Logo du Cégep Vanier

Politique de Sécurité de l’information

1. Préambule

Cette politique a été élaborée conformément à l’Article 7 a) de la Directive sur la sécurité de l’information gouvernementale du gouvernement du Québec qui exige des organismes publics qu’ils adoptent et mettent en œuvre une politique de sécurité de l’information, qu’ils la tiennent à jour et qu’ils en assurent l’application.

2. Définitions

Actifs informationnels
Tous les documents actifs, semi-actifs et inactifs créés ou reçus par le personnel du Cégep dans l’exercice de ses fonctions, quels que soient leur nature (administrative, financière, juridique ou autre), leur support (papier, numérique, audiovisuel, web ou autre) et le format dans lequel ils sont produits.

Confidentialité
Données ou informations dont l’accès est réservé à des personnes ou entités désignées ou autorisées.

Le Cégep
Le Cégep Vanier d’enseignement général et professionnel.
Une entité juridique à but non lucratif.
(Une société, également connue sous le nom de personne morale, sans but lucratif).

Cycle de vie de l’information
Étapes par lesquelles passe tout document ou enregistrement, depuis sa création, son stockage, son transfert, sa consultation, son traitement et sa transmission, jusqu’à sa conservation ou sa destruction, conformément au calendrier de conservation du Collège Vanier.

Disponibilité
Les données ou les informations sont accessibles en temps voulu et dans le format requis par une personne autorisée.

Intégrité
Caractéristique d’une donnée ou d’une information selon laquelle elle ne subit aucune modification ou destruction sans autorisation et est conservée sur un support qui en assure la stabilité et la pérennité.

Cadre de gestion de la sécurité de l’information
Ensemble d’objectifs et de pratiques fondés sur les normes de gouvernance informatique de l’industrie.

3. Contexte juridique et administratif

La présente Politique de Sécurité de l’information est mise en œuvre conformément à la législation suivante :

  • Charte des droits et libertés de la personne, CQLR c C-12
  • Entente-cadre sur la gouvernance et la gestion des ressources informationnelles des organismes publics
  • Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement, CQLR c G-1.03
  • Loi concernant le cadre juridique des technologies de l’information, CQLR c C-1.1
  • Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, CQLR c A-2.1
  • Loi sur les archives, CQLR c A-21.1
  • Loi sur l’administration publique, SQ 2000, c 8
  • Loi sur la fonction publique, CQLR c F-3.1.1
  • Loi canadienne sur les droits de la personne, LSC 1985, c H-6
  • Code criminel, RSC 1985, c C-46
  • Loi sur le droit d’auteur, L.R.C. 1985, c C-42
  • Règlement sur la diffusion de l’information et sur la protection des renseignements personnels, CQLR c A-2.1, r 2
  • Directive sur la sécurité de l’information gouvernementale
  • Directive sur les services de certification offerts par le gouvernement du Québec pendant la phase intérimaire

4. Objectif de la Politique

L’objectif de cette Politique est d’affirmer l’engagement du Cégep Vanier à se conformer pleinement à ses obligations en matière de sécurité de l’information, quel que soit le support ou le moyen de communication. Plus précisément, il s’agit d’assurer la disponibilité, l’intégrité et la confidentialité de l’information tout au long de son cycle de vie.

5. Champ d’application

Cette Politique s’applique à la sécurité des données, quelle que soit leur forme, numérique ou autre. Elle couvre les domaines des technologies de l’information, de la sécurité physique et de la gestion des documents.

5.1 Actifs de données et d’information

Cette politique s’applique aux catégories d’informations suivantes :

  1. les informations appartenant ou utilisées par le Cégep ;
  2. les informations appartenant au Cégep et utilisées ou détenues par un partenaire, un fournisseur de biens et de services ou une autre partie prenante ;
  3. les informations appartenant à et utilisées par un partenaire, un fournisseur de biens et de services ou toute autre partie prenante pour le compte du Cégep ;
  4. les informations qui n’appartiennent pas au Cégep, mais qui sont détenues par celui-ci afin de remplir sa mission.

5.2 Personnes

Cette Politique s’adresse à tous les utilisateur.trice.s, c’est-à-dire à toute personne ayant accès aux données et/ou aux actifs informationnels du Collège, quel que soit son statut, y compris les travailleur.euse.s contractuel.le.s et le personnel d’échange, ainsi que tous les partenaires, fournisseurs et autres parties prenantes.

5.3 Activités

Toute activité impliquant l’utilisation, la divulgation ou la conservation, sous quelque forme que ce soit, de données ou d’informations appartenant au Cégep ou utilisées par ce dernier est couverte par cette Politique, que ce soit dans les locaux du Cégep, hors site ou à distance.

Cette Politique s’applique dès la première phase de conception ou de création des données ou des actifs informationnels et pendant le développement, la réalisation ou la modification de l’actif ou de tout processus opérationnel associé.

5.3.1 Exploitation et administration de l’infrastructure informatique

La sécurité de l’infrastructure informatique doit être soutenue par des outils, des pratiques et des mesures permettant de contrôler et de mettre à jour régulièrement les systèmes d’exploitation, les logiciels d’application et l’équipement du Cégep, y compris, mais sans s’y limiter :

  • les mises à jour et les correctifs fournis par les fournisseurs de logiciels et de matériel ;
  • une évaluation annuelle des risques liés aux technologies de l’information.
5.3.2 Mise au rebut des anciens systèmes et équipements informatiques

Les règles de destruction sécurisée de tout équipement micro-informatique déclaré « bien mobilier excédentaire » et de tout support informatique amovible destiné à être éliminé ou confié à un fournisseur doivent être appliquées en temps utile et conformément à la Directive concernant le traitement et la destruction de tout renseignement, registre, donnée, logiciel, système d’exploitation ou autre bien protégé par un droit d’auteur, emmagasiné sur un équipement micro-informatique ou sur un support informatique amovible du Secrétariat du Conseil du trésor.

Il en va de même pour tout équipement micro-informatique ou sur support amovible confié à un fournisseur pour réparation, entretien, destruction ou récupération des informations qui y sont stockées.

5.3.3 Destruction et gestion documentaire

Le Cégep est assujetti à la Loi sur les archives, CQLR c A-21.1, et aux politiques de gestion des documents établies par la Bibliothèque et Archives nationales du Québec (BAnQ).

Le Cégep est tenu d’appliquer la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, CQLR c A-2.1, notamment l’article 63.1 qui stipule que « Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur nature sensible, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. »

Par conséquent, des mesures appropriées seront prises pour s’assurer que la disponibilité et la conservation des documents de Vanier sont conformes au plan de classification et de conservation des documents approuvé par BAnQ.

5.3.4 Sécurité physique des bâtiments et des locaux

Vanier assurera la sécurité physique des locaux du Cégep où sont stockés les données et les actifs informationnels. Vanier établit et met à jour une liste d’accès du personnel autorisé qui est vérifiée et mise à jour périodiquement ou lors d’un changement organisationnel important.

6. Principes directeurs

6.1 Principes de la sécurité informatique

L’objectif de la sécurité de l’information est de promouvoir la confiance au sein de Vanier et les services qu’il rend, et de contribuer à la réalisation de sa mission. Elle vise également à garantir l’intégrité, la durabilité, l’accessibilité fiable et la confidentialité des informations.

6.2 Protection de l’information

La sécurité de l’information doit être assurée tout au long de son cycle de vie et les moyens mis en œuvre pour y parvenir doivent être proportionnels à sa valeur et aux risques auxquels elle est exposée. Ainsi, toute information détenue, traitée ou transmise par le Cégep doit faire l’objet de mesures de sécurité visant à :

  • veiller à ce que les informations soient accessibles sur des systèmes à haute disponibilité selon les besoins d’une personne autorisée ;
  • garantir l’intégrité de l’information afin qu’elle ne subisse aucune modification ou destruction sans autorisation et qu’elle soit conservée sur un support qui en assure la stabilité et la durabilité ;
  • restreindre l’accès ou la divulgation aux seules personnes autorisées à y accéder, garantissant ainsi une utilisation stricte, contrôlée et confidentielle ;
  • confirmer l’identité d’une personne ou l’identification d’un document ou d’un dispositif (authentification) afin de garantir un accès approprié ;
  • s’assurer que toute information confidentielle est protégée contre la divulgation, l’accès ou l’utilisation non autorisés. Aux fins de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, CQLR c A-2.1, sont considérés comme renseignements confidentiels les renseignements personnels et tout renseignement dont la divulgation aurait des conséquences préjudiciables sur l’un ou l’autre des éléments suivants : les relations intergouvernementales, les négociations entre organismes publics, l’économie, les tiers à l’égard de leurs renseignements industriels, financiers, commerciaux, scientifiques ou techniques, l’administration de la justice et de la sécurité publique, les décisions et vérifications administratives ou politiques.

6.3 Gestion de l’accès aux ressources numériques

L’accès à l’information doit être limité aux données requises et contrôlé. Les demandes doivent être faites via le portail Octopus et contenir le niveau d’approbation approprié pour le demandeur et le propriétaire de l’actif numérique. Cette mesure est prise pour protéger l’intégrité et la confidentialité des informations et conformément à nos exigences de conformité.

6.4 Sensibilisation et formation à la sécurité de l’information

Le Cégep s’engage à sensibiliser et à former régulièrement les utilisateur.trice.s à la sécurité des actifs informationnels, aux conséquences d’une violation de la sécurité, ainsi qu’à leur rôle et à leurs responsabilités à cet égard.

6.5 Droit d’inspection

Le Cégep exerce, conformément à la législation et à la réglementation en vigueur, un droit de regard sur toute utilisation de ses actifs informationnels.

6.6 Responsabilité et imputabilité

La sécurité des actifs informationnels est soutenue par une approche éthique visant à garantir la réglementation de la conduite et la responsabilité individuelle.

L’efficacité de la sécurité de l’information exige une responsabilité claire à tous les niveaux de l’organisation, y compris chez les partenaires et les fournisseurs de Vanier. Cela implique la mise en œuvre d’un cadre de gestion de la sécurité de l’information interne et de processus définis qui garantissent un niveau d’imputabilité adéquat.

6.7 Respect des lois, règlements et normes applicables

Outre le cadre de gestion de la sécurité de l’information du Cégep et ses documents connexes, Vanier doit se conformer aux lois, règlements et normes applicables.

Tous les utilisateur.trice.s doivent se conformer aux exigences relatives à l’utilisation de produits, de documents et d’informations qui peuvent faire l’objet d’un droit de propriété intellectuelle. Ainsi, l’utilisation de logiciels propriétaires et de logiciels gratuits doit être conforme à la Loi sur le droit d’auteur, RSC 1985, c C-42.

Le Service informatique veillera à ce que les licences de ses logiciels soient correctement gérées. Seuls les logiciels fournis par Vanier doivent être utilisés.

L’utilisation de tout autre logiciel doit faire l’objet d’une autorisation spécifique du/de la Responsable de la Sécurité de l’information (RSI) de Vanier.

6.7.1 Normes de sécurité des données de l’industrie des cartes de paiement

Le présent énoncé de politique, étayé par les responsabilités et procédures ministérielles PCI DSS, fournit des informations permettant au Cégep Vanier de se conformer à la norme PCI DSS. L’objectif de la norme PCI DSS est de protéger les données des titulaires de cartes.

Vanier ne prend pas en charge le traitement des cartes de paiement dans les systèmes appartenant au Cégep. La stratégie consiste à confier l’ensemble du traitement des cartes de paiement à des fournisseurs externes respectant les normes PCI, ce qui permet de minimiser les risques et le champ d’application de la conformité PCI pour les processus institutionnels appartenant au Cégep. Lorsque les commerçants sont des établissements situés sur le campus, ces normes s’appliquent.

La norme PCI DSS est un ensemble d’exigences obligatoires convenues par les principales sociétés de cartes de crédit (y compris, mais sans s’y limiter, VISA et MasterCard). Ces exigences de sécurité s’appliquent à toutes les transactions liées à l’industrie des cartes de paiement et aux commerçants/organisations qui acceptent ces cartes comme moyen de paiement. De plus amples informations sur PCI sont disponibles sur le site web du PCI Security Standards Council (https://www.pcisecuritystandards.org).

Afin d’accepter les paiements par carte de crédit, le Cégep Vanier doit prouver et maintenir sa conformité avec les normes de sécurité des données de l’industrie des cartes de paiement. Les responsabilités et procédures départementales PCI DSS stipulent les exigences relatives au traitement, à la transmission, au stockage et à l’élimination des données des titulaires de cartes de paiement, afin de réduire le risque institutionnel associé à l’administration des paiements par carte de crédit par les commerçants du Cégep et d’assurer un contrôle interne adéquat et la conformité avec les normes PCI DSS.

Toutes les activités de traitement PCI-DSS des commerçants doivent être approuvées chaque année par le Bureau du/de la Directeur.trice des Finances de Vanier. La procédure s’applique à tous les utilisateur.trice.s du campus, aux commerçant.e.s externes, aux systèmes et aux réseaux impliqués dans la transmission, le stockage ou le traitement des données des cartes de paiement par ces commerçant.e.s. Les données relatives aux cartes de paiement comprennent les numéros de compte primaire, le nom du titulaire de la carte, la date d’expiration, le code de service et les données d’authentification sensibles.

7. Obligations des principales parties prenantes en matière de sécurité de l’information

Cette Politique définit les obligations en matière de sécurité de l’information, y compris, mais sans s’y limiter, celles du Cégep, du/de la Responsable de la Sécurité de l’information à Vanier (RSI), des propriétaires de l’information, des administrateur.trice.s et des utilisateur.trice.s.

Le Cégep
est le premier responsable de la sécurité des informations sous son autorité.

Le/la Responsable de la sécurité de l’information (RSI)
Assiste le Cégep dans l’identification des orientations stratégiques et des priorités d’action.

Le/la Gardien.ne de l’information
Employé.e désigné.e par le Cégep et relevant de l’unité administrative dont il/elle fait partie, dont le rôle est, entre autres, d’assurer la sécurité de l’information et des ressources qui s’y rattachent.

Gestionnaires
Responsable de la mise en œuvre des dispositions de la présente Politique avec le personnel placé sous son autorité.

Utilisateur.trice.s
Responsable du respect des directives gouvernementales, de la présente Politique et des règles qui leur sont applicables, en signant la déclaration d’engagement ci-jointe.

Les rôles et responsabilités attribués aux autres parties prenantes ainsi que les structures internes de coordination et de consultation en matière de sécurité de l’information sont définis dans le cadre de gestion de la sécurité de l’information, qui complète la présente Politique.

8. Obligation des utilisateur.trice.s

Le Cégep disposera d’une procédure de signalement et de gestion des incidents.

8.1 Gestion des informations collégiales et personnelles

  • L’utilisateur.trice doit conserver toutes les informations du Cégep sur les systèmes et appareils autorisés et fournis par Vanier.
  • Les informations personnelles qui ne sont pas liées à la mission du Cégep ne doivent pas être stockées sur les systèmes et appareils du Cégep.
  • Toute exception à cette règle doit être autorisée par une demande d’exception détaillant la nature de l’information, la taille et la date de fin. La date de fin ne peut être postérieure au 30 juin de l’année scolaire en cours, ou une demande de renouvellement doit être présentée. Toutes les demandes doivent être placées via le portail Octopus et inclure l’approbation du/de la gestionnaire. L’utilisateur.trice doit attendre l’approbation du groupe informatique avant de procéder.

8.2 Rapports

Tout utilisateur.trice a l’obligation de protéger les actifs informationnels mis à sa disposition par Vanier. À cette fin, l’utilisateur.trice doit signaler sans délai à son gestionnaire ou au Service de soutien informatique tout acte susceptible de représenter une atteinte réelle ou présumée à la sécurité de l’information. Le/la Coordonnateur.trice sectoriel de gestion des incidents (CSGI) doit également être avisé.e lorsqu’un incident de sécurité survient, afin de déterminer les mesures à prendre pour résoudre le problème, le cas échéant. Les incidents de sécurité de l’information doivent être enregistrés dans un registre des incidents, analysés et classés en fonction de leur gravité.

9. Sanctions

Lorsqu’un utilisateur.trice enfreint la présente Politique ou les directives qui en découlent, il/elle peut être soumis.e à des mesures disciplinaires, administratives ou juridiques, en fonction de la gravité de son acte. Ces mesures peuvent comprendre la suspension de privilèges, la réprimande, la suspension, le congédiement ou autre, conformément aux dispositions des conventions collectives, autres ententes ou contrats.

Vanier peut transmettre à toute autorité judiciaire les informations recueillies et qui lui permettent de croire qu’une infraction à toute loi ou règlement en vigueur a été commise.