Post on 04-Apr-2015
1
Cowboys d’expérience demandés clowns s’abstenir
Gestion de la sécurité dans le Réseau de la santé
et des services sociaux
Cowboys d’expérience demandés clowns s’abstenir
Gestion de la sécurité dans le Réseau de la santé
et des services sociaux
Direction des ressources informationnelles
Pierre P. Tremblay, ing.
Direction des ressources informationnelles
Pierre P. Tremblay, ing.
2
Agenda Agenda
Introduction Juridique Organisationnel Humain Technique Conclusion
Introduction Juridique Organisationnel Humain Technique Conclusion
3
Juridique ObjectifsJuridique Objectifs
L’ensemble forme une chaîne de ressources
Le maillon des actifs informationnels devient
critique avec l’informatisation du RSSS
L’ensemble forme une chaîne de ressources
Le maillon des actifs informationnels devient
critique avec l’informatisation du RSSS
Mission – Santé et bien-être de la population Programmes -> processus d’affaires Ressources
Mission – Santé et bien-être de la population Programmes -> processus d’affaires Ressources
Doit assurer de la Disponibilité, Intégrité et Confidentialité
Doit assurer de la Disponibilité, Intégrité et Confidentialité
Financières Humaines Matérielles Informationnelles
Financières Humaines Matérielles Informationnelles
4
LSSSSProjet de loi 25 – décembre 2003
Création des CSSS et des RLS facilite la circulation d’information
Projet de loi 83 – novembre 2005 Doit garantir l’intégrité, l’authentification et
l’irrévocabilité (certificat pour signature) Inclut des mesures pour la confidentialité
Projets de règlements en élaboration Concernant la sécurité et la protection des
renseignements personnels Ententes de sécurité interorganisationnelles
LSSSSProjet de loi 25 – décembre 2003
Création des CSSS et des RLS facilite la circulation d’information
Projet de loi 83 – novembre 2005 Doit garantir l’intégrité, l’authentification et
l’irrévocabilité (certificat pour signature) Inclut des mesures pour la confidentialité
Projets de règlements en élaboration Concernant la sécurité et la protection des
renseignements personnels Ententes de sécurité interorganisationnelles
Juridique ObligationsJuridique Obligations
5
LSSSS Conséquences
Pénalités applicable à la personne de 3 000 $ – 6 000 $ par incident de confidentialité
LSSSS Conséquences
Pénalités applicable à la personne de 3 000 $ – 6 000 $ par incident de confidentialité
Juridique ConséquencesJuridique Conséquences
6
Juridique ObligationsJuridique Obligations
Code criminel canadien Suite accident mine Westray N-É en 1992 Code modifié en mars 2004 Art. 217-1 « Il incombe à quiconque dirige
l’accomplissement d’un travail et l’exécution d’une tâche, ou est habilité à le faire, de prendre des mesures voulues pour éviter qu’il en résulte des blessures corporelles pour autrui »
Imputabilité des dirigeants et professionnels à titre personnel en terme de négligence criminelle (n’ont pas assumé leur devoir de diligence) pour la sécurité physique des personnes
Code criminel canadien Suite accident mine Westray N-É en 1992 Code modifié en mars 2004 Art. 217-1 « Il incombe à quiconque dirige
l’accomplissement d’un travail et l’exécution d’une tâche, ou est habilité à le faire, de prendre des mesures voulues pour éviter qu’il en résulte des blessures corporelles pour autrui »
Imputabilité des dirigeants et professionnels à titre personnel en terme de négligence criminelle (n’ont pas assumé leur devoir de diligence) pour la sécurité physique des personnes
7
Code criminel canadien
Relation avec le RSSS ?
Manque de disponibilité (ex. dossier patient aux urgences) et intégrité (posologie – un 0 de plus) de l’information causant lésion physique à un citoyen
S’expose personnellement à un casier judiciaire et amendes < = xx 000 $
Code criminel canadien
Relation avec le RSSS ?
Manque de disponibilité (ex. dossier patient aux urgences) et intégrité (posologie – un 0 de plus) de l’information causant lésion physique à un citoyen
S’expose personnellement à un casier judiciaire et amendes < = xx 000 $
Juridique ConséquencesJuridique Conséquences
8
Organisationnel Plan de mise en oeuvreOrganisationnel Plan de mise en oeuvre
Niveau national Politique RSSS – CGGAI Outils (guides) Directives, standards Optimisation RTSS – TI & processus
Niveau régional et local Contrôle et suivi
- Plan pour les organismes et établissements Réévaluation et réajustement
Niveau national Politique RSSS – CGGAI Outils (guides) Directives, standards Optimisation RTSS – TI & processus
Niveau régional et local Contrôle et suivi
- Plan pour les organismes et établissements Réévaluation et réajustement
9
Cadre global de gestion des actifs informationnels (CGGAI)
Politique de sécurité pour le RSSS Cadre de gestion (rôles et responsabilités) Mesures (63) minimales et obligatoires à mettre en place
Actifs informationnels : Papier, numérique et infrastructure
Adoption en septembre 2002
Cadre global de gestion des actifs informationnels (CGGAI)
Politique de sécurité pour le RSSS Cadre de gestion (rôles et responsabilités) Mesures (63) minimales et obligatoires à mettre en place
Actifs informationnels : Papier, numérique et infrastructure
Adoption en septembre 2002
Organisationnel PolitiqueOrganisationnel Politique
10
1. Guide de rédaction de politiques de sécurité de l’information – MSSS, juin 2003
2. Guide de catégorisation des actifs informationnels – MSSS v1 2003, v2 juin 2004 et v3 déc. 2005
3. Guide de rédaction d’un plan directeur de la sécurité des actifs informationnels – MSSS – v1 juin 2003 et v2 avril 2006
4. Guide recueil des mesures – MSSS – nov. 2003
5. Guide de la gestion des incidents de sécurité – MSSS – nov. 2003
1. Guide de rédaction de politiques de sécurité de l’information – MSSS, juin 2003
2. Guide de catégorisation des actifs informationnels – MSSS v1 2003, v2 juin 2004 et v3 déc. 2005
3. Guide de rédaction d’un plan directeur de la sécurité des actifs informationnels – MSSS – v1 juin 2003 et v2 avril 2006
4. Guide recueil des mesures – MSSS – nov. 2003
5. Guide de la gestion des incidents de sécurité – MSSS – nov. 2003
Organisationnel Outil: Élaboration des guides - MSSSOrganisationnel Outil: Élaboration des guides - MSSS
11
Processus formel d’élaboration et d’adoption
Statut Normes et standards > 460 Directives > 60
Diffusion Site Internet
URL : http://www.msss.gouv.qc.ca/ri Site Intranet RSSS
URL : intranetreseau.rtss.qc.ca
Processus formel d’élaboration et d’adoption
Statut Normes et standards > 460 Directives > 60
Diffusion Site Internet
URL : http://www.msss.gouv.qc.ca/ri Site Intranet RSSS
URL : intranetreseau.rtss.qc.ca
Organisationnel Directives, standards et architecturesOrganisationnel Directives, standards et architectures
12
Analyse préliminaire faite en 2004 RSSS représente environ
350 organismes 200 000 personnes 85 000 postes 10 000 serveurs 105 salles de serveurs
110 millions pour mettre le RSSS à niveau pour les quatre volets : Juridique, Organisationnel, Humain et Technologique
Besoin d’optimisation
des infrastructures technologiques de la gestion opérationnelle
Analyse préliminaire faite en 2004 RSSS représente environ
350 organismes 200 000 personnes 85 000 postes 10 000 serveurs 105 salles de serveurs
110 millions pour mettre le RSSS à niveau pour les quatre volets : Juridique, Organisationnel, Humain et Technologique
Besoin d’optimisation
des infrastructures technologiques de la gestion opérationnelle
Organisationnel OptimisationOrganisationnel Optimisation
13
Programme d’assurance qualitéAmélioration des processus
La définition formelle des processus Le contrôle de la qualité Suivi d’indicateurs précis et mesurables
Stratégie Basée sur les référentiels des meilleures pratiques Augmentation de la maturité du RSSS, en terme de
capacité, un processus à la fois Implantation par le biais de la structure de
gouverne
Programme d’assurance qualitéAmélioration des processus
La définition formelle des processus Le contrôle de la qualité Suivi d’indicateurs précis et mesurables
Stratégie Basée sur les référentiels des meilleures pratiques Augmentation de la maturité du RSSS, en terme de
capacité, un processus à la fois Implantation par le biais de la structure de
gouverne
Organisationnel Optimisation des processusOrganisationnel Optimisation des processus
1- Les technocentres (TCN -> TCRs) et les services RTSS2- Les établissements et autres services TI1- Les technocentres (TCN -> TCRs) et les services RTSS2- Les établissements et autres services TI
14
Le cadre de gestion stratégique des RI Basé sur « Control Objectives for Information and
related Technology » (COBIT )
4 Domaines, 33 processus et 387 contrôles Planification & organisation Acquisition & implantation Gestion opérationnelle et tactique -> ITIL Suivi et contrôle
Le cadre de gestion stratégique des RI Basé sur « Control Objectives for Information and
related Technology » (COBIT )
4 Domaines, 33 processus et 387 contrôles Planification & organisation Acquisition & implantation Gestion opérationnelle et tactique -> ITIL Suivi et contrôle
Organisationnel Optimisation des processusOrganisationnel Optimisation des processus
15
Organisationnel Optimisation des processusOrganisationnel Optimisation des processus
Le cadre de gestion opérationnelle Basé sur Bibliothèque d’infrastructure pour les TI (ITIL)
Une fonction et 10 processus Fonction : Centre de service
Opérationnels : Gestion des incidents, pannes, configuration, changements, mise en production
Tactiques : Gestion de la disponibilité, capacité, continuité, financière et des niveaux de service
Présentement en déploiement Fonction et processus opérationnels
NOTE : Permet de rencontrer 80% d’ISO17799
Le cadre de gestion opérationnelle Basé sur Bibliothèque d’infrastructure pour les TI (ITIL)
Une fonction et 10 processus Fonction : Centre de service
Opérationnels : Gestion des incidents, pannes, configuration, changements, mise en production
Tactiques : Gestion de la disponibilité, capacité, continuité, financière et des niveaux de service
Présentement en déploiement Fonction et processus opérationnels
NOTE : Permet de rencontrer 80% d’ISO17799
16
Organisationnel Optimisation des processusOrganisationnel Optimisation des processus
Cadre de la gestion de la sécurité ISO27001 pour le système de gestion de l’information de
sécurité (amélioration continue)
Roue de Deming Planifier Améliorer Réaliser Contrôler ISM3 amélioration (de la maturité) des processus de sécurité (stratégique, tactique et opérationnel)
ISO17799 (133 mesures) pour la gestion de la sécurité, Sert de seuil dans la jurisprudence aux États-Unis
Le principe de diligence raisonnable est
déterminé en fonction des contrôles d’ISO17799
Bientôt ISO27799 spécifique pour la santé
Cadre de la gestion de la sécurité ISO27001 pour le système de gestion de l’information de
sécurité (amélioration continue)
Roue de Deming Planifier Améliorer Réaliser Contrôler ISM3 amélioration (de la maturité) des processus de sécurité (stratégique, tactique et opérationnel)
ISO17799 (133 mesures) pour la gestion de la sécurité, Sert de seuil dans la jurisprudence aux États-Unis
Le principe de diligence raisonnable est
déterminé en fonction des contrôles d’ISO17799
Bientôt ISO27799 spécifique pour la santé
17
Sécurité opérationnelle au niveau national assurée par la SOGIQUE Surveillance 24/7 et contrôle au niveau du périmètre, de l’intranet et l’extranet
Veille des vulnérabilités, service d’alertes et de réponse aux incidents
Conseils de sécurité dans le développement des systèmes et aux établissements (révision d’architecture, audits et tests d’intrusions)
Mise en œuvre des orientations du MSSS
Sécurité opérationnelle au niveau national assurée par la SOGIQUE Surveillance 24/7 et contrôle au niveau du périmètre, de l’intranet et l’extranet
Veille des vulnérabilités, service d’alertes et de réponse aux incidents
Conseils de sécurité dans le développement des systèmes et aux établissements (révision d’architecture, audits et tests d’intrusions)
Mise en œuvre des orientations du MSSS
Organisationnel Suivi et contrôle opérationnelOrganisationnel Suivi et contrôle opérationnel
Évolution de la menace Stratégie de défense en profondeur ITIL et ISO27001
Évolution de la menace Stratégie de défense en profondeur ITIL et ISO27001
18
1- Politique par organisme
2- Programme de sensibilisation et formation
3- Mise en œuvre des 15 mesures prioritaires
4- Catégorisation des actifs informationnels (DIC)
5- Plan directeur par organisme (Roue - Planifier)3a Situation actuelle3b Analyse de risque 3c Bien livrable : dossier d’affaires et plan
1- Politique par organisme
2- Programme de sensibilisation et formation
3- Mise en œuvre des 15 mesures prioritaires
4- Catégorisation des actifs informationnels (DIC)
5- Plan directeur par organisme (Roue - Planifier)3a Situation actuelle3b Analyse de risque 3c Bien livrable : dossier d’affaires et plan
Organisationnel Niveau régional et local Plan de mise en œuvre du CGGAI par organismeOrganisationnel Niveau régional et local Plan de mise en œuvre du CGGAI par organisme
19
6- Mise en œuvre des mesures du plan directeur les 63 mesures et plus (Roue - Réaliser)
7- Contrôle (audits) (Roue - Contrôler)
8- Suivi – indicateurs et tableaux de bord
9- Réévaluation et réajustement (Roue - Améliorer) Roue de l’amélioration continue en retournant à l’étape
4
6- Mise en œuvre des mesures du plan directeur les 63 mesures et plus (Roue - Réaliser)
7- Contrôle (audits) (Roue - Contrôler)
8- Suivi – indicateurs et tableaux de bord
9- Réévaluation et réajustement (Roue - Améliorer) Roue de l’amélioration continue en retournant à l’étape
4
Organisationnel Niveau régional et local Plan de mise en œuvre du CGGAI par organisme
(suite)
Organisationnel Niveau régional et local Plan de mise en œuvre du CGGAI par organisme
(suite)
20
Outils Programme de formation et de sensibilisation Ressources humaines
Outils Programme de formation et de sensibilisation Ressources humaines
Volet humain Volet humain
21
1. Préparation du matériel – terminée - MSSS
2. Formation des formateurs – terminée printemps 2004 - MSSS
3. Formation des agents multiplicateurs - automne 2004 à hiver 2005 - Agences
4. Formation des intervenants – printemps 2005 à hiver 2006 – Organismes
Clientèle cible : + 200 000 personnes
1. Préparation du matériel – terminée - MSSS
2. Formation des formateurs – terminée printemps 2004 - MSSS
3. Formation des agents multiplicateurs - automne 2004 à hiver 2005 - Agences
4. Formation des intervenants – printemps 2005 à hiver 2006 – Organismes
Clientèle cible : + 200 000 personnes
Volet humain Outils de formation et plan de formationVolet humain Outils de formation et plan de formation
Guide : Politique de sécurité de l’informationGuide : Politique de sécurité de l’information
22
Guide : Catégorisation des actifs informationnels1. Préparation du matériel – terminée - MSSS
2. Formation des formateurs – hiver 2005 - printemps 2005 - MSSS
3. Formation des agents multiplicateurs - printemps 2005 à automne 2005 - Agences
4. Formation des intervenants – automne 2005 à printemps 2006 – Organismes
Guide : Élaboration du plan directeur
Guide : Catégorisation des actifs informationnels1. Préparation du matériel – terminée - MSSS
2. Formation des formateurs – hiver 2005 - printemps 2005 - MSSS
3. Formation des agents multiplicateurs - printemps 2005 à automne 2005 - Agences
4. Formation des intervenants – automne 2005 à printemps 2006 – Organismes
Guide : Élaboration du plan directeur
Volet humain Outils de formation et plan de formationVolet humain Outils de formation et plan de formation
23
Infrastructures communes du RSSS Service RTSS et ses infrastructures de sécurité Acquisition dans le cadre du plan d’informatisation Outil de gestion de la sécurité SAGeS qui permet
La gestion de l’inventaire la catégorisation des actifs L’état de situation La conformité CGGAI et ISO17799 L’analyse et la gestion du risque (principe de base) L’élaboration des plans directeurs d’amélioration de la sécurité
des actifs informationnels
Outil SAGeS sera disponible début juin 2006
Infrastructures communes du RSSS Service RTSS et ses infrastructures de sécurité Acquisition dans le cadre du plan d’informatisation Outil de gestion de la sécurité SAGeS qui permet
La gestion de l’inventaire la catégorisation des actifs L’état de situation La conformité CGGAI et ISO17799 L’analyse et la gestion du risque (principe de base) L’élaboration des plans directeurs d’amélioration de la sécurité
des actifs informationnels
Outil SAGeS sera disponible début juin 2006
Volet technologique Volet technologique
24
Risque = menace X probabilité d’exploiter X vulnérabilitéOptions
1. Ignorer les risques : La population n’acceptera pas ceci de ses institutions publiques.
2. Évaluer et transférer le risque : La population n’accepte pas que le gouvernement transfère ses actifs informationnels du RSSS au privé.
3. Évaluer et accepter les risques : oui, si les conséquences sont moins importantes que les mesures.
4. Évaluer et mitiger les risques inacceptables par des mesures de contrôle qui diminuent le risque à un niveau acceptable.
Risque = menace X probabilité d’exploiter X vulnérabilitéOptions
1. Ignorer les risques : La population n’acceptera pas ceci de ses institutions publiques.
2. Évaluer et transférer le risque : La population n’accepte pas que le gouvernement transfère ses actifs informationnels du RSSS au privé.
3. Évaluer et accepter les risques : oui, si les conséquences sont moins importantes que les mesures.
4. Évaluer et mitiger les risques inacceptables par des mesures de contrôle qui diminuent le risque à un niveau acceptable.
Conclusion Gestion du risqueConclusion Gestion du risque
25
Dans le contexte actuel, il y a toujours une possibilité que des incidents de sécurité, en terme de bris de disponibilité, d’intégrité et de confidentialité causant des lésions morales ou physiques à la population, vont se produire.
Dans le contexte actuel, il y a toujours une possibilité que des incidents de sécurité, en terme de bris de disponibilité, d’intégrité et de confidentialité causant des lésions morales ou physiques à la population, vont se produire.
Conclusion Gestion du risqueConclusion Gestion du risque
26
Conclusion Choisissez votre rôleConclusion Choisissez votre rôle
Êtes-vous le cowboy qui : Juridique - Connaît les enjeux juridiques Organisationnel - Est organisé pour gérer la sécurité
• Politique, directives, processus, catégorisation, analyse de risque, a élaboré son plan directeur et débuté la mise en œuvre de mesures pour mitiger les risques les plus importants.
Humain - A sensibilisé et formé les ressources humaines
Technologique - Adhère aux orientations et servicestechnologiques du RSSS
Êtes-vous le cowboy qui : Juridique - Connaît les enjeux juridiques Organisationnel - Est organisé pour gérer la sécurité
• Politique, directives, processus, catégorisation, analyse de risque, a élaboré son plan directeur et débuté la mise en œuvre de mesures pour mitiger les risques les plus importants.
Humain - A sensibilisé et formé les ressources humaines
Technologique - Adhère aux orientations et servicestechnologiques du RSSS
27
La présentation est disponible sur le site Internet du MSSS sous la rubrique Actualités – Présentations de la section consacrée aux ressources informationnelles
http://www.msss.gouv.qc.ca/ri
La présentation est disponible sur le site Internet du MSSS sous la rubrique Actualités – Présentations de la section consacrée aux ressources informationnelles
http://www.msss.gouv.qc.ca/ri
Merci Merci