Directive sur les dispositifs de stockage portatifs d’EDSC

1. Date d’entrée en vigueur et examen annuel

La présente directive, approuvée par le Comité de gestion ministériel (CGM) d’EDSC, est entrée en vigueur le 4 février 2015, et elle a été modifiée en 25 november, 2019. Elle sera examinée chaque année par la Direction générale de l’innovation, de l’information et de la technologie (DGIIT).

2. Public cible

Cette directive s’applique à toutes les personnes (y compris les employés, les employés occasionnels et les entrepreneurs), à qui on a accordé l’accès au réseau électronique d’Emploi et Développement social Canada (EDSC).

EDSC comprend Service Canada et le Programme du travail et est désigné collectivement ainsi dans le présent document : « Le Ministère » ou « ministériel ».

3. But de la directive

3.1 La présente directive a pour objet d’établir les dispositifs de stockage portatifs approuvés par le Ministère qui peuvent être connectés au réseau électronique ministériel, soit les dispositifs qui peuvent être branchés dans un port USB ainsi que les supports optiques (CD et DVD).

3.2 Cette directive doit être lue conjointement avec la Directive sur le stockage de l’information électronique d’EDSC  de même qu’avec les autres politiques et directives relatives à la sécurité de la technologie de l’information et à la gestion de l’information (voir Références).

3.3 Cette directive satisfait aux exigences des politiques du Secrétariat du Conseil du Trésor (SCT) qui mentionnent que l’utilisation appropriée de l’information est essentielle pour protéger les renseignements ministériels et le réseau électronique du Ministère contre les menaces extérieures comme les virus et les logiciels espions.

4. Exigence de base

Seuls les dispositifs de stockage portatifs approuvés par le Ministère peuvent être connectés au réseau électronique ministériel.

5. Exigences détaillées

5.1 Dispositifs non autorisés

1. La connexion des téléphones intelligents et des téléphones cellulaires (qu'ils soient émis par EDSC ou qu'ils soient personnels) au réseau électronique ministériel est bloquée à partir des ordinateurs de bureau, des ordinateurs portatifs ou des tablettes électroniques, afin de protéger les fonds de renseignements ministériels. Cependant, ils peuvent être branchés pour charger la batterie.
2. Dispositifs personnels
   • Il n’est pas permis dans aucune circonstance de connecter un dispositif de stockage personnel (autres que les téléphones intelligents et les téléphones cellulaires) au réseau, à des ordinateurs de bureau, à des ordinateurs portatifs ou à des tablettes électroniques, ce qui comprend notamment les lecteurs MP3, les iPod, les montres intelligentes, les dispositifs GPS, les dispositifs de type console de jeu, les routeurs, les disques durs, les clés USB (« mémoire flash », clé USB), les cartes mémoire Secure Digital (SD), cartes SIM, les appareils-photo et les tablettes électroniques.
3. Clés USB non chiffrées et disques durs USB portables
   • Ces dispositifs sont interdits à moins qu’une exception ne soit accordée (consulter la section 5.4, Demandes d’exception).
4. Tout dispositif qui n’est pas autorisé expressément d’une autre façon par la présente directive ou au moyen d’une exception. (Consulter la section 5.4, Demandes d’exception.)

5.2 Dispositifs autorisés

1. Les clés USB chiffrées et les disques durs portables chiffrés fournis par le Ministère.
   • Ces dispositifs sont autorisés et ils seront entièrement fonctionnels sur le réseau.
   • La DGIIT est responsable de l’acquisition et du cycle de vie de tous les dispositifs chiffrés.
   • Une étiquette d’identification indiquant le numéro de téléphone de la personne­-ressource doit être apposée sur tous les dispositifs chiffrés approuvés; cette étiquette ne doit être retirée du dispositif sous aucun prétexte.
   • La permission relative à l’attribution et à l’utilisation des dispositifs chiffrés est accordée par voie d’exception. (Consulter la section 5.4, Demandes d’exception.)
2. Les appareils-photo, les caméras vidéo, les cartes mémoires SD et les dispositifs similaires fournis par le Ministère.
   • L’écriture sur ces dispositifs est bloquée par défaut.
   • La lecture de ces dispositifs est autorisée.
3. Les autres dispositifs fournis par le Ministère.
   • Les appareils BlackBerry et les téléphones cellulaires.
   • Les dispositifs USB utilisés pour la connectivité Internet, soit directement sur Internet, comme les clés Internet mobiles de Rogers (« Rocket Stick »), ou pour une session virtuelle comme la clé AppGate ou le dispositif G/ON.
   • Les clés USB utilisées pour gérer les renseignements sur les licences dans les ordinateurs de bureau. Ces produits comprennent notamment StreetSweeper™ et IDEA CaseWare.

5.3 Dispositifs ayant une fonctionnalité limitée

• Les supports optiques (CD et DVD) peuvent être lus par défaut. Cependant, il faut obtenir une exception pour écrire sur un support optique (créer un CD ou un DVD). [Consulter la section 5.4, Demandes d’exception.]

5.4 Demandes d’exception

1. Il est possible d’obtenir une exception pour lire le contenu d’une clé USB en ouvrant un billet auprès de l’InfoService national.
2. Toutes les autres exceptions, y compris l’achat et l’attribution des supports chiffrés autorisés, nécessitent l’approbation d’un DG (directeur général). Ce processus peut être lancé en ouvrant un billet auprès de l’InfoService national.
3. Les exceptions pour les employés ayant des exigences relatives à l’obligation de prendre des mesures d’adaptation requièrent une justification médicale en plus de la demande d’exception.

6. Responsabilités

Il incombe aux employés de protéger le dispositif et l’information qui s’y trouve conformément au Outil de catégorisation de l’information ou aux directives se trouvant sur le site du bureau de l’agent de sécurité du Ministère (ASM).

7. Surveillance et production de rapports

7.1 La DGIIT assure la surveillance de l’utilisation des dispositifs de stockage portatifs qui sont connectés au réseau électronique du Ministère en tout temps ainsi que la production de rapports à cet égard. L’utilisation de dispositifs de stockage portatifs sur les ordinateurs portatifs ou les tablettes électroniques du Ministère qui ne sont pas connectés est répertoriée sur l’ordinateur portatif ou la tablette. Lorsque l’ordinateur portatif ou l’ordinateur de bureau est reconnecté au réseau, le dispositif de stockage portatif qui a été utilisé est identifié et signalé.

7.2 L’utilisation non autorisée de dispositifs de stockage portatifs doit être signalée au SMA responsable afin que des mesures appropriées soient prises.

8. Conséquences

Les employés seront tenus responsables de la conformité à la présente directive. Le non­-respect de la présente directive entraînera des mesures administratives et disciplinaires, et même la mise à pied.

9. Demande de renseignements

Toute question concernant l’utilisation appropriée des dispositifs de stockage portatifs ou la mise en application de cette directive doivent être transmises à l’adresse suivante : NA-ITSCOE-CEMSTI-GD.

10. Références

10.1 Secrétariat du Conseil du Trésor

• Politique sur la sécurité du gouvernement (2019) du SCT

10.2 EDSC

• Politiques, normes, lignes directrices et rapports du Centre d’excellence de la sécurité de la TI
• Outil de catégorisation de l’information de RHDCC
• Les versions les plus récentes des politiques suivantes sont disponibles dans les Références de iService :
  • Accès privilégié à un poste de travail, Directive sur l’
  • Directive relative aux services de cellulaires et d'appareils sans fil
  • Stockage de l’information électronique, Directive sur le
  • Utilisation du réseau, Directive sur l'