Protection des données, confidentialité et respect de la vie privée
Traitement des données personnelles, privées ou sensibles (par exemple, les données de recherche clinique sur les humains)
Aucune de nos ressources n’est présentement assignée au traitement des données sensibles.
Toutes nos ressources sont gérées selon les meilleures pratiques pour la recherche universitaire et nous déployons des efforts considérables à l’intégrité, la confidentialité et la disponibilité des données. Aucune de nos ressources n’est cependant formellement certifiée pour respecter les exigences de sécurité et de confidentialité pouvant s’appliquer à certains ensembles de données. En général, plusieurs personnes se partagent nos ressources, ce qui comprend les réseaux, les nœuds et les espaces de mémoire et les données qui y sont consignées peuvent ne pas être chiffrées. Nous offrons les fonctionnalités standards Linux pour la ségrégation des systèmes de fichiers et le contrôle des accès aux fichiers et répertoires et nos administrateurs de systèmes ont accès à tout ce matériel au besoin ou avec l’autorisation des propriétaires.
La protection de la confidentialité des données est de la responsabilité des chercheurs et chercheuses. À ce titre, nous vous invitons à prendre connaissance de nos politiques.
Vous pouvez contacter notre équipe de soutien technique pour de l’assistance sur la gestion de vos données sensibles ainsi que pour des conseils sur le contrôle des accès, le chiffrement, le stockage et la transmission de vos données.
Défaillance du matériel
Notre principe de base est de disposer d’un certain niveau de duplication pour la plupart des systèmes de fichiers, selon le niveau de risque que présente le matériel, par exemple
- il n’y a aucune forme de duplication des systèmes de fichiers stockés localement sur les nœuds de calcul;
- il n’y a aucune copie de sauvegarde des systèmes de fichiers /scratch, mais ils sont configurés pour être protégés contre les défaillances de plusieurs disques;
- il y a une copie de sauvegarde périodique des systèmes de fichiers /project et /home qui sont en plus protégés contre les défaillances de plusieurs disques;
- une copie est faite sur ruban des systèmes de fichiers de l’espace de stockage /nearline.
Accès non autorisé
Les accès non autorisés pourraient se produire principalement via le matériel ou les logiciels.
Pour ce qui est du matériel, l'infrastructure physique n'est accessible que par le personnel autorisé. Tout équipement de stockage qui doit être retiré par suite d’une défaillance est soit détruit, soit chiffré ou effacé avant d'être retourné au fournisseur pour être remplacé.
L’accès par logiciel aux systèmes de fichiers de nos grappes est protégé par des permissions POSIX et ACL standards. À chaque fichier sont associés un propriétaire et un groupe. Le groupe associé à un fichier est soit un utilisateur, soit un projet de recherche. Les permissions par défaut sont telles que les nouveaux fichiers qui sont créés sont accessibles en écriture par le propriétaire et en lecture par le groupe. Le groupe par défaut associé à un fichier peut dépendre de l’endroit où se trouve le fichier dans le système de fichiers. Le propriétaire du fichier doit s’assurer que ce dernier appartient au bon groupe et que les permissions d’accès appropriées soient définies.
Si les permissions d’accès à un fichier sont correctement définies, un accès non autorisé ne peut avoir lieu que par élévation de privilège (piratage). Pour contrer ceci, notre équipe technique fait le suivi des listes de diffusion CVE (Common Vulnerabilities and Exposures) et applique les correctifs requis. Nous examinons aussi les comportements anormaux qui seraient susceptibles d’indiquer une intrusion, en plus d’imposer des mesures de sécurité plus strictes pour les comptes de notre personnel qui dispose d'accès privilégiés par rapport aux utilisateurs réguliers.
Il ne faut pas oublier que nos grappes font partie d’une infrastructure partagée. Même si nous prenons toutes les précautions pour réduire le risque d’accès non autorisés, la possibilité est toujours présente. Si vos données nécessitent un haut niveau de sécurité, il serait avisé de les chiffrer.