Introduction
Placée sous l’influence des progrès technologiques, la pratique professionnelle a constamment évolué au cours des dernières années. L’utilisation de systèmes de gestion des ressources humaines, la multiplication des supports informatiques, l’accroissement de la distance entre les collaborateurs directs ne sont que quelques signes de ces changements.
Aujourd’hui, les différents outils informatiques, ordinateurs, tablettes et cellulaires nous sont très familiers. Le télétravail et le conseil à distance font désormais partie de notre quotidien.
Il est important de souligner qu’un professionnel qui exerce sa pratique professionnelle à distance se trouve dans un contexte de télépratique. Ainsi, quel que soit l’endroit où se trouve le professionnel, il doit être en mesure de communiquer avec ses clients et leur offrir des services professionnels de qualité dans le respect de ses obligations déontologiques. De la même façon le professionnel est tenu à ces mêmes obligations déontologiques quel que soit l'endroit où se trouve son client.
Toutes les personnes qui sont en interaction avec un CRHA ou un CRIA, qu’ils soient clients, employés, collègues ou candidats, s’attendent à recevoir du professionnel des services de qualité, quels que soient les moyens technologiques utilisés pour y parvenir.
Bien entendu, le secret professionnel, le devoir de discrétion et le maintien de la confidentialité restent au cœur des obligations professionnelles. Ceci est particulièrement délicat dans un contexte de télépratique, car il incombe au professionnel, et aux personnes qu’il a sous sa responsabilité, de gérer, conserver et transmettre de l’information confidentielle en lien avec les personnes et les affaires.
C’est dans ce contexte que l’Ordre des CRHA CRIA propose ce guide interactif permettant de faire l’inventaire des risques liés à l’utilisation de la technologie de l’information. Loin d’être un ouvrage d’expert en informatique, ce document offre des explications et des pistes d’action destinées à guider le professionnel dans sa pratique au quotidien. Il a pour but d’aider le professionnel à prendre les bonnes décisions lui permettant d’assumer les responsabilités qui lui reviennent.
Nous vous souhaitons bonne lecture!
Le conseil interprofessionnel définit la télépratique ainsi :La télépratique est l’exercice d’une profession à distance à l’aide des technologies de l’information et de la communication (TIC). Elle inclut notamment l’utilisation de la téléphonie mobile et d’Internet. La télépratique comprend la téléconsultation, la téléexpertise, la télésurveillance, la téléassistance. Des activités de formation et de supervision peuvent également être visées par cette notion. Les activités associées à la télépratique consistent à : informer le public par un usage des TIC; rendre des services professionnels à des clients; communiquer avec les clients; gérer des informations confidentielles et des dossiers électroniques sur les personnes; effectuer des transactions électroniques associées au paiement des services professionnels. Caractéristiques Référence : Télépratique et gestion du dossier numérique en santé et en relations humaines. Conseil interprofessionnel du Québec 2016. |
Des experts bénévoles ont participé à l’élaboration de ce guide. Toutefois, son contenu n’engage que la responsabilité de l’Ordre des conseillers en ressources humaines agréés (CRHA). Enfin, les moyens mentionnés, de même que les références contenues dans ce guide ou les solutions proposées, ne font l’objet d’aucun cautionnement de la part de l’Ordre des conseillers en ressources humaines agréés (CRHA).
Collaborateurs
Catherine Fortier, CRHA Conseillère principale SIRH Intact Assurance et belairdirect
Colette Côté, CRHA Inspectrice, Ordre des CRHA | CRIA
Éric Gagnon, CRHA Associé principal Services-conseils Synopsis
Jean-Pierre Gagnon, CRHA, Conseiller coordonnateur division dotation et planification de la main-d’œuvre, Ville de Québec
Jean-Pierre Morin, CRHA Inspecteur, Ordre des CRHA | CRIA
Karine Bourassa, CRHA, Avocate et médiatrice en matière civile, commerciale et travailFontaine Panneton Bourassa Avocats
Pierre-Alain Rey, CRHA, Responsable de l’inspection professionnelle et encadrement de la pratique, Ordre des CRHA | CRIA
Samuel Riché, CRHA, Conseiller en apprentissage, Expérience employé Banque Nationale du Canada, Montréal
Table des matières
- Obligations professionnelles
- Télépratique
- Menaces et attaques
- Courriels et pièces jointes
- Connectivité
- Transfert de fichiers
- Infonuagique stockage et transport de l’information
- SIRH
- Interface utilisateur portail
- Téléphones intelligents et assistants numériques
- Pistes de solutions lorsque de l’information personnelle est compromise
- Outils complémentaires et références
- Lexique
Obligations professionnelles
Les acronymes CD et CP signifient respectivement Code de déontologie et Code des professions.
Que sont des renseignements confidentiels?
Par renseignements confidentiels, on entend des informations faisant l’objet de contraintes contractuelles ou légales (qui n’ont donc pas vocation à circuler librement) et dont le détenteur (débiteur de l’obligation de confidentialité) doit veiller à la protection. Cela inclut entre autres les renseignements personnels, les secrets commerciaux ou industriels et toute information protégée par le secret professionnel. À titre d’exemples, il peut s’agir d’informations sur une mesure disciplinaire, un certificat médical, un fichier contenant des salaires, une évaluation de rendement, un CV, un contrat, une facture, des informations sur la stratégie de l’entreprise, etc.
Ce que vous devez savoir
La protection des renseignements électroniques est soumise aux mêmes exigences et obligations que les documents papier.
Responsabilité : Il est de la responsabilité du professionnel de protéger la confidentialité des dossiers qu’il traite. D’aucune manière, il ne peut se dégager de sa responsabilité civile (art. CD 31)
Compétence : Le CRHA | CRIA doit exercer sa profession avec compétence et intégrité, en tenant compte des normes de pratique généralement reconnues et en respectant les règles de l’art. L’utilisation des outils informatiques et numériques fait aujourd’hui partie intégrante du savoir-faire professionnel. Le Guide des compétences du CRHA | CRIA traite d’ailleurs précisément de ce domaine professionnel : La littératie numérique. Ce nouveau champ de compétences permet au CRHA | CRIA de continuer d’offrir des services professionnels de qualité dans un environnement en constante évolution. Ce contexte évolutif oblige le professionnel à s’engager dans son développement afin d’actualiser ses connaissances en la matière.
Protection : Le professionnel agréé a l’obligation de protéger toutes les informations confidentielles qui lui sont confiées. Il doit aussi protéger les outils et les techniques qu’il utilise afin de garantir que d’autres n’en fassent pas un mauvais usage. Il doit protéger les données que ses clients internes ou externes lui confient.
Non-divulgation : Le professionnel doit maintenir les secrets de l’information qu’on lui confie. Par exemple, il ne devra pas en discuter si cela n’est pas nécessaire ou s’en servir pour se procurer un avantage (art. CP, n° 60.4 Code des professions). De plus, il doit s’assurer que les autres membres de l’organisation ne peuvent pas avoir accès à ces informations. S’il est nécessaire de les partager, le professionnel agréé prendra les mesures nécessaires pour encadrer le transfert de cette information et assurer le maintien de la confidentialité (art. CD, n° 51(2) Code de déontologie des CRHA | CRIA).
Le professionnel CRHA | CRIA peut opter pour différentes façons de protéger l'information confidentielle (mot de passe robuste, dossier partagé et sécurisé, portail sécurisé, cryptage des données et des courriels, etc.). Le CRHA | CRIA doit déterminer la meilleure façon en tenant compte du contexte organisationnel pour prévenir et assurer la cybersécurité, si possible en collaboration avec son équipe et avec des spécialistes compétents.
Voici quelques exemples de saines pratiques :
|
Références :
- Code de déontologie des CRHA | CRIA, articles 6 et 51.
- Règlement sur la tenue des dossiers et des cabinets de consultation des CRHA | CRIA, article 2.05.
- Code des professions, article 60.4.
- Loi sur la protection des renseignements confidentiels secteurs public et privé.
- Pour les organisations sous juridiction fédérale, la Loi sur la protection des renseignements personnels, par exemple, s'applique aux renseignements que détiennent les institutions fédérales sur leurs employés, tandis que la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux renseignements relatifs aux employés et détenus par toute installation, tout ouvrage, toute entreprise ou tout secteur fédéral d'activité.
En résumé
Le professionnel CRHA | CRIA a la responsabilité de protéger toute information personnelle et confidentielle, qu’elle soit électronique ou en format papier, en tout temps.
Télépratique
Qu’est-ce que c’est?
La technologie a permis aux travailleurs de rester à la maison tout en étant reliés au bureau par téléphone, ordinateur, modem, télécopieur ou courriel. C'est ce qu'on appelle le télétravail ou travail à distance. Lorsqu’un professionnel rend des services ou des conseils à distance, il s’agit de télépratique.
Avec le contexte actuel, de plus en plus de gens travaillent ailleurs que dans un bureau formel, qu’il s’agisse de la maison, du chalet, d’un café, d’une salle de réunion commune (coworking), etc. En télétravail, les appareils portables sont souvent utilisés, qu’il s’agisse d’outils fournis par l’entreprise ou d’outils personnels du professionnel.
Le télétravail présente des avantages pour l’employé sur le plan de la flexibilité. Cependant, il pose certains risques reliés à la protection des renseignements personnels et confidentiels traités dans l’exercice de ses fonctions. L’environnement de travail n’est pas contrôlé et la sécurité n’est pas assurée de la même manière que lorsque l’employé est physiquement sur les lieux de travail. Les informations personnelles et confidentielles que vous traitez doivent être protégées en tout temps, qu’elles soient en format électronique ou papier. Le professionnel exerçant des activités en télépratique a l’obligation de garantir à son client la protection des informations que celui-ci lui confie.
Pour en savoir plus, consultez notre Guide d'encadrement du télétravail pour l'employeur et l'employé.
Ce que vous devez savoir
Le télétravail représente un défi en matière de sécurité informatique. D’une part, les télétravailleurs utilisent fréquemment leurs propres outils informatiques et connexions. Ils doivent être équipés pour avoir accès à des outils sécuritaires. D’autre part, ils doivent être formés et conseillés afin de réduire au maximum les risques informatiques. Les employés doivent aussi être équipés par l’organisation ou leur équipement doit être vérifié afin d’être conforme aux normes de sécurité (limitation forcée des téléchargements, accès limité à certaines applications corporatives). Les professionnels demeurent responsables des techniques et des outils qu’ils utilisent.
Quelques pistes d’action
Les pistes d’action suivantes dépendent du contexte de pratique du professionnel. Si possible, en collaboration avec son équipe et avec des spécialistes compétents, le professionnel doit :
- Former adéquatement les employés et collaborateurs, les soutenir dans l’application des règles en collaboration avec les responsables informatiques.
- Protéger le transfert de l’information par l’utilisation d’un VPN. Éviter de partager son ordinateur avec d’autres personnes. Sécuriser son ordinateur et tout matériel informatique de stockage de données lorsqu’il quitte son domicile ou son lieu de travail (risque de vol).
- Utiliser un poste de travail qui se verrouille automatiquement après quelques minutes d’inactivité.
- Utiliser des mots de passe robustes.
- Présenter et faire signer des ententes de confidentialité aux personnes qui sont en contact avec de l’information personnelle et confidentielle.
- Protéger les accès aux outils de visioconférence (par exemple,
- porter une attention particulière au partage du lien de la conférence, empêcher l’enregistrement, partager uniquement les documents pertinents, désactiver les alertes de messages et courriels, etc.).
- Actualiser la protection de ses équipements informatiques et effectuer les mises à jour des mesures de sécurité.
- N’utiliser que des ordinateurs équipés de logiciels antivirus.
- Consulter un expert en informatique pour :
- Se renseigner sur les solutions technologiques fiables. - Créer un réseau sécurisé.
- Gérer les accès informatiques et les niveaux d’autorisation.
- Recommander à l’organisation de :
- Rédiger et diffuser une politique sur l'utilisation du matériel informatique et sur le télétravail.
- Adopter une politique de confidentialité.
- Mettre en place des outils de gestion permettant la vérification de la confidentialité et de l’intégrité des informations.
- Procéder à des audits de sécurité informatique pour s’assurer de l'imperméabilité des réseaux et de la mise en place de mesures de contrôle.
Pour d’autres pistes d’action, visionnez : Sécurisez votre réseau à domicile pendant la pandémie.
En résumé
Il appartient au professionnel de prendre toutes les mesures nécessaires pour protéger la confidentialité de l’information. Le télétravail représente un défi à cet égard. L’utilisation des meilleurs outils, la formation et le soutien technique sont indispensables pour assurer la sécurité informatique.
Découvrez toutes les ressources qui se rapportent à la gestion du télétravail sur notre site Web : Gestion du télétravail.
Menaces et attaques
Qu’est-ce que c’est?
Les menaces regroupent les différents risques auxquels s’expose un utilisateur d’outils informatiques. Il s’agit principalement de stratégies malveillantes mises en place pour pénétrer un système ou pour obtenir frauduleusement de l’information, ou encore pour prendre le contrôle de vos équipements.
Ce que vous devez savoir
Les risques sont multiples. Les stratégies malveillantes évoluent constamment et elles obligent l’utilisateur à une vigilance constante. Les utilisateurs doivent jouer de prudence, utiliser des outils de protection adéquats et chercher conseil auprès de spécialistes de la sécurité informatique.
Quelques pistes d’action
- Toujours faire preuve de prudence lors du partage d’informations passant par l’informatique.
- Faire particulièrement attention de ne pas ouvrir des documents dont la source est suspecte et de ne transmettre aucune information ouvrant la porte à l’intrusion dans les systèmes.
- Ne pas cliquer sur des liens dans un document dont la source est inconnue ou suspecte.
- Équiper son matériel informatique de logiciels antivirus régulièrement mis à jour.
- Éviter de répondre à un pourriel, et signaler celui-ci au responsable informatique.
En résumé
Vigilance et prudence en la matière. N’hésitez pas à vous renseigner et à demander conseil à des experts en sécurité informatique qui sauront vous aider à prendre les mesures appropriées pour respecter vos obligations en matière de protection des informations personnelles et confidentielles.
Courriel
Qu’est-ce que c’est?
Un courriel, un courrier électronique, un mail ou un email est un message écrit envoyé électroniquement par le biais d’un réseau informatique. On appelle messagerie électronique l'ensemble du système qui permet la transmission des courriels. Il existe aussi de nombreux moyens de transmettre des messages au moyen d’applications telles que Messenger, WhatsApp, Signal, messagerie texte, etc.
Ce que vous devez savoir
Une messagerie électronique est un logiciel qui a pour fonction de recevoir, d'envoyer et de classer des courriels. Une messagerie que l'on consulte directement sur Internet est aussi connue sous le vocable anglais Webmail.
Les risques liés à la messagerie sont analysés en considérant trois types de menace :
- Les atteintes aux flux légitimes (interception de message, perte de message, répudiation de l’envoi, usurpation d’identité, etc.)
- Les atteintes au système de messagerie ou au système d’information par la messagerie (virus, vers, pourriels, etc.)
- Les atteintes à l’organisation (contenus illicites, utilisation abusive, hameçonnage, courriels frauduleux, etc.)
La protection des flux légitimes repose essentiellement sur des techniques de chiffrement (chiffrement, signature), alors que la sécurisation des systèmes de messagerie suppose un choix judicieux d’architecture, de protocoles sécurisés et d’outils spécialisés (exemple : antipourriel).
Quelques pistes d’action
- Le CRHA-CRIA doit s’assurer que sa messagerie est protégée. Il doit s’assurer que sa messagerie utilise des protocoles sécurisés et est dotée d’outils spécialisés (exemple : antipourriel).
- Le professionnel doit s’assurer d’envoyer uniquement des messages et des documents adéquatement sécurisés, et uniquement à des personnes de confiance.
- Vous en apprendrez davantage sur le sujet au chapitre concernant les pièces jointes.
- Lorsque nécessaire, le sujet du message doit comporter la mention « confidentiel ».
- Un avis de confidentialité doit être ajouté aux messages électroniques.
- Ne jamais cliquer sur un lien contenu dans un message si vous n’êtes pas certain qu’il provienne d’une source fiable. Si, dans un courriel, on vous demande de mettre à jour vos informations, il est de mise d’aller sur le site officiel de l’expéditeur pour y effectuer votre mise à jour.
- Ne pas transférer un courriel si vous n’avez pas entièrement confiance en l’expéditeur.
- Activer en permanence un filtre antipourriel par défaut.
- Toujours favoriser l’échange de documents par hyperlien sécurisé.
En résumé
Le courriel est un outil indispensable. Son usage extrêmement répandu ne doit pas faire oublier les risques importants qu’il représente pour la sécurité informatique. La gestion des courriels entrants et sortants est tout aussi importante.
Qu’en est-il des renseignements personnels qui sont exigés des tiers (ex. : candidat, employé, collaborateur, fournisseur)?
L’utilisation du courriel pour la transmission d’informations personnelles et confidentielles est reconnue comme une méthode à risque, notamment sur le plan du vol des données
ou vol d’identité. En effet, une personne qui choisit de vous envoyer par courriel des renseignements de nature confidentielle court un risque de vol de ses données.
Lorsque vous demandez à une personne de vous communiquer des informations confidentielles, il est important de lui fournir un moyen de communication sécurisé autre que le courriel. S’il ne vous est pas possible de lui fournir une autre solution, il est de mise d’informer cette personne des risques encourus à utiliser un courriel qui n’est pas protégé. Il est recommandé de ne pas inscrire d’information confidentielle directement dans un courriel, mais plutôt de l’insérer dans une pièce jointe qui sera protégée par un mot de passe robuste dont vous aurez convenu au préalable.
En résumé
L’utilisation du courriel pour transmettre des informations confidentielles présente des risques liés à la sécurité des informations. Si vous choisissez d’utiliser le courriel pour recueillir des informations, il est important d’inviter la personne à protéger le courriel par un mot de passe ou tout autre moyen approprié. N’hésitez pas à faire appel à des spécialistes pour vous guider et vous conseiller.
Pièces jointes à un courriel entrant
Qu’est-ce que c’est?
Au quotidien, nous recevons une grande quantité de messages électroniques et de pièces jointes nécessaires à notre travail. Cependant, l’utilisation malveillante du courriel est l’une des façons que les cybercriminels préconisent pour cibler des victimes potentielles et les piéger en joignant au message un document contenant une menace.
Ce que vous devez savoir
Il existe de très nombreuses menaces qui peuvent infecter un ordinateur provenant d’une pièce jointe à un message (virus, espiogiciels, rançongiciels, etc.) – vous en apprendrez davantage à la fiche « Menaces ». L’apparence est de plus en plus trompeuse; il faut se méfier d’un courriel qui semble provenir d’une source sûre sur la simple base de sa « facture ».
Quelques pistes d’action
- L’une des principales règles de protection consiste à ne pas ouvrir tout message qui sort de l’ordinaire ou vous paraît suspect, et de le supprimer automatiquement.
- Ne jamais cliquer sur un lien contenu dans un message ni ouvrir une pièce jointe si vous doutez de la fiabilité de la source. En cas de doute, vous pouvez placer votre souris sur le lien, sans cliquer, pour voir la véritable adresse (URL) de l’hyperlien.
- Si, dans un courriel, on vous demande de mettre à jour vos informations, il est de mise d’aller sur le site officiel de l’expéditeur et pour y effectuer votre mise à jour.
- L’utilisation d’un logiciel de protection (antivirus) est fortement recommandée.
- Sensibiliser les interlocuteurs au fait que le courrier électronique ne constitue pas un moyen sécurisé d’échange de documents.
En résumé
Les messages électroniques peuvent contenir des pièces jointes qui contiennent des menaces pour la sécurité informatique. La plus grande prudence est de mise pour empêcher ces tentatives d’intrusion dans le système informatique.
Pièces jointes à un courriel sortant
Qu’est-ce que c’est?
Les courriels ont grandement facilité le transfert de l’information. Rien n’est plus facile que de partager des documents avec ses collègues et ses clients avec rapidité et en toute convivialité. Cependant, l’envoi d’informations par courriel soulève de grandes préoccupations en matière de confidentialité et de sécurité.
Ce que vous devez savoir
Il existe de nombreux risques de bris de la sécurité et de la confidentialité lors d’envois de fichiers par courriel. Voici quelques exemples :
- Bien que l’utilisateur d’une messagerie utilise une connexion HTTPS (connexion sécurisée), cela ne garantit pas que le destinataire dispose d’un serveur sécurisé.
- Le destinataire du message pourrait télécharger le document à partir d’un réseau non sécurisé (Wi-Fi public) ce qui peut donner l’occasion à des personnes malveillantes d’intercepter ces documents.
- Certains services de messagerie peuvent vous protéger contre les virus informatiques. Il existe cependant un risque d’être contaminé ou de contaminer votre destinataire en faisant le transfert de fichiers par courriel.
- Une erreur peut se produire en entrant une adresse de courriel, ce qui enverrait le message à la mauvaise personne.
Quelques pistes d’action
Pour ces raisons, tout document contenant de l’information confidentielle doit être protégé. Il existe différentes méthodes de protéger un document :
- Utiliser un logiciel de protection des pièces jointes. Ces outils procéderont à la sécurisation par cryptage (ou chiffrement).
- Ajouter un mot de passe permettant de sécuriser les messages et/ou les documents.
- Utiliser de préférence des applications de transfert sécurisé de document, ou donner l’accès par hyperlien aux utilisateurs internes.
En résumé
L’envoi de documents contenant de l’information confidentielle et personnelle pose des risques importants sur le plan de la sécurité. La responsabilité, qui incombe au professionnel, ne peut pas être transférée à d’autres (art. CD n° 31). C’est pourquoi il faut toujours protéger de tels documents lorsqu’ils sont envoyés par courriel.
Connectivité
Qu’est-ce que c’est?
Le système qui permet de connecter un appareil à Internet ou à l’adresse IP. L’adresse IP identifie votre ordinateur. Votre spécialiste informatique ou votre fournisseur de services Internet pourra vous aider à identifier votre adresse IP.
Ce que vous devez savoir
La vulnérabilité de l’attaque par réinstallation de clé (ou « KRACK ») permet à un acteur malicieux de lire le flux d’un réseau chiffré sur un routeur Wi-Fi à accès protégé II (WPA2) et de communiquer avec le réseau. Menace : l'installation malveillante d’une clé USB particulière, appelée « KRACK », permet de transmettre à un pirate informatique toutes les informations qui transitent par votre routeur.
Quelques pistes d’action
- Utiliser un logiciel pare-feu. Créer un mot de passe robuste.
- Modifier le mot de passe par défaut (ne pas conserver le mot de passe d’origine).
- Ne pas utiliser le même mot de passe pour plusieurs systèmes ou sites.
- Modifier le code administrateur (ne pas conserver le mot de passe d’origine).
- Se servir d’une méthode de chiffrement des données en transit.
- Utiliser un réseau Internet sécurisé (non ouvert au public, comme par exemple dans certains commerces).
- Ne transiter que par un routeur sécurisé qui accepte seulement les communications en provenance des ordinateurs du réseau.
- Bloquer la diffusion publique du nom de réseau.
- Protéger les accès aux outils de visioconférence (partage d’écran, porter une attention particulière au partage du lien de la conférence, empêcher l’enregistrement, partager les documents pertinents seulement, désactiver les alertes de messages et courriels, etc.).
- S'assurer de faire régulièrement la mise à jour des systèmes d'exploitation.
- Sécuriser les réseaux sans fil Wi-Fi.
- Lorsque c’est possible, utiliser la méthode d’identification à deux facteurs (souvent appelée MFA ou 2FA) pour protéger vos accès. Ceci est particulièrement recommandé lorsqu’on utilise différents fureteurs ou différents ordinateurs.
- Utiliser des barres de protection de tension pour éviter de perdre toutes les données en cas de panne d’alimentation majeure.
- Lorsque c’est possible, utiliser un gestionnaire de mots de passe. Il s’agit d’une application qui générera des mots de passe sécuritaires et les gardera en mémoire de façon sécurisée.
Pour d’autres pistes d’action, visionnez : Sécurisez votre réseau à domicile pendant la pandémie.
En résumé
Il est important de toujours s’assurer de la sécurité des systèmes ou bases de données auxquels on se connecte. Il est aussi important de s’assurer de protéger l’accès aux systèmes numériques que l’on utilise dans l’exercice de ses fonctions.
Transfert de fichiers
Qu’est-ce que c’est?
Toute opération de partage de fichiers électroniques, que ce soit par courriel, par périphérique mobile (clé USB ou autre), par plateforme de partage (Drive, Dropbox, OneNote, SharePoint, Teams, etc.) ou par répertoire partagé.
Ce que vous devez savoir
Le partage d’information comporte des risques importants, surtout lorsque des périphériques mobiles sont utilisés. Bien que ces outils présentent un avantage sur le plan de la rapidité, ils présentent aussi des risques de perte de données et d’accès par des personnes non autorisées.
Quelques pistes d’action
- Ne pas utiliser de périphérique mobile (clé USB, disque dur portable, etc.), car ceux-ci peuvent être facilement perdus ou subtilisés. S’il n’est pas possible de faire autrement, utiliser ces périphériques mobiles en les protégeant par un mot de passe robuste.
- En collaboration avec le responsable informatique, revoir régulièrement les accès aux différentes plateformes ou répertoires partagés pour s'assurer que seules les personnes autorisées y aient accès.
- S’assurer d’utiliser les plateformes de partage autorisées par les TI de l’entreprise (Drive, Dropbox, Teams, etc.) et s’assurer que les accès sont protégés par mot de passe ou par une autre méthode en assurant la protection, telle l’identification à deux facteurs.
En résumé
Le professionnel doit faire preuve de la même rigueur lorsqu’il transfère des documents électroniques que lorsqu’il le fait avec des documents papier. Les informations confidentielles doivent être protégées en tout temps, quel que soit l’outil technologique utilisé.
Infonuagique
Qu’est-ce que c’est?
L'infonuagique est une traduction littérale de l'expression anglaise cloud computing, qui désigne les fonctions de stockage et de calcul de différents ordinateurs qui travaillent en connexion à distance. Les données sont stockées sur des mégaserveurs qui les conservent et les rendent accessibles à l’utilisateur au moment de son choix sur le support qu’il désire, tel un ordinateur, un téléphone intelligent ou une tablette électronique. Les services infonuagiques proposés aux entreprises comprennent le courriel sur le Web, la gestion des informations ou les services de stockage de données et de documents.
Ce que vous devez savoir
Compte tenu des ressources dont disposent les entreprises qui œuvrent dans l’infonuagique, les données informatiques stockées sur le nuage sont beaucoup plus difficiles à pirater que celles qui sont sur votre disque dur ou sur les serveurs d’une PME. Si ce mode de stockage comprend des avantages importants, il n’est pas à l’abri d’attaques malveillantes. Lorsque vous mettez des renseignements personnels et confidentiels sur le nuage, vous en demeurez responsable. Il vous appartient donc de bien évaluer le risque.
Quelques pistes d’action
Plusieurs fournisseurs proposent des services d’infonuagique. Avant de signer une entente de service, il importe de s’assurer :
- De consulter le service des TI afin de vérifier que le fournisseur et les services où les serveurs sont hébergés respectent les normes de protection des renseignements personnels définies par vous ou votre organisation. Des normes de certification indépendantes reconnues existent pour vous guider.
- Que des procédures sont prévues pour assurer la sécurité de vos données (le lieu de stockage, par exemple).
- De savoir s’il y a risque qu’un fournisseur de service d’infonuagique ne restitue pas des données, par exemple si le contrat n’est pas renouvelé.
- Qu’une fonction d’identification à deux facteurs (communément appelée MFA ou 2FA) est activée pour protéger les accès, particulièrement si le service infonuagique est accessible par l’entremise de plusieurs médias informatiques par un même usager (ordinateur, tablette, téléphone intelligent) ou accessible par l’entremise de réseaux non sécurisés.
En résumé
L’infonuagique comprend une foule d’avantages liés au stockage, au partage et à l’utilisation de données informatiques. Son utilisation entraîne aussi une part de risques principalement liés au partage et à la perte des informations.
Stockage et transport de l’information
Qu’est-ce que c’est?
Utiliser une clé USB ou un disque dur externe n'est pas sans risque et peut causer de graves préjudices. Il se peut que l’information contenue dans l’unité de stockage externe soit volée. Il se peut aussi que ce matériel externe contienne, à votre insu, des virus et des logiciels malveillants. Finalement, une personne mal intentionnée pourrait insérer une clé USB dans votre ordinateur, ce qui permettrait la prise de contrôle de votre appareil, l’espionnage à distance ou le blocage ou même la destruction totale de vos données par le biais d’une « Killer Key ».
Risques associés à cette pratique :
- Transport de l’information d’un ordinateur à un autre
- Conservation d’information en copie de sauvegarde
- Prise de contrôle de votre appareil
- Espionnage à distance
- Blocage ou même destruction totale du système informatique
Pour en savoir plus, consultez le Guide en matière de protection des renseignements personnels dans le développement des systèmes d'information à l’intention des ministères et organismes publics.
Quelques pistes d’action
L’usage d’une clé USB ou autre disque mobile est déconseillé, notamment parce que ces outils peuvent être facilement égarés, perdus ou subtilisés. Cependant, si vous choisissez d’utiliser
ce genre de périphérique, il est important d’utiliser un modèle sécurisé (protégé par cryptage et mot de passe).
Il est conseillé de favoriser plutôt le stockage de l’information par l’infonuagique et de bloquer les ports USB de vos ordinateurs.
Voici quelques saines pratiques à mettre en place dans les organisations :
- Présence d’un mécanisme de surveillance des données qui a pour objectif :
- d’assurer la solidité du système de protection des données;
- d’assurer la mise à jour régulière des systèmes de protection
- (antivirus, copie de sauvegarde, mises à jour, etc.); - de sonner l’alerte, par exemple lors de tentatives
- d’intrusion ou de non-respect des règles;
- d’aviser l’organisation des mesures nécessaires pour garantir la protection informatique.
- Copie quotidienne de toutes les données conservées en mémoire (backup).
- Utilisation d'une méthode de gestion des copies de sauvegarde de toutes les données enregistrées sur le réseau quelle que soit la source de provenance (ordinateur, serveur, téléphones, etc.).
- Mise sur pied d'une méthode de gestion des copies de sauvegarde de toutes les données enregistrées sur le réseau quelle que soit la source de provenance (ordinateur, serveur, téléphones, etc.).
- Plan de continuité des affaires en cas de piratage informatique (vol de données, demande de rançon, etc.).
- Lorsque l'entreprise fait appel à une firme externe pour héberger les données, elle doit s'assurer que les services vendus sont conformes aux obligations professionnelles (confidentialité et protection de l’information).
- Sauvegarde en ligne (Drive).
- Bannir l’usage des clés USB ou autres disques mobiles, notamment parce que ces outils peuvent être facilement égarés, perdus ou subtilisés.
- Cependant, si vous choisissez d’utiliser ce genre de périphérique, il est important d’utiliser un modèle sécurisé (protégé par cryptage et mot de passe).
- Mise en place d’une politique sur la confidentialité de l’information à l’intention des employés, des fournisseurs et des sous-traitants.
- Signature d’un engagement à la confidentialité de l’information par tous les employés, les fournisseurs et les sous-traitants.
- Formation des employés, des fournisseurs et des sous-traitants à la gestion des informations confidentielles (incluant l’usage des outils technologiques).
- Gestion des accès réservés aux informations personnelles et confidentielles.
En résumé
On ne doit utiliser une clé USB que lorsque c’est absolument nécessaire. On préférera toujours l’utilisation de l’infonuagique. Dans le cas où une utilisation serait indispensable, utilisez une clé sécurisée, c’est-à-dire qui peut être protégée par un mot de passe et dont les données sont cryptées.
SIRH
Qu’est-ce que c’est?
Un SIRH, ou système d’information ressources humaines, est un système intégrant plusieurs logiciels permettant de gérer ou d’automatiser certaines fonctions propres à un service des ressources humaines. Différents modules peuvent composer un tel système : recrutement, formation, paie, gestion de la performance, plan de relève, etc.
Ce que vous devez savoir
Les SIRH englobent quatre grandes familles : la gestion de la paie, la gestion des prestations de travail, la gestion des prestations sociales et la gestion de l’humain. Un SIRH va permettre de conserver, synthétiser, et traiter une quantité importante d’informations sur les individus qui font partie de l’organisation. En ce qui concerne la sécurité informatique, les défis de protection des informations incluent le stockage, l’accès et le partage des informations contenues dans le SIRH.
Quelques pistes d’action
- S’assurer que l’information et les accès ne sont donnés qu’aux utilisateurs qui sont justifiés de posséder une telle information.
- Intervenir auprès des utilisateurs afin de les sensibiliser quant aux risques d’une utilisation inadéquate de l’information.
- S’assurer de la pertinence de l’information partagée afin de ne pas « contaminer » celle-ci par une donnée inutile ou interdite.
- Mettre en place des protocoles pour recueillir, traiter, accéder à et protéger les renseignements personnels : numéro d’assurance sociale, date de naissance, informations bancaires, informations liées à la diversité et à l’inclusion. S’assurer que ces informations ne sont jamais partagées avec des utilisateurs qui n’en ont pas besoin.
- Analytique RH/sondages : ne pas divulguer de résultats si le groupe est inférieur à 10 répondants (perte de confidentialité).
- Appliquer des mesures de sécurité aux données apparaissant dans les rapports.
- Utilisation de données à des fins de test de système : il faut contrôler qui les utilise, et toujours anonymiser les données.
- Demander l’appui et les conseils de votre fournisseur externe.
- Lorsque c’est possible, selon la structure de l’organisation :
- Collaborer avec l’administrateur SIRH pour mettre en place une gestion dynamique des rôles.
- Collaborer avec l’administrateur SIRH et les TI pour intégrer un accès SSO (authentification unique) à la plateforme SIRH.
En résumé
Les SIRH sont des outils informatiques puissants qui s’avèrent indispensables dans plusieurs organisations. Il importe cependant de demeurer vigilant quant à l’accessibilité des données stockées sur un tel système.
Interface utilisateur portail client
Qu’est-ce que c’est?
Le portail client ou Intranet est l'application qui vous donne, en tant qu'employé, un accès sécurisé aux applications et ressources de l’entreprise (compte employé, système de feuille de temps, politiques, procédures, communiqués réservés aux employés, etc.) depuis presque n’importe quel réseau. Certains portails permettent de donner un accès limité à des utilisateurs externes à l'organisation, par exemple aux clients ou aux candidats. Ceci leur permet de déposer ou de consulter certains documents en toute sécurité (Formulaires d'autorisations, renseignements médicaux par exemple).
Ce que vous devez savoir
Le portail client permet aux employés, aux utilisateurs autorisés et à la DRH de communiquer et de partager des informations, comme ils le font sur Internet, mais seulement à l’intérieur de l’entreprise.
Le portail client peut en effet intégrer des sites Web, un réseau social d’entreprise ou encore des portails précis qui englobent les activités qu’effectue la société. Un salarié peut également avoir droit à son espace propre sur ce portail. Sur le plan de la sécurité informatique, les défis sont la protection des accès et le partage des informations stockées sur le portail.
Quelques pistes d’action
- Ne pas utiliser le même mot de passe pour plusieurs systèmes, à moins qu’un accès à authentification unique (SSO) ait été mis en place.
- Changer régulièrement les mots de passe (robustes).
- Utiliser un réseau Internet sécurisé (non public).
- Sécuriser les réseaux sans fil Wi-Fi.
- Installer un logiciel pare-feu.
- Mettre à jour le logiciel antivirus et l‘espiogiciel.
- Limiter le nombre d’employés ayant accès à des données sensibles.
- Désactiver les accès d’un employé lorsqu’il quitte son emploi.
Si vous n’êtes pas sur votre poste de travail :
- Effacez les traces de navigation avant de fermer le fureteur.
- N’enregistrez pas de mots de passe dans le fureteur.
- Protégez vos téléchargements par un mot de passe et effacez toute trace sur cet ordinateur.
En résumé
Le portail client est un outil interactif à valeur ajoutée pour les employés et la direction; il permet la centralisation d’informations essentielles dans l'organisation. Il importe cependant de demeurer vigilant quant à l’accessibilité des données contenues dans un tel environnement.
Téléphones intelligents et assistants numériques
Qu’est-ce que c’est?
Le téléphone intelligent ou l’assistant numérique désigne un appareil mobile (cellulaire, tablette, etc.) doté de fonctionnalités évoluées qui s'apparentent à celles d'un ordinateur.
Ce que vous devez savoir
Ces appareils offrent des fonctionnalités telles que la navigation sur Internet, la lecture de vidéos, les courriels, la messagerie texte, la visioconférence, l’accès bureautique, etc. Plusieurs modèles permettent aussi d’installer des applications additionnelles.
Toutes ces fonctionnalités exigent que nous partagions des données confidentielles et de géolocalisation, or, un cybercriminel peut réussir à s’emparer de ces renseignements.
Voilà pourquoi, entre autres, sécuriser vos appareils est si important :
- Hameçonnage (courriels ou messages personnels qui semblent provenir d’une source digne de confiance et conçus pour vous inciter à divulguer des renseignements personnels).
- Maliciel (logiciel malveillant conçu pour infiltrer vos appareils).
Pour en savoir plus, consultez le Guide en matière de protection des renseignements personnels dans le développement des systèmes d'information à l’intention des ministères et organismes publics.
Quelques pistes d’action
- Mise en veille automatique, idéalement après quelques minutes.
- Employer un procédé d’authentification sécuritaire (mot de passe, empreinte digitale ou reconnaissance faciale).
- Configurer la fonctionnalité Bluetooth afin qu’elle soit sécurisée et non disponible par défaut.
- Désactiver l’option de partage de connexion lorsqu’elle n’est pas utilisée.
- Éviter d’utiliser un Wi-Fi public.
- Assurer la confidentialité lors d’une conversation téléphonique en public.
- Si les téléphones sont fournis par l’entreprise :
- Créer une politique encadrant l’utilisation des appareils mobiles;
- Mettre en place des mesures de protection en cas de perte de l’appareil (localisation, suppression des données, etc.).
En résumé
Le téléphone intelligent et l’assistant numérique sont des outils informatiques puissants qui se montrent indispensables dans plusieurs organisations. Il importe cependant de demeurer vigilant quant à l’accessibilité des données contenues dans un tel système.
Pistes de solutions lorsque de l’information personnelle est compromise
Que faire si une information personnelle est compromise?
- Résoudre le problème/colmater la brèche et au besoin, recourir à l’aide d’experts (internes ou externes).
- Aviser les personnes responsables de la sécurité de l’information au sein de l’entreprise et du contentieux, selon les règles de gouvernance interne.
- Informer les personnes dont l’information a été compromise afin qu’elles puissent prendre des mesures appropriées (par exemple, vérification et alerte auprès des agences d’information sur le crédit ou agences gouvernementales concernées).
- Aviser les autorités policières s’il y a un indice d’acte illégal ou d’acte suspect.
- Aviser les autorités règlementaires auxquelles la société/l’entreprise est assujettie (le commissaire à la protection de la vie privée au fédéral, par exemple).
- Communiquer avec les autres parties prenantes (employés, clients, public) selon le cas.
- Faire une évaluation de risque et mettre en place des mesures de contrôle pour éviter qu’une situation similaire se reproduise.
Outils complémentaires et références
- Guide sur la protection de la vie privée à l'intention des entreprises
- Loi sur la protection des renseignements personnels dans le secteur privé
- Aperçu des lois sur la protection des renseignements personnels au Canada
- Centre antifraude du Canada
- Références législatives:
- Pratiques exemplaires de création de phrases de passe et de mots de passe
Lexique
Les définitions de ce lexique sont tirées du Grand Dictionnaire Terminologique (GDT), disponible sur le site Web de l’Office québécois de la langue française (OQLF).
Certificat d'identification
Terme anglais : electronic identification certificate - identification certificate
Définition : Document électronique délivré par une autorité de certification, qui atteste l'identité de son détenteur.
Note : Par exemple, un certificat d'identification permet à un client de s'assurer que la société avec laquelle il transige est bien propriétaire du site Web auquel il est raccordé.
Cheval de troie
Terme anglais : Trojan horse - Trojan - Trojan horse program - Trojan program
Définition : Programme malveillant qui, dissimulé à l'intérieur d'un autre programme en apparence inoffensif (par exemple un jeu ou un petit utilitaire), exécute des opérations nuisibles à l'insu de l'utilisateur.
Note : Généralement, le cheval de Troie donne un accès à l'ordinateur sur lequel il est exécuté en ouvrant une porte dérobée.
Chiffrement
Terme anglais : encryption - encipherment - encrypting - enciphering
Définition : Opération par laquelle est transformé, à l'aide d'un algorithme de chiffrement, un texte en clair en un texte inintelligible, inexploitable pour quiconque ne possède pas la clé cryptographique permettant de le ramener à sa forme initiale.
Note : Le déchiffrement constitue l'opération inverse du chiffrement, alors que le décryptage désigne plutôt l'opération qui consiste à traduire en clair un cryptogramme dont on n'a pas la clé.
Coupe-feu
Terme anglais : firewall - network firewall - electronic firewall
Définition : Dispositif informatique qui permet le passage sélectif des flux d'information entre deux réseaux, ainsi que la neutralisation des tentatives de pénétration extérieures.
Note : Selon les besoins exprimés, les coupe-feu peuvent prendre différentes formes. Ainsi, ils peuvent être constitués d'un ou de plusieurs logiciels de sécurité utilisant, en association, des méthodes de contrôle complémentaires, ou être formés par un ensemble de matériels et de logiciels spécialement conçus pour une protection complète des réseaux.
Courriel web
Terme anglais : Webmail - Web mail - Web-based email - Web messaging
Définition : Service gratuit de messagerie électronique, directement accessible sur le Web depuis un navigateur, sans faire appel à un logiciel de courrier électronique.
Notes : Un service de courriel Web est accessible par l'entremise d'une interface Web qui permet d'envoyer et de recevoir du courriel depuis n'importe quel ordinateur connecté à Internet. L'inscription à ce service est gratuite et l'accès à celui-ci ne nécessite qu'un nom d'utilisateur et un mot de passe confidentiel. Une boîte de courriel devient alors accessible depuis n'importe quel ordinateur, par l'intermédiaire d'un navigateur Web. Gmail est un exemple de fournisseur de courriel Web.
Filtre antipourriel
Terme anglais : anti-spam filter - anti-spam - anti-spam software -spam filter
Définition : Logiciel qui, selon des règles de filtrage prédéfinies, analyse le contenu des courriels reçus, détecte les pourriels et les déplace automatiquement dans un dossier spécifique ou les supprime sur le serveur de messagerie avant réception.
Notes : Les filtres antipourriel peuvent être installés chez les hébergeurs, les fournisseurs d'accès à Internet ou sur le poste de travail des utilisateurs. Ils tenteront de reconnaître les pourriels provenant de l'extérieur en analysant le texte des courriels selon certains critères, plusieurs listes noires de serveurs de messagerie et la base de données de signatures de pourriels. Après la création d'une liste noire, le filtre antipourriel vérifie chaque message entrant pour voir s'il correspond ou non à une adresse contenue dans la liste noire. Tout message provenant d'une telle adresse peut être soit marqué comme pourriel, soit redirigé vers le dossier Pourriel, soit effacé.
Hyperliens
Terme anglais : hyperlink
Définition : Lien activable reliant des données textuelles ou multimédias, qui renvoie directement, en un clic, vers un autre élément de la page consultée, une autre page ou un autre site Web.
Note : Dans le Web, la navigation est assurée par les hyperliens, que ce soit des liens hypertextes ou des liens hypermédias.
Hameçonnage
Terme anglais : phishing - phishing attack - phishing scam
Définition : Technique de fraude basée sur l'usurpation d'identité, qui consiste à envoyer massivement un message en se faisant passer pour une institution financière ou une entreprise commerciale de renom afin d'induire les destinataires en erreur et de les inciter à révéler des informations sensibles à leur insu.
Note : Par exemple, un courriel frauduleux semblant provenir d'une banque connue pourrait inviter le destinataire à mettre à jour son compte en cliquant sur un hyperlien qui le redirige vers une copie conforme du site Web de cette banque, où le fraudeur peut récupérer des renseignements susceptibles de servir à détourner des fonds (mot de passe, numéro de carte de crédit, etc.).
Infonuagique
Terme anglais : cloud computing - cloudputing
Définition : Modèle informatique qui, par l'entremise de serveurs distants interconnectés par Internet, permet un accès réseau, à la demande, à un bassin partagé de ressources informatiques configurables, externalisées et non localisables, qui sont proposées sous forme de services, évolutifs, adaptables dynamiquement et facturés à l'utilisation.
Notes : Dans le monde informatique, le nuage est l'image généralement utilisée pour symboliser graphiquement Internet. L'infonuagique, c'est en fait l'informatique vue comme un service et externalisée par l'intermédiaire d'Internet. Elle fait référence à l'utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier et reliés par Internet. Les ressources informatiques mises en commun et rendues ainsi disponibles à distance peuvent être, entre autres, des logiciels, de l'espace de stockage et des serveurs.
Logiciel antivirus
Terme anglais : antivirus software - antivirus - AV software - antivirus program - virus-protection software
Définition : Logiciel de sécurité informatique qui procède à l'analyse de données afin de détecter les virus, de bloquer leur intrusion ou de les supprimer d'un système infecté.
Note : Les logiciels antivirus comprennent généralement un logiciel de détection de virus, un éradicateur de virus et un logiciel de prévention agissant en amont des tentatives d'infection.
Mot de passe
Terme anglais : password - pwd
Définition : Chaîne de caractères alphanumériques associée à un compte, que le titulaire doit entrer lors de la procédure d'accès afin de s'authentifier.
Notes : Le mot de passe est le plus souvent couplé à un nom d'utilisateur ou à une carte informatique. On distingue deux types de mots de passe : le mot de passe statique et le mot de passe dynamique.
Plateforme Web
Terme anglais : Web platform
Définition : Service Web qui met à la disposition de l'utilisateur un ensemble de programmes permettant la diffusion et le partage d'information ou de contenu multimédia, des fonctionnalités propres aux médias sociaux ainsi que des applications tierces.
Notes : Les plateformes Web se déclinent généralement sous la forme d'une application mobile et d'un site Web qui offrent des fonctionnalités semblables aux utilisateurs.
À la différence des sites Web, dont le contenu provient des administrateurs du site, le contenu des plateformes Web, qu'il soit de nature textuelle ou multimédia, provient en grande partie des utilisateurs. Parmi les plateformes Web, on distingue notamment les plateformes de partage de vidéos, les plateformes de partage de photos, les plateformes de blogues et les plateformes de financement participatif.
Pirate informatique
Terme anglais : cracker - black hat hacker - black hat
Définition : Personne qui cherche à accéder de manière illégale au contenu des systèmes informatiques d'organisations ou d'individus à des fins personnelles et malveillantes.
Notes : Un pirate informatique peut notamment chercher à acquérir de l'information sensible, à endommager un système informatique ou à détourner un réseau par l'exploitation de vulnérabilités informatiques ou le recourt à des logiciels malveillants. Le caractère illégal et frauduleux des actions commises par les pirates informatiques les rend susceptibles d'être traduits en justice.
Protocole SSL
Terme anglais : Secure Sockets Layer protocol - SSL protocol - Secure Socket Layer - Secure Sockets Layer - SSL - Secure Socket Layer protocol
Définition : Protocole permettant d'assurer la protection du caractère confidentiel des données échangées entre un navigateur et un serveur Web.
Notes : Le protocole SSL, défini par Netscape, utilise l'algorithme à clé publique RSA et est présent dans la plupart des navigateurs. Il a pour objectif d'assurer l'authentification, la confidentialité et l'intégrité des données transmises. Ainsi, il permet la transmission sécurisée de formulaires sur le Web, notamment lors des transactions commerciales en ligne, nécessitant l'utilisation d'une carte de crédit. Il existe actuellement deux autres protocoles visant la sécurisation des transactions en ligne : le protocole SHTTP et le protocole SET.
Pourriel
Terme anglais : spam - spam message - e-mail spam - junk e-mail
Définition : Message électronique importun et souvent sans intérêt, constitué essentiellement de publicité, qui est envoyé à un grand nombre d'internautes, sans leur consentement, et que l'on destine habituellement à la poubelle.
Note : Il ne faut pas confondre le pourriel et le polluriel. À l'origine, le terme polluriel (que l'usage donne souvent comme synonyme de pourriel) a été créé pour désigner les messages électroniques indésirables diffusés massivement dans les forums de discussion (Usenet), causant ainsi une véritable pollution des réseaux. Nous constatons toutefois dans l'usage que le terme pourriel (associé au courrier électronique), désignant le type de message non sollicité (spam) le plus utilisé, a connu, sous l'influence de l'anglais, une extension de sens qui en fait un terme générique, englobant aussi ce qu'on avait appelé polluriel. Cependant, ce dernier terme, proposé comme équivalent français de newsgroup spam ou de Usenet spam, devrait être réservé plus spécifiquement au contexte des forums et des groupes de nouvelles Usenet.
Réseau informatique
Terme anglais : computer network
Définition : Ensemble des moyens matériels et logiciels mis en œuvre pour assurer les communications entre ordinateurs, stations de travail et terminaux informatiques.
Notes : Tout ou partie de ces matériels peuvent être considérés comme faisant partie du réseau. Domaine mentionné dans la banque FranceTerme : INFORMATIQUE.
Sauvegarde de données
Terme anglais : backup - data backup
Définition : Opération qui consiste à copier, généralement sur un support informatique externe, les données mises en mémoire afin de permettre leur restauration en cas de suppression ou de corruption.
Notes : La sauvegarde informatique s'effectue le plus souvent sur un support informatique tel qu'un disque optique, une clé USB ou un disque dur externe, et parfois sur une partition. On distingue la sauvegarde informatique de la copie de sauvegarde, qui est une copie permettant la restauration de données.
Signature numérique
Terme anglais : digital signature
Définition : Procédé cryptographique par lequel un bloc de données généralement chiffrées à l'aide d'un algorithme à clé publique est joint à un document électronique afin d'identifier son expéditeur, d'assurer l'intégrité de ses données et de garantir leur non-répudiation.
Note : On distingue la signature numérique de la signature électronique, qui est l'acte par lequel un individu exprime son consentement à l'aide d'un moyen électronique.
Système d'information
Terme anglais : information system
Définition : Système constitué des ressources humaines (le personnel), des ressources matérielles (l'équipement) et des procédures permettant d'acquérir, de stocker, de traiter et de diffuser les éléments d'information pertinents pour le fonctionnement d'une entreprise ou d'une organisation.
Note : Il faut différencier le système d'information du système informatique. Ce dernier ne constitue que la partie informatique du système d'information.
Technologie sans fil Bluetooth
Terme anglais : Bluetooth wireless technology - Bluetooth technology
Définition : Technologie sans fil qui permet à différents types d'appareils électroniques, comme des ordinateurs portatifs, des téléphones mobiles ou des périphériques de toutes sortes, d'échanger entre eux, sur une courte distance, par liaison radio, des messages vocaux ou des données.
Note : La technologie sans fil Bluetooth fonctionne à l'intérieur d'un rayon de 10 mètres, à une fréquence de 2,5 gigahertz (GHz) et permet d'atteindre un débit maximal théorique de 1 million de bits par seconde (Mbit/s).
Technologie Wi-Fi
Terme anglais : Wi-Fi technology
Définition : Technologie de transmission sans fil par ondes radioélectriques destinée à un réseau local, qui permet d'échanger des données à haut débit et d'avoir accès à Internet.
Notes : La technologie Wi-Fi a été créée par la Wi-Fi Alliance, anciennement appelée WECA (Wireless Ethernet Compatibility Association). Elle a été normalisée aux États-Unis par l'IEEE (Institute of Electrical and Electronics Engineering). On lui a attribué le numéro 802.11b. Elle devait permettre un débit théorique pouvant atteindre 11 mégabits par seconde (Mbit/s), en utilisant une bande de fréquences située autour de 2,4 gigahertz (GHz). Il existe maintenant plusieurs normes de réseau local sans fil (correspondant à différents débits) dont le numéro d'identification débute par 802.11 (802.11a, 802.11e, 802.11f, 802.11g, 802.11h, 802.11i, 802.11n, etc.). La Wi- Fi Alliance a d'abord étendu l'appellation Wi-Fi aux normes 802.11a (débit jusqu'à 54 mégabits par seconde et bande à 5 gigahertz) et 802.11g et l'a par la suite utilisée pour désigner tout l'ensemble.
Ver informatique
Terme anglais : computer worm
Définition : Logiciel malveillant, autonome et parasite, capable de se reproduire par lui-même.
Notes : À la différence des virus informatiques, les vers informatiques n'ont pas besoin d'un programme hôte pour se reproduire. Autonomes, ils se déplacent dans la mémoire d'ordinateur, qu'ils surchargent et minent progressivement, consommant, parfois jusqu'à la paralysie, les ressources du système informatique. Les vers informatiques se déclinent notamment en ver de station de travail et en ver de réseau.
Virus informatique
Terme anglais : computer virus - virus
Définition : Logiciel malveillant le plus souvent transmis par un réseau ou un support de stockage externe, ayant pour but d'infecter un fichier qui, lorsqu'il est exécuté, lui permettra de se propager et de produire les effets pour lesquels il a été conçu.
Note : Un virus informatique peut comporter, par exemple, une bombe logique.
Autres définitions
Avis de confidentialité
Un avis de confidentialité permet d’informer le destinataire que l’envoi par courrier électronique est de nature confidentielle. Voici un exemple d’un avis de confidentialité :
« L’information apparaissant dans ce message électronique est de nature légalement privilégiée et confidentielle. Si ce message vous est parvenu par erreur et que vous n’êtes pas le destinataire visé, vous êtes par les présentes avisé que tout usage, copie ou distribution de ce message est strictement interdit. Vous êtes donc prié de nous informer immédiatement de cette erreur et de détruire ce message. »
Bien que ce type de message n’ait pas de valeur légale, il démontre votre préoccupation vis-à-vis de la confidentialité. Ces indications de confidentialité indiqueront au destinataire ses obligations quant à la confidentialité, et ce qu’il doit faire en recevant ce document. Notez que ces avertissements ne permettent pas de déléguer aux destinataires du courriel votre responsabilité professionnelle de préserver le secret quant aux renseignements de nature confidentielle qui viennent à votre connaissance dans l’exercice de votre profession et qu’ils n’offrent aucune garantie quant à l’absence de consultation du document confidentiel par autrui.
Renseignement personnel et confidentiel (Commission d’accès à l‘information du Québec)
Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ils sont confidentiels. Sauf exceptions, ils ne peuvent être communiqués sans le consentement de la personne concernée.
Télépratique
Le Conseil interprofessionnel définit la télépratique ainsi :
La télépratique est l’exercice d’une profession à distance à l’aide des technologies de l’information et de la communication (TIC). Elle inclut notamment l’utilisation de la téléphonie mobile et d’Internet.
La télépratique comprend la téléconsultation, la téléexpertise, la télésurveillance, la téléassistance. Des activités de formation et de supervision peuvent également être visées par cette notion.
Les activités associées à la télépratique consistent à : informer le public par un usage des TIC; rendre des services professionnels à des clients; communiquer avec les clients; gérer des informations confidentielles et des dossiers électroniques sur les personnes; effectuer des transactions électroniques associées au paiement des services professionnels.
Caractéristiques
Dématérialisation : les communications et informations relatives aux services professionnels rendus sont, en totalité ou en partie, conservées en format électronique et stockées sur divers sites.
Délocalisation : le professionnel et le client/patient ne sont pas situés au même endroit au moment de la relation professionnelle.
Référence
Télépratique et gestion du dossier numérique en santé et en relations humaines. Conseil interprofessionnel du Québec 2016
VNC (Virtual Network Computing ou informatique virtuelle en réseau)
Le VNC (Virtual Network Computing ou informatique virtuelle en réseau) désigne un système de visualisation et de contrôle de bureau à partir d'un ordinateur distant. Il est possible pour plusieurs utilisateurs de se connecter en même temps à un serveur VNC. Ainsi une connexion VNC permet d'accéder à distance à un ordinateur sans qu'il soit nécessaire de se connecter au réseau. Cette manière de faire est davantage sécuritaire que l’utilisation d’un VPN car il permet de limiter les activités comme, par exemple le transfert de documents.
VPN (Virtual Private Network ou Réseau Privé Virtuel)
Le VPN (Virtual Private Network ou Réseau privé virtuel) est une technologie qui permet d'accéder à distance au réseau de votre entreprise de manière sécuritaire. Le serveur VPN crée un “tunnel” virtuel par lequel les données transitent de manière sécurisée. Le VPN permet de masquer votre adresse IP et de chiffrer toutes les données échangées entre votre poste de travail et les serveurs de l'entreprise. le VPN offre un accès facilité aux ressources de l'entreprise, cependant il s'agit d'une porte d'entrée dans les données de l'organisation ce qui représente un risque accru de vol de données ou d'introduction de virus informatiques.
Sources
- Gouvernement du Canada (2020) Téléviseurs et appareils intelligents.
- Gouvernement du Canada (2020) Votre réseau est-il prêt pour les Fêtes?
- Gouvernement du Canada (2020) Réseaux privés.
- Gouvernement du Canada (2020) Maliciel détecté!
- Gouvernement du Canada (2020) Protéger l’organisme contre les maliciels.
- Gouvernement du Canada (2020) Les 7 signaux d'alarme de l’hameçonnage.
- Institut canadien d'information juridique. CanLII.