Guide de bonnes pratiques pour la sécurité informatique des données de recherche
Rappel important
L’UQAM possède une Politique de sécurité informatique qui s’applique à l’ensemble des personnes employées de l’Université (tel que défini dans le règlement no 2 – Règlement de régie interne) dans les unités académiques et administratives, aux associations, aux syndicats, à toute autre forme de regroupements à l’intérieur de l’Université et aux étudiantes et étudiants (tel que stipulé dans le règlement no 2 – Règlement de régie interne). Elle touche également toute personne physique ou morale appelée à utiliser les actifs informationnels de l’Université.
La sécurité informatique se rapporte aux actifs informationnels représentant l’ensemble des données et des équipements nécessaires à l’évolution de l’information tout au long de son cycle de vie, de son acquisition ou de sa création à sa destruction.
La sécurité informatique est une responsabilité institutionnelle et personnelle de sorte que l’atteinte de ces objectifs repose sur la reconnaissance, ainsi que sur la mise en œuvre d’un ensemble de droits et responsabilités qu’elles soient individuelles ou collectives.
Objectif du présent document
Le présent document vise à recommander des configurations de sécurité minimales aux environnements bureautiques manipulant des données de recherche. Ces recommandations visent à assurer la confidentialité, l’intégrité et la disponibilité des données de recherche.
Limite de la portée: Ce guide ne porte pas sur les règles de confidentialité ou d’anonymisation des données relevant des comités d’éthique de la recherche (https://recherche.uqam.ca/ethique/humains.html).
Des mesures de sécurité sont également déployées sur les infrastructures informatiques traitant des données de recherche, mais elles ne font pas l’objet du présent document.
Il est également important de préciser que les contrôles appliqués doivent être proportionnels au type de données et aux risques. Les données de recherche considérées comme sensibles sont généralement les données contenant des informations de nature personnelle ou liées à la propriété intellectuelle.
Mesures de sécurité recommandées
- Contrôles physiques
- Assurer un contrôle physique des accès aux locaux où sont hébergés des données de recherche ou des équipements permettant d’y accéder.
- Placer dans des locaux ou des cabinets sécurisés toute donnée non utilisée en format papier contenant des informations sensibles.
- Configuration des postes de travail
- Protéger tous les postes de travail accédant aux données de recherche par un mot de passe fort – Voir notre guide à cet effet.
- Garder à jour le système d’exploitation ainsi que les logiciels des postes de travail et activer les mises à jour automatiques.
- Installer un antivirus sur tous les postes de travail (Pour les postes burinés UQAM) Il est interdit d’installer ces logiciels sur un ordinateur personnel.
- Activer le coupe-feu personnel sur tous les postes de travail
- Configurer l’écran de veille des postes de travail de manière à ce que le poste soit verrouillé et protégé par un mot de passe après une période d’inactivité de 15 minutes
- Éviter d’utiliser des solutions de type Logmein, TeamViewer pour accéder à distance aux postes de travail. L’UQAM offre une solution VPN permettant d’accéder à des postes de travail à distance de façon sécuritaire – Tous les détails sur notre service VPN
- Activer les fonctionnalités du contrôle du compte utilisateur (UAC – User Account Control) – demande d’un mot de passe ou d’une autorisation pour effectuer certaines actions
- Désactiver l’exécution automatique (Autorun) sous Windows.
- Stockage et contrôle de l’accès des données
- Éviter de stocker les données uniquement sur un poste de travail, une clé USB ou un disque dur externe. S’assurer d’avoir plusieurs copies des données.
- Privilégier le stockage des données sur un espace commun sur le réseau – Tous les détails sur notre service OwnCloud
- Protéger l’accès aux données sensibles par un mot de passe fort ou, idéalement pour les données plus sensibles en les chiffrant directement sur le disque. L’UQAM a effectué une revue de sécurité de l’outil de chiffrement Cryptomator et en a conclu que ce logiciel satisfaisait nos exigences de sécurité. La documentation de cet outil se trouve ici.
- Assurer un contrôle d’accès aux données respectant le principe du moindre privilège
- Mettre en place une procédure de retrait de l’accès aux données lors des départs de collaborateurs
- Transfert de fichiers à l’externe
- Réaliser tout transfert de données sensibles vers l’externe en utilisant un canal de communication chiffré ou en chiffrant les données avant leur envoi (ex. d’outils: VeraCrypt, Portable PGP, GnuPG, FileVault2 pour Mac)
- Éviter l’utilisation de services de stockage externe (ex. Dropbox) pour partager des données sensibles
- Destruction des données
- Conserver l’ensemble des données de recherche pour toute période requise par les ententes ou les législations en vigueur
- Effectuer une élimination sécuritaire de toutes les données en format papier (Ref : Service des archives et de la gestion des documents)
- Utiliser des mécanismes d’effacement sécuritaire pour tous les équipements électroniques (ex. SDelete pour Windows, Dban,Environnement Mac)
- Procéder à la destruction physique de CD ou DVD
- Conserver un historique et une documentation des données ayant été détruites et des moyens utilisés pour le faire.