Академический Документы
Профессиональный Документы
Культура Документы
La sécurité et l’éthique de
l’information
ADM 2772
Professeure: Lysanne Lessard
© L. Lessard, ADM2772 1
L’éthique de l’information
© L. Lessard, ADM2772 2
Mise en contexte
• En 2010, le ministère de la Santé émet une directive exigeant que les
programmes de soins à domicile de la province augmentent de 10%
le temps d'intervention directe auprès des patients, sous peine de
pénalités financières.
• Pour atteindre cet objectif, le CSSS Ahuntsic-Montréal met en place un
«Projet d'optimisation» avec l'aide d’une firme privée en 2012.
• Un outil appelé «Planification et suivi de la performance» (PSP) est
adopté. Cette grille informatique devait être remplie de façon
hebdomadaire par les travailleurs qui devaient y planifier leur semaine de
travail en utilisant des «temps standards», pour une série d'interventions.
• Le PSP soulève la grogne des employés qui déposent des griefs
collectifs, disant avoir été extrêmement stressés par la surcharge de
travail engendrée par le PSP. Ils se plaignent que cette réorganisation
de leur travail porte atteinte à leur intégrité professionnelle et à
leurs responsabilités déontologique.
• Le CSSS cesse l’utilisation de l’outil et un arbitre tranche en faveur des
employés, statuant que le CSSS d'Ahuntsic-Montréal-Nord leur a causé
des préjudices moraux.
[Source: http://www.lapresse.ca/actualites/sante
/201603/15/01-4961186-des-travailleurs-leses-par-un-outil-de-suivi-de-la-perfo
© L. Lessard, ADM2772
rmance-tranche-un-arbitre.php 3
]
Principes fondamentaux
Éthique: ensemble des principes et des
normes qui encadrent le comportement
des individus envers autrui.
Éthique de l’information: Principes
moraux concernant la création, la collecte,
la duplication, la diffusion et le traitement
de l’information, ainsi que le
développement et l’utilisation des
technologies de l’information.
© L. Lessard, ADM2772 4
Éthique et SI
© L. Lessard, ADM2772 5
L’éthique et la légalité Ex: Voler des
données
Ex: Outil de
suivi de la
performance
du CSSS
dans la mise
en contexte
Ex: Ré-
utilisation
d’extraits
musicaux
Ex:
pour créer de
Brightspace
nouvelles
mélodies
L’objectif idéal pour les organisations est de prendre des décisions qui
s’inscrivent dans le quadrant I, c’est-à-dire qui sont légales et
éthiques. © L. Lessard, ADM2772 6
La confidentialité de l’information
© L. Lessard, ADM2772 7
Mise en contexte:
Collecte de nos données par Google et
Facebook
© L. Lessard, ADM2772 8
Mise en contexte:
Collecte cachée de nos données
© L. Lessard, ADM2772 11
Principes fondamentaux
Confidentialité de l’information
Droit juridique ou volonté générale des individus, des groupes ou des
organismes de déterminer eux-mêmes la quantité d’information à leur
sujet qui est communiquée à autrui, ainsi que le moment où elle l’est.
Préoccupation dès que des données ou des renseignements personnels
identifiables au sujet d’une personne sont recueillies et stockés, quel que
soit le mode de stockage utilisé.
Ex: dossier médical, données financières, données démographiques
Modèle de l’Europe
Lois vigoureuses sur la confidentialité de
l’information. Tout pays membre de l’UE doit
adhérer à la « Directive sur la protection des
données personnelles » qui attribue de
nombreux droits aux individus, incluant:
Droit de connaître la source et les objectifs du
traitement des données personnelle, droit de corriger
les erreurs, droit de refuser l’utilisation des données
personnelles
© L. Lessard, ADM2772 13
La protection des données personnelles (2)
© L. Lessard, ADM2772 14
La protection des données personnelles (3)
Le Canada
Ses lois s’inspirent du modèle européen.
La principale loi en vigueur est la Loi sur la protection des
renseignements personnels et documents électroniques (LPRPDE).
Vise à accorder aux Canadiens un droit à la confidentialité en qui a trait à la
collecte, à l’utilisation ou à la diffusion, par une organisation, des
renseignements personnels à leur sujet.
10 principes directeurs qui se résument dans la formule des trois
« c »: le consentement éclairé, le choix et le contrôle.
Certaines exceptions lorsque d’autres facteurs priment sur la confidentialité
de l’information, ex: pour les journalistes et les autorités policières.
Organisations doivent appliquer les 10 principes, ex: obtenir le
consentement du citoyen concerné avant de recueillir, utiliser ou diffuser
des renseignements personnels à son sujet.
© L. Lessard, ADM2772 15
La mise au point d’une politique de gestion de
l’information
© L. Lessard, ADM2772 16
La mise au point d’une politique de
gestion de
l’information
Établir une culture d’entreprise fondée sur des
principes éthiques que les employés comprennent et
mettent en pratique constitue une gestion responsable.
Une entreprise se doit de formuler par écrit des politiques
définissant les lignes directrices et les procédures
destinées au personnel, ainsi que les règles
organisationnelles en matière d’information.
Ces politiques encadrent les attentes du personnel à
propos des normes et des pratiques de l’organisation et
protègent celle-ci conter l’utilisation inappropriée des SI
et des ressources en technologies de l’information.
© L. Lessard, ADM2772 17
Aperçu des politiques numériques
© L. Lessard, ADM2772 19
Politiques électroniques (2)
Politique d’utilisation acceptable
Politique qu’un utilisateur doit accepter de respecter s’il
veut disposer d’un accès à un réseau ou à Internet.
Ex: Ne pas utiliser le service pour enfreindre un loi quelconque, ne
pas tenter de déjouer le système de sécurité.
Peut inclure une disposition de non-répudiation, qui assure que
les participants au commerce électronique ne nieront pas leurs
activités en ligne.
Politique relative aux médias sociaux
Énonce les lignes directrices régissant les
communications en ligne des employés d’une entreprise.
Ex: Ne pas ridiculiser son entreprise sur son fil FB
Peut être complétée par des politiques relatives aux blogues des
employés, aux comptes Twitter de l’entreprise, etc.
– Ex: Comptes Twitter de uOttawa doivent publier chaque nouvelle dans les deux
langues officielles.
© L. Lessard, ADM2772 20
Politiques électroniques (3)
Politique de confidentialité de courriel
Indique dans quelle mesure des courriels peuvent être
lus par d’autres personnes.
Si le courriel et la
messagerie
instantanée sont
devenus des outils de
communications
d’affaires courants,
leur utilisation n’est
pas exempte de
risques. Par exemple,
un courriel envoyé est
archivé dans au moins
3 ou 4 ordinateurs.
© L. Lessard, ADM2772 22
La sécurité de l’information
© L. Lessard, ADM2772 23
© L. Les sa rd, ADM 27 72
24
Dans les médias
Arnaques à la COVID-19 : les fraudeurs déjà à l’œuvre
Il n’a fallu que quelques heures après l’annonce des compensations
financières du gouvernement fédéral pour que des arnaqueurs
sévissent sur tous les canaux : messages textes, courriels, appels
téléphoniques, sollicitation sur les médias sociaux.
Ex:
“En raison de l’épidémie de COVID-19, la Croix-Rouge fournit des
masques à chaque famille.”
Une fois qu’on a cliqué sur le lien (chose à ne pas faire), on vous
demande d’entrer vos informations de carte de crédit, pour payer de soi-
disant frais de transport.
Bien entendu, il n’y a pas de masques – on se fait plutôt voler ses
informations de carte de crédit
Source:
https://ici.radio-canada.ca/nouvelle/1678555/arnaques-fraude-covid-facture-messages-grc
© L. Lessard, ADM2772 25
La sécurité de l’information
La sécurité de l’information est une notion large qui
englobe la protection de l’information contre une
utilisation inappropriée, intentionnelle ou non, par
des personnes situées à l’intérieur ou à l’extérieur
d’une organisation.
L’information organisationnelle est une ressource-
clé, un actif qui doit être protégé par l’organisation.
Compte tenu de la hausse des atteintes à la sécurité et
de l’omniprésence des pirates informatiques, une
organisation doit adopter de vigoureuses mesures de
sécurité de l’information si elle veut survivre.
© L. Lessard, ADM2772 26
Coût du temps d’indisponibilité
Les virus et le
piratage
informatique
sont deux
causes
courantes de
temps
d’indisponibilité
des systèmes
d’information
dans les
entreprises.
© L. Lessard, ADM2772 27
Les virus informatiques
Un virus
informatique est
un logiciel créé
dans une intention
malveillante pour
causer des
perturbations ou
des dommages.
© L. Lessard, ADM2772 28
Virus et menaces courantes à connaître (1)
Source:
https://www.getcybersafe.gc.ca/cnt/rsks/cmmn-thrts-fr.asp
x © L. Lessard, ADM2772 29
Virus et menaces courantes à connaître (2)
Détournement de domaine
Redirection vers un site illégitime à partir d’un URL légitime
Conséquences: Vous pensez être sur le bon site et y entrez vos
informations personnelles
Écoute électronique par réseau Wi-Fi (programme
renifleur)
Capture de l’information partagée sur un réseau Wi-Fi non sécurisé
Conséquences: Accès à votre ordinateur, vol d’informations
personnelles
À savoir: Un réseau sécurisé Wi-Fi est tout de même vulnérable
Annonce, en 2017, que les réseaux Wi-Fi sécurisés avec le protocole de
chiffrement WPA2 - considéré comme très sécuritaire – pouvait être
facilement piratés. Faille corrigée, mais WPA2 reste imparfait: mieux vaut
avoir un mot-de-passe long et compliqué!
Source: https://ici.radio-canada.ca/nouvelle/1061811/wifi-faille-krack-securite-reseau-internet;
https://www.netspotapp.com/wifi-encryption-and-security.html
Source:
https://www.getcybersafe.gc.ca/cnt/rsks/cmmn-thrts-fr.asp
x © L. Lessard, ADM2772 30
Sécurité des réseaux Wi-Fi
Protocole de sécurité
sans fil WPA2: norme de
sécurité recommandée
jusqu’à nouvel ordre –
attention lorsque vous
vous connectez à un
réseau sans sécurité
dans les lieux publics!
© L. Lessard, ADM2772 31
Virus et menaces courantes à connaître (3)
Source:
https://www.getcybersafe.gc.ca/cnt/rsks/cmmn-thrts-fr.asp
x
© L. Lessard, ADM2772 32
Virus et menaces courantes à connaître (4)
Programme malveillant
Logiciel qui infect votre ordinateur avec des virus, des chevaux de
Troie, des logiciels espions
Conséquences: pertes de fichiers et de données, vol d’information,
prise de contrôle de l’ordinateur (ex: pour envoyer des courriels à
votre nom)
Logiciel espion
Logiciel qui s’infiltre dans un ordinateur et y recueille des
renseignements personnels à l’insu de l’utilisateur.
Virus
Programme informatique malveillant, souvent envoyé en pièce jointe à un
courriel, qui tente d’infecter votre ordinateur et ceux de votre liste de
contact afin d’en prendre le contrôle ou voler des données personnelles
Ver informatique
Comme un virus, mais n’a pas besoin de s’attacher à des fichiers ou des
programmes
Source:
https://www.getcybersafe.gc.ca/cnt/rsks/cmmn-thrts-fr.asp
x © L. Lessard, ADM2772 33
Quoi faire pour faire face à ces menaces?
Analyse de risques
Organiser une première ligne de
défense (les personnes)
Organiser une deuxième ligne de
défense (les technologies)
© L. Lessard, ADM2772 34
L’analyse de risque
© L. Lessard, ADM2772 36
L’ingénierie sociale
Utiliser des aptitudes sociales pour manipuler des individus
afin que ces derniers révèlent les paramètres d’accès ou
d’autres renseignements utiles au manipulateur.
https://www.facebook.com/digg/videos/10153611859073432/?fref=nf
© L. Lessard, ADM2772 37
La politique et le plan de sécurité de
l’information
Une politique de sécurité de l’information et un énoncé
des règles assurant le maintien de la sécurité de l’information.
C’est donc un document important, mais encore faut-il le mettre
en œuvre!
Un plan de sécurité de l’information décrit la façon dont
une organisation va mettre en œuvre sa politique de sécurité
de l’information.
Le plan inclus la communication aux employés des règlements à
suivre et des pratiques exemplaires en lien avec la sécurité de
l’information, ex:
Quelles applications peuvent être installées ou non sur le réseau de
l’entreprise
Le matériel informatique de l’entreprise qu’il est permis d’utiliser à
des fins personnelles
La création et le maintien des mots de passe
Etc.
© L. Lessard, ADM2772 38
La technologie forme la deuxième ligne de défense
© L. Lessard, ADM2772 39
L’authentification et l’autorisation (1)
© L. Lessard, ADM2772 40
L’authentification et l’autorisation (2)
3 catégories de techniques d’authentification et d’autorisation
qui peuvent être combinées:
Une information que l’utilisateur connaît
Ex: nom d’identification et mot de passe
Un objet spécifique que l’utilisateur détient
Jeton d’authentification – petit dispositif électronique qui
change automatiquement le mot de passe d’un utilisateur
Carte à puce – dispositif qui a la même taille qu’une care de
crédit et qui stocke de l’information et des éléments logiciels.
Remplit des fonctions d’identification.
Marque distinctive que possède l’utilisateur
Biométrie – technique d’identification d’un utilisateur qui est
fondée sur un trait physique, ex: empreinte digitale, iris,
visage, voix
© L. Lessard, ADM2772 41
La prévention et la résistance
Des technologies de prévention et de résistance
empêchent les intrus d’accéder au capital intellectuel
Un Logiciel de filtrage de contenu prévient la
transmission d’information non autorisée – information
névralgique, fichiers suspects
Le cryptage brouille l’information et lui donne une forme
dont le décryptage nécessite le recours à une clé ou à un
mot de passe.
Utilisé par exemple pour transmettre des numéros de cartes de crédit
entre les entreprises par Internet
Un pare-feu est un périphérique ou un logiciel qui protège
un réseau privé grâce à l’analyse de l’information qui entre
dans le réseau et qui en sort.
Généralement placé entre un serveur et Internet.
© L. Lessard, ADM2772 42
La détection et la réponse
Si les stratégies de prévention et de résistance échouent et
qu’une atteinte à la sécurité se produit, une organisation peut
également utiliser des outils technologiques de détection et de
réponse pour endiguer les dommages potentiels.
Logiciel antivirus – Moyen de défense le plus répandu
pour repérer les virus informatiques et les détruire ou les
« mettre en quarantaine » si leur destruction est
impossible.
Ex: Avast, Kapersky
Logiciel de détection d’intrusion – Logiciel qui
recherche des récurrences dans l’information et le trafic sur
le réseau pour pouvoir repérer les attaques et réagir
rapidement afin de limiter les dommages.
Peut générer des alertes et même être réglé pour désactiver
automatiquement des parties sensibles d’un réseau
© L. Lessard, ADM2772 43