Séance 11

L’éthique et la sécurité de l’information

Avez-vous déjà été piraté ?

Faites le test: https://haveibeenpwned.com/

Pourquoi autant de piratage?

• Davantage d’informations sont créées et partagées (société numérique)

• Prolifération de services internet (e.g. Facebook, Instagram, compte bancaire en ligne, etc.)

• Beaucoup d’entreprises considèrent la sécurité comme une “dépense” donc, y portent moins attention

• La valeur de l’information est de plus en plus grande.

Donc, comment peut-on assurer la protection et la sécurité des données?

La base

Quel est l’objectif principal de la sécurité de l’information?

Est-ce d’assurer la protection des données personnelles?

D’assurer la protection de toutes les données dans une organisation ou même d’assurer la sécurité des systèmes d’information?

Réponse : NON

3 critères de la sécurité de l’information

• Confidentialité: Propriété d’une information de n’être accessible qu’aux seules personnes/entités autorisées

• Disponibilité: Propriété d’une information d’être accessible en temps voulu et de la manière requise par une personne ou entité autorisée

• Intégrité: Propriété d’une information de n’être détruire et/ou altérée de quelque façon, sans autorisation

Exemple: Confidentialité

Lors d’un référendum, on s’attend à ce que chaque vote soit confidentiel, que seulement quelques personnes y aient accès.

Pour le vote du LPU, chaque personne qui a voté ne veut généralement pas que d’autres personnes connaissent leur choix. Donc, la base de données contenant tous les votes doit rester sécuritaire et confidentiel.

Similairement, le montant d’argent que vous avez dans votre compte en banque doit rester confidentiel (seulement vous et les personnes autorisées de la banque devraient y avoir accès). La banque doit donc mettre des mesures de sécurité pour protéger votre information

Exemple: Disponibilité

Lors du vote, il faut s’assurer que le système de vote soit disponible/accessible et qu’il puisse collecter le vote de la personne. On s’attend donc à ce que le système soit disponible.

Pour un compte bancaire, on souhaite pouvoir y accéder n’importe quand, 7 jours sur 7, qu’il n’y ait pas de panne et etc. La banque doit donc s’assurer qu’il n’y ait pas de panne et que le service soit toujours accessible.

Exemple: Intégrité

Il faut assurer l’intégrité des résultats, s’assurer que personne vienne modifier/altérer les résultats. S’assurer aussi que lorsqu’une personne vote « Oui », le système enregistre bien le vote correctement.

Pour un compte bancaire, on s’attend à ce que le montant d’argent qu’on possède soit bien représenter dans notre compte en banque, sans qu’il y soit altéré sans autorisation.

Les composantes de la sécurité de l’information

La gestion de l’identité et des accès

Pour accéder aux ressources/informations adéquates, il faut posséder les accès nécessaires et prouver son identité.

Par exemple, pour se connecter sur le portail des cours, il faut posséder un compte d’utilisateur et un mot de passe.

Deux principes important à connaître:

Authentification: Valider son identité afin d’entrer/utiliser un système/application.

Autorisation: Lorsqu’on a authentifié son identité, à quelle information avons-nous accès? Quels accès avons-nous dans un système?

Trois manière pour s’authentifier:

• Ce que l’on sait: un mot de passe, une question/réponse secrète et etc.

• Ce que l’on possède: un téléphone avec une application préconfiguré/recevoir des SMS, un jeton RSA, une clé USB

• Ce que l’on est: emprunte digitale, l’iris etc.

Certaines meilleures pratiques pour la gestion de l’identité et des accès:

• Utiliser un mot de passe unique par service

• Utiliser un gestionnaire de mot de passe

• Utiliser l’authentification à deux facteurs (un mot de passe et un code SMS par exemple)

• Ne pas changer son mot de passe tant qu’il n’a pas été compromis

Les technologies

Afin de bien protéger les informations, plusieurs technologies sont utilisées.

Cryptographie (Encryption): sert à rendre indéchiffrable l’information, nécessitant une « clé » spéciale afin de déchiffrer l’information. Généralement, la clé qui permet de déchiffrer les informations se trouve ailleurs et est protégée. On y retrouve des techniques de chiffrement comme « AES-256 », « SSL » ou « TLS ».

L’éthique et la vie privée

Régulation des comportements ou conduites: Boisvert (2008)

Régulation : Recherche d’un équilibre qui implique de poser des limites au pouvoir des uns sur les autres.

Vise à établir des « rapports harmonieux » entre les membres d’une collectivité.

Ces limites peuvent être imposées par une autorité externe (ex. : législateur, organisation) au moyen de lois, de règles ou de normes. [hétérorégulation]

Une personne peut aussi se donner par elle-même des limites parce qu’elle évalue que c’est la meilleure chose à faire pour contribuer à l’harmonie des relations dans son entourage personnel et professionnel. [autorégulation]

SI/TI touchent toutes les sphères de nos activités

Vente au détail: Inventaire automatisé des produits, codes à barres, puces électroniques ➔ traçage des produits (RFID)

Transactions financières: Paiement automatisé; transfert électronique de fonds; gestion bancaire en ligne, etc.

Loisirs et culture : Achats en ligne (voyages, billets de spectacles, livres numériques, musique/films, auto-promotion des artistes sur Internet, etc.

Santé : Dossier patient; surveillance à distance; diagnostic ou traitement à distance, etc.

Communications: Téléphonie IP, téléphonie cellulaire, réseaux sociaux, géolocalisation, etc.

ÉTHIQUE DE L’INFORMATION

Éthique de l’information

Concerne les questions d’éthique et morales résultant du développement et de l'utilisation de techniques de l'information, autant que la création, la collecte, la duplication, la distribution et le traitement de l'information.

Problématiques commerciales liées à l'éthique de l'information:

• Propriété intellectuelle peut prendre différentes formes (littéraire, artistique, industrielle, etc.)

• Droit d’auteur ➔ le droit qui vous est conféré en tant qu’auteur d’une oeuvre intellectuelle ou artistique

• Logiciel piraté ➔ copie illégale d’un logiciel

• Logiciel contrefait➔ production illégale d’un logiciel

Protection de la vie privée des individus est une des plus grandes préoccupations affectant les organisations actuelles

• La vie privée est le droit à être laissé seul quand cela nous sied, d’avoir le contrôle de nos biens personnels et ne pas être observé sans notre consentement.

Ex. Surveiller ou non les employés, consentir ou non à la récolte de données personnelles

• La confidentialité est l'assurance que les messages et l'information demeurent disponibles seulement pour ceux qui sont autorisés à les voir

Ex. vos résultats scolaires

Les individus forment la seule composante éthique des SI/TI.

Exemples d’utilisations éthiquement douteuses ou inacceptables des SI/TI:

• Les individus copient, utilisent et distribuent les logiciels

• Les employés recherchent de l'information confidentielle dans des bases de données d’entreprises

• Les individus créent et répandent des virus

• Les individus s’introduisent dans des systèmes d’information pour voler de l'information privée

• Les employés détruisent ou volent des informations appartenant à des entreprises

Les SI/TI et l’information n’ont pas d’éthique;

les gens oui !

Les SI/TI et l’information n’ont pas d’éthique. Ils ne se soucient pas de la façon dont ils seront gérés et utilisés; l’information elle continuera d’être diffusée à travers des pourriels, des virus ou de révéler des détails importants. Il incombe donc aux individus de développer des directives éthiques quand à la façon de gérer et d’utiliser les SI/TI et l’information.

Comment gérer les comportements des individus dans une organisation?

Séance 12

L’innovation et le développement durable

L’innovation

• Action d’innover: Ensemble des processus et activités qui se déroule depuis la naissance d’une idée jusqu’à sa matérialisation afin de créer une valeur ajoutée

• Résultat de l’action d’innover: Un nouveau produit, service, ou processus suffisamment différent de ceux qui existent déjà

• À long terme, la maîtrise du processus d'innovation est plus importante que son résultat unique

L’innovation et les SI/TI

• Les SI/TI peuvent :

• Être le résultat de cette innovation: innovation technologique

• Supporter le processus d’innovation

Innovation révolutionnaire (de soutien):

• Améliore un produit ou un service pour des clients déjà existants

Innovation révolutionnaire (perturbatrice):

• Cible les personnes qui ne sont pas des clients existants en offrant un produit ou un service qui diffère de la gamme des produits ou services actuels

• Innovation qui apporte de grandes perturbations aux organisations, industries et secteurs d’activités

Les pressions à l’innovation peuvent provenir de 3 sources :

1. Pression d’intégrer de nouvelles technologies vécue quotidiennement par la plupart des organisations

Objectif: répondre aux attentes des clients et des parties prenantes

2. Menace d'une concurrence imprévue ou un changement fondamental de l'industrie

Objectif: assurer la survie et la pérennité de l’organisation

3. Pression d’utiliser les systèmes et technologies de l’information pour créer un avantage concurrentiel pour l’organisation

Objectif: se démarquer des concurrents

L’innovation: Centres d’innovation

Les centres d’innovation peuvent faciliter le processus d’innovation en permettant de tirer profit de la créativité, du savoir-faire et de la synergie de plusieurs personnes :

• Centres d’innovation intraorganisationnels: centres où plusieurs personnes d’une même organisation peuvent se réunir pour résoudre des problèmes communs

• Centres d’innovation interorganisationnels (« incubateurs ») : centres où plusieurs personnes provenant de plusieurs organisations peuvent se réunir pour innover et collaborer

L’innovation: Organisations distribuées

Les nouveaux SI/TI permettent de nouvelles formes d’organisation suivant une logique d’écosystème

• Organisations distribuées, décentralisées et auto-organisées

  • Principaux avantages:

    • Accès à plus de connaissances ou d’idées

    • Réduction des coûts, efforts et des risques liés à l’innovation

  • Exemples:

    • Les organisations regroupées en écosystème dans le secteur des téléphones intelligents

    • L’externalisation ouverte (crowdsourcing) "GoFoundMe"

L’innovation: Externalisation ouverte

Externalisation ouverte (crowdsourcing) "GoFoundMe" : l’organisation confie une partie de la création de valeur ajoutée à une entité extérieure, souvent une communauté d’internautes, afin de tirer profit de la créativité et/ou du savoir-faire d’un grand nombre de personnes

• Peut être utilisée pour plusieurs buts:

  • L’innovation ouverte: la création de contenu lié à des informations, des publicités, des produits, des services pour une organisation, etc.

  • Le financement participatif (crowdfunding)

• Principaux avantages: accès à une grande quantité de ressources de qualité et à moindre coût; la viralité et l’engagement, la légitimité

• Inconvénients et risques: fiabilité de l’information fournie, droits d’usages, de propriété intellectuelle, et de l’éventuelle rémunération

Source: http://www.vincentabry.com/le-crowdsourcing-la-valeur-creee-par-la-collaboration-16068

L’innovation: Défis

Pour chaque innovation réussie, il existe d'innombrables tentatives infructueuses. Principaux facteurs en cause:

• La nature de l’innovation

• La technologie évolue constamment

  • Augmentation continue de la performance et de la dépendance concernant les SI/TI

  • Diminution continue des coûts

  • Augmentation des capacités d’analyse des données

  • Augmentation de la performances des réseaux, incluant Internet

• Le bon moment (« timing »)

  • La préparation à la commercialisation

  • Les effets de réseau: la disponibilité de produits et services complémentaires

• La culture et la préparation de l’organisation

SI verts ou durables (“Green IS”)

• Décrivent la production, la gestion, l'utilisation et la disposition de la technologie de façon à réduire au minimum les impacts négatifs sur l'environnement

• Les SI qui permettent de réduire les impacts environnementaux négatifs des comportements humains et de contribuer à la durabilité de l'environnement naturel

• Terme générique qui inclut les technologies de l'information (TI), les technologies d’information et communications (TIC) et les systèmes d'information (SI)

Pourquoi les SI verts?

• La dépendance croissante aux SI/TI contribuent à la dégradation de l'environnement

• Développement des SI/TI: rythme rapide et constant de l’augmentation de la performance et de la diminution des coûts

  • Loi de Moore: Performance par dollar des puces d’ordinateur qui double tous les 18 mois.

• Plus de 1,2 milliard d’ordinateurs utilisés aujourd'hui, 4 milliards prévus en 2020

• Secteur des TI : 3% des émissions de gaz à effet de serre mondiales

  • 20 à 50 millions de tonnes d’e-déchets sont générés à travers le monde chaque année

Les SI verts: piste de solution?

• Les SI verts pourraient être utilisés comme un «facilitateur»

  • D’ici 2020, les TIC pourraient permettre d’économiser 5 fois leurs propres émissions de gaz à effet de serre mondiales, ce qui représenterait 15% des émissions de gaz à effet de serre mondiales (Source: http://www.smart2020.org/publications)

Effets des SI/TI: 3 niveaux (ordres)

1^re niveau : effets directs de l’application et de l’utilisation des SI/TI

^2e niveau : effets indirects de l’application et de l’utilisation des SI/TI

3^e niveau : effets systématiques causés par les changements liés aux structures et aux comportements

1^er niveau d’effet des SI/TI: effets directs

• La conception/production de produits et services SI/TI verts

  • Impacts environnementaux, cycle de vie des équipements, logiciels, éco-labels, etc.

• L’utilisation de SI/TI économes en énergie

  • Virtualisation des serveurs, clients légers, centres de données verts, etc.

• La prévention des risques liés aux SI/TI sur la santé

  • Substances dangereuses dans les équipements SI/TI, nocivité des ondes électromagnétiques, etc.

• La gestion des déchets électroniques (e-déchets)

  • Traitement des déchets électroniques, recyclage, etc.

Les trois R: Réduire, Réutiliser et Recycler

Rappel: Infrastructure des SI/TI

Définition: Plans sur la façon dont une entreprise construira, déploiera, utilisera et partagera ses données, ses processus et ses actifs SI/TI

• Matériel

• Logiciels

• Réseau

• Clients

• Serveurs

Importance d’une infrastructure verte ou durable des SI/TI pour respecter l’environnement

Infrastructure verte ou durable des SI/TI

3 principaux composants:

• L’informatique en grille
  Ensemble d'ordinateurs, souvent géographiquement dispersés, qui sont interreliés et coordonnés afin de pouvoir mettre en commun leurs ressources et capacités pour atteindre un objectif commun

• L’infonuagique (informatique en nuage)

Accès et utilisation de ressources et d’applications hébergées à distance via Internet.

Au lieu que chaque organisation possède localement plusieurs serveurs et utilise des ressources afin de les gérer et les maintenir, l’infonuagique permet à plusieurs organisations d’accéder et d’utiliser à distance plusieurs ressources et applications via Internet

• La virtualisation
  Création de machines virtuelles multiples sur un seul dispositif informatique physique

3 principales raisons d’adopter une infrastructure verte ou durable des SI/TI:

• Augmentation des déchets électroniques (e-déchets)

• Augmentation de la consommation d’énergie

• Augmentation des gaz à effet de serre (GES)

Les produits et services offerts via l’infonuagique sont caractérisés par :

• Service à la demande : un utilisateur peut lui-même configurer et gérer ses systèmes à distance en mode libre-service sans avoir à faire appel à un humain

• Facturation à l’usage : Similairement à l’électricité (Hydro-Québec), un utilisateur est facturé selon la durée et la quantité de ressources réellement utilisées

• Élasticité : Les ressources fournies s’adaptent facilement et très rapidement en fonction de la fluctuation des besoins du client

Centre de traitement de l’information (centre de données) : Installation utilisée pour héberger les systèmes d'information de gestion et les composants associés, comme des systèmes de stockage et de télécommunications

• Centres de traitement de l’information verts ou durables

  • Réduction de la consommation d’énergie et des émissions de carbone

  • Réduction de l’espace physique requis via la virtualisation

  • Choix d’un emplacement géographique avantageux

Raison d’adopter une infrastructure verte ou durable des SI/TI:

L’augmentation des déchets électroniques (e-déchets)

• Déchets électroniques: Dispositifs électroniques retirés, désuets ou brisés

• Obsolescence (désuétude) des SI/TI: Développement rapide et constant de nouveaux SI/TI accélère l’obsolescence des SI/TI existants et donc les déchets électroniques

• Élimination de SI/TI verts ou durables: Traitement des déchets matériels liés aux SI/TI à la fin de leur cycle de vie

L’augmentation des déchets électroniques (e-déchets): l’exemple du développement de TI inutiles

• Avec la popularité grandissante des objets connectés à Internet (Internet des objets), plusieurs organisations ont une stratégie de développer des objets connectés de toutes sortes sans réfléchir à l’utilisé ou aux inconvénients de ces objets

• On aperçoit alors sur le marché un afflux d’objets très ridicules, et souvent peu utiles. Ils apportent souvent plus de problèmes que de solutions.

Raison d’adopter une infrastructure verte ou durable des SI/TI: l’augmentation de la consommation d'énergie

• L’augmentation fulgurante de l'utilisation des SI/TI a énormément amplifié la consommation d'énergie

• Un ordinateur produit au moins 10 % de la quantité de dioxyde de carbone produite par une automobile.

Raison d’adopter une infrastructure verte ou durable des SI/TI: L’augmentation des émissions de carbone

• Les gaz à effet de serre produits principalement par l'homme, comme les émissions de gaz carboniques, sont très probablement responsables de l’augmentation de la température climatique au cours du demi-siècle dernier.

• Un seul ordinateur de bureau et un moniteur peuvent consommer au moins 100 watts à l’heure.

Réduire: les bonnes pratiques

1. Bien choisir les équipements en fonction de l’usage qu’on fait

2. Réduire la luminosité de l’écran selon l’ambiance

3. Utiliser le mode veille automatique (écran, disque dur, etc.) et le mode hibernation

4. Opter pour des disques SSD (sans élément mécanique)

5. Choisir un modèle de portable adapté à son utilisation

6. Choisir une batterie de haute capacité

7. Considérer la puissance et les composantes inutiles pour un ordinateur de bureau

8. Considérer la consommation électrique des équipements et logiciels installés: choisir des produits écoénergétiques (p.ex. Energy Star)

9. Privilégier les environnements graphiques légers; désactiver les effets graphiques inutiles

10. Désactiver les services des logiciels peu utilisés

Réutiliser: plusieurs options possibles

• Même les matériaux en fin de vie peuvent être réutilisés:

  • La revente ou le don

  • Convertir en client léger

  • Réutiliser pour un usage spécifique (p.ex., serveur Web)

  • Installer des applications légères (p.ex., Chromebook)

Effets des SI/TI: 2e niveau (ordre)

2^e niveau d’effets des SI/TI: effets indirects

• Le travail distribué ou à distance et la collaboration

• Les systèmes de gestion du carbone

• Les processus d’affaires verts ou durables

  • Les chaînes d'approvisionnement vertes ou durables

Le travail distribué ou à distance et la collaboration

Les systèmes de gestion du carbone

• Fonctions principales :

  • Collecter des données, automatiquement ou manuellement sur ​​les gaz à effet de serre produit par l'organisation (« empreinte carbone »)

  • Fournir des fonctions d'analyse des données collectées

  • Produire des rapports et faciliter la gestion et la gouvernance

Effets des SI/TI: 3e niveau (ordre)

3^e niveau d’effets des SI/TI: Les effets systématiques causés par les changements dans les :

• Comportements individuels et organisationnels

• Structures des industries et de la société

Exemples d’avantages liés aux SI verts ou durables

• Efficience accrue et la réduction des coûts

• Réduction de l’inventaire du matériel ou de l’équipement nécessaire

  • Réduction des frais d'acquisition et d’entretien, des e-déchets

• Avantage stratégique pour l’organisation

• Réduction de « l’empreinte carbone » de l’organisation

• Permet de répondre aux préoccupations des intervenants

  • Employés, investisseurs, législateurs (lois)

• Augmentation de la stabilité de l’infrastructure des SI/TI

Exemples de défis liés aux SI verts ou durables

• Manque d’adhésion aux SI verts

• Manque d'alignement avec la stratégie d’affaires de l’organisation

• Perception que le développement durable coûte plus cher

• Mauvaises conditions économiques/commerciales

• Manque d'expertise au sein du département SI/TI

• Faible adoption des nouveaux SI verts par les utilisateurs

• L’écoblanchiment (« greenwashing » en anglais)