Ma sécurité

Les données traitées dans votre environnement bureautique sont protégées par un grand nombre de mesures de sécurité implantées par Google et la Ville. En tant qu’employé, vous êtes aussi au coeur des mesures de protection des données.

Que fait Google au niveau de la sécurité?

Que fait la Ville au niveau de la sécurité?

  • Dédie une équipe multidisciplinaire (experts en sécurité, techniciens, centre de services TI, etc) pour gérer de façon intégrale la sécurité de la solution Google et supporter les employés en cas d’incidents

  • Implante des mécanismes de surveillance pour détecter proactivement les menaces, réduire les risques et les impacts et être conforme aux cadres réglementaires

  • Établit des directives et des encadrements pour vulgariser les règles et les conditions d’utilisation à respecter. Consultez la directive d’utilisation des appareils et services technologiques

  • Met en place une gouvernance et des procédures de sécurité pour assurer une gestion sécuritaire de la G Suite

En tant d'employé, que devez-vous faire?

TRÈS IMPORTANT!

  • Déclarer tout incident lié à l’utilisation de la G Suite au centre de services TI au 514-872-5046 (incluant la perte ou la compromission des appareils personnels ayant accès à la G Suite de la Ville)

  • Utiliser les outils technologiques à votre disposition uniquement pour vos activités d’affaires de la Ville

  • Ne jamais transmettre d’information confidentielle ou nominative hors de l’environnement technologique de la Ville, sans avoir obtenu préalablement une approbation.

En cas de problème de sécurité : contacter le 514-872-5046

En savoir plus : monintranet/cybersecurite

Plus d'informations pour mieux comprendre la protection des données

Comment la Ville de Montréal s’assure de garder le contrôle sur nos données?

La suite Google, choisie à l’issue d’un processus d’appel d’offres rigoureux, répond aux exigences demandées dans l’appel d’offres :

  • Plusieurs exigences en terme de sécurité des données, telles que :

    • Exigences strictes au niveau du chiffrement, des contrôles et de la journalisation;

    • Exigences strictes au niveau du contrôle des accès;

    • Exigences strictes de respect des normes de sécurité en vigueur (OWASP pour les API, FIPS pour le chiffrement, etc.)

    • Des fonctions de prévention contre la perte de données;

  • Plusieurs exigences en terme de sécurité des renseignements, telles que :

    • Exigences de certification aux normes ISO 27001, 27017 et 27018;

    • Autorisation du programme américain FedRAMP

Ces exigences ont été inscrites à l’appel d’offres en vue d’assurer une protection maximale des données et des renseignements personnels des utilisateurs de la Ville.

Les données traitées par l’environnement bureautique sont protégées par un grand nombre de mesures de sécurité implantées de Google, ainsi que de mesures qui sont mises en place par la Ville. Celles-ci évolueront avec le temps en fonction des pratiques de sécurité requises pour ce type d’environnement, ainsi que de l’utilisation qu’en fait la Ville et ses employés.


Quelles sont les différences entre un compte entreprise et un compte Google personnel en matière de protection des données?

Google gère les comptes entreprises différemment des comptes personnels.

Entre autres, les informations des utilisateurs "entreprise" ne sont jamais utilisées pour afficher de la publicité contextuelle contrairement aux comptes personnels qui sont assujettis à ce type d’utilisation.

Les comptes "entreprise" bénéficient également de mesures de sécurité renforcées, tels qu'un système très avancé d'antivirus et de filtres contre les pourriels, une protection intelligente contre l'hameçonnage, une combinaison de mécanismes pour éviter la perte des données, etc.

Il est important de comprendre que la propriété des informations relatives à ces comptes appartient à la Ville de Montréal seulement, et non à Google.


Comment la Ville de Montréal s’assure de garantir la protection de la vie privée/professionnelle de ses employés ?

L’utilisation des comptes entreprises de la suite Google se fait en conformité avec la directive d’utilisation des appareils et des services technologiques mis à la disposition des employés de la Ville de Montréal (C-RM-STI-D-18-003).

Les administrateurs de la suite Google pour la Ville de Montréal sont des employés du service des TI.


En plus des mécanismes déjà en place, quelles sont les actions que la Ville de Montréal pose pour garantir la sécurité?

  • Monitoring serré des partages à l’extérieur de l’organisation;

  • Liste blanche d’extensions et de plugiciels pouvant être installés;

  • Mise en place de Gluu (module de gestion des accès pour la Ville) pour l’authentification des employés. En plus de vous éviter d’avoir un mot de passe supplémentaire à mémoriser, cette authentification vous permettra d’accéder à votre plateforme avec simplicité et sécurité.

  • Mise en place de patrons d’identification d’informations sensibles transigeant vers l’externe (numéros d’assurance sociale, numéros de cartes de crédit, etc.);

  • Administrateurs en nombre très limités et accès journalisés.


Quels sont des exemples de mesures de sécurité mises en place par Google?

  • Sécurité physique et chiffrement : en plus d’être chiffrées de façon très robuste en transport et en stockage, les données se trouvant chez Google sont détruites de façon rigoureuse, incluant le déchiquetage physique des disques en fin de vie.

  • Une infrastructure infonuagique solide : Google opère une des infrastructures infonuagiques les plus solides au monde. Les données sont toujours dupliquées dans plusieurs centres de données géographiquement dispersés, afin d’en assurer la disponibilité en tout temps.

  • Détection de menaces et prévention contre la perte de données : une série de mesures, autant pour la prévention des pourriels, du hameçonnage que des virus (pour ne nommer que ceux-ci) sera exploitée afin de protéger des menaces. Notre licence de la suite Google nous permettra également d’utiliser des technologies de prévention contre les pertes de données. Celles-ci nous permettront de détecter des données sensibles, par exemple des numéros d’assurance sociale ou de cartes de crédit, afin d’en prévenir l’envoi à des destinataires non autorisés.


Pour aller plus loin :

  • Livre blanc sur la sécurité de Google (merci de prendre note que la page est en français mais le document pdf est en anglais uniquement)

  • Informations sur la conformité de Google (normes, certifications, etc.)