Difference between revisions of "L’utilisation sécuritaire des outils de collaboration"

From wiki
Jump to navigation Jump to search
(Created page with "__NOTOC__ top|center|frameless {| class="wikitable" style="align:center; border-top: #000000 2px solid; border-bottom: #000000 2px solid; border-le...")
 
 
(18 intermediate revisions by the same user not shown)
Line 4: Line 4:
 
{| class="wikitable" style="align:center; border-top: #000000 2px solid; border-bottom: #000000 2px solid; border-left: #000000 2px solid; border-right: #000000 2px solid" width="1125px"
 
{| class="wikitable" style="align:center; border-top: #000000 2px solid; border-bottom: #000000 2px solid; border-left: #000000 2px solid; border-right: #000000 2px solid" width="1125px"
 
|-
 
|-
! style="background: #2e73b6; color: white" width="250px" height="40px" scope="col" |[[Secure Teleworking |Overview and User Considerations]]
+
! style="background: #2e73b6; color: white" width="250px" height="40px" scope="col" |[[Travail à distance sécurisé|Présentation et considérations]]
! style="background: #2e73b6; color: white" width="250px" height="40px" scope="col" |[[Secure Teleworking Technical Considerations|Technical Considerations]]
+
! style="background: #2e73b6; color: white" width="250px" height="40px" scope="col" |[[Télétravail sécurisé - considérations techniques|Considérations techniques]]
! style="background: #2e73b6; color: red" width="250px" height="40px" scope="col" |[[Secure Use of Collaboration Tools|Secure Use of Collaboration Tools]]
+
! style="background: #2e73b6; color: red" width="250px" height="40px" scope="col" |[[L’utilisation sécuritaire des outils de collaboration|L’utilisation sécuritaire des outils de collaboration]]
 +
! style="background: #2e73b6; color: white" width="250px" height="40px" scope="col" |[[Considérations relatives aux appareils|Considérations relatives aux appareils]]
 
|}
 
|}
 
{| style="width:1125px;"
 
{| style="width:1125px;"
 
|-
 
|-
 
| style="backgound:#2e73b6;width:1000px;text-align:left;weight:normal;" scope="col" |
 
| style="backgound:#2e73b6;width:1000px;text-align:left;weight:normal;" scope="col" |
==Background==
+
==Contexte==
The Government of Canada’s (GC) [https://www.gcpedia.gc.ca/gcwiki/images/2/28/Guidance_for_the_Secure_Use_of_Collaboration_Tools.pdf Policy on the Acceptable Network and Device Use (PANDU)] recognizes that
+
La [https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=27122 Politique sur l’utilisation acceptable des dispositifs et des réseaux (PUADR) du gouvernement du Canada]
open access to modern tools is essential to transforming the way public servants work and serve Canadians.
+
reconnaît que le libre accès aux outils modernes est essentiel pour transformer la façon dont les
This policy requires that public servants have open access to the Internet, including GC and external tools and
+
fonctionnaires travaillent et servent la population canadienne. Cette Politique exige que les fonctionnaires
services that will enhance communication and digital collaboration, and encourage the sharing of knowledge
+
aient un accès ouvert à Internet, notamment aux sites du GC et aux outils et services externes qui
and expertise to support innovation.
+
amélioreront la communication et la collaboration numérique, et qui encourageront le partage des
 +
connaissances et de l’expertise pour appuyer l’innovation.  
  
Collaboration tools allow public servants to build and maintain interactive dialogue with the communities they
+
Les outils de collaboration permettent aux fonctionnaires de maintenir un dialogue interactif avec les collectivités qu’ils servent. On peut notamment citer à titre d’exemple des sites comme Twitter et LinkedIn; des outils de partage de présentations en ligne comme Prezi ou SlideShare, ou encore des plateformes de discussion en temps réel comme Slack
serve. Examples include sites such as Twitter and LinkedIn; online presentation sharing tools such as Prezi or
+
==Considérations==
SlideShare; and real-time discussion tools such as Slack, to name a few.
+
En ce qui a trait à la sécurité de la TI, les connexions aux outils et services externes comportent les mêmes risques que les autres connexions à Internet.  
  
==Considerations==
+
Par conséquent, les ministères doivent tenir compte de ce qui suit:
From an IT Security standpoint, connections to external tools and services carry the same risks as other connections to the
 
internet. However, departments should take into account that usage of these sites may require some form of identification of the individual and consequently, their association with an organization (e.g. a GC department or agency).
 
  
Departments should consider the following:
+
*publier de l’information sur des outils externes et des services Web divulguera probablement l’origine de l’information;
 +
*toute information publiée par l’entremise d’Internet, pour quelque durée que ce soit, est effectivement enregistrée de façon permanente. Il n’existe pas mesure pour contrôler l’information une fois qu’elle est publiée;
 +
*la nature des outils externes et des services Web comme les réseaux sociaux en fait des cibles attrayantes pour les personnes mal intentionnées. Ces sites sont intrinsèquement sujets à la présence d’utilisateurs peu scrupuleux qui fournissent des liens vers du contenu malveillant susceptible de corrompre l’infrastructure d’un ministère;
 +
*le contenu d’outils externes comme Trello, Slack, etc. peut être stocké sur des serveurs situés à l’extérieur du Canada, de sorte que le contenu et les métadonnées d’utilisateur connexes peuvent être surveillés par des produits, des services ou des entreprises non canadiens et/ou des tierces parties;
 +
*tout ce qui est partagé au moyen d’outils externes et de services Web pourrait être assujetti à la Loi sur l’accès à l’information et la protection des renseignements personnels (AIPRP). Les fonctionnaires doivent s’assurer que l’information relative au mandat de l’organisation et/ou contenant des décisions sur les activités gouvernementales est correctement saisie et gérée, conformément aux meilleures pratiques de gestion de l’information;
 +
*on encourage les fonctionnaires à vérifier les exigences en matière de conservation des données lorsqu’ils utilisent des outils externes, conformément à la [https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12742 Politique sur la gestion de l’information du SCT]. Certains outils externes conserveront vos données même après la désactivation de votre compte
  
*Posting of information on external tools and web services will likely divulge the origin of the information;
+
==Conseils Aux Utilisateurs==
*All information posted on the internet, regardless of the amount of time it is available, is effectively permanently recorded. There are no control provisions for any information once posted;
 
*The nature of external tools and web services like social networking sites makes them appealing targets for malicious exploitation. These sites are inherently prone to malicious users providing links to malware content that can propagate to a department’s infrastructure;
 
*Content on external tools such as Trello, Slack etc. may be stored on servers located outside Canada thus the content along with associated user metadata can be monitored by non-Canadian and /or third party products, services or businesses;
 
*Everything that is shared using external tools and web services could be subject to Access to Information and Privacy (ATIP). Public servants must ensure that information related to the mandate of the organisation and/or contains decisions on government activities is properly captured and managed, following information management best practices; and
 
*Public servants are encouraged to verify data retention requirements when using external tools, in accordance with the [https://www.tbs-sct.gc.ca/pol/doc-eng.aspx?id=12742 TBS Policy on Information Management]. Some externally provided tools will retain your information even after you have deactivated your account
 
 
 
==Do's and Don'ts==
 
 
{| class="wikitable"
 
{| class="wikitable"
 
|+
 
|+
!Do's
+
!Quoi Faire
!Don'ts
+
!Et Ne Pas Faire
 +
|-
 +
|Protéger son identité à l’aide des paramètres de confidentialité de tous les outils et appareils, et limiter la publication de renseignements sur sa page de profil.
 +
|Ne jamais partager de renseignements protégés ou de nature délicate, à moins d’y avoir été expressément autorisé par le groupe de technologie de l’information ministériel.
 +
|-
 +
|Utiliser de solides mécanismes d’authentification (p. ex., l’authentification multifactorielle) dans la mesure du possible pour se prémunir contre l’accès non autorisé et permettre le verrouillage automatique d’un appareil.
 +
|User de prudence en ouvrant des liens non sollicités ou des pièces jointes, ou lorsqu’on nous demande d’installer un logiciel. Réfléchir avant d’agir si on ne connaît pas l’expéditeur ou qu’on ne s’attendait pas à recevoir un lien ou une pièce jointe.
 
|-
 
|-
|Protect your identity by using privacy settings on all tools and devices, and limit the amount of information you provide on your profile page.
+
|Utiliser des systématiquement des mots de passe différents, notamment pour les comptes personnels et professionnels.
|Never share protected or sensitive information, unless you have express consent from your departmental information technology group.
+
|Ne pas réutiliser les mêmes mots de passe que ceux utilisés pour se connecter à l’interne.
 
|-
 
|-
|Use strong authentication mechanisms (for example, multi-factor authentication) where possible to protect from unauthorized access and enable auto-lock of your device.
+
|Être conscient de ce que l’on partage et avec qui et partir du principe que tout ce qui est partagé pourrait être rendu public.
|Open unsolicited links, attachments, or when prompted to install any software. If you don’t know the sender or were not expecting to receive a link or attachment, think twice before opening.
+
|Faire preuve de prudence et éviter d’utiliser des réseaux non fiables ou un réseau Wi-Fi gratuit
 
|-
 
|-
|Use unique passwords for every account, especially separate passwords for personal and work accounts.
+
|Utiliser des systèmes d’exploitation modernes et des navigateurs Web à jour configurés à l’aide des mesures appropriées de protection du système central.  
|Do not re-use the same passwords that are used for your internal corporate credentials.
+
|Ne jamais publier ni partager de mots de passe ou d’identifiants dans les services et outils Web.  
 
|-
 
|-
|Be conscious of what you are sharing and with whom and assume that everything you share could be made public
+
|Signaler toute activité suspecte ou tout incident de sécurité afin que l’équipe de sécurité ministérielle puisse régler le problème.
|Use caution and avoid using untrusted networks or free Wi-Fi.  
+
|Ne pas ignorer les erreurs de certificat SSL et les sites Web non sécurisés (p. ex., HTTP)
 
|-
 
|-
|Use modern operating systems and web browsers that are maintained with up-to-date software and configured with appropriate hostbased protections.  
+
|Mettre en œuvre les pratiques exemplaires en matière de GI et sauvegarder les décisions prises à l’aide d’un outil de collaboration dans le répertoire de GI du ministère.
|Never post or share passwords or credentials on web services and tools
+
|
 
|-
 
|-
|Report any suspicious activity or security incidents so that your departmental security team can address the issue.
+
|Indiquer clairement dans notre profil de médias sociaux (utilisé à des fins professionnelles) que les opinions qui y sont publiées sont les nôtres et non celles de notre employeur. Ceci ne nous dispense pas de remplir nos obligations ou d’adopter les comportements que l’on est en droit d’attendre d’un fonctionnaire
|Do not ignore SSL certificate errors and unsecure (e.g. HTTP) websites
+
|
 
|}
 
|}
  
== References ==
+
== Références ==
*[https://www.gcpedia.gc.ca/gcwiki/images/2/28/Guidance_for_the_Secure_Use_of_Collaboration_Tools.pdf Guidance for the Secure Use of Collaboration Tools]
+
*[https://www.gcpedia.gc.ca/gcwiki/images/4/4e/Orientation_sur_la_facilitation_de_l%E2%80%99acc%C3%A8s_aux_services_Web.pdf Conseils pour l’utilisation sécuritaire des outils de collaboration]
 
|}
 
|}

Latest revision as of 13:25, 7 May 2020


Telework-nobg.png
Présentation et considérations Considérations techniques L’utilisation sécuritaire des outils de collaboration Considérations relatives aux appareils

Contexte

La Politique sur l’utilisation acceptable des dispositifs et des réseaux (PUADR) du gouvernement du Canada reconnaît que le libre accès aux outils modernes est essentiel pour transformer la façon dont les fonctionnaires travaillent et servent la population canadienne. Cette Politique exige que les fonctionnaires aient un accès ouvert à Internet, notamment aux sites du GC et aux outils et services externes qui amélioreront la communication et la collaboration numérique, et qui encourageront le partage des connaissances et de l’expertise pour appuyer l’innovation.

Les outils de collaboration permettent aux fonctionnaires de maintenir un dialogue interactif avec les collectivités qu’ils servent. On peut notamment citer à titre d’exemple des sites comme Twitter et LinkedIn; des outils de partage de présentations en ligne comme Prezi ou SlideShare, ou encore des plateformes de discussion en temps réel comme Slack

Considérations

En ce qui a trait à la sécurité de la TI, les connexions aux outils et services externes comportent les mêmes risques que les autres connexions à Internet.

Par conséquent, les ministères doivent tenir compte de ce qui suit:

  • publier de l’information sur des outils externes et des services Web divulguera probablement l’origine de l’information;
  • toute information publiée par l’entremise d’Internet, pour quelque durée que ce soit, est effectivement enregistrée de façon permanente. Il n’existe pas mesure pour contrôler l’information une fois qu’elle est publiée;
  • la nature des outils externes et des services Web comme les réseaux sociaux en fait des cibles attrayantes pour les personnes mal intentionnées. Ces sites sont intrinsèquement sujets à la présence d’utilisateurs peu scrupuleux qui fournissent des liens vers du contenu malveillant susceptible de corrompre l’infrastructure d’un ministère;
  • le contenu d’outils externes comme Trello, Slack, etc. peut être stocké sur des serveurs situés à l’extérieur du Canada, de sorte que le contenu et les métadonnées d’utilisateur connexes peuvent être surveillés par des produits, des services ou des entreprises non canadiens et/ou des tierces parties;
  • tout ce qui est partagé au moyen d’outils externes et de services Web pourrait être assujetti à la Loi sur l’accès à l’information et la protection des renseignements personnels (AIPRP). Les fonctionnaires doivent s’assurer que l’information relative au mandat de l’organisation et/ou contenant des décisions sur les activités gouvernementales est correctement saisie et gérée, conformément aux meilleures pratiques de gestion de l’information;
  • on encourage les fonctionnaires à vérifier les exigences en matière de conservation des données lorsqu’ils utilisent des outils externes, conformément à la Politique sur la gestion de l’information du SCT. Certains outils externes conserveront vos données même après la désactivation de votre compte

Conseils Aux Utilisateurs

Quoi Faire Et Ne Pas Faire
Protéger son identité à l’aide des paramètres de confidentialité de tous les outils et appareils, et limiter la publication de renseignements sur sa page de profil. Ne jamais partager de renseignements protégés ou de nature délicate, à moins d’y avoir été expressément autorisé par le groupe de technologie de l’information ministériel.
Utiliser de solides mécanismes d’authentification (p. ex., l’authentification multifactorielle) dans la mesure du possible pour se prémunir contre l’accès non autorisé et permettre le verrouillage automatique d’un appareil. User de prudence en ouvrant des liens non sollicités ou des pièces jointes, ou lorsqu’on nous demande d’installer un logiciel. Réfléchir avant d’agir si on ne connaît pas l’expéditeur ou qu’on ne s’attendait pas à recevoir un lien ou une pièce jointe.
Utiliser des systématiquement des mots de passe différents, notamment pour les comptes personnels et professionnels. Ne pas réutiliser les mêmes mots de passe que ceux utilisés pour se connecter à l’interne.
Être conscient de ce que l’on partage et avec qui et partir du principe que tout ce qui est partagé pourrait être rendu public. Faire preuve de prudence et éviter d’utiliser des réseaux non fiables ou un réseau Wi-Fi gratuit
Utiliser des systèmes d’exploitation modernes et des navigateurs Web à jour configurés à l’aide des mesures appropriées de protection du système central. Ne jamais publier ni partager de mots de passe ou d’identifiants dans les services et outils Web.
Signaler toute activité suspecte ou tout incident de sécurité afin que l’équipe de sécurité ministérielle puisse régler le problème. Ne pas ignorer les erreurs de certificat SSL et les sites Web non sécurisés (p. ex., HTTP)
Mettre en œuvre les pratiques exemplaires en matière de GI et sauvegarder les décisions prises à l’aide d’un outil de collaboration dans le répertoire de GI du ministère.
Indiquer clairement dans notre profil de médias sociaux (utilisé à des fins professionnelles) que les opinions qui y sont publiées sont les nôtres et non celles de notre employeur. Ceci ne nous dispense pas de remplir nos obligations ou d’adopter les comportements que l’on est en droit d’attendre d’un fonctionnaire

Références