Approbation | |
Instance | Date |
Régie du Rectorat | 26 avril 2021 |
Modification | |||
Instance ou Secrétariat général | Date | Décision | Commentaires |
Secrétariat général | 30 novembre 2021 | Modifications mineures au point 2.2.4 en raison de la migration sur Office 365 | |
Régie du recteur | 22 janvier 2024 |
Révision | Aux trois (3) ans |
Responsable | Responsable de la sécurité de l’information |
Parties prenantes | Service des technologies de l’information |
1. Dispositions générale
1.1. Préambule
Découlant de la Politique de sécurité des actifs informationnels, la directive de gestion des comptes de courriel se veut un encadrement spécifique de l’utilisation du service de courrier électronique de la plateforme infonuagique de Microsoft 365.
1.2. Objectifs
Énoncer plus spécifiquement les rôles et les modalités relatives au privilège d’utiliser un compte de courriel officiel de l’UQAC.
1.3. Champ d’application
La présente directive s’applique à toutes les personnes détentrices d’un compte de courriel de l’UQAC.
1.4. Références
- Directive relative à l’utilisation des outils infonuagiques Microsoft 365
- Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement
- Politique relative à la sécurité des actifs informationnels
1.5 Responsable de l’application
Le Chef de la sécurité de l’information organisationnelle est responsable de l’application de la présente directive.
1.6 Définitions
Aux fins d’application de la présente directive, les expressions suivantes se définissent comme suit :
« Adresse de courriel officielle de l’UQAC » : identifiant unique qui se termine par uqac.ca grâce auquel la personne détentrice peut communiquer par courrier électronique.
« ANP » : L’assistant numérique personnel est un appareil mobile : téléphone intelligent, tablette ou autres. Il peut recevoir, stocker, traiter et transmettre de l’information.
« Correctifs de sécurité » : modification à la programmation dans le but de corriger les vulnérabilités ou les failles de sécurité dans les systèmes d’exploitation ainsi que dans d’autres logiciels d’applications.
« Personne détentrice d’un compte de courriel » : ressource à qui une adresse de courriel a été octroyée.
« Dispositifs personnels » : équipements informatiques qui ne sont pas la propriété de l’UQAC et dont le Service des technologies de l’information n’assure pas le maintien ni le support.
« Logiciel antivirus » : logiciel de sécurité qui procède, automatiquement ou sur demande, à l’analyse des fichiers et de la mémoire d’un ordinateur, dans le but de détecter et/ou éradiquer tout virus dans un système informatique.
« Chef de la sécurité de l’information organisationnelle » : la personne chargée à l’UQAC de représenter le sous-ministre ou le dirigeant en matière de gestion et de coordination de la sécurité de l’information dans l’organisation.
« Privilèges de connexion » : le niveau d’autorité avec lequel une personne utilisatrice accède à un système.
2. Rôles et responsabilités
2.1. Rôles
2.1.1 Le rôle du Service des technologies de l’information est :
- D’assurer le soutien et la gestion de l’infrastructure de courriel de l’UQAC (uqac.ca) qui prennent en considération les besoins de communication avec toute la communauté;
- D’assurer une copie de sauvegarde complémentaire à celle de 30 jours du fournisseur infonuagique pour une conservation d’un an à l’exception des étudiants;
- D’assurer le maintien et l’évolution de dispositifs de sécurité afin de réduire les risques à la sécurité de l’information incluant, sans s’y limiter, la diffusion des courriels indésirables ou non sollicités.
2.1.2 Les responsabilités de la personne détentrice du compte de courriel :
- Acquérir les habiletés minimales lui permettant de gérer son compte de courriel;
- Faire la gestion des messages reçus régulièrement afin d’éviter que leur accumulation dans la boîte de courriel n’empêche la réception de nouveaux messages;
- Respecter, lorsque requis, le caractère confidentiel des informations transmises ou recueillies par courriel;
- Utiliser la boîte courriel à des fins professionnelles, de recherche, d’enseignement ou d’étude uniquement ;
- Gérer l’information contenue dans la boîte courriel conformément à la directive de gestion documentaire (à venir);
- Dans le cas des personnes étudiantes uniquement, tenir compte que la durée de la copie de sauvegarde est celle de 30 jours offerte par le manufacturier.
2.2. Modalités
Les modalités d’autorisation et d’octroi du compte de courriel varient selon le type de compte.
Les adresses courriel utilisées qui ne sont plus actives ne sont jamais remises en circulation.
2.2.1 Détention du compte de courriel
La maintenance et le soutien de l’infrastructure de messagerie est sous la responsabilité de l’UQAC. Seule la personne Secrétaire générale ou son mandataire peuvent accorder l’accès au contenu d’une boite de courriel à une autre personne que son détenteur ou sa détentrice, conformément aux articles 3 et 4.
2.2.2 Normalisation des adresses de courriel
Adresses de courriel internes
L’adresse de courriel d’une personne étudiante est octroyée sous le format pnom[9]@etu.uqac.ca (pnom=identifiant court d’authentification d’un maximum de 10 caractères). Le [9] est une incrémentation pour éviter les doublons.
L’adresse de courriel d’une personne employée est octroyée sous le format p[9]nom@uqac.ca (pnom=identifiant court d’authentification d’un maximum de 8 caractères).
L’adresse est octroyée et demeure active selon les paramètres spécifiés dans la directive relative à l’utilisation des outils infonuagiques Microsoft 365.
Compte de courriel externe
Les comptes de courriel externes sont créés par le Service des technologies de l’information à la demande de la personne gestionnaire du secteur qui l’autorise et avec les justifications d’utilisation nécessaires.
L’adresse de courriel d’une ressource externe est octroyée sous le format p[9]nom@ext.uqac.ca (pnom=identifiant court d’authentification d’un maximum de 10 caractères). Le [9] est une incrémentation pour éviter les doublons.
L’adresse est désactivée dès la fin du contrat ou mandat annoncé par le ou la gestionnaire du secteur responsable.
Compte de courriel générique
Une adresse de courriel générique partagée peut être créée pour des besoins spécifiques nécessaires à une fonction. La demande devra être justifiée auprès de la personne responsable de l’infrastructure de courrier.
L’adresse de courriel générique doit contenir l’acronyme du secteur responsable de son contenu et des messages véhiculés.
Les paramètres suivants devront également être respectés :
- L’adresse de courriel générique est utilisée seulement pour l’envoi et la réception de courriels;
- Les accès à la boîte de courrier générique sont donnés uniquement à des personnes détentrices de comptes de courriel nommés;
- Le ou la gestionnaire du secteur responsable de la boîte de courrier générique partagée est responsable de la gestion des accès et de sa destruction lorsqu’elle n’est plus utilisée;
- Le support de la boîte de courrier générique est assuré seulement si elle est accédée avec l’application Outlook (Client ou WEB).
3. Droit de regard spécifique
L’UQAC a le droit de regard sur l’utilisation de ses actifs informationnels incluant le système de courrier électronique. Des données concernant l’utilisation qui est faite des équipements et ressources informatiques peuvent être collectées et conservées notamment dans les journaux d’activités des composantes du système de courrier électronique. Afin d’assurer la disponibilité et la qualité des services offerts, ces données peuvent être consultées de façon occasionnelle par les responsables de l’infrastructure de messagerie.
Ces données peuvent servir lors d’enquêtes effectuées conformément aux dispositions de la présente directive et aux lois applicables. Des vérifications peuvent être effectuées à la suite de demandes spécifiques autorisées par le ou la Secrétaire générale ou son mandataire si une personne gestionnaire ou autre autorité a des motifs raisonnables de croire qu’un utilisateur fait usage du courrier électronique mis à sa disposition à mauvais escient ou de façon inappropriée. Les vérifications peuvent être également initiées par les responsables de l’infrastructure de messagerie dans le cas où une vérification routinière des journaux d’activités soulèverait le même type de craintes raisonnables requérant une investigation plus poussée. Dans tous les cas, une vérification formelle de l’utilisation du système de courrier par un usager doit être justifiée, par le Chef de la sécurité de l’information organisationnelle et approuvée par le ou la Secrétaire générale ou son mandataire.
Ce droit de regard de l’UQAC sur l’utilisation de ses actifs informationnels s’applique tout autant sur les actifs hébergés et maintenus par le personnel de l’organisation que sur les actifs hébergés et/ou maintenus par des tiers fournissant les services en question à l’UQAC.
En cas d’urgence, la vérification des courriels d’une personne employée ne peut s’effectuer que sur autorisation explicite du ou de la Secrétaire générale ou de son mandataire.
Une vérification des courriels d’une personne employée sera effectuée si l’UQAC a des motifs raisonnables de croire que l’usager ou l’usagère fait une utilisation de son courrier électronique en contravention des lois en vigueur, politiques, règlements ou directives de l’Université, sur autorisation explicite du ou de la Secrétaire générale ou de son mandataire.
L’UQAC collaborera également à toute requête en provenance des autorités policières ou de toute autre autorité dûment mandatée aux fins de l’application des lois ou règlements auxquels elle est assujettie.
4. Continuité de service
En cas d’absence ou de départ d’une employée ou d’un employé, le ou la supérieure immédiate peut demander l’autorisation à la personne Secrétaire générale ou son mandataire d’accéder à la boîte de courrier électronique de la personne employée afin de mettre en place un avis automatique d’absence pendant un délai de 3 mois ou pour toute autre durée utile, selon chaque cas d’espèce.
Pour assurer une continuité de service, elle ou il peut également demander l’autorisation à la personne Secrétaire générale ou son mandataire :
– d’avoir accès ponctuellement aux messages entreposés dans la boîte de courrier électronique de la personne employée ;
et/ou
– de mettre en place une redirection des courriers électroniques de la personne employée vers la boîte courrier électronique de sa ou son remplaçant.
Dans le cas où un accès ou une redirection des courriers électroniques donnerait accès à des renseignements personnels dont la collecte n’était pas utilisée par la personne employée à des fins d’enseignement, d’étude et de recherche, seuls le ou la supérieure immédiate ou la personne agissant à titre de substitut dûment autorisée y auront accès. Ceux-ci ne pourront pas communiquer les renseignements personnels de la personne employée sans son consentement, sauf si la loi l’autorise.
5. Manquement
Tout manquement à cette directive peut faire l’objet d’une sanction selon les conventions collectives, politiques et procédures en vigueur à l’UQAC ou toute autre loi ou réglementation applicable en l’espèce.
6. Mise à jour
La présente directive est mise à jour minimalement à tous les trois (3) ans. Toute mise à jour est adoptée par la Régie du rectorat de l’UQAC.
7. Dispositions finales
La présente directive entre en vigueur au moment de son approbation par la Régie du rectorat de l’UQAC.