Académique Documents
Professionnel Documents
Culture Documents
1.1. But
Le but de ce document est de définir des règles claires en matière d'utilisation acceptable des systèmes
d'information et autres actifs informationnels et technologiques de Levio Conseils inc. de manière à :
• Assurer la sécurité des actifs informationnels et la pérennité des opérations de Levio dans le
respect de la confidentialité, l'intégrité, la disponibilité et l’utilisation acceptable de l’information
et des systèmes d’informations.
• Faire en sorte que les utilisateurs observent les bonnes pratiques et les règles quant à l’utilisation
des technologies de l’information.
• S’assurer que les normes et procédures en matière de sécurité de l’information soient comprises
et dûment respectées par les utilisateurs.
1.3. Audience
Ce document est destiné à l'ensemble de Levio Conseils inc. et à ses filiales ci-appelées collectivement
« Levio ». Il vise tout le personnel de Levio, soient les employés, les contractuels, les pigistes, les sous-
contractants ainsi que les partenaires d’affaires ci-appelés collectivement « utilisateur ».
Le terme « utilisateur » désigne toute personne autorisée à accéder aux actifs informationnels de Levio.
L’étendue du champ d’application de cette politique peut être complétée par des politiques spécifiques,
des normes et procédures.
Actif informationnel : Ensemble des ressources apportant des éléments d'information de différentes
natures, soient l’information, les supports d’information, les systèmes d’information et les équipements
technologiques, notamment les documents numériques et papier, les appareils mobiles, les tablettes, les
ordinateurs portables et de tables, les supports de stockage de données comme les clés USB, les disques
durs externes, les services de stockage infonuagique (Microsoft OneDrive, Google Drive, iCloud, …), etc.
Information sensible : Toutes les informations classées comme "Utilisation interne”, "Restreinte",
"Confidentielle", " Protégé A ", " Protégé B ", " Protégé C ", " Confidentiel Canada ", " Secret", et " Très
secret" comme spécifié dans la Politique de classification des informations sont considérées comme
sensibles dans cette politique.
Les actifs informationnels appartenant à Levio ne peuvent être utilisés que pour répondre aux besoins de
l'organisation et mener à bien les activités de sa mission. Cette utilisation acceptable comprend
notamment :
Dans le cas où l’employé utilise un actif informationnel tel un ordinateur ou un téléphone mobile financé
par l’Allocation de Développement Professionnel (ADP), ou qu’un pigiste utilise ses propres actifs, il devra
en supplément adhérer à la Politique Prenez vos Appareils Personnels (PAP).
Les utilisateurs en clientèle devront également adhérer aux politiques du client. En cas de divergence
entre les politiques du client et celles de Levio ou en absence de politique du client, l’exigence la plus
stricte devra être appliquée, lorsque possible. Lorsque la politique du client le permet, il est acceptable
d’utiliser le poste de travail du client pour répondre à ses courriels professionnels, produire sa feuille de
temps et soumettre un compte de dépenses.
Chaque actif informationnel possède un propriétaire désigné dans l'Inventaire des actifs. Le propriétaire
de l’actif est responsable d’en préserver la confidentialité, l’intégrité et la disponibilité de l'information.
Les actifs informationnels doivent être utilisés uniquement à des fins professionnelles. Ils doivent être
inventoriés en fonction de la catégorie d’actif. Seuls les actifs catégorisés comme des données et
informations, services, logiciels, progiciels ou applications maison sont classifiés. Le niveau de classification
d’un actif est établi par son propriétaire en accord avec les critères définis dans la Politique de classification
des informations de Levio.
Les actifs informationnels doivent être protégés contre la perte, la destruction, le vol et la falsification
selon le niveau de classification, i.e. en termes de valeur, d’exigences légales et réglementaires, de
confidentialité et de criticité.
La confidentialité des renseignements personnels et le respect de la vie privée doivent être protégés en
accord avec les lois applicables.
Mis à part les activités énumérées précédemment, toute autre utilisation des actifs informationnels de
Levio ou de ses clients est prohibée. Par souci de clarté, les sections qui suivent présentent quelques
exemples d’utilisation inacceptable des actifs informationnels :
1
À noter que les appareils appartenant à l’utilisateur ou acquis par le biais de l’ADP ne sont pas assujettis à cette
limitation dans la mesure où l’utilisateur respecte la politique « Prenez votre Appareil Personnel PAP ».
Politique d’utilisation acceptable Version 2.10 Page 6 de 15
Levio Conseils inc. UTILISATION INTERNE
• Faire une utilisation dans le but de pornographie juvénile, pornographie, violations des droits
d’auteur, diffamation, piratage et autres délits liés à la sécurité informatique, harcèlement,
propagande haineuse, menaces, vulgarité, obscénité, abus, cyberintimidation, communications
inappropriées ou offensantes, racisme, etc.
• Fournir ou transmettre du matériel qui enfreint les lois sur le harcèlement sexuel ou
l’environnement de travail hostile dans la juridiction locale de l’utilisateur.
• Commettre une fraude, faire des offres frauduleuses ou trompeuses ou des déclarations
mensongères au nom de Levio.
• Divulguer des informations sensibles, y compris les renseignements liés aux employés de Levio,
aux clients et aux gouvernements et les secrets commerciaux, sans autorisation ou avec un but
différent pour lesquelles elles ont été recueillies.
• Utiliser ou accéder à des informations confidentielles ou aux renseignements personnels
sensibles, y compris les renseignements relatifs aux employés de Levio, aux clients, aux
gouvernements et aux secrets commerciaux sans besoins d’affaires.
• Recueillir des renseignements sur d’autres personnes sans leur consentement valable et éclairé.
• Utiliser des dispositifs matériels dont le fabricant n’offre plus les mises à jour de sécurité et du
système d’exploitation.
Tout actif informationnel, matériel ou information sensible, quel qu’en soit la forme ou le support2, ne doit
être déplacé hors du périmètre de Levio sans l'autorisation écrite préalable du mandataire lorsqu’il s’agit
d’un équipement et du CISO ou de l’un de ses représentants lorsqu’il s’agit d’information sensible. Le
périmètre de Levio est constitué des locaux physiques de la société et de son environnement
technologique, notamment SharePoint, OneDrive, Teams et autres systèmes d’information.
Tant qu’un actif demeure hors du périmètre de Levio, celui-ci doit être sécurisé et contrôlé par la personne
chargée de son déplacement.
Plus spécifiquement, toute information sensible appartenant ou confiée à Levio ne doit pas être transmise
par Internet, par courrier électronique ou par tout autre moyen de communication électronique.
Lorsqu’un transfert d’information est inévitable, l’accord explicite du propriétaire de l’actif informationnel
est nécessaire, et le plus haut niveau de sécurité disponible devra être utilisé pour encadrer ce transfert
d’information confidentielle comme le chiffrement des données.
À noter que les opérations de transfert d’information vers une institution financière pour effectuer des
transferts électroniques, le traitement de la paie ou encore la conciliation bancaire disposent d’une
autorisation permanente après que le mécanisme de transfert a été validé par le CISO ou l’un de ses
représentants.
2
Incluant document papier, clef USB, disque dur portatif, DVD, CD-ROM, etc.
Politique d’utilisation acceptable Version 2.10 Page 8 de 15
Levio Conseils inc. UTILISATION INTERNE
Lors de la clôture d’un projet pour lequel le client a fourni un ou des actifs informationnels, l'utilisateur
doit retourner lesdits actifs informationnels au mandataire du projet. En aucun temps, l’utilisateur ne doit
garder une copie des actifs informationnels. Le mandataire verra à disposer des actifs informationnels
selon les ententes avec le client.
Lors de la résiliation d'un contrat de travail ou d'un autre contrat sur la base duquel divers équipements,
logiciels ou informations sous forme électronique ou papier sont utilisés, l'utilisateur doit retourner de tels
actifs informationnels au mandataire du projet.
Aucune information sensible appartenant à Levio ou un de ses clients ne doit être sauvegardée localement
sur un ordinateur personnel, un support mobile ou dans un service de stockage infonuagique personnel.
Dans la mesure du possible, toute information sensible liée à un mandat Client doit demeurer dans le
périmètre technologique du client. Dans l’éventualité où l’utilisateur doit conserver des données dans le
périmètre de Levio, ces informations confidentielles doivent être enregistrées sur MS Teams,
MS SharePoint et/ou MS OneDrive. Ainsi, les politiques corporatives de copie de sécurité, de rétention,
d’archivage d’informations et de gestion des accès s’appliquent.
Il est autorisé d’installer et d’utiliser les applications énumérées ci-dessous sur un appareil dans la mesure
où l’application visée, ses fonctions et son utilisation ne contreviennent pas aux exigences des politiques
de sécurité de Levio. La liste des applications autorisées est :
• Applications distribuées par l’entremise des magasins d’applications (App Store) officiels de
Microsoft, Apple et Google.
• Applications distribuées par un éditeur de confiance et signées numériquement à l’aide d’un
certificat provenant d’une autorité de certification de confiance.
• Applications distribuées par un éditeur de confiance sans signature numérique utilisées sur un
appareil comportant des logiciels antivirus et pare-feu actifs, appliqués correctement et à jour.
• Applications distribuées par Levio.
• Applications dont l’installation est exigée par une autorité gouvernementale.
• Applications dont l’installation est exigée par un client.
• Applications ne figurant pas dans cette liste dont l’utilisation a fait l’objet d’une autorisation écrite
de support@levio.ca.
• Applications non autorisées par une politique de sécurité dont l’utilisation a fait l’objet d’une
autorisation écrite de secure.info@levio.ca.
Un antivirus et un pare-feu doivent être installés, activés et faire l’objet de mises à jour automatiques sur
chaque ordinateur. L’employé dont l’ordinateur ne dispose pas d’un antivirus et d’un pare-feu peut en
financer l’achat à l’aide de l’ADP.
Les utilisateurs du système d'information peuvent accéder seulement aux actifs du système d'information
pour lesquels ils ont été explicitement autorisés par le propriétaire des actifs.
Les utilisateurs peuvent utiliser le système d'information uniquement aux fins pour lesquelles ils ont été
autorisés, c'est-à-dire pour lesquelles des droits d'accès leur ont été accordés.
Chaque utilisateur est le détenteur de son identifiant (user id). Il est responsable de son utilisation et de
toutes les transactions effectuées à l’aide de celui-ci.
L’identifiant (user id) émis par Levio ne peut être utilisé que pour des activités professionnelles.
Les utilisateurs doivent appliquer des bonnes pratiques de sécurité lors de la sélection et de l'utilisation
d’un mot de passe :
• Un mot de passe ne doit pas être divulgué à d'autres personnes, y compris aux administrateurs de
systèmes et à la Direction.
• Il est fortement suggéré de maintenir un mot de passe distinct pour se connecter aux actifs
informationnels de Levio.
• L’utilisation d’un gestionnaire de mots de passe est recommandée.
• Le mot de passe d’un identifiant personnel, créé par un utilisateur ne doit pas être transmis, que
ce soit par voie orale, écrite ou électronique.
• Un mot de passe complexe doit être sélectionné de la façon suivante:
o En utilisant au moins huit (8) caractères ou douze (12) pour les comptes Administrateur.
o En utilisant au moins un caractère numérique.
o En utilisant au moins une lettre majuscule et une lettre minuscule.
o En utilisant au moins un caractère spécial.
o Un mot de passe ne doit pas être un mot du dictionnaire, un mot dialectal ou un jargon de
toute langue, ou l'un de ces mots écrits à l'envers.
o Le mot de passe ne doit pas être fondé sur des données personnelles (par exemple : date de
naissance, adresse, nom de membres de la famille, etc.).
o Les trois derniers mots de passe ne doivent pas être réutilisés.
o Tout mot de passe initial doit être modifié afin que le mot de passe devienne uniquement
connu de l’utilisateur.
Politique d’utilisation acceptable Version 2.10 Page 10 de 15
Levio Conseils inc. UTILISATION INTERNE
Si la personne autorisée n'est pas à son poste de travail, tous les documents papier, ainsi que des supports
de stockage de données marqués comme sensibles, doivent être retirés du bureau ou d'autres lieux
(imprimantes, télécopieurs, photocopieurs, etc.) pour empêcher l'accès non autorisé. Ces documents et
médias doivent être stockés de manière sûre selon la Politique de classification des informations.
Dans le cas d’une absence du poste de travail, quelle que soit sa durée, la politique de l'écran verrouillé
est mise en œuvre par la déconnexion de tous les systèmes et par le verrouillage de l'écran avec un mot
de passe.
Pour les appareils personnels, l’utilisateur doit s’assurer de verrouiller son écran avant laisser son appareil
sans surveillance.
Les documents contenant des informations sensibles doivent immédiatement être retirés des
imprimantes, télécopieurs et photocopieurs. L’impression de documents contenant des informations
sensibles doit se faire avec l’option « Impression sécurisée » afin de demander un code PIN à l’imprimante
pour imprimer le document. Les documents contenant des informations sensibles doivent être détruits
et/ou recyclés en utilisant soit les bacs de recyclage fermés à clef prévus à cet effet ou encore une
déchiqueteuse.
Internet doit être utilisé pour des fins professionnelles lorsque l’utilisateur est connecté par le biais du
réseau local de l’organisation, de celui d’un client ou par le biais d’une connexion mobile lors des heures
rémunérées. Le conseiller se connectant au réseau du client doit également adhérer à la politique
d’utilisation de celui-ci.
Levio peut bloquer l'accès à certaines pages Internet pour des utilisateurs individuels, des groupes
d'utilisateurs ou tous les employés de l'organisation. Si l'accès à certaines pages Web est bloqué,
l'utilisateur peut soumettre une demande écrite au CISO ou à l’un de ses représentants pour l'autorisation
d'accéder à ces pages. L'utilisateur ne doit pas essayer de contourner cette restriction de façon autonome.
L'utilisateur doit considérer les informations reçues par le biais des sites Web non vérifiés comme peu
fiables. Ces informations peuvent être utilisées à des fins commerciales seulement après que leur
authenticité et exactitude aient été vérifiées.
L'utilisateur est responsable de toutes les conséquences possibles découlant de l'utilisation non autorisée
ou inappropriée des services Internet ou de leur contenu.
Les méthodes d'échange de messages, autre que le courrier électronique, comprennent également le
téléchargement de fichiers depuis Internet, le transfert de données via Microsoft Teams, des téléphones,
des télécopieurs, l'envoi de messages texte SMS, les médias portables (clés USB, disques durs externes,
etc.) et les réseaux sociaux tels LinkedIn, Facebook et Twitter.
Si un utilisateur reçoit un courriel indésirable tel qu’un pourriel ou un courriel d’hameçonnage, il doit le
signaler directement à l’aide de la fonction de signalement intégrée au menu ruban de Outlook.
Si l'envoi d'un message a une dimension de confidentialité, l'utilisateur doit le protéger comme spécifié
dans la Politique de classification des informations. À titre de rappel, lorsqu’un transfert d’information
sensible est inévitable, l’accord explicite du propriétaire de l’actif informationnel est nécessaire, et le plus
haut niveau de sécurité disponible devra être utilisé pour encadrer ce transfert d’information
confidentielle.
L’utilisateur qui s’exprime sur les médias sociaux ou autres espaces publics doit :
• S’exprimer en son nom personnel et indiquer clairement qu’il ne représente pas le point de vue
de l’organisation.
• Être conscient que les médias sociaux sont considérés comme des espaces publics.
• S’abstenir de divulguer, transmettre ou demander des informations sensibles.
• Ne jamais mentionner le nom d’un client de Levio dans ses communications sur les médias sociaux,
sauf sur LinkedIn. Toutefois, sur LinkedIn, lorsque l’utilisateur veut décrire ses mandats chez un
client, il doit mentionner qu’il le fait à titre d’employé de Levio.
• Si une publication porte préjudice à Levio, un client ou un collègue, sur demande de Levio,
l’utilisateur s’engage à retirer expressément la publication.
Les utilisateurs sont responsables de toutes les conséquences qui pourraient survenir dans le cadre du
droit de la propriété intellectuelle et, par conséquent, ne doivent pas faire :
• De copies de matériel protégé par un droit d’auteur, y compris, mais sans s’y limiter à la
numérisation et la distribution de photographies dans des magazines, des livres ou d’autres
sources protégées par un droit d’auteur et les vidéos ou la musique protégée par un droit d’auteur.
• D’installation d’un logiciel protégé par le droit d’auteur pour lequel Levio ou l’utilisateur final ne
possède pas de licence valide.
• D’exportation de logiciels, d’informations techniques, de logiciels de cryptage ou de technologie
en violation des lois internationales ou régionales sur le contrôle des exportations.
• D’utilisation non autorisée des marques, logos et autres propriétés de Levio et/ou ses clients.
Toute utilisation d’une composante Open source et/ou Freeware pour un actif informationnel Levio ou
pour un produit logiciel développé pour un client doit être approuvé par l’Architecte Logiciel Levio.
Les équipements informatiques mobiles comprennent tous les types d'ordinateurs portables, téléphones
mobiles et intelligents, les cartes mémoire et d'autres appareils mobiles utilisés pour le stockage, le
traitement et le transfert de données.
Des précautions particulières doivent être prises lorsque l'équipement informatique mobile est placé dans
des véhicules, des espaces publics, des chambres d'hôtel, des espaces de rencontre, des centres de
conférence, et d'autres zones non protégées en dehors des locaux de l'organisation.
L’utilisateur d’un équipement informatique mobile doit suivre les règles suivantes :
• La protection des données sensibles doit être mise en place selon la Politique de classification des
informations.
• En cas d'équipement informatique mobile laissé sans surveillance, les règles du Bureau propre et
Écran verrouillé s’appliquent.
Le Comité Capital humain est responsable de la formation et de la sensibilisation des personnes qui
utilisent l'équipement informatique mobile en dehors des locaux de l'organisation.
3.20. Télétravail
Le télétravail signifie que l’équipement d'information et de communication est utilisé pour permettre aux
employés d'effectuer leur travail en dehors de l'organisation.
Le télétravail doit être autorisé par le gestionnaire de prestation de services et par le client, le cas échéant,
et ce, par courriel.
Il est important de prévenir l'accès non autorisé de l’équipement par des personnes vivant ou travaillant
dans l'endroit où l'activité de télétravail est effectuée. Les règles de bureau propre et écran verrouillé
s’appliquent.
Toutes les données qui sont créées, modifiées, stockées, envoyées ou reçues à travers les systèmes
d'information ou autres systèmes de communication de l'organisation (y compris les applications diverses,
le courriel, Internet, les fax, etc.), que ce soit personnel ou non, sont considérées comme la propriété de
Levio Conseil inc.
Les utilisateurs acceptent que les personnes autorisées de l'organisation puissent accéder à toutes ces
données, et que l'accès de ces personnes ne soit pas considéré comme une violation de la vie privée des
utilisateurs.
L'organisation peut utiliser des outils spécialisés dans le but d'identifier et de bloquer les méthodes de
communication interdites, et de filtrer les contenus interdits.
3.22. Incidents
Tel que prescrit dans la Procédure de gestion des incidents, tout employé, fournisseur ou tierce personne
doit signaler promptement l’occurrence d’un incident de sécurité, d’un évènement ou d’une faille pouvant
mener à un éventuel incident, en lien avec un système d’information ou un autre actif informationnel de
Levio Conseils inc. Pour se faire, l’utilisateur doit utiliser le formulaire de signalement d’un incident de
sécurité disponible dans la section Sécurité corporative de l’intranet ou envoyer un courriel à :
secure.info@levio.ca.
Lorsque l’enregistrement de la session est requis, les participants doivent être explicitement avertis.
Les participants ne doivent pas prendre ou enregistrer des images pour leur utilisation personnel.
Un compte-rendu du comité de sécurité de l’information (CSI) fera foi de la validation documentaire tel
que mentionné dans la Politique pour le contrôle des documents et enregistrements.