le gestionnaire doit reprendre le processus en entier et obtenir toutes les

signatures requises.

13.1.6 Processus

Généralités


Les formulaires d’acceptation des risques, lorsque complétés et approuvés, sont conservés par

la personne responsable des technologies de l’information de la Fondation.

Le responsable de la sécurité informatique assure la gestion des formulaires d’acceptation des

risques et effectue le suivi sur le statut des risques (en cours, fermés, expirés).

Lorsque requis, le responsable de la sécurité informatique avise les gestionnaires concernés de

la date d’expiration des formulaires d’acceptation des risques.

Le gestionnaire détenteur du risque doit fermer ou émettre un nouveau formulaire lorsque

celui-ci est périmé.

Démarche Le gestionnaire qui constate un écart quant au respect des normes de sécurité doit:

compléter le formulaire « Acceptation des risques »;

obtenir les signatures requises;

envoyer le document complété au coordonnateur de sécurité informatique.

La personne responsable des technologies de l’information de la Fondation doit :

approuver les formulaires d’acceptation des risques;

inscrire le numéro d’identification;

aviser les unités administratives concernées un (1) mois avant la date d’expiration ;

fournir les documents aux personnes autorisées pour des fins de vérification.

13.2 Formulaire

Formulaire d’acceptation des risques

Numéro d’identification: ___________________________________________________________

(Espace réservé au coordonnateur de la sécurité informatique)

Unité administrative: ___________________________________________________________

Plus haut niveau de classification des données:

______________________________________________

1. IDENTIFICATION

Identifier la norme (section, sous-section) pour laquelle la situation n’est pas conforme.

______________________________________________________________________________

2. DESCRIPTION

a) Identifier les éléments qui ne sont pas conformes à la norme.

______________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________

b) Identifier les risques potentiels.

______________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________


3. NIVEAU DE RISQUE

a) Identifier la probabilité d’occurrence d’une menace résultant de la non-conformité aux

normes.

Élevé: ____ Moyen: ____ Faible: ____

b) Identifier le niveau d’expertise requis pour exploiter la faiblesse.


4. IMPACT

Identifier l’impact potentiel de l’incident.


5. JUSTIFICATION

Quelles sont les raisons qui justifient l’écart entre la situation actuelle et les normes à

respecter.

______________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________

6. OUTILS DE CONTRÔLE ALTERNATIFS

Identifier les mécanismes mis en place afin de minimiser les risques.

______________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________

7. DATE D’EXPIRATION

Indiquer la date de fin de validité de cette lettre d’acceptation des risques (maximum 1 an).

_____ /_____/_____

8. APPROBATION

Nom Signature Date

Émission :

Directeur:

Autorisation :

Détenteur


Système d’information

Approbation :

Responsable des

technologies de

l’information :

Documents

Normes de sécurité informatique - fondation.banq.qc.ca · 1 NORMES DE SÉCURITÉ INFORMATIQUE DE LA FONDATION DE BIBLIOTHÈQUE ET ARCHIVES NATIONALES DU QUÉBEC 1. Sommaire Ce document