Sécurité - Protection des données

Le cadre législatif — la Constitution suisse (art. 13), les lois fédérales et les lois cantonales, ainsi que leurs règlements d’applications respectifs — dispose que toute personne a droit à la protection de sa sphère privée, ainsi qu’à la protection contre l'emploi abusif des données personnelles et sensibles qui la concernent. La HEP Vaud s’engage à mettre tout en œuvre pour respecter ces dispositions.

On utilisera indifféremment les termes “sécurité de l’information”, “protection des données”, “protection de la sphère privée”, “sécurité du système d’information” pour désigner cette préoccupation fondamentale.
La directive 04_01 “Politique de sécurité de l’information” définit la stratégie, le cadre, les grandes orientations, l'organisation et les responsabilités en matière de sécurité de l'information à la HEP Vaud, conformément aux lois, règlements et engagements contractuels, et en alignement avec la stratégie de l’institution.

La sécurité de l’information c'est l'affaire de tous

Toutes les personnes (notamment membres du personnel, intervenantes et intervenants externes, étudiantes et étudiants, candidates et candidats) doivent être conscientes de leurs responsabilités lors de l'utilisation, du traitement ou de la gestion de l'information et des systèmes d'information.

Le saviez-vous?

• La cybercriminalité provoque plusieurs centaines de milliards de dollars de dégâts par an.
• Selon un rapport récent du FBI, les arnaques par email ont représenté la moitié des pertes liées à la cybercriminalité en 2019.
• Et il n'y a pas longtemps de cela les emails indésirables (y.c. tentatives de phishing) représentaient quelque 90% du trafic emails.

Une des mesures clé pour une entreprise (qu'elle soit privée ou publique) pour se protéger est la sensibilisation à la sécurité. Vous trouverez ci-après quelques documents, ressources et recommandations à cet effet.

• Recommandations du Centre national pour la cybersécurité NCSC (ex MELANI: Centrale pour la sûreté de l'information)
• S-U-P-E-R: Campagne nationale de sensibilisation à la cybersécurité (NCSC et PSC)
• Kit de sensibilisation à la sécurité (Cybermalveillance, France)
• Sensibilisation par Zendata (Phishing, Arnaque, Usurpation d'identité, Man in the middle, Dark web)
• Virus (Cybermalveillance, France)
• Plateforme de Sécurité sur Internet (iBarry)

Pour accéder aux systèmes ou infrastructures informatiques de la HEP, vous bénéficiez d’un compte composé d’un identifiant nHEP et d’un mot de passe. Votre mot de passe est personnel et non transmissible. Votre mot de passe est un élément essentiel de la sécurité de nos données et systèmes informatiques. Un compte compromis peut entrainer des conséquences graves sur l’ensemble des données et systèmes informatiques de l’institution.

Choisir un mot de passe suffisamment long (facile à retenir et difficile à pirater), et le changer au moins une fois par an permettent de réduire ce risque.

• Utiliser un mot de passe de 12 caractères minimum avec des majuscules, des minuscules, des chiffres et si possible des caractères spéciaux.
• Ne pas utiliser des mots de dictionnaires.
• Ne pas utiliser des suites faciles à deviner, par ex : ‘2222222’, ‘12345678’ ou ‘abcdefg’
• Ne pas utiliser uniquement ses données personnelles (nom, prénom, n°AVS, date de naissance, identifiant nHEP…) avec ou non des préfixes ou suffixes (par ex. 1234JeanBolomé)

• Moyens mnémotechniques : utiliser une phrase, un titre, une expression simple à retenir ou encore une association de mots.

Exemples de mots de passe forts (difficiles à pirater, mais simples à retenir):

• J’adore-le-chocolat-à-70%
• B0nj0ur………. (le mot Bonjour avec des zéros à la place des o et dix points).
• Vous pouvez rajouter en préfixe ou en suffixe le nom du système, par ex :
• B0nj0ur……….BCV

Pour en savoir plus :

https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe

Précautions :

Pour ne pas compromettre la sécurité de vos données et celles de l’institution, nous vous recommandons de prendre connaissance des précautions suivantes :

• Ne pas conserver de trace écrite de votre mot de passe.
• Ne pas oublier de se déconnecter des services informatiques avant de quitter un poste de travail (ordinateur, tablette, etc.), tout particulièrement sur les sites Internet.
• Utiliser un mot de passe différent pour chacun des comptes en ligne hors HEP, en particulier, ne pas utiliser le mot de passe HEP pour les comptes privés.
• Ne pas transmettre le mot de pas

Voici quelques règles à observer publiées par l'Office fédéral de la police FedPol:

• Soyez vigilant!
  Ne croyez pas à tout ce que vous trouvez sur Internet ou lisez dans vos courriels, même si le logo ou la manière dont l'expéditeur se présente vous paraissent connus. Les entreprises sérieuses n'exigent jamais de données confidentielles par courriel. Soyez prudent lors d'offres trop alléchantes et donnez le moins d'informations possible à votre sujet sur le Net.
• Renoncez en cas de doute.
  Vous n'êtes pas sûr qu'une annonce ou qu'un site Internet soit sérieux? Mieux vaut renoncer à une offre alléchante que tomber dans un piège.
• Ne cliquez jamais sur un lien et n'ouvrez jamais des pièces jointes à un courriel dont vous ne connaissez pas l'expéditeur.
  En cas de doute, demandez au "véritable" expéditeur s'il vous a vraiment envoyé un courriel accompagné d'une pièce jointe.