Sécurité de l'information

Mission

Améliorer la posture de sécurité de l’organisation par :

  • L’augmentation du niveau de maturité de l’organisation en matière de sécurité de l’information;
  • Le respect des exigences gouvernementales;
  • La diminution du niveau de risque relié à la sécurité de l’information.

L’information est un actif important qui permet à l’organisation de réaliser sa mission. Il est primordial de la protéger de façon efficace et efficiente. Pour y parvenir, Polytechnique s’engage à assurer le maintien des 3 propriétés essentielles de l’information tout au long de son cycle de vie à savoir :

  • Sa disponibilité : veiller à rendre l’information accessible et utilisable sur demande par une entité autorisée;
  • Son intégrité : sauvegarder l’exactitude et l’exhaustivité de l’information;
  • Sa confidentialité : veiller à ce que l’information ne soit pas divulguée ou mise à la disposition des entités non autorisées.

Informations supplémentaires

Traitement des incidents de sécurité

Les situations considérées comme des incidents de sécurité sont celles d’une violation ou menace imminente de violation des encadrements de sécurité de l’information. Ces types d’évènements ne font pas partie des opérations normales d’un service et peuvent causer une interruption ou une réduction de la qualité des services. Ils mettent en jeu la sécurité des actifs informationnels en affectant leur disponibilité, leur intégrité ou leur confidentialité. Si vous constatez un incident, n’hésitez pas à nous contacter.

Bonnes pratiques

L'informatique est omniprésente dans toutes les sphères d'activités tant dans notre vie personnelle que professionnelle. Toutefois, on pense rarement à la sécurité entourant l’accès à nos informations et aux systèmes d'informations. Si l’accès aux informations dont vous avez besoin pour travailler ou pour vaquer à vos occupations personnelles est de plus en plus facile, elle l’est aussi pour les pirates informatiques. Pour éviter de se faire dérober des informations confidentielles, de se faire voler son identité ou de mettre hors-service les systèmes informationnels, il est de plus en plus important de porter une attention particulière aux bonnes pratiques de sécurité en informatique.

Services

Gestion des identités et des accès

  • Gérer les identités des utilisateurs;
  • Assigner les accès aux applications.

Authentification et autorisation

  • Confirmer l’identité selon le niveau de sécurité;
  • Confirmer les droits d’accès.

Point de contrôle

  • Contrôler les communications entre les différentes zones réseau.

Journalisation

  • Collecter, centraliser et conserver les évènements de sécurité pour répondre aux besoins d’enquêtes.

Surveillance et gestion des vulnérabilités

  • Détecter les évènements anormaux;
  • Identifier les vulnérabilités et effectuer le suivi des correctifs.

Protection contre les codes malveillants

  • Protéger les actifs informationnels contre les codes malveillants (exemple : virus et hameçonnage).

Accompagnement

Gestion des actifs

  • Catégorisation des actifs;
  • Registre des responsables et détenteurs d’actifs informationnels.

Analyse de risque

  • S’assurer que les risques liés à la sécurité de l’information sont identifiés et gérés adéquatement par les unités et dans les projets;
  • Veiller au respect du processus d’appréciation et de traitement des risques de sécurité de l’information.

Audit interne de sécurité

  • Accompagner les unités dans le réexamen périodique de la mise en place du cadre normatif de sécurité de l’information.

Support à l’application du cadre normatif

  • Élaborer un cadre cohérent pour les encadrements (Politique, directives, processus, guide et procédures) permettant d’orienter les activités de protection des actifs informationnels ;
  • S’assurer que chaque partie prenante est bien informée de ses rôles et responsabilités en matière de sécurité de l’information et joue adéquatement son rôle ;
  • Assurer le respect du cadre normatif.

Cadre normatif

Le cadre normatif de la sécurité de l’information de Polytechnique est composé des règlements, politiques, directives, avis, processus, procédures et autres qui traitent des questions reliées à la sécurité des actifs informationnels.

Inspiré des cadres de références de l’industrie (ISO 27000, NIST, etc.), il permet d’encadrer la mise en œuvre des bonnes pratiques de sécurité de l’information au sein de Polytechnique.

Procédures, processus, guides
  • À venir

Comité de sécurité de l’information

Le comité assure le leadership dans la protection des actifs informationnels sous la coordination du responsable de la sécurité de l’information.

Rôle

  • De proposer les objectifs du programme de sécurité de l’information;
  • De recommander aux instances l’adoption du programme de sécurité de l’information proposé par le Responsable de la sécurité de l’information;
  • D’examiner le rendement et l’efficacité du programme de sécurité de l’information et émettre des recommandations;
  • De proposer les ajustements aux encadrements (règlements, politiques, directives, procédures et avis) du cadre normatif de sécurité de l’information;
  • De recommander au responsable de son application la dérogation à une directive, une procédure ou un avis du cadre normatif de sécurité de l’information, sur demande soumise par le Responsable de la sécurité de l’information;
  • D’examiner, prioriser et recommander aux instances les orientations, initiatives ainsi que les projets de sécurité de l’information;
  • D’approuver la catégorisation des actifs informationnels proposée par les fiduciaires des données institutionnelles.

Tentatives d'hameçonnage

Régulièrement, des individus malveillants mènent des campagnes d’hameçonnage par courriel en visant de nombreuses organisations et Polytechnique Montréal n’y échappe pas.

Une dernière en date se présente comme un message du «président» Philippe A. Tanguy, demandant à tous les employés de Polytechnique de lire un document PDF joint au courriel et fait même référence à des mesures disciplinaires si nous ne sommes pas au courant des directives qui seraient incluses dans le document en question. 

Ce message que vous avez peut-être reçu ces derniers jours est effectivement une tentative d’hameçonnage et ne provient pas de notre directeur général. Nous vous demandons de ne pas ouvrir ce fichier PDF.

Si vous avez reçu un tel message, classez-le comme un courrier indésirable en utilisant la fonction à cet effet dans votre logiciel de courrier électronique, Outlook, Zimbra web ou autre.

Si vous avez des questions ou des inquiétudes au sujet du hameçonnage, communiquez avec nous à l’adresse suivante: secinfo@polymtl.ca

Si vous craignez pour la sécurité de vos données, nous vous suggérons de mettre à jour votre mot de passe de Polytechnique. De plus, nous vous recommandons fortement de ne pas utiliser votre mot de passe d’accès aux systèmes de Polytechnique pour accéder à des services externes ou vos sites personnels préférés.

=== Modification de votre mot de passe ===

Pour modifier votre mot de passe, nous vous invitons à suivre la procédure indiquée à la page suivante: https://www.polymtl.ca/si/code-didentification-personnel-cip#utilisation-du-service-recuperation-et-changement-de-mot-de-passe

Choisissez l’onglet approprié, selon que vous êtes «étudiant ou diplômé», ou encore «enseignant, personnel non-enseignant, retraité, invité et visiteur» et suivez les instructions qui s’appliquent à votre situation.

En cas de difficulté, vous pouvez aussi contacter l’assistance technique au poste 4499, si vous êtes étudiant, ou au poste 5858 si vous êtes membre du personnel.

Pour plus d’information sur les bonnes pratiques en sécurité informatique, vous pouvez consulter l’onglet Bonnes pratiques sur cette page: https://www.polymtl.ca/securite-informatique/

Merci de votre vigilance,

Francis Wanko-Naa
Responsable de la sécurité de l’information
 

Signaler un incident de sécurité de l'information

Si vous croyez avoir été témoin ou victime d’un incident de sécurité informatique, contacter le conseiller principal en sécurité de l'information Francis Wanko Naa.

Alertes

9 OCTOBRE 2019
Alerte rançongiciel

 

12 SEPTEMBRE 2019
Tentatives d'hameçonnage