Le Centre d'expertise en sécurité de l'information (CESI) met à la disposition des membres de la communauté du réseau une série de documents à télécharger qui offre des informations pertinentes, des outils et des recommandations pour se protéger au mieux de la cybercriminalité.
Les documents de cette catégorie offrent des lignes directrices et de meilleures pratiques pour établir une gouvernance efficace de la cybersécurité. Ils couvrent la définition des politiques de sécurité, la structuration de plan de réponse aux incidents, et l'instauration de processus de gestion pour créer une culture de sécurité proactive et durable.
Guide sur la gouvernance de la gestion des identités et des accès(nouveau)
Document visant à définir un cadre général de la gestion des identités et des accès au sein de l’organisation afin de garantir que chaque utilisateur dispose d’un accès approprié aux ressources dont il a besoin.
Cartographie des menaces touchant le réseau des UQ (nouveau)
La Cartographie des Menaces du réseau UQ présente un portrait stratégique des menaces touchant l’environnement universitaire. Ce document essentiel appuie la transition vers une posture de sécurité proactive et aligne les efforts de protection à l’échelle du réseau.
Guide sur la mise en place d'un plan de réponse aux incidents de cybersécurité
Gabarits en lien avec le plan de réponses aux incidents (outils)
Ce guide pratique est conçu pour aider les établissements à développer, mettre en œuvre et maintenir un plan de réponse aux incidents de cybersécurité. Il présente les meilleures pratiques et les étapes clés pour identifier rapidement les incidents de sécurité, les évaluer et y répondre.
Aide-mémoire pour rédiger un plan de reprise informatique
Ce document vise à aider les organisations avec la rédaction d’un plan de reprise en cas de sinistre ou urgence informatique. Il offre une structure et les éléments importants à élaborer afin que le plan de reprise informatique des établissements du réseau couvre tous les éléments requis permettant de remettre sur pied l’infrastructure informatique.
Guide du plan de sauvegarde
Le guide vise à préciser les exigences de sécurité entourant la sauvegarde et décrit de manière explicite les étapes nécessaires pour la réalisation d’un bon plan de sauvegarde des données afin de s’assurer de leur disponibilité et de leur intégrité en tout temps.
Catégorisation des actifs basée sur l’approche de l’analyse des préjudices
Formulaire d'analyses de préjudices de sécurité et de validation des résultats
Guide expliquant ce qu'est la catégorisation des actifs, pourquoi il est important de suivre ce processus en définissant ce qu’est un préjudice et comment quantifier les préjudices pouvant affecter la confidentialité, l’intégrité et la disponibilité des actifs internes. Aussi, le formulaire fournit un chiffrier permettant de faire l’analyse des préjudices d’un actif.
Guide d'évaluation des menaces et des risques
Ce guide décrit de manière explicite la méthode utilisée, ainsi que les étapes nécessaires à la réalisation de l’analyse des menaces et des risques. Il permettra aussi d'informer les décideurs et de soutenir les réponses aux risques en identifiant les menaces pertinentes ainsi que les vulnérabilités internes et externes pour les universités.
Guide de création d'un programme de cybersécurité
Ce guide décrit la marche à suivre pour développer un programme de sécurité efficace, c’est-à-dire un programme qui est aligné sur la stratégie des établissements universitaires. Ce n’est pas un cadre normatif, par conséquent, chaque établissement est libre de choisir les mesures à mettre en place en fonction de son profil et de son appétit pour le risque.
Guide de la mise en place du processus de gestion des menaces, des vulnérabilités et des incidents
Le guide de la mise en place de la gestion des menaces, vulnérabilités et incidents est un manuel détaillé conçu pour encadrer et standardiser la gestion des risques liés à la sécurité de l'information au sein des établissements de l’Université du Québec. Ce guide propose une démarche méthodique pour identifier, évaluer, et traiter les menaces, vulnérabilités, et incidents (MVI) qui pourraient compromettre la confidentialité, l'intégrité ou la disponibilité des ressources informationnelles. Il vise à fournir un cadre opérationnel permettant d'assurer la protection efficace des systèmes d'information contre les cybermenaces. Il se conforme aux exigences légales et aux directives du gouvernement du Québec, spécifiquement la Loi sur la gouvernance et la gestion des ressources informationnelles (LGGRI).
Gabarit de politique générale de la sécurité de l’information
La présente politique constitue le cadre général qui vise la gestion des actifs informationnels dans le respect des droits et obligations de l’université en cette matière pour garantir et répondre aux objectifs de sécurité de l’information.
Guide de mise en place d'un programme de formation et de sensibilisation à la cybersécurité (nouveau)
Ce guide fourni des stratégies et des outils permettant de faciliter et de planifier les différentes activités compris dans un programme de formation et de sensibilisation à la cybersécurité, visant à renforcer la culture de sécurité au sein des organismes, à promouvoir une meilleure gestion des risques liés à l’information et à développer des compétences en matière de cybersécurité et de protection des données.
Test de sécurité applicative SAST, DAST et SCA
Ce guide propose une exploration détaillée des tests de sécurité applicative, en présentant les approches SAST, DAST, et SCA pour identifier et corriger les vulnérabilités dans le cycle de développement logiciel. Il couvre les concepts, les outils, les avantages et inconvénients de chaque méthode, ainsi que leur intégration dans les environnements Agile et DevOps.
Guide du cycle de vie du développement applicatif sécuritaire (.pdf) (nouveau)
Guide du cycle de vie du développement applicatif sécuritaire (.docx)
Ce guide présente les différents modèles de SDLC (Software Developpement Life Cycle) permettant aux équipes de mieux comprendre le fonctionnement et choisir une approche appropriée pour chaque projet de développement applicatif.