Scénario 3 - Menaces internes et vol de recherche

Clause de non-responsabilité : Ce scénario ne fait pas état de tous les risques et de toutes les pratiques exemplaires. Cette étude de cas présente un certain scénario pour l’application générale des principes de sécurité de la recherche. Elle peut être utilisée comme ressource, notamment dans le cadre de formations, d’exercices et de présentations. Les noms, les événements et les autres détails de ce scénario ont été créés à des fins éducatives et ne représentent aucun événement particulier.

Scénario 3

Scénario fictif

  • Dipna, une chercheuse canadienne, a pour mandat de superviser trois étudiants au doctorat dans son établissement d’enseignement postsecondaire canadien.
  • Afin de faciliter l’horaire de travail des étudiants, elle leur accorde un accès en tout temps au bâtiment de recherche et au laboratoire. Afin d’effectuer le suivi du travail effectué et de gérer l’information, Dipna a mis en place un système visant à consigner les entrées et les sorties au laboratoire.
  • Dipna retourne travailler tard en soirée et remarque la présence d’une étudiante dans le laboratoire. Cette dernière est occupée à parcourir des données et des notes de recherche qui n’ont pas de lien avec le projet sur lequel elle travaille. Un autre membre de l’équipe avait oublié de sécuriser ces renseignements. Dipna n’a pas interpellé l’étudiante sur le champ. Elle croyait que celle-ci avait peut-être une raison légitime d’accéder aux fichiers et voulait éviter de la confronter inutilement.
  • Dipna a plus tard décidé de signaler l’activité. Toutefois, en vérifiant l’ordinateur du laboratoire et la feuille de présence, elle n’a trouvé aucune preuve d’accès à ce moment-là autre que ce qu’elle a vu.

Les risques dans ce scénario

Caption text
Pratiques comportant un risque Conséquences possibles
Permettre un accès illimité à un bâtiment de recherche et à des données de nature sensible
  • L’accès illimité à un laboratoire ou à un bâtiment de recherche expose un projet de recherche à des risques inutiles, en particulier la nuit ou à d’autres moments étranges de la journée lorsqu’un laboratoire est susceptible de ne pas être surveillé.
  • L’installation de logiciels non autorisés ou d’un programme dorsal ou de dispositifs physiques pour le vol de données pourrait compromettre l’intégrité d’un laboratoire et d’un établissement de recherche.
  • Possibilité de confiscation des gains économiques, personnels ou commerciaux réalisés dans le cadre d'un projet de recherche à la suite d'un vol de données.
  • Si des renseignements confidentiels d’un tiers étaient en cause, l’entente de collaboration ou de financement dans son ensemble pourrait être compromise.
  • Si les données ont été fournies par un partenaire de l’industrie conformément à une entente, le vol de données importantes pourrait avoir des conséquences en vertu de l’entente.
Ne pas confronter une personne qui enfreint les processus de sécurité ou ne pas restreindre la sécurité après avoir été témoin d’un accès non autorisé ou d’une activité suspecte
  • L’étudiante agissait possiblement de bonne foi et consultait peut-être les documents à des fins légitimes, mais elle doit être informée des processus adéquats pour accéder aux données qui ne s’inscrivent pas dans son domaine de recherche.
  • Si le public est informé du fait que l’étudiante a détourné des renseignements sensibles, le lien de confiance qu’entretient l’établissement avec les intervenants, y compris des entreprises du secteur privé et d’autres collaborateurs, risque d’être ébranlé.
  • Si des renseignements classifiés ou liés à des marchandises contrôlées étaient compromis, l’établissement pourrait faire l’objet de mesures de conformité de la part du gouvernement du Canada.
  • L’étudiante pourrait être une initiée qui est motivée à acquérir des données ou des connaissances à d’autres fins, y compris pour un avantage personnel ou commercial, ou pour le bénéfice d’un gouvernement, d’une armée ou d’un acteur étatique étrangers susceptible de poser un risque pour la sécurité nationale. En n’étant pas confrontée, la personne peut être encouragée à poursuivre ses activités.
  • Si elle n’est pas confrontée quand elle est prise en flagrant délit, une personne initiée pourrait être en mesure de camoufler ses activités et de faire en sorte qu’il soit beaucoup plus difficile de la soupçonner officiellement de tout acte répréhensible ou de mener une enquête au sujet de ses activités.
  • À la suite d’un vol de recherche ou de données, les travaux d’un chercheur pourraient être reproduits et ce dernier risquerait de ne plus pouvoir publier ses travaux ou en bénéficier. Un tel vol pourrait également contrevenir aux ententes ou aux exigences de financement.

Atténuation des risques

Liste de vérification des pratiques exemplaires – Chercheurs

Lors du recrutement d’étudiants ou de membres du personnel pour un projet de recherche :

  • ÉVALUEZ soigneusement les antécédents des personnes que vous aimeriez recruter au sein de votre équipe de recherche; passez notamment en revue leurs affiliations actuelles.
  • CRÉEZ et tenez à jour un système d’accès à votre laboratoire ou à votre bâtiment de recherche, comme un registre des entrées et sorties.
  • INFORMEZ les membres de l’équipe de recherche des heures d’ouverture habituelles et demandez-leur d’aviser les autres s’ils prévoient travailler en dehors de ces heures. Les membres de l’équipe devraient être informés de toutes les restrictions et exigences liées au projet de recherche et à leurs produits de travail connexes. Un cadre de surveillance, y compris un processus pour l’identification des atteintes potentielles, est recommandé.
  • CONSIGNEZ l’heure et les parties impliquées dans toute activité suspecte. Tenez des conversations ouvertes et gérez les problèmes dans les plus brefs délais. S’il s’agit d’une préoccupation grave, avertissez les responsables de l’établissement concerné.
  • NE PERMETTEZ PAS un accès illimité aux espaces de recherche, aux données sensibles ou à l’équipement.
  • NE LAISSEZ PAS TRAÎNER d’informations ou de documents de nature sensible à des endroits où ceux-ci pourraient être consultés par toute personne ayant accès à l’espace. Les fichiers numériques devraient être cryptés et protégés par mot de passe. Seules les personnes autorisées devraient pouvoir y avoir accès. Les biens matériels devraient être conservés dans un milieu de stockage sécurisé tel qu’une armoire verrouillée, un congélateur à échantillons sous clé ou même un bureau sécurisé.
  • N’ENVENIMEZ PAS une situation et n’accusez pas une personne soupçonnée d’activité suspecte. Il est possible que le membre de l’équipe de recherche ait agi de bonne foi et ait consulté les documents d’un collègue pour éclairer de manière légitime les travaux de recherche de l’équipe si l’autre personne ne pouvait pas être rejointe. Le membre pourrait également être un agent d’un État étranger contraint de se conformer aux ordres ou forcé d’une autre manière quelconque. Si une activité suspecte est relevée, révoquez l’autorisation et l’accès de la personne au laboratoire et avisez les services de sécurité concernés.

Liste de vérification des pratiques exemplaires – Établissements d’enseignement postsecondaire

  • FOURNISSEZ aux chercheurs des conseils et des ressources concernant la sécurité physique. Tenez les services de sécurité du campus au courant des tendances ou des bâtiments qui présentent un risque plus élevé d’atteintes à la sécurité.
  • ÉVALUEZ et traitez de manière proactive les éventuelles atteintes à la sécurité ou le vol d’informations. En réagissant rapidement à d’éventuelles atteintes, on est plus susceptible de trouver des preuves et d’entamer une enquête.

Ressources supplémentaires

Date de modification: