Cybersécurité

Quelques conseils

Vous avez un rôle à jouer pour assurer votre cybersécurité. Réfléchissez avant de cliquer! Il existe de nombreuses mesures à prendre pour renforcer sa cybersécurité.

• Verrouillez votre connexion
  Utilisez l'authentification à deux ou plusieurs facteurs à chaque fois qu'elle est proposée.
   
• Évitez de cliquer… en cas de doute!
  Les liens dans les courriels, les tweets, les messages textes, les publications dans les médias sociaux et la publicité en ligne sont le moyen le plus simple pour les cybercriminels d'obtenir vos informations sensibles. Faites preuve de prudence lorsque vous cliquez sur des liens ou téléchargez des informations provenant d'une source ou d'une organisation inconnue ou auxquelles vous ne vous attendiez pas.
   
• Mettez vos appareils à jour
  Pour réduire le risque que vos appareils soient infectés par des logiciels malveillants, mettez à jour tous vos appareils connectés à Internet. Faites en sorte que vos appareils se mettent à jour automatiquement ou soyez averti lorsqu'une mise à jour est disponible.
   
• Sauvegardez vos données
  Protégez vos données et documents précieux en faisant une copie électronique. Si votre appareil est victime d'un logiciel de rançon ou d'une autre menace informatique, vous pourrez restaurer les données à partir d'une sauvegarde. Utilisez la règle 3-2-1 pour vous guiderdans la sauvegarde de vos données :
  - conservez au moins trois copies de vos données;
  - conservez deux copies de sauvegarde sur des supports de stockage différents…
  -  …dont une se trouve hors ligne.
   
• Configurez vos paramètres de confidentialité et de sécurité
  Chaque fois que vous créez un nouveau compte, téléchargez une nouvelle application ou obtenez un nouvel appareil, configurez les paramètres de confidentialité et de sécurité qui régissent le partage d'information. Vérifiez régulièrement vos paramètres, au moins une fois par an.
   
• Réfléchissez… avant de mettre des informations en ligne
  Arrêtez-vous et réfléchissez avant de mettre des informations en ligne. Réfléchissez à qui pourrait voir le message et à la manière dont il pourrait vous affecter ou affecter d'autres personnes.
   
• Informez-vous sur l’utilisation du WiFi public
  Les réseaux publics sans fil et les points d’accès au WiFi ne sont pas sécurisés. Tout le monde peut voir ce que vous faites sur votre ordinateur portable ou votre téléphone intelligent lorsque vous êtes en ligne. Limitez votre accès à ce que vous faites sur le WiFi public et évitez de vous connecter à vos comptes principaux tels que votre messagerie électronique et vos services bancaires.

La cybersécurité au travail et à la maison

Soyez prudents…

• Gardez vos appareils à jour et installez une protection antivirus.
• Réfléchissez avant de cliquer sur un courriel ou un message texte, ou de prendre un appel téléphonique qui vous demande des informations personnelles.
• Assurez-vous de connaître vos destinataires lorsque vous partagez des informations ou des données.
• Avant de cliquer sur une pièce jointe ou de la télécharger, inspectez les liens et assurez-vous qu'ils proviennent d'expéditeurs fiables.
• Évitez les plateformes basées sur l’infonuagique (ex. : Dropbox) qui n’ont pas été approuvées par votre organisation, en particulier lorsque vous partagez des informations confidentielles.
   

• Les atteintes à la cybersécurité peuvent affecter la confidentialité, l'intégrité et/ou la disponibilité des informations. 
• Si vous êtes confronté à un incident de sécurité de l'information, nous vous invitons à remplir ce formulaire :  https://www.ciussscentreouest.ca/zone-partenaires/securite-informationnelle/ 
• Tout soupçon doit être pris en compte. Le formulaire de sécurité de l'information doit être rempli et toutes tentatives d’hameçonnage doivent être signalées à l’équipe des TI, en même temps que la demande d'Octopus :  https://ccomtl.octopus-itsm.com/Web/Login.aspx?ReturnUrl=/ccomtl/Web/RequestList.aspx

Pour vous protéger contre la cybercriminalité

Comment élaborer un plan de cybersécurité?

• Sécurisez vos comptes.
• Sécurisez vos appareils.
• Sécurisez vos connexions.

Gardez vos mots de passe en lieu sûr et activez l'authentification multi-facteurs (ex. : questions de sécurité, PINS, reconnaissance vocale, authentification des SMS, etc.). N'oubliez pas : quand il y a des DONNÉES, il y a des POSSIBILITÉS!

D’autres conseils pour rester en cybersécurité au travail et à la maison

• Installez un logiciel de protection et utilisez toujours un antivirus.
• Faites l'inventaire de vos appareils (ex. : téléphone, ordinateur, appareils intelligents, etc.).
• Assurez-vous de faire toutes les mises à jour de vos appareils.
• Mettez à jour votre navigateur.
• Effacez l'historique de votre navigation.
• Personnalisez vos paramètres.
• Vérifiez les fichiers que vous avez téléchargés.
• Vérifiez la fiabilité du réseau invité « guest network ».

Quelques exemples de mots de passe à éviter

• 1234
• « Mot de passe »
• Votre adresse
• Noms des membres de votre famille ou de vos animaux de compagnie

Les cinq mots à retenir en tout temps pour rester en sécurité en ligne et hors ligne :

• Prudence
• Accessibilité
• Vie privée
• Authenticité
• Sécurité

En quoi la sécurité des patients dépend-elle de la cybersécurité?

Répercussions des cybermenaces

Il est important que tous les employés du réseau de la santé et des services sociaux soient conscients des répercussions des cybermenaces sur les flux de travail cliniques. Ces menaces peuvent affecter les systèmes de soins aux patients et les appareils médicaux. Elles peuvent également interrompre les réseaux de communication et d'approvisionnement appropriés et menacer la confidentialité des dossiers médicaux.

Les cyberincidents peuvent avoir des conséquences importantes sur les systèmes de soins intensifs, entraînant des actes tels que le vol d'information ou l’accès non autorisé aux dossiers de patients.

Pour assurer la sécurité du cyberespace, il faut utiliser des outils de collaboration appropriés et approuvés pour protéger les informations personnelles. Des outils de collaboration ont récemment été introduits par le MSSS et offrent un accès multiplateforme (téléphones intelligents, tablettes, etc.). Ils permettent également aux employés de notre CIUSSS de développer et de maintenir des interactions dans leur environnement de travail sécurisé.

Outils de collaboration du MSSS

Les outils de collaboration que le MSSS a acquis répondent aux exigences ministérielles, ainsi qu’aux normes de sécurité de l'information au sein du gouvernement. Ces outils sont les suivants :

• Microsoft Forms : enquêtes et sondages;
• Microsoft Planner : gestionnaire de projets;
• Microsoft Stream : partage de vidéos, de présentations et de réunions.
• Microsoft Teams : échange instantané d'informations, de fichiers, etc.;
• My Analytics : analyse de données pour une meilleure productivité;
• OneDrive for Business : archivage de fichiers professionnels et personnels;
• Outlook : messagerie, calendrier, planificateur de tâches, etc.;
• Power Automate : création de flux de travail entre applications, fichiers et données;
• SharePoint Online : partage et gestion de contenu;
• Sway : création et partage de rapports, de présentations, d'histoires personnelles interactives.

Pratique recommandée

• L’utilisateur de ces plateformes doit respecter les règles d’utilisation et de fonctionnement lorsque des informations confidentielles sont partagées, que ce soit au bureau ou à domicile.
• L’utilisateur est responsable de son identité, par exemple de la signature de ses courriels.
• Les informations échangées par ces plateformes restent la propriété de notre CIUSSS.
• L'utilisateur doit s’assurer que ses identifiants sont protégés, afin que l’accès aux plateformes soit possible.
• L'utilisation de la vidéoconférence ou de l'enregistrement à partir d'appareils mobiles doit être limitée et utilisée uniquement lorsque les circonstances s'y prêtent.
• L'utilisateur doit être familiarisé avec les documents ou les informations qui sont partagés.
• Le cryptage doit être appliqué aux documents présentant un niveau de sensibilité élevé.

Foire aux questions

• Comment reconnaître un cybercrime?
  Il peut s'agir d'un courriel, d'un message texte ou d'un appel téléphonique provenant d'une personne à la recherche d'informations personnelles.
   
• Pourquoi est-il dangereux de pirater les données des patients?
  Les données des patients peuvent être utilisées à des fins malveillantes, tant par des acteurs internes ou externes du réseau de la santé. Cela pourrait avoir un effet négatif sur les soins et les traitements dont les patients ont besoin.
   
• Pourquoi le réseau de la santé est-il une cible privilégiée de la cybercriminalité?
  • Les informations personnelles des patients et des employés peuvent être précieuses, dont certaines d’entre elles ont une valeur durable.
  • Un grand nombre d'employés, de cliniciens et de patients/usagers ont accès à ces informations. Cela signifie qu'il existe de nombreuses cibles potentielles pour des attaques telles que le hameçonnage.
  • Un nombre croissant d’appareils médicaux sont connectés entre eux.
  • De nombreux organismes de santé disposent de ressources financières et de salaires importants.
  • Les organismes de santé peuvent prendre des décisions avec lesquelles les individus ou des groupes ne sont pas en accord. Il existe donc un risque de perturbation des infrastructures et des services essentiels

D’autres personnes peuvent également avoir accès à des informations sur les soins de santé, notamment par le biais de portails de patients. Il est donc essentiel d’assurer une protection et de mettre en œuvre des stratégies et des systèmes de sécurité.

• Pour quelle raison la cyber-sécurité est-elle importante?
  • Plus de personnes utilisent plusieurs systèmes dans plus d'endroits et sur plus d’appareils.
  • Les cybercriminels peuvent utiliser des données médicales pour vendre de fausses identités.
  • Les données médicales ont tendance à inclure suffisamment d'informations pour permettre à un criminel d'ouvrir une carte de crédit, un compte bancaire ou un prêt au nom de la victime.
  • Si les tentatives du point précédent échouent, les cybercriminels peuvent utiliser des logiciels de rançon pour extorquer des organismes de santé et les obliger à payer une rançon aux cybercriminels, afin de récupérer l'accès aux systèmes et données compromis.
     
• Qu'est-ce qu'un logiciel de rançon?
  Un logiciel de rançon (virus ou vers) a une intention malveillante : vol ou destruction de données. Les claviers sont verrouillés et les ordinateurs empêchent l’accès aux données, jusqu'à ce qu’une rançon soit payée. Les hôpitaux sont des cibles de prédilection pour les logiciels de rançon, car ils ont un besoin urgent de fournir un service interrompu aux patients.
   
• Pourquoi installer un antivirus ou faire des sauvegardes régulières?
  Un antivirus est l'une des meilleures méthodes pour se protéger contre les logiciels de rançon. Les sauvegardes régulières permettent également d’entreposer vos données sur des appareils qui ne sont pas connectés à l’Internet et qui sont donc plus sûrs.

L’expéditeur d’un courriel vous semble-t-il suspect?

Le Mois de la sensibilisation à la cybersécurité est une excellente occasion d'adopter certaines bonnes pratiques en matière de cybersécurité. C’est notamment le cas lorsque vous recevez un courriel ou d’un message texte. 

Questions à se poser 

• Qui envoie le courriel : un collègue, un membre de la famille, un ami ou une organisation de confiance? 
• Cette organisation est-elle susceptible de vous envoyer un courriel ou un message texte? 
• Le courriel de cette organisation comporte-t-il un logo identifiable et valide? 
• De quelle façon sont présentés les graphiques ou la forme générale du courriel? 
• L’expéditeur s'est-il adressé à vous par votre nom? 
• Le courriel contient-il des erreurs grammaticales ou une utilisation excessive de points d'exclamation? 
• Des fichiers sont-ils joints au courriel? 
• Le courriel demande-t-il votre identification et vos informations personnelles en prétendant être une source fiable? Les données personnelles peuvent comprendre votre date de naissance, votre numéro d'assurance sociale, votre numéro de carte de crédit ou le nom de jeune fille de votre mère. 
• L'URL du lien correspond-il à celui du site web de l'organisation? Pour le vérifier, passez la souris sur le lien. 

N’oubliez pas qu’un type d’hameçonnage courant implique des cybercriminels qui vous appellent et, après avoir prétendu travailler pour une organisation gouvernementale, vous menacent. 

Sachez également que dans le cadre du processus de validation de la véracité de la demande, vous pouvez contacter l'organisation qui a demandé les informations.