Approbation | |
Instance | Date |
Régie du Rectorat | 22 janvier 2024 |
Modification | |||
Instance ou Secrétariat général | Date | Décision | Commentaires |
Révision | Aux trois (3) ans |
Responsable | Responsable de la sécurité de l’information |
Parties prenantes | Ensemble de la communauté universitaire |
1. Dispositions générales
1.1. Préambule
Dans le cadre des orientations gouvernementales visant une utilisation efficace des technologies de l’information ainsi qu’un recours accru aux ressources infonuagiques, l’Université du Québec à Chicoutimi offre à ses personnes utilisatrices des outils à usage professionnel par le biais de la plateforme Microsoft 365 (M365) de Microsoft.
Les applications de la suite Microsoft 365 offertes aux personnes utilisatrices constituent des outils de création, de collaboration, de diffusion et de stockage, et ce, tout en étant accessibles de partout en tout temps.
De par leur nature, l’utilisation de ces applications peut comporter des implications pour la sécurité et la réputation de l’Université et il convient donc de s’assurer d’en encadrer l’utilisation. Cette directive découle de la Politique de sécurité des actifs informationnels de l’UQAC et permet d’encadrer plus spécifiquement l’utilisation des outils infonuagiques de Microsoft 365.
L’ensemble des règles de gouvernance en constante évolution et approuvées par le Comité opérationnel de transformation numérique (à venir), découle de la présente directive.
Certaines applications de la suite Microsoft 365 ne sont actuellement pas disponibles pour les personnes utilisatrices de l’UQAC. Une évaluation plus approfondie de leur interopérabilité avec les outils existants, une évaluation des risques et de l’impact sur la communauté des personnes utilisatrices et une planification sont nécessaires. Une fois cette phase terminée, des priorités seront établies en fonction de la valeur ajoutée qu’elles pourraient apporter à la communauté de l’UQAC.
1.2. Objectifs
La présente directive a pour objet de baliser l’utilisation des outils de collaboration infonuagiques de la suite Microsoft 365. EIle énonce à cet égard des règles d’utilisation tenant compte de la sécurité de l’information, du respect des bonnes pratiques de gestion documentaire ainsi que de la préservation de l’image et de la réputation de l’université.
1.3. Champ d’application
La présente directive s’applique à l’ensemble des personnes utilisatrices, internes et externes, des ressources infonuagiques de la suite Microsoft 365 de l’Université du Québec à Chicoutimi.
1.4 Références
- Directive gouvernementale sur la sécurité de l’information, sections IV et V.
- Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement
- Politique relative à la sécurité des actifs informationnels
1.5 Responsable de l’application
Le Chef de la sécurité de l’information organisationnelle est responsable de son application et d’y apporter toutes modifications utiles à cette fin.
1.6 Définitions
Adresse de courriel officielle de l’UQAC : identifiant unique qui se termine par uqac.ca grâce auquel son détenteur peut communiquer par courrier électronique et se connecter à la plateforme infonuagique M365.
ANP : L’assistant numérique personnel est un appareil mobile : téléphone intelligent, tablette ou autres. Il peut recevoir, stocker, traiter et transmettre de l’information.
Chef de la sécurité de l’information organisationnelle : la personne chargée à l’UQAC de représenter le sous-ministre ou le dirigeant en matière de gestion et de coordination de la sécurité de l’information dans l’organisation.
Document confidentiel: Document qui contient des renseignements ayant une valeur stratégique élevée pour l’UQAC. En cas de divulgation les conséquences porteraient lourdement préjudice.
Document public : Document qui n’a aucune valeur stratégique, économique ou ne contient aucun renseignement protégé par la loi. En cas de divulgation en dehors de l’UQAC (ou unité) les conséquences sont nulles ou minimes.
Document restreint : Document qui contient des renseignements n’ayant pas un caractère sensible au sens de la loi ou ayant une valeur stratégique modérée. En cas de divulgation en dehors de l’UQAC (ou unité) les conséquences pourraient nuire de façon modérée ou importante.
Document sensible: Document qui renferme en tout ou en partie des renseignements protégés par la loi ou à caractère sensibles ou privés qui permettent d’identifier une personne ou de porter un jugement sur une personne. En cas de divulgation en dehors de l’UQAC (ou unité) les conséquences pourraient causer préjudice à cette personne.
Outils de la suite M365 : l’ensemble des applications du fabricant Microsoft ou d’un de ses partenaires, offertes par le biais du portail web Microsoft 365 ou s’y connectant d’une façon ou d’une autre. Ceci inclut sans s’y restreindre, les applications Microsoft Teams, SharePoint, Outlook et OneDrive Entreprise.
Utilisateur des outils de la suite M365 : toute personne, groupe de personnes ou autre entité, à qui un droit d’accès à la plateforme infonuagique Microsoft 365 de l’UQAC a été octroyé directement par le biais de son adresse de courriel officielle de l’UQAC.
Utilisateur externe ou utilisateur invité : toute personne, groupe, organisation ou autre, accédant aux outils et données de la suite M365 de l’UQAC par le biais d’une adresse de courriel externe à l’UQAC (ne se terminant pas par uqac.ca).
Utilisateur invitant : tout utilisateur des outils de la suite M365 qui donne accès à un utilisateur externe à une ou des ressources hébergées dans la plateforme M365 appartenant à l’UQAC.
2. Rôles et responsabilités
2.1 Le rôle du Comité opérationnel de transformation numérique (à venir)
- Approuver les règles de gouvernance de l’environnement Microsoft 365 de l’UQAC. (à venir)
2.2 Le rôle du Service des technologies de l’information est :
- De mettre en place les mesures technologiques qui correspondent aux règles de gouvernance assurant le respect de la présente directive;
- D’exercer une surveillance de la plateforme et de procéder aux interventions requises auprès des usagers en cas d’utilisation non- conforme;
- D’assurer le maintien et l’évolution des dispositifs de sécurité;
- De prendre en charge la gestion des licences Microsoft 365;
- De fournir le soutien au fonctionnement applicatif à l’aide de tutoriels ou avec des liens sur la plateforme en ligne de support de Microsoft ou avec les services d’un tiers.
2.3 Les responsabilités de la personne utilisatrice des outils de la suite Microsoft 365 :
- Prendre connaissance de la présente directive ainsi que des règles de gouvernance et d’utilisation des applications infonuagiques Microsoft de l’UQAC;
- Prendre connaissance des procédures et tutoriels d’utilisation des applications ;
- Éviter tout comportement non éthique, nocif ou malveillant par négligence ou de manière volontaire;
- Utiliser les accès octroyés à la plateforme Microsoft 365 par l’UQAC à des fins professionnelles, de recherches, d’enseignement ou d’étude uniquement.
2.3.1 Informations confidentielles
Les personnes utilisatrices des outils de la suite M365 peuvent avoir accès à des informations de nature confidentielle ou sensible dans l’exercice de leurs fonctions au sein de l’Université. Tout comme lorsque des ressources informationnelles internes de l’Université sont employées pour l’accès et le traitement de ces données, la personne utilisatrice est responsable d’exercer une vigilance particulière lors de l’utilisation des données en contexte infonuagique.
La personne utilisatrice ne doit pas recourir aux outils de collaboration à des fins d’échanges d’informations confidentielles pour substituer à des processus officiels de sécurité en place.
- La personne utilisatrice doit informer ses collaborateurs de la nature des informations échangées sur la plateforme des outils de collaboration, notamment leur degré de sensibilité et de criticité;
- Lorsque la personne utilisatrice partage des informations, qu’elle détient dans le cadre de ses fonctions, avec des personnes légitimes, externes à la plateforme des outils de collaboration, elle doit en tout temps suivre les bonnes pratiques de partage vers l’externe en vigueur;
- La personne utilisatrice doit s’assurer de bien saisir la portée (publique, restreinte, sensible ou confidentielle) de l’information partagée. Elle doit s’assurer de la légitimité et de l’identité de ses interlocuteurs. Elle doit en outre limiter la durée de la présence des informations confidentielles sur la plateforme de collaboration;
- La personne utilisatrice reconnaît que les informations échangées sur la plateforme des outils de collaboration demeurent la propriété de l’Université. Celle-ci peut donc user au besoin de son droit de regard si elle estime qu’un préjudice a été, ou pourrait être, commis;
- La personne utilisatrice doit prendre connaissance du processus et de la durée de sauvegarde des données enregistrés dans les espaces collaboratifs par le fournisseur infonuagique et prévoir si nécessaire des procédures de sauvegardes complémentaires en cas de besoin.
2.3.2 Contrôle d’accès
Tout comme lors de l’utilisation de toute autre ressource informationnelle de l’Université du Québec à Chicoutimi, la personne utilisatrice des applications de la suite Microsoft 365 doit respecter les règles suivantes :
- La personne utilisatrice doit utiliser uniquement ses identifiants personnels fournis par l’Université. En aucun cas la personne utilisatrice est autorisée utiliser les identifiants (nom d’utilisateur et mot de passe) d’une autre personne;
- La personne utilisatrice doit respecter l’ensemble de dispositifs de protection en place;
- La personne utilisatrice doit veiller à la protection de ses identifiants (nom d’utilisateur et mot de passe) permettant d’accéder à la plateforme des outils de collaboration.
2.3.3 Gestion documentaire et conservation des documents
Afin d’assurer la sécurité des documents, une saine gestion des espaces d’entreposage et le respect des obligations de l’Université en matière de gestion des renseignements personnels et de sécurité de l’information, les outils de collaboration de la suite Microsoft 365 comme Outlook ou Teams ne peuvent être utilisés pour substituer à des solutions de gestion documentaire. Ces outils permettent des échanges et une collaboration sur des documents en évolution et pour une durée définie.
L’information contenue dans les outils de collaboration de la suite Microsoft 365 y est déposée de façon transitoire.
Tous les documents revêtant une importance organisationnelle doivent être rapatriés et sauvegardés dans un dépôt (Partage ou SyGED) respectant les normes documentaires de l’Université (classification et calendrier de conservation).
Aucun document contenant des renseignements personnels ou des informations confidentielles protégées par la loi ne doit être conservé sur la plateforme infonuagique M365.
2.3.4 Accès par appareils personnels
Les outils de collaboration offrent des facilités d’accès multiplateformes (téléphones intelligents, tablettes, ordinateurs personnels, etc.) qui ne sont pas sous le contrôle des mesures de sécurité du service informatique de l’Université.
La personne utilisatrice a la responsabilité de s’assurer de prendre toutes les précautions nécessaires afin de garantir la sécurité des informations qu’elle détient lorsqu’elle accède à la plateforme. Notamment, avec :
- Un logiciel antivirus à jour;
- L’installation de correctifs de sécurité du système d’exploitation et des applications;
- L’utilisation des privilèges de connexion de niveau utilisateur (restreindre les privilèges);
- L’utilisation d’un mot de passe d’ouverture de session robuste;
- L’utilisation minimalement d’un code d’accès sur les dispositifs personnels (ANP);
- Le verrouillage automatique des dispositifs personnels suite à un court délai d’inactivité.
De plus, la personne utilisatrice doit s’assurer de maintenir une séparation entre ses informations personnelles et professionnelles. Elle doit en outre s’assurer de n’activer aucun mécanisme de synchronisation automatique entre l’environnement infonuagique et un appareil personnel.
Finalement, afin d’assurer une meilleure sécurité lors d’accès aux ressources infonuagiques depuis des appareils personnels ou d’appareils UQAC utilisés hors du réseau protégé de l’Université, une authentification à double facteur est exigée pour chaque appareil.
2.3.5 Personnes utilisatrices invitées
La suite de collaboration M365 permet aux personnes utilisatrices de partager des applications, services et données corporatives avec des personnes utilisatrices invitées, partenaires externes ou autres, issus de n’importe quelle organisation.
En tout temps cette pratique doit répondre aux exigences de sécurité suivantes :
- La personne utilisatrice invitant doit s’assurer de l’identification de son invité;
- La personne utilisatrice invitant doit accorder les autorisations d’actions minimales requises dans le cadre des activités de l’invité;
- La personne utilisatrice invitant doit informer son invité de la sensibilité des échanges et des règles de sécurité à observer;
- La personne utilisatrice invitant doit retirer le compte de son invité, dès que sa collaboration n’est plus requise ou à la suite du non-respect des règles de sécurité communiquées.
La pertinence du maintien du droit d’accès d’une personne invitée doit être confirmée après six (3) mois par la personne utilisatrice externe elle-même puis par la personne utilisatrice invitant après (6) mois. En l’absence de confirmation de l’utilité du maintien du droit d’accès d’une personne utilisatrice externe, ce droit est révoqué automatiquement et une nouvelle invitation doit être effectuée au besoin.
2.3.6 Déclaration d’incidents de sécurité
La personne utilisatrice doit immédiatement signaler au Chef de la sécurité de l’information organisationnelle ainsi qu’au Responsable de l’accès des documents et de la protection des renseignements personnels, par le biais du formulaire de déclaration d’incident de sécurité de l’information, tout acte qui pourrait compromettre la mission et/ou la réputation de l’UQAC ainsi que toute atteinte à la protection des renseignements personnels.
2.3.7 Comportement éthique, civilisé et non discriminatoire
L’utilisation des outils de collaboration permet des échanges et des discussions qui doivent être faits en respect des règles gouvernant les échanges de la communauté de l’UQAC. Tel que spécifié dans la Politique pour promouvoir la civilité, prévenir et contrer la discrimination, le harcèlement et la violence, chaque personne utilisatrice est responsable du contenu de ses propos et de la vérification de l’exactitude des affirmations diffusées.
3. Droits d’accès à la plateforme
3.1 Droits d’accès des employés
Les comptes Microsoft 365 des personnes employées incluant le personnel enseignant, sont créés au moment et sous l’autorité du processus d’embauche.
Le droit d’accès d’un employé est maintenu 90 jours à la suite de la date officielle de sa retraite. Les données individuelles de la personne utilisatrice entreposées sur la plateforme sont supprimées dès le retrait du droit d’accès. L’accès aux données administratives est entièrement suspendu. Ceci incluant le courriel et l’ensemble des outils Microsoft 365 utilisés avec l’identifiant.
Dans tous les autres cas de rupture du lien d’emplois, les accès sont immédiatement suspendus à la date effective de départ. Les données individuelles de la personne utilisatrice sont supprimées après 90 jours.
Il est de la responsabilité de la personne utilisatrice d’effectuer une sauvegarde de ses données personnelles avant l’expiration de son droit d’accès.
3.2 Droit d’accès du personnel enseignant
En cas de cessation d’emploi, à l’exception de la retraite, les accès sont immédiatement suspendus à la date effective de départ. Les données individuelles de la personne utilisatrice sont supprimées après 90 jours. Ceci incluant le courriel et l’ensemble des outils Microsoft 365 utilisés avec l’identifiant.
À la retraite, lorsque des activités d’enseignement ou de recherches sont maintenues avec l’UQAC, l’accès à la plateforme peut être conservé et doit être révisé périodiquement.
Il est de la responsabilité de la personne utilisatrice d’effectuer une sauvegarde de ses données personnelles avant l’expiration de son droit d’accès.
3.3 Droit d’accès des étudiants
Les comptes Microsoft 365 de la communauté étudiante sont créés avec le processus d’admission du Bureau du registraire et sous l’autorité de celui-ci.
Le droit d’accès d’une personne étudiante à la plateforme est retiré 6 sessions après la dernière inscription, la fin des études ou une admission sans inscription. Ceci incluant le courriel et l’ensemble des outils Microsoft 365 utilisés avec l’identifiant.
Les données individuelles entreposées sur la plateforme M365 sont supprimées dès le retrait du droit d’accès.
Il est de la responsabilité de la personne utilisatrice d’effectuer une sauvegarde de ses données personnelles avant l’expiration de son droit d’accès.
4. Droit de regard
L’Université du Québec à Chicoutimi peut, en conformité avec la législation et la réglementation en vigueur, exercer un droit de regard sur tout usage des actifs informationnels qu’elle met à la disposition de ses personnes utilisatrices, incluant les divers outils de la plateforme Microsoft 365.
5. Manquements
Tout manquement à la directive peut faire l’objet d’une sanction selon les conventions collectives, politiques et procédures en vigueur au sein de l’Université ou conformément à toutes lois ou règlements qui pourraient s’appliquer de manière supplétive.
6. Mise à jour
La présente directive est mise à jour minimalement à tous les trois (3) ans. Toute mise à jour est adoptée par la Régie du rectorat de l’UQAC.
7. Dispositions finales
La présente directive entre en vigueur au moment de son approbation par la Régie du rectorat de l’UQAC.