Vous êtes sur la page 1sur 11

Politique de sécurité des

actifs informationnels

Politique de sécurité des actifs informationnels

Politique de sécurité des actifs informationnels 1


1. Contexte

Groupe Canam inc. reconnaît qu’il est tributaire d’un certain nombre de ressources
informationnelles qui sont stratégiques pour l’accomplissement de ses activités et
de sa mission.
Elle reconnaît également que l’information, sous toutes ses formes, est essentielle
à ses opérations courantes et qu'à ce titre, elle doit faire l'objet d'une utilisation
appropriée et d'une protection adéquate, le tout en conformité avec les différentes
lois applicables, telles C198 et les meilleures pratiques en matière de sécurité.

2. Objectifs

La politique de sécurité des actifs informationnels exprime la prise de position de


Groupe Canam inc. concernant les mesures de sécurité considérées comme
essentielles à la protection de ses actifs informationnels.
Elle vise à définir les règles en matière de sécurité de ces actifs informationnels et
à assurer la poursuite des activités de l’entreprise dans le respect des obligations
légales et administratives et à assurer la sécurité de l’information numérique et la
protection des renseignements personnels ou sensibles qu’elle collecte, détient,
utilise ou échange électroniquement.
Elle permet également d’identifier et de définir les responsabilités des intervenants
de sa mise en œuvre et des utilisateurs des actifs informationnels de Groupe
Canam inc.

3. Définition

Actifs informationnels :
Les actifs informationnels de Groupe Canam inc. comprennent les documents
produits ou reçus dans le cadre des opérations de la compagnie, peu importe le
support d’information (papier, électronique ou autre, dont l’information verbale), les
équipements informatiques, les applications informatiques et la documentation
nécessaire à leur bon fonctionnement, les logiciels et progiciels, les traitements
informatiques et les données traitées par ordinateur.

4. Champs d’application

4.1 Actifs visés


Cette politique s’applique à l’information et aux actifs informationnels :
• Appartenant ou détenus par Groupe Canam inc.;

Politique de sécurité des actifs informationnels 2


• appartenant à Groupe Canam inc. et exploités ou détenus par un
fournisseur de services ou un tiers;
• appartenant à un fournisseur de services ou un tiers et exploités par lui au
profit de Groupe Canam inc.

4.2 Personnes visées


Cette politique s’adresse :
• À tout le personnel du Groupe Canam inc., de quelque statut qu’il soit,
régulier, occasionnel, stagiaire, contractuel ou gestionnaire;
• À toute personne appelée à utiliser ces mêmes actifs informationnels dans
le cadre d’une prestation de travail ou de services effectués pour le compte
d’un partenaire ou d’un fournisseur, dans les locaux de Groupe Canam inc.
ou à un autre endroit.
Chaque employé doit lire cette politique et confirmer par voie électronique
qu’il/elle en a reçu une copie, en a pris connaissance, la comprend et consent à
la respecter.
Si vous désirez de l'information complémentaire quant à cette politique, nous
vous invitons à communiquer avec le Responsable de la sécurité des actifs
informationnels de Groupe Canam inc.

5. Utilisation des systèmes d'information

5.1 Propriété
Tout l'équipement, le logiciel et les services achetés, loués ou développés par
la compagnie demeurent la propriété de la compagnie. Tout programme
développé ainsi que toute information utilisée ou produite sous n'importe
quelle forme au moyen des systèmes d'information de la compagnie, devient
la propriété exclusive de la compagnie.

5.2 Sécurité
L'accès aux services informatisés de la compagnie est contrôlé par une
identification d'utilisateur et de mots de passe associés. L'employé ne doit
pas permettre à d'autres d'avoir accès à ces services au moyen de son
identification personnelle.
L'employé assume l'entière responsabilité de toute action liée à son compte.
Les employés autorisés à accéder aux systèmes via l'Internet se voient
remettre une "clé d'authentification" (CryptoCard) qui sera utilisée pour
générer des mots de passe à usage unique. Cette clé est la propriété de la
compagnie et ne devra en aucun cas être prêtée.

Politique de sécurité des actifs informationnels 3


5.3 Réseau informatique
5.3.1 Des mécanismes de contrôle d’accès tels des gardes-barrières,
préviennent et détectent les accès non autorisés au réseau.
5.3.2 Des mesures de sécurité protégeant le réseau et l’accès à l’Internet
permettent d’assurer la continuité des opérations.
5.3.3 Les mesures de sécurité protégeant les données circulant sur le
réseau et l’Internet (ex : chiffrement) sont mises en place de manière
à empêcher quiconque d’intercepter des données sensibles sans
autorisation.

5.4 Utilisation de l’Internet


L'utilisation des services Internet doit être limitée aux seuls besoins requis par
les affaires de la compagnie et ce, seulement durant les heures normales de
travail.
À titre de privilège, l'employé peut utiliser à des fins personnelles l'Internet
durant les périodes de repas et de pauses, mais cette utilisation doit être
restreinte quant au contenu. Le contenu acceptable exclut tout site ou
information pornographique, à caractère discriminatoire ou offensant. À cette
fin, la compagnie a mis en place un système de contrôle lui permettant de
limiter l'accès à certaines catégories de sites et d'effectuer un suivi détaillé de
l'utilisation de ces services.
Les téléchargements à partir de l'Internet sont strictement interdits à moins
que ce ne soit clairement à l'intérieur du cadre de travail de l'employé.

5.5 Poste de travail


Les restrictions de contenu ci-haut devront être observées pour tout fichier
conservé sur un poste de travail ainsi que pour les «écrans de veille» et
«fonds d'écran» utilisés.

6. Communications électroniques

6.1 Propriété
Toute communication électronique produite par ou parvenant à un ordinateur
de la compagnie est la propriété de la compagnie et peut être sujet à
examen. Le service de communication électronique est offert comme moyen
pour améliorer les communications, la productivité des employés, son
utilisation est destinée à des fins d'affaires.
D'un point de vue pratique, la compagnie permet l'utilisation des ressources
de communication électronique à des fins personnelles, mais cette utilisation
demeure sujette à examen par la compagnie et doit être compatible avec la

Politique de sécurité des actifs informationnels 4


politique de la compagnie, les normes d'éthique et morale courantes et être
conforme aux lois locales. Les examens seront effectués seulement par le
personnel autorisé de la compagnie et lorsque les circonstances le
justifieront. L'employé reconnaît qu'il ne dispose pas de garantie de
confidentialité dans ses communications électroniques.

6.2 Affichages
Pour les messages d'intérêt général tels qu'offre de vendre ou acheter
quelque chose ou pour d'autres publications non-reliées aux affaires, la
compagnie met à la disposition des employés des tableaux d'affichage locaux
(babillards) électroniques sur son Intranet où de tels articles peuvent être
affichés.

6.3 Confidentialité
Les communications électroniques ne doivent pas être considérées 100 %
confidentielles en raison de leur transmission sur des supports électroniques
et l'employé doit agir en conséquence lors de la transmission d'information de
nature confidentielle ou propriété de la compagnie.
La compagnie prendra les mesures appropriées pour protéger les messages
transmis électroniquement en empêchant leur interception non-autorisée ou
leur modification; cependant, il n'est pas possible de garantir la fiabilité
complète ou la totale confidentialité des communications électroniques.

6.4 Utilisations proscrites


Les services de communication électronique ne doivent pas être utilisés
incorrectement ou de façon abusive. Il est donc défendu de :
• Distribuer du matériel protégé par des droits d'auteur sans y être dûment
autorisé.
• Envoyer des messages grossiers, inopportuns, ou offensants comme des
insultes raciales, sexuelles ou religieuses.
• Envoyer et/ou accepter un logiciel ou des composants de logiciel incluant
des attachements qui peuvent contenir des plaisanteries offensantes, des
images explicites, des fichiers .mov, .avi, .exe ou .com. Il est important de
noter que ces types d'attachements sont souvent employés pour introduire
«des virus» sur des postes de travail.
• Accepter et faire suivre des messages courriels du type «chaîne de
lettres».
• Utiliser les communications électroniques pour la sollicitation au nom
d’entreprises extérieures, événements personnels, organismes de charité,
adhésion organisationnelle, causes politiques ou religieuses, ou autres
questions non-reliées aux affaires de la compagnie.

Politique de sécurité des actifs informationnels 5


7. Gestion des logiciels

Les logiciels représentent un investissement significatif pour la compagnie. Par


logiciel on entend tant les produits achetés de tiers que ceux développés à
l'interne, ainsi que leur documentation. Tout logiciel doit être sauvegardé de façon
à assurer un contrôle adéquat sur la duplication illicite ou l'utilisation frauduleuse.

7.1 Licences
La compagnie et ses employés observeront les conventions d’utilisation de
licences et les dispositions de droits d'auteur associées aux logiciels de
marque déposée, à ceux développés à l'interne, aux partagiciels ou
«shareware», du domaine public ou appartenant à des tiers.
La compagnie a mis en place des mécanismes de contrôle adéquats pour
assurer que :
• La compagnie respecte les accords de licence pour tout logiciel approuvé
qui est installé sur les ordinateurs possédés ou loués.
• Le logiciel et sa documentation sont protégés contre l'utilisation illicite et la
duplication frauduleuse.
• Les copies de logiciel sont effectuées seulement pour des fins de relève
et/ou selon les règles autorisées pour les versions d'utilisateurs multiples
d'un logiciel.

7.2 Installations
Tout logiciel doit être installé par le personnel de la DEI (Direction de
l’exploitation informatique) afin d'assurer la cohérence de la configuration des
postes de travail. Tout logiciel non-autorisé sera retiré.

7.3 Audits
Les fournisseurs de logiciel ont le droit d'exécuter des audits dans nos
installations pour s'assurer que nous nous soumettons à leurs termes de
licence. Afin de s'assurer de cette conformité, la compagnie se réserve le
droit d’inspecter les disques durs périodiquement afin de vérifier qu'elle
détient bien la licence requise pour chaque copie d'un logiciel sur un disque
dur.

Politique de sécurité des actifs informationnels 6


8. Continuité des activités informatiques de l’entreprise

La compagnie dispose de mesures d’urgence, consignées par écrit, éprouvées et


mises à jour en vue d’assurer la remise en opération, dans un délai raisonnable,
des systèmes d’information jugés essentiels en cas de sinistre majeur (ex. :
incendie, attaque cybernétique, panne électrique prolongée, inondation,
malveillance, etc.).

9. Sensibilisation et formation

Chaque gestionnaire doit sensibiliser son personnel à la sécurité des actifs


informationnels, aux conséquences d’une atteinte à la sécurité ainsi qu’aux rôle et
obligations de tous les employés de son service ou unité administrative dans le
processus de protection de ces actifs.
Le gestionnaire doit également veiller à ce que le personnel soit formé sur les
procédures de sécurité et sur l’utilisation correcte des actifs informationnels afin de
minimiser les risques de sécurité.

10. Sécurité physique en milieu de travail

Des mesures de contrôle des accès physiques aux lieux de travail et aux actifs
informationnels sont établies, appliquées et maintenues à jour.
Tous les équipements informatiques de Groupe Canam inc. sont identifiés,
classifiés, et un inventaire est tenu à jour.

11. Signalement des incidents

Tout utilisateur a l’obligation de signaler sans tarder à la personne assignée à la


sécurité des actifs informationnels tout acte susceptible de représenter une
violation réelle ou présumée des règles de sécurité tels que vol, intrusion dans un
réseau ou système, dommages délibérés, utilisation abusive, fraude, etc.

12. Partenaires et fournisseurs

Les contrats et ententes signés avec tout intervenant de Groupe Canam inc.
doivent intégrer des dispositions reconnues garantissant le respect des exigences
de sécurité de l’information.

Politique de sécurité des actifs informationnels 7


13. Droit de regard

Groupe Canam inc. a un droit de regard sur l’utilisation de ses actifs


informationnels par les usagers.
Ce droit de regard sera exercé conformément à la législation notamment la Charte
canadienne des droits et libertés (L.R.C. (1985) c-42) et la Charte des droits et
libertés de la personne du Québec (L.R.Q. C-12).

14. Rôles et responsabilités :

14.1 Le Président et chef de l’exploitation


Le Président et chef de l’exploitation est le premier responsable de la sécurité
des actifs informationnels au sein de Groupe Canam inc.
À cet égard, il approuve la politique de sécurité des actifs informationnels,
définit les valeurs et les orientations en la matière et s’assure qu’elles soient
partagées par l’ensemble du personnel de la compagnie.
Il s’assure de la mise en application de la présente politique et du cadre
normatif qui en découle.
Pour s’assurer de la sécurité des actifs informationnels de Groupe Canam
inc., il veille à l’attribution claire de responsabilités spécifiques aux
intervenants en sécurité.
Pour le représenter en cette matière au sein de Groupe Canam inc. et pour la
réalisation de l’ensemble des mesures précitées, il forme un Comité de
sécurité des actifs informationnels et nomme un responsable de cette
sécurité.

14.2 Le Comité de sécurité des actifs informationnels : (CSAI)


Le principal mandat du Comité de sécurité des actifs informationnels est,
après s’être assuré de leur cohérence avec les lois, orientations, politiques,
directives et autres recommandations décidées par la haute direction, de :
« Entériner et proposer, pour adoption par le Président et chef de
l’exploitation, les priorités, les orientations, le cadre de gestion, les politiques,
les directives et autres éléments stratégiques en matière de sécurité des
actifs informationnels de la compagnie. »

Politique de sécurité des actifs informationnels 8


Rôle et responsabilités du CSAI :

Pour réaliser son mandat, le CSAI doit :


• Voir annuellement à l’élaboration, l’actualisation, l’approbation et le suivi
d’un plan directeur de sécurité et des plans d’action départementaux.
• Autoriser les projets relatifs à la sécurité des actifs informationnels, en
conformité avec les budgets approuvés;
• Mandater les ressources ou les groupes de travail pour les activités de
sécurité des actifs informationnels;
• Informer le Président et chef de l’exploitation de toute situation pertinente
en matière de sécurité des actifs informationnels;
Le Comité de sécurité des actifs informationnels de Groupe Canam inc. est
composé des membres suivants :
• Le Vice-président des Technologies de l’Information;
• Le Directeur du Développement des Systèmes;
• Le Directeur de l’Exploitation informatique;
• Le Responsable de la Sécurité des actifs informationnels.

14.3 Le Responsable de la sécurité des actifs informationnels (RSAI)


À titre de représentant délégué du président et chef de l’exploitation en
matière de sécurité des actifs informationnels, le RSAI gère et coordonne la
sécurité des actifs informationnels de Groupe Canam inc.
Pour ce faire, il :
• Conseille la haute direction sur les risques potentiels en matière de
sécurité de même que sur les stratégies d’atténuation de ceux-ci. Il
recommande à la haute direction les orientations stratégiques et les
priorités d’intervention en matière de sécurité des actifs informationnels;
• Coordonne toutes les actions de sécurité autour des actifs informationnels
entre les différents détenteurs de processus et d’actifs informationnels;
• Planifie et coordonne l’ensemble des activités nécessaires à la continuité
des services informatiques en cas de sinistre;
• Conçoit, propose pour approbation, met en œuvre, gère et évalue le plan
directeur de sécurité des actifs informationnels;
• Est responsable d’élaborer et de mettre en œuvre des plans de
sensibilisation et de formation à la sécurité, des politiques, des normes et
des procédures de sécurité informatique de même que le registre
d’autorité;
• Agit comme secrétaire du Comité de sécurité des actifs informationnels;

Politique de sécurité des actifs informationnels 9


• Suit et coordonne toutes les activités découlant du plan directeur et des
plans d’actions de la sécurité des actifs informationnels de Groupe Canam
inc.

14.4 La Direction du développement des systèmes


La Direction du développement des systèmes assure la mise en application
des exigences de sécurité de Groupe Canam inc. durant tout le cycle de vie
de l’information numérique.
Elle voit à la mise en place et l’application des pratiques de développement
de systèmes sécurisés afin d'assurer l'application rigoureuse des fonctions de
sécurité : la disponibilité, l’intégrité, la confidentialité, l’authentification et
l’irrévocabilité, selon les exigences et les droits d’accès définis par les
détenteurs de processus et d’actifs informationnels.
Elle fournit à ces détenteurs le soutien et les conseils en matière de
protection de leurs actifs informationnels, restreint les accès de son personnel
spécialisé en technologie de l’information aux seules informations
indispensables à l’exercice de leurs fonctions, elle approuve et voit à
l’application de procédures, pratiques et standards de sécurité dans ce
domaine.

14.5 Les gestionnaires


Les principales responsabilités du gestionnaire à l’égard de la protection des
actifs informationnels sont, entre autres, de :
• Informer et sensibiliser son personnel quant aux dispositions de la
présente politique et des modalités liées à sa mise en œuvre;
• S’assurer que les ressources informationnelles sont utilisées en conformité
avec les principes généraux et les autres exigences de la présente
politique;
• Répondre de l’utilisation faite par son personnel des actifs informationnels.

14.6 Les utilisateurs


L’utilisateur d’un actif informationnel :
• Prend connaissance et adhère à la politique de sécurité des actifs
informationnels;
• Utilise les actifs informationnels en se limitant aux fins pour lesquelles ils
sont destinés et à l’intérieur des accès qui lui sont autorisés;
• Se conforme aux consignes et directives établies et dans le respect des
dispositions de la présente politique.

Politique de sécurité des actifs informationnels 10


15. Dispositions finales

15.1 Sanctions
Lorsqu’un utilisateur d’actif informationnel contrevient à cette politique ou aux
directives internes en découlant, le vice-président, Ressources humaines,
détermine selon la nature ou la gravité du cas, de l’opportunité d’appliquer
une sanction disciplinaire ou une mesure administrative qui peut inclure une
réprimande, une suspension ou un congédiement. La révocation de
l'utilisation d’actifs informationnels peut également être envisagée.
Le vice-président aux Ressources humaines peut aussi référer à une autorité
judiciaire les informations colligées et qui le portent à croire qu’une infraction
à toute loi ou règlement en vigueur a été commise.

15.2 Révision
Afin d’assurer son adéquation aux besoins de sécurité de Groupe Canam
inc., la présente politique doit être régulièrement révisée, au plus tard trois
années après sa mise en application ainsi que lors de changements qui
pourraient l’affecter.

15.3 Mise en application de la politique


Le responsable de la sécurité des actifs informationnels est chargé de
s’assurer de l’application de la présente politique.

15.4 Date d’entrée en vigueur


La présente politique entre en vigueur à la date de son approbation par le
président et chef de l’exploitation.

15.5 Approbation
La présente politique de sécurité des actifs informationnels est approuvée par
le Président et chef de l’exploitation.

APPROUVÉ PAR : DATE :

Politique de sécurité des actifs informationnels 11