La sécurité c’est l’affaire de tous !
La Politique provinciale sur la sécurité de l'information a été adoptée par le ministère de la Santé et des Services sociaux en mars 2015 et confère aux organismes de nouvelles obligations en matière de sécurité de l'information, de protection des renseignements personnels et de respect de la vie privée.
Les organismes publics sont dans l’obligation d'adopter et de mettre en œuvre une politique de sécurité de l'information, de la maintenir à jour et d'en assurer l'application.
Mission
Le Service de cybersécurité assure la protection des renseignements et des actifs informationnels de l’établissement. Il agit à titre de fonction stratégique et opérationnelle en matière de gouvernance, de gestion intégrée des risques liés aux technologies de l’information et de sécurité des environnements technologiques. Il soutient les directions et les équipes afin de maintenir un environnement numérique sécuritaire, résilient et pleinement conforme aux exigences réglementaires du réseau de la santé.
Priorités stratégiques :
Gouvernance et conformité
- Assurer le respect des exigences légales et réglementaires applicables (Loi 25, Loi 3, Loi 5, ÉFVP, exigences MSSS, TGV).
- Intégrer les exigences de cybersécurité dès la planification, l’acquisition et le déploiement des solutions numériques.
Gestion intégrée des risques
- Mettre en place une approche structurée d’analyse des risques technologiques et numériques.
- Analyser les risques liés aux actifs informationnels, aux projets et aux fournisseurs afin d’éclairer les enjeux associés.
- Définir et assurer le suivi des mesures d’atténuation adaptées aux niveaux de risque.
Sécurité opérationnelle
- Maintenir une surveillance continue des environnements numériques.
- Assurer la gestion des incidents de sécurité et des accès aux systèmes.
- Renforcer la résilience des systèmes afin d’assurer la continuité des services.
Culture organisationnelle en sécurité
- Sensibiliser et accompagner les équipes dans l’adoption de pratiques sécuritaires.
- Favoriser une utilisation sécuritaire des systèmes et des renseignements organisationnels.
- Promouvoir une culture organisationnelle proactive en matière de cybersécurité.
Tout utilisateur des actifs informationnels a l'obligation, tel que stipulé dans la Politique de sécurité de l'information du CIUSSS-EMTL (POL-024), de signaler immédiatement tout acte ou situation, dont il a connaissance, susceptible de constituer une violation réelle ou présumée des règles de sécurité, ainsi que toute anomalie pouvant nuire à la protection des actifs informationnels du CIUSSS-EMTL.
Quels incidents de sécurité de l'information doivent être déclarés ?
Tout incident qui compromet la disponibilité, l'intégrité ou la confidentialité des informations détenues par le CIUSSS-EMTL, tel que:
- Atteinte à la sécurité physique (accès non-autorisé à des installations informatiques);
- Code malicieux (infection d'un poste de travail par un virus);
- Comportement inapproprié (accès à un dossier patient sans que ses tâches le justifient);
- Cyberattaque (déni de service, intrusion dans un système);
- Dysfonctionnement technologique (arrêt d'une application, équipement de télécommunication, réseau);
- Vol ou perte d'information (ordinateur portatif, clé USB, disque externe).
Vous pouvez consulter la Politique de gestion des incidents de sécurité de l'information (POL-061) pour de plus amples informations.
Signaler un incident
Vous êtes témoin ou victime d'un incident qui n'apparaît pas dans la liste ci-dessus, mais vous croyez qu'il s'agit d'un incident de sécurité de l'information? N'hésitez pas et signalez-le.
Pour signaler un incident, faites une requête Octopus puis faites les options suivantes : Sécurité de l'information > Déclaration ou signalement
Pour une assistance immédiate, vous pouvez contacter l'équipe de soutien informatique par téléphone au 5656 (de l'externe, numéro de vote installation suivi du 5656).
RÉPERCUSSIONS D’UN INCIDENT
Un incident de sécurité de l’information peut avoir de nombreux impacts sur notre la clientèle, les membres du personnel et le CIUSSS-EMTL lui-même. Voici une liste non exhaustive d’impacts possibles :
- Vol d’identité ;
- Bris de confidentialité (informations confidentielles dans les mains de personnes mal intentionnées, de personnes non autorisées) ;
- Vie du patient (surtout si des systèmes d’information critiques ne sont pas disponibles, informations non fiables pourraient mener à un mauvais diagnostic) ;
- Réputation du CIUSSS-EMTL, celle du réseau de la santé et du Gouvernement du Québec serait entachée.
Ces renseignements se doivent d’être protégés par différentes mesures de protection (physique, technique et administrative) afin de respecter les différentes législations, de mettre en application les politiques, procédures, mesures de protection ainsi que les bonnes pratiques en sécurité de l’information.
La sécurité c’est l’affaire de tous !
Notes de service | 2023
- Mars 2023 - Cybersécurité - Sécurité de vos mots de passe
- Mars 2023 - Cybersécurité - Mise à jour critique sur les ordinateurs du CIUSSS-EMTL en télétravail
- Février 2023 - Cybersécurité - Retrait de l'application TikTok sur les appareils mobiles (tablette, téléphone intelligent) gérés par notre établissement
Notes de service | 2022
- Novembre 2022 - Cybersécurité - mission possible !
- Octobre 2022 - Mois de la cybersécurité
- Mai 2022 - Cybersécurité - Remplacement du logiciel antivirus sur votre poste de travail
- Mars 2022 - Cybersécurité - Chiffrement des courriels
- Mars 2022 - Cybersécurité - Hameçonnage usurpant l'image de "Poste Canada"
- Mars 2022 - Cybersécurité : mission possible !
- Janvier 2022 - Cybersécurité - Situation politique en Ukraine
Notes de service | 2021
- Décembre 2021 - Cybersécurité - Hameçonnage et temps des fêtes
- Octobre 2021 - Dernier rappel - Retrait de l'application Pulse Secure le 1er novembre 2021
- Octobre 2021 - Mois de la cybersécurité
- Septembre 2021 - Rappel - Retrait de l'application Pulse Secure le 1er novembre 2021
- Août 2021 - Cybersécurité - Affichage de mot de passe
- Juillet 2021 - Cybersécurité - Rappel des bonnes pratiques afin de réduire les risques de cyberattaque
- Juin 2021 - Cybersécurité - Protection des documents sensibles par mot de passe
- Janvier 2021 - Blocage de la redirection automatique des courriels Office 365
Notes de service | 2020
- Octobre 2020 - Mois de la cybersécurité
- Octobre 2020 - Logiciel malveillant - Emotet
- Septembre 2020 - Rançongiciel - Hausse des cyberattaques
- Juin 2020 - Alerte : Rançongiciel "Snake"
- Février 2020 - Sécurité des messages textes avec un cellulaire
- Février 2020 - Rappel - Politique d'utilisation de l'infonuagique publique (POL-059)
- Février 2020 - Coronavirus (2019-nCoV) - Vecteur de propagation de logiciels malveillants
Notes de service | 2019
- Novembre 2019 - Intranet - Section "Sécurité de l'information"
- Novembre 2019 - Hameçonnage - Soyez prudent !
- Octobre 2019 - Mois de la cybersécurité
Capsules d'information
À venir
Nous joindre
| Nom | Titre d'emploi | Coordonnées | Adresse |
|---|---|---|---|
| Richard Veilleux | Chef de la sécurité de l'information organisationnelle (CSIO) Chef de service – Cybersécurité | 514-252-6464 poste 79317 | 7401, rue Hochelaga – pav. Lahaise, Aile 507 Montréal (Québec) H1N 3M5 |
| Olivier Sylvain Tine | Coordonnateur organisationnel des mesures de sécurité de l'information (COMSI) | 514 252-3400, poste 1435 | Pavillon Rosemont, Local RM-5328 |
Déclarer un incident – Octopus
Tout incident réel ou présumé de sécurité de l’information doit être déclaré sans délai.
Créer une requête dans Octopus.
- Sélectionner : Sécurité de l’information → Déclaration ou signalement.
- Pour une assistance immédiate : contacter le soutien informatique au 5656 (de l’externe : numéro de votre installation suivi de 5656).
Il est préférable de signaler une situation douteuse que de ne pas intervenir.