Congrès

Retour sur le congrès 2017 : La catégorisation des actifs informationnels

Dans le cadre du projet Reporteurs étudiants 2017, nos reporteurs ont eu, entre autres, à rédiger des comptes rendus de conférences. Ce compte rendu a été rédigé par Cindy Badier.

Diane Baillargeon (Université de Montréal – UdeM), Cynthia Couture et Stéphane Talbot  (Université du Québec à Montréal – UQAM) et France Paul (Université de Sherbrooke – UdeS) nous ont présenté une conférence sur l’importance de la catégorisation des actifs informationnels, et de la mise en place d’un tel projet dans leurs universités respectives.

La Loi 133, qui vise à établir des règles de gouvernance et de gestion en matière de ressources informationnelles, implique la nécessité de désigner un dirigeant principal et des outils de gestion adaptés à la gestion documentaire. La catégorisation des actifs informationnels s’appuie donc sur la Loi 133, même si cette dernière ne mentionne pas cette notion particulière, et repose sur un fondement légal. Selon les représentantes des trois universités, la directive principale reste la sécurité de l’information, tout en ne perdant pas de vue que cette sécurité doit être proportionnelle à la valeur de l’information. Le deuxième fondement de la catégorisation se situe donc dans la gestion des risques qui passe en premier lieu par leur identification. Pour y parvenir, n’importe quel type d’organisme, peu importe sa taille, doit gérer efficacement son système de sécurité de l’information. Cela nécessite la mise en place de mesures d’évaluation afin d’établir le niveau de l’information, notamment avec l’avènement du numérique qui rend la valeur informationnelle de plus en plus accessible. Cette troisième notion repose sur un fondement normatif.

Les grands principes de la catégorisation sont : sensibiliser les employés à la sécurité de l’information, attribuer des responsabilités liées à cette sécurité, évaluer les niveaux acceptables de risque, prévenir activement et détecter tout incident lié à la sécurité de l’information, et réexaminer continuellement la protection mise en place afin de répondre efficacement à l’évolution permanente des technologies. De plus, la catégorisation peut également servir d’outil de gestion pour identifier et évaluer les actifs, ainsi que les impacts qu’entraînerait leur perte. Le fondement de la sécurité repose alors sur l’intégrité, la confidentialité et la disponibilité. La non-répudiation et l’authentification restent intrinsèques à l’intégrité puisqu’elles permettent de garantir la paternité, ou la maternité, d’une opération réalisée dans le cadre d’une fonction. Le processus de catégorisation des actifs passe par l’inventaire, basé sur le plan de classification et le calendrier de conservation. Il nécessite ensuite la désignation d’un répondant par unité, et d’une validation des seuils d’impacts.

Par la suite, un modèle de catégorisation est élaboré, ainsi qu’un registre qui est subséquemment validé et officialisé. Pour l’UdeM et l’UQAM, les niveaux de criticité ont été basés sur différents impacts tels que financiers, juridiques et institutionnels. De plus, le plan de classification a été utilisé pour repérer les points les plus sensibles. Pour cela, il a fallu faire abstraction des mesures de sécurité déjà en place, afin de ne minimiser aucune perte d’information. Les enjeux de la validation et de l’officialisation du registre résident donc dans la réalisation des opérations dans un délai raisonnable, l’évaluation de l’information de manière objective, l’optimisation des ressources impliquées et enfin la catégorisation des informations académiques et de recherche.

Pour l’UdeM, le projet de catégorisation a commencé en 2013 avec l’adoption d’une politique sur la gestion de l’information. Jusqu’en 2016, il y a eu un suivi des unités, agrémenté d’un bilan pour alimenter la sécurité dans les règles de gestion. La catégorisation repose alors sur une nouvelle structure de la cotation, des valeurs attribuées aux différentes classes, permettant ainsi de raffiner les cotes de criticité. L’UdeM en est à sa deuxième version de la catégorisation.

Pour l’UQAM, le projet de catégorisation a émané de l’équipe informatique, en collaboration avec le Service des archives et de gestion des documents. L’université a elle aussi revu sa politique de gestion de l’information. L’ensemble du processus prévu reste très similaire de celui de l’UdeM. Actuellement, l’UQAM en est à l’étape de validation des mesures de sécurité en place pour les informations les plus sensibles. Son processus repose davantage sur une approche collaborative. Cependant, de manière assez générale, les archivistes des deux universités soulignent le manque de rétroaction sur ce projet de la part des différentes unités concernées.

Contrairement à l’UdeM et à l’UQAM, l’Université de Sherbrooke n’est pas soumise à la contrainte d’un échéancier, et a privilégié la participation active des employés. Le processus se montre plus long et commence par les unités administratives les plus importantes, telles que les ressources financières. L’identification des modifications justifiant la validation et le déploiement des mesures de protection de l’information découlent d’une future analyse des risques. L’un des objectifs reste de ne pas modifier tous les processus. Pour y parvenir, l’Université de Sherbrooke a mis en place différentes rencontres, ainsi que des retours basés essentiellement sur des facteurs humains et la sensibilisation. Par conséquent, le changement de certaines pratiques, ainsi que la mise en avant du service des archives ont été deux éléments observables.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s