Principes et politiques
Cette rubrique présente les principes directeurs ainsi que les politiques et procédures encadrant la sécurité de l’information au sein de l’organisation. Ces éléments définissent les orientations et les responsabilités applicables à l’ensemble du personnel.
La sécurité de l’information repose sur trois principes essentiels qui guident l’ensemble de nos pratiques.
Confidentialité : s’assurer que les renseignements, notamment les renseignements personnels et de santé, sont accessibles uniquement aux personnes autorisées dans le cadre de leurs fonctions.
Intégrité : garantir que les données demeurent exactes, complètes et protégées contre toute modification ou altération non autorisée.
Disponibilité : veiller à ce que les systèmes et les informations essentielles demeurent accessibles lorsque requis afin de soutenir les activités cliniques, administratives et organisationnelles.
Ces principes orientent les mesures de sécurité mises en place au sein de l’organisation.
La sécurité de l’information et la protection des renseignements s’inscrivent dans le respect des lois applicables au réseau de la santé. Ces lois encadrent la gestion et la protection des renseignements, notamment les renseignements personnels et de santé, et précisent les responsabilités de l’organisation et du personnel.
Le cadre légal comprend notamment :
• Loi 25 : renforce la protection des renseignements personnels et encadre la gestion des incidents de confidentialité ainsi que les obligations de transparence et de gouvernance ;
• Loi 5 : encadre la gestion des renseignements de santé et de services sociaux, incluant leur utilisation et leur traçabilité ;
• Loi 3 : définit les exigences de gouvernance et d’imputabilité au sein du système de santé et de services sociaux ;
• Loi sur l’accès aux documents des organismes publics : établit les règles relatives à l’accès à l’information détenue par les organismes publics et à la protection des renseignements personnels.
Le respect de ces obligations fait partie intégrante des pratiques organisationnelles et concerne l’ensemble du personnel.
La gouvernance des données et la gestion des risques visent à assurer que les projets technologiques sont planifiés et déployés de manière sécuritaire. Une analyse de risques est réalisée dès le début d’un projet afin d’identifier les impacts possibles sur la confidentialité, l’intégrité et la disponibilité des renseignements.
Les données sont classifiées selon leur niveau de sensibilité. Lorsque des renseignements personnels ou de santé sont concernés, une Évaluation des facteurs relatifs à la vie privée (ÉFVP) est réalisée conformément aux obligations applicables. Aucune solution technologique n’est mise en production sans avoir complété les étapes d’analyse et d’autorisation requises.
La gestion des incidents de sécurité vise à assurer une réponse rapide et structurée à tout événement susceptible de compromettre la confidentialité, l’intégrité ou la disponibilité des renseignements et des systèmes de l’organisation. Un incident peut notamment être traduit par une tentative d’hameçonnage, la perte ou le vol d’un appareil, un accès non autorisé à un dossier, une fuite d’information ou tout comportement anormal d’un système.
Tout incident constaté ou soupçonné doit être signalé dans un délai raisonnable, conformément à la procédure organisationnelle en vigueur. Le service de cybersécurité travaille de façon proactive afin de détecter, analyser et traiter les incidents de sécurité. À la suite d’un signalement, une analyse est réalisée afin d’en évaluer la portée et les impacts, et des mesures appropriées sont mises en place pour limiter les conséquences et prévenir toute récurrence.
En milieu de santé, la continuité des activités est essentielle au bon fonctionnement des soins et des activités administratives. Ce pilier vise à assurer la continuité des services essentiels en cas d’incident, de défaillance technique ou de cyberattaque.
Il comprend notamment : la planification du maintien des activités, les mécanismes de reprise et de rétablissement des systèmes, les stratégies de sauvegarde et de restauration des données, ainsi que le maintien et l’activation des mécanismes de protection et de redondance des infrastructures critiques en situation de perturbation.
Une attention particulière est accordée au plan de reprise informatique (PRI), qui fait partie intégrante du plan global de continuité des activités. Le PRI précise les priorités de rétablissement des systèmes critiques, les responsabilités associées ainsi que les délais cibles de reprise afin d’assurer un retour structuré et sécuritaire aux opérations à la suite d’un incident majeur.
Ce pilier s’appuie sur les plans de continuité des activités, les procédures de gestion des incidents ainsi que sur les exigences applicables au réseau de la santé. Des rôles et responsabilités clairement définis assurent une coordination efficace et structurée lors de toute situation de perturbation majeure.
Politiques
- Politique de sécurité de l'information du CIUSSS-EMTL ↗ (POL-024)
- Demande d'accès aux actifs informationnels des utilisateurs, aux outils de journalisation et journaux d'accès, par les gestionnaires du CIUSSS-EMTL ↗ (POL-057)
- Gestion des accès aux systèmes d'information et session utilisateur ↗ (POL-058)
- Utilisation de l'infonuagique publique ↗ (POL-059)
- Gestion des incidents de sécurité de l'information ↗ (POL-061)