Chapitre 4

La sécurité et l’éthique de
l’information

ADM 2772
Professeure: Lysanne Lessard

© L. Lessard, ADM2772 1
L’éthique de l’information

© L. Lessard, ADM2772 2
Mise en contexte
• En 2010, le ministère de la Santé émet une directive exigeant que les
programmes de soins à domicile de la province augmentent de 10%
le temps d'intervention directe auprès des patients, sous peine de
pénalités financières.
• Pour atteindre cet objectif, le CSSS Ahuntsic-Montréal met en place un
«Projet d'optimisation» avec l'aide d’une firme privée en 2012.
• Un outil appelé «Planification et suivi de la performance» (PSP) est
adopté. Cette grille informatique devait être remplie de façon
hebdomadaire par les travailleurs qui devaient y planifier leur semaine de
travail en utilisant des «temps standards», pour une série d'interventions.
• Le PSP soulève la grogne des employés qui déposent des griefs
collectifs, disant avoir été extrêmement stressés par la surcharge de
travail engendrée par le PSP. Ils se plaignent que cette réorganisation
de leur travail porte atteinte à leur intégrité professionnelle et à
leurs responsabilités déontologique.
• Le CSSS cesse l’utilisation de l’outil et un arbitre tranche en faveur des
employés, statuant que le CSSS d'Ahuntsic-Montréal-Nord leur a causé
des préjudices moraux.
[Source: http://www.lapresse.ca/actualites/sante
/201603/15/01-4961186-des-travailleurs-leses-par-un-outil-de-suivi-de-la-perfo
© L. Lessard, ADM2772
rmance-tranche-un-arbitre.php 3
]
Principes fondamentaux
 Éthique: ensemble des principes et des
normes qui encadrent le comportement
des individus envers autrui.
 Éthique de l’information: Principes
moraux concernant la création, la collecte,
la duplication, la diffusion et le traitement
de l’information, ainsi que le
développement et l’utilisation des
technologies de l’information.

© L. Lessard, ADM2772 4
Éthique et SI

© L. Lessard, ADM2772 5
 L’éthique et la légalité Ex: Voler des
données

Ex: Outil de
suivi de la
performance
du CSSS
dans la mise
en contexte
Ex: Ré-
utilisation
d’extraits
musicaux
Ex:
pour créer de
Brightspace
nouvelles
mélodies

L’objectif idéal pour les organisations est de prendre des décisions qui
s’inscrivent dans le quadrant I, c’est-à-dire qui sont légales et
éthiques. © L. Lessard, ADM2772 6
La confidentialité de l’information

© L. Lessard, ADM2772 7
Mise en contexte:
Collecte de nos données par Google et
Facebook

 « Êtes-vous prêts? Voici toutes les

données que Facebook et Google
détiennent sur vous » de Dylan
Curran, The Gardian:
https://www.theguardian.com/comme
ntisfree/2018/mar/28/all-the-data-fac
ebook-google-has-on-you-privacy

© L. Lessard, ADM2772 8
Mise en contexte:
Collecte cachée de nos données

 Depuis le début de 2017, Google collecte des informations sur la

localisation des utilisateurs de téléphones Android, même lorsque
ceux-ci désactivent leurs services de localisation
 Les téléphones Android collectent l’adresse de la tour cellulaire la plus
proche, puis l’envoient à Google
 En octobre 2017, une enquête a montré que certains appareils
« Google Home Mini » enregistraient en continu, sans avoir été
activé par un utilisateur et sans donner d’indications visuelles que
l’appareil était en fonction. Les enregistrements sont envoyés à
Google.
 L’année dernière, l’on a découvert que certains téléphones Android,
sur lesquels étaient installés un « firmware » commercial,
envoyaient secrètement des données personnelles sur les
utilisateurs vers la Chine
Sources:
https://qz.com/1131515/google-collects-android-users-locations-even-when-location-services-are
-disabled/
; https://techcrunch.com/2017/10/10/google-home-mini-recorded-24-7-androidpolice/;
https://techcrunch.com/2016/11/15/budget-us-android-smartphones-found-secretly-sending-pers
onal-data-to-china/ © L. Lessard, ADM2772 9
Mise en contexte:
Détournement de nos données
 Le scandale Facebook-Cambridge Analytica
 Collecte non-autorisé des données de 87 M d’utilisateurs
Facebook par Cambridge Analytica (CA) entre 2014 et 2018
 Utilisation des données pour influencer les intentions de votes
pour les élections de 2016 aux ÉU et pour le référendum sur le
Brexit en 2016
 Les données ne proviennent pas que des traces digitales sur
FB; FB admet, en avril 2018, recueillir des données sur toute
la navigation (incluant hors FB) de tous les internautes (même
ceux qui ne sont pas membres de FB)
 Épilogue: CA déclare faillite et ferme ses portes en 2018. Elle
renaît – avec la plupart de ses membres, ses bases de
données et ses algorithmes – sous le nom de Emerdata
Sources: https://fr.wikipedia.org/wiki/Scandale_Facebook-Cambridge_Analytica/;
https://www.theguardian.com/news/series/cambridge-analytica-files;
© L. Lessard, ADM2772 10
Principes fondamentaux
 Droit à la vie privée
 Le droit d’une personne de ne pas être dérangée,
d’exercer son propre contrôle sur ses effets personnels,
y compris sur ses données numériques, et de ne pas
être observée sans son consentement.
 Confidentialité
 L’assurance que les messages et l’information sont
disponibles uniquement pour les personnes qui sont
autorisées à en prendre connaissance.

© L. Lessard, ADM2772 11
Principes fondamentaux
 Confidentialité de l’information
 Droit juridique ou volonté générale des individus, des groupes ou des
organismes de déterminer eux-mêmes la quantité d’information à leur
sujet qui est communiquée à autrui, ainsi que le moment où elle l’est.
 Préoccupation dès que des données ou des renseignements personnels
identifiables au sujet d’une personne sont recueillies et stockés, quel que
soit le mode de stockage utilisé.
 Ex: dossier médical, données financières, données démographiques

 Le respect de la confidentialité de l’information ne consiste pas à

empêcher la collecte et le partage des renseignement personnels,
mais plutôt à reconnaître leur caractère névralgique et à les protéger
contre toute diffusion inappropriée et tout accès non autorisé.
 Ex: Entreprise de marketing Internet embauchée par Saab Cars USA pour
promouvoir leurs nouveaux modèles a envoyé des courriels à des clients de Saab
n’ayant pas donné leur accord pour recevoir du matériel publicitaire. Saab a mis fin a
contrat le liant à l’entreprise et a rédigé une politique officielle concernant l’utilisation
de l’information sur la clientèle.
© L. Lessard, ADM2772 12
La protection des données personnelles (1)

 Modèle de l’Europe
 Lois vigoureuses sur la confidentialité de
l’information. Tout pays membre de l’UE doit
adhérer à la « Directive sur la protection des
données personnelles » qui attribue de
nombreux droits aux individus, incluant:
 Droit de connaître la source et les objectifs du
traitement des données personnelle, droit de corriger
les erreurs, droit de refuser l’utilisation des données
personnelles

© L. Lessard, ADM2772 13
La protection des données personnelles (2)

 Modèle des États-Unis

 Aucune loi générale ne régit l’utilisation des
données ou des renseignements personnels.
Acceptation culturelle de nombreux cas d’accès
à l’information, ex: obtention de rapports de
crédit à des fins d’emploi.
 Par contre, quelques lois à porté
déterminées, ex:
 Online Privacy Protection Act de la Californie
 Children’s Online Privacy Protection Act (COPPA)
 Health Insurance Portability and Accountability Act
(HIPAA).

© L. Lessard, ADM2772 14
La protection des données personnelles (3)

 Le Canada
 Ses lois s’inspirent du modèle européen.
 La principale loi en vigueur est la Loi sur la protection des
renseignements personnels et documents électroniques (LPRPDE).
 Vise à accorder aux Canadiens un droit à la confidentialité en qui a trait à la
collecte, à l’utilisation ou à la diffusion, par une organisation, des
renseignements personnels à leur sujet.
 10 principes directeurs qui se résument dans la formule des trois
« c »: le consentement éclairé, le choix et le contrôle.
 Certaines exceptions lorsque d’autres facteurs priment sur la confidentialité
de l’information, ex: pour les journalistes et les autorités policières.
 Organisations doivent appliquer les 10 principes, ex: obtenir le
consentement du citoyen concerné avant de recueillir, utiliser ou diffuser
des renseignements personnels à son sujet.

© L. Lessard, ADM2772 15
La mise au point d’une politique de gestion de
l’information

© L. Lessard, ADM2772 16
La mise au point d’une politique de
gestion de
l’information
 Établir une culture d’entreprise fondée sur des
principes éthiques que les employés comprennent et
mettent en pratique constitue une gestion responsable.
 Une entreprise se doit de formuler par écrit des politiques
définissant les lignes directrices et les procédures
destinées au personnel, ainsi que les règles
organisationnelles en matière d’information.
 Ces politiques encadrent les attentes du personnel à
propos des normes et des pratiques de l’organisation et
protègent celle-ci conter l’utilisation inappropriée des SI
et des ressources en technologies de l’information.

© L. Lessard, ADM2772 17
Aperçu des politiques numériques

Les politiques numériques sont les politiques et procédures qui

traitent de l’utilisation éthique des ordinateurs et d’Internet dans le
milieu des affaires.
© L. Lessard, ADM2772 18
Politiques électroniques (1)
 Politique d’utilisation éthique de
l’informatique
 Principes généraux encadrant le comportement des
utilisateurs d’un ordinateur.
 Ex: Ne pas jouer à l’ordinateur pendant les heures de travail
 Tente de prévenir les comportements non-éthique des
employés, ex: la cyber-intimidation ou la fraude au clic.
 Politique de confidentialité de l’information
 Énonce des principes généraux concernant la
confidentialité de l’information
 Ex: Interdire l’utilisation de l’information au sujet de la clientèle
pour tout motif autre que celui pour lequel elle a été recueillie, par
exemple la facturation
– Ce que Saab a rédigé après l’incident avec son sous-traitant en marketing Internet!

© L. Lessard, ADM2772 19
Politiques électroniques (2)
 Politique d’utilisation acceptable
 Politique qu’un utilisateur doit accepter de respecter s’il
veut disposer d’un accès à un réseau ou à Internet.
 Ex: Ne pas utiliser le service pour enfreindre un loi quelconque, ne
pas tenter de déjouer le système de sécurité.
 Peut inclure une disposition de non-répudiation, qui assure que
les participants au commerce électronique ne nieront pas leurs
activités en ligne.
 Politique relative aux médias sociaux
 Énonce les lignes directrices régissant les
communications en ligne des employés d’une entreprise.
 Ex: Ne pas ridiculiser son entreprise sur son fil FB
 Peut être complétée par des politiques relatives aux blogues des
employés, aux comptes Twitter de l’entreprise, etc.
– Ex: Comptes Twitter de uOttawa doivent publier chaque nouvelle dans les deux
langues officielles.

© L. Lessard, ADM2772 20
Politiques électroniques (3)
 Politique de confidentialité de courriel
 Indique dans quelle mesure des courriels peuvent être
lus par d’autres personnes.
Si le courriel et la
messagerie
instantanée sont
devenus des outils de
communications
d’affaires courants,
leur utilisation n’est
pas exempte de
risques. Par exemple,
un courriel envoyé est
archivé dans au moins
3 ou 4 ordinateurs.

À noter qu’une ne politique de confidentialité de courriel ne veut pas dire

que l’employeur ne peut pas lire les courriels de ses employés.
© L. Lessard, ADM2772 21
Politiques électroniques (2)
 Politique de surveillance des lieux de travail
 Décrit la modalité, les moments et les lieux de la
surveillance du personnel.
 Ex: Surveillance du courriel et de la messagerie électronique
effectués sur le réseau Internet de l’entreprise.
 Technologies courantes de surveillance d’Internet
 Enregistreur de frappe
 Témoin
 Logiciel publicitaire
 Logiciel espion
 Journal de serveur
 Parcours de navigation

© L. Lessard, ADM2772 22
La sécurité de l’information

© L. Lessard, ADM2772 23
© L. Les sa rd, ADM 27 72
24
Dans les médias
 Arnaques à la COVID-19 : les fraudeurs déjà à l’œuvre
 Il n’a fallu que quelques heures après l’annonce des compensations
financières du gouvernement fédéral pour que des arnaqueurs
sévissent sur tous les canaux : messages textes, courriels, appels
téléphoniques, sollicitation sur les médias sociaux.
 Ex:
 “En raison de l’épidémie de COVID-19, la Croix-Rouge fournit des
masques à chaque famille.”
 Une fois qu’on a cliqué sur le lien (chose à ne pas faire), on vous
demande d’entrer vos informations de carte de crédit, pour payer de soi-
disant frais de transport.
 Bien entendu, il n’y a pas de masques – on se fait plutôt voler ses
informations de carte de crédit

Source:
https://ici.radio-canada.ca/nouvelle/1678555/arnaques-fraude-covid-facture-messages-grc
© L. Lessard, ADM2772 25
La sécurité de l’information
 La sécurité de l’information est une notion large qui
englobe la protection de l’information contre une
utilisation inappropriée, intentionnelle ou non, par
des personnes situées à l’intérieur ou à l’extérieur
d’une organisation.
 L’information organisationnelle est une ressource-
clé, un actif qui doit être protégé par l’organisation.
 Compte tenu de la hausse des atteintes à la sécurité et
de l’omniprésence des pirates informatiques, une
organisation doit adopter de vigoureuses mesures de
sécurité de l’information si elle veut survivre.

© L. Lessard, ADM2772 26
Coût du temps d’indisponibilité

Les virus et le
piratage
informatique
sont deux
causes
courantes de
temps
d’indisponibilité
des systèmes
d’information
dans les
entreprises.

© L. Lessard, ADM2772 27
Les virus informatiques

Un virus
informatique est
un logiciel créé
dans une intention
malveillante pour
causer des
perturbations ou
des dommages.

© L. Lessard, ADM2772 28
 Virus et menaces courantes à connaître (1)

 Attaque informatique par déni de service distribué

(DDoS)
 Prise de contrôle d’un ensemble d’ordinateurs et les transforme en
« réseaux de zombies » pour communiquer à répétition avec un site
Web ou un serveur, ce qui hausse le volume de trafic – donc sature –
la cible.
 Conséquences: Le système ciblé cesse de fonctionner
 Chevaux de Troie
 Programme malveillant qui semble légitime qui s’installera et sera
lancé automatiquement une fois téléchargé
 Conséquences: suppression de fichier, prise de contrôle de votre
ordinateur (incluant périphériques comme caméra), enregistrement
des frappes de claviers (donc e vos infos, ex: carte de crédit, mots de
passe, etc.)

Source:
https://www.getcybersafe.gc.ca/cnt/rsks/cmmn-thrts-fr.asp
x © L. Lessard, ADM2772 29
 Virus et menaces courantes à connaître (2)

 Détournement de domaine
 Redirection vers un site illégitime à partir d’un URL légitime
 Conséquences: Vous pensez être sur le bon site et y entrez vos
informations personnelles
 Écoute électronique par réseau Wi-Fi (programme
renifleur)
 Capture de l’information partagée sur un réseau Wi-Fi non sécurisé
 Conséquences: Accès à votre ordinateur, vol d’informations
personnelles
 À savoir: Un réseau sécurisé Wi-Fi est tout de même vulnérable
 Annonce, en 2017, que les réseaux Wi-Fi sécurisés avec le protocole de
chiffrement WPA2 - considéré comme très sécuritaire – pouvait être
facilement piratés. Faille corrigée, mais WPA2 reste imparfait: mieux vaut
avoir un mot-de-passe long et compliqué!
 Source: https://ici.radio-canada.ca/nouvelle/1061811/wifi-faille-krack-securite-reseau-internet;
https://www.netspotapp.com/wifi-encryption-and-security.html

Source:
https://www.getcybersafe.gc.ca/cnt/rsks/cmmn-thrts-fr.asp
x © L. Lessard, ADM2772 30
Sécurité des réseaux Wi-Fi

Protocole de sécurité
sans fil WPA2: norme de
sécurité recommandée
jusqu’à nouvel ordre –
attention lorsque vous
vous connectez à un
réseau sans sécurité
dans les lieux publics!

© L. Lessard, ADM2772 31
 Virus et menaces courantes à connaître (3)

 Hameçonnage (aussi appelé mystification)

 Faux courriels, messages textes et sites Web qui semblent avoir été
envoyés par de vrais entreprises et qui vous incitent à partager vos
informations (ex: nom d’utilisateur et mot de passe)
 Conséquences: Accès aux comptes et vol de données, installation d’un
rançongiciel
 Rançongiciel: « Malgiciel » qui restreint l’accès à votre ordinateur ou
à vos fichiers; l’on doit payer une « rançon » pour que la restriction
soit retirée.
L'extorsion par piratage en plein essor - « En de nombreux points,
[le rançongiciel] est un modèle entrepreneurial plus lucratif que les
formes traditionnelles de cybercrime »
[Source: http://www.tvanouvelles.ca/2016/03/22/lextorsion-par-piratage-informatique-en-plein-essor]

Source:
https://www.getcybersafe.gc.ca/cnt/rsks/cmmn-thrts-fr.asp
x
© L. Lessard, ADM2772 32
 Virus et menaces courantes à connaître (4)

 Programme malveillant
 Logiciel qui infect votre ordinateur avec des virus, des chevaux de
Troie, des logiciels espions
 Conséquences: pertes de fichiers et de données, vol d’information,
prise de contrôle de l’ordinateur (ex: pour envoyer des courriels à
votre nom)
 Logiciel espion
 Logiciel qui s’infiltre dans un ordinateur et y recueille des
renseignements personnels à l’insu de l’utilisateur.
 Virus
 Programme informatique malveillant, souvent envoyé en pièce jointe à un
courriel, qui tente d’infecter votre ordinateur et ceux de votre liste de
contact afin d’en prendre le contrôle ou voler des données personnelles
 Ver informatique
 Comme un virus, mais n’a pas besoin de s’attacher à des fichiers ou des
programmes

Source:
https://www.getcybersafe.gc.ca/cnt/rsks/cmmn-thrts-fr.asp
x © L. Lessard, ADM2772 33
Quoi faire pour faire face à ces menaces?

 Analyse de risques
 Organiser une première ligne de
défense (les personnes)
 Organiser une deuxième ligne de
défense (les technologies)

© L. Lessard, ADM2772 34
L’analyse de risque

 Elle consiste dans l’évaluation du degré de risque

que représente pour l’entreprise une lacune dans
le contrôle d’une activité donnée ou d’un
processus particulier.
 Les risques peuvent porter sur :
 les menaces potentielles;
 leur fréquence probable durant une année;
 la valeur estimée des dommages causés (incluant temps
d’indisponibilité);
 la perte annuelle possible.
Exemple : L’évaluation des risques relatifs au traitement des commandes en ligne
Probabilité Perte minimale-maximale Perte annuelle
d’occurrence (moyenne) prévisible
Problème (%) ($) ($)
Panne de courant 30 5 000 à 200 000 (102 500)     30 750
Détournement informatique 5 1 000 à 50 000 (25 500)     1 275
Erreur de l’utilisateur 98 200 à 40 000 (20 100)     19 698
35
© L. Lessard, ADM2772
Les personnes forment la première ligne de défense

 Les organisations doivent permettre aux

employés, aux clients et aux partenaires
d’accéder à l’information par des moyens
électroniques si elles veulent prospérer dans le
monde des affaires électroniques.
 Mais – selon une enquête, 43% des pertes
attribuées aux incidents de sécurité était
attribuable à des attaques d’initiés.
 Un initié est un utilisateur légitime qui emploie de façon
indue, volontairement ou accidentellement, son accès à
l’environnement et qui cause un incident nuisant à une
entreprise.

© L. Lessard, ADM2772 36
L’ingénierie sociale
 Utiliser des aptitudes sociales pour manipuler des individus
afin que ces derniers révèlent les paramètres d’accès ou
d’autres renseignements utiles au manipulateur.

https://www.facebook.com/digg/videos/10153611859073432/?fref=nf

© L. Lessard, ADM2772 37
La politique et le plan de sécurité de
l’information
 Une politique de sécurité de l’information et un énoncé
des règles assurant le maintien de la sécurité de l’information.
 C’est donc un document important, mais encore faut-il le mettre
en œuvre!
 Un plan de sécurité de l’information décrit la façon dont
une organisation va mettre en œuvre sa politique de sécurité
de l’information.
 Le plan inclus la communication aux employés des règlements à
suivre et des pratiques exemplaires en lien avec la sécurité de
l’information, ex:
 Quelles applications peuvent être installées ou non sur le réseau de
l’entreprise
 Le matériel informatique de l’entreprise qu’il est permis d’utiliser à
des fins personnelles
 La création et le maintien des mots de passe
 Etc.

© L. Lessard, ADM2772 38
La technologie forme la deuxième ligne de défense

 Les organisations peuvent se doter de diverses

technologies pour prévenir les atteintes à la
sécurité de l’information.
 Les technologies à adopter peuvent être
comprises selon trois principaux domaines de
sécurité de l’information:
 l’authentification et l’autorisation
 La prévention et la résistance
 La détection et la réponse

© L. Lessard, ADM2772 39
L’authentification et l’autorisation (1)

 L’authentification est une méthode de

confirmation de l’identité d’un utilisateur.
 Le système peut ensuite déterminer les
privilèges d’accès (ou l’autorisation) de cet
utilisateur.
 L’autorisation désigne l’accès donné à un
utilisateur, déterminant des facteurs
comme l’accès aux fichiers, la durée de
l’accès et le volume de l’espace de
stockage accordé

© L. Lessard, ADM2772 40
L’authentification et l’autorisation (2)
 3 catégories de techniques d’authentification et d’autorisation
qui peuvent être combinées:
 Une information que l’utilisateur connaît
 Ex: nom d’identification et mot de passe
 Un objet spécifique que l’utilisateur détient
 Jeton d’authentification – petit dispositif électronique qui
change automatiquement le mot de passe d’un utilisateur
 Carte à puce – dispositif qui a la même taille qu’une care de
crédit et qui stocke de l’information et des éléments logiciels.
Remplit des fonctions d’identification.
 Marque distinctive que possède l’utilisateur
 Biométrie – technique d’identification d’un utilisateur qui est
fondée sur un trait physique, ex: empreinte digitale, iris,
visage, voix
© L. Lessard, ADM2772 41
La prévention et la résistance
 Des technologies de prévention et de résistance
empêchent les intrus d’accéder au capital intellectuel
 Un Logiciel de filtrage de contenu prévient la
transmission d’information non autorisée – information
névralgique, fichiers suspects
 Le cryptage brouille l’information et lui donne une forme
dont le décryptage nécessite le recours à une clé ou à un
mot de passe.
 Utilisé par exemple pour transmettre des numéros de cartes de crédit
entre les entreprises par Internet
 Un pare-feu est un périphérique ou un logiciel qui protège
un réseau privé grâce à l’analyse de l’information qui entre
dans le réseau et qui en sort.
 Généralement placé entre un serveur et Internet.

© L. Lessard, ADM2772 42
La détection et la réponse
 Si les stratégies de prévention et de résistance échouent et
qu’une atteinte à la sécurité se produit, une organisation peut
également utiliser des outils technologiques de détection et de
réponse pour endiguer les dommages potentiels.
 Logiciel antivirus – Moyen de défense le plus répandu
pour repérer les virus informatiques et les détruire ou les
« mettre en quarantaine » si leur destruction est
impossible.
 Ex: Avast, Kapersky
 Logiciel de détection d’intrusion – Logiciel qui
recherche des récurrences dans l’information et le trafic sur
le réseau pour pouvoir repérer les attaques et réagir
rapidement afin de limiter les dommages.
 Peut générer des alertes et même être réglé pour désactiver
automatiquement des parties sensibles d’un réseau

© L. Lessard, ADM2772 43