Kate, qui est professeure et chercheuse, s'apprête à partir en vacances pendant trois semaines pour visiter sa famille dans un autre pays. Un collègue universitaire de longue date, qui est actuellement le vice-doyen d'une université dans ce pays, a invité Kate à donner une conférence sur ses travaux de recherche à l'intention d'un groupe d'étudiants de cycle supérieur à l'université pendant son séjour. Avant son départ, Kate a téléchargé un logiciel d'accès à distance sur son ordinateur afin de pouvoir accéder à des fichiers stockés sur le réseau de son université d'attache pendant qu'elle est à l'étranger, notamment un projet de recherche qui n'a pas encore été publié. Une fois sur place, elle a accédé à distance à son compte en utilisant un ordinateur de l'université sous l'égide de l'État, sur lequel elle a téléchargé des renseignements pour se préparer à son allocution, et a ensuite donné sa conférence.
Risques et conséquences pour Kate et son établissement
Suivant la nature du contenu de sa conférence ou de la séance de questions et réponses subséquente, Kate peut avoir divulgué par mégarde des renseignements potentiellement confidentiels sur le projet de recherche. Cette divulgation peut se solder par le détournement ou la duplication de projets ou de résultats de recherche, ce qui aurait des répercussions néfastes sur Kate et son établissement.
Le détournement des données ou des résultats de recherche de Kate risque d'attribuer la reconnaissance de sa recherche à des personnes qui ne font pas partie de son équipe de recherche ou de son établissement, et de porter atteinte à la capacité de Kate de faire publier ses travaux de recherche et de les commercialiser. Une telle situation peut entacher des réputations et avoir des répercussions néfastes sur la carrière de toutes les personnes impliquées dans le projet.
Par ailleurs, l'incident peut également enfreindre les dispositions en matière de propriété intellectuelle ou de confidentialité qui font partie du projet de Kate et des fonds qu'elle touche, et donc entraîner l'imposition de mesures disciplinaires. Sa recherche pourrait aussi représenter une perte de valeur pour le Canada, dans le cas où elle aurait reçu des fonds publique (c.à.d. financée par un organisme de financement fédéral).
L'accès à distance en utilisant un ordinateur potentiellement non protégé peut également créer une vulnérabilité dans la cyberdéfense de l'université de Kate, pouvant être exploitée et étendue au réseau de son université. Cela peut comprendre la surveillance potentielle du trafic entre l'ordinateur que Kate utilise au travail et son ordinateur familial en vue d'obtenir suffisamment de renseignements pour permettre une connexion à son ordinateur familial et au réseau de son établissement. Il devient alors possible de télécharger à volonté des renseignements de l'un ou de l'autre ordinateur, ou de tous lecteurs et serveurs partagés à domicile et au travail. Les charges de maliciel pourraient être installées sur l'ordinateur familial de Kate et sur tous les appareils ou réseaux qui y seraient raccordés afin de recueillir des renseignements ou de perturber les opérations du réseau.
Répercussions possibles sur l'établissement
L'université d'attache de Kate pourrait être compromise à son insu et pourrait continuer à ignorer cette atteinte pendant une longue période, durant laquelle un nombre indéfini de données confidentielles, exclusives et sensibles sur le plan économique pourrait être détourné de l'établissement. Ce risque se rajoute aux divulgations potentielles de renseignements que Kate aurait pu faire par inadvertance pendant sa présentation. Une telle situation pourrait gravement entacher la réputation de l'établissement et entraîner une perte financière appréciable ou de possibilités perdues.
Pratiques exemplaires
- Avant de quitter votre établissement d'attache, vous devriez transporter, consulter, transmettre et diffuser uniquement des renseignements publiquement accessibles, non sensibles et non confidentiels, et de limiter toutes questions et réponses ou toute discussion à ces données.
- Vous devriez vous connecter à votre réseau universitaire en utilisant uniquement un appareil personnel ou un ordinateur protégé, et en utilisant un logiciel de voyage approuvé et des capacités d'accès à distance qui ont été installées et vérifiées par l'établissement du chercheur. Un réseau Wi-Fi public est souvent non fiable; il convient donc d'éviter de transférer des fichiers sensibles sur des réseaux publics.
Ressources et pratiques exemplaires applicables
- Centre canadien pour la cybersécurité (CCC)
- 10 meilleures mesures de sécurité des TI du CCC
- Politique des trois organismes sur la gestion des données de recherche
- Trusted Research UK (site Web en anglais)
- Pratiques exemplaires des IRSC en matière de protection de la vie privée dans la recherche en santé