Sécurité de l'information

Mission

Améliorer la posture de sécurité de l’organisation par :

  • L’augmentation du niveau de maturité de l’organisation en matière de sécurité de l’information;
  • Le respect des exigences gouvernementales;
  • La diminution du niveau de risque relié à la sécurité de l’information.

L’information est un actif important qui permet à l’organisation de réaliser sa mission. Il est primordial de la protéger de façon efficace et efficiente. Pour y parvenir, Polytechnique s’engage à assurer le maintien des 3 propriétés essentielles de l’information tout au long de son cycle de vie à savoir :

  • Sa disponibilité : veiller à rendre l’information accessible et utilisable sur demande par une entité autorisée;
  • Son intégrité : sauvegarder l’exactitude et l’exhaustivité de l’information;
  • Sa confidentialité : veiller à ce que l’information ne soit pas divulguée ou mise à la disposition des entités non autorisées.

Informations supplémentaires

Traitement des incidents de sécurité

Les situations considérées comme des incidents de sécurité sont celles d’une violation ou menace imminente de violation des encadrements de sécurité de l’information. Ces types d’évènements ne font pas partie des opérations normales d’un service et peuvent causer une interruption ou une réduction de la qualité des services. Ils mettent en jeu la sécurité des actifs informationnels en affectant leur disponibilité, leur intégrité ou leur confidentialité. Si vous constatez un incident, n’hésitez pas à nous contacter.

Bonnes pratiques

L'informatique est omniprésente dans toutes les sphères d'activités tant dans notre vie personnelle que professionnelle. Toutefois, on pense rarement à la sécurité entourant l’accès à nos informations et aux systèmes d'informations. Si l’accès aux informations dont vous avez besoin pour travailler ou pour vaquer à vos occupations personnelles est de plus en plus facile, elle l’est aussi pour les pirates informatiques. Pour éviter de se faire dérober des informations confidentielles, de se faire voler son identité ou de mettre hors-service les systèmes informationnels, il est de plus en plus important de porter une attention particulière aux bonnes pratiques de sécurité en informatique.

Services

Gestion des identités et des accès

  • Gérer les identités des utilisateurs;
  • Assigner les accès aux applications.

Authentification et autorisation

  • Confirmer l’identité selon le niveau de sécurité;
  • Confirmer les droits d’accès.

Point de contrôle

  • Contrôler les communications entre les différentes zones réseau.

Journalisation

  • Collecter, centraliser et conserver les évènements de sécurité pour répondre aux besoins d’enquêtes.

Surveillance et gestion des vulnérabilités

  • Détecter les évènements anormaux;
  • Identifier les vulnérabilités et effectuer le suivi des correctifs.

Protection contre les codes malveillants

  • Protéger les actifs informationnels contre les codes malveillants (exemple : virus et hameçonnage).

Accompagnement

Gestion des actifs

  • Catégorisation des actifs;
  • Registre des responsables et détenteurs d’actifs informationnels.

Analyse de risque

  • S’assurer que les risques liés à la sécurité de l’information sont identifiés et gérés adéquatement par les unités et dans les projets;
  • Veiller au respect du processus d’appréciation et de traitement des risques de sécurité de l’information.

Audit interne de sécurité

  • Accompagner les unités dans le réexamen périodique de la mise en place du cadre normatif de sécurité de l’information.

Support à l’application du cadre normatif

  • Élaborer un cadre cohérent pour les encadrements (Politique, directives, processus, guide et procédures) permettant d’orienter les activités de protection des actifs informationnels ;
  • S’assurer que chaque partie prenante est bien informée de ses rôles et responsabilités en matière de sécurité de l’information et joue adéquatement son rôle ;
  • Assurer le respect du cadre normatif.

Cadre normatif

Le cadre normatif de la sécurité de l’information de Polytechnique est composé des règlements, politiques, directives, avis, processus, procédures et autres qui traitent des questions reliées à la sécurité des actifs informationnels.

Inspiré des cadres de références de l’industrie (ISO 27000, NIST, etc.), il permet d’encadrer la mise en œuvre des bonnes pratiques de sécurité de l’information au sein de Polytechnique.

Comité de sécurité de l’information

Le comité assure le leadership dans la protection des actifs informationnels sous la coordination du responsable de la sécurité de l’information.

Rôle

  • De proposer les objectifs du programme de sécurité de l’information;
  • De recommander aux instances l’adoption du programme de sécurité de l’information proposé par le Responsable de la sécurité de l’information;
  • D’examiner le rendement et l’efficacité du programme de sécurité de l’information et émettre des recommandations;
  • De proposer les ajustements aux encadrements (règlements, politiques, directives, procédures et avis) du cadre normatif de sécurité de l’information;
  • De recommander au responsable de son application la dérogation à une directive, une procédure ou un avis du cadre normatif de sécurité de l’information, sur demande soumise par le Responsable de la sécurité de l’information;
  • D’examiner, prioriser et recommander aux instances les orientations, initiatives ainsi que les projets de sécurité de l’information;
  • D’approuver la catégorisation des actifs informationnels proposée par les fiduciaires des données institutionnelles.

Signaler un incident de sécurité de l'information

Si vous croyez avoir été témoin ou victime d’un incident de sécurité informatique, contacter le conseiller principal en sécurité de l'information Francis Wanko Naa.

Alertes