Gestion des incidents de sécurité de l’information

Le CISSS de Chaudière-Appalaches détient des informations sensibles et essentielles tant pour les soins des usagers que pour son fonctionnement interne. Un bris de confidentialité, une atteinte à la disponibilité, l’intégrité et la confidentialité peut causer des dommages importants, voir critiques, pouvant mettre en danger la santé, la vie ou le bien être de personnes.

On demande donc à l’utilisateur de :

  • Prendre connaissance de la Procédure de gestion des incidents de sécurité de l’information disponible dans l’intranet;
  • De détecter et de signaler des incidents, de façon à ce qu’il soit rapidement pris en charge par les équipes concernées;
  • D’analyser l’incident afin qu’il soit traité selon son impact sur le CISSS de Chaudière-Appalaches, l’urgence d’agir et par les instances de coordination adéquates;
  • De réagir face à l’incident de façon à assurer un retour à la normale de la situation;
  • D’assurer un suivi et de procéder à une analyse post-incident qui permettra de tirer les leçons nécessaires à la prévention de ce type d’incident.

Bris de confidentialité (pour les usagers)

Atteinte à la confidentialité d’une information dont la propriété ne doit être accessible et ne doit être divulguée qu’aux personnes ou entités désignées et autorisées.

Traitement inadéquat de l’information :

  • Erreur dans la transmission d’un message électronique;
  • Conservation de données sensibles sur un dispositif mobile non chiffré;
  • Utilisation d’un service de courriel public pour transmettre des documents sensibles;
  • Document administratif laissé sans surveillance.

Vol, divulgation ou perte d’information :

  • Vol ou perte d’un dispositif contenant des informations sensibles (ex : portable, cellulaire, clé USB, périphérique mobile) etc. ;
  • Vente ou fuite de renseignements personnels;
  • Divulgation de mots de passe.

Accès non autorisé à de l’information

  • Accès à l’information confidentielle par une personne non autorisée;
  • Accès non retirés à la suite du départ ou mutation d’employés;
  • Accès non autorisé au dossier médical (ex. : son propre dossier, dossier d’un parent, d’un collègue, d’un ami, d’un usager médiatisé ou d’une personnalité connue ou encore d’un dossier n’ayant aucun lien avec son travail, etc.) sans faire la demande au service des archives;

Destruction non sécuritaire de documents

  • Mise au rebut ou récupération d’un document papier ou dispositif contenant de l’information sensible;
  • Disque dur récupéré sans être formaté adéquatement.

Où déclarer cet incident?

Si un bris de confidentialité survient, la personne doit compléter le formulaire AH-223-1.

Incident éthique (pour les employés)

Façon de faire inappropriée et non convenable de la part d’une personne. L’acte répréhensible risque d’affecter la disponibilité, l’intégrité et la confidentialité de l’information et d’avoir une incidence négative sur la capacité de l’organisation à accomplir sa mission.

Utilisation inappropriée de l’information :

  • Divulgation ou partage de mot de passe;
  • Non-respect de consignes en sécurité;
  • Vol de temps;
  • Utilisation d’équipements informatiques à des fins inappropriées (pédophilie, sexualité, harcèlement, etc.);
  • Copie pirate de divers logiciels;
  • Accès non autorisé à un site Internet, une application ou un réseau;
  • Envoi de courriels non sollicités;
  • Utilisation de ressources informationnelles non requises dans le cadre du travail;
  • Usurpation d’identité.

Sabotage

Altération ou destruction illicite des données des systèmes de mission (critique).

Où déclarer cet incident?

Si l’un de ces incidents survient, l’employé doit faire une requête Octopus.

Incident technique/informatique (pour les employés)

Mauvais fonctionnement d’un équipement, d’un système d’information, d’un logiciel, d’un réseau ou d’un processus pouvant causer une anomalie, une défaillance, une panne et affectant l’efficacité d’un service.

Cyberattaque

  • Attaque applicative telle que l’injection SQL;
  • Détection d’un code malicieux;
  • Écoute électronique;
  • Attaque par déni de service.

Défaillance d’un mécanisme de sécurité

  • Copie de sécurité défaillante, certificat expiré ou compromis;
  • Élaboration de contrat ou d’entente n’intégrant pas de clauses de sécurité;
  • Désactivation des contrôles de sécurité d’un équipement géré par le réseau.

Défaillance logicielle

  • Défaillance logicielle affectant la disponibilité, l’intégrité ou la confidentialité de l’information.

Défaillance matérielle

  • Bris d’équipement (poste, serveur, réseautique, téléphonie, etc.) affectant la disponibilité, l’intégrité ou la confidentialité de l’information.

Désastre naturel ou sinistre (affectant la D-I-C de l’information)

  • Bris de service électrique;
  • Feu et inondation;
  • Perte d’accès physique liée à une cause naturelle.

Où déclarer cet incident?

Si l’un de ces incidents survient, l’employé doit faire une requête Octopus.

Incident de nature physique

Code malicieux :

  • Attaque de déni de service du portail du CISSS de Chaudière-Appalaches;
  • Infection par virus, ver, cheval de Troie, etc. ;
  • Courrier indésirable;
  • Détection de communications non conformes au fonctionnement normal.

Accès ou tentative d’accès au réseau informatique

  • Accès aux données contenues dans les infrastructures technologiques ou de communication;
  • Alerte;
  • Balayage du réseau.

Accès ou tentative d’accès aux locaux

  • Accès non autorisé à la salle des serveurs;
  • Accès à une zone sécurisée.

Où déclarer cet incident?

Si un utilisateur (stagiaires, résidents, externes, chercheurs, étudiants en recherche, médecins, personnel, bénévoles, usagers, tiers) ou toute personne étant témoin d’un incident physique relié à une infraction dans un local sécurisé, un édifice, etc., il doit téléphoner à :

  • Beauce : 418-835-7121, poste 37550
  • Lévis : 418-835-7121, poste 13258
  • Montmagny : 418-835-7121, poste 54444
  • Thetford : 418-246-0630, poste 5555

Si un utilisateur (stagiaires, résidents, externes, chercheurs, étudiants en recherche, médecins, personnel, bénévoles, usagers, tiers) veut déclarer un incident physique dans un système d’information, il doit remplir une requête Octopus.

Prendre note qu’un incident physique envers une personne doit être redirigé vers le formulaire de plainte ou d’insatisfaction.

Partager