Think Lean think continuous improvement - Gestion allégée - CAUBO
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Spring/Printemps
2018
CELEBRATE CAUBO’S 75TH CONFERENCE IN VANCOUVER!
VENEZ CÉLÉBRER LE 75E CONGRÈS DE L’ACPAU À VANCOUVER!
PM #40065075
Think Lean… Gestion allégée
think continuous improvement et amélioration continue
OPTIMIZING
PERFORMANCE
IN A NEW ERA OF
HIGHER EDUCATION
BUDGETING
REPORTING &
TUITION PLANNING
ANALYTICS
MODERN
FINANCIAL PLANNING
LONG-RANGE CAPITAL STRUCTURE &
FINANCIAL PLANNING FINANCING
kaufmanhall.com/highereducation
We ve
fixed
income.
25 years of consistent returns, through shifting world events, fluctuating commodity prices and volatile financial markets.
$1000
C U M U L AT I V E C O M P O U N D E D N E T R E T U R N
$900
$800
$700
PER $100 INVESTED
$600
$500
BREXIT
$400 VOTE
GOLD
$1,500
$300
HURRICANE
$200
KATRINA FINANCIAL
OIL $20 CRISIS
$100
CDN BANK SEPT. 11
RATE 8%
$0
SEPTEMBER MAY MAY SEPTEMBER AUGUST SEPTEMBER APRIL JUNE FEBRUARY
1992 1995 1999 2001 2005 2008 2011 2016 2018
For over 25 years, Romspen’s record has shown consistent returns through
shifting world events, fluctuating commodity prices and volatile financial markets.
What’s more, Romspen has generated 305 consecutive months of net positive
returns for its investors. For further information on the Romspen Mortgage
Investment Fund, please call Dianna Price at 416 928 5105. | romspen.com
Romspen Mortgage Investment Fund is now available through FundServ.
Results from September 1992, to January 16, 2006, are those of a pool of individually-syndicated mortgages managed by Romspen Investment Corporation, the manager of Romspen Mortgage Investment Fund (the “Fund”). The indicated rates of return are
historical returns calculated on a cash-on-cash basis, after fees, and the annual compounded net returns assume a monthly reinvestment of distributions. Returns do not take into account income taxes, changes in unit values, third-party expenses or redemption
charges that would have reduced returns. This is not an offer to sell or a solicitation of an offer to buy units of the Fund, which are offered to investors who meet eligibility requirements under applicable securities laws. Fund units are offered only by offering
memorandum, which contains important information about the Fund’s fees, objectives, and risk factors, and which should be read before investing. Consult your financial advisor. The Fund’s returns are not guaranteed, unit values may change, and past performance
may not be repeated. Romspen Mortgage Investment Fund is a connected issuer of Romspen Investment Corporation.
SHORT-TERM NOISE CAN BE DISTRACTING
WE IGNORE IT
At Sionna, we focus on the fundamentals. We strive to
provide our institutional clients with downside protection
and deliver long-term, above-average returns using our
active value investing philosophy.
To schedule a meeting contact Kelly Battle.
Passion for the craft of investing.
Kelly Battle CFA, MBA
Vice President, Relationship Management
kelly.battle@sionna.ca (416) 203-2732
Learn more about our value approach sionna.ca/approach
®
Sionna Investment Managers. All rights reserved.
Canadian Association of University SPRING/PRINTEMPS 2018 VOLUME 26 • NUMBER 2 | VOLUME 26 • NUMÉRO 2
Business Officers
Association canadienne du personnel
administratif universitaire
Features Articles
315 – 350 rue Albert Street
Ottawa, Ontario K1R 1B1 Cyber-security in higher education: Mobilizing to respond............................................... 11
Tel./Tél.: (613) 230-6760
Fax/Téléc.: (613) 563-7739 La cybersécurité en milieu universitaire : mobilisation et intervention.................................16
info@caubo.ca/info@acpau.ca
Think Lean… think continuous improvement.........................................................................21
Executive Director/Directrice générale
Gestion allégée et amélioration continue.....................................................................................28
Nathalie Laporte
Celebrate CAUBO’s 75th Annual Conference.............................................................................35
Managing Editor/Rédactrice en chef
Christine Hanlon Venez célébrer le 75e Congrès annuel..............................................................................................40
Graphic Designer/Graphiste CAUBO 2018: Discover the Diversity........................................................................................... 45
Tabitha Robin
L’ACPAU 2018 : Découvrir la diversité...............................................................................................68
Marketing Manager/
Directeur du marketing
Al Whalen
Advertising Coordinator/
Coordonnatrice de la publicité
Stefanie Hagidiakow
Publications Mail Agreement #/Numéro de
convention du service Poste-publications : #40065075
Return undeliverable Canadian addresses to/
Retourner toute correspondance ne pouvant être livrée au
Canada à : lauren@kelman.ca
Third Floor/Troisième étage – 2020 avenue Portage Avenue,
Winnipeg, Manitoba R3J 0K4
Published four times a year on behalf of the 45
Canadian Association of University Business Officers
(CAUBO) by
Publié quatre fois par année pour l’Association
canadienne du personnel administratif universitaire
(ACPAU) par
VANCOUVER 2018
Third Floor - 2020 Portage Avenue
Winnipeg, Manitoba R3J 0K4
Tel: 866-985-9780 Regular Columns Chroniques
Fax: 866-985-9799
www.kelman.ca Executive Director’s Message........................................................................................................... 7
info@kelman.ca
Message de la directrice générale...................................................................................................... 8
The views expressed in this publication are the responsibility of the
publisher and do not necessarily reflect the views
of the officers or members of the Canadian Association People Moves.......................................................................................................................................32
of University Business Officers.
Les opinions exprimées dans cette publication sont la
responsabilité de l’éditeur et ne reflètent pas nécessairement celles des
dirigeants ou des membres de l’Association canadienne du personnel
administratif universitaire.
© 2017 Craig Kelman & Associates Ltd. All rights reserved.
The contents of this publication may not be reproduced by any means,
in whole or in part, without the prior written consent of the publisher.
© Craig Kelman & Associates Ltd., 2017. Tous droits réservés.
Cette publication ne peut être reproduite, en tout ou en partie, par
quelque moyen que ce soit, sans autorisation écrite préalable de l’éditeur.
Executive Director’s Message
Paving the Path Forward
By Nathalie Laporte
I
dentifying, prioritizing, and determining based initiatives to focus on, as well as
the best ways to address sector-wide operational challenges that CAUBO can
“Our sincerest
issues in higher education can feel like a help you address. The daylong sessions thanks to the diverse
daunting task, but we have a source to tap resulted in the definition of the potential
into key knowledge at the ground level: You. scope and objectives for our upcoming and knowledgeable
In February and early March, CAUBO
projects. Stay tuned for the outcomes in
the summer issue of University Manager.
list of participants, from
held two sessions in Ottawa with a mix By then, the CAUBO Board will have across the country,
of Vice-Presidents and senior members approved a plan that will ultimately assist
representing a wide range of functional you in tackling some of the sector’s most who contributed to
areas, totalling approximately 60 significant issues. this critical member
participants. With the goal of defining
CAUBO’s upcoming analytical and Our sincerest thanks to the diverse and engagement exercise
operational benchmark agendas, we left knowledgeable list of participants, from
the sessions with many takeaways. across the country, who contributed to
as we venture closer to
this critical member engagement exercise providing even greater
The feedback proved to be most valuable as as we venture closer to providing even
we strive to identify priority sectoral issue- greater tools for success. tools for success.”
Click HERE to return to TABLE OF CONTENTS UNIVERSITY MANAGER • Spring 2018 7
Message de la directrice générale
Board of Directors ~ 2017-2018
Conseil d’administration Préparer la
route à suivre
Éric Tufts
President/Président
Vice-recteur à l’administration
Université Sainte-Anne
(902) 769-2114 x7309 Par Nathalie Laporte
eric.tufts@usainteanne.ca
Isabelle Boucher
Vice-President/Vice présidente
Vice-présidente à l’administration
Université du Québec
(418) 657-4316
isabelle.boucher@uquebec.ca
Donna Janiec
Secretary-Treasurer/Secrétaire-trésorière
Vice-Principal (Finance and Administration)
Queen’s University
(613) 533-3048
janiecd@queensu.ca
Gayle Gorrill
Past President/Présidente sortante
Vice-President Finance and Operations
University of Victoria
(250) 721-7018
vpfo@uvic.ca
Nathalie Laporte
Executive Director/Directrice générale
(613) 230-6760, x268
nlaporte@caubo.ca/nlaporte@acpau.ca
Directors/Administrateurs
Christopher Callbeck
Vice-President (Finance and Administration) and CFO
Acadia University
(902) 585-1177
I
callbeck@unb.ca
Linda Dalgetty
dentifier, classer par priorité et choisir
les meilleurs moyens d’aborder les
« Nos sincères
Vice-President (Finance and Services)
University of Calgary
(403) 220-6210
enjeux sectoriels en enseignement remerciements à la
supérieur peut sembler une tâche ardue,
linda.dalgetty@ucalgary.ca
mais nous disposons d’une source où brochette diversifiée et
Michael Emslie
Vice-President (Financial Services and Administration)
The University of Winnipeg
puiser les connaissances essentielles sur compétente de participants
le terrain : vous!
(204) 258-2943
m.emslie@uwinnipeg.ca de partout au pays qui, en
En février et au début de mars, l’ACPAU
Gitta Kulczycki
Vice-President (Finance and Administration) a tenu deux séances à Ottawa réunissant contribuant à cet exercice
University of Alberta
(780) 492-2657
environ 60 vice-recteurs et cadres crucial de mobilisation des
gitta.kulczycki@ualberta.ca supérieurs représentant un large éventail
Sharon Johnson-Legere
de domaines fonctionnels. Ces séances membres, nous aident à
ayant pour but de définir les prochains
Vice-President (Finance and Administration)
NSCAD University objectifs analytiques et opérationnels de
vous offrir des outils encore
(902) 494 8112
slegere@nscad.ca l’ACPAU, nous en sommes ressortis avec meilleurs pour assurer
de nombreux éléments de réflexion.
Georges Montplaisir
Directeur des finances votre réussite. »
HEC Montréal Vos commentaires nous sont très utiles pour
(514) 340-6306
georges.montplaisir@hec.ca cerner les initiatives sectorielles axées sur les aidera à vous attaquer à certains des enjeux
Matthew Nowakowski
enjeux à traiter en priorité et les problèmes les plus fondamentaux du secteur.
Vice-recteur adjoint aux finances opérationnels que l’ACPAU peut vous
Université de Montréal aider à régler. Ces séances d’une journée Nos sincères remerciements à la brochette
(514) 343-7153
matthew.nowakowski@umontreal.ca nous ont permis de définir la portée et les diversifiée et compétente de participants
Don O’Leary
objectifs potentiels de nos projets à venir. de partout au pays qui, en contribuant
Vice-President (Finance, Administration & Risk) Ne manquez pas la publication des résultats à cet exercice crucial de mobilisation
University of Guelph dans le numéro d’été de Gestion universitaire. des membres, nous aident à vous offrir
(519) 824-4120 x53841
oleary@uoguelph.ca D’ici là, le Conseil d’administration de des outils encore meilleurs pour assurer
l’ACPAU aura adopté un plan qui vous votre réussite.
8 UNIVERSITY MANAGER • Spring 2018 Click HERE to return to TABLE OF CONTENTS
We help
Housing
shine.
Charting a Path for
Social Purpose Administration
CAUBO and the McConnell Foundation are engaging
OPERATIONS
members to embed social innovation in finance and CONSULTING
administration as set out in the RECODE/SFU white paper.
Share your examples by participating in the survey and
check out the Social Purpose Administration workshop at CAMPUS PLANNING
the CAUBO Conference. Details for this initiative can be
found on the CAUBO homepage.
HOUSING & FEASIBILITY
ADVISORS
Tracer la voie pour une
administration à vocation sociale
DEVELOPMENT
L’ACPAU et La fondation McConnell sollicitent la SUPPORT
participation des membres pour intégrer l’innovation sociale
dans les domaines financiers et administratifs, comme cela
est expliqué dans le livre blanc commandé par RECODE et
l’Université Simon Fraser. Partagez des exemples avec nous
en répondant au sondage ou en participant à l’atelier sur n Experience in over 30 Canadian markets (200+ in USA)
l’administration à vocation sociale qui sera offert dans le cadre n Advised on $6B in new/renovated student housing
du congrès de l’ACPAU. Les détails de cette initiative sont n Members of ACUHO-I, NACUBO, NACAS, CAUBO and SCUP
disponibles sur la page d’accueil de l’ACPAU. n Thought leader in the sector: P3, marketing & planning
advisory@thesciongroup.com | thesciongroup.com
Protecting universities.
Sharing knowledge.
SPECIALIZED INSURANCE AND CURIE was founded in 1988, at the peak of
RISK MANAGEMENT SERVICES
the liability insurance crisis with the mandate
• 20% to 45% lower premium to stabilize premium costs and offer custom
rates and comprehensive coverage for Canadian universities. Today,
coverage CURIE, Canada’s only non-profit reciprocal
• robust risk management specializing in universities, represents
programs and services large and small institutions. With a strong
• essential knowledge sharing membership, CURIE is prepared for today
among the CURIE community and looking ahead to tomorrow.
www.curie.org • 1.888.462.8743
Canadian Universities Reciprocal Insurance Exchange
CURIE0006_UMAds_FA.indd 1 12-03-16 12:02 PM
Click HERE to return to TABLE OF CONTENTS UNIVERSITY MANAGER • Spring 2018 9
Style driven
absolute returns -
targeting precise
performance.
Introducing BMO AM Market Neutral Global Equity Fund
Many factors determine precision performance. We refine raw styles
like value, size and momentum into what we call ‘true styles’.
We then bring them together into a complementary whole and by
investing long and short in global equities, aim to deliver positive
returns in diverse markets.
To learn more contact us at: bmoam.institutional@bmo.com
or call 1-844-855-7034
BMO Global Asset Management is a brand name that comprises BMO Asset Management Inc., BMO Investments Inc., BMO Asset Management Corp. and BMO’s specialized investment management firms.
The information provided herein does not constitute a solicitation of an offer to buy, or an offer to sell securities nor should the information be relied upon as investment advice. Past performance is no guarantee
of future results. The BMO Asset Management Market Neutral Global Equity Fund is available for Institutional investors only.
All Rights Reserved. ®”BMO (M-bar roundel symbol)” is a registered trademark of Bank of Montreal, used under licence.CYBER-SECURITY
IN HIGHER EDUCATION:
Mobilizing to respond
Highlights from the CAUBO/CUCCIO Workshop held in
Montreal, November 30 and December 1, 2017
M 1.
ore than 120 members from Education and awareness is Internal security breaches are generally
over 50 institutions participated one of the best and most cost accidental, not malicious, but the effect
in this interactive workshop effective ways to protect your is just as devastating.
featuring speakers from the legal, security, institution against intentional
and communications fields as well as case and unintentional data breaches. Mandator y t raining is essential in
studies presented by institutions who have promoting fraud awareness and IT
experienced cyber-security breaches. The The main types of cyber-threats include security. User education and awareness
workshop was organized around the phishing (spoof emails designed to fool you is the most cost-effective and impactful
premise that the main question is no into providing data), spear phishing (using solution to preventing breaches. In many
longer if your institution will be faced an infected attachment to gain access to instances, existing resources, techniques,
with a breach, but rather whether it is your systems), malware (predatory software and strategies can be leveraged. User
ready to respond effectively when it does. that installs itself on your computer or education and awareness has been found
As attested by the diverse make-up of network), and ransomware (locks your to reduce the overall click-open rate
the workshop participants interested in computer and requires you to pay a ransom on phishing emails by half (currently
this issue, cyber-security is not just an to regain access). Personal information and 41% of phishing email attempts are
information technology (IT) issue, but research data are the targets. successful). Education, training and
an institutional one. Thus, responding to awareness of cyber-crime, how it is
breaches demands an institutional effort. Phishing attempts are the doorway executed, and its impact on institutions
through which most cyber-at tacks should be constantly rein forced by
Here are five main takeaways from the take place, so it is important to be able sharing current and real situations, and
workshop. We hope these will be helpful to detect them successfully. Report all through targeting all members of the
as your institution plans and implements phishing attempts, so others in your institutional community (i.e., faculty,
its response plan. organization are made aware of the threat. staff, and students).
Click HERE to return to TABLE OF CONTENTS UNIVERSITY MANAGER • Spring 2018 11Phishing simulations can be used not have a response plan in place. Communications require more than a
effectively as training, if framed correctly Some universities use their emergency spokesperson. As part of your response
and positively to help people become operations group to respond to a breach, plan, template messages can be created
proficient at identifying threats. It is but a business continuity group may ahead of time so that communications
important not to shame individuals who make more sense, depending on your staff can react appropriately and quickly
click on these fake emails. Rather, educate organizational structure. in a breach situation. Create appropriate
entire teams without naming names, and messages for each stakeholder group
encourage people to share successes. Consider signing contracts with third- to avoid in formation overload and
party consultants (cyber-forensics communications errors. In the event of
Promote a security mindset across specialists, lawyers, insurance providers) a breach, the first message sent should
the institution to effectively deal with in advance if you have concerns about your be notification to those affected.
cyber-crime. Senior leadership should capacity to respond to a breach internally.
3.
spearhead this effort to ensure staff Among others, many institutions retain You need a policy, but you also
members are aware that security is the services of a lawyer to act as their need guidelines, procedures,
everyone’s responsibility. “breach coach.” and metrics.
2.
Respond quickly and effectively Run tabletop exercises regularly to Your institution needs policies about
to a breach: Have a plan and be ensure your plan works well and adapt data use, computer and network use,
ready to execute it. as needed. In addition, IT staff can also and so forth to combat cyber-crime.
run technical tests (i.e., penetration However, having a policy in place
Being prepared and building the right tests, net work scans, etc.), perform without the necessar y g uidance to
team is essential to a quick, competent risk assessments (both external and support the policy, actually establishes
response. Despite best efforts, breaches internal), and maintain an organization- liability. Guidelines, procedures, and
will happen. The results will be much wide threat catalogue to help ensure an controls should also be in place to
more costly if your institution does effective response. support those policies.
“Promote a security mindset across the institution to effectively deal with
cyber-crime. Senior leadership should spearhead this effort to ensure
staff members are aware that security is everyone’s responsibility.”
Empowering Universities | Enhancing Building Performance
We are Stuart Olson. A construction company recognized for
our unique approach to doing business. Stuart Olson helps you
uniquely differentiate your university by making it intelligently
connected, financially sound and environmentally proud.
Stuart Olson delivers confidence through a client-centered process
that ensures the highest quality of service. We are people creating
progress.
Mount Royal University Riddell Library and Learning Centre
stuartolson.com/cfbp
12 UNIVERSITY MANAGER • Spring 2018 Click HERE to return to TABLE OF CONTENTSUse a collaborative process to develop
the policy. It is a challenge to create a “Regularly dispose of old or unnecessary data in
workable policy and get buy-in from staff
and faculty. A good relationship between order to decrease the number of people affected
administration and unions is essential. All
those involved need to understand why
by a breach. Electronic records fall under the
structures are being put into place and same retention guidelines as paper records.”
how they will protect the institution. Bring
them into discussions rather than simply
informing them of the end results.
its response to the breach, including A breach can damage your institution’s
Higher education’s data security needs and what necessary prevention measures were reputation. Educate and remind staff
norms are industry-specific. Institutions in place. and faculty not to discuss a breach via
need to be responsive to stakeholder needs email, text, or social media, and to follow
while safely managing access to data. Use sol icitor- cl ient pr iv i lege to prescribed response processes. Provide
University culture promotes open access protect your institution. Universities correct and timely information to avoid
to information, but limitations are still are advised to involve their legal the spread of rumors.
required. Framing issues in terms of the team (internal and external) in their
need to ensure privacy, rather than data breach response process so that related In Canada, no entity is currently obligated
protection, may help faculty understand documents are protected under solicitor- to disclose a breach and may not even be
the aims of cyber-security policies. client privilege. Communications must required to inform the affected persons.
be explicitly for the purpose of seeking Revisions to the Personal Information Protection
Get the correct governance structures legal advice about response to the and Electronic Documents Act (PIPEDA) will
into place. This is instrumental to creating breach. However, institutions must also change this for the private sector next spring.
and enforcing policies, protocols, and be careful not to claim privilege for a Although universities are not affected, there
guidelines. One option is a cyber-security document that must be generated for are many valid legal reasons to notify people
council with representation from areas such other purposes. of a breach, including the court of public
as audit, IT, legal, the CIO’s office, staff opinion. In the long run, it may be better for
relations, campus police, etc. Regularly dispose of old or unnecessary an institution’s reputation to disclose.
data in order to decrease the number of
Consider asking departments to create people affected by a breach. Electronic
guidelines, standards, and procedures records fall under the same retention
A liability to-do list:
in support of your policy. You want to guidelines as paper records.
• Create, update, and test an incident
make it easy for people to get it right, so
response plan before you need it.
the standards should be relevant to what Determine who must be notified and
• Review privacy policies and
they do. do so as quickly as possible, then
consent forms for anything that
conduct a full investigation. The timing
looks like a promise to keep data
Measure and track how things are going, of a breach response may be scrutinized
safe, as this may lead to liability.
and set goals for future achievement. by authorities. Effective preparation
• Review vendor and partner
This data will help show your Board and and response (such as prompt and
contracts to determine what the
leadership where progress is being made comprehensive notification notices) can
consequences will be in the event
and where further work may be needed. help avoid or mitigate liability, while
of a breach on either side.
Examples of metrics include number of a poor response can lead to additional
• Put risk transfer measures such
incidents, threat levels of those incidents, liability or punitive damage awards by
as contracts and cyber-insurance
and types of risk. Metrics can also be used the courts.
into place.
to demonstrate the need for policies and
• Ensure your policies and procedures
procedures in the first place. Keep an eye on litigation trends. There
meet legal standards; this is a
is a growing body of individual-plaintiff
4.
moving target, so be vigilant.
Legal liability is a major court cases where people affected by a
• Set up protocols regarding legal
concern: Integrate your legal breach have successfully sued and been
role (privilege) in vendor contracts,
team into all cyber-security compensated for damages (awards in the
cyber-security assessments, and
measures and plans. low thousands of dollars). This has led
incident response plans.
to a wave of class-action suits, though
• Meet privacy requirements.
Do your due diligence. The law does not none has gone to trial and may ever do
• Purge information that is no
expect perfection, and a cyber-security so. Remember, if a breach is addressed
longer needed.
breach does not equal liability. However, quickly and effectively, it can drastically
an institution will be evaluated based on reduce the risk of litigation.
Click HERE to return to TABLE OF CONTENTS UNIVERSITY MANAGER • Spring 2018 135.
Universities find it challenging Cultivate trusted networks and information shared in recorded formats
to share information about communities that provide an increased should be carefully worded to avoid
cyber-crime, but there are many level of comfort and a recognition of the liability. On-boarding for those new to
benefits to doing so, if done context in which such information exists. the protocol has also been suggested.
correctly and safely. The CUCCIO IT and Information Security
(IS) Special Interest Group (SIG) and the CIO As a collective, universities must try to
Cyber-incidents are a “public health group are two existing communities where change their mindset that cyber-incident
risk” to universities, which have many information-sharing is already taking place. information is proprietary and should
common systems, services, and practices. never be shared. Our institutions are being
A threat to one is a significant probability A version of the Traffic Light Protocol studied and information is being shared by
at others. This speaks strongly to the need has been proposed by the Security SIG to criminals; by not sharing with one another,
for mutual communication and disclosure, share information about cyber-security we do ourselves a disadvantage.
but institutional culture makes many threats and breaches. A designation of red
universities wary. (for recipient’s eyes only), amber (share Sharing information among institutions
on a need-to-know basis), green (share can promote more effective preparation,
Sharing information helps institutions among institutional members), or white prevention, and response to cyber-
assess the efficacy of their processes, (share publicly) is attached to information security breaches. There is a need to shift
re-assess threats, and ensure effective shared with another group member. away from the current mindset at many
IT practices are in place, but university This protocol is currently being used by universities that such information should
administrators must be convinced that the the SIG. Information can be shared by remain confidential, towards a culture of
benefits outweigh any potential liability or modes other than email so as to leave no trust and interchange within the higher
reputational issues. paper trail in the event of litigation. Any education community.
Two great brands. Deux grandes marques.
One global business rental solution. Une solution d’affaires à l’échelle mondiale.
As your preferred provider, we offer CAUBO institutional and affiliate members À titre de fournisseurs préférentiels de l’ACPAU nous offrons à ses membres
two great car rental options with the service, value and convenience from brands institutionnels et affilés deux grands choix en matière de location de voitures,
they’ve come to know and trust. assortis de service, de valeur et de commodité qu’ils connaissent et auxquels ils
font confiance.
National Car Rental has long been favored by frequent renters at airports for
speed and vehicle choice. Enterprise Rent-A-Car is the first choice for travellers Les voyageurs aériens assidus préfèrent la rapidité de service et les choix de
who need to rent near their home or office. véhicules que leur offre Location d’autos National tandis que les voyageurs qui
louent à proximité de leur résidence ou de leur bureau font de Location d’autos
For more information, visit www.caubo.ca/supplier_contracts/car_rentals
Enterprise leur premier choix.
Or contact:
Afin d’obtenir plus d’information, consulter
Melanie Smith
www.caubo.ca/supplier_contracts/car_rentals
Melanie.L.Smith@ehi.ca
(613) 266-8770 Ou veuillez communiquer avec:
Melanie Smith
Melanie.L.Smith@ehi.ca
(613) 266-8770
National, National Car Rental, Emerald Club and the flag are trademarks of Vanguard Trademark Holdings, USA LLC. Enterprise and the “e” logo are trademarks of Enterprise Holdings, Inc. © 2016 Enterprise Holdings, Inc. I00038 08.17
14 UNIVERSITY MANAGER • Spring 2018 Click HERE to return to TABLE OF CONTENTS50% of students say that campus dining plays an important role
in their decision to attend a university. Fortunately, we know
what today’s students are looking for, so we deliver authentic
recipes filled with fresh, sustainable and organic foods as well
as vibrant dining environments to transform your campus into
the campus of your students’ dreams. WE DREAM. WE DO.
For more information contact Rob McNern at mcnern-rob@aramark.ca or 416.255.6131 ext 3447
Learn more at aramark.com/highered
© Aramark 2016. All rights reserved.LA CYBERSÉCURITÉ
EN MILIEU UNIVERSITAIRE :
mobilisation et intervention
Faits saillants de l’atelier de l’ACPAU et du CDPIUC-CUCCIO
tenu à Montréal les 30 novembre et 1er décembre 2017
P 1.
lus de 120 membres provenant de L’information et la Les tentatives d’hameçonnage sont
plus de 50 établissements ont pris sensibilisation sont les outils les les cyberattaques les plus courantes :
part à cet atelier interactif donné plus efficaces et les plus il est donc important de pouvoir les
par des conférenciers issus des secteurs du rentables pour protéger un détecter. Signalez toutes les tentatives
droit, de la sécurité et des communications établissement contre les d’hameçonnage afin que vos collègues
ainsi que d’établissements qui ont été violations volontaires soient au courant de la menace. Les
victimes d’intrusion. On partait du et involontaires de données intrusions internes sont généralement
postulat qu’il n’est plus actuel de se accidentelles et involontaires, mais leurs
demander si votre établissement sera Les principales cybermenaces sont conséquences sont tout aussi graves.
la proie d’une intrusion – car il le sera, l’ hameçonnage (courriels frauduleux
mais qu’il faut plutôt se demander s’il est conçus pour vous pousser à dévoiler des Une formation obligatoire est primordiale
prêt à intervenir efficacement lorsqu’une données confidentielles), le harponnage pour la sensibilisation à la fraude et à
intrusion aura lieu. La provenance (usage d’une pièce jointe malveillante la sécurité des TI. L’information et la
diversifiée des participants prouve que pour accéder à vos systèmes), les logiciels sensibilisation des usagers constituent la
la cybersécurité n’est pas qu’une affaire malveillants (logiciels prédateurs qui solution la plus rentable et la plus efficace
de TI : elle concerne l’établissement s’installent sur votre ordinateur ou pour prévenir les intrusions. Dans bien
au complet et exige donc des efforts à votre réseau) et les logiciels rançonneurs des cas, il existe déjà des ressources, des
l’échelle institutionnelle. ( log ic iel s qu i ve r rou i l le nt vot r e techniques et des stratégies qui peuvent être
ordinateur et exigent le paiement mises à profit. La recherche a montré que
Voici cinq grandes conclusions tirées de d’une rançon pour en récupérer l’accès). l’information et la sensibilisation des usagers
l’atelier. Nous espérons qu’elles aideront Les pirates visent, par ces méthodes, à réduisent de moitié le taux de clics global
votre établissement à préparer et à mettre obtenir des renseignements personnels dans les courriels d’hameçonnage (à l’heure
en œuvre son plan d’intervention. et des données de recherche. actuelle, 41 % des tentatives d’hameçonnage
16 UNIVERSITY MANAGER • Spring 2018 Click HERE to return to TABLE OF CONTENTSpar courriel réussissent). L’information, la
formation et la sensibilisation au sujet de « Une culture de la sécurité dans l’ensemble
la cybercriminalité, de son fonctionnement
et de ses effets sur les établissements de l’établissement permet de contrer la
devraient constamment être améliorées par
le dévoilement de cas réels et actuels à tous
cybercriminalité. Les membres de la direction
les membres de l’établissement (c.-à-d. aux devraient être les premiers à favoriser une
professeurs, au personnel et aux étudiants).
telle culture pour que le personnel comprenne
Les simulations avec de faux courriels
d’hameçonnage peuvent servir
bien que la sécurité concerne tout le monde. »
efficacement à la formation si elles sont
bien encadrées et constructives, de façon à
3.
aider les usagers à développer leur aptitude Une entente cont ractuelle avec des Il faut des politiques, mais
à détecter les menaces. Il est important de c o n s u l t a n t s e x t e r n e s (dé t e c t ive s aussi des lignes directrices, des
ne pas humilier les usagers qui ont cliqué spécialisés en crimes informatiques, procédures et des indicateurs
dans les faux courriels d’hameçonnage. Il avo c at s, a s su r e u r s) p e ut s’avé r e r
faut plutôt informer toute l’équipe, sans judicieuse si vous doutez de vot re Vot re établissement a besoin de
nommer qui que ce soit, et encourager les capacité à gérer à l’interne une situation p ol it ique s s u r l’ut i l i s at ion de s
membres à raconter leurs bons coups. d’intrusion. Bon nombre d’établissements don nées, des ordinateu rs et des
retiennent entre autres les services d’un réseaux, entre autres, pour contrer
Une culture de la sécurité dans l’ensemble avocat pour obtenir des conseils en les crimes informatiques. Cependant,
de l’établissement permet de contrer matière d’intrusion. s a n s e n c ad r e m e n t adé q u at, l e s
la cybercriminalité. Les membres de la politiques peuvent aussi engendrer
direction devraient être les premiers à L’exécution périodique d’exercices de la responsabilité de l’institution. Il
favoriser une telle culture pour que le simulation permet de mett re vot re faut établir des lignes directrices, des
personnel comprenne bien que la sécurité plan à l’essai et de vous adapter au procédures et des mesures de contrôle
concerne tout le monde. besoin. De plus, le personnel des TI peut afin d’appuyer lesdites politiques.
effectuer des essais techniques (tests de
2.
Pour intervenir rapidement et pénétration, analyses de réseau, etc.), L’élaboration des politiques doit se
efficacement en cas d’intrusion, mener des évaluations des risques faire de façon collaborative. C’est un
il faut avoir un plan et être prêt (internes et externes) et tenir un registre défi que de créer une politique viable
à l’exécuter des menaces pour tout l’établissement en et d’obtenir l’adhésion du personnel
vue d’intervenir efficacement. et du corps professoral. Une bonne
Une bonne préparation et une équipe relation entre l’administration et les
solide sont les éléments essentiels d’une La communication exige plus qu’un syndicats est primordiale. Chacun doit
intervention rapide et habile. Les plus por te -pa role. Créez à l’ava nce des savoir pourquoi ces structures sont
grands efforts n’empêcheront pas les modèle s de me s s age pou r que le m ises en place et com ment elles
intrusions, et les conséquences seront personnel des communications soit en protègeront l’établissement. Faites
beaucoup plus lourdes si votre établissement mesure de réagir convenablement et participer les usagers au dialogue plutôt
ne s’est pas doté d’un plan d’intervention. rapidement en cas d’intrusion. Créez que de vous contenter de les informer du
Certaines universités font appel à leur des messages adaptés à chaque groupe fait accompli.
groupe des opérations d’urgence pour concerné afin d’éviter la surinformation
intervenir en cas d’intrusion, mais une et les erreurs de communication. En Les besoins et les normes en matière
équipe chargée de la continuité des activités cas d’intrusion, le premier message à de sécurité des données dans le secteur
pourrait s’avérer plus pertinente, selon envoyer devrait être une notification aux universitaire sont propres à ce secteur.
votre structure organisationnelle. personnes touchées. Les établissements doivent répondre
« Créez à l’avance des modèles de message pour que le personnel
des communications soit en mesure de réagir convenablement et
rapidement en cas d’intrusion. Créez des messages adaptés à chaque
groupe concerné afin d’éviter la surinformation et les erreurs de
communication. »
Click HERE to return to TABLE OF CONTENTS UNIVERSITY MANAGER • Spring 2018 17aux besoins des groupes concernés tout peuvent être le nombre d’incidents, la nombre de victimes en cas d’intrusion.
en gérant l’accès aux données de façon gravité de la menace posée et les types de Les docu ments élect ron iques sont
sécuritaire. La culture universitaire risques. Vous pouvez aussi avoir recours soumis aux mêmes lignes directrices de
encourage le libre accès à l’information; à des indicateurs pour démontrer la conservation que les documents papier.
il faut cependant fixer des limites. En nécessité fondamentale d’établir des
les présentant comme une mesure politiques et des procédures. Dé ter m i nez dès que possible les
de protect ion des ren seig nements personnes à aviser, puis effectuez une
4.
personnels plutôt que des données, La responsabilité juridique enquête complète. Les autorités pourraient
vou s ferez comprend re au cor ps est un enjeu de taille : faites p or te r u ne at te nt ion pa r t ic u l iè r e
professoral les objectifs des politiques participer votre équipe à la rapidité de l’intervention. Une
de cybersécurité. d’avocats à la préparation préparation et une intervention efficaces
de tous les plans et mesures (p. ex. l’envoi rapide de notifications
Établissez les bonnes structures de de cybersécurité dé t a i l l é e s) p e uve n t p r é ve n i r o u
gouvernance. Elles jouent un rôle clé atténuer la responsabilité, tandis qu’une
dans la création et l’application des Faites preuve de diligence raisonnable. intervention insuffisante peut engager
politiques, des protocoles et des lignes La loi ne demande pas la perfection, et une responsabilité supplémentaire, voire
directrices. Une option intéressante une intrusion informatique n’engage entraîner une condamnation à payer des
serait la mise sur pied d’un conseil de la pas nécessairement votre responsabilité. dommages-intérêts punitifs.
cybersécurité composé de représentants Cependant, votre établissement sera
provenant des services de la vérification jugé selon sa réaction à l’intrusion, et Surveillez les tendances en matière
interne, des TI, des services juridiques, selon les mesures de prévention qu’il de poursuites. De plus en plus de
du bureau du dirigeant principal de avait préalablement établies. particuliers touchés par une intrusion
l’information, du comité des relations intentent des poursuites et obtiennent
de travail, du service de sécurité du Protégez vot re établissement avec une indemnisation pour le préjudice
campus, etc. le secret professionnel de l’avocat. qu’ils ont subi (quelques milliers de
Il est conseillé aux universités de dollars). Ce phénomène a entraîné une
Les départements peuvent contribuer faire intervenir leur équipe d’avocats vague de recours collectifs, bien que ces
à créer des lignes direct rices, des (interne et externe) dans le processus causes n’aient pas été entendues devant
no r me s e t de s p r o cédu r e s pou r d’intervention en cas d’intrusion afin les tribunaux et qu’elles ne le seront
appuyer vot re pol it ique. Si vous que les documents concernés soient peut-être jamais. N’oubliez pas qu’une
voulez que celle-ci soit bien comprise protégés par le secret professionnel intervention rapide et efficace réduit
par vos collègues, demandez-leur de de l’avo c at. L e s com mu n ic at ion s considérablement le risque de poursuites.
participer à l’élaboration des normes qui doivent être destinées expressément à
les concernent. l’obtention de conseils juridiques sur Une intrusion peut porter atteinte à
l’intervention face à l’intrusion. Par la réputation de votre établissement.
Mesurez et suivez l’évolution des contre, les établissements doivent être Rappelez au person nel et au corps
progrès, et fixez les objectifs à atteindre. soucieux de ne pas invoquer ce secret professoral de ne pas mentionner les cas
Vous pourrez présenter ces données à professionnel dans le cas d’un document d’intrusion par courriel, par message texte
votre conseil d’administration et à vos ayant d’autres fins. ou sur les médias sociaux, et de suivre les
cadres pour leur indiquer les secteurs processus d’intervention établis. Assurez
qui progressent et ceux qui exigent plus Éliminez régulièrement les données une communication exacte et rapide pour
d’attention. Les indicateurs à employer périmées ou inutiles afin de réduire le éviter la propagation de rumeurs.
« Éliminez régulièrement les données périmées ou inutiles
afin de réduire le nombre de victimes en cas d’intrusion.
Les documents électroniques sont soumis aux mêmes lignes
directrices de conservation que les documents papier. »
18 UNIVERSITY MANAGER • Spring 2018 Click HERE to return to TABLE OF CONTENTSÀ l’heure actuelle, au Canada, aucune
entité n’est tenue de dévoiler les « La communication d’information entre
cas d’intrusion, voire d’en informer
les victimes. Ce ne sera plus le cas au établissements favorise une préparation, une
printemps dans le secteur privé après la prévention et une intervention efficaces pour
modification de la Loi sur la protection des
renseignements personnels et les documents contrer les violations de la sécurité. »
électroniques (LPRPDE). Les universités ne
seront pas visées par cette modification,
mais il existe de nombreuses bonnes
5.
raisons d’informer vos usagers d’une Les universités hésitent à en vue du partage d’information sur
intrusion, notamment le maintien de votre diffuser des renseignements sur les cybermenaces et les violations de la
réputation devant l’opinion publique; à les crimes informatiques, sécurité. Les renseignements transmis
long terme, il peut s’avérer judicieux de mais elles y trouveront leur à un autre membre du groupe sont
signaler les cas d’intrusion. compte pourvu qu’elles le désignés rouge (strictement réservés
fassent de façon adéquate au destinataire), ambre (à dévoiler
et sécuritaire sélectivement), vert (à diffuser parmi
Liste des tâches pour limiter les membres de l’établissement) ou blanc
la responsabilité en cas d’incident : Les cyberincidents const it uent un (à diffuser à la population). Ce protocole
• Créer, actualiser et mettre à l’essai « risque de santé publique » pour est actuellement appliqué par le groupe
un plan d’intervention avant d’en les universités, qui ont de nombreux d’intérêt spécial. L’information peut
avoir besoin. systèmes, ser vices et prat iques en être communiquée par des moyens
• Rechercher dans les politiques sur c o m m u n . L o r s q u’u n e u n i ve r s i t é autres que le courriel de façon à ne pas
les renseignements personnels est menacée, d’autres le seront fort laisser de trace en cas de poursuite. Les
et dans les formulaires de probableme nt au s si. Cel a mont r e informations transmises et enregistrées
consentement tout passage clairement le besoin de communication et doivent être soigneusement formulées
pouvant être considéré comme un de divulgation entre les établissements, afin d’éviter toute responsabilité. Il a
engagement à protéger des données mais en raison de leur culture intrinsèque, aussi été suggéré d’initier au protocole
et pouvant ainsi établir votre b eaucoup d’u n iversités demeu rent les usagers qui ne le connaissent pas.
responsabilité. méfiantes à cet égard.
• Examiner les ententes conclues avec Les universités, dans leur ensemble,
les fournisseurs et les partenaires La divulgation d’information aide les doivent tenter de faire évoluer leur
pour déterminer les conséquences établissements à évaluer l’efficacité de mentalité selon laquelle l’information
d’une intrusion perpétrée chez l’une leurs processus, à réévaluer les menaces concer na nt un cyberi ncident leur
ou l’autre des parties. et à vérifier que de bonnes pratiques appartient en propre et ne devrait
• Adopter des mesures de transfert sont en place pour les TI, mais encore jamais être dévoilée. Les criminels
du risque, comme des contrats et faut-il convaincre les administrateurs des qu i s c r ute nt no s é t abl i s s e me nt s
des cyberassurances. universités que les bienfaits l’emportent di ff usent cet te i n for mat ion ent re
• Vérifier que vos politiques et sur les questions de responsabilité eux; en omettant de la partager entre
procédures respectent les normes potentielle ou d’atteinte à la réputation. nous, nous nous plaçons dans une
juridiques; il est important d’être fâcheuse position.
vigilant, car ces dernières évoluent. Bâtissez des réseaux et des communautés
• Établir des protocoles concernant dignes de confiance, où le contexte de La communication d’information entre
le rôle ou le privilège juridique la sécurité des données est reconnu. Le établissements favorise une préparation,
dans les contrats conclus avec les groupe des dirigeants principaux de une prévention et une intervention
fournisseurs, les évaluations de l’information et le groupe d’intérêt spécial efficaces pour contrer les violations
l’état de la cybersécurité et les plans sur la sécurité des TI et des systèmes de la sécurité. Il faut cesser de penser,
d’intervention en cas d’incident. d’information du CDPIUC-CUCCIO sont comme on le fait dans de nombreuses
• Respecter les exigences de protection des communautés où l’on s’échange déjà universités, que l’in formation doit
des renseignements personnels. des renseignements. demeurer con fidentielle, et plutôt
• Éliminer les données qui ne sont favoriser une culture de la confiance
plus nécessaires. Une version du protocole TLP (Traffic et d’échanges réciproques dans la
Light Protocol) a été proposée par le c o m mu n aut é de l’e n s e ig n e m e n t
groupe d’intérêt spécial sur la sécurité supérieur.
Click HERE to return to TABLE OF CONTENTS UNIVERSITY MANAGER • Spring 2018 19THE POWER OF DISCIPLINED INVESTING ®
Integrating Public + Private Markets Since 1988
Celebrating 30 years of providing innovative multi-asset solutions
with global capabilities to our investment partners.
FP4c
Greystone
#19
Multi-Asset Alternatives Private Debt Fixed Income Public Equities
Looking for a Multi-asset Class Solution Investment Partner?
Sean Collins, CFA 416.309.2183
Senior Vice-President, Institutional Relationships sean.collins@greystone.ca
Greystone.ca
This advertisement is for informational purposes only, is not meant as specific investment advice and is not a recommendation to buy or sell any
particular security. Past performance is not indicative of future results. Commentary and investment capabilities reflected represent the opinions
of Greystone Managed Investments Inc. at the date of this advertisement and was developed from sources that Greystone believes to be reliable.
Greystone is a registered portfolio manager, exempt market dealer and investment fund manager.
Copyright © Greystone Managed Investments Inc. All rights reserved.Think Lean… think continuous improvement
Any misconception that a Lean approach and empowering them to make change; workshop. They were excited by the
is limited to manufacturing is quickly ii) understanding the current process and building blocks of Lean and their potential.
dispelled by shining a light on initiatives needs of the customers/clients/students; But would Lean fit with McGill’s culture?
at universities such as Waterloo, Carleton, iii) identifying ways to improve the If so, how? To answer those questions,
and McGill. Despite its roots in the Toyota process by adding steps that add value and McGill decided to consult a number of other
Production System, Lean is finding traction removing steps that do not; iv) measuring universities that were either just starting
at Canadian post-secondary institutions in the impact of the changes made; and to use Lean or had already been using the
many shapes and forms. v) sharing and building on successes. process in some shape or form.
“Today, we are increasingly moving away In the early 2010s, the situation at McGill Carleton University is among the institutions
from the term Lean toward the term provided fertile ground for Lean to take that decided to explore Lean in 2009, as
continuous improvement,” notes Jarrod root. Budgetary and legislative constraints early adopters in higher education. Melanie
Nichol, Continuous Improvement Program introduced by the Province of Quebec Dow, a Quality Advisor with Carleton’s
Manager at McGill University’s Faculty were prompting a rethinking of existing Office of Quality Initiatives, was involved
of Medicine and one of several presenters operating models at the university to with the institution’s early Lean Process
on Lean in higher education at the 2018 protect its academic standing. “We Review pilot projects. The introduction of
CAUBO Annual Conference. “All the couldn’t continue to operate the way we Lean Process Review at Carleton in 2009
methods related to Lean share a common were operating,” says Nichol. benefited from the support by then Vice-
purpose: to get better at what you do.” President of Finance and Administration
McGill initiated extensive internal Duncan Watt, whose office provided the
What Lean brings to the table is a systematic consultation with executive management, resources to hire an outside consultant to
approach to reaching that goal, based advisory committees, and staff. Among this support staff in learning about Lean Process
on several core principles: i) bringing group were a few staff members who had Review and its benefits. Over the years,
together people involved in a process recently returned from a Lean awareness Carleton’s approach to Lean Process Review
has grown under the oversight and guidance
of a cross-functional Organizational
“All the methods related to Lean share Excellence Steering Committee (OESC). “The
committee includes a really good mix of
a common purpose: to get better at people from across the university, including
academics, who provide important guidance
what you do.” and feedback,” says Dow.
Click HERE to return to TABLE OF CONTENTS UNIVERSITY MANAGER • Spring 2018 21Vous pouvez aussi lire
