Levio Conseils inc.

POLITIQUE D'UTILISATION ACCEPTABLE DES

TECHNOLOGIES DE L’INFORMATION

Code de référence : POL.ACCEPTUSE.FR

Version : 2.10
Statut : Approuvé
Date de la version : 2023-01-26
Propriétaire : Chef de la sécurité de l’information d’entreprise (CISO)
Approuvée par : Comité de sécurité de l’information (CSI)
Classification
Utilisation interne
de confidentialité :
Levio Conseils inc. UTILISATION INTERNE

Historiques des modifications

Date Version Auteur Description des modifications

2020-05-05 0.10 Guillaume Structure documentaire de base

Courtemanche

2020-12-29 0.20 Denis Delmaire/ Bonification du document

Kokouvi Attikpo

2021-01-14 0.30 Denis Delmaire Intégration des commentaires de Yves Boivin,

Sylvain Blais et Martin Gagné

2021-03-01 0.40 Denis Delmaire Intégration des commentaires du Comité Capital

Humain et Affaires corporatives

2021-03-10 0.50 Stéphanie Gagnon Révision linguistique et mise en page

2021-03-12 1.00 Denis Delmaire Version approuvée

2021-04-08 1.10 Denis Delmaire Ajustements mineurs

2021-07-14 1.20 Guillaume Intégration des commentaires de Claude Perreault

Courtemanche

2022-01-11 2.00 Denis Delmaire Version approuvée par le CSI

2023-01-26 2.10 Catherine Hoang Révision et adaptation à ISO/IEC 27001:2022

Claude Landry Version approuvée par le CSI

Politique d’utilisation acceptable Version 2.10 Page 2 de 15

 Levio Conseils inc. UTILISATION INTERNE

Table des matières

1. BUT, DOMAINE D'APPLICATION ET AUDIENCE ...............................................................................................4
1.1. BUT ................................................................................................................................................................ 4
1.2. DOMAINE D’APPLICATION ................................................................................................................................... 4
1.3. AUDIENCE ........................................................................................................................................................ 4
2. RÉFÉRENCES ET DOCUMENTS ASSOCIÉS ........................................................................................................4
3. UTILISATION ACCEPTABLE DES ACTIFS INFORMATIONNELS ...........................................................................5
3.1. DÉFINITIONS ET ACRONYMES................................................................................................................................ 5
3.2. UTILISATION ACCEPTABLE .................................................................................................................................... 5
3.3. RESPONSABILITÉ DES ACTIFS ................................................................................................................................. 6
3.4. PROTECTION DE L’INFORMATION CONFIDENTIELLE ET DES RENSEIGNEMENTS PERSONNELS ................................................ 6
3.5. ACTIVITÉS PROHIBÉES ......................................................................................................................................... 6
3.5.1. Contrevenir aux règles de sécurité ....................................................................................................... 6
3.5.2. Commettre un délit criminel et/ou civil................................................................................................ 7
3.5.3. Divulguer des informations confidentielles ou renseignements sensibles ........................................... 7
3.5.4. Actes malveillants ................................................................................................................................ 7
3.5.5. Faire des modifications illicites à un appareil mobile .......................................................................... 7
3.5.6. Utiliser des dispositifs matériels obsolètes .......................................................................................... 8
3.5.7. Commettre des activités de communications inappropriées ............................................................... 8
3.6. DÉPLACEMENT D’UN ACTIF INFORMATIONNEL HORS DU PÉRIMÈTRE DE LEVIO ................................................................ 8
3.7. RETOUR DES ACTIFS INFORMATIONNELS EN FIN DE CONTRAT....................................................................................... 9
3.8. PROCÉDURE DE SAUVEGARDE DES DOCUMENTS ....................................................................................................... 9
3.9. APPLICATIONS AUTORISÉES .................................................................................................................................. 9
3.10. PROTECTION ANTIVIRUS ET PARE-FEU .................................................................................................................. 10
3.11. AUTORISATIONS POUR L'UTILISATION DES SYSTÈMES D'INFORMATION ........................................................................ 10
3.12. RESPONSABILITÉS D’UTILISATION D’UN IDENTIFIANT (USER ID) .................................................................................. 10
3.13. RESPONSABILITÉS RELATIVES AU MOT DE PASSE...................................................................................................... 10
3.14. ACCÈS NON AUTORISÉ AUX ACTIFS INFORMATIONNELS ............................................................................................ 11
3.14.1. Règle du bureau propre ..................................................................................................................... 11
3.14.2. Règle de l'écran verrouillé .................................................................................................................. 11
3.14.3. Protection des installations et des équipements partagés ................................................................ 11
3.15. UTILISATION D'INTERNET .................................................................................................................................. 11
3.16. LE COURRIEL ET AUTRE MÉTHODE D'ÉCHANGE DE MESSAGES..................................................................................... 12
3.17. MÉDIA SOCIAUX ......................................................................................................... ERREUR! SIGNET NON DÉFINI.
3.18. DROIT D’AUTEUR ............................................................................................................................................. 12
3.18.1. Respect de la loi sur les droits d’auteur ............................................................................................. 12
3.18.2. Utilisation d’une composante Open source et/ou Freeware.............................................................. 13
3.19. INFORMATIQUE MOBILE .................................................................................................................................... 13
3.20. TÉLÉTRAVAIL................................................................................................................................................... 14
3.21. SUIVI DE L'UTILISATION DES ACTIFS INFORMATIONNELS ............................................................................................ 14
3.22. INCIDENTS ...................................................................................................................................................... 14
3.23. UTILISATION DE LA VIDÉOCONFÉRENCE................................................................................................................. 15
4. VALIDITÉ ET GESTION DOCUMENTAIRE .......................................................................................................15

Politique d’utilisation acceptable Version 2.10 Page 3 de 15

 Levio Conseils inc. UTILISATION INTERNE

1. But, domaine d'application et audience

1.1. But

Le but de ce document est de définir des règles claires en matière d'utilisation acceptable des systèmes
d'information et autres actifs informationnels et technologiques de Levio Conseils inc. de manière à :

• Assurer la sécurité des actifs informationnels et la pérennité des opérations de Levio dans le
respect de la confidentialité, l'intégrité, la disponibilité et l’utilisation acceptable de l’information
et des systèmes d’informations.
• Faire en sorte que les utilisateurs observent les bonnes pratiques et les règles quant à l’utilisation
des technologies de l’information.
• S’assurer que les normes et procédures en matière de sécurité de l’information soient comprises
et dûment respectées par les utilisateurs.

1.2. Domaine d’application

Ce document est appliqué à l'ensemble du domaine d'application du Système de Management de la

Sécurité de l'Information (SMSI) de Levio Conseils inc., à tous les systèmes d'information et tous les autres
actifs informationnels utilisés dans le domaine d'application du SMSI.

1.3. Audience

Ce document est destiné à l'ensemble de Levio Conseils inc. et à ses filiales ci-appelées collectivement
« Levio ». Il vise tout le personnel de Levio, soient les employés, les contractuels, les pigistes, les sous-
contractants ainsi que les partenaires d’affaires ci-appelés collectivement « utilisateur ».

Le terme « utilisateur » désigne toute personne autorisée à accéder aux actifs informationnels de Levio.
L’étendue du champ d’application de cette politique peut être complétée par des politiques spécifiques,
des normes et procédures.

2. Références et documents associés

• Norme ISO/IEC 27001:2022, contrôles A.5.9, A.5.10, A.5.11, A.5.14, A.5.17, A.5.32, A.6.3, A.6.7,
A.7.7, A.7.9, A.7.10, A.8.1, A.8.7, A.8.13, A.8.19
• Politique de sécurité de l'information
• Politique Prenez vos Appareils Personnels (PAP)
• Politique de classification des informations
• Inventaire des actifs informationnels
• Procédure de gestion des incidents

Politique d’utilisation acceptable Version 2.10 Page 4 de 15

 Levio Conseils inc. UTILISATION INTERNE

3. Utilisation acceptable des actifs informationnels

3.1. Définitions et acronymes

Actif informationnel : Ensemble des ressources apportant des éléments d'information de différentes
natures, soient l’information, les supports d’information, les systèmes d’information et les équipements
technologiques, notamment les documents numériques et papier, les appareils mobiles, les tablettes, les
ordinateurs portables et de tables, les supports de stockage de données comme les clés USB, les disques
durs externes, les services de stockage infonuagique (Microsoft OneDrive, Google Drive, iCloud, …), etc.

CISO : Chef de la Sécurité de l’information d’entreprise

CSI : Comité de Sécurité de l’Information

Information sensible : Toutes les informations classées comme "Utilisation interne”, "Restreinte",
"Confidentielle", " Protégé A ", " Protégé B ", " Protégé C ", " Confidentiel Canada ", " Secret", et " Très
secret" comme spécifié dans la Politique de classification des informations sont considérées comme
sensibles dans cette politique.

Système d'information : Ensemble d’éléments matériels et virtuels qui permettent le traitement, le

stockage et l'échange d'informations, incluant les appareils mobiles, ordinateurs personnels, serveurs,
infrastructure réseau, logiciels système, logiciels d'application, services, données et autres sous-systèmes
et composantes qui sont détenus, utilisés ou sous la responsabilité de l'organisation; y compris l'utilisation
de tous les services internes ou externes tels que l'accès Internet, le courriel, les logiciels-services
(Software-as-a-Service / SaaS), les plateformes infonuagiques, etc.

3.2. Utilisation acceptable

Les actifs informationnels appartenant à Levio ne peuvent être utilisés que pour répondre aux besoins de
l'organisation et mener à bien les activités de sa mission. Cette utilisation acceptable comprend
notamment :

• Tenue des affaires pour le compte de Levio.

• Envoie et réception de courriels concernant le travail.
• Formations supportant le développement professionnel.
• Collaboration avec des clients et/ou du personnel Levio dans le cadre de ses mandats.

Dans le cas où l’employé utilise un actif informationnel tel un ordinateur ou un téléphone mobile financé
par l’Allocation de Développement Professionnel (ADP), ou qu’un pigiste utilise ses propres actifs, il devra
en supplément adhérer à la Politique Prenez vos Appareils Personnels (PAP).

Politique d’utilisation acceptable Version 2.10 Page 5 de 15

 Levio Conseils inc. UTILISATION INTERNE

Les utilisateurs en clientèle devront également adhérer aux politiques du client. En cas de divergence
entre les politiques du client et celles de Levio ou en absence de politique du client, l’exigence la plus
stricte devra être appliquée, lorsque possible. Lorsque la politique du client le permet, il est acceptable
d’utiliser le poste de travail du client pour répondre à ses courriels professionnels, produire sa feuille de
temps et soumettre un compte de dépenses.

3.3. Responsabilité des actifs

Chaque actif informationnel possède un propriétaire désigné dans l'Inventaire des actifs. Le propriétaire
de l’actif est responsable d’en préserver la confidentialité, l’intégrité et la disponibilité de l'information.

3.4. Protection de l’information confidentielle et des renseignements personnels

Les actifs informationnels doivent être utilisés uniquement à des fins professionnelles. Ils doivent être
inventoriés en fonction de la catégorie d’actif. Seuls les actifs catégorisés comme des données et
informations, services, logiciels, progiciels ou applications maison sont classifiés. Le niveau de classification
d’un actif est établi par son propriétaire en accord avec les critères définis dans la Politique de classification
des informations de Levio.

Les actifs informationnels doivent être protégés contre la perte, la destruction, le vol et la falsification
selon le niveau de classification, i.e. en termes de valeur, d’exigences légales et réglementaires, de
confidentialité et de criticité.

La confidentialité des renseignements personnels et le respect de la vie privée doivent être protégés en
accord avec les lois applicables.

3.5. Activités prohibées

Mis à part les activités énumérées précédemment, toute autre utilisation des actifs informationnels de
Levio ou de ses clients est prohibée. Par souci de clarté, les sections qui suivent présentent quelques
exemples d’utilisation inacceptable des actifs informationnels :

3.5.1. Contrevenir aux règles de sécurité

• Divulguer son propre mot de passe à n’importe qui.

• Utiliser l’identifiant et mot de passe d’un autre utilisateur.
• Faire une utilisation perturbant sa productivité ou sa performance, ou celles d’un autre utilisateur.
• Faire une utilisation qui compromet le fonctionnement efficace des systèmes informatiques et du
réseau Levio.
• Utiliser les actifs informationnels de Levio à des fins personnelles1.

1
À noter que les appareils appartenant à l’utilisateur ou acquis par le biais de l’ADP ne sont pas assujettis à cette
limitation dans la mesure où l’utilisateur respecte la politique « Prenez votre Appareil Personnel PAP ».
Politique d’utilisation acceptable Version 2.10 Page 6 de 15
Levio Conseils inc. UTILISATION INTERNE

3.5.2. Commettre un délit criminel et/ou civil

• Faire une utilisation dans le but de pornographie juvénile, pornographie, violations des droits
d’auteur, diffamation, piratage et autres délits liés à la sécurité informatique, harcèlement,
propagande haineuse, menaces, vulgarité, obscénité, abus, cyberintimidation, communications
inappropriées ou offensantes, racisme, etc.
• Fournir ou transmettre du matériel qui enfreint les lois sur le harcèlement sexuel ou
l’environnement de travail hostile dans la juridiction locale de l’utilisateur.
• Commettre une fraude, faire des offres frauduleuses ou trompeuses ou des déclarations
mensongères au nom de Levio.

3.5.3. Divulguer des informations confidentielles ou renseignements sensibles

• Divulguer des informations sensibles, y compris les renseignements liés aux employés de Levio,
aux clients et aux gouvernements et les secrets commerciaux, sans autorisation ou avec un but
différent pour lesquelles elles ont été recueillies.
• Utiliser ou accéder à des informations confidentielles ou aux renseignements personnels
sensibles, y compris les renseignements relatifs aux employés de Levio, aux clients, aux
gouvernements et aux secrets commerciaux sans besoins d’affaires.
• Recueillir des renseignements sur d’autres personnes sans leur consentement valable et éclairé.

3.5.4. Actes malveillants

• Porter atteinte à la sécurité du réseau ou du système.

• Congestionner, interrompre, interférer, perturber ou refuser l’accès au réseau ou à tout autre
système.
• Introduire ou propager délibérément des programmes malveillants dans le réseau ou l’ordinateur
(par exemple : virus, ver, cheval de Troie, bombarderie).
• Analyser ou surveiller des ressources, des ports réseau ou des connexions wifi sans le
consentement écrit préalable du CISO.
• Contourner l’authentification utilisateur ou les contrôles de sécurité de tout hôte, réseau ou
compte.

3.5.5. Faire des modifications illicites à un appareil mobile

• Modifier le système d’exploitation des appareils de manière à contourner les mécanismes de

sécurité et de contrôles des applications, ou d’utiliser un appareil ainsi modifié. Cette
interdiction s’applique notamment aux appareils mobiles dont le système d’exploitation est
débridé (Jailbreak ou Root) et les appareils Windows contournant les contrôles Windows
Genuine Advantage (WGA) et Windows Activation Technologies (WTA).

Politique d’utilisation acceptable Version 2.10 Page 7 de 15

 Levio Conseils inc. UTILISATION INTERNE

3.5.6. Utiliser des dispositifs matériels obsolètes

• Utiliser des dispositifs matériels dont le fabricant n’offre plus les mises à jour de sécurité et du
système d’exploitation.

3.5.7. Commettre des activités de communications inappropriées

• Envoyer du pollupostage (spam) ou de l’hameçonnage par courriel.

• Envoyer des courriels non sollicités ou d’autres documents publicitaires à des personnes qui n’ont
pas accordé leur autorisation ou de demandes vérifiables pour de tels documents.
• Envoyer un grand nombre de courriers électroniques à une adresse électronique pour tenter de
saturer la boîte de réception, de submerger le serveur où l'adresse électronique est hébergée
(mailbombing ou bombardement de messages).
• Utilisation non autorisée ou falsification d’informations d’en-tête de courriel.
• Créer ou renvoyer de « chaînes de lettres », « Ponzi » ou autres systèmes « pyramidal ».
• Enregistrer des conversations ou des vidéoconférences sans le consentement des participants.

3.6. Déplacement d’un actif informationnel hors du périmètre de Levio

Tout actif informationnel, matériel ou information sensible, quel qu’en soit la forme ou le support2, ne doit
être déplacé hors du périmètre de Levio sans l'autorisation écrite préalable du mandataire lorsqu’il s’agit
d’un équipement et du CISO ou de l’un de ses représentants lorsqu’il s’agit d’information sensible. Le
périmètre de Levio est constitué des locaux physiques de la société et de son environnement
technologique, notamment SharePoint, OneDrive, Teams et autres systèmes d’information.

Tant qu’un actif demeure hors du périmètre de Levio, celui-ci doit être sécurisé et contrôlé par la personne
chargée de son déplacement.

Plus spécifiquement, toute information sensible appartenant ou confiée à Levio ne doit pas être transmise
par Internet, par courrier électronique ou par tout autre moyen de communication électronique.
Lorsqu’un transfert d’information est inévitable, l’accord explicite du propriétaire de l’actif informationnel
est nécessaire, et le plus haut niveau de sécurité disponible devra être utilisé pour encadrer ce transfert
d’information confidentielle comme le chiffrement des données.

À noter que les opérations de transfert d’information vers une institution financière pour effectuer des
transferts électroniques, le traitement de la paie ou encore la conciliation bancaire disposent d’une
autorisation permanente après que le mécanisme de transfert a été validé par le CISO ou l’un de ses
représentants.

2
Incluant document papier, clef USB, disque dur portatif, DVD, CD-ROM, etc.
Politique d’utilisation acceptable Version 2.10 Page 8 de 15
 Levio Conseils inc. UTILISATION INTERNE

3.7. Retour des actifs informationnels en fin de contrat

Lors de la clôture d’un projet pour lequel le client a fourni un ou des actifs informationnels, l'utilisateur
doit retourner lesdits actifs informationnels au mandataire du projet. En aucun temps, l’utilisateur ne doit
garder une copie des actifs informationnels. Le mandataire verra à disposer des actifs informationnels
selon les ententes avec le client.

Lors de la résiliation d'un contrat de travail ou d'un autre contrat sur la base duquel divers équipements,
logiciels ou informations sous forme électronique ou papier sont utilisés, l'utilisateur doit retourner de tels
actifs informationnels au mandataire du projet.

3.8. Procédure de sauvegarde des documents

Aucune information sensible appartenant à Levio ou un de ses clients ne doit être sauvegardée localement
sur un ordinateur personnel, un support mobile ou dans un service de stockage infonuagique personnel.
Dans la mesure du possible, toute information sensible liée à un mandat Client doit demeurer dans le
périmètre technologique du client. Dans l’éventualité où l’utilisateur doit conserver des données dans le
périmètre de Levio, ces informations confidentielles doivent être enregistrées sur MS Teams,
MS SharePoint et/ou MS OneDrive. Ainsi, les politiques corporatives de copie de sécurité, de rétention,
d’archivage d’informations et de gestion des accès s’appliquent.

3.9. Applications autorisées

Il est autorisé d’installer et d’utiliser les applications énumérées ci-dessous sur un appareil dans la mesure
où l’application visée, ses fonctions et son utilisation ne contreviennent pas aux exigences des politiques
de sécurité de Levio. La liste des applications autorisées est :

• Applications distribuées par l’entremise des magasins d’applications (App Store) officiels de
Microsoft, Apple et Google.
• Applications distribuées par un éditeur de confiance et signées numériquement à l’aide d’un
certificat provenant d’une autorité de certification de confiance.
• Applications distribuées par un éditeur de confiance sans signature numérique utilisées sur un
appareil comportant des logiciels antivirus et pare-feu actifs, appliqués correctement et à jour.
• Applications distribuées par Levio.
• Applications dont l’installation est exigée par une autorité gouvernementale.
• Applications dont l’installation est exigée par un client.
• Applications ne figurant pas dans cette liste dont l’utilisation a fait l’objet d’une autorisation écrite
de support@levio.ca.
• Applications non autorisées par une politique de sécurité dont l’utilisation a fait l’objet d’une
autorisation écrite de secure.info@levio.ca.

Politique d’utilisation acceptable Version 2.10 Page 9 de 15

 Levio Conseils inc. UTILISATION INTERNE

3.10. Protection antivirus et pare-feu

Un antivirus et un pare-feu doivent être installés, activés et faire l’objet de mises à jour automatiques sur
chaque ordinateur. L’employé dont l’ordinateur ne dispose pas d’un antivirus et d’un pare-feu peut en
financer l’achat à l’aide de l’ADP.

3.11. Autorisations pour l'utilisation des systèmes d'information

Les utilisateurs du système d'information peuvent accéder seulement aux actifs du système d'information
pour lesquels ils ont été explicitement autorisés par le propriétaire des actifs.

Les utilisateurs peuvent utiliser le système d'information uniquement aux fins pour lesquelles ils ont été
autorisés, c'est-à-dire pour lesquelles des droits d'accès leur ont été accordés.

3.12. Responsabilités d’utilisation d’un identifiant (user id)

Chaque utilisateur est le détenteur de son identifiant (user id). Il est responsable de son utilisation et de
toutes les transactions effectuées à l’aide de celui-ci.

L’identifiant (user id) émis par Levio ne peut être utilisé que pour des activités professionnelles.

3.13. Responsabilités relatives au mot de passe

Les utilisateurs doivent appliquer des bonnes pratiques de sécurité lors de la sélection et de l'utilisation
d’un mot de passe :

• Un mot de passe ne doit pas être divulgué à d'autres personnes, y compris aux administrateurs de
systèmes et à la Direction.
• Il est fortement suggéré de maintenir un mot de passe distinct pour se connecter aux actifs
informationnels de Levio.
• L’utilisation d’un gestionnaire de mots de passe est recommandée.
• Le mot de passe d’un identifiant personnel, créé par un utilisateur ne doit pas être transmis, que
ce soit par voie orale, écrite ou électronique.
• Un mot de passe complexe doit être sélectionné de la façon suivante:
o En utilisant au moins huit (8) caractères ou douze (12) pour les comptes Administrateur.
o En utilisant au moins un caractère numérique.
o En utilisant au moins une lettre majuscule et une lettre minuscule.
o En utilisant au moins un caractère spécial.
o Un mot de passe ne doit pas être un mot du dictionnaire, un mot dialectal ou un jargon de
toute langue, ou l'un de ces mots écrits à l'envers.
o Le mot de passe ne doit pas être fondé sur des données personnelles (par exemple : date de
naissance, adresse, nom de membres de la famille, etc.).
o Les trois derniers mots de passe ne doivent pas être réutilisés.
o Tout mot de passe initial doit être modifié afin que le mot de passe devienne uniquement
connu de l’utilisateur.
Politique d’utilisation acceptable Version 2.10 Page 10 de 15
 Levio Conseils inc. UTILISATION INTERNE

3.14. Accès non autorisé aux actifs informationnels

3.14.1. Règle du bureau propre

Si la personne autorisée n'est pas à son poste de travail, tous les documents papier, ainsi que des supports
de stockage de données marqués comme sensibles, doivent être retirés du bureau ou d'autres lieux
(imprimantes, télécopieurs, photocopieurs, etc.) pour empêcher l'accès non autorisé. Ces documents et
médias doivent être stockés de manière sûre selon la Politique de classification des informations.

3.14.2. Règle de l'écran verrouillé

Dans le cas d’une absence du poste de travail, quelle que soit sa durée, la politique de l'écran verrouillé
est mise en œuvre par la déconnexion de tous les systèmes et par le verrouillage de l'écran avec un mot
de passe.

Pour les appareils personnels, l’utilisateur doit s’assurer de verrouiller son écran avant laisser son appareil
sans surveillance.

3.14.3. Protection des installations et des équipements partagés

Les documents contenant des informations sensibles doivent immédiatement être retirés des
imprimantes, télécopieurs et photocopieurs. L’impression de documents contenant des informations
sensibles doit se faire avec l’option « Impression sécurisée » afin de demander un code PIN à l’imprimante
pour imprimer le document. Les documents contenant des informations sensibles doivent être détruits
et/ou recyclés en utilisant soit les bacs de recyclage fermés à clef prévus à cet effet ou encore une
déchiqueteuse.

3.15. Utilisation d'Internet

Internet doit être utilisé pour des fins professionnelles lorsque l’utilisateur est connecté par le biais du
réseau local de l’organisation, de celui d’un client ou par le biais d’une connexion mobile lors des heures
rémunérées. Le conseiller se connectant au réseau du client doit également adhérer à la politique
d’utilisation de celui-ci.

Levio peut bloquer l'accès à certaines pages Internet pour des utilisateurs individuels, des groupes
d'utilisateurs ou tous les employés de l'organisation. Si l'accès à certaines pages Web est bloqué,
l'utilisateur peut soumettre une demande écrite au CISO ou à l’un de ses représentants pour l'autorisation
d'accéder à ces pages. L'utilisateur ne doit pas essayer de contourner cette restriction de façon autonome.

L'utilisateur doit considérer les informations reçues par le biais des sites Web non vérifiés comme peu
fiables. Ces informations peuvent être utilisées à des fins commerciales seulement après que leur
authenticité et exactitude aient été vérifiées.

L'utilisateur est responsable de toutes les conséquences possibles découlant de l'utilisation non autorisée
ou inappropriée des services Internet ou de leur contenu.

Politique d’utilisation acceptable Version 2.10 Page 11 de 15

 Levio Conseils inc. UTILISATION INTERNE

3.16. Le courriel et autre méthode d'échange de messages

Les méthodes d'échange de messages, autre que le courrier électronique, comprennent également le
téléchargement de fichiers depuis Internet, le transfert de données via Microsoft Teams, des téléphones,
des télécopieurs, l'envoi de messages texte SMS, les médias portables (clés USB, disques durs externes,
etc.) et les réseaux sociaux tels LinkedIn, Facebook et Twitter.

Si un utilisateur reçoit un courriel indésirable tel qu’un pourriel ou un courriel d’hameçonnage, il doit le
signaler directement à l’aide de la fonction de signalement intégrée au menu ruban de Outlook.

De plus, si le courriel d’hameçonnage vise directement Levio ou se distingue par sa qualité et sa

sophistication, veuillez suivre les instructions suivantes :

• N’ouvrez pas les pièces jointes et ne répondez pas.

• Transférez le courriel à secure.info@levio.ca, et attendez leur réponse avant de supprimer
le courrier électronique et de vider la corbeille.

Si l'envoi d'un message a une dimension de confidentialité, l'utilisateur doit le protéger comme spécifié
dans la Politique de classification des informations. À titre de rappel, lorsqu’un transfert d’information
sensible est inévitable, l’accord explicite du propriétaire de l’actif informationnel est nécessaire, et le plus
haut niveau de sécurité disponible devra être utilisé pour encadrer ce transfert d’information
confidentielle.

3.17. Médias sociaux

L’utilisateur qui s’exprime sur les médias sociaux ou autres espaces publics doit :
• S’exprimer en son nom personnel et indiquer clairement qu’il ne représente pas le point de vue
de l’organisation.
• Être conscient que les médias sociaux sont considérés comme des espaces publics.
• S’abstenir de divulguer, transmettre ou demander des informations sensibles.
• Ne jamais mentionner le nom d’un client de Levio dans ses communications sur les médias sociaux,
sauf sur LinkedIn. Toutefois, sur LinkedIn, lorsque l’utilisateur veut décrire ses mandats chez un
client, il doit mentionner qu’il le fait à titre d’employé de Levio.
• Si une publication porte préjudice à Levio, un client ou un collègue, sur demande de Levio,
l’utilisateur s’engage à retirer expressément la publication.

3.18. Droit d’auteur

3.18.1. Respect de la loi sur les droits d’auteur

Les utilisateurs sont responsables de toutes les conséquences qui pourraient survenir dans le cadre du
droit de la propriété intellectuelle et, par conséquent, ne doivent pas faire :

Politique d’utilisation acceptable Version 2.10 Page 12 de 15

 Levio Conseils inc. UTILISATION INTERNE

• De copies de matériel protégé par un droit d’auteur, y compris, mais sans s’y limiter à la
numérisation et la distribution de photographies dans des magazines, des livres ou d’autres
sources protégées par un droit d’auteur et les vidéos ou la musique protégée par un droit d’auteur.
• D’installation d’un logiciel protégé par le droit d’auteur pour lequel Levio ou l’utilisateur final ne
possède pas de licence valide.
• D’exportation de logiciels, d’informations techniques, de logiciels de cryptage ou de technologie
en violation des lois internationales ou régionales sur le contrôle des exportations.
• D’utilisation non autorisée des marques, logos et autres propriétés de Levio et/ou ses clients.

3.18.2. Utilisation d’une composante Open source et/ou Freeware

Toute utilisation d’une composante Open source et/ou Freeware pour un actif informationnel Levio ou
pour un produit logiciel développé pour un client doit être approuvé par l’Architecte Logiciel Levio.

3.19. Informatique mobile

Les équipements informatiques mobiles comprennent tous les types d'ordinateurs portables, téléphones
mobiles et intelligents, les cartes mémoire et d'autres appareils mobiles utilisés pour le stockage, le
traitement et le transfert de données.

Des précautions particulières doivent être prises lorsque l'équipement informatique mobile est placé dans
des véhicules, des espaces publics, des chambres d'hôtel, des espaces de rencontre, des centres de
conférence, et d'autres zones non protégées en dehors des locaux de l'organisation.

L’utilisateur d’un équipement informatique mobile doit suivre les règles suivantes :

• L’équipement informatique mobile porteur d'une information importante, sensible ou critique ne

doit pas être laissé sans surveillance et, si possible, doit être physiquement enfermé ou des
serrures spéciales notamment un câble de sécurité doivent être utilisées pour sécuriser
l'équipement.
• Lorsqu'un équipement informatique mobile est utilisé dans des zones publiques, l'utilisateur doit
faire attention à ce que les données ne puissent être lues par des personnes non autorisées.
• Les mises à jour des correctifs et des autres paramètres du système sont effectuées par l’utilisateur
utilisant l’équipement mobile selon les recommandations des fournisseurs d’application et du
système d’opération, à moins que le CISO ou que l’un de ses représentants mentionne
explicitement de ne pas mettre à jour certaine version.
• L’utilisateur est responsable d’appliquer les bonnes pratiques recommandées par son fournisseur
d’équipement et d’installer uniquement des applications provenant d’un marché autorisé (par
exemple App Store et Google Play).
• Pour les utilisateurs disposant un téléphone mobile ne fonctionnant pas sous iOS d’Apple, il est
recommandé d’installer un antivirus de bonne réputation. L’achat d’un logiciel d’antivirus peut
être financé par le biais de l’ADP.
• La personne utilisant un équipement informatique mobile hors locaux est responsable de
sauvegarder régulièrement les données sur le réseau via OneDrive, dans Microsoft Teams ou
SharePoint.

Politique d’utilisation acceptable Version 2.10 Page 13 de 15

 Levio Conseils inc. UTILISATION INTERNE

• La protection des données sensibles doit être mise en place selon la Politique de classification des
informations.
• En cas d'équipement informatique mobile laissé sans surveillance, les règles du Bureau propre et
Écran verrouillé s’appliquent.

Le Comité Capital humain est responsable de la formation et de la sensibilisation des personnes qui
utilisent l'équipement informatique mobile en dehors des locaux de l'organisation.

3.20. Télétravail

Le télétravail signifie que l’équipement d'information et de communication est utilisé pour permettre aux
employés d'effectuer leur travail en dehors de l'organisation.

Le télétravail doit être autorisé par le gestionnaire de prestation de services et par le client, le cas échéant,
et ce, par courriel.

Il est important de prévenir l'accès non autorisé de l’équipement par des personnes vivant ou travaillant
dans l'endroit où l'activité de télétravail est effectuée. Les règles de bureau propre et écran verrouillé
s’appliquent.

3.21. Suivi de l'utilisation des actifs informationnels

Toutes les données qui sont créées, modifiées, stockées, envoyées ou reçues à travers les systèmes
d'information ou autres systèmes de communication de l'organisation (y compris les applications diverses,
le courriel, Internet, les fax, etc.), que ce soit personnel ou non, sont considérées comme la propriété de
Levio Conseil inc.

Les utilisateurs acceptent que les personnes autorisées de l'organisation puissent accéder à toutes ces
données, et que l'accès de ces personnes ne soit pas considéré comme une violation de la vie privée des
utilisateurs.

L'organisation peut utiliser des outils spécialisés dans le but d'identifier et de bloquer les méthodes de
communication interdites, et de filtrer les contenus interdits.

3.22. Incidents

Tel que prescrit dans la Procédure de gestion des incidents, tout employé, fournisseur ou tierce personne
doit signaler promptement l’occurrence d’un incident de sécurité, d’un évènement ou d’une faille pouvant
mener à un éventuel incident, en lien avec un système d’information ou un autre actif informationnel de
Levio Conseils inc. Pour se faire, l’utilisateur doit utiliser le formulaire de signalement d’un incident de
sécurité disponible dans la section Sécurité corporative de l’intranet ou envoyer un courriel à :
secure.info@levio.ca.

Politique d’utilisation acceptable Version 2.10 Page 14 de 15

 Levio Conseils inc. UTILISATION INTERNE

3.23. Utilisation de la vidéoconférence

Les participants doivent s’habiller convenablement et se comporter de façon responsable.

Lorsque l’enregistrement de la session est requis, les participants doivent être explicitement avertis.

Les participants ne doivent pas prendre ou enregistrer des images pour leur utilisation personnel.

4. Validité et gestion documentaire

Ce document est valide à compter de la date de sa version approuvée la plus récente.

Le propriétaire de ce document est le Chef de la Sécurité de l’information d’entreprise (CISO). Ce dernier

doit vérifier et, si nécessaire, mettre à jour le document au moins une fois par an.

Un compte-rendu du comité de sécurité de l’information (CSI) fera foi de la validation documentaire tel
que mentionné dans la Politique pour le contrôle des documents et enregistrements.

Politique d’utilisation acceptable Version 2.10 Page 15 de 15