Entrevue avec Catherine Leclerc, archiviste et spécialiste en sécurité de l’information
Alors que la cybersécurité est au cœur des préoccupations actuelles du réseau, plusieurs professionnels de l’information s’activent pour assurer la conformité de leur établissement en matière de sécurité de l’information. La tâche n’étant pas sans défi, certaines organisations œuvrent à trouver des solutions innovantes pour faciliter la mise en place de mesures conformes et répondant aux exigences gouvernementales.
C’est notamment le cas du cégep Saint-Jérôme qui, en créant un nouveau poste interservices, souhaite consolider la coopération entre ses équipes, aux bénéfices de la sécurité informatique de l’organisation. Collecto s’est entretenu avec Catherine Leclerc, analyste en gestion de l’information et des archives, dont le profil multidisciplinaire a permis de répondre à plusieurs besoins du cégep en lien avec la gestion de l’information et la cybersécurité!
Votre rôle est plutôt une première dans le réseau collégial, en quoi consiste-t-il exactement?
Effectivement, on pourrait dire que j’ai un rôle « hybride », étant donné ma position entre deux services. En fait, je relève à la fois du secrétariat général et affaires juridiques, et de la direction des études qui, au cégep de Saint-Jérôme, est responsable de la sécurité de l’information. Concrètement, du côté des affaires juridiques, je m’occupe évidemment de la gestion intégrée des documents et de la gouvernance M365. Ce travail est effectué en parallèle de la mise en place des normes et obligations en sécurité de l’information que nous devons respecter en tant qu’établissement collégial, à laquelle je collabore avec la responsable de la sécurité de l’information à la direction des études. Naturellement, je travaille davantage sur les aspects en lien avec la gouvernance dans l’application des mesures de contrôle que sur le volet technique. Autrement dit, j’agis au niveau stratégique dans le contrôle de l’information.
Comment est née cette idée de double chapeau?
Au même moment, les deux services desquels je découle étaient à la recherche d’une ressource qui pourrait les soutenir en gouvernance et en gestion de l’information. La rédaction de la Politique sur la sécurité de l’information a permis d’amorcer une réflexion sur l’intérêt et les besoins communs qu’ils avaient. Je pense qu’en prenant connaissance de mon profil, la pertinence d’intégrer la cybersécurité à la gouvernance de l’information est devenue encore plus grande. Depuis son affichage initial, mon rôle continue d’évoluer, surtout concernant la sécurité de l’information.
Et ses compétences, d’où proviennent-elles?! Pouvez-vous nous en dire plus sur votre parcours professionnel et académique?
J’ai un parcours plutôt « zigzag »! J’ai travaillé durant quelques années au sein de plusieurs musées, où l’on retrouvait, bien sûr, des services d’archives. Comme j’ai toujours eu un intérêt envers l’archivistique, j’ai amorcé d’autres études dans ce domaine. J’ai réalisé, à travers ce nouveau parcours, que l’aspect de la gestion électronique des documents allait grandement être pertinent pour l’avenir. Or, bien que les enjeux autour de la protection des renseignements personnels ou encore de la gestion d’informations sensibles étaient abordés, je ne me sentais pas assez outillée pour appliquer des mesures concrètes pour faire face à ces enjeux. J’ai donc poursuivi mon parcours académique à la Polytechnique pour me spécialiser en cybersécurité des réseaux informatiques. J’ai aussi pu affiner mon expertise en gestion de la sécurité de l’information numérique lors de différents stages en entreprises.
Votre quotidien, à quoi ressemble-t-il?
Du côté du secrétariat général, je collabore essentiellement avec une notaire, ma superviseure, ainsi qu’une technicienne en documentation. Avec elles, j’œuvre à appliquer et à rédiger les différentes politiques en lien avec les exigences légales associées avec la gestion de l’information. Concrètement, je tente d’adapter ces exigences afin que l’application soit fonctionnelle pour notre milieu. En ce qui concerne mes responsabilités à la direction des études, mon objectif est de mener notre établissement à respecter les différentes obligations gouvernementales. Par exemple, nous avons eu à effectuer plusieurs redditions de compte en rapport avec les politiques de sécurité de l’information et, en première dans le réseau, à implanter un registre de catégorisation des actifs informationnels. Prochainement, nous devrons mettre en place une politique de gestion des accès, de l’identité et des plans de gestion d’incidents.
Comment votre expertise et votre champ d’action croisent-ils le travail des professionnels des technologies de l’information (TI)?
Des bases de données jusqu’aux courriels, toute information documentée, au sens large, a une valeur, qu’elle soit juridique, administrative ou historique. Cette valeur comporte son lot de vulnérabilités, dont des potentiels bris de confidentialité qui pourraient porter atteinte à notre réputation et occasionner plusieurs autres impacts majeurs. L’archivistique doit donc s’assurer d’avoir une vue d’ensemble sur ce que l’on possède, sur ce que l’on devrait posséder et sur ce que l’on ne devrait pas posséder. C’est essentiel de suivre une échelle de sensibilité des informations pour guider la gestion des renseignements personnels, notamment. Pour illustrer la cybersécurité, j’aime utiliser l’image du « gardien de but » devant un filet ; on ne peut pas être un mur complet devant les attaques, il faut plutôt tenter de couvrir les coins où il peut y avoir des vulnérabilités.
Donc, en tant qu’analystes en gestion de l’information et des archives, nous avons un portrait global des actifs informationnels et de ce qui pourrait être vulnérable. Il faut donc un dialogue avec les TI, car nous pouvons les soutenir dans l’application de mesures de sécurité ciblées et adaptées, et ce, selon la nature et la sensibilité de l’information. De notre côté, nous n’avons pas toutes les compétences et les connaissances techniques essentielles pour la conception et la réalisation des politiques, des procédures et d’autres mesures. La complémentarité dans nos champs respectifs existe et c’est important de bien l’exploiter pour assurer la cybersécurité du collège. Toutefois, il faut que l’ensemble des personnes impliquées aient accès aux connaissances et qu’elles travaillent dans la même direction, ce qui n’est pas toujours le cas, malheureusement.
Depuis 2 ans, plusieurs nouvelles exigences concernant la gestion de l’information sont entrées en vigueur pour les organismes publics (Loi 64, catégorisation des actifs, PCCTI, etc.). Selon vous, quels sont les principaux défis, pour les établissements d’enseignement, quant à l’opérationnalisation réaliste de ces cadres?
Je crois que la nouvelle réalité que l’on souhaite atteindre avec la transformation numérique gouvernementale nous mène à effectuer beaucoup de rattrapage en très peu de temps. Malheureusement, plusieurs aspects de la sécurité informatique ont été délaissés au fil des années et maintenant c’est le pas de course, alors qu’il est plutôt difficile d’augmenter notre maturité numérique au même rythme. L’évolution technologique avance très rapidement, et donc les attaques sont aussi de plus en plus sophistiquées. Bref, je dirais que le défi général est de monter les multiples paliers de maturité en bonne et due forme en documentant, en s’assurant que les processus sont respectés, en appliquant les mesures uniformément et en travaillant sur plusieurs autres actions, en même temps!
Autrement, je dirais qu’il y a des défis au niveau des besoins technologiques des intervenants pédagogiques, qui ne cessent de croitre. Les demandes sont souvent transmises dans de très courts délais et cela fait en sorte que souvent, la réflexion et l’analyse de risque ne sont pas tout le temps complétées ou même partiellement incluses dans l’implantation d’une nouvelle application ou l’installation d’un nouvel appareil. Ce manque de temps pour effectuer les analyses du risque et s’assurer que les mécanismes de sécurité adéquats soient implantés provient en partie, je crois, de la pénurie de main-d’œuvre qui nous touche tous, ce qui est aussi un défi de taille.
Ironiquement, nous sommes plusieurs établissements à faire face aux mêmes défis et une coopération intercollégiale nécessite malheureusement beaucoup d’efforts. Le partage de connaissances serait réellement bénéfique pour le réseau. J’ai l’impression que nous sommes tous en train de mettre en œuvre des solutions similaires et que le même travail est fait à plusieurs reprises; une collaboration pourrait grandement nous aider en termes d’efficacité.
Naturellement, la pandémie a fait en sorte que nous n’avons plus du tout le même périmètre physique et donc, la portée interne des équipes TI et des analystes en information est moindre. La migration vers l’infonuagique s’est effectuée excessivement rapidement au cégep Saint-Jérôme et encore une fois, il y a encore beaucoup de rattrapage à faire, surtout en matière d’analyse des risques. De plus, maintenant que nous avons une meilleure idée de l’ampleur des corrections à effectuer dans les procédures, il faut rééduquer les utilisateurs. Cela vient toutefois avec une certaine réticence ; il y a beaucoup de gestion du changement à faire. Plusieurs habitudes se sont installées au cours des deux dernières années et maintenant, nous devons revenir en arrière et créer de nouvelles habitudes, ce qui n’est pas gagné.
À votre avis, quels sont les enjeux auxquels fera face la profession au cours des années à venir?
Je pense que depuis longtemps, les professionnels de l’archivistique doivent se faire valoir et c’est un défi qui devrait perdurer au courant des prochaines années. Il faut perpétuellement s’adapter si on ne souhaite que notre profession devienne désuète. Il faut continuer à s’intéresser aux nouvelles technologies, se perfectionner continuellement et maitriser les principaux outils de gestion de contenu comme SharePoint, qui remplacent graduellement les serveurs locaux. Au final, rester ouverts à l’innovation nous permettra de faire valoir notre expertise. Nous commençons à être impliqués à de « plus hauts niveaux » dans les organisations et il faudra œuvrer à mettre en lumière nos connaissances, notre expertise et nos pratiques pour y rester.
Pour en savoir plus sur les développements à venir du projet de registre de catégorisation des actifs informationnels abordé par Mme Leclerc, abonnez-vous au bulletin d’information Collecto.
Pour en savoir plus sur notre expertise en gestion intégrée des documents, consultez ce document ou communiquez avec Mélodie Deshaies, conseillère principale en gestion de l’information et des archives, à l’adresse courriel suivante : melodie.deshaies@collecto.ca