Upload
dinhanh
View
224
Download
0
Embed Size (px)
Citation preview
1
NORMES DE SÉCURITÉ INFORMATIQUE DE LA FONDATION DE
BIBLIOTHÈQUE ET ARCHIVES NATIONALES DU QUÉBEC
1. Sommaire
Ce document contient les normes en matière de sécurité informatique de la Fondation de Bibliothèque et
Archives nationales du Québec, ci-après « la Fondation ». Ces normes visent la protection des actifs
informationnels et des environnements informatiques de la Fondation. Elles correspondent aux pratiques
implantées de plus en plus par les organisations responsables et soucieuses de la protection de leurs actifs
informationnels. La conformité à ces normes est obligatoire et sujette à vérification.
Ces normes imposent l’utilisation d’un identifiant unique ainsi que d’un mot de passe pour accéder aux
systèmes informatiques de la Fondation. Ce mot de passe doit être changé régulièrement en plus de
correspondre à certains critères de qualité et de robustesse. L’utilisateur d’un code d’accès est responsable
et imputable des actes posés avec son identifiant.
Les systèmes informatiques de la Fondation ne doivent être utilisés qu’à des fins de travail. La Fondation
n’approuve pas l’utilisation de modems dans ses postes de travail, sauf dans le cas des ordinateurs
portables. Les accès à distance doivent s’effectuer par le biais d’un réseau privé virtuel (VPN) ou de tout
autre système sécurisé.
Les accès aux systèmes informatiques sont révoqués ou modifiés lorsque la situation l’exige, par exemple
dans le cas de mutation, promotion, départ volontaire ou non. Les identifiants confiés au personnel
temporaire doivent avoir une date d’expiration correspondant à la fin du mandat ou contrat de la personne
concernée.
La classification des ressources informationnelles permet à la Fondation d’établir une base servant à la
protection contre la perte, l’usage abusif, la divulgation non autorisée, etc. Lorsque des ressources
informationnelles sont créées par le détenteur, elles doivent être évaluées afin de déterminer quelle
classification est requise pour cette ressource. Les ressources existantes au moment de la mise en place de
la présente norme devront faire l’objet d’une évaluation similaire par les détenteurs. Par ailleurs, le
détenteur d’une ressource informationnelle doit spécifier à qui (poste occupé, individu) cette ressource doit
être accessible.
Les ressources d’exploitation doivent faire l’objet d’une protection particulière, car certaines d’entre elles
pourraient permettre de contourner les mécanismes de sécurité ou de les désactiver. Les postes de travail
de la Fondation doivent être protégés contre les virus informatiques et cette protection doit faire l’objet
d’une mise à jour périodique (signature des virus). Seuls les logiciels pour lesquels la Fondation détient
une licence d’utilisation en bonne et due forme peuvent être utilisés dans l’environnement informatique de
la Fondation.
Les privilèges systèmes, de même que l’autorité administrative de sécurité, font l’objet d’un encadrement
particulier, tout d’abord à fin de vérification et aussi afin de prévenir toute situation d’abus d’autorité dans
Adoptée le 11 février 2016 2
l’utilisation de ces privilèges. L’attribution de permissions d’accès à toute ressource informationnelle doit
faire l’objet d’une demande en bonne et due forme. La programmation d’une permission d’accès doit faire
l’objet d’une journalisation et cette fonction de journalisation doit être active en tout temps.
Les tentatives pour accéder à une ressource non autorisée doivent faire l’objet d’une journalisation et d’un
suivi. Il en est de même pour les accès en mise à jour pour les ressources d’exploitation ou certaines
ressources utilisateurs plus sensibles que d’autres (selon le détenteur). Les journaux systèmes et sécurité
doivent faire l’objet d’une protection particulière.
Des rapports doivent être produits à partir des journaux systèmes et sécurité pour détecter toute activité
illicite ou tentative de telle activité, y compris les attaques systématiques. Lorsque de tels événements sont
détectés, les suivis appropriés doivent être effectués.
L’environnement dit de production est l’environnement où sont effectivement exploités les systèmes
d’information de la Fondation. Les différentes tâches et activités reliées à l’exploitation des systèmes dits
en production doivent faire l’objet d’une séparation visant à prévenir l’exécution de toute tâche
incompatible par le même personnel. Aussi, toute modification à un tel environnement de production doit
être vérifiable. Ceci inclut évidemment toute activité de support ou de dépannage.
Lorsque de telles activités seront effectuées par du personnel externe (par exemple, un fournisseur de
logiciels), les normes prévoient des protocoles d’intervention précis en cas de problème et aussi en cas de
mise en place d’une nouvelle version de logiciel.
En plus de faire l’objet d’une protection efficace contre les virus informatiques, les postes de travail de la
Fondation doivent être munis d’un dispositif de mise en veille avec mot de passe ainsi que d’un
mécanisme de verrouillage immédiat, permettant à tout utilisateur de laisser son poste de travail protégé
lorsqu’il doit le quitter temporairement, mais sans attendre le déclenchement du dispositif de mise en
veille. De plus, seul le personnel autorisé peut procéder à l’installation de logiciels sur les postes de
travail. Les ordinateurs portatifs fournis par la Fondation doivent être munis d’un mécanisme de
chiffrement pour protéger les ressources informationnelles classifiées Fondation Confidentiel.
Les employés de la Fondation qui ont la possibilité d’utiliser le réseau Internet BAnQ au moyen des
facilités mises à leur disposition par la Fondation ou BAnQ ne doivent utiliser cet outil que pour des
activités reliées à leur travail pour la Fondation. Le téléchargement de logiciels à partir du réseau Internet
dans l’environnement informatique de la Fondation est réservé au personnel autorisé seulement, et les
précautions d’usage doivent être prises contre les virus informatiques. L’accès aux sites contenant du
matériel offensant est interdit et des contrôles doivent être mis en place pour détecter les accès à ces sites.
Le matériel offensant trouvé sur les équipements informatiques de la Fondation pourra être détruit sur le
champ, sauf dans les cas où ce matériel fait partie des éléments de preuve dans une cause criminelle.
L’utilisation du réseau Internet doit se faire à travers un mécanisme de type coupe-feu. Les adresses IP des
postes de travail de la Fondation ne doivent pas circuler sur ce réseau. L’utilisation des postes ouverts au
public fait l’objet d’un encadrement particulier, ceci afin de protéger l’image de la Fondation dans
l’éventualité d’une utilisation abusive ou illégale de ces postes. La plus grande confidentialité doit entourer
cet encadrement qui ne doit être utilisé que dans le cas d’enquêtes policières.
Les outils de courrier électronique mis à la disposition des employés de la Fondation, des consultants,
contractuels, fournisseurs ou toute autre personne travaillant de façon temporaire ou permanente pour la
Fondation, ne doivent être utilisés qu’à des fins de travail seulement. L’utilisation desdits outils est sujette
à vérification par la Fondation et BAnQ en tout temps. Toute information classifiée Fondation
Confidentiel doit être chiffrée avant d’être transmise. Les options de sécurité avancée doivent être
spécifiées par défaut sur les postes client du courrier électronique, plus spécifiquement, mais sans se
limiter aux options de signature et de scellement des messages.
Adoptée le 11 février 2016 3
Les normes incluent une version originale du registre d’autorité. Les systèmes d’information actuels et à
venir y sont inscrits. Ce registre devra faire l’objet de mises à jour suivant l’évolution de l’environnement
informatique de la Fondation.
Un processus d’évaluation et d’acceptation des risques est également inclus dans ces normes. Les
responsabilités y sont partagées entre le détenteur d’un système d’information et le directeur des
technologies de l’information et des télécommunications. On y tient compte du niveau de risque, des
impacts potentiels, de la probabilité d’occurrence ainsi que du niveau d’expertise requis pour exploiter la
faiblesse. On doit également justifier la dérogation à la norme et aussi minimiser les risques dans la
mesure du possible. Pour terminer, un formulaire d’acceptation des risques n’est valable que pour un an.
2. Introduction
2.1 Objectifs
L’objectif poursuivi par ces normes est d’établir des pratiques visant la protection des
renseignements personnels et celle de l’information concernant les affaires de la Fondation de
Bibliothèque et Archives nationales du Québec, ainsi que de ses environnements informatiques,
conformément à la Politique de la Fondation de Bibliothèque et Archives nationales du Québec en
matière de sécurité informatique de l’information et des actifs informationnels.
2.2 Portée
Cette norme définit les pratiques à implanter en termes de mesures de contrôle dans les systèmes et
réseaux où le traitement des affaires de la Fondation est effectué, et où la disponibilité, l’intégrité et
la confidentialité font partie des attentes des détenteurs des systèmes d’information de la Fondation
et de ses utilisateurs.
2.3 Conformité
La conformité à cette norme est obligatoire et sujette à vérification.
2.4 Transgressions
Les infractions au Code criminel seront rapportées aux autorités policières et des plaintes seront
portées en conséquence.
Les transgressions à la présente norme seront traitées selon les règles applicables en matière de
discipline, s’il y a lieu.
2.5 Dérogation
Toute dérogation à la présente norme doit être justifiée, documentée et faire l’objet d’une
acceptation de risque de la part de la Direction générale de la Fondation.
3. Identification et authentification des utilisateurs
L’équipement informatique de la Fondation, ainsi que les logiciels dont la Fondation détient une licence
d’utilisation sont réservés exclusivement à l’usage des employés de la Fondation, ainsi qu’à tout dirigeant,
de la Fondation, intervenant externe, consultant, contractuel ou fournisseur, dûment autorisé par la
Fondation. Chaque utilisateur autorisé doit s’identifier au système informatique et doit être en mesure de
prouver cette identité. Cette identification s’effectue par le biais d’un code d’accès et l’authentification, à
l’aide d’un mot de passe.
3.1 Les codes d’accès aux systèmes
Un code d’accès à un système informatique est réservé à l’usage exclusif d’une seule et unique
personne. Ce code d’accès doit être validé par le système informatique lors du début d’une session
de travail, quelle que soit la plate-forme technologique utilisée. Le code d’accès en question devra
de plus être revalidé après une période de 15 minutes d’inactivité.
Adoptée le 11 février 2016 4
3.2 Les mots de passe
Le mot de passe doit faire l’objet d’une vérification au début de chaque session de travail, et sert à
authentifier l’utilisateur détenteur du code d’accès. Ce mot de passe est strictement confidentiel. Il
doit être mémorisé et ne doit pas être écrit. L’utilisateur doit prendre des mesures raisonnables pour
préserver la confidentialité de son mot de passe. Il veillera notamment à ne pas le divulguer à
d’autres personnes. Le mot de passe est personnel, c’est la signature de l’utilisateur. Il engage sa
responsabilité lorsqu’il accède aux systèmes d’information.
3.2.1 Qualité et robustesse des mots de passe
Le mot de passe constitue la première ligne de défense dans l’ensemble des mesures mises en place
pour protéger les ressources informationnelles de la Fondation. Il doit donc correspondre à certains
critères de sécurité, de qualité et de robustesse.
Il doit :
1. Avoir une longueur minimale de 8 caractères ;
2. Être différent des trois derniers mots de passe ;
3. Être différent du nom, du prénom et du code d’accès de l’utilisateur;
4. Contenir des caractères appartenant à au moins trois des quatre catégories suivantes :
Caractères majuscules (A - Z)
Caractères minuscules (a - z)
Chiffres de 0 à 9
Caractères non-alphanumériques (par exemple !, $, # ou %)
Il ne doit pas :
1. Contenir plus de deux (2) caractères répétitifs ;
2. Correspondre à des chaînes de caractères consécutifs sur le clavier;
3. Comporter plus de deux caractères inclus dans le nom de compte de l’utilisateur;
4. Être facile à deviner ;
5. Correspondre à une terminologie typique de BANQ.
3.2.2 Changement des mots de passe
Le mot de passe doit être changé tous les trente (30) jours et ce changement doit être imposé par le
système informatique, quelle que soit la plate-forme technologique.
3.2.3 Ré-initialisation d’un mot de passe
Lorsqu’un utilisateur oublie son mot de passe, il peut le faire ré-initialiser par une personne
responsable des technologies de l’information et des télécommunications de la Fondation. Dans un
tel cas, le mot de passe émis par la personne responsable ne doit être valide qu’une seule fois, c’est-
à-dire qu’il doit expirer dès sa première utilisation. L’utilisateur doit donc le changer en conformité
avec les critères précédemment énoncés. La personne responsable des technologies de l’information
est responsable de l’élaboration et de la mise en place d’un processus d’identification positive lors
de la ré-initialisation d’un mot de passe pour un utilisateur.
3.2.4 Mot de passe administrateur
Le compte « Administrateur » représente le compte utilisateur le plus à risque dans un système
d’exploitation dû à ses droits d’accès illimités. Il est donc primordial de contrôler son utilisation
ainsi que de renforcer la sécurité de son mot de passe. Le mot de passe du compte
« Administrateur » doit donc respecter les critères suivants:
Il doit être modifié tous les trente (30) jours par l’administrateur de réseaux.
Il doit être conservé dans une enveloppe scellée à un endroit sécuritaire. Cette enveloppe
devra être utilisée seulement lors d'une urgence où l'administrateur de réseau n'est pas
présent. Lorsque l'enveloppe sera utilisée, le mot de passe devra être modifié aussitôt que
possible et une nouvelle enveloppe devra être créée.
Adoptée le 11 février 2016 5
Seulement l'administrateur de réseaux doit connaître le mot de passe du compte
« Administrateur ».
Le mot de passe doit avoir une longueur minimale de 8 caractères et être une combinaison de
lettres, de chiffres et d'un caractère spécial (!,+,$,-,%,?,&,*,#,|,...). De plus, tous les mots de
passe des comptes ayant des droits d'administrateur doivent respecter ces critères.
Le compte administrateur doit être utilisé seulement par l'administrateur de réseaux et en
aucun cas son mot de passe ne doit être divulgué à un employé ou un consultant (à moins
d'une urgence où l'enveloppe devra être utilisée).
3.2.5 Mots de passe d’installation
Dans plusieurs cas, des produits sont expédiés avec un mot de passe par défaut ; ces mots de passe
doivent être changés par la personne responsable des technologies de l’information de la Fondation
dès que le processus d’installation est complété. Aucun mot de passe par défaut, ou mot de passe
d’installation ne doit être conservé tel quel. La conservation de ces mots de passe doit se faire dans
la plus stricte confidentialité, tout en assurant sa disponibilité immédiate le cas échéant.
3.3 Utilisation d’un code d’accès
Le détenteur d’un code d’accès aux systèmes informatiques de la Fondation est responsable et
imputable des actes posés avec son code d’accès. Ce code doit donc être géré et utilisé en
conformité avec les règles précédemment énoncées.
3.3.1 Absence temporaire
Lors d’une absence temporaire pendant laquelle le code d’accès d’un détenteur doit être utilisé par
quelqu’un d’autre pour assurer la continuité d’une ou plusieurs activités, le détenteur doit aviser par
écrit son supérieur immédiat de la situation, en spécifiant par qui, pour combien de temps et pour
quelle raison son code d’accès doit être utilisé par quelqu’un d’autre. Une copie conforme de cet
avis doit être remise au coordonnateur de la sécurité informatique. À son retour au travail, le
détenteur doit modifier son mot de passe immédiatement.
3.4 Utilisation pour fins de travail seulement
Les équipements informatiques ainsi que les logiciels fournis par la Fondation à ses employés,
contractuels, consultants et fournisseurs ne doivent être utilisés qu’à des fins de travail. Toute
utilisation pour des fins personnelles est interdite. L’utilisation de ces équipements et logiciels peut
être vérifiée par la Fondation en tout temps.
3.5 Utilisation des modems et accès à distance
L’accès aux systèmes informatiques de la Fondation par le biais de modems et de lignes commutées
constitue un risque pour l’environnement informatique de la Fondation. Ce type d’accès doit faire
l’objet d’un processus d’authentification additionnel à celui des mots de passe.
À l’exception des ordinateurs portatifs, l’installation de modems dans les postes de travail est
prohibée. Dans le cas des ordinateurs portatifs, l’utilisation des modems à l’intérieur des locaux
administratifs est prohibée. Les modems ne doivent pas être placés en mode réponse (Auto-
Answer=YES ou paramètre équivalent).
L’accès à distance au réseau de la Fondation doit se faire par réseau privé virtuel (VPN). Le VPN
doit avoir été installé préalablement par une personne autorisée de la Fondation sur un ordinateur
portable de la Fondation.
3.6 Révocation des privilèges d’accès
3.6.1 Départ d’un utilisateur
Lorsqu’un utilisateur quitte la Fondation, prend un congé prolongé de plus d’un mois, ou n’a plus un
besoin de travail valide justifiant des accès aux systèmes informatiques de la Fondation, son
Adoptée le 11 février 2016 6
gestionnaire doit en aviser la personne responsable des technologies de l’information de la
Fondation, ainsi que les détenteurs des systèmes d’information auxquels il a accès. La personne
responsable des technologies de l’information de la Fondation doit disposer d’un processus et/ou de
contrôles techniques permettant d’interdire l’accès aux systèmes immédiatement après la réception
de l’avis du gestionnaire.
3.6.2 Mutation d’un utilisateur
Le gestionnaire d’un employé faisant l’objet d’une mutation doit aviser le(s) détenteur(s) des
systèmes d’information auxquels celui-ci a accès dans le cadre de son travail, ainsi que la personne
responsable des technologies de l’information de la Fondation, de ce mouvement de personnel. On
doit alors s’assurer que les privilèges d’accès qui ne sont plus nécessaires soient effectivement
retirés au code d’accès de l’utilisateur concerné.
3.6.3 Congédiement
Lors d’un congédiement, le gestionnaire de la personne concernée doit aviser la personne
responsable des technologies de l’information de la Fondation de l’événement avant le fait. Ce
dernier doit voir au retrait des privilèges d’accès de la personne concernée avant qu’elle ne soit
avisée de son congédiement. Le tout doit se dérouler dans la plus stricte confidentialité.
3.6.4 Accueil de nouveaux employés
Lors de l’arrivée d’un(e) nouvel(le) employé(e), la personne responsable des Ressources humaines
de la Fondation doit l’informer de l’existence de la politique de sécurité de l’information, ainsi que
des normes de sécurité informatique, et ensuite lui faire signer un accusé de réception à cet effet.
3.6.5 Personnel temporaire
Les codes d’utilisateur confiés au personnel temporaire (consultants, contractuels, fournisseurs ...)
doivent obligatoirement porter une date d’expiration correspondant à la fin prévue du contrat ou du
mandat. En cas de prolongation ou de renouvellement, une nouvelle date d’expiration devra être
fournie.
3.6.6 Révision semestrielle des codes d’accès
La personne responsable des technologies de l’information de la Fondation est responsable de la
mise en place d’un processus permettant d’identifier, parmi les codes d’accès aux composantes de
l’environnement informatique de la Fondation , ceux qui n’ont pas été utilisés durant une période
supérieure à 90 jours, d’aviser le gestionnaire du détenteur présumé de ces codes d’accès et, le cas
échéant, de les détruire. Cette révision doit être effectuée aux six mois et être vérifiable.
4. Définition et protection des ressources informationnelles
Les ressources informationnelles peuvent prendre la forme de textes, de programmes ou de données. Les
ressources appartenant à des individus ou à des groupes sont des ressources utilisateurs. Les ressources
reliées aux fonctions ou services de systèmes sont des ressources d’exploitation.
4.1 Classification des ressources
La classification des ressources informationnelles permet à la Fondation d’établir une base servant à
la protection contre la perte, l’usage abusif, la divulgation non autorisée, etc. Lorsque des ressources
informationnelles sont créées par le détenteur d’un système d’information, elles doivent être
évaluées afin de déterminer quelle classification est requise pour cette ressource. Les ressources
existantes au moment de la mise en place de la présente norme devront faire l’objet d’une évaluation
similaire par les détenteurs.
Le détenteur d’une ressource est responsable de sa classification selon le plan de classement de
la Fondation;
Adoptée le 11 février 2016 7
La personne responsable des technologies de l’information de la Fondation n’est pas
responsable de s’assurer que les détenteurs des ressources informationnelles se conforment à la
norme de classification qui est cependant sujette à vérification.
4.2 Protection de l’information confidentielle de la Fondation
Les ressources classifiées Fondation Confidentiel ne doivent être disponibles qu’aux personnes qui
ont un besoin de savoir et/ou de modifier, et l’accès en lecture et/ou en écriture à ces mêmes
ressources doit être permis explicitement. Si tous les membres d’un groupe ont un besoin de savoir
concernant une ressource Fondation Confidentiel, ce groupe peut avoir accès à cette ressource.
La personne responsable des technologies de l’information de la Fondation est chargée d’informer
les utilisateurs si des ressources Fondation Confidentiel ne peuvent pas être placées dans un
système particulier (système de test, formation, etc.). Les utilisateurs, ainsi que les ressources
utilisateurs, doivent se conformer au niveau de classification supporté par le système. Cet avis doit
être émis automatiquement à chaque début de session de travail.
4.3 Ressources utilisateurs
La personne responsable des technologies de l’information de la Fondation est chargée d’installer
les options de protection par défaut pour les ressources utilisateurs. Cette protection par défaut doit
limiter l’accès aux ressources seulement aux détenteurs. Les ressources utilisateurs comprennent les
applications, leurs fonctions et leurs données.
Le détenteur de la ressource est responsable de la classification et de la protection subséquente de la
ressource ainsi que de toutes conséquences si la ressource est exposée à cause d’une protection
insuffisante. Si un utilisateur possède une ressource contenant de l’information non classifiée
(d’ordre général) devant être accédée par tous les utilisateurs du système, il peut en permettre
explicitement l’accès à ces utilisateurs.
La personne responsable des technologies de l’information de la Fondation n’est pas tenue
d’approuver les changements aux permissions d’accès à la protection initiale par défaut, ni de
s’assurer que les ressources accessibles à tous les utilisateurs ne contiennent pas de l’information
classifiée Fondation Confidentiel.
La personne responsable des technologies de l’information de la Fondation doit cependant s’assurer
que les détenteurs des ressources soient dûment informés lorsque les permissions d’accès sont
accordées pour des ressources qui font l’objet d’une protection à titre de ressource utilisateur
classifiée Fondation Confidentiel.
4.4 Ressources d’exploitation
L’intégrité des ressources d’exploitation doit être assurée. Les ressources d’exploitation sont les
ressources qui font partie :
du logiciel d’exploitation et de ses mécanismes de contrôle d’accès ;
des sous-systèmes et produits supportés par la Fondation.
Aucune ressource d’exploitation ne peut être mise à jour par un utilisateur, sauf celles identifiées
spécifiquement comme exceptions par la personne responsable des technologies de l’information de
la Fondation.
Toute mise à jour et tentative d’accès infructueuse à une ressource d’exploitation n’étant pas
identifiée comme exception doit faire l’objet d’une journalisation dans les systèmes où une telle
journalisation est techniquement possible.
Une ressource d’exploitation peut être accessible en lecture et/ou en mode exécution à un utilisateur,
sauf si cela peut permettre à l’utilisateur de contourner les contrôles de sécurité.
Adoptée le 11 février 2016 8
4.5 Chiffrement
L’orientation de la Fondation est que toute information Fondation Confidentiel soit encryptée
lorsque transmise sur n’importe quel réseau. La personne responsable des technologies de
l’information de la Fondation est libre du choix et de la mise en place des équipements et/ou des
logiciels de chiffrement à utiliser.
4.6 Programmes dommageables
La personne responsable des technologies de l’information de la Fondation est responsable de
l’acquisition et de la mise en place d’un outil de protection contre les virus informatiques.
Les programmes anti-virus doivent être configurés pour rechercher les signatures de virus tous
les jours.
La mise à niveau du fichier de signatures de virus doit être effectuée immédiatement lorsqu’une
nouvelle version est disponible.
La personne responsable des technologies de l’information de la Fondation est responsable de
l’élaboration et de la mise en place d’un processus de réaction immédiate dans l’éventualité où
un poste de travail ou un serveur deviendrait infecté par un virus informatique.
4.7 Gestion des licences de logiciels
Seuls les logiciels pour lesquels la Fondation détient une licence d’utilisation en bonne et due forme
peuvent être utilisés dans l’environnement informatique de la Fondation. La personne responsable
des technologies de l’information de la Fondation est chargée de l’élaboration et de la mise en place
d’un processus visant à s’assurer de la conformité à cette section par le biais, par exemple, d’un
inventaire automatique et périodique des logiciels se trouvant sur les postes de travail. Le processus
doit également prévoir la suppression de tout logiciel pour lequel la Fondation ne détient pas de
licence, à la discrétion de la Fondation.
5. Privilèges système et Autorité administrative de sécurité
Privilèges système : L’autorité confiée à un individu par l’assignation d’attributs, de privilèges ou de
droits d’accès qui sont associés aux logiciels d’exploitation et qui sont requis pour fins de support de
systèmes et d’activités de maintenance.
Autorité administrative de sécurité : L’autorité confiée à un individu par l’assignation d’attributs, de
privilèges ou de droits d’accès qui sont associés aux mécanismes de contrôle d’accès et qui sont requis
pour l’établissement et l’administration des contrôles de sécurité des systèmes.
Abus d’autorité : Les utilisateurs ayant l’autorité administrative de sécurité peuvent utiliser leurs
privilèges d’une manière leur permettant de modifier des composantes de systèmes; par exemple, ces
privilèges pourraient être utilisés par l’individu pour se donner des privilèges d’accès lui permettant
d’accéder aux ressources informationnelles classifiées Fondation Confidentiel, ou bien pour attribuer ces
privilèges à un tiers avec lequel une collusion aurait été établie. Les utilisateurs ayant l’autorité système
peuvent utiliser leurs privilèges d’une manière leur permettant de contourner les contrôles d’accès; par
exemple, ces privilèges pourraient être utilisés pour modifier un fichier de configuration ou de paramètres
ayant pour effet de désactiver un mécanisme de contrôle. Dans les deux cas, il s’agit d’abus d’autorité.
5.1 Gestion de l’autorité administrative de sécurité et des privilèges système
Toute modification à l'environnement informatique de production doit être vérifiable, c'est-à-dire
qu'elle doit laisser des traces à savoir QUI a fait QUOI et QUAND, et doit faire l'objet d'une pièce
justificative. Ceci inclut plus particulièrement les ressources d’exploitation, sans pour autant se
limiter à ces dernières.
Toute modification aux règles de sécurité doit être vérifiable, c'est-à-dire qu'elle doit laisser des
traces à savoir QUI a fait QUOI et QUAND, et doit faire l'objet d'une pièce justificative.
Adoptée le 11 février 2016 9
Les privilèges conférés par l’autorité système et l’autorité administrative de sécurité doivent être
justifiés par un besoin relié au travail, lequel est déterminé par la personne responsable des
technologies de l’information de la Fondation. Cette dernière est responsable de l’élaboration et de
la mise ne place d’un processus vérifiable permettant de gérer efficacement l’attribution de ces
privilèges et surtout le retrait, dans les plus brefs délais, de ces privilèges lorsqu’ils ne correspondent
plus à un besoin relié au travail (changement d’affectation).
Les privilèges conférés par l’autorité système et l’autorité administrative de sécurité peuvent être
attribués à des groupes de personnes lorsque cela s’avère nécessaire (besoin relié au travail), mais
seulement si l’imputabilité individuelle peut être maintenue.
5.2 Journalisation des changements aux règles de sécurité
La personne responsable des technologies de l’information de la Fondation est chargée de
l’élaboration et de la mise en place d’une procédure formelle de demande d’accès aux ressources
informationnelles. Tous les actes posés par les administrateurs des systèmes de contrôle d’accès
dans le cadre des modifications aux permissions d’accès des utilisateurs ou du personnel
informatique, doivent faire l’objet d’une journalisation et de rapports permettant de réconcilier les
modifications aux permissions d’accès et les demandes à cet effet. Ces réconciliations doivent être
effectuées par un tiers et toute divergence doit faire l’objet d’un suivi et d’un rapport à la direction
générale. La fonction de journalisation doit être active en tout temps, sans exception.
5.3 Utilisation des codes d’accès à privilèges étendus
Les privilèges d’accès étendus, c’est-à-dire ceux permettant de contourner les règles de sécurité, ne
sont normalement attribués à personne. Des codes d’accès spéciaux possédant ces privilèges et
normalement inactifs peuvent cependant être activés et assignés temporairement à des individus
pour des activités de support et/ou de dépannage. La personne responsable des technologies de
l’information de la Fondation est chargée de l’élaboration et de la mise en place d’un processus
vérifiable visant l’attribution temporaire d’un tel code à un individu. Les accès réalisés par ces codes
d’accès doivent faire l’objet d’une journalisation et de rapports permettant de réconcilier les accès
privilégiés et des demandes de changement dûment autorisées ou des activités de résolution de
problèmes. Ces réconciliations doivent être effectuées par un tiers et toute divergence doit faire
l’objet d’un suivi et d’un rapport à la direction générale. La fonction de journalisation doit être
active en tout temps, sans exception.
6. Journalisation des tentatives d’accès
Toute transgression ou tentative d'infraction aux règles de sécurité doit faire l'objet d'un suivi et être
rapportée au détenteur identifié de la ressource informationnelle visée.
Tous les accès refusés par les mécanismes de contrôles d’accès doivent faire l’objet d’une journalisation.
6.1 Journalisation des accès aux ressources d’exploitation
Tous les accès aux ressources d’exploitation doivent faire l’objet d’une journalisation et être
justifiables par l’individu concerné. La personne responsable des technologies de l’information de la
Fondation est chargée de l’élaboration et de la mise en place d’un processus vérifiable de suivi sur
ces accès.
6.2 Journalisation des accès aux ressources utilisateurs
Le détenteur d’une ressource utilisateur peut exiger que tous les accès à une ressource classifiée
Fondation Confidentiel fassent l’objet d’une journalisation et de rapports correspondants. La
personne responsable des technologies de l’information de la Fondation est chargée de l’élaboration
et de la mise en place d’un processus vérifiable à cet effet.
Adoptée le 11 février 2016 10
6.3 Journalisation des activités
Tous les débuts et fins de session doivent faire l’objet d’une journalisation. La fonction de
journalisation doit être active en tout temps, sans exception.
6.4 Protection des journaux système et sécurité
La personne responsable des technologies de l’information de la Fondation est chargée de
l’élaboration et de la mise en place de mécanismes de contrôle empêchant la modification et la
suppression des fichiers servant à journaliser les activités système et sécurité.
7. Rapports de transgressions
7.1 Tentatives de branchement infructueuses
La personne responsable des technologies de l’information de la Fondation est chargée de
l’élaboration et de la mise en place d’un processus visant à produire des rapports sur les tentatives de
branchement infructueuses. Le processus doit également prévoir un suivi sur ces activités.
7.2 Attaques systématiques
La personne responsable des technologies de l’information de la Fondation est chargée de
l’élaboration et de la mise en place d’un processus permettant de détecter les attaques systématiques
(tentatives de branchement infructueuses à répétition). Le processus doit également prévoir une
escalade lorsque l’envergure de l’attaque dépasse un certain niveau (nombre de tentatives).
7.3 Suivi sur les transgressions
La personne responsable des technologies de l’information de la Fondation est chargée de
l’élaboration et de la mise en place d’un processus vérifiable de suivi sur ces transgressions. Le
processus doit prévoir que le détenteur de la ressource visée, ainsi que le supérieur immédiat de la
personne concernée, soient avisés de la tentative d’accès.
7.4 Imputabilité des adresses MAC et IP
La personne responsable des technologies de l’information de la Fondation est chargée de
l’élaboration et de la mise en place d’un processus permettant de relier facilement une adresse MAC
(« Machine Address Code ») et une adresse IP (« Internet Protocol ») à un utilisateur spécifique.
Lorsqu’un poste de travail n’est pas assigné à un individu spécifique, le processus doit prévoir
d’identifier facilement ce poste via les deux adresses mentionnées plus haut.
8. Sécurité de l’environnement de production
8.1 Partage des tâches
Les différentes tâches et activités reliées à l’exploitation des systèmes dits en production doivent
faire l’objet d’une séparation visant à prévenir l’exécution de toute tâche incompatible par le même
personnel. Par exemple, il ne doit pas être possible au même personnel de modifier un programme,
de le remplacer dans l’environnement de production et également de modifier les données de
l’environnement de production.
8.2 Mise en production
Toute modification à l'environnement informatique de production doit être vérifiable, c'est-à-dire
qu'elle doit laisser des traces à savoir QUI a fait QUOI et QUAND, et doit faire l'objet d'une pièce
justificative.
Adoptée le 11 février 2016 11
8.3 Activités de support et dépannage
8.3.1 Support micro-informatique
La prise de contrôle d’un poste de travail (par exemple lors de support à un utilisateur) doit
faire l’objet d’une piste de vérification, à savoir QUI a pris le contrôle de QUEL poste et
QUAND.
Lors d’une telle prise de contrôle pour fins de support, le personnel de support doit informer
l’utilisateur que son poste sera pris en charge et l’aviser de fermer préalablement tout dossier
Fondation Confidentiel. L’utilisateur, pour sa part, doit procéder à la fermeture de tels
dossiers, à moins que l’état actuel de son poste ne l’empêche de procéder à cette fermeture.
8.3.2 Support de l’environnement de production
Les accès aux composantes de l’environnement de production sont normalement interdits, c’est-à-
dire qu’aucune règle ne permet l’accès en mise à jour à ces composantes. Les accès requis pour fins
de support ou de dépannage ou d’activités de mise en production doivent faire l’objet de permissions
temporaires au personnel concerné dans des délais rapprochés permettant au personnel autorisé
d’intervenir efficacement pour procéder aux dites activités.
8.4 Protocole d’intervention des fournisseurs - environnement de production
Cette section vise à définir le mode d’intervention des fournisseurs ayant à supporter un produit
(logiciel) dans l’environnement de production pour résoudre un problème ou pour installer une
nouvelle version du produit.
8.4.1 En cas de problème
Le fournisseur doit être contacté et on doit lui fournir une description du problème.
On doit ensuite aviser l’administrateur du réseau afin que le compte VPN du fournisseur soit
réactivé, ce dernier étant normalement désactivé.
Le fournisseur peut ensuite intervenir, effectuer les recherches et les corrections nécessaires.
Le fournisseur doit ensuite documenter sommairement le problème ainsi que les actions
apportées pour corriger ce problème (composantes logicielles modifiées ou remplacées,
fichier(s) corrigé(s), etc.).
Le fournisseur doit ensuite aviser la personne responsable des technologies de l’information de
la Fondation que le problème a été corrigé.
L’intervenant concerné doit effectuer les vérifications nécessaires pour s’assurer que le
problème a effectivement été corrigé.
L’intervenant concerné doit ensuite aviser l’administrateur de réseau que l’intervention du
fournisseur est terminée.
L’administrateur de réseau doit ensuite procéder à la désactivation du compte VPN.
8.4.2 En cas de mise en production
En cas de mise en production d’une nouvelle version du produit, le fournisseur du produit doit :
Annoncer son intervention par écrit au moins une semaine à l’avance;
Justifier son intervention et définir les changements de la nouvelle version;
Indiquer les composantes logicielles impliquées de même que toute nouvelle composante du
produit;
Indiquer si une conversion est requise et, le cas échéant, la nature de celle-ci;
Indiquer la date prévue ainsi que la durée de l’intervention;
Juste avant l’intervention, le fournisseur doit contacter l’intervenant concerné et annoncer
l’imminence de l’intervention;
L’intervenant concerné doit ensuite aviser l’administrateur du réseau afin que le compte VPN du
fournisseur soit réactivé, ce dernier étant normalement désactivé;
Le fournisseur peut ensuite procéder à son intervention;
Adoptée le 11 février 2016 12
Une fois son intervention terminée, le fournisseur doit ensuite aviser l’intervenant concerné que
la mise en production a été complétée. Ce dernier doit effectuer les vérifications nécessaires
pour s’assurer du bon fonctionnement du produit;
L’intervenant concerné doit ensuite aviser l’administrateur de réseau que l’intervention du
fournisseur est terminée et qu’il peut donc procéder à la désactivation de son compte PVN.
9. Protection des postes de travail
9.1 Protection contre les virus
Tous les postes de travail de la Fondation, de même que les serveurs, doivent être équipés d’un
mécanisme de protection contre les virus informatiques. La désactivation de ce mécanisme par
l’employé utilisateur du poste est interdite. Le mécanisme doit être configuré de manière à effectuer
un balayage du disque dur du poste à intervalles réguliers. Sa configuration doit également prévoir
le balayage systématique des disquettes insérées dans le lecteur.
La personne responsable des technologies de l’information de la Fondation est chargée de
l’élaboration et de la mise en place d’un processus de réaction lors de la détection d’un virus
informatique. Le processus doit prévoir :
la réaction immédiate (isolation du poste de travail);
l’identification du virus;
l’enlèvement du virus;
le cas échéant, la récupération des données perdues lorsque cela est possible;
l’investigation sur la façon dont le poste a été infecté;
l’évaluation des dégâts;
la rédaction d’un post-mortem.
9.2 Dispositif de mise en veille
Tous les postes de travail de la Fondation doivent être équipés d’un mécanisme de mise en veille. Ce
mécanisme doit toujours être en fonction. Un mot de passe doit être requis pour la désactivation de
ce mécanisme. Le mot de passe doit correspondre aux critères de qualité et de robustesse énoncés à
la section 2.2.1.
9.3 Dispositif de verrouillage immédiat
Il doit être possible à un utilisateur de déclencher manuellement et à volonté le dispositif de mise en
veille. L’utilisateur qui quitte temporairement son poste de travail doit activer manuellement ce
dispositif.
9.4 Installation de logiciels dans les postes de travail
Seul le personnel autorisé de la Fondation peut procéder à l’installation de logiciels sur les postes de
travail. Seuls les logiciels pour lesquels la Fondation détient une licence d’utilisation en bonne et
due forme peuvent être utilisés dans les environnements informatiques de la Fondation. Les postes
de travail sont inclus dans cette description. La personne responsable des technologies de
l’information de la Fondation est chargée de la vérification de ces derniers et toute transgression fera
l’objet d’un rapport à la direction générale de la Fondation.
9.5 Ordinateur portatif
Les ordinateurs portatifs fournis par la Fondation à ses employés doivent être barrés en tout temps,
peu importe le lieu de travail, à l’aide du cadenas fourni à cet effet lors de la remise de l’ordinateur
portatif.
Adoptée le 11 février 2016 13
10. Utilisation du réseau Internet par le personnel de la Fondation
10.1 Utilisation pour fins du travail seulement
Les employés de la Fondation qui ont la possibilité d’utiliser le réseau Internet via les facilités
mises à leur disposition par la Fondation ne doivent utiliser cet outil que pour des activités reliées à
leur travail pour la Fondation. Les utilisateurs doivent prendre en compte le fait que le courrier
électronique et le réseau Internet ne doivent pas servir à :
envoyer des chaînes de lettres à des tiers;
recevoir des courriels de serveurs de listes à d’autres fins que professionnelles;
se brancher sur la diffusion en continu de sites radiophoniques;
utiliser des messageries instantanées (ICQ, CHAT, MSN, etc.);
utiliser des messageries Internet (Hotmail, yahoo mail, etc.);
utiliser des applications de type point-à-point (P2P) (Kazaa, etc.);
visionner, télécharger, copier, partager ou expédier des images ou des fichiers de type
pornographique ou dont le contenu a un caractère diffamatoire, offensant, haineux, violent,
menaçant ou raciste.
10.2 Téléchargement de logiciels
Le téléchargement de logiciels à partir du réseau Internet dans l’environnement informatique de la
Fondation est réservé au personnel autorisé des technologies de l’information seulement. Tout
logiciel téléchargé doit systématiquement faire l’objet d’un balayage permettant de détecter la
présence de virus informatiques avant toute utilisation. Le téléchargement d’un logiciel à partir du
réseau Internet doit également faire l’objet d’une justification reliée au travail. La personne
responsable des technologies de l’information de la Fondation est chargée de désigner la personne
autorisée à effectuer de tels téléchargements. Elle est également responsable de l’élaboration et de
la mise en place d’un processus vérifiable permettant à d’autres individus que ceux spécifiquement
désignés de faire une demande de téléchargement, laquelle demande doit évidemment faire l’objet
d’une justification reliée au travail.
10.3 Sites Internet à contenu répréhensible
Certains sites sur le réseau Internet contiennent des images ou des textes considérés comme répréhensibles au sens des lois (pornographie juvénile, racisme, etc.). À moins de nécessité professionnelle (dans le cas du personnel affecté à la sélection des ressources documentaires ou à la référence), il est strictement interdit d’accéder à ces sites via l’environnement informatique de la Fondation. Toute infraction à cette règle doit être détectée. Lorsqu’il est déterminé que l’accès ou la tentative d’accès est volontaire, le supérieur immédiat du contrevenant doit être informé, lors d’une première. En cas de répétition, l’événement doit être rapporté à la direction générale de la Fondation, qui prend les mesures qui s'imposent dans les circonstances. Tout matériel de ce genre doit être détruit aussitôt trouvé. Le stockage sur l’équipement informatique de la Fondation de matériel offensant est également interdit. La découverte de matériel illégal (par exemple, de la pornographie infantile) sera rapportée au supérieur immédiat de l’employé et pourra faire l’objet d’un rapport aux autorités policières. Dans ce dernier cas, on ne procède pas à la destruction immédiate du matériel qui fera partie de la preuve en cour criminelle.
10.4 Utilisation du coupe-feu
Les adresses IP des postes de travail du réseau informatique de la Fondation ne doivent pas circuler
sur le réseau Internet. La personne responsable des technologies de l’information de la Fondation
est chargée de la mise en place et du bon fonctionnement du coupe-feu.
10.5 Suivi sur les transgressions aux règles
Toute infraction ou tentative d’infraction aux règles programmées dans le coupe-feu ou dans les
filtres doit faire l’objet d’un suivi et, le cas échéant, d’un avis au contrevenant, ainsi qu’à son
supérieur immédiat. En cas de répétition, le tout fera l’objet d’un rapport à la direction générale de
la Fondation.
Adoptée le 11 février 2016 14
11. Courrier électronique
11.1 Utilisations pour fins de travail seulement
Les outils de courrier électronique mis à la disposition des employés de la Fondation, des
consultants, contractuels, fournisseurs ou toute autre personne travaillant de façon temporaire ou
permanente pour la Fondation, ne doivent être utilisés que pour des fins de travail seulement.
L’utilisation desdits outils est sujette à vérification par la Fondation en tout temps. Cette
vérification doit cependant s’effectuer selon les règles suivantes :
Au moins deux personnes doivent être impliquées dans ladite vérification dont au moins un
gestionnaire.
L’ouverture de la boîte de réception ainsi que du courrier d’un tiers pour fins de vérification
doit faire l’objet d’une piste de vérification, à savoir QUI a ouvert QUELLE boîte et QUEL
message et QUAND.
11.2 Transmission d’information Confidentielle par courrier
Toute information classifiée Fondation Confidentiel doit être chiffrée avant d’être transmise.
11.3 Identification et authentification des messages
L’émetteur d’un message par courrier électronique ne doit pas pouvoir répudier sa signature et cette
signature doit être exigée avant la transmission d’un message. Les options de sécurité avancée
doivent être configurées par défaut sur les postes client du courrier électronique, plus
spécifiquement, mais sans se limiter aux options de signature et de scellement des messages. La
personne responsable des technologies de l’information de la Fondation est chargée de la
configuration et de la mise en place des options de sécurité avancée. Chaque utilisateur du courrier
électronique est responsable et imputable de l’utilisation qui est faite de son code de courrier
électronique.
11.4 Gestion de la boîte aux lettres
L’utilisateur veillera à gérer adéquatement sa boîte aux lettres, en :
prenant connaissance de son courrier régulièrement et en traitant les messages dans un délai
raisonnable;
transmettant les courriers électroniques contenant des pièces jointes volumineuses hors des
heures durant lesquelles le réseau est très utilisé (il faut éviter si possible les fichiers de plus de
4 Mo et les plages horaires de 9 h à 11 h et de 13 h 30 à 15 h 30);
détruisant les courriers électroniques lorsque l’information contenue n’est plus utile.
12. Les registres
12.1 Le registre d’autorité des systèmes d’information
Le tableau qui suit constitue la base du registre d’autorité devant être maintenu par la Fondation. Il
identifie les systèmes d’information (actuels ou futurs) ainsi que leurs détenteurs. Il devra être mis à
jour plus tard, à l’implantation desdits systèmes d’information. On devra également y joindre, à titre
d’information complémentaire, les différents profils d’accès (selon les postes occupés) à ces
systèmes d’information, et finalement, les noms des employés permanents, temporaires, consultants
et contractuels reliés à ces profils d’accès.
Systèmes d’information Détenteur Nom
Site WEB Direction générale Responsable
Don en ligne Direction générale Directeur général
Systèmes comptables, financiers
et administratifs
Direction générale et
Agent comptable Responsable
Adoptée le 11 février 2016 15
Systèmes ressources humaines et santé Direction générale et personne
responsable des ressources humaines Responsable
Registre d’autorité de la sécurité* Technologies de l’information de BAnQ Responsable
Systèmes et journaux de sécurité Technologies de l’information de BAnQ Responsable
12.2 Le Registre d’autorité applicatif
Le tableau qui suit constitue le registre d’autorité applicatif devant être maintenu par la Fondation. Il
identifie les applications critiques de la Fondation, ainsi que leurs responsables. Toutes les
demandes d’accès aux environnements de production faites par un fournisseur ou un employé
doivent préalablement être approuvées par le responsable de l’application ou son substitut. En cas
d’impossibilité, d’incapacité ou d’absence du responsable et du substitut d’une application, la
personne responsable des technologies de l’information de la Fondation est habilitée à donner
l’approbation requise.
Application Responsable Substitut
13. Gestion du risque
13.1 Processus
13.1.1 Introduction
Ce document décrit le processus à suivre afin de compléter le formulaire d’acceptation des risques.
L’acceptation des risques vise à identifier les écarts quant aux pratiques de contrôle en vigueur par
rapport aux normes de sécurité informatique émises par la Fondation.
13.1.2 Rôles et responsabilités
Technologies de l’information La personne responsable des technologies de l’information de la Fondation approuve tous les
formulaires d’acceptation des risques.
Adoptée le 11 février 2016 16
Détenteur d’un système d’information
Le détenteur d’un système d’information autorise tous les formulaires d’acceptation des risques
relatifs aux systèmes d’information qu’il détient.
Gestionnaires Les gestionnaires ont la responsabilité d’identifier, au sein de leur unité administrative, les
situations où il existe un écart entre les pratiques de contrôle en vigueur et les normes de sécurité à
respecter.
Responsable de la sécurité informatique
Le responsable de la sécurité informatique assure la conservation et le suivi des formulaires
d’acceptation des risques quant à la validité de ceux-ci selon leurs dates d’expiration.
13.1.3 Champ d’application
Un formulaire d’acceptation des risques doit être complété pour chaque situation qui provoque un
écart quant au respect des normes de sécurité de la Fondation.
Le formulaire d’acceptation des risques ne modifie en rien l’obligation de se conformer à la norme
ultérieurement. Il s’agit d’une mesure temporaire jusqu’à ce que la situation soit conforme aux
normes de façon satisfaisante et permanente.
Les formulaires d’acceptation des risques doivent être disponibles en tout temps pour des fins de
vérification.
13.1.4 Contenu
Le formulaire d’acceptation des risques contient les éléments suivants:
l’unité administrative;
le niveau de classification des données impliquées;
l’identification de la norme pour laquelle la situation n’est pas conforme;
la description des éléments qui ne sont pas conformes à la norme;
la description des risques potentiels;
l’évaluation du niveau de risque;
l’évaluation des impacts;
la description des raisons justifiant les écarts;
le niveau d’expertise requis pour l’exploitation de la faiblesse;
les actions ou mécanismes mis en place afin de minimiser les risques;
la date d’expiration;
les signatures d’approbation.
13.1.5 Durée
Les formulaires d’acceptation des risques sont valides pour une durée maximale de 12 mois.
À la fin de cette période, des mesures permanentes devraient être en place afin de se conformer
aux normes. Dans le cas contraire, un nouveau formulaire d’acceptation des risques doit être
complété, de la même façon que pour un nouveau risque.
Il n’y a aucune prolongation ou renouvellement d’un formulaire d’acceptation des risques. Après
le délai maximal d’un an, le gestionnaire doit reprendre le processus en entier et obtenir toutes les
signatures requises.
13.1.6 Processus
Généralités
Adoptée le 11 février 2016 17
Les formulaires d’acceptation des risques, lorsque complétés et approuvés, sont conservés par
la personne responsable des technologies de l’information de la Fondation.
Le responsable de la sécurité informatique assure la gestion des formulaires d’acceptation des
risques et effectue le suivi sur le statut des risques (en cours, fermés, expirés).
Lorsque requis, le responsable de la sécurité informatique avise les gestionnaires concernés de
la date d’expiration des formulaires d’acceptation des risques.
Le gestionnaire détenteur du risque doit fermer ou émettre un nouveau formulaire lorsque
celui-ci est périmé.
Démarche Le gestionnaire qui constate un écart quant au respect des normes de sécurité doit:
compléter le formulaire « Acceptation des risques »;
obtenir les signatures requises;
envoyer le document complété au coordonnateur de sécurité informatique.
La personne responsable des technologies de l’information de la Fondation doit :
approuver les formulaires d’acceptation des risques;
inscrire le numéro d’identification;
aviser les unités administratives concernées un (1) mois avant la date d’expiration ;
fournir les documents aux personnes autorisées pour des fins de vérification.
13.2 Formulaire
Formulaire d’acceptation des risques
Numéro d’identification: ___________________________________________________________
(Espace réservé au coordonnateur de la sécurité informatique)
Unité administrative: ___________________________________________________________
Plus haut niveau de classification des données:
______________________________________________
1. IDENTIFICATION
Identifier la norme (section, sous-section) pour laquelle la situation n’est pas conforme.
______________________________________________________________________________
2. DESCRIPTION
a) Identifier les éléments qui ne sont pas conformes à la norme.
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
b) Identifier les risques potentiels.
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
Adoptée le 11 février 2016 18
3. NIVEAU DE RISQUE
a) Identifier la probabilité d’occurrence d’une menace résultant de la non-conformité aux
normes.
Élevé: ____ Moyen: ____ Faible: ____
b) Identifier le niveau d’expertise requis pour exploiter la faiblesse.
Élevé: ____ Moyen: ____ Faible: ____
4. IMPACT
Identifier l’impact potentiel de l’incident.
Élevé: ____ Moyen: ____ Faible: ____
5. JUSTIFICATION
Quelles sont les raisons qui justifient l’écart entre la situation actuelle et les normes à
respecter.
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
6. OUTILS DE CONTRÔLE ALTERNATIFS
Identifier les mécanismes mis en place afin de minimiser les risques.
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
7. DATE D’EXPIRATION
Indiquer la date de fin de validité de cette lettre d’acceptation des risques (maximum 1 an).
_____ /_____/_____
8. APPROBATION
Nom Signature Date
Émission :
Directeur:
Autorisation :
Détenteur
Adoptée le 11 février 2016 19
Système d’information
Approbation :
Responsable des
technologies de
l’information :