Scénario 5 - La sécurité et les voyages

Clause de non-responsabilité : Ce scénario ne fait pas état de tous les risques et de toutes les pratiques exemplaires. Cette étude de cas présente un certain scénario pour l’application générale des principes de sécurité de la recherche. Elle peut être utilisée comme ressource, notamment dans le cadre de formations, d’exercices et de présentations. Les noms, les événements et les autres détails de ce scénario ont été créés à des fins éducatives et ne représentent aucun événement particulier.

Scénario 5

Scénario fictif

  • Marc est un chercheur qui assiste à une conférence internationale à l’étranger où sa recherche fera l’objet de discussions.
  • Marc a amené son ordinateur avec lui, ainsi qu’une clé USB qui renferme des renseignements sur sa recherche.
  • Pendant la conférence, il a présenté un exposé au cours duquel il a branché sa clé USB à l’ordinateur qui lui était fourni sur place. Par la suite, il a pris contact avec quelques partenaires internationaux, puis a échangé des renseignements et des données en introduisant sa clé USB dans les appareils de ses collègues.
  • Lorsque Marc est revenu de la conférence, il a branché la même clé USB sur le réseau de son établissement.

Les risques dans ce scénario

Caption text
Pratiques comportant un risque Conséquences possibles
Connexion d’un dispositif de données non sécurisé à un ordinateur ou à un réseau inconnu
  • La perte de la recherche exclusive destinée à être publiée dans une revue à comité de lecture, à être commercialisée ou à d’autres fins
  • La violation potentielle de l’éthique de la recherche découlant du non-respect de la confidentialité des renseignements provenant de partenaires de recherche ou de participants à la recherche
Nouvelle connexion d’un dispositif de données non sécurisé au réseau de l’établissement d’attache
  • Corruption et violation des mesures de sécurité de l’établissement : lorsque la clé USB a été insérée dans un dispositif connecté au réseau de l’établissement, des logiciels malveillants auraient pu être activés ou se répliquer sur d’autres ordinateurs ou réseaux connectés.
  • Une atteinte soutenue visant un établissement canadien par le téléchargement d’un logiciel menant des attaques par porte dérobée ou d’un rançongiciel sur le réseau de l’établissement de Marc
  • Comme la clé USB a été connectée à plusieurs ordinateurs, il pourrait être impossible de savoir d’où proviennent les logiciels malveillants. Non seulement il pourrait y avoir un vol des données de Marc, mais aussi de celles de collègues qui ont également utilisé la clé USB ou qui se sont connectés au réseau et à d’autres appareils touchés par l’atteinte. Il peut donc y avoir une atteinte à la sécurité encore plus étendue touchant plusieurs établissements.
  • Une atteinte à la cybersécurité des réseaux de l’établissement pourrait avoir de graves répercussions sur les ressources de TI pendant un certain temps. Selon le type d’intrusion, elle pourrait également passer inaperçue dans le réseau et entraîner une perte continue de données.
  • Si des renseignements confidentiels ou exclusifs ont été détournés de l’établissement, sa réputation pourrait être gravement entachée.
  • Les rançongiciels pourraient entraîner des pertes financières et d’autres conséquences si l’établissement tente de récupérer l’information. L’accès aux avoirs ou aux dépôts pourrait aussi être perdu à jamais.

Atténuation des risques

Liste de vérification des pratiques exemplaires – Chercheurs

  • NE STOCKEZ PAS de données de recherche sur des dispositifs portatifs non sécurisés tels que des clés USB, les lecteurs flash ou des disques durs portatifs. Les données stockées pour être utilisées à l’extérieur de l’établissement d’attache devraient avoir le plus possible une portée limitée et ne pas poser de risque pour l’ensemble d’un projet de recherche.
  • NE RÉUTILISEZ PAS les dispositifs de stockage physiques et ne les reconnectez pas à un réseau après les avoir branchés à un ordinateur ou à un réseau public ou inconnu.
  • ÉLABOREZ ET APPLIQUEZ un plan de gestion des données pour vous assurer que seules les données les plus pertinentes sont stockées sur des supports jetables tels que des clés USB.
  • GARDEZ les dispositifs de stockage sécurisés à tout moment et ne les connectez pas à des appareils non fiables.

Liste de vérification des pratiques exemplaires – Établissements d’enseignement postsecondaire

  • ENCOURAGEZ les chercheurs à mettre en œuvre un plan de gestion des données qui comprend des supports de stockage physiques tels que des clés USB cryptées ou à stocker leurs données dans un endroit sécurisé, tel qu’un bureau verrouillé ou un coffre-fort.
  • ENCOURAGEZ les chercheurs à utiliser des supports sécurisés de stockage de données tels que des lecteurs cryptés et des options de stockage en nuage.
  • PUBLIEZ clairement les coordonnées des responsables de votre établissement avec lesquels communiquer en cas d’atteinte ou pour obtenir des conseils sur ces questions avant le voyage.

Ressources supplémentaires

Date de modification: