Directive de gestion des droits et des profils d’accès informatiques

 

Adoption
Instance Date Décision
Comité de direction 2020-09-11 CODIR-1665-1,1

 

Modification
Instance Date Décision Commentaires
Comité de direction

 

Révision Tous les cinq (5) ans
Responsable Vice-recteur aux affaires administratives
Parties prenantes Service des technologies de l’information
Code de classification 1164-05.003-3

 Préambule

En assurant un contrôle efficace des accès à l’information, l’UQAC réduit les risques encourus à l’égard des objectifs d’intégrité, de disponibilité et de confidentialité de son information et répond à l’obligation gouvernementale énoncée au paragraphe (c) du premier alinéa de l’article 7 de la Directive sur la sécurité de l’information gouvernementale. Celle-ci fait obligation aux organismes publics de s’assurer de la mise en œuvre de processus formels de sécurité de l’information, dont la gestion des accès à l’information.

Objet

La présente directive définit les lignes règles en matière de gestion des accès et les responsabilités à assumer par les principaux intervenants, notamment la responsable organisationnelle de la sécurité de l’information (RSI), les détenteurs de l’information (pilotes de systèmes), les gestionnaires des unités administratives et académiques, le Service des technologies de l’information ainsi que les utilisateurs.

Références

Politique sur la sécurité des actifs informationnels (CAD- 11437)Cadre de gestion de la sécurité informationnelle (CAD-11520)

Champ d’application

Cette directive s’applique à :

  • L’information que détient l’UQAC, que sa conservation soit assurée par lui-même ou par un tiers;
  • L’information confiée à l’UQAC en vertu d’une entente et qui est reconnue comme devant faire l’objet d’un contrôle d’accès;
  • L’infrastructure technologique de l’UQAC;

Toute personne physique ou morale qui, à titre d’employé, de consultant, de stagiaire, de partenaire ou de fournisseur, a un accès, sur place ou à distance, à l’information dont la sécurité est assurée par l’UQAC.

Lignes directrices

Dans la mesure du possible, un compte unique et nominatif est requis pour chaque accès octroyé. Les comptes génériques doivent être évités, à moins d’en justifier techniquement l’utilisation;

Les accès à l’information doivent être définis sur la base du principe du privilège minimal et du principe de séparation des tâches. Les mécanismes de contrôle d’accès doivent être mis en place en se basant sur le degré de sensibilité de l’information utilisée.

 Le départ, le transfert ou la mutation d’un utilisateur ainsi que tout autre changement relatif à ses tâches et ses fonctions doit conduire systématiquement à la révision de ses droits d’accès.

Toute dérogation aux critères d’habilitation prévus pour disposer des accès requis pour une fonction organisationnelle doit être autorisée par le gestionnaire et le détenteur concernés.

Des règles d’autorisation et de restriction des accès à distance doivent être clairement définies et approuvées par les détenteurs de l’information. L’utilisation de la technologie de réseau privé virtuel (VPN) est privilégiée. Les accès à ces réseaux privés ont une durée de vie limitée et doivent être renouvelés périodiquement.

Les équipements informatiques de l’organisme doivent être protégés adéquatement contre tout accès non autorisé et contre toute perte ou tout dommage qui pourrait être causé de façon accidentelle ou délibérée.

Les utilisateurs de dispositifs mobiles doivent être sensibilisés aux risques de sécurité encourus par l’information à laquelle ils ont accès. Ils doivent être également formés à l’utilisation des bonnes pratiques en la matière.

L’attribution d’un accès à des données stratégiques est précédée d’un engagement formel de l’utilisateur quant au respect des règles de protection des moyens d’accès fournis et au devoir de signalement en cas de divulgation non autorisée ou même de suspicion de divulgation d’information stratégique.

Le réseau de l’organisme doit être divisé en zones de sécurité, si requis. Les niveaux de sécurité de ces zones sont en fonction du degré de sensibilité de l’information et de la criticité des applications.

Rôles et responsabilités

Dans le cadre de la mise en place d’un processus de gestion des accès, les principales responsabilités assignées par la présente procédure sont les suivantes :

Régie du Rectorat :
  • Approuve la présente directive et en assure la diffusion;
  • S’assure de la mise en place du processus formel de gestion des accès à l’information au sein de son organisme;
  • Approuve toute dérogation aux dispositions de la directive.
Responsable de la sécurité informationnelle :
  • Approuve le processus de gestion des accès et le soumet pour approbation au Comité de gouvernance de l’UQAC;
  • S’assure de la mise en œuvre du processus de gestion des accès.
Le ou les conseiller(s) organisationnel(s) de la sécurité de l’information (COSI)
  • Soutien les gestionnaires académiques et administratifs, les détenteurs d’actifs informationnels et les pilotes de systèmes dans la mise en oeuvre et le maintien du processus de gestion des accès;
  • Définit les procédures régissant les arrivées, départs et mouvement de personnel;
  • Organise des séances de sensibilisation des utilisateurs.
Les détenteurs de l’information, gestionnaires ou leurs représentants (pilotes de systèmes) :
  • Définissent les profils d’accès applicatifs supportés par les systèmes de mission (applications) relevant de leur autorité;
  • Définissent les règles d’autorisation et de restriction des accès à l’information relevant de leur autorité sur la base du principe du privilège minimal et du principe de la séparation des tâches;
  • Autorisent, modifient ou retirent les accès à l’information relevant de leur autorité dans un délai raisonnable;
  • Conservent l’information relative aux demandes d’accès, de modifications ou suppressions.
Révisent périodiquement les accès :
  • Les accès attribués doivent être revus de manière périodique. Les droits, leurs modifications et leurs violations doivent être répertoriés.
  • Les habilitations consignées au référentiel des habilitations doivent être, en tout temps, conformes aux descriptions de tâches associées aux fonctions organisationnelles et aux profils d’accès à l’information.
  • Un audit des mécanismes de contrôle de gestion des accès doit être effectué périodiquement.
  • Un registre des détenteurs d’actifs est maintenu au service des technologies de l’information.
Le Service des technologies de l’information
  • Met en place les solutions technologiques répondant aux exigences de la directive de gestion des accès;
  • Met en place les outils de journalisation des accès;
  • S’assure que les utilisateurs n’ont pas accès à leur poste de travail en tant qu’administrateurs et que toute exception est documentée et approuvée;
  • Met en place sur les postes de travail des mesures de protection contre les accès non autorisés et les vulnérabilités logicielles;
  • Met en place les mécanismes de surveillance et de contrôle des méthodes d’accès à distance (VPN);
  • Soutien les détenteurs d’information, gestionnaires ou leur représentant dans la mise en place et le suivi de la gestion des accès.
L’utilisateur :
  • N’emploie l’information à laquelle il a accès que pour des tâches qui lui sont assignées;
  • Est responsable des accès qui lui sont octroyés et redevable auprès de ses gestionnaires de toute action exécutée en utilisant son identifiant et son authentifiant;
  • N’utilise un compte administrateur (Compte 2) que pour effectuer des actions qui le requièrent;
  • S’engage au respect des règles de protection mises en place;
  • Ne partage sous aucun prétexte ses informations de connexion aux environnements et systèmes d’information;
  • Signale, sans délai, toute atteinte à la sécurité de l’information à laquelle il accède.

Sanctions

Lorsqu’un utilisateur contrevient à la présente, il s’expose à des mesures disciplinaires, administratives ou légales en fonction de son geste. Ces mesures peuvent inclure la suspension des privilèges, la réprimande, la suspension, le congédiement ou autre, et ce, conformément aux dispositions des conventions collectives, des ententes ou des contrats. L’établissement peut transmettre à toute autorité judiciaire les renseignements colligés et qui portent à croire qu’une infraction à toute loi ou règlement a été commise.

Directives associées au présent document :