Scénario 1 - Pratiques de cybersécurité

Clause de non-responsabilité : Ce scénario ne fait pas état de tous les risques et de toutes les pratiques exemplaires. Cette étude de cas présente un certain scénario pour l’application générale des principes de sécurité de la recherche. Elle peut être utilisée comme ressource, notamment dans le cadre de formations, d’exercices et de présentations. Les noms, les événements et les autres détails de ce scénario ont été créés à des fins éducatives et ne représentent aucun événement particulier.

Scénario 1

Scénario fictif

  • Kate est professeure et chercheuse dans un établissement d’enseignement postsecondaire canadien. Elle accepte l’invitation d’un ancien collègue d’une université étrangère à donner une conférence sur ses travaux de recherche alors qu’elle est en vacances à l’étranger.
  • Avant son départ, Kate a téléchargé un logiciel d’accès à distance tiers sur son ordinateur de travail pour accéder à des fichiers de travail clés et disposer d’un accès continu pendant son séjour à l’étranger. Elle n’était pas au courant que ledit logiciel n’était pas autorisé par son université d’attache.
  • Kate a accédé à distance à son dépôt de données à partir du réseau Wi-Fi de l’université étrangère. Pour préparer sa conférence, elle a consulté plusieurs fichiers liés à son projet de recherche, y compris des fichiers qui contiennent des données confidentielles et non publiées. Par la suite, Kate a enregistré et téléchargé les fichiers sur le réseau de l’université étrangère.

Les risques dans ce scénario

Caption text
Pratiques comportant un risque Conséquences possibles
Utilisation d’un logiciel d’accès à distance tiers non autorisé
  • Violation des politiques de sécurité des TI de l’établissement d’enseignement canadien, ce qui peut inclure la responsabilité légale
  • Vol d’authentifiants
  • L’installation de charges de logiciels malveillants sur l’ordinateur de la chercheuse, ainsi que sur tous les appareils ou réseaux qui y sont connectés, afin de recueillir des informations et de perturber les opérations du réseau
  • Compromission non identifiée du système empêchant la mise en place de mesures de réponse en temps utile
Téléchargement de renseignements confidentiels et de données non publiées sur un réseau non sécurisé
  • L’appropriation illicite ou la duplication de projets ou de résultats de recherche, ce qui pourrait nuire la capacité du chercheur à publier ses travaux ou de limiter ses possibilités de les commercialiser
  • Violation des clauses de propriété intellectuelle ou de confidentialité qui font partie du projet de recherche et de l’accord de financement, ce qui pourrait entacher la réputation et entraîner des conséquences juridiques

Atténuation des risques

Liste de vérification des pratiques exemplaires – Chercheurs

Avant d’installer un logiciel d’accès à distance :

  • CONSULTEZ de façon proactive les TI de votre établissement d’enseignement postsecondaire afin de connaître les pratiques recommandées et les options disponibles pour obtenir un accès à distance sécurisé.
  • PASSEZ en revue les renseignements et les procédures nécessaires concernant la façon de signaler une atteinte à l’administration de votre établissement avant de voyager à l’étranger. De nombreux établissements fournissent des conseils sur la façon de voyager avec des appareils électroniques. Consultez le site Web des TI de votre établissement ou communiquez avec le service des TI de celui-ci.
  • N’UTILISEZ PAS de logiciel d’accès non autorisé.
  • CRÉEZ des dépôts de données spécialisés pour y accéder à partir de l’étranger.
  • SÉPAREZ les données et n’apportez que les données et les informations nécessaires. Par exemple, ne stockez pas d’informations sensibles, de données non publiées ou de données non pertinentes provenant d’autres projets dans le même dépôt où elles sont facilement accessibles aux utilisateurs non autorisés. Dans la mesure du possible, téléchargez ou imprimez les documents nécessaires avant de voyager afin de limiter la nécessité d’accéder aux dépôts en ligne de votre établissement.

Lorsque vous accédez au réseau de votre établissement d’enseignement postsecondaire :

  • ASSUREZ-VOUS que l’utilisation d’un réseau privé virtuel (RPV) ou d’applications cryptées est légale dans le pays où vous séjournez.
  • UTILISEZ un RPV pour établir une connexion sécurisée qui repose sur l’authentification et protège les données. L’utilisation d’un RPV garantit que votre organisation dispose d’un réseau de communication privé par l’intermédiaire d’un réseau non approuvé.
  • NE VOUS CONNECTEZ PAS à des ordinateurs ou réseaux étrangers non autorisés et non vérifiés.
  • UTILISEZ un réseau sécurisé pour accéder à votre travail. Les réseaux publics, y compris le Wi-Fi public, sont souvent non fiables et peu sécurisés; les fichiers sensibles ne doivent pas être transférés au moyen de réseaux publics.
  • UTILISEZ un logiciel de voyage approuvé et des outils d’accès à distance qui ont été installés et vérifiés par votre établissement lors de la connexion au réseau de votre établissement à l’aide d’un appareil personnel ou d’un ordinateur sécurisé.
  • NE BRANCHEZ PAS ou ne connectez pas vos appareils à des dispositifs non autorisés (p. ex., des clés USB ou USB-C, des cartes mémoire, des chargeurs, des appareils photo, des ordinateurs, des photocopieurs, des télécopieurs, des cadres photo numériques, etc.).

En cas d’atteinte potentielle :

  • COMMUNIQUEZ immédiatement avec votre établissement d’enseignement postsecondaire et signalez l’atteinte potentielle.
  • DÉCONNECTEZ immédiatement tout l’équipement potentiellement affecté. Ne supprimez pas ou ne détruisez pas de données; ces données pourraient être nécessaires dans le cadre de l’enquête sur l’atteinte.
  • MODIFIEZ les authentifiants et les mots de passe des comptes importants sur un appareil qui n’a pas été compromis (n’utilisez pas l’appareil soupçonné d’être problématique).
  • À l’aide d’une méthode sécurisée ou avec l’aide de l’assistance technique informatique de votre établissement, EXAMINEZ les autorisations d’accès et DÉPLACEZ les données relatives à l’information du projet qui doivent être transférées vers un support de stockage hors ligne sécurisé.

Liste de vérification des pratiques exemplaires – Établissements d’enseignement postsecondaire

  • DOTEZ-VOUS de politiques et de procédures qui décrivent, par exemple, l’utilisation acceptable des appareils organisationnels et la gestion des renseignements de l’établissement.
  • ENVISAGEZ de mettre au point un ensemble d’appareils pouvant être prêtés aux professeurs ou au personnel voyageant dans des zones comportant un risque numérique élevé.
  • NE GÉREZ PAS les préoccupations de sécurité de manière individuelle. Mettez à la disposition des chercheurs et du personnel des plans et des renseignements.
  • INDIQUEZ à vos employés qu’ils doivent utiliser un RPV pour se connecter aux serveurs du travail et fournissez-leur des instructions sur la façon de les utiliser.
  • ASSUREZ-VOUS que vos employés savent à qui ils doivent s’adresser s’ils ont des questions concernant la sécurité informatique, en particulier s’ils sont confrontés à des problèmes de sécurité ou si leurs appareils sont perdus ou volés.
  • FORMEZ vos employés sur les questions de cybersécurité et les pratiques exemplaires, telles que le repérage des tentatives d’hameçonnage, la création de mots de passe forts et l’utilisation de réseaux Wi-Fi sécurisés.

Ressources supplémentaires

Date de modification: