Règles de branchement d'un équipement informatique au réseau de l'Université de Montréal
en application de la
POLITIQUE DE SÉCURITÉ INFORMATIQUE et
D’UTILISATION DES RESSOURCES INFORMATIQUES
DE L’UNIVERSITÉ DE MONTRÉAL
Adopté au Comité de Régie des TI, le 28 février 2005.
Définitions
Le Réseau de l’Université est défini dans la POLITIQUE DE SÉCURITÉ. Dans le présent document, l’expression réfère plus spécifiquement à toutes les formes d’accès au réseau dorsal du campus, que ce soit par prises câblées ou en accès sans fil.
Accès privé au réseau : ensemble des prises réseau privées installées dans les bureaux et laboratoires de l’Université. L’accès à ces locaux est physiquement restreint par le responsable des lieux et seulement lui peut autoriser le branchement d’équipements informatiques aux prises réseau qui s’y trouvent. Il est entendu que tout branchement au réseau est fait conformément aux politiques de branchement édictées par les TI.
Accès public au réseau : ensemble des prises réseau en accès libre ou accès sans fil installés dans des lieux publics ou à vocation publique de l’Université de Montréal. Il pourrait arriver que des accès publics à une clientèle restreinte soient offerts dans des lieux privés.
Art. 1 Utilisation de l’accès privé au réseau par des équipements informatiques appartenant à l’Université
Les équipements informatiques appartenant à l’Université par acquisition sur des fonds gérés par l’Université ou dont la propriété est transférée à l’Université lors de l’installation d’une unité sur le campus peuvent utiliser l’accès privé au réseau de l’Université.
Il est exigé que:
- conformément aux règles d’utilisation en vigueur, ces équipements informatiques, postes de travail et serveurs, soient protégés contre l’usage non autorisé ou malicieux par le logiciel anti-virus prescrit, le cas échéant, par le Bureau de la Sécurité Informatique (TI). Ce logiciel doit être fonctionnel et à jour.
- ces équipements informatiques soient maintenus à jour en ce qui concerne les correctifs de sécurité recommandés pour le système d’exploitation et les autres logiciels installés.
- ces équipements informatiques soient inscrits au registre des adresses et des noms des TI (voir Art. 8).
La procédure de disposition de ces équipements informatiques ou de fin d’utilisation sur le réseau doit prévoir une demande de retrait de la permission d’accès privé au réseau.
Lorsqu’un équipement informatique n’aura pas été utilisé sur le réseau pour une période de plus d’un an, son inscription sera annulée en présumant que l’appareil n’est plus présent sur le réseau ou que son propriétaire s’en est départi.
Art. 2 Utilisation de l’accès privé au réseau par des équipements informatiques appartenant à des organismes hébergés sur le campus
Les organismes hébergés sur le campus, ayant besoin de brancher leurs équipements informatiques au réseau de l’Université, doivent justifier leur besoin, démontrer qu’ils les géreront avec la même rigueur que ceux appartenant à l’Université et obtenir l’autorisation d’utiliser le réseau.
Il est exigé que:
- conformément aux règles d’utilisation en vigueur, ces équipements informatiques. postes de travail et serveurs, soient protégés contre l’usage non autorisé ou malicieux par un logiciel anti-virus agréé, le cas échéant, par le Bureau de la Sécurité Informatique (TI). Ce logiciel doit être fonctionnel et à jour.
- ces équipements informatiques soient maintenus à jour en ce qui concerne les correctifs de sécurité recommandés pour le système d’exploitation et les autres logiciels installés.
- ces équipements informatiques soient inscrits au registre des adresses et des noms des TI (voir Art. 8).
La procédure de disposition de ces équipements informatiques ou de fin d’utilisation sur le réseau doit prévoir une demande de retrait de la permission d’accès privé au réseau.
Lorsqu’un équipement informatique n’aura pas été utilisé sur le réseau pour une période de plus d’un an, son inscription sera annulée en présumant que l’appareil n’est plus présent sur le réseau ou que son propriétaire s’en est départi.
Art. 3 Utilisation de l’accès privé au réseau par des équipements informatiques n’appartenant ni à l’Université ni à des organismes hébergés agréés
Les équipements informatiques n’appartenant pas à l’Université ou à des organismes hébergés agréés ne peuvent, par défaut, qu’utiliser l’accès public au réseau.
Une personne responsable (professeur ou responsable administratif) peut en autoriser l’accès privé au réseau en autant qu’il s’assure que:
- conformément aux règles d’utilisation en vigueur, cet équipement informatique, poste de travail ou serveur, est protégé contre l’usage non autorisé ou malicieux par un logiciel anti-virus agréé par le Bureau de la Sécurité Informatique (TI). Ce logiciel doit être fonctionnel et à jour.
- cet équipement informatique est maintenu à jour en ce qui concerne les correctifs de sécurité recommandés pour le système d’exploitation et les autres logiciels installés.
- cet équipement informatique soit inscrit au registre des adresses et des noms des TI (voir Art. 8).
La permission d’utiliser l’accès privé au réseau est limitée à la période réelle du besoin pour une durée maximale d’un an (renouvelable). Elle est révocable en cas de non-respect de la POLITIQUE DE SÉCURITÉ et des règles afférentes.
Pour obtenir la permission d’accès privé au réseau, l’utilisateur d’un tel équipement informatique complète le formulaire TI-05 - Inscription d'un ordinateur personnel au réseau privé (DHCP) sur le site des TI, formulaire qui doit recevoir l’approbation d’une personne autorisée.
Art. 4 Accès public au réseau
Tout équipement informatique peut utiliser l’accès public au réseau; à cette fin, l’utilisateur devra s’authentifier à chaque utilisation. Aucune inscription de l’équipement informatique n’est nécessaire mais l’utilisateur doit disposer d’un code d'accès (login) et d’un UNIP / mot de passe pour le personnel ou les étudiants ou mot de passe d’invité pour les autres) et accepter les règles d’utilisation d’un poste personnel sur le réseau de l’Université dont le texte est accessible dans les pages Web des TI.
L’accès public au réseau offre des possibilités d’accès plus limitées que l’accès privé en termes de destinations et services, sur le réseau interne comme vers l’Internet: ces possibilités sont déterminées par les TI en fonction des politiques en vigueur.
Quoique l’autorisation d’accès public au réseau puisse être conditionnelle à des vérifications de l’état de protection de l’équipement informatique, il reste que la configuration des équipements informatiques qui y ont accès n’est généralement pas assurée centralement. L’utilisateur doit être conscient des risques accrus inhérents à cet état de fait.
Art. 5 Juridiction et exclusivité de gestion
La gestion du réseau de l’Université, incluant son déploiement physique, est sous la juridiction des TI. Les TI voient au bon fonctionnement et à la sécurité du réseau et en prescrivent les conditions nécessaires d’utilisation.
Dans le cas où un équipement informatique est la source d’une activité malicieuse ou interdite (l’envoi de pourriel par exemple) ou est une menace pour le réseau de l’Université et pour l’Internet, le privilège d’accès au réseau pour le poste ou l’utilisateur peut être temporairement suspendu sans préavis. Ce privilège sera réinstauré lorsque preuve aura été faite que cet accès ne constitue plus une menace.
Il est spécifiquement interdit de modifier le réseau de l’Université de quelque façon que ce soit, notamment par l’installation de câblage ou d’équipements de réseau privés (à l’exception des cas prévus à l’Art. 7) ou d’y fournir un accès non autorisé. Il n’est pas permis non plus d’en détourner la finalité ou le fonctionnement, par exemple par l’utilisation non autorisée de logiciels de partage. Voir à cet effet la POLITIQUE DE SÉCURITÉ.
Art. 6 Équipements admissibles sur le réseau de l’Université de Montréal
Tous les types d’équipements informatiques requérant une connexion au réseau y seront de facto admissibles à moins de faire partie des exclusions suivantes.
Équipements (et logiciels) interdits:
- tout équipement réseau non déployé par les TI ou non spécifiquement autorisé par eux (communiquer avec les TI pour toute demande d’autorisation d’installation contrevenant à ces normes), à l’exception des cas prévus à l’Art. 7. Ceci inclut notamment:
- concentrateur/commutateur.
- routeur: tout appareil de commutation de réseau. Un ordinateur ne doit pas être utilisé comme solution de routage entre deux équipements ou réseaux physiques.
- pare-feu matériel: les pare-feu logiciels ou intégrés à la carte réseau d’un ordinateur sont permis. Cependant, certains environnements informatiques pourraient ne pas permettre de pare-feu non géré centralement.
- borne d’accès pour sans-fil, incluant celle qui pourrait être intégrée à un ordinateur. Dans ce cas, la borne intégrée doit être inactivée.
- serveurs d’accès distant (VPN notamment).
- téléphones de tous les types, non agréés par l’Université;
- modems de tous les types reliés à un équipement informatique relié au réseau (à moins d’autorisation spécifique);
- équipement informatique relié à un autre réseau que le réseau de l’Université de Montréal; noter qu’un organisateur personnel est un équipement informatique.
Veuillez aussi prendre note que les activités suivantes sont aussi interdites sur le réseau de l’Université :
- tout logiciel (sur un équipement informatique) fournissant un service réseau entrant en conflit avec un service autorisé de même nature sur le réseau de l’Université de Montréal (par exemple: service DHCP ou service DNS) ou un service généralement du ressort des services réseau ou informatiques d’une entreprise;
- toute interconnexion non autorisée entre deux sous réseaux ou avec un réseau externe;
- tout logiciel de partage non autorisé, tout logiciel de téléphonie IP non standardisé et fourni par l’Université, tout logiciel devant probablement utiliser une grande bande passante (à moins d’autorisation spécifique à cet effet);
- tout équipement non autorisé susceptible de violer les droits individuels (ex. caméra privée).
Art. 7 Partage d'une prise murale
Chaque équipement informatique physiquement relié au réseau de l’Université (c.-à-d., par un cordon de raccordement) doit utiliser une prise murale fournie par l’Université. Chaque prise doit n’accueillir qu’un seul équipement. Si des prises supplémentaires sont nécessaires, un responsable administratif d’une unité de l’Université communiquera avec les TI pour en demander l’installation.
Cependant, l’utilisation d’un commutateur multi-ports (ou du partage de connexion Internet) est permise aux utilisateurs, strictement pour usage personnel (d’une seule personne): par exemple, un professeur pourrait n’avoir qu’une prise dans son bureau. Il lui serait alors permis d’utiliser un commutateur multi-ports pour brancher simultanément son poste de travail de bureau, son imprimante et son portable, à l’occasion. Dans un tel cas, voici les conditions d’utilisation :
- L’utilisation d’un commutateur multi-ports n’est pas permise sur une prise en accès public;
- le commutateur doit fournir un minimum de débit de 100 Mb/sec., sur chaque port;
- pas plus de quatre équipements ne doivent être utilisés à la fois;
- les cordons de raccordement entre le commutateur et les équipements ne doivent pas excéder cinq mètres;
- la gestion du commutateur est à la charge de l’utilisateur, notamment celle de sa sécurité; ce déploiement pourrait dans certains cas nuire à la qualité du service attendu par l’utilisateur. Les TI n’offrent aucune garantie concernant la qualité du service offert dans ces conditions.
Art. 8 Inscription des ordinateurs
Tout équipement informatique utilisant l’accès privé au réseau doit avoir été préalablement inscrit aux TI (ou auprès d’unités à qui les TI ont délégués cette responsabilité de façon limitée).
En règle générale, un poste de travail individuel obtient, en étant inscrit, le droit de recevoir dynamiquement une adresse IP au démarrage de celui-ci sur le réseau de l’Université. Cette adresse peut varier au cours de redémarrages subséquents.
Par contre, un serveur et autres équipements informatiques non personnels obtiennent généralement, en étant inscrits, une adresse IP fixe (permanente).
Rappelons que l’Accès public au réseau ne requiert pas d’inscription préalable de l’équipement informatique. Voir Art. 4 de ce document.