Guide de rédaction d`une politique de sécurité de l`information

Commentaires

Transcription

Guide de rédaction d`une politique de sécurité de l`information
Politique de sécurité
de l’information
Guide de rédaction
Trousse d’outils
Document adopté par :
•
•
Le Comité national sur la protection des renseignements personnels et la sécurité (CNPRPS) le
23 septembre 2003
La Table des coordonnateurs régionaux de la sécurité des actifs informationnels le 20 février 2003
Juin 2003
Version 1.1
Guide de rédaction d’une politique de sécurité de
l’information
Ce guide a été élaboré par le cabinet KPMG sous la supervision de la Direction du
Technocentre national et de SOGIQUE :
M. Robert Brochu
Conseiller principal en sécurité et technologie
Société de gestion informatique inc. (SOGIQUE)
Francis Beaudoin
Directeur principal – Groupe sécurité de l’information
KPMG s.r.l.
Personnes consultées :
Jean Laterrière
Directeur du Technocentre national
Société de gestion informatique inc.
(SOGIQUE)
Éric Dallaire
Coordonnateur de la sécurité du réseau
Direction des ressources informationnelles
MSSS
Richard Halley
Conseiller en sécurité
Direction des ressources informationnelles
MSSS
Yves Viau
Coordonnateur des ressources
informationnelles
Agence de la santé et des services sociaux des
Laurentides
Gilles Potvin
Coordonnateur des technologies de
l’information
Agence de la santé et des services sociaux de
Lanaudière
Nathalie Malo
Analyste-conseil en technologie de
l’information
Agence de la santé et des services sociaux de
Lanaudière
Yvan Fournier
Responsable du secteur serveur et sécurité
Centre hospitalier universitaire de Québec
Lucie Beauregard
Coordonnatrice sécurité et confidentialité /
service informatique
Centre universitaire de santé McGill
Denis Lebeuf
Officier de sécurité
Centre hospitalier de l'Université de Montréal
Jean Asselin
Coordonnateur, secteur ressources matérielles,
financières et informationnelles
Association des Centres jeunesse du Québec
Normand Baker
Directeur général
CLSC Frontenac et Centre hospitalier région
amiante
I
Membres du comité de lecture et de validation :
Jean Laterrière
Directeur du Technocentre national
Société de gestion informatique inc.
(SOGIQUE)
Éric Dallaire
Coordonnateur de la sécurité du réseau
Direction des ressources informationnelles
MSSS
Robert Brochu
Conseiller senior en sécurité et technologie
Société de gestion informatique inc.
(SOGIQUE)
Francis Beaudoin
Directeur principal – Groupe sécurité de
l’information
KPMG s.r.l.
Hans Brière
Jocelyne Legras
Analyste en informatique / responsable du
dossier de la sécurité de l’information régionale
Agence de la santé et des services sociaux de la
Capitale-Nationale
Coordonnateur régional de la sécurité des actifs
informationnels
Technocentre régional de l’Estrie
Gilles Potvin
Coordonnateur des technologies de
l’information
Agence de la santé et des services sociaux de
Lanaudière
Dans ce document, le générique masculin est utilisé pour simplifier la lecture du texte, mais
s'applique autant pour le féminin que pour le masculin.
Pour toute question ou commentaire, veuillez communiquer avec votre coordonnateur régional de
la sécurité de l'information.
Remerciements
L’équipe de réalisation tient à remercier toutes les personnes ayant collaboré avec elle.
II
TABLE DES MATIÈRES
1
CONTEXTE ............................................................................................................................ 1
2
OBJECTIFS DU GUIDE ....................................................................................................... 4
2.1 OBJECTIFS.............................................................................................................................. 4
2.2 AUDIENCE.............................................................................................................................. 4
2.2 LIMITATIONS ......................................................................................................................... 5
2.3 SOUTIEN ................................................................................................................................ 5
3
GÉNÉRALITÉS SUR LES POLITIQUES DE SÉCURITÉ .............................................. 6
3.1 POSITIONNEMENT DE LA POLITIQUE DE L’INFORMATION ...................................................... 6
4
PROCESSUS D’ÉLABORATION D’UNE POLITIQUE DE SÉCURITÉ DE
L’INFORMATION................................................................................................................. 8
4.1 LES FACTEURS CLÉS DE RÉUSSITE ......................................................................................... 8
4.2 COMPOSITION DE L’ÉQUIPE DE PROJET.................................................................................. 9
4.3 LES ÉTAPES ............................................................................................................................ 9
5
ÉLÉMENTS D’UNE POLITIQUE DE SÉCURITÉ DE L’INFORMATION ................ 18
5.1 STRUCTURE DE LA POLITIQUE ............................................................................................. 18
5.2 LES SECTIONS DE LA POLITIQUE .......................................................................................... 18
ANNEXE A – EXEMPLE DE POLITIQUE ............................................................................ 30
ANNEXE B – FICHE-MANDAT............................................................................................... 44
1
IDENTIFICATION DU PROJET.............................................................................................. 44
2
COMPOSITION DE L’ÉQUIPE DE PROJET............................................................................. 44
3
ÉCHÉANCIERS ................................................................................................................... 44
4
OBJECTIFS DU MANDAT .................................................................................................... 44
5
LES RESSOURCES NÉCESSAIRES À L’ÉLABORATION DE LA POLITIQUE. ............................ 45
6
LES RESSOURCES NÉCESSAIRES À LA MISE EN PLACE ET AU SUIVI ................................... 45
7
ENGAGEMENT DES PARTIES .............................................................................................. 45
ANNEXE C – RÉFÉRENCES ................................................................................................... 46
ANNEXE D – EXEMPLE DE PRÉOCCUPATIONS.............................................................. 48
i
1
CONFIDENTIALITÉ DES RENSEIGNEMENTS ....................................................................... 48
2
PROTECTION DE LA CONFIANCE DES CITOYENS ............................................................... 48
3
UTILISATION DE L’INTERNET ET DU COURRIER ÉLECTRONIQUE ...................................... 49
4
…...................................................................................................................................... 49
ANNEXE E – ANALYSE DES IMPACTS DE LA POLITIQUE........................................... 50
ANNEXE F – CADRE NORMATIF ......................................................................................... 52
ANNEXE G – LEXIQUE............................................................................................................ 53
ANNEXE H – FONDEMENTS JURIDIQUES ........................................................................ 63
ii
1 Contexte
La sécurité des actifs informationnels1 est devenue une préoccupation majeure des intervenants
oeuvrant dans le domaine de la santé. Étant donné l’importance stratégique des systèmes
d’information utilisés par les établissements et les organismes2 de même que la nature sensible
des informations qu’ils traitent, la sécurisation des actifs informationnels devient un enjeu
stratégique pour le réseau sociosanitaire.
En ce sens, le ministère de la Santé et des Services sociaux a récemment officialisé le Cadre
global de gestion des actifs informationnels appartenant aux établissements du réseau de la santé
et des services sociaux – Volet sur la sécurité (appelé « Cadre global » ci-après). Le Cadre global
vise à communiquer, les obligations et les rôles de chacun des intervenants en matière de sécurité
des actifs informationnels. À ce titre, les établissements ont notamment l'obligation de se doter
d'une politique de sécurité tel que stipulé à l'article 3.3 de la Politique nationale sur la sécurité des
actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux
inclus dans le Cadre global.
Afin de les appuyer dans leurs efforts, le ministère de la Santé et des Services sociaux du Québec
a créé en octobre 2001 la « Table des coordonnateurs régionaux en sécurité des actifs
informationnels » (TCRSAI) afin d’échanger et de partager sur les enjeux reliés au déploiement
du Cadre global. Or, la responsabilité de sécuriser les actifs informationnels revient aux
propriétaires des actifs afin d’apporter un support aux
établissements. SOGIQUE a été
mandatée pour développer une trousse destinée à accompagner et à supporter les établissements
dans l’implantation du Cadre global.
C’est donc dans ce contexte que le présent « guide de rédaction d’une politique de sécurité de
l'information » a été développé.
1 La notion d’actif informationnel est définie au lexique. De plus, le domaine d’application de la sécurité
de l’information est défini au Cadre global à l’article 2, page 7.
2
Dans un souci d'allègement du texte, nous utiliserons uniquement le terme « établissements » pour
désigner l'ensemble des organismes du secteur sociosanitaire assujetti à l'application du Cadre global
art. 2
1
Il est important de mentionner que la portée du présent guide se limite aux questions directement
reliées à la sécurité de l’information et n’adresse pas l’ensemble des domaines à considérer en
matière de gestion de l’information. Ces domaines sont présentés à l’intérieur de la figure 1 de ce
document qui permet de bien situer les principaux éléments qui déterminent et établissent les
critères et les obligations au regard de la sécurité de l’information et, de plus, qui influencent
directement la gestion de l’information, et ce, quel que soit son support.
La figure 1 présente quatre (4) niveaux qui s’articulent du haut vers le bas. Il est à noter que
chaque niveau influence le suivant.
Niveau 1
Le premier niveau identifie les sept (7) principaux domaines à considérer dans une approche
globale de gestion de l’information. Ces domaines sont, pour la plupart, chapeautés par un (e) ou
plusieurs lois ou règlements. Ils déterminent également les grands paramètres et les obligations
des organismes du réseau de la santé et des services sociaux en matière de sécurité de
l’information.
Niveau 2
Le deuxième niveau représente les trois (3) objectifs (disponibilité, intégrité et confidentialité) de
la sécurité de l’information et les deux (2) objectifs de la sécurité des transmissions
(authentification et irrévocabilité). Chacun des domaines de gestion de l’information génère des
paramètres ou des obligations aux organismes au regard de l’un ou plusieurs de ces objectifs.
Par exemple, le domaine de l’accès à l’information (Loi sur l’accès aux documents des
organismes publics et sur la protection des renseignements personnels) influence principalement
la gestion de la confidentialité et de la disponibilité de l’information, alors que le domaine de la
gestion des documents et des archives peut être déterminant pour la disponibilité. Les lois en
vigueur dans le domaine de la santé et des services sociaux concernent les trois (3) objectifs de la
sécurité de l’information, soit la disponibilité, l’intégrité et la confidentialité et, parfois, les deux
objectifs de la transmission des informations qui sont l’authentification et l’irrévocabilité.
2
Niveau 3
Le troisième niveau englobe l’ensemble des mesures globales de sécurité édictées au niveau
national. La plupart de ces mesures ont un impact sur les obligations des organismes du réseau en
matière de sécurité de l’information.
Niveau 4
Le quatrième niveau présente les différents niveaux de documentation de la gestion de la sécurité
de l’information dans un organisme. Ce niveau fait l’objet de la section 3.1 du présent guide.
Positionnement de la sécurité de l'information du réseau de la santé et des services sociaux
GESTION DE L'INFORMATION
NIVEAU 1
Domaines déterminant les grands paramètres de la sécurité de l'information dans le réseau de la santé et des services sociaux
Lois et réglements,
internationaux
canadiens, québecois,
Lois en vigueur dans
le domaine de la
santé et des services
sociaux
Protection de la vie
privée
Protection des
renseignements
personnels
Accès à l'information
NIVEAU 2
Gestion des
documents et des
archives
(quel que soit le
support)
Propriété intellectuelle
Protection des
données corporatives
DISPONIBILITÉ
INTÉGRITÉ
CONFIDENTIALITÉ
SÉCURITÉ DE
L'INFORMATION
ET DES TRANSMISSIONS
AUTHENTIFICATION
IRRÉVOCABILITÉ
NIVEAU 3
Gestion de la sécurité de l'information du réseau de la santé et des services sociaux
Exigences minimales en matière de sécurité pour le raccordement au RTSS (juillet 1999)
Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux - Volet sécurité
Politique Nationale - Rôles et responsabilités - Mesures (obligatoires et minimales) (septembre 2002)
NIVEAU 4
Gestion de la sécurité de l'information d'un organisme du réseau de la santé et des services sociaux
Politique de sécurité locale
en lien avec le cadre législatif, le cadre global, la mission de l'organisme et ses caractéristiques organisationnelles
Normes et directives
Procédures
16-05-2003
Figure 1 : Positionnement de la sécurité de l’information du réseau de la santé et des
services sociaux
3
2 Objectifs du guide
2.1 Objectifs
L’objectif du présent guide est de supporter les établissements dans l’élaboration de leur politique
de sécurité. Afin de s’assurer que le guide soit adapté aux particularités des établissements de la
santé et de services sociaux, une approche consultative a été adoptée lors de son élaboration. À
cet effet, des établissements de toutes tailles et de vocations différentes ont été rencontrés afin
d’identifier et de documenter les enjeux et les besoins des intervenants, de même que leur vision
de ce que devrait être une politique de sécurité de l’information.
Le guide est construit autour de deux sections principales, soit :
•
La section 4 - Processus d’élaboration d’une politique de sécurité de l’information;
•
La section 5 - Éléments d’une politique de sécurité de l’information.
La section quatre (4) propose une méthodologie permettant d’élaborer une politique. La méthode
proposée se veut consultative afin de favoriser l’adhésion des intervenants aux objectifs et
énoncés de la politique adoptée par la direction de l'établissement. Comme toute méthode de
travail, cette dernière devra être adaptée aux particularités de chaque établissement.
La section (5) cinq, quant à elle, présente les sections qui devraient se retrouver dans une
politique. Pour chaque section, l’objectif de la section, les meilleures pratiques en la matière ainsi
qu’une liste de suggestions et un exemple sont présentés. De plus, l’annexe A présente un
exemple complet de politique de sécurité de l'information.
2.2 Audience
Ce guide s’adresse principalement aux personnes suivantes :
•
Responsable à qui la tâche de mener l’exercice de classification des actifs
informationnels a été assignée (qui, dans la majorité des cas, devrait être le
responsable de la sécurité des actifs informationnels, RSAI)
4
•
Le responsable de la sécurité des actifs informationnels (RSAI)
•
Le responsable de la protection des renseignements personnels (RPRP)
•
Les détenteurs d'actifs informationnels
•
Le directeur de la gestion des ressources informationnelles ou le responsable du
service informatique
•
Le responsable des archives
•
Le professionnel en sécurité de l’information
2.2 Limitations
La disparité entre les établissements et les différents stades d'avancement des activités de gestion
reliées à la sécurité de l'information au sein de chacun des établissements font en sorte que le
guide devra être adapté et ne se substitue en aucun cas au jugement professionnel des intervenants
des établissements.
2.3 Soutien
Les agences de la santé et des services sociaux ont le mandat de supporter les établissements dans
leur démarche d’élaboration d’une politique de sécurité de l’information. Pour toutes questions
concernant ce guide, vous pouvez vous adresser au coordonnateur de votre région.
5
3 Généralités sur les politiques de sécurité
3.1 Positionnement de la politique de l’information
Il existe des différences fondamentales
dans les termes « Politiques », « Normes »
Politique de sécurité
et « Procédures », et il est important de
bien comprendre la portée de chacun de
ces concepts. La politique de sécurité
Normes et directives
de sécurité
adresse la volonté et la vision de la
direction
en
terme
de
sécurité.
La
politique de sécurité présente les principes
directeurs sur la vision et les objectifs de
la haute direction en matière de sécurité
Procédures de sécurité
de l’information ainsi que les moyens qui
doivent être mis en place pour les
atteindre. Elle est la pierre angulaire des
Figure 2 – Relations entre la politique, les normes et
directives, et les procédures de sécurité
normes et directives de sécurité qui
constituent le second niveau de documentation. Les normes et directives de sécurité sont des
énoncés permettant d’indiquer quels sont les standards organisationnels de sécurité pour chacun
des domaines importants identifiés par l’organisation. Les normes et directives peuvent s’adresser
à des domaines, tels la gestion des codes utilisateur, l’utilisation du courrier électronique, la
navigation sur Internet, les mots de passe, la classification des informations, la gestion des
changements, le suivi des activités, l’utilisation de la micro-informatique, etc. Par exemple, on ne
devrait pas parler de « Politique d’utilisation de l’Internet » mais plutôt de la « Norme
d’utilisation de l’Internet ». Les normes et directives sont multiplateformes et s’adressent donc à
l’ensemble de l’information et des systèmes d’information de l’organisme. Finalement, les
procédures de sécurité permettent de définir spécifiquement, pour chaque plateforme, comment
appliquer les normes et directives de sécurité. L’annexe F – Cadre normatif – illustre le rôle de
chacun des documents.
6
Précision sur les types de politiques de sécurité
Il existe deux types de politiques : les politiques « détaillées » et les politiques « de haut niveau ».
L’approche de haut niveau est l’approche à privilégier. Selon cette approche, la politique doit
avant tout spécifier les objectifs, la portée, les principes directeurs, et les principaux rôles et
responsabilités de chacun.
Ce type de politique évite de spécifier les moyens pour atteindre les objectifs ou de formuler des
prescriptions en matière de gestion laissant ces aspects aux normes et procédures. Comme la
politique sera adoptée par le conseil d’administration de l’établissement, il est important d’éviter
d’y inclure des normes techniques ou des procédures qui sont susceptibles de changer assez
fréquemment, sans quoi, l’évolution de la politique risque d’être laborieuse.
La politique se doit d’être assez de haut niveau afin de bien préciser la volonté et les
attentes de la direction en matière de sécurité de l’information.
7
4 Processus d’élaboration d’une politique
de sécurité de l’information
4.1 Les facteurs clés de réussite
Les meilleures pratiques en matière de politique de sécurité de l’information prescrivent un style
clair, concis et direct. La politique doit avant tout être compréhensible et conviviale pour le
lecteur. Il est recommandé d’éviter d’utiliser des termes techniques ou d’expliquer ces derniers au
lexique.
Le succès de l'initiative nécessite une volonté de la direction qui se traduit par une implication et
le support de cette dernière. Sans cette implication, il sera difficile d’obtenir l’adhésion des
intervenants et la politique n’atteindra pas ses objectifs. Nous vous rappelons que la sécurité de
l'information est d'abord une démarche organisationnelle qui inclut les technologies de
l'information, mais qui en dépasse largement les frontières. De même, il est important de
positionner la sécurité de l'information comme un processus qui nécessite des efforts continus et
non pas comme un problème ponctuel, pouvant être résolu grâce à la mise en place de mesures
exclusivement technologiques.
Le succès de la politique et son respect nécessitent une compréhension des enjeux et des risques
de la part des utilisateurs qui y seront assujettis. Cette compréhension devra être inculquée aux
utilisateurs par des efforts continuels de sensibilisation et de formation qui nécessiteront
l'implication d’un ensemble de collaborateurs tout particulièrement des directions ressources
humaines.
Enfin, il est à noter que sans les ressources nécessaires à la diffusion, à l’implantation, à la
sensibilisation et à la formation, la politique ne pourra atteindre ses objectifs.
8
4.2 Composition de l’équipe de projet
Nous recommandons de constituer un comité de sécurité provisoire qui supportera le chargé de
projet dans son mandat d'élaboration de la politique. Le groupe devrait être composé des
intervenants suivants :
•
le responsable de la sécurité des actifs informationnels de l’établissement (RSAI);
•
quelques utilisateurs en mesure de représenter les détenteurs et les utilisateurs de
système (pilotes ou utilisateurs-experts);
•
le responsable de l’application de la Loi d’accès de l’établissement;
•
le responsable du service informatique;
•
le responsable des archives;
•
un membre de la direction des ressources humaines.
4.3 Les étapes
Cette section présente les étapes nécessaires à l’élaboration d’une politique. Comme nous l’avons
mentionné précédemment à la section 2.2 Limitations, le processus présenté à la figure 3 devra
être adapté pour chacun des établissements en fonction de sa taille, sa structure organisationnelle,
sa culture organisationnelle et l'état d'avancement de ses travaux face à la sécurité de
l’information.
9
Le cycle de développement et de mise à jour d’une politique de sécurité de l'information peut
s’étendre sur une période de quelques mois à plus d’une année, en fonction de la structure
organisationnelle de l’établissement et des méthodes de validation et d’adoption qui ont été
choisies. Les activités suivantes font généralement partie du processus d’élaboration :
•
étape 1 : engagement de la direction;
•
étape 2 : recherche et balisage (le guide vise à réduire l'ampleur de cette étape);
•
étape 3 : recensement des préoccupations;
•
étape 4 : rédaction;
•
étape 5 : analyse des impacts;
•
étape 6 : validation;
•
étape 7 : adoption par le conseil d’administration;
•
étape 8 : diffusion et sensibilisation.
Engagement
de la direction
Recherche
et balisage
Recensement des
préoccupations
Rédaction
Analyse
des
impacts et
validation
Adoption
et diffusion
Validation, rétroaction et mise à jour
Figure 3 – Processus d’élaboration et de mise à jour d’une politique de sécurité de l’information
4.3.1 Étape 1 - Engagement de la direction
Cette première étape est en lien direct avec la section 4.1 Les facteurs clés de réussite et vise à
obtenir un mandat clair de la part de la haute direction pour développer la politique. Ce mandat
devrait être discuté entre les membres de l’équipe qui seront chargés d’élaborer la politique et la
direction. Les thèmes abordés lors de la définition du mandat devraient être notamment :
10
•
les objectifs poursuivis par la direction en matière de sécurité de l’information. Par
exemple : se conformer aux lois, assurer la sécurité des usagers, etc.;
•
l'engagement de la haute direction à participer activement à l’exercice. Le support
de la direction est particulièrement crucial lors des étapes de recensement des
préoccupations, de validation et d’adoption;
•
les ressources (humaines et financières) nécessaires à l’élaboration de la politique.
Certaines personnes doivent être libérées partiellement ou entièrement de leurs
tâches habituelles;
•
les ressources (humaines et financières) nécessaires à la mise en place et au suivi de
la politique, dont les mesures de sensibilisation et de formation qui en découlent.
D’autres préoccupations d’ordre logistique devraient aussi être discutées, telles que les
échéanciers et le calendrier de réalisation.
Nous recommandons à l’équipe de projet de documenter son mandat et d’élaborer une « fichemandat ». L’annexe B présente un exemple de fiche-mandat pouvant être utilisée.
4.3.2 Étape 2 - Recherche et balisage
La recherche et le balisage sont des activités qui visent deux objectifs, soit :
•
identifier les tendances en matière de politique de sécurité;
•
recenser les politiques existantes afin d’en dégager les meilleures pratiques.
Le présent guide devrait faciliter au maximum cette étape en fournissant un ensemble de
meilleures pratiques, de références et de sources d’information. À ce chapitre, nous invitons le
lecteur à consulter l’annexe C où nous présentons une liste de références. De plus, nous
fournissons à l’annexe A, un exemple d’une politique.
11
4.3.3 Étape 3 - Recensement des préoccupations
L’étape de recensement des préoccupations est fondamentale et devra être menée avec minutie.
L’objectif de l’activité est de faire ressortir les préoccupations des principaux intervenants de
l’établissement. Pour ce faire, l’équipe de projet peut utiliser les techniques suivantes :
•
l’entrevue personnalisée (un à un);
•
l’atelier en groupe de travail.
Peu importe la méthode utilisée, l’objectif demeure la collecte des préoccupations des
intervenants. La liste ci-dessous présente une liste d’intervenants qui, en plus des membres
du comité de sécurité provisoire présenté à la section 4.2 Composition de l'équipe de projet,
qui pourra être consultée. Cette liste n’est pas exhaustive et devra être adaptée pour chaque
établissement :
•
le dirigeant de l’établissement;
•
un représentant du service du contentieux;
•
un représentant du service des ressources humaines;
•
un responsable du département de gestion des technologies;
•
un responsable des ressources matérielles;
•
un représentant du comité des utilisateurs;
•
la Direction des services professionnels (DSP) et la Direction des soins infirmiers (DSI).
Nous recommandons de colliger et de documenter les préoccupations qui auront été
communiquées à l’équipe de projet (voir Annexe D). Ces préoccupations devront être
adressées lors de la phase de rédaction.
4.3.4 Étape 4 - Rédaction
L’étape de rédaction consiste à reprendre chacune des préoccupations identifiées à l’étape
précédente et à les adresser sous la forme d’une politique. À cet effet, nous présentons à la section
5 Éléments d’une politique de sécurité de l’information un modèle de structure, de même que les
différentes sections qui forment une politique de sécurité.
12
D’un point de vue technique, il est recommandé que l’équipe de projet délègue la rédaction de la
politique à une seule personne ou à une équipe restreinte. Dans ce dernier cas, des sections
distinctes devraient être attribuées à chacun des membres de l’équipe de rédaction.
En matière de style, il est recommandé d’utiliser un style directif et précis laissant peu de place à
l’interprétation. Les deux exemples ci-bas illustrent nos propos. Le premier utilise un style qui
permet une certaine interprétation (inadéquat) par opposition au deuxième, qui lui, est directif
(adéquat). Introduire des règles d’écriture, exemple : opter pour des phrases affirmatives plutôt
que négatives, employer « doit » pour une obligation, etc.
Exemple
1
(inadéquat) :
L’établissement
devrait
limiter
l’accès
aux
renseignements confidentiels. Lesdits renseignements ne devraient être
accessibles que pour l’exercice des fonctions des personnes dont les tâches
l’exigent et qui détiennent un privilège d’accès approprié.
Exemple 1 (adéquat) : L’établissement doit limiter l’accès aux renseignements
confidentiels. Lesdits renseignements ne seront accessibles que pour l’exercice
des fonctions des seules personnes dont les tâches l’exigent et qui détiennent un
privilège d’accès approprié.
Exemple 2 (inadéquat) : L’accès aux renseignements personnels est réservé
exclusivement au personnel clinique.
Exemple 2 (adéquat) : L’accès aux renseignements personnels est réservé
exclusivement au personnel dûment autorisé à y accéder.
La politique pourrait connaître plusieurs itérations et il n’est pas rare que certaines équipes de
rédaction mandatent une personne afin d’effectuer l’édition finale du texte. Cette pratique offre
l’avantage d’assurer une certaine consistance en matière de style de rédaction tout en conservant
les avantages que procure le travail d’équipe.
13
4.3.5 Étape 5 - Analyse des impacts3
L’analyse des impacts a pour objectif d'informer les décideurs (le conseil d'administration) sur
des conséquences reliées à la mise en œuvre de la politique à la suite de son adoption. L’analyse
des impacts devrait s’articuler autour des cinq dimensions suivantes :
•
les impacts organisationnels (rôles et responsabilités, pratique professionnelle,
processus de travail, attitude du personnel, etc.);
•
les impacts juridiques (relations de travail, contrats et ententes, etc.);
•
les impacts humains (contrainte de temps et méthodes, etc.);
•
les impacts financiers (investissement en systèmes d’information versus
investissements en sécurité, etc.);
•
les impacts technologiques (coûts additionnels, etc.).
Chacune des prescriptions de la politique devrait être analysée en fonction des cinq dimensions
afin d’identifier les problèmes qui pourraient en découler et les actions nécessaires à leur
résolution. L’annexe E présente un exemple d’exercice d’analyse des impacts de la politique.
4.3.6 Étape 6 - Validation
L’étape de validation est cruciale et doit se faire auprès d’un groupe d’utilisateurs comportant des
représentants de tous les secteurs d’activités concernés comme ce fut le cas pour l'étape 3
Recensement des préoccupations (appelé « Groupe de validation » ci-après). Idéalement, la
validation devrait être effectuée auprès des mêmes personnes consultées à l'étape 3.
3
Il ne s’agit pas ici de faire une analyse des impacts comme on le ferait lors d’une analyse de risques, mais
plutôt d’analyser les impacts ou les « changements » que pourrait engendrer la mise en œuvre de la
politique.
14
L’étape de la validation est intimement liée à l’analyse des impacts. L’objectif de cette étape est
de revoir le projet de politique et les impacts identifiés précédemment. Cette étape est nécessaire
afin d’obtenir l’assurance que le projet de politique est bien compris par le groupe de validation et
que les impacts qu’aura la mise en œuvre de la politique sont acceptables.
L’étape de validation permet de s’assurer de l’atteinte d’un consensus au sein du
groupe de validation, sans quoi la politique risque de faire face à une certaine
résistance lors de son déploiement.
4.3.7 Étape 7 - Adoption
Une fois le projet de politique et ses impacts analysés et validés, le projet devrait être approuvé de
manière préliminaire par le comité de sécurité provisoire et déposé au plus haut dirigeant de
l’établissement en vue de son adoption finale par le conseil d'administration.
Cette adoption par la plus haute instance de l’établissement est primordiale (voir les rôles et
responsabilités du Cadre Global p. 15 art 2.1) puisqu’elle indique clairement l’importance
qu’accorde la direction aux enjeux de sécurité de l’information et à la politique.
4.3.8 Étape 8 - Diffusion et sensibilisation
Cette dernière étape est la première concrétisation du processus et a pour objectif de diffuser et
d’expliquer les obligations prévues à la politique à l’ensemble du personnel de l'établissement.
Bien que certains membres du personnel ne soient pas appelés à utiliser l'information dans le
cadre de ses fonctions, il est important de les informer des aspects de la politique qui sont
susceptibles de les concerner. Cette étape est cruciale car, comme nous l’avons indiqué à la
section 4.1 sur les facteurs clés de réussite, la compréhension et l’adhésion du personnel sont les
principales causes de succès ou d’échec d’une politique. Il est important à cette étape de bien
15
s’assurer que les membres du personnel comprennent la politique et y souscrivent. Pour ce faire,
nous suggérons les activités suivantes :
•
publication de la politique en format papier et distribution par courrier interne à
tous les employés. La politique pourrait être accompagnée d’une lettre
d’introduction signée par le plus haut dirigeant de l’établissement;
•
atelier de formation;
•
diffusion de sessions de formation. Il faut prévoir une activité d'une durée minimale
de deux heures et des groupes d'une quinzaine de personnes pour celles qui
utilisent l'informatique ou qui peuvent être directement en contact avec les
systèmes d’information;
•
au terme de l'activité de formation, certaines organisations distribuent, avec la
politique, un formulaire attestant que l’employé a lu cette dernière et accepte de s’y
conformer. Le formulaire doit être retourné signé par l’employé4;
•
envoi d’un courrier électronique rappelant la publication de la politique;
•
publication de la politique sur le site intranet de l’organisation;
•
publication d’articles dans le journal interne de l’établissement;
•
formation continue, etc.
La signature d’un document attestant que l’employé a lu la politique de sécurité de
l'information pourrait ne pas être appropriée dans certains contextes de relation de
travail. Certaines organisations vont plutôt tenir un registre des présences lors des
sessions de formation afin de s’assurer que l'employé a assisté à cette dernière et, par
conséquent, qui sont au fait des obligations qui lui sont conférées en vertu de la
politique.
4
Une telle pratique devrait être validée avec le service du contentieux de l’organisation et avec le ou les
syndicats concernés afin de s’assurer que cette pratique respecte les ententes et les conventions
collectives.
16
4.3.9 Rappel de l'existence de la politique
Il est impératif que les efforts de sensibilisation et de formation soient récurrents selon une
fréquence adéquate. Plusieurs organisations optent pour des efforts mensuels, tels qu’un rappel
dans le journal des employés ou autre publication interne et un rappel semi-annuel prenant la
forme d’une séance de formation formelle.
4.3.10 Accueil des nouveaux employés
La séance d’accueil d’un nouvel employé représente une occasion privilégiée de présenter la
politique de sécurité de l’information. En effet, il est recommandé que, lors de la séance
d’accueil, la direction des Ressources humaines présente la politique de sécurité de l’information
au nouvel employé et offre une séance de formation. Cette séance a généralement pour objectif
d’introduire la politique à l’employé et de répondre aux questions de ce dernier.
17
5 Éléments d’une politique de
sécurité de l’information
5.1 Structure de la politique
Les politiques de sécurité s’articulent généralement autour des six grandes sections suivantes :
•
contexte;
•
objectifs;
•
respect de la politique;
•
portée;
•
principes directeurs;
•
rôles et responsabilités.
Il est à noter que le vocabulaire utilisé pourrait être différent, par exemple, certains auteurs
parlent de « raison d’être » plutôt que d’« objectifs », de « domaines d’application » plutôt que de
« portée ». À cet égard, les meilleures pratiques recommandent de s’arrimer à la culture de
l’organisation et d’utiliser le vocable qui est le plus susceptible d’interpeller les utilisateurs qui
sont soumis à la politique. Le même commentaire s’applique aussi quant au niveau de langage et
de vulgarisation.
5.2 Les sections de la politique
Cette partie du guide présente chacune des sections que l’on retrouve généralement dans une
politique de sécurité. Pour chacune des sections, nous présentons les objectifs de la section, les
meilleures pratiques, certaines suggestions et un exemple.
18
5.2.1 Section « Contexte »
Objectif de la section
L’objectif de cette première section est de positionner le contexte de la politique. La section, que
l’on présente parfois sous l’appellation « préambule5 », vise à identifier les éléments de haut
niveau ayant donné naissance au besoin d’élaborer une politique. Généralement, les éléments du
contexte proviennent des orientations gouvernementales, telles que la prestation électronique de
service (PES), les lois, directives et encadrement notamment le Cadre global et autres éléments du
contexte sociétal ou administratif.
Meilleures pratiques
Les meilleures pratiques recommandent que la section « Contexte » soit brève et concise (une
demi-page). En effet, cette section doit permettre de positionner rapidement le lecteur face aux
enjeux que la politique tente d’encadrer.
Suggestions
Les points suivants pourraient être considérés comme des éléments de contexte :
•
l'émergence des technologies de l'information dans la société et dans l'univers des
services de santé et des services sociaux;
•
les différentes lois et encadrements tels qu'énumérés à l'annexe H, notamment :
•
la loi sur les services de santé et les services sociaux
•
la loi sur l’accès aux documents des organismes publics et sur la
protection des renseignements personnels
•
5
les préoccupations en matière de protection des renseignements personnels (PRP);
De manière formelle, les notions de contexte et de préambule sont différentes. Toutefois, une
interprétation libérale permet l’usage des deux termes aux fins décrites ci-haut.
19
•
le Cadre global de gestion des actifs informationnels appartenant au organisme du
réseau de la santé et des services sociaux – Volet sur la sécurité.
Exemple
La modernisation du réseau de la santé et des services sociaux repose sur la possibilité, pour les établissements, de
s’échanger des informations de façon rapide et sécuritaire. C’est dans cette optique que le réseau s’est doté en 1999 du
Réseau de télécommunication sociosanitaire (RTSS) qui relie plus de 1 500 sites au sein de plus de 400 établissements.
Dans la perspective d’un volume accru d’échanges d’information et afin de s’assurer du respect des lois, règlements et
normes gouvernementales en matière de sécurité de l’information, le ministère de la Santé et des Services sociaux
(MSSS) a élaboré un Cadre global de la sécurité des actifs informationnels. La volonté du MSSS est de mettre en place,
au cours des trois (3) années qui suivent, l’ensemble des mesures prévues au Cadre global de sécurité.
L’établissement reconnaît que l’information est essentielle à ses opérations courantes et, de ce fait, qu'elle doit faire
l’objet d’une évaluation, d’une utilisation appropriée et d’une protection adéquate. L’établissement reconnaît détenir,
en outre, des renseignements personnels ainsi que des informations qui ont une valeur légale, administrative ou
économique.
De plus, plusieurs lois et directives encadrent et régissent l’utilisation de l’information. L’établissement est assujetti à
ces lois et doit s’assurer du respect de celles-ci. (note : il serait possible d’indiquer les principales lois et directives,
nous vous référons à l’annexe H Fondements juridiques pour une liste complète).
En conséquence, l’établissement met en place la présente politique de sécurité de l’information qui oriente et détermine
l’utilisation appropriée et sécuritaire de l’information et des technologies de l’information.
5.2.2 Section « Objectifs »
Objectif de la section
La section « Objectifs» a pour but d’exprimer les objectifs de l’établissement en matière de
sécurité de l’information. Les objectifs de la politique doivent permettre au lecteur de rapidement
saisir les intentions de l’établissement en matière de sécurité de l’information.
Meilleures pratiques
Généralement, la section « Objectifs » est succincte et utilise un langage direct. Éviter toute
confusion ou l’utilisation de termes qui pourraient être sujets à une interprétation trop large, par
exemple : « il serait préférable/souhaitable », « nous croyons », « nous souhaitons/désirons », etc.,
sont des expressions à proscrire.
20
Il ne faut pas négliger le fait que les objectifs d'une politique ne se limitent pas à la protection de
la confidentialité. Il est primordial de couvrir les trois axes de la sécurité, soit la disponibilité,
l’intégrité et la confidentialité.
Suggestions
Certaines politiques présentent un objectif de très haut niveau sans l’accompagner de sousobjectifs plus précis, par exemple :
« La politique vise à assurer le respect des lois à l'égard de l'usage et du
traitement de l'information, et de l'utilisation des technologies de l'information et
des télécommunications ».
Bien qu’adéquat, ce type d’objectif reste souvent flou et interpelle peu le lecteur.
Exemple
La politique vise à assurer le respect de toute législation à l'égard de l'usage et du traitement de l'information, et de
l'utilisation des technologies de l'information et des télécommunications. Plus spécifiquement, les objectifs de
l’établissement en matière de sécurité de l’information sont :
•
d’assurer la disponibilité, l'intégrité et la confidentialité à l'égard de l’utilisation des réseaux informatiques, du
Réseau de télécommunication sociosanitaire et d’Internet, de l’utilisation des actifs informationnels et de
télécommunications, et des données corporatives;
•
d’assurer le respect de la vie privée des individus, notamment, la confidentialité des renseignements à caractère
nominatif relatifs aux usagers et au personnel du réseau sociosanitaire;
•
d’assurer la conformité aux lois et règlements applicables ainsi que les directives, normes et orientations
gouvernementales.
Cette politique sera suivie de normes et de procédures afin de préciser les obligations qui en découlent.
5.2.3 Section « Respect de la politique »
Objectif de la section
L’objet de cette section est de préciser qui est responsable de l’application de la politique. La
section indique aussi le processus disciplinaire en cas de non-respect de la politique.
Meilleures pratiques
Il est important de s’assurer que le processus décrit ou que les mesures disciplinaires dont il est
mention soient conformes et en ligne avec les conditions de travail en vigueur ainsi que les autres
21
politiques de l’établissement, et respectent les différentes lois notamment les lois du travail et les
conventions collectives.
Suggestions
Nous recommandons à l’équipe de projet de s’adjoindre les services d’un spécialiste de la gestion
des ressources humaines, des relations de travail ou du service du contentieux pour l’élaboration
de cette section.
Exemple
Le directeur général de l'établissement a désigné le responsable de la sécurité des actifs informationnels comme
responsable de l’application de la présente politique.
L'établissement exige de tous les employé, qui utilise les actifs informationnels de l'établissement ou qui a/aura accès à
de l’information, de se conformer aux dispositions de la présente politique ainsi qu'aux normes, directives et procédures
qui s’y rattachent.
Le non-respect de cette obligation aux actifs informationnels peut entraîner des mesures disciplinaires pouvant
aller jusqu’au congédiement immédiat.
5.2.4 Section « Portée »
Objectif de la section
La section « Portée » est très importante puisqu’elle définit le champ d’application de la politique.
La portée comporte généralement trois dimensions, soit :
•
les personnes visées par la politique;
•
les actifs visés par la politique;
•
les activités encadrées par la politique.
Meilleures pratiques
La section de la portée « pointe » sans ambiguïté les personnes, les actifs et les activités qui sont
assujettis. Il est fondamental de couvrir les personnes physiques et morales qui n'ont pas de lien
d’emploi direct avec l'organisation de même que celles qui n'utilisent pas les systèmes
d'information.
22
Exemple
La présente politique s’applique :
•
à l’ensemble du personnel de l’établissement. De plus, elle s’étend à toute personne physique ou morale qui utilise
ou qui accède pour le compte de l’établissement, ou non, à des informations confidentielles, ou non, quel que soit
le support sur lequel elles sont conservées;
•
à l’ensemble des actifs informationnels ainsi qu’à leur utilisation au sein de l’établissement6, tels que les banques
d’information électronique, les informations et les données sans égard aux médiums de support (fixe ou portable),
les réseaux, les systèmes d’information, les logiciels, les équipements informatiques ou centres de traitement
utilisés par l’établissement;
•
à l’ensemble des activités de collecte, d’enregistrement, de traitement, de garde et de diffusion des actifs
informationnels de l’établissement.
5.2.5 Section « Principes directeurs »
Objectif de la section
La section « Principes directeurs » est le cœur de la politique. L’objectif de cette section est
d’énoncer les grands principes que l’établissement se donne en matière de gestion de la sécurité
de l’information.
Certains auteurs utilisent l’appellation « Énoncés généraux ». Les deux appellations nous
semblent appropriées.
Meilleures pratiques
Les principes directeurs sont des orientations de haut niveau qui permettront d’assurer les trois
grands objectifs de la sécurité de l’information, soit :
6
•
la disponibilité;
•
l’intégrité;
•
la confidentialité, incluant la protection des renseignements personnels.
L’énumération d’actifs informationnels à la suite de la virgule pourrait être éliminée et remplacée par un
renvoi à la définition du terme actif informationnel au lexique.
23
Suggestions
Les principes directeurs de la politique devraient s’inspirer, d’une part, de la « Politique nationale
sur la sécurité des actifs informationnels du RSSS7 » présentée dans le Cadre global et, d’autre
part, des « Exigences minimales relatives à la sécurité des dossiers informatisés des utilisateurs
du réseau de la santé et des services sociaux » (avril 1992) de la Commission d’accès à
l’information du Québec8.
Ces principes s’articulent autour de la collecte, de la confidentialité des renseignements
nominatifs et leur communication et de l’accès aux données confidentielles et aux actifs
informationnels et de télécommunications.
Exemples
a)
Toute personne au sein de l’établissement ayant accès aux actifs informationnels assume des responsabilités
spécifiques en matière de sécurité et est redevable de ses actions auprès du dirigeant de l’établissement.
b)
La mise en oeuvre et la gestion de la sécurité reposent sur une approche globale et intégrée. Cette approche tient
compte des aspects humains, organisationnels, financiers, juridiques et techniques, et demande, à cet égard, la
mise en place d’un ensemble de mesures coordonnées.
c)
Les mesures de protection, de prévention, de détection, d’assurance et de correction doivent permettre d'assurer la
confidentialité, l’intégrité, la disponibilité, l'authentification et l'irrévocabilité des actifs informationnels de
même que la continuité des activités. Elles doivent notamment empêcher les accidents, l'erreur, la malveillance ou
la destruction d’information sans autorisation.
d)
Les mesures de protection des actifs informationnels doivent permettre de respecter les prescriptions du Cadre
global de gestion des actifs informationnels appartenant aux établissements du réseau de la santé et des services
sociaux – Volet sur la sécurité, de même que les lois existantes en matière d’accès, de diffusion et de transmission
d’informations, et les obligations contractuelles de l’établissement de même que l’application des règles de gestion
interne.
e)
Les actifs informationnels doivent faire l’objet d’une identification et d’une classification.
f)
Une évaluation périodique des risques et des mesures de protection des actifs informationnels doit être
effectuée afin d’obtenir l’assurance qu’il y a adéquation entre les risques, les menaces et les mesures de protection
déployées.
g)
La gestion de la sécurité de l’information doit être incluse et appliquée tout au long du processus menant à
l’acquisition, au développement, à l’utilisation, au remplacement ou la destruction d’un actif informationnel par ou
pour l’établissement.
7
8
La politique est le chapitre 1 du Cadre global
Voir le site Web : http://www.olf.gouv.qc.ca
24
h)
Un programme continu de sensibilisation et de formation à la sécurité informatique doit être mis en place à
l’intention du personnel de l'établissement.
i)
L'accès aux renseignements personnels des utilisateurs par le personnel de l’établissement doit être autorisé et
contrôlé. Chaque système doit prévoir des droits d'accès différents selon les catégories de personnel.
j)
Les renseignements personnels ne doivent être utilisés et ne servir qu’aux fins pour lesquels ils ont été
recueillis ou obtenus.
k)
Le principe du « droit d’accès minimal » est appliqué en tout temps lors de l’attribution d’accès aux
informations. Les accès aux actifs informationnels sont attribués à l’utilisateur autorisé en fonction de ce qui lui
est strictement nécessaire pour l’exécution de ses tâches.
l)
Les ententes et contrats dont l’établissement fait partie doivent contenir des dispositions garantissant le respect
des exigences en matière de sécurité et de protection de l’information.
5.2.6 Section « Rôles et responsabilités »
Objectif de la section
C'est dans cette section de la politique que les rôles et responsabilités de chacun des intervenants
concernés sont définis.
Meilleures pratiques
Les rôles et responsabilités présentés dans la politique devraient être de niveau général et
éviter les détails spécifiques qui s’apparentent à des tâches qui devraient être plutôt définies
dans les procédures de sécurité.
Suggestions
La répartition des rôles et responsabilités en matière de sécurité de l’information sera différente
selon la taille, la structure et la mission de l'établissement. Nous présentons ci-dessous une liste
d’intervenants qui ont normalement un rôle à assumer dans la gestion de la sécurité de
l'information :
•
le conseil d’administration de l’établissement;
•
le directeur général ou le président-directeur général;
•
le responsable de la sécurité des actifs informationnels de l’établissement (RSAI);
•
le conseiller en sécurité de l’information (CSI);
•
le responsable de la protection des renseignements personnels (RPRP);
25
•
tous les gestionnaires;
•
le détenteur d'actifs informationnels;
•
le pilote de système nommé par le détenteur des actifs informationnels;
•
le personnel;
•
la direction des ressources humaines;
•
le comité de sécurité de l'information;
•
le responsable du service informatique;
•
le responsable des archives.
Exemples (tirés du Cadre global)
Le conseil d’administration de l’établissement9
Le conseil d’administration de l’établissement doit approuver la présente politique, s’assurer de sa mise en œuvre et
faire le suivi de son application. À cet égard, il autorise et approuve la politique de sécurité de l’information.
Le directeur général / président-directeur général9
Le président-directeur général est le premier responsable de la sécurité des actifs informationnels au sein de
l’établissement. Il s'assure que les valeurs et les orientations en matière de sécurité soient partagées par l’ensemble des
gestionnaires et du personnel de l’établissement. À cette fin, il s’assure de l’application de la politique dans
l’organisation, apporte les appuis financiers et logistiques nécessaires pour la mise en œuvre et l’application de la
présente politique; soumet le bilan annuel concernant l’application de la politique au conseil d’administration; exerce
son pouvoir d’enquête et applique les sanctions prévues à la présente politique, lorsque nécessaire.
Pour le représenter en cette matière dans l’organisation et pour la réalisation de l’ensemble des mesures précitées, il
nomme un responsable de la sécurité de l’information.
Le responsable de la sécurité des actifs informationnels (RSAI)
À titre de représentant délégué du président-directeur général en matière de sécurité des actifs informationnels, le RSAI
est une ressource de niveau cadre qui gère et coordonne la sécurité au sein de l’établissement. Il doit donc harmoniser
l’action des divers acteurs dans l’élaboration, la mise en place, le suivi et l’évaluation de la sécurité de l’information.
Cette responsabilité exige une vision globale de la sécurité au sein de l’établissement.
Le responsable de la sécurité des actifs informationnels veille à l’élaboration et à l’application de la politique sur la
sécurité adoptée par l’organisme. Dans cette perspective, il collabore avec tous les gestionnaires et, en particulier, avec
le gestionnaire qui est en charge des technologies de l’information. Plus précisément, le responsable de la sécurité de
l’organisme :
9
Responsabilités prévues au Cadre global
26
•
élabore la politique sur la sécurité des actifs informationnels qui sera adoptée par l’organisme et soumet cette
politique au directeur général et au conseil d’administration de l’organisme pour approbation;
•
met en place et préside le comité de protection des renseignements personnels et de sécurité de l’organisme, qui
pourrait être formé du responsable de la sécurité, de gestionnaires, d’un vérificateur interne, de détenteurs, de
représentants des ressources humaines, financières et matérielles ainsi que d’un juriste;
•
coordonne, avec les secteurs visés et en concordance avec les orientations régionales, la mise en oeuvre de la
politique sur la sécurité adoptée par l’organisme et en suit l’évolution;
•
identifie, en collaboration avec les gestionnaires, les détenteurs d’actifs informationnels dans leur secteur respectif;
•
s’informe des besoins en matière de sécurité auprès des détenteurs et des gestionnaires, leur propose des solutions
et coordonne la mise en place de ces solutions;
•
gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle locale et procède à des évaluations de la
situation en matière de sécurité;
•
suit la mise en oeuvre de toute recommandation découlant d’une vérification ou d’un audit;
•
produit annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité des actifs informationnels
appartenant à l’établissement en s’assurant que l’information sensible à diffusion restreinte est traitée de manière
confidentielle et, après approbation du directeur général et du conseil d’administration, les soumet au
coordonnateur régional de la sécurité des actifs informationnels.
Les détenteurs d'actifs informationnels
Les détenteurs :
•
assurent la sécurité d’un ou de plusieurs actifs informationnels, qu’ils leur soient confiés par le sous-ministre, le
dirigeant de l’organisme ou un tiers mandaté;
•
s’impliquent dans l’ensemble des activités relatives à la sécurité, notamment l’évaluation des risques, la
détermination du niveau de protection visé, l’élaboration des contrôles non informatique et, finalement, la prise en
charge des risques résiduels;
•
s’assurent que les mesures de sécurité appropriées sont élaborées, approuvées, mises en place et appliquées
systématiquement en plus de s’assurer que leur nom et les actifs dont ils assument la responsabilité sont consignés
dans le registre des autorités;
•
déterminent les règles d’accès aux actifs dont ils assument la responsabilité avec l’appui du responsable de la
sécurité des actifs informationnels de l’organisme.
Le responsable de la protection des renseignements personnels (RPRP)
À titre de responsable de l’application de la Loi sur l’accès aux documents des établissements publics et sur la
protection des renseignements personnels, le RPRP a un rôle de conseiller et/ou de valideur - approbateur auprès du
responsable de la sécurité des actifs informationnels afin de s’assurer que les mécanismes de sécurité mis en place
permettent de respecter les exigences de la Loi sur l’accès aux documents des organismes publics et sur la protection
des renseignements personnels. Cette responsabilité se manifeste aussi dès le début d’un développement d’un nouveau
système où le RPRP doit introduire les préoccupations et les exigences relatives à la protection des renseignements
nominatifs.
27
Utilisateur
Chaque membre du personnel utilisateur est responsable de respecter la présente politique, normes, directives et
procédures en vigueur en matière de sécurité de l'information, et d’informer son responsable de toute violation des
mesures de sécurité dont il pourrait être témoin ou de toutes anomalies décelées pouvant nuire à la protection des actifs
informationnels.
Suggestions de rôles qui ne sont pas définis dans le Cadre global, mais qui pourraient être
appropriés pour certains établissements.
Exemples (supplémentaires)
Le professionnel en sécurité de l’information (PSI)
Le rôle du professionnel de la sécurité de l’information est de conseiller le RSAI sur les aspects technologiques et
méthodologiques concernant la sécurité. Il coordonne les travaux reliés à l'implantation et aux contrôles des mesures de
sécurité. Il coordonne et/ou réalise les tâches de sécurité opérationnelles qui lui sont confiées par le RSAI.
Le gestionnaire
Le gestionnaire s’assure que tous ces employés sont au fait de leurs obligations découlant de la présente politique. Il les
informe précisément des normes, directives et procédures de sécurité en vigueur.
Il informe et sensibilise son personnel à l’importance des enjeux de sécurité. Il doit s’assurer que les moyens de sécurité
sont utilisés de façon à protéger effectivement l’information utilisée par son personnel.
Il communique au RSAI tout problème d’importance en matière de sécurité de l'information.
Il applique les sanctions prévues lors d’un manquement de la part d’un membre du personnel faisant partie de sa
direction ou son service.
Il est imputable des manquements inhérents à son rôle et à son niveau de responsabilité.
Pilotes de systèmes nommés par le détenteur des actifs informationnels
Les pilotes des systèmes ont la responsabilité d’assurer le fonctionnement sécuritaire des actifs informationnels dès
sa mise en exploitation, de contrôler et d’autoriser l’accès logique à tout actif informationnel dont ils ont la
responsabilité d’utilisation. Les pilotes doivent également informer les utilisateurs de leurs obligations face à
l’utilisation des systèmes d’information dont ils sont responsables lors de l’attribution des accès.
Le service informatique
28
Le rôle du service informatique à l’égard de la sécurité de l'information est d'agir en tant que fournisseur de services. Il
fournit et maintient en état les moyens techniques de sécurité et s’assure de leur conformité aux besoins de sécurité
déterminés par le détenteur. Ce rôle trouve son complément dans l’assistance et le conseil en vue d’une meilleure
utilisation de ces moyens.
Direction des ressources humaines
La Direction des ressources humaines est responsable d'informer tout nouvel employé de ses obligations découlant de
la présente politique ainsi que des normes, directives et procédures en vigueur en matière de sécurité de l’information.
Comité de sécurité de l'information
Le comité joue avant tout un rôle-conseil auprès du RSAI. Il constitue un mécanisme de coordination et de concertation
qui, par sa vision globale, est en mesure de proposer des orientations et de faire des recommandations en regard de
l'élaboration, la mise en œuvre et la mise à jour des mesures prévues au plan directeur. Il est aussi en mesure d'évaluer
les incidences sur la sécurité de l’organisation que les nouveaux projets pourraient avoir.
29
Annexe A – Exemple de politique
30
« Insérer logo ici »
Nom de l’établissement
Politique de sécurité
des actifs informationnels
Adoptée le ______________________
31
Projet
32
Table des matières
CONTEXTE................................................................................................................................. 29
OBJECTIFS DE LA POLITIQUE ............................................................................................ 30
RESPECT DE LA POLITIQUE................................................................................................ 30
PORTÉE....................................................................................................................................... 31
PRINCIPES DIRECTEURS ...................................................................................................... 31
RÔLES ET RESPONSABILITÉS............................................................................................. 33
ANNEXES.................................................................................................................................... 38
33
Contexte
La modernisation du réseau de la santé et des services sociaux repose sur la possibilité, pour les
établissements, de s’échanger des informations de façon rapide et sécuritaire. C’est dans cette
optique que le réseau s’est doté en 1999 du réseau de télécommunication sociosanitaire (RTSS)
qui relie plus de 1 500 sites au sein de plus de 400 établissements. Dans la perspective d’un
volume accru d’échanges d’information et afin de s’assurer du respect des lois, règlements et
normes gouvernementales en matière de sécurité de l’information, le ministère de la Santé et des
Services sociaux (MSSS) a élaboré un Cadre global de la sécurité des actifs informationnels. La
volonté du MSSS est de mettre en place, au cours des trois (3) années qui suivent, l’ensemble des
mesures prévues au Cadre global de sécurité.
L’établissement reconnaît que l’information est essentielle à ses opérations courantes et, de ce
fait, qu'elle doit faire l’objet d’une évaluation, d’une utilisation appropriée et d’une protection
adéquate. L’établissement reconnaît détenir, en outre, des renseignements personnels ainsi que
des informations qui ont une valeur légale, administrative ou économique.
De plus, plusieurs lois et directives encadrent et régissent l’utilisation de l’information.
L’établissement est assujetti à ces lois et doit s’assurer du respect de celles-ci. (Note : il serait
possible d’indiquer les principales lois et directives, nous vous référons à l’annexe H Fondements
juridiques pour une liste complète).
En conséquence, l’établissement met en place la présente politique de sécurité de l’information
qui oriente et détermine l’utilisation appropriée et sécuritaire de l’information et des technologies
de l’information.
34
Objectifs de la politique
La politique vise à assurer le respect de toute législation à l'égard de l'usage et du traitement de
l'information et de l'utilisation des technologies de l'information et des télécommunications. Plus
spécifiquement, les objectifs de l’établissement en matière de sécurité de l’information sont :
•
d’assurer la disponibilité, l'intégrité et la confidentialité à l'égard de l’utilisation des
réseaux informatiques, de télécommunication sociosanitaire et d’Internet, de
l’utilisation des actifs informationnels et de télécommunications, et des données
corporatives;
•
d’assurer le respect de la vie privée des individus, notamment la confidentialité des
renseignements à caractère nominatif relatifs aux utilisateurs et au personnel du
réseau sociosanitaire;
•
d’assurer la conformité aux lois et règlements applicables ainsi que les directives,
normes et orientations gouvernementales.
Cette politique sera suivie de normes et de procédures afin de préciser les obligations qui en
découlent.
Respect de la politique
Le directeur général de l'établissement a désigné l'officier de la sécurité informatique comme
responsable de l’application de la présente politique.
L'établissement exige de tout employé, qui utilise les actifs informationnels de l'établissement ou
qui a/aura accès à de l’information, de se conformer aux dispositions de la présente politique ainsi
qu'aux normes, directives et procédures qui s’y rattachent.
Le non-respect de cette obligation aux actifs informationnels peut entraîner des mesures
disciplinaires pouvant aller jusqu’au congédiement immédiat.
35
Portée
La présente politique s’applique :
•
à l’ensemble du personnel de l’établissement. De plus, elle s’étend à toute personne
physique ou morale qui utilise ou qui accède, pour le compte de l’établissement ou
non, à des informations confidentielles ou non, quel que soit le support sur lequel
elles sont conservées;
•
à l’ensemble des actifs informationnels ainsi qu’à leur utilisation au sein de
l’établissement10, tels que les banques d’information électronique, les informations
et les données sans égard aux médiums de support (fixes ou portables), les réseaux,
les systèmes d’information, les logiciels, les équipements informatiques ou centres
de traitement utilisés par l’établissement;
•
à l’ensemble des activités de collecte, d’enregistrement, de traitement, de garde et
de diffusion des actifs informationnels de l’établissement.
Principes directeurs
a) Toute personne au sein de l’établissement ayant accès aux actifs informationnels assume des
responsabilités spécifiques en matière de sécurité et est redevable de ses actions auprès du
dirigeant de l’établissement.
b) La mise en oeuvre et la gestion de la sécurité reposent sur une approche globale et intégrée.
Cette approche tient compte des aspects humains, organisationnels, financiers, juridiques et
techniques, et demande, à cet égard, la mise en place d’un ensemble de mesures coordonnées.
c) Les mesures de protection, de prévention, de détection, d’assurance et de correction doivent
permettre d'assurer la confidentialité, l’intégrité, la disponibilité, l'authentification et
l'irrévocabilité des actifs informationnels de même que la continuité des activités. Elles
10
L’énumération d’actifs informationnels à la suite de la virgule pourrait être éliminée et remplacée par un
renvoi à la définition du terme actif informationnel au lexique.
36
doivent notamment empêcher les accidents, l'erreur, la malveillance ou la destruction
d’information sans autorisation.
d) Les mesures de protection des actifs informationnels doivent permettre de respecter les
prescriptions du Cadre global de gestion des actifs informationnels appartenant aux
établissements du réseau de la santé et des services sociaux – Volet sur la sécurité, de même
que les lois existantes en matière d’accès, de diffusion et de transmission d’information, et les
obligations contractuelles de l’établissement de même que l’application des règles de gestion
interne.
e) Les actifs informationnels doivent faire l’objet d’une identification et d’une classification.
f) Une évaluation périodique des risques et des mesures de protection des actifs informationnels
doit être effectuée afin d’obtenir l’assurance qu’il y a adéquation entre les risques, les
menaces et les mesures de protections déployées.
g) La gestion de la sécurité de l’information doit être incluse et appliquée tout au long du
processus menant à l’acquisition, au développement, à l’utilisation, au remplacement ou la
destruction d’un actif informationnel par ou pour l’établissement.
h) Un programme continu de sensibilisation et de formation à la sécurité informatique doit être
mis en place à l’intention du personnel de l'établissement.
i)
L'accès aux renseignements personnels des utilisateurs par le personnel de l’établissement
doit être autorisé et contrôlé. Chaque système doit prévoir des droits d'accès différents selon
les catégories de personnel.
j)
Les renseignements personnels ne doivent être utilisés et ne servir qu’aux fins pour lesquels
ils ont été recueillis ou obtenus.
k) Le principe du « droit d’accès minimal » est appliqué en tout temps lors de l’attribution
d’accès aux informations. Les accès aux actifs informationnels sont attribués à l’utilisateur
autorisé en fonction de ce qui lui est strictement nécessaire pour l’exécution de ses tâches.
l)
Les ententes et contrats dont l’établissement fait partie doivent contenir des dispositions
garantissant le respect des exigences en matière de sécurité et de protection de l’information.
37
Rôles et responsabilités
Le conseil d’administration de l’établissement11
Le conseil d’administration de l’établissement doit approuver la présente politique, s’assurer de
sa mise en œuvre et faire le suivi de son application. À cet égard, il autorise et approuve la
politique de sécurité de l’information.
Le directeur général / président-directeur général11
Le président-directeur général est le premier responsable de la sécurité des actifs informationnels
au sein de l’établissement. Il s'assure que les valeurs et les orientations en matière de sécurité
soient partagées par l’ensemble des gestionnaires et du personnel de l’établissement. À cette fin,
il s’assure de l’application de la politique dans l’organisation, apporte les appuis financiers et
logistiques nécessaires pour la mise en œuvre et l’application de la présente politique; soumet le
bilan annuel concernant l’application de la politique au conseil d’administration; exerce son
pouvoir d’enquête et applique les sanctions prévues à la présente politique, lorsque nécessaire.
Pour le représenter en cette matière dans l’organisation et pour la réalisation de l’ensemble des
mesures précitées, il nomme un responsable de la sécurité de l’information.
Le responsable de la sécurité des actifs informationnels (RSAI)
À titre de représentant délégué du président-directeur général en matière de sécurité des actifs
informationnels, le RSAI est une ressource de niveau cadre qui gère et coordonne la sécurité au
sein de l’établissement. Il doit donc harmoniser l’action des divers acteurs dans l’élaboration, la
mise en place, le suivi et l’évaluation de la sécurité de l’information. Cette responsabilité exige
une vision globale de la sécurité au sein de l’établissement.
Le responsable de la sécurité des actifs informationnels veille à l’élaboration et à l’application de
la politique sur la sécurité adoptée par l’organisme. Dans cette perspective, il collabore avec tous
11
Responsabilités prévues au Cadre global
38
les gestionnaires et, en particulier, avec le gestionnaire qui est en charge des technologies de
l’information. Plus précisément, le responsable de la sécurité de l’organisme :
•
élabore la politique sur la sécurité des actifs informationnels qui sera adoptée par
l’organisme et soumet cette politique au directeur général et au conseil d’administration
de l’organisme pour approbation;
•
met en place et préside le comité de protection des renseignements personnels et de
sécurité de l’organisme, qui pourrait être formé du responsable de la sécurité, de
gestionnaires, d’un vérificateur interne, de détenteurs, de représentants des ressources
humaines, financières et matérielles ainsi que d’un juriste;
•
coordonne, avec les secteurs visés et en concordance avec les orientations régionales, la
mise en oeuvre de la politique sur la sécurité adoptée par l’organisme et en suit
l’évolution;
•
identifie, en collaboration avec les gestionnaires, les détenteurs d’actifs informationnels
dans leur secteur respectif;
•
s’informe des besoins en matière de sécurité auprès des détenteurs et des gestionnaires,
leur propose des solutions et coordonne la mise en place de ces solutions;
•
gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle locale et procède
à des évaluations de la situation en matière de sécurité;
•
suit la mise en oeuvre de toute recommandation découlant d’une vérification ou d’un
audit;
•
produit annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité des actifs
informationnels appartenant à l’établissement en s’assurant que l’information sensible à
diffusion restreinte est traitée de manière confidentielle et, après approbation du directeur
général et du conseil d’administration, les soumet au coordonnateur régional de la
sécurité des actifs informationnels.
39
Les détenteurs d'actifs informationnels
Les détenteurs :
•
assurent la sécurité d’un ou de plusieurs actifs informationnels, qu’ils leur soient confiés
par le sous-ministre, le dirigeant de l’organisme ou un tiers mandaté;
•
s’impliquent dans l’ensemble des activités relatives à la sécurité, notamment l’évaluation
des risques, la détermination du niveau de protection visé, l’élaboration des contrôles non
informatique et, finalement, la prise en charge des risques résiduels;
•
s’assurent que les mesures de sécurité appropriées sont élaborées, approuvées, mises en
place et appliquées systématiquement en plus de s’assurer que leur nom et les actifs dont
ils assument la responsabilité sont consignés dans le registre des autorités;
•
déterminent les règles d’accès aux actifs dont ils assument la responsabilité avec l’appui
du responsable de la sécurité des actifs informationnels de l’organisme.
Le responsable de la protection des renseignements personnels (RPRP)
À titre de responsable de l’application de la Loi sur l’accès aux documents des établissements
publics et sur la protection des renseignements personnels, le RPRP a un rôle de conseiller et/ou
de valideur - approbateur auprès du responsable de la sécurité des actifs informationnels afin de
s’assurer que les mécanismes de sécurité mis en place permettent de respecter les exigences de la
Loi sur l’accès aux documents des établissements publics et sur la protection des renseignements
personnels. Cette responsabilité se manifeste aussi dès le début d’un développement d’un
nouveau système où le RPRP doit introduire les préoccupations et les exigences relatives à la
protection des renseignements nominatifs.
Utilisateur
Chaque membre du personnel utilisateur est responsable de respecter la présente politique,
normes, directives et procédures en vigueur en matière de sécurité de l'information, et d’informer
son responsable de toute violation des mesures de sécurité dont il pourrait être témoin ou de
toutes anomalies décelées pouvant nuire à la protection des actifs informationnels.
40
Le professionnel en sécurité de l’information (PSI)
Le rôle du professionnel de la sécurité de l’information est de conseiller le RSAI sur les aspects
technologiques et méthodologiques concernant la sécurité. Il coordonne les travaux reliés à
l'implantation et aux contrôles des mesures de sécurité. Il coordonne et/ou réalise les tâches de
sécurité opérationnelles qui lui sont confiées par le RSAI.
Le gestionnaire
Le gestionnaire s’assure que tous ces employés sont au fait de leurs obligations découlant de la
présente politique. Il les informe précisément des normes, directives et procédures de sécurité en
vigueur.
Il informe et sensibilise son personnel à l’importance des enjeux de sécurité. Il doit s’assurer que
les moyens de sécurité sont utilisés de façon à protéger effectivement l’information utilisée par
son personnel.
Il communique au RSAI tout problème d’importance en matière de sécurité de l'information.
Pilotes de systèmes nommés par le détenteur des actifs informationnels
Les pilotes des systèmes ont la responsabilité d’assurer le fonctionnement sécuritaire d’un actif
informationnel dès sa mise en exploitation, de contrôler et d’autoriser l’accès logique à tout actif
informationnel dont ils ont la responsabilité d’utilisation. Les pilotes doivent également informer
les utilisateurs de leurs obligations face à l’utilisation des systèmes d’information dont ils sont
responsables lors de l’attribution des accès.
Le service informatique
Le rôle du service informatique à l’égard de la sécurité de l'information est d'agir en tant que
fournisseur de service. Il fournit et maintient en état les moyens techniques de sécurité et s’assure
de leur conformité aux besoins de sécurité déterminés par le détenteur. Ce rôle trouve son
complément dans l’assistance et le conseil en vue d’une meilleure utilisation de ces moyens.
41
Direction des Ressources humaines
La direction des Ressources humaines est responsable d'informer tout nouvel employé de ses
obligations découlant de la présente politique ainsi que des normes, directives et procédures en
vigueur en matière de sécurité de l’information.
Comité de sécurité de l'information
Le Comité joue avant tout un rôle-conseil auprès du RSAI. Il constitue un mécanisme de
coordination et de concertation qui, par sa vision globale, est en mesure de proposer des
orientations et de faire des recommandations au regard de l'élaboration, la mise en œuvre et la
mise à jour des mesures prévues au plan directeur. Il est aussi en mesure d'évaluer les incidences
sur la sécurité de l’organisation que les nouveaux projets pourraient avoir.
42
Annexes
Références
Lexique
Fondement juridique
43
Annexe B – Fiche-mandat
1
Identification du projet
MANDAT D’ÉLABORATION D’UNE POLITIQUE DE SÉCURITÉ DE L’INFORMATION
PROJET NO
:
2 Composition de l’équipe de projet
Indiquez les membres de l’équipe de projet
3 Échéanciers
Indiquez l’échéancier visé pour la fin du projet en précisant s’il s’agit des activités de
rédaction seulement ou s’il s’agit de la date visée pour l’adoption ou la diffusion de la
politique.
4 Objectifs du mandat
Précisez les objectifs du mandat tel que discuté avec la direction. Les objectifs devraient
être clairs et ne devraient pas porter à confusion. Par exemple :
La politique qui sera produite devra permettre de :
•
se conformer aux lois;
•
se conformer aux prescriptions du Cadre global;
•
assurer la sécurité des actifs informationnels en fonction des risques identifiés.
44
5 Les ressources nécessaires à l’élaboration de la politique.
L’équipe de projet devrait préciser les ressources qui seront nécessaires à la réalisation
de la politique. Les ressources qui doivent être considérées sont principalement :
•
Financières (publication, formation, consultants)
•
Humaines (dégager un responsable)
•
Logistique (équipements, locaux, etc.)
6 Les ressources nécessaires à la mise en place et au suivi
L’équipe de projet devrait préciser les ressources qui seront nécessaires à la mise en
place et au suivi de la politique. De plus, les ressources qui seront nécessaires à la
formation et à la sensibilisation doivent être sommairement évaluées à cette étape-ci afin
de sensibiliser la haute direction. Les ressources qui doivent être considérées sont
principalement :
•
Financières (élaboration de matériel et de publication, consultants)
•
Humaines (dégager un responsable)
•
Logistique (équipements, locaux, etc.)
7 Engagement des parties
La direction de même que le responsable de l’équipe de projet devraient s’engager à
respecter les termes du mandat. À cet effet, la fiche-mandat pourrait être signée par les
deux parties, indiquant ainsi clairement l’importance de la démarche.
_____________________________________
date _______________________
Pour la Direction
______________________________________
Pour l’équipe de projet
45
date ________________________
Annexe C – Références
RTSS, Politique intérimaire de sécurité visant les actifs informationnels du réseau de la
santé et des services sociaux, Québec, 1999.
Québec (Province) Agence de la santé et des services sociaux de la Capitale-Nationale, Politique
relative à la sécurité des actifs informationnels et de télécommunication et à la protection
des données et des renseignements confidentiels, Québec 1999
Centre Hospitalier Universitaire de Québec, Politique relative à la sécurité des actifs
informationnels et de télécommunication et à la protection des données et des
renseignements confidentiels, 13 décembre 2000.
Centre Hospitalier Maisonneuve-Rosemont, Politique de sécurité de l’information, Montréal,
février 2002
Université Laval, Politique de sécurité sur les technologies de l’information et des
télécommunications, Québec, 1998.
Québec (Province) Ministère de l’Industrie et du Commerce, Politique de sécurité de
l’information et des échanges électroniques, 5 mars 2002, 27 p.
Québec (Province) Ministère des Ressources naturelles, Politique de sécurité de l’information
et des actifs informationnels, 18 juin 1998, 20 p.
Société de l’assurance automobile du Québec, Politique sur la sécurité informatique, 1er février
2000, 14 p.
Québec (Province) ministère de la Santé et des Services sociaux, Politique sur la protection et
la sécurité de l’information et des échanges électroniques, 19 mai 2000, 7 p.
Québec (Province) Secrétariat du conseil du Trésor, Directive relative à la gestion et à la
coordination de la sécurité de l’information, 3 p.
Québec (Province) Secrétariat du conseil du Trésor, Directive sur la transmission de
renseignements confidentiels ou personnels par télécopieurs, 3 p., annexes
46
Québec (Province) Secrétariat du conseil du Trésor, Directive sur l’utilisation et la gestion du
courrier électronique, 4 p.
Québec (Province) Secrétariat du conseil du Trésor, Directive sur la destruction des documents
renfermant des renseignements confidentiels ou personnels, 3 p.
Québec (Province) Secrétariat du conseil du Trésor, Directive relative à la gestion et à la
coordination de la sécurité de l’information, 3 p.
Québec (Province) Secrétariat du conseil du Trésor, Instruction et procédures pour
l’application de la Directive du Conseil du trésor concernant le traitement et la destruction
de tout renseignement, registre, donnée, logiciel, système d’exploitation ou autre bien
protégé par un droit d’auteur, emmagasiné sur un équipement micro-informatique ou sur
un support informatique amovible, 4 p., annexes.
Recueil des pratiques recommandées en matière de sécurité de l’information, Conseil du trésor
(décembre 1999)
Guide relatif à la catégorisation de l’information et aux mesures généralement appliquées en
matière de sécurité, Conseil du trésor (juin 2001)
Office de la langue française, Vocabulaire général de la sécurité informatique - EOQ 2- 55116730-2
47
Annexe D – Exemple de préoccupations12
1 Confidentialité des renseignements
Le responsable des archives médicales
•
Le responsable des archives nous a indiqué que les dossiers patients devraient être traités
comme étant strictement confidentiels, et ce, en tout temps.
•
Plusieurs lois (indiquer ici) encadrent d’ailleurs la manipulation et la divulgation des
informations contenues dans les dossiers patients.
•
…
Le responsable de la loi de l’accès à l’information (Protection des renseignements
personnels
•
Le responsable de la PRP nous a indiqué qu’il est interdit de recueillir un renseignement
nominatif si cela n'est pas nécessaire à l'exercice des fonctions d’un utilisateur.
•
Le responsable de la PRP nous a indiqué que selon la « Loi sur l'accès » la « Loi sur les
services de santé et les services sociaux » aucun renseignement ne peut être tiré d’un dossier
patient sans le consentement de l'individu concerné.
•
…
2 Protection de la confiance des citoyens
Le directeur général de l’établissement
•
Le Directeur général de l’établissement nous a mentionné l’importance de maintenir le lien de
confiance entre le citoyen et l’établissement. À cet égard, le citoyen doit avoir l’assurance
que les informations qui seront consignées à son dossier seront traitées avec le soin nécessaire
et la plus grande discrétion possible.
•
…
12
Il est à noter que les exemples ci-hauts sont fictifs et ne sont donnés qu’à titre d’exemple.
48
3 Utilisation de l’Internet et du courrier électronique
Le directeur des services de recherche
•
Le directeur des services de recherche nous indique que l’accès à l’internet et au courriel est
nécessaire en tout temps et sans restriction quant aux sites visités.
Le directeur des services professionnels
•
Le DSP indique que l’accès à l’Internet doit être contrôlé et utilisé seulement lorsque requis
par le professionnel dans le but d’effectuer sa tâche.
Le représentant du service du contentieux
•
4
L’avocat de l’établissement nous indique qu’un message envoyé par un utilisateur à un tiers à
partir d’une adresse de courrier électronique appartenant à l’établissement
(@établissement.qc.ca) pourrait engager la responsabilité de l’établissement.
…
49
Annexe E – Analyse des impacts de la politique
Le tableau ci-bas reprend les principales mesures de la politique et analyse l’impact de leur mise en application.
Dimensions
Paragraphe - Mesure
Organisationnelles
Juridiques
Humaines
Technologiques
2.2 L’affichage de tout document ou tout
Les cas de non-respect de ce
Des sanctions sont à prévoir.
L’application de mesures
Actuellement nous n’avons aucun
graphique sexuellement explicite,
paragraphe devront être traités
Nous devrons nous assurer que
disciplinaires à un utilisateur
outil de détection permettant de
haineux, raciste et socialement
avec le plus grand soin. Le
ces sanctions sont légales et
suite à ce type de délit pourrait
détecter ces comportements
inacceptable est interdit. De plus, de tels
supérieur immédiat de l’usager
appropriées
avoir des conséquences
documents ne doivent pas être archivés,
visé de même que le RSAI
« psychologiques » graves sur
enregistrés, distribués ou édités via le
devront être informés
l’utilisateur et sa carrière.
réseau de la Régie régionale
préalablement à toute action.
Un protocole d’intervention
Consulter le service du
Inclure des mesures
Nous devrons implanter un
devra être défini (voir aspects
contentieux pour connaître les
de « counseling » aux mesures
logiciel de filtrage des adresses
juridiques)
recours possibles
disciplinaires.
de site web.
Consulter les ressources
S’assurer que le programme
Nous devrons analyser
humaines afin de discuter du
d’aide aux employés (PAE) est
périodiquement le trafic réseau
processus des sanctions et des
en mesure de prendre en
afin de découvrir les activités
alternatives
charge ce type de cas.
suspectes qui pourraient indiquer
la présence de site web non
Discuter des sanctions avec les
S’assurer que ces cas sont
syndicats et les associations de
traités avec le plus haut degré
professionnels
de confidentialité
autorisés.
Nous devrons implanter une
application de filtrage du courrier
électronique (filtrage sur des mots
clés)
50
Financières
Dimensions
Paragraphe - Mesure
Organisationnelles
…
Juridiques
…
51
Humaines
Technologiques
Financières
…
…
…
Annexe F – Cadre normatif
Emplacement des
installations
et du
matériel
Développement,
acquisition et
mise en place
Horaires,
calendriers
et planification
Chiffrement et
transmission
sécuritaire
Mots de passe
et réactivation
des codes d'accès
Contrôle
des accès
physiques
Contrôle
des
changements
Mesures de
manipulation
des rapports
Gestion des accès
à distance
et mécanisme
d'authentification
Classification
de l'information
Suivi des
incidents
Matériel
informatique
Applications
supportées
par des fournisseurs
extermes
Gestion de
la sécurité
des systèmes
d"information
Embauche,
départ et
suivi du
personnel
Utilisation du
courrier
électronique
Micro-Informatique
Gestion
des logiciels/
Droits d'auteur
Virus
Relève en cas de
désastre
Relève
informatique
Copies de
sauvegarde
Utilisation de
portatifs
Utilisation de
l'Internet
Gestion
des
changements
Procédure
Procédure
Procédure
Procédure
Procédure
Procédure
Procédure
Procédure
Procédure
Procédure
Procédure
Procédure
Procédure
Procédure
Procédure
Procédure
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Guide de référence
technique
Guide de référence
technique
Guide de référence
technique
Guide de référence
technique
Guide de référence
technique
52
Guide de référence
technique
Guide de référence
technique
Guide de référence
technique
Procédures
Évaluation
des risques
et menaces
Formulaires
Programme
de sensibilisation
et formation
Profils d'accès
Exploitation
Regroupements
fonctionnelles
Développement,
maintenance et mise en
place des systèmes
Normes
Réseautique
Sécurité physique,
Prévention, Détection et
Protection
Introduction,
portée et
adoption
Sécurité logique
gestion des accès et
utilisation
Guides
Organisation et
administration de
la sécurité
Politique
Politique
Corporative
Annexe G – Lexique
Actifs informationnels : banque d’information électronique, système d’information,
réseau de télécommunications, technologie de l’information, installation ou ensemble de
ces éléments; un équipement médical spécialisé ou ultraspécialisé peut comporter des
composantes qui font partie des actifs informationnels, notamment lorsqu’il est relié de
façon électronique à des actifs informationnels. (Réf. : Loi sur les services de santé et les
services sociaux, art. 520.1). S’ajoutent, dans le présent cadre de gestion, les documents
imprimés générés par les technologies de l’information.
Altération : toute modification qui a pour effet de changer les caractéristiques ou la nature
d’une information.
Archivage de l’information : action de classer l’information dans les archives.
Audit : évaluation périodique basée sur des critères définis permettant de vérifier si les
normes de l’ensemble ou d’une partie du Cadre global de gestion des actifs
informationnels appartenant aux organismes du réseau de la santé et des services sociaux –
Volet sur la sécurité, sont appliquées.
Authentifiant : renseignement unique à l’utilisateur et connu de lui seul, qui permet
d’établir la validité de l’identité d’une personne, d’un dispositif ou d’une autre entité.
Authentification : fonction de contrôle de l’accès aux actifs informationnels permettant
d'établir la validité de l'identité d'une personne, d'un dispositif ou d'une autre entité au sein
d'un système d'information ou de communication.
Autorisation : attribution par une autorité de droits d’accès aux actifs informationnels qui
consiste en un privilège d’accès accordé à une personne, à un dispositif ou à une entité.
Banque d’information électronique : collection d’informations électroniques relatives à
un domaine défini, regroupées et organisées de façon à en permettre l’accès.
53
Biclé : ensemble constitué d'une clé publique et d'une clé privée mathématiquement liées
entre elles, formant une paire unique et indissociable pour le chiffrement et le
déchiffrement des données, et appartenant à une seule entité.
Cadre global de gestion des actifs informationnels appartenant aux organismes du
réseau de la santé et des services sociaux – Volet sur la sécurité : ensemble de textes
encadrant la sécurité des actifs informationnels et comprenant la Politique nationale sur la
sécurité des actifs informationnels appartenant aux organismes du réseau de la santé et des
sévices sociaux, les rôles et responsabilités des acteurs en matière de sécurité, les mesures
en matière de sécurité des actifs informationnels et le répertoire des procédures
optionnelles en cette matière. Ce cadre a été officialisé par monsieur Pierre Gabriel, sousministre au ministère de la Santé et des Services sociaux le 24 septembre 2002.
Chiffrement : opération qui consiste à rendre une information inintelligible, de façon
qu’elle ne puisse être lue par une personne qui ne possède pas le dispositif permettant de la
ramener à sa forme initiale.
Clé privée : composante de la biclé, laquelle composante est connue de son unique
propriétaire et utilisée par lui seul pour déchiffrer un message dont il est le destinataire ou
pour signer un message dont il est l'émetteur.
Clé publique : composante de la biclé, laquelle composante est stockée dans un répertoire
accessible à tous les membres d'un réseau ou d'une organisation et permet de transmettre
en toute confidentialité des messages à son unique propriétaire ou d'authentifier à l'arrivée
des messages émis par ce dernier.
CNPRPS : Comité national de protection des renseignements personnels et de sécurité.
Code d’identification : type d’identifiant. Groupe alphanumérique, unique et normalisé
permettant d’identifier l’utilisateur d’un actif informationnel.
Collecte d’information : action de rassembler des informations variables destinées à un
traitement.
54
Confidentialité : propriété que possède une donnée ou une information dont l’accès et
l'utilisation sont réservés à des personnes ou entités désignées et autorisées.
Conservation de l’information : action de maintenir l’information intacte.
Copie de sécurité : copie d'un fichier ou d'un ensemble de fichiers mise à jour à intervalles
réguliers en vue d'assurer la restauration des données en cas de perte.
Coupe-feu ou garde-barrière ou bastion de sécurité : dispositif informatique qui permet
le passage sélectif des flux d'information entre un réseau interne et un réseau public ainsi
que la neutralisation des tentatives de pénétration en provenance du réseau public.
Cryptographie : discipline qui comprend les principes, les moyens et les méthodes de
transformation des données afin d’en dissimuler le contenu, d’en prévenir les
modifications non détectées ou d’en éviter l’utilisation non autorisée.
Cycle de vie de l’information : période de temps couvrant toutes les étapes d’existence de
l’information, dont celles (selon la terminologie) de la définition, de la création, de
l’enregistrement, du traitement, de la diffusion, de la conservation et de la destruction.
Déchiffrement : action de rendre sa forme originale à une information précédemment
chiffrée.
Destruction de l’information : action de faire disparaître l’information.
Détenteur : personne à qui, par délégation du sous-ministre ou d’un dirigeant
d’organisme, est assignée la responsabilité d’assurer la sécurité d’un ou de plusieurs actifs
informationnels, qu’ils soient détenus par le sous-ministre, un dirigeant d’organisme ou un
tiers mandaté.
Disponibilité : propriété qu’ont les données, l’information et les systèmes d’information et
de communication d’être accessibles et utilisables en temps voulu et de la manière
adéquate par une personne autorisée.
55
Donnée : élément de base constitutif d’un renseignement, d’une information.
Donnée confidentielle : donnée qui ne peut être communiquée ou rendue accessible
qu’aux personnes ou autres entités autorisées.
Donnée nominative : information relative à une personne physique identifiée ou
identifiable.
Donnée publique : donnée ne faisant pas l’objet de restriction d’accès.
Donnée sensible : donnée dont la divulgation, l’altération, la perte ou la destruction
risquent de paralyser ou de mettre en péril soit un service, soit l’organisation elle-même
qui, de ce fait, devient vulnérable.
Droit d’auteur : droit exclusif que détient un auteur ou son représentant d’exploiter une
œuvre pendant une durée déterminée.
Équipement informatique : ordinateurs, mini-ordinateurs, micro-ordinateurs, postes de
travail
informatisés
et
leurs
unités
ou
accessoires
périphériques
de
lecture,
d’emmagasinage, de reproduction, d’impression, de communication, de réception et de
traitement de l’information, et tout équipement de télécommunications.
Exploitation informatique : unité administrative qui a comme tâche d’assurer le bon
fonctionnement, le développement et l’entretien des services informatiques de l’organisme.
Fournisseur : corporation, société, coopérative ou personne physique faisant affaires et
étant en mesure de contracter avec le gouvernement, unité administrative d’un organisme
ou tout fonds spécial qui fournit des services ou des biens à un détenteur, à un utilisateur
ou à un autre fournisseur.
Identifiant : renseignement sur l’utilisateur, lequel renseignement est connu de
l’organisme et permet à cet utilisateur d’avoir accès à des actifs informationnels.
56
Identification : fonction du contrôle de l’accès aux actifs informationnels permettant
d’attribuer un code d’identification, ou identifiant, à un utilisateur, à un dispositif ou à une
autre entité.
Incident : événement ayant pu mettre ou ayant mis en péril la sécurité d’un ou de plusieurs
actifs informationnels.
Information : élément de connaissance descriptif d’une situation ou d’un fait, résultant de
la réunion de plusieurs données.
Information électronique : information sous toute forme (textuelle, symbolique, sonore
ou visuelle), dont l’accès et l’utilisation ne sont possibles qu’au moyen des technologies de
l’information.
Infrastructure
commune :
ensemble
des
composantes
matérielles,
logicielles,
technologiques et organisationnelles partagées en tout ou en partie par le ministère de la
Santé et des Services sociaux et les organismes du réseau de la santé et des services
sociaux.
Installation : ensemble des objets, appareils, bâtiments et autres éléments installés en vue
de l’utilisation d’une technologie de l’information.
Intégrité : propriété d’une information ou d’une technologie de l’information de n’être ni
modifiées, ni altérées, ni détruites sans autorisation.
Interrogation de l’information : question ou ensemble des questions posées à une banque
d’information.
Irrévocabilité : propriété d’un acte d’être définitif et clairement attribué à la personne qui
l’a accompli ou au dispositif avec lequel il a été accompli.
Journal : relevé chronologique des opérations informatiques, constituant un historique de
l'utilisation des programmes et des systèmes sur une période donnée.
57
Journalisation : enregistrement dans un journal de tous les accès fructueux et infructueux
à un ordinateur et aux données, de l’utilisation de certains privilèges spéciaux relatifs à
l’accès et des changements apportés aux actifs informationnels, en vue d’une vérification
ultérieure.
Logiciel : ensemble des programmes, des procédures et des règles ainsi que de la
documentation qui leur est associée, nécessaires à la mise en œuvre d'un système de
traitement de l'information.
Logiciel d’application : logiciel conçu pour répondre à un ensemble de besoins dans un
domaine donné.
LSSSS : Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4.2).
Matériel : ensemble des éléments physiques employés pour le traitement de l’information.
Mécanisme : agencement ou ensemble de processus et de ressources humaines, matérielles
et autres disposé de façon à obtenir un résultat donné.
Mesure : disposition ayant pour but de protéger ou de conserver un actif informationnel.
Modification de l’information : action de faire des changements dans l’information.
Mot de passe : authentifiant prenant la forme d'un code alphanumérique attribué à un
utilisateur, permettant à ce dernier d'obtenir l'accès à un ordinateur en ligne et d'y effectuer
l'opération désirée. Cet authentifiant représente une liste secrète de caractères qui,
combinée à un code d’utilisateur public, forme un identificateur unique désignant un
utilisateur particulier.
Non-répudiation : voir Irrévocabilité.
Normes et pratiques : énoncés généraux émanant de la direction d’une organisation et
indiquant ce qui doit être appliqué relativement à la sécurité des actifs informationnels.
58
Organisme : le ministère de la Santé et des Services sociaux, les régies régionales et les
établissements du réseau de la santé et des services sociaux.
Personne : une personne physique ou une personne morale de droit public ou de droit
privé.
Personnel : ensemble des ressources humaines, rémunérées ou non, qui assument la
mission de l’organisme.
Plan de reprise après sinistre : document qui prévoit toutes les circonstances entraînant
une interruption de service des actifs informationnels ainsi que toutes les mesures
applicables afin d’assurer, sur site ou hors site, les services essentiels.
Plan de sauvegarde : plan contenant les règles détaillées et strictes relatives à tous les
aspects de la sauvegarde informatique (responsabilité, exhaustivité, cohérence, fichiers
stratégiques, nombre de générations, cycles de rotation, confection, supports, transport,
lieu d’entreposage, durée d’entreposage, accessibilité, exploitabilité, contrôles et
validation).
Politique de sécurité : énoncé général émanant de la direction d’une organisation et
indiquant la ligne de conduite adoptée relativement à la sécurité, à sa mise en œuvre et à sa
gestion.
Progiciel : ensemble complet de programmes informatiques munis de documents, conçus
pour être fournis à plusieurs utilisateurs et commercialisés en vue d'une même application
ou d’une même fonction.
Programme informatique : série de fonctions et de définitions en langage machine ou
dans un langage plus évolué.
Renseignement : synonyme d’information.
Renseignement confidentiel : tout renseignement qui ne peut être communiqué ou rendu
accessible qu’aux personnes ou autres entités autorisées.
59
Renseignement personnel ou nominatif : tout renseignement qui concerne une personne
physique et qui permet de l’identifier.
Répertoire des procédures optionnelles : ensemble des recommandations et des
suggestions relatives à la mise en place des procédures visant à assurer la sécurité des
actifs informationnels.
Réseau étendu : réseau local qui devient une partie d’un réseau étendu lorsqu’une liaison
est établie (par l’intermédiaire de modems, d’aiguilleurs distants, de lignes téléphoniques,
de satellites ou d’autres connexions) avec un gros système, un réseau de données public ou
un autre réseau local.
Réseau informatique : ensemble des composantes et des équipements informatiques
reliés par voie de télécommunications, soit pour accéder à des ressources ou à des services
informatisés, soit pour en partager l’accès.
Réseau local : réseau informatique de taille réduite et, le plus souvent, à l’intérieur d’un
organisme.
Réseau privé : réseau appartenant à une seule organisation.
Réseau public : réseau partagé par plusieurs organisations et appartenant généralement à
un fournisseur de services de télécommunications.
RSSS : réseau de la santé et des services sociaux.
RTSS : réseau de télécommunications sociosanitaire.
Sceau électronique : bloc de données dont le contenu est le résultat d'un calcul complexe
effectué à partir d'un message à transmettre, qui est ajouté à ce message par l'expéditeur, et
dont un nouveau calcul à l'arrivée permet de vérifier l'origine et l'intégrité du message
auquel il a été attaché.
60
Scellement : action qui consiste à adjoindre à un message à transmettre un sceau
électronique permettant de garantir l'origine et l'intégrité de ce message.
Signature numérique ou signature électronique : données annexées à un document
électronique qui permettent à la personne qui reçoit ce document de connaître la source des
données, d'en attester l'intégrité, et de s'assurer de l'adhésion de l'émetteur au contenu de ce
document. On emploie parfois l’expression signature électronique sécurisée.
Système d’information : ensemble organisé de moyens mis en place pour recueillir,
emmagasiner, traiter, communiquer, protéger ou éliminer l’information en vue de répondre
à un besoin déterminé, y incluant notamment les technologies de l’information et les
procédés utilisés pour accomplir ces fonctions.
Technologie de l’information : tout logiciel ou matériel électronique et toute combinaison
de ces éléments utilisés pour recueillir, emmagasiner, traiter, communiquer, protéger ou
éliminer l’information sous toute forme (textuelle, symbolique, sonore ou visuelle).
Télécommunication : ensemble des procédés électroniques de transmission d’information
à distance.
Traitement de l’information ou traitement des données : ensemble des opérations
effectuées automatiquement sur des données afin d’en extraire certains renseignements
qualitatifs ou quantitatifs.
Transaction : opération impliquant une modification de l’information.
Transmission d’information : action de transporter une information d’un émetteur vers
un récepteur.
Utilisateur : personne, groupe ou entité administrative qui fait usage d'un ou de plusieurs
actifs informationnels appartenant aux organismes publics du réseau de la santé et des
services sociaux.
61
Utilisation : terme qui recouvre, le cas échéant, l’ensemble des événements constituant le
cycle de vie de l’information électronique, entre autres la création, la collecte, le
traitement, la conservation, l’interrogation, la communication, la modification, l’archivage
et la destruction.
Vérification : évaluation ciblée d’une situation problématique ou jugée à risque et ne
visant que les actifs informationnels en cause.
Virus : programme inséré dans un système informatique afin de causer des dommages
nuisibles et néfastes.
62
Annexe H – Fondements juridiques13
Cette annexe présente les principales lois, règlements, directives et autres références encadrant la
présente politique :
Le Cadre global sur la sécurité des actifs informationnels du réseau de la santé et des services
sociaux – Volet sur la sécurité (ministère de la Santé et des services sociaux , septembre
2002)
Architecture gouvernementale de la sécurité de l’information (septembre 2001)
Charte des droits et liberté de la personne (L.R.Q., c.C-12)
Charte canadienne des droits et libertés (1982, c. 11)
Directive sur la sécurité de l’information et des échanges électroniques dans l’administration
gouvernementale (février 2000)
Directive sur le traitement et la destruction de tout renseignement, registre, donnée, logiciel,
système d’exploitation ou autre bien protégé par un droit d’auteur, emmagasiné sur un
équipement micro-informatique ou un support amovible (octobre 1999)
Loi sur les archives (L.R.Q., ch. A-21.1)
Loi sur l’accès aux documents des établissements publics et sur la protection des
renseignements personnels (L.R.Q., ch. A-2.1)
Loi sur l’administration publique (PL 82)
Loi concernant le cadre juridique des technologies de l’information (PL 161)
Certaines dispositions pertinentes du Code civil du Québec (C.C.Q)
Certains articles du code criminel du Canada (C.C.C)
Loi sur la protection des renseignements personnels et les documents électroniques (C-6)
Loi canadienne sur le droit d’auteur (L.R. 1985, ch. C-42)
Loi sur la propriété intellectuelle et les marques de commerce (L.R. 1985 ch. T-13)
Normes en matière d’acquisition, d’utilisation et de gestion des droits d’auteur des documents
détenus par le gouvernement et les ministères et établissements désignés (novembre 2000)
13
Cette annexe n’est présentée qu’à titre d’exemple.
63

Documents pareils