Guide des TI

Votre utilisation des technologies
de l’information (TI) est-elle
conforme à vos obligations quant
au secret professionnel?

Votre gestion des TI est-elle aussi
efficace qu’elle devrait l’être?

EN D’AUTRES MOTS… PASSEZ-VOUS LE TEST?

Répondez aux questions ci-dessous au meilleur de vos connaissances. Si vous répondez NON ou si vous ignorez la réponse, suivez le GUIDE DES TI en ligne!

Avis aux utilisateurs

Ce guide, qui sera l’objet de mises à jour périodiques, se veut d'abord un outil de référence quant aux pratiques sécuritaires à implanter et à utiliser. Les conseils et recommandations qu'il contient sont une application des règles auxquelles les membres du Barreau sont déjà assujettis.

Bien que le contenu du guide ne soit pas exhaustif et n’exclut pas l’utilisation d’autres outils, les autorités et instances disciplinaires ou judiciaires pourraient s'en inspirer pour évaluer le comportement d'un membre du Barreau. Veuillez toutefois noter que l'utilisation de l'évaluation « 23 questions pour évaluer votre utilisation des TI » est totalement anonyme et que les données transmises ne pourront en aucun cas servir à vous identifier auprès de l'Inspection professionnelle du Barreau.

Des experts bénévoles ont participé à l'élaboration de ce guide. Toutefois, le contenu de ce guide n’engage que la responsabilité du Barreau.

Avis aux utilisateurs

Des experts bénévoles ont participé à l'élaboration de ce guide. Toutefois, le contenu de ce guide n’engage que la responsabilité du Barreau.

Dans votre cabinet ou votre organisation		OUI	NON	NE SAIS PAS
1	Avez-vous mis en place des mesures de sécurité pour protéger votre réseau informatique?
1	Si oui, existe-t-il une politique sur l’utilisation des TI qui documente ces mesures de sécurité?
2	Chaque utilisateur doit-il utiliser un nom d’usager et un mot de passe pour ouvrir une session de travail sur son ordinateur?
3	Si oui, le mot de passe est-il obligatoirement :
	Modifié au moins tous les 60 jours?
	Composé d’un minimum de huit caractères incluant au moins une majuscule, une minuscule, un chiffre et un symbole?
4	Les sessions de travail sont-elles verrouillées automatiquement avec un écran de veille et un mot de passe lorsqu’un poste de travail reste inactif pendant une période maximale de trois minutes?
5	Votre réseau est-il protégé par un pare-feu mis à jour régulièrement (aussi nommé coupe-feu ou firewall en anglais)?
Dans votre cabinet ou votre organisation		OUI	NON	NE SAIS PAS
6	Chaque poste de travail est-il protégé par un antivirus mis à jour automatiquement?
7	Vos logiciels (ex. : Word ou Explorer) et vos systèmes d’exploitation (ex. : Windows ou Mac OS) sont-ils mis à jour automatiquement?
8	Si vous avez un réseau sans fil (WiFi) :
	Avez-vous modifié le code d’administrateur par défaut du routeur sans fil (point d’accès où les ordinateurs se connectent)?
	Avez-vous modifié le mot de passe par défaut du routeur sans fil?
	Avez-vous mis en place une méthode de chiffrement (encryptage) des données qui transitent sur le réseau sans fil?
	Avez-vous configuré le routeur sans fil afin qu’il accepte seulement les communications en provenance des ordinateurs de votre réseau?
	Avez-vous bloqué la diffusion publique du nom de votre réseau sans fil?
9	Les données enregistrées par les utilisateurs sur un ordinateur portable ou sur des supports amovibles (clé USB, disque dur externe, iPod, etc.) sont-elles chiffrées?
10	Les utilisateurs qui travaillent de leur résidence disposent-ils d’une connexion RPV (Réseau privé virtuel — VPN en anglais) protégeant leur session de travail?
Dans votre cabinet ou votre organisation		OUI	NON	NE SAIS PAS
11	En ce qui concerne les téléphones intelligents (BlackBerry, Android, iPhone, etc.) utilisés par les employés :
	Une authentification par un mot de passe sécuritaire (voir question 3) est-elle nécessaire pour accéder à leurs contenus?
	La mise en veille automatique a-t-elle été configurée?
	Le chiffrement des informations a-t-il été configuré?
12	Les connexions Bluetooth sont-elles configurées pour ne pas être disponibles par défaut et pour être sécurisées lorsqu’elles sont utilisées?
13	L’accès aux documents électroniques et aux courriels conservés sur votre réseau est-il réservé aux personnes concernées seulement?
14	Les communications avec vos clients sont-elles protégées par un mot de passe, par l’utilisation d’un réseau fermé sécurisé avec le client ou par chiffrement?
15	Avez-vous mis en place une méthode de classement des documents enregistrés sur vos ordinateurs et de vos courriels conforme au Règlement sur la comptabilité et les normes d’exercice professionnel des avocats?
Dans votre cabinet ou votre organisation		OUI	NON	NE SAIS PAS
16	Avez-vous mis en place une méthode de gestion des copies de sauvegarde des données enregistrées sur votre réseau (ordinateurs, serveurs, téléphones intelligents, etc.)?
17	Saviez-vous que certains documents contiennent des données confidentielles cachées qui peuvent être transmises à votre insu (commentaires ou suivi des corrections de Word, par exemple) et prenez-vous les mesures nécessaires afin d’éviter cela?
18	Avez-vous des processus de sécurité informatique pour gérer le départ d’un employé (suppression de compte usager, de l’accès aux documents confidentiels, du compte de téléphonie, etc.)?
19	Les ententes conclues avec vos fournisseurs (ex. : technicien en informatique, service d’hébergement) sont-elles conformes à vos obligations déontologiques (confidentialité, etc.)?
20	Vos bureaux et votre équipement informatique sont-ils sécurisés?
21	Avez-vous une procédure de mise au rebut ou de recyclage sécurisé du matériel informatique?
22	Gérez-vous les alertes de sécurité concernant, par exemple, vos copies de sauvegarde ou les tentatives d’intrusion dans vos systèmes?
23	Disposez-vous d’un plan de continuité des affaires en cas de désastre?

Retour à l'évaluation en 23 questions

N'hésitez pas à communiquer avec nous :
M^e Stéphanie Boutin guideti@barreau.qc.ca 514 954-3400, poste 3245 ou 1 800 361-8495, poste 3245

Dans votre cabinet ou votre organisation		VOTRE RÉPONSE	SUIVEZ LE GUIDE!	DURÉE MOYENNE D'UNE INTERVENTION
Dans votre cabinet ou votre organisation		VOTRE RÉPONSE	SUIVEZ LE GUIDE!	1 avocat	10 avocats
1	Avez-vous mis en place des mesures de sécurité pour protéger votre réseau informatique?		Réseautique	n/a	8 h
1	Si oui, existe-t-il une politique sur l’utilisation des TI qui documente ces mesures de sécurité?		Réseautique	n/a	8 h
2	Chaque utilisateur doit-il utiliser un nom d’usager et un mot de passe pour ouvrir une session de travail sur son ordinateur?		Mot de passe Réseautique	n/a	2 h
3	Si oui, le mot de passe est-il obligatoirement :		Mot de passe	n/a	2 h
	Modifié au moins tous les 60 jours?
	Composé d’un minimum de huit caractères incluant au moins une majuscule, une minuscule, un chiffre et un symbole?
4	Les sessions de travail sont-elles verrouillées automatiquement avec un écran de veille et un mot de passe lorsqu’un poste de travail reste inactif pendant une période maximale de trois minutes?		Réseautique	n/a	2 h
5	Votre réseau est-il protégé par un pare-feu mis à jour régulièrement (aussi nommé coupe-feu ou firewall en anglais)?		Réseautique	4 h	4 h
6	Chaque poste de travail est-il protégé par un antivirus mis à jour automatiquement?		Réseautique	10 m	2 h
7	Vos logiciels (ex. : Word ou Explorer) et vos systèmes d’exploitation (ex. : Windows ou Mac OS) sont-ils mis à jour automatiquement?		Réseautique	10 m	2 h
8	Si vous avez un réseau sans fil (WiFi) :		Réseautique	2 h	2 h
	Avez-vous modifié le code d’administrateur par défaut du routeur sans fil (point d’accès où les ordinateurs se connectent)?
	Avez-vous modifié le mot de passe par défaut du routeur sans fil?
	Avez-vous mis en place une méthode de chiffrement (encryptage) des données qui transitent sur le réseau sans fil?
	Avez-vous configuré le routeur sans fil afin qu’il accepte seulement les communications en provenance des ordinateurs de votre réseau?
	Avez-vous bloqué la diffusion publique du nom de votre réseau sans fil?
9	Les données enregistrées par les utilisateurs sur un ordinateur portable ou sur des supports amovibles (clé USB, disque dur externe, iPod, etc.) sont-elles chiffrées?		Réseautique	1 h	4 h (ajout du chiffrement de l’ordinateur portable plus long)
10	Les utilisateurs qui travaillent de leur résidence disposent-ils d’une connexion RPV (Réseau privé virtuel — VPN en anglais) protégeant leur session de travail?		Réseautique	n/a	4 h
11	En ce qui concerne les téléphones intelligents (BlackBerry, Android, iPhone, etc.) utilisés par les employés :		Cellulaire Mot de passe	10 m	2 h
	Une authentification par un mot de passe sécuritaire (voir question 3) est-elle nécessaire pour accéder à leurs contenus?
	La mise en veille automatique a-t-elle été configurée?
	Le chiffrement des informations a-t-il été configuré?
12	Les connexions Bluetooth sont-elles configurées pour ne pas être disponibles par défaut et pour être sécurisées lorsqu’elles sont utilisées?		Cellulaire	5 m	1 h
13	L’accès aux documents électroniques et aux courriels conservés sur votre réseau est-il réservé aux personnes concernées seulement?		Communications électroniques	n/a	2 h
14	Les communications avec vos clients sont-elles protégées par un mot de passe, par l’utilisation d’un réseau fermé sécurisé avec le client ou par chiffrement?		Communications électroniques	Utilisation d’un logiciel	Utilisation d’un logiciel
15	Avez-vous mis en place une méthode de classement des documents enregistrés sur vos ordinateurs et de vos courriels conforme au Règlement sur la comptabilité et les normes d’exercice professionnel des avocats?		Communications électroniques Classement des documents	4 h	4 h
16	Avez-vous mis en place une méthode de gestion des copies de sauvegarde des données enregistrées sur votre réseau (ordinateurs, serveurs, téléphones intelligents, etc.)?		Copie de sauvegarde des documents	3 h	3 h
17	Saviez-vous que certains documents contiennent des données confidentielles cachées qui peuvent être transmises à votre insu (commentaires ou suivi des corrections de Word, par exemple) et prenez-vous les mesures nécessaires afin d’éviter cela?		Métadonnées	2 h	2 h
18	Avez-vous des processus de sécurité informatique pour gérer le départ d’un employé (suppression de compte usager, de l’accès aux documents confidentiels, du compte de téléphonie, etc.)?		Départ d’un employé	n/a	2 h
19	Les ententes conclues avec vos fournisseurs (ex. : technicien en informatique, service d’hébergement) sont-elles conformes à vos obligations déontologiques (confidentialité, etc.)?		Entente avec les fournisseurs	Ne s'applique pas	Ne s'applique pas
20	Vos bureaux et votre équipement informatique sont-ils sécurisés?		Sécurisation des locaux et de l’équipement	2 h	2 h
21	Avez-vous une procédure de mise au rebut ou de recyclage sécurisé du matériel informatique?		Mise au rebut / recyclage	1 h	4 h
22	Gérez-vous les alertes de sécurité concernant, par exemple, vos copies de sauvegarde ou les tentatives d’intrusion dans vos systèmes?		Gestion des alertes	4 h	4 h
23	Disposez-vous d’un plan de continuité des affaires en cas de désastre?		Réseautique Copie de sauvegarde des documents	8 h	15 h

Avis aux utilisateurs

Vous passez le test!

Vous avez certains
problèmes de sécurité!

Vous devez agir sans tarder

Vous ne passez pas le test!

Sécurité des communications

Protection de l’accès aux données

Gestion des documents électroniques

Avis aux utilisateurs

Vous passez le test!

Vous avez certains problèmes de sécurité!

Vous devez agir sans tarder

Vous ne passez pas le test!

Sécurité des communications

Protection de l’accès aux données

Gestion des documents électroniques

Vous avez certains
problèmes de sécurité!