Politique sur la sécurité de l'information et l'utilisation responsable des biens technologiques

Date d’entrée en vigueur : 22 janvier 2018
Responsabilité : Vice-président principal, Infrastructure et Services technologiques médias

1. APPLICATION

La présente politique s’applique à tous les employés, sous-traitants et consultants qui travaillent pour CBC/Radio-Canada (le « personnel »).

2. OBJECTIF

Présenter les pratiques visant à promouvoir et à assurer la sécurité de l’information et l’utilisation responsable des biens technologiques.

3. DÉFINITIONS

Information : Toute donnée ou tout élément de connaissance détenu par CBC/Radio-Canada ou qui lui est confié, notamment l’information sur les produits et services, les activités, les tiers, les employés, le savoir-faire, les procédés opérationnels, la propriété intellectuelle et les secrets commerciaux, quel que soit le support sur lequel cette information est conservée ou par lequel elle est communiquée ou traitée.

Sécurité de l’information : Protection de l’information et des systèmes d’information contre l’accès, l’utilisation, la divulgation, l’interruption, la modification ou la destruction non autorisé, dans le but de garantir la confidentialité, l’intégrité, la disponibilité, l’authenticité et la fiabilité de l’information, et d’assurer la responsabilisation des entités.

Bien technologique : Tout élément de nature technologique détenu par CBC/Radio-Canada ou qui lui est confié, ainsi que tout appareil technologique personnel branché à l’infrastructure technologique de la Société, notamment, mais sans toutefois s’y limiter : logiciels et matériel informatique, réseaux, infrastructure, serveurs, bases de données, téléphonie, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs d’entrée-sortie, équipement technique, logiciels et services technologiques hébergés ou gérés à l’externe, tel que les solutions infonuagiques.

4. ÉNONCÉ

CBC/Radio-Canada s’est engagée à réduire les risques liés à la sécurité de l’information en veillant au respect des rôles et responsabilités liés à la présente politique (voir annexe A).

4.1 Utilisation responsable

L’utilisation illicite ou inappropriée de l’information et des biens technologiques est strictement interdite (voir annexe A). L’utilisation inappropriée de l’information et des biens technologiques peut être tolérée si cette utilisation est requise à des fins de journalisme et autorisée par les Normes et pratiques journalistiques de CBC/Radio-Canada. Il est toutefois obligatoire dans ces cas, de se conformer à la procédure de dérogation établie.

Le personnel doit utiliser l’information et les biens technologiques de CBC/Radio-Canada de manière responsable et dans le respect des lois fédérales et provinciales, des règlements municipaux et des politiques institutionnelles applicables.

Le personnel doit utiliser l’information et les biens technologiques de CBC/Radio-Canada à des fins professionnelles principalement. L'utilisation personnelle limitée est tolérée, mais elle doit être licite, appropriée et ne pas nuire au travail du personnel ni l’empêcher de s'acquitter de ses tâches. Bien que CBC/Radio-Canada n'entende pas s'immiscer abusivement dans la vie privée des membres du personnel, ceux-ci ne doivent pas s'attendre à bénéficier des garanties liées à la protection de la vie privée lorsqu’ils utilisent les biens technologiques de CBC/Radio-Canada.

4.2 Protection de l’information

Le personnel doit traiter l’information et utiliser les biens technologiques de CBC/Radio-Canada de la manière attendue pour garantir la sécurité de l'information. Le personnel ne doit pas compromettre l’efficacité des mesures de sécurité mises en place par la Société, et il ne doit pas agir de manière irresponsable en donnant accès ou en divulguant de l’information à des utilisateurs non autorisés.

Le personnel qui est témoin d’une utilisation illicite ou inappropriée (voir Outil - Utilisation illicite ou inappropriée des biens technologiques [hyperlien]), soupçonne une atteinte à la sécurité, détecte un risque imprévu ou constate la perte d’une information ou d’un bien technologique doit immédiatement en faire part à son gestionnaire, à l’équipe locale du soutien technologique ou au Centre des services partagés, ou le signaler conformément à la Politique sur la divulgation d’actes répréhensibles (Politique de dénonciation).

4.3 Contrôle de l’utilisation

CBC/Radio-Canada se réserve le droit de contrôler l’utilisation qui est faite de ses biens technologiques et de l’information qui y est conservée, communiquée ou traitée.

CBC/Radio-Canada se réserve le droit de :

  • Mettre en œuvre des mesures de sécurité, et restreindre ou élargir l’accès à ses biens technologiques ou y mettre fin, au besoin, afin de protéger ses biens de toute défectuosité, lenteur et usage abusif, et de préserver la disponibilité, l’intégrité et la confidentialité de l’information ;
  • Surveiller l'utilisation de ses biens technologiques aux fins de dépannage, de planification de leur capacité, de contrôle des coûts, de conformité, de sécurité et d’application de la présente politique ;
  • Accéder à des renseignements personnels et les consulter dans le cadre des enquêtes sur les activités ou le comportement d’un employé.

5. ANNEXES

6. INSTRUMENTS SUBSIDIAIRES

Règles et procédures

  • Règles et procédures relatives à la gestion des appareils mobiles
  • Règles et procédures relatives à la gestion de l’identité et de l’accès
  • Règles et procédures relatives à la réponse aux incidents liés à la sécurité de l’information
  • Règles et procédures relatives à la surveillance de la sécurité

Directives

Outils

7. RÉFÉRENCES

8. HISTORIQUE

La présente politique remplace la Politique 2.5.1 : Utilisation des biens technologiques (2013).

9. DEMANDES DE RENSEIGNEMENTS

Pour toute question concernant l'interprétation ou l'application de la présente politique, s'adresser au directeur, Sécurité de l’information.


ANNEXE A
UTILISATION ILLICITE OU INAPPROPRIÉE DES BIENS TECHNOLOGIQUES

Il est interdit d’utiliser les biens technologiques de CBC/Radio-Canada de manière illicite ou inappropriée. Cette interdiction s'applique notamment aux activités suivantes :

  1. Visionner, télécharger ou distribuer du matériel offensant, notamment des messages pornographiques, à caractère sexuel, discriminatoires ou harcelants, sauf si de telles activités sont autorisées et nécessaires à des fins journalistiques ou de programmation.
  2. Partager des identités d’utilisateur personnelles, des mots de passe ou d’autres mesures de contrôle de l'accès plutôt que d’utiliser les procédures de délégation autorisées.
  3. Utiliser des identificateurs privilégiés collectifs, partagés ou génériques, ou un droit d'accès délégué, pour un motif autre que son utilisation prévue. Ces identificateurs sont réservés aux fonctions administratives spécialisées, et ne doivent pas être utilisés comme identificateurs personnels pour accéder aux systèmes.
  4. Mener des activités illégales, notamment de la sollicitation ou des jeux de hasard dans le but d'en tirer un profit ou un bénéfice personnel.
  5. Envoyer ou faire suivre des pétitions, des courriels de masse ou des courriels faisant partie d'une chaîne non autorisés qui ne sont pas reliés aux activités de la Société, ou y répondre.
  6. Reproduire ou distribuer des œuvres protégées par le droit d'auteur et les règles de propriété intellectuelle, notamment des images, de la musique, des vidéos, des textes et des logiciels.
  7. Nuire intentionnellement au fonctionnement normal des biens technologiques et aux services qu’ils fournissent, ou modifier les biens technologiques pour retirer les restrictions imposées par la Société ou les fournisseurs, comme la protection par mots de passe, les antivirus, le cryptage des données, etc.
  8. Supprimer, contourner ou désactiver une fonction ou un dispositif de sécurité conçu pour protéger contre les menaces pour la sécurité.
  9. Porter atteinte à l'intégrité des biens technologiques, notamment par la propagation intentionnelle de virus ou par l'obtention ou la tentative d'obtention d'un accès non autorisé à des postes de travail, à des réseaux, à des appareils mobiles, à des applications ou à des données.
  10. Utiliser les biens technologiques comme moyen d'accès non autorisé à d'autres systèmes des technologies de l’information qu’ils appartiennent à CBC/Radio-Canada ou à un tiers.
  11. Télécharger ou installer sur un bien technologique toute application ou tout logiciel permettant l'accès à distance et dont l'utilisation peut compromettre le système de sécurité de l’information.
  12. Installer des logiciels ou des applications dont l'utilisation est contrôlée et pour lesquels une licence n'a pas été achetée.
  13. Ouvrir des comptes personnels tels que des comptes de services mobiles au moyen d’une carte de dépenses de CBC/Radio-Canada.
  14. Mettre en œuvre des services technologiques (réseaux, services à distance, applications, etc.) sur le réseau de CBC/Radio-Canada sans en avoir obtenu l’autorisation explicite.
  15. Adopter ou acquérir des services technologiques hébergés ou gérés à l’externe, comme des solutions infonuagiques ou des logiciels-services (SaaS), sans en avoir obtenu l’autorisation explicite.
  16. Enregistrer de l'information confidentielle sur des supports amovibles tels que les clés USB et les disques durs externes, sans la crypter préalablement.


ANNEXE B
RÔLES ET RESPONSABILITÉS

VICE-PRÉSIDENTS ET DÉLÉGUÉS

Responsabilités des vice-présidents ou de leurs délégués:

  • S’assurer que les processus sont en place au sein de leur composante/service pour gérer l’information conformément à la politique de Gestion des documents et de l'information (2.9.1);
  • Appuyer les programmes de sécurité mis en place par le directeur, Sécurité de l’information, en ce qui a trait à la sécurité de l’information et à l’utilisation responsable des biens technologiques par leurs équipes;
  • Signaler promptement au directeur, Sécurité de l’information, tout problème de sécurité de l’information soupçonné ou tout événement connexe au sein de leur unité;
  • Gérer adéquatement les privilèges d’accès accordés au personnel ou permettant d’accéder aux systèmes dans leur composante/service;
  • S’assurer que leurs équipes respectent la politique lorsqu’ils délèguent ou externalisent des services.

DIRECTEUR, SÉCURITÉ DE L’INFORMATION

Responsabilités du directeur, Sécurité de l’information :

  • Mettre en œuvre un programme de sensibilisation sur la sécurité de l’information et l’utilisation responsable des biens technologiques, qui comprend des communications régulières et une formation périodique obligatoire;
  • Réaliser chaque année une évaluation des risques liés à la sécurité de l’information et à l’utilisation responsable des biens technologiques;
  • Superviser un programme de sécurité découlant de l’évaluation des risques;
  • Assurer la mise en œuvre et la vérification des programmes de continuité des opérations visant les processus critiques et les systèmes et technologies de l’information, notamment les systèmes de préparation des rapports financiers et les réseaux de diffusion;
  • Mettre en place des mesures de protection, de contrôle, de détection et de réaction relativement aux intrusions afin de prévenir et de signaler les activités malveillantes liées aux biens technologiques, tel que les tentatives d’intrusion.

Outil de soulignement de texte