La sécurité c’est l’affaire de tous !
La Politique provinciale sur la sécurité de l'information a été adoptée par le ministère de la Santé et des Services sociaux en mars 2015 et confère aux organismes de nouvelles obligations en matière de sécurité de l'information, de protection des renseignements personnels et de respect de la vie privée.
Les organismes publics sont dans l’obligation d'adopter et de mettre en œuvre une politique de sécurité de l'information, de la maintenir à jour et d'en assurer l'application.
Le Centre intégré universitaire de santé et de services sociaux de l’Est-de-l’Île-de-Montréal (CIUSSS-EMTL) reconnaît la nécessité de protéger ses actifs informationnels par son Service de sécurité de l’information (SI). Celui-ci vise à protéger la disponibilité, l’intégrité et la confidentialité de cette information tout au long de son cycle de vie:
- Disponibilité: propriété d’une information d’être accessible en temps voulu et de la manière requise par une personne autorisée;
- Intégrité: propriété d’une information de ne subir aucune altération ou destruction de façon erronée ou sans autorisation et d’être conservée sur un support lui procurant stabilité et pérennité. L’intégrité fait référence à l’exactitude et à la complétude;
- Confidentialité: propriété d’une information d’être uniquement accessible aux personnes ou entités désignées et autorisées.
TYPES D’INFORMATIONS CONFIDENTIELLES
Le CIUSSS-EMTL détient de nombreuses informations confidentielles telles que :
- Renseignements personnels sur les usagers (nom, prénom, adresse, date de naissance, etc.);
- Renseignements cliniques sur les usagers (état de santé, résultat de laboratoire, imagerie médicale et notes au dossier ne sont que quelques exemples parmi une longue liste);
- Renseignements sur les employés (nom, prénom, numéro d’assurance sociale, date de naissance, etc.).
Mesures de protection
Pour assurer cette protection, la SI met en œuvre des mesures pour évaluer et réduire le risque posé par les vulnérabilités de l’information face à des menaces internes et externes telles que les virus informatiques, les attaques de pirates, les fuites d’information, les pannes de système et les erreurs de manipulation.
Voici quelques exemples de mesure de protection pour assurer la sécurité de l'information au sein de notre établissement:
- Administratives: politiques, procédures, entente de confidentialité, sensibilisation, système de gestion de la sécurité de l'information, classification des informations, etc.;
- Physiques: serrures, système de détection et d'extinction d'incendie, cartes magnétiques, caméras, barrières, clôtures, etc.;
- Techniques: pare-feu, logiciel antivirus, chiffrement des informations, contrôle d'accès logiques, redondance, copie de sécurité, etc.
Tout utilisateur des actifs informationnels a l'obligation, tel que stipulé dans la Politique de sécurité de l'information du CIUSSS-EMTL (POL-024), de signaler immédiatement tout acte ou situation, dont il a connaissance, susceptible de constituer une violation réelle ou présumée des règles de sécurité, ainsi que toute anomalie pouvant nuire à la protection des actifs informationnels du CIUSSS-EMTL.
Quels incidents de sécurité de l'information doivent être déclarés ?
Tout incident qui compromet la disponibilité, l'intégrité ou la confidentialité des informations détenues par le CIUSSS-EMTL, tel que:
- Atteinte à la sécurité physique (accès non-autorisé à des installations informatiques);
- Code malicieux (infection d'un poste de travail par un virus);
- Comportement inapproprié (accès à un dossier patient sans que ses tâches le justifient);
- Cyberattaque (déni de service, intrusion dans un système);
- Dysfonctionnement technologique (arrêt d'une application, équipement de télécommunication, réseau);
- Vol ou perte d'information (ordinateur portatif, clé USB, disque externe).
Vous pouvez consulter la Politique de gestion des incidents de sécurité de l'information (POL-061) pour de plus amples informations.
Signaler un incident
Vous êtes témoin ou victime d'un incident qui n'apparaît pas dans la liste ci-dessus, mais vous croyez qu'il s'agit d'un incident de sécurité de l'information? N'hésitez pas et signalez-le.
Pour signaler un incident, faites une requête Octopus puis faites les options suivantes : Sécurité de l'information > Déclaration ou signalement
Pour une assistance immédiate, vous pouvez contacter l'équipe de soutien informatique par téléphone au 5656 (de l'externe, numéro de vote installation suivi du 5656).
RÉPERCUSSIONS D’UN INCIDENT
Un incident de sécurité de l’information peut avoir de nombreux impacts sur notre la clientèle, les membres du personnel et le CIUSSS-EMTL lui-même. Voici une liste non exhaustive d’impacts possibles :
- Vol d’identité ;
- Bris de confidentialité (informations confidentielles dans les mains de personnes mal intentionnées, de personnes non autorisées) ;
- Vie du patient (surtout si des systèmes d’information critiques ne sont pas disponibles, informations non fiables pourraient mener à un mauvais diagnostic) ;
- Réputation du CIUSSS-EMTL, celle du réseau de la santé et du Gouvernement du Québec serait entachée.
Ces renseignements se doivent d’être protégés par différentes mesures de protection (physique, technique et administrative) afin de respecter les différentes législations, de mettre en application les politiques, procédures, mesures de protection ainsi que les bonnes pratiques en sécurité de l’information.
La sécurité c’est l’affaire de tous !
Notes de service | 2023
- Mars 2023 - Cybersécurité - Sécurité de vos mots de passe
- Mars 2023 - Cybersécurité - Mise à jour critique sur les ordinateurs du CIUSSS-EMTL en télétravail
- Février 2023 - Cybersécurité - Retrait de l'application TikTok sur les appareils mobiles (tablette, téléphone intelligent) gérés par notre établissement
Notes de service | 2022
- Novembre 2022 - Cybersécurité - mission possible !
- Octobre 2022 - Mois de la cybersécurité
- Mai 2022 - Cybersécurité - Remplacement du logiciel antivirus sur votre poste de travail
- Mars 2022 - Cybersécurité - Chiffrement des courriels
- Mars 2022 - Cybersécurité - Hameçonnage usurpant l'image de "Poste Canada"
- Mars 2022 - Cybersécurité : mission possible !
- Janvier 2022 - Cybersécurité - Situation politique en Ukraine
Notes de service | 2021
- Décembre 2021 - Cybersécurité - Hameçonnage et temps des fêtes
- Octobre 2021 - Dernier rappel - Retrait de l'application Pulse Secure le 1er novembre 2021
- Octobre 2021 - Mois de la cybersécurité
- Septembre 2021 - Rappel - Retrait de l'application Pulse Secure le 1er novembre 2021
- Août 2021 - Cybersécurité - Affichage de mot de passe
- Juillet 2021 - Cybersécurité - Rappel des bonnes pratiques afin de réduire les risques de cyberattaque
- Juin 2021 - Cybersécurité - Protection des documents sensibles par mot de passe
- Janvier 2021 - Blocage de la redirection automatique des courriels Office 365
Notes de service | 2020
- Octobre 2020 - Mois de la cybersécurité
- Octobre 2020 - Logiciel malveillant - Emotet
- Septembre 2020 - Rançongiciel - Hausse des cyberattaques
- Juin 2020 - Alerte : Rançongiciel "Snake"
- Février 2020 - Sécurité des messages textes avec un cellulaire
- Février 2020 - Rappel - Politique d'utilisation de l'infonuagique publique (POL-059)
- Février 2020 - Coronavirus (2019-nCoV) - Vecteur de propagation de logiciels malveillants
Notes de service | 2019
- Novembre 2019 - Intranet - Section "Sécurité de l'information"
- Novembre 2019 - Hameçonnage - Soyez prudent !
- Octobre 2019 - Mois de la cybersécurité
Capsules d'information
À venir
Nous joindre
| Nom | Titre d'emploi | Coordonnées | Adresse |
|---|---|---|---|
| Richard Veilleux | Chef de la sécurité de l'information organisationnelle (CSIO) Chef de service – Cybersécurité | 514-252-6464 poste 79317 | 7401, rue Hochelaga – pav. Lahaise, Aile 507 Montréal (Québec) H1N 3M5 |
| Olivier Sylvain Tine | Coordonnateur organisationnel des mesures de sécurité de l'information (COMSI) | 514 252-3400, poste 1435 | Pavillon Rosemont, Local RM-5328 |