Guide de rédaction d`une politique de sécurité de l`information
Transcription
Guide de rédaction d`une politique de sécurité de l`information
Politique de sécurité de l’information Guide de rédaction Trousse d’outils Document adopté par : • • Le Comité national sur la protection des renseignements personnels et la sécurité (CNPRPS) le 23 septembre 2003 La Table des coordonnateurs régionaux de la sécurité des actifs informationnels le 20 février 2003 Juin 2003 Version 1.1 Guide de rédaction d’une politique de sécurité de l’information Ce guide a été élaboré par le cabinet KPMG sous la supervision de la Direction du Technocentre national et de SOGIQUE : M. Robert Brochu Conseiller principal en sécurité et technologie Société de gestion informatique inc. (SOGIQUE) Francis Beaudoin Directeur principal – Groupe sécurité de l’information KPMG s.r.l. Personnes consultées : Jean Laterrière Directeur du Technocentre national Société de gestion informatique inc. (SOGIQUE) Éric Dallaire Coordonnateur de la sécurité du réseau Direction des ressources informationnelles MSSS Richard Halley Conseiller en sécurité Direction des ressources informationnelles MSSS Yves Viau Coordonnateur des ressources informationnelles Agence de la santé et des services sociaux des Laurentides Gilles Potvin Coordonnateur des technologies de l’information Agence de la santé et des services sociaux de Lanaudière Nathalie Malo Analyste-conseil en technologie de l’information Agence de la santé et des services sociaux de Lanaudière Yvan Fournier Responsable du secteur serveur et sécurité Centre hospitalier universitaire de Québec Lucie Beauregard Coordonnatrice sécurité et confidentialité / service informatique Centre universitaire de santé McGill Denis Lebeuf Officier de sécurité Centre hospitalier de l'Université de Montréal Jean Asselin Coordonnateur, secteur ressources matérielles, financières et informationnelles Association des Centres jeunesse du Québec Normand Baker Directeur général CLSC Frontenac et Centre hospitalier région amiante I Membres du comité de lecture et de validation : Jean Laterrière Directeur du Technocentre national Société de gestion informatique inc. (SOGIQUE) Éric Dallaire Coordonnateur de la sécurité du réseau Direction des ressources informationnelles MSSS Robert Brochu Conseiller senior en sécurité et technologie Société de gestion informatique inc. (SOGIQUE) Francis Beaudoin Directeur principal – Groupe sécurité de l’information KPMG s.r.l. Hans Brière Jocelyne Legras Analyste en informatique / responsable du dossier de la sécurité de l’information régionale Agence de la santé et des services sociaux de la Capitale-Nationale Coordonnateur régional de la sécurité des actifs informationnels Technocentre régional de l’Estrie Gilles Potvin Coordonnateur des technologies de l’information Agence de la santé et des services sociaux de Lanaudière Dans ce document, le générique masculin est utilisé pour simplifier la lecture du texte, mais s'applique autant pour le féminin que pour le masculin. Pour toute question ou commentaire, veuillez communiquer avec votre coordonnateur régional de la sécurité de l'information. Remerciements L’équipe de réalisation tient à remercier toutes les personnes ayant collaboré avec elle. II TABLE DES MATIÈRES 1 CONTEXTE ............................................................................................................................ 1 2 OBJECTIFS DU GUIDE ....................................................................................................... 4 2.1 OBJECTIFS.............................................................................................................................. 4 2.2 AUDIENCE.............................................................................................................................. 4 2.2 LIMITATIONS ......................................................................................................................... 5 2.3 SOUTIEN ................................................................................................................................ 5 3 GÉNÉRALITÉS SUR LES POLITIQUES DE SÉCURITÉ .............................................. 6 3.1 POSITIONNEMENT DE LA POLITIQUE DE L’INFORMATION ...................................................... 6 4 PROCESSUS D’ÉLABORATION D’UNE POLITIQUE DE SÉCURITÉ DE L’INFORMATION................................................................................................................. 8 4.1 LES FACTEURS CLÉS DE RÉUSSITE ......................................................................................... 8 4.2 COMPOSITION DE L’ÉQUIPE DE PROJET.................................................................................. 9 4.3 LES ÉTAPES ............................................................................................................................ 9 5 ÉLÉMENTS D’UNE POLITIQUE DE SÉCURITÉ DE L’INFORMATION ................ 18 5.1 STRUCTURE DE LA POLITIQUE ............................................................................................. 18 5.2 LES SECTIONS DE LA POLITIQUE .......................................................................................... 18 ANNEXE A – EXEMPLE DE POLITIQUE ............................................................................ 30 ANNEXE B – FICHE-MANDAT............................................................................................... 44 1 IDENTIFICATION DU PROJET.............................................................................................. 44 2 COMPOSITION DE L’ÉQUIPE DE PROJET............................................................................. 44 3 ÉCHÉANCIERS ................................................................................................................... 44 4 OBJECTIFS DU MANDAT .................................................................................................... 44 5 LES RESSOURCES NÉCESSAIRES À L’ÉLABORATION DE LA POLITIQUE. ............................ 45 6 LES RESSOURCES NÉCESSAIRES À LA MISE EN PLACE ET AU SUIVI ................................... 45 7 ENGAGEMENT DES PARTIES .............................................................................................. 45 ANNEXE C – RÉFÉRENCES ................................................................................................... 46 ANNEXE D – EXEMPLE DE PRÉOCCUPATIONS.............................................................. 48 i 1 CONFIDENTIALITÉ DES RENSEIGNEMENTS ....................................................................... 48 2 PROTECTION DE LA CONFIANCE DES CITOYENS ............................................................... 48 3 UTILISATION DE L’INTERNET ET DU COURRIER ÉLECTRONIQUE ...................................... 49 4 …...................................................................................................................................... 49 ANNEXE E – ANALYSE DES IMPACTS DE LA POLITIQUE........................................... 50 ANNEXE F – CADRE NORMATIF ......................................................................................... 52 ANNEXE G – LEXIQUE............................................................................................................ 53 ANNEXE H – FONDEMENTS JURIDIQUES ........................................................................ 63 ii 1 Contexte La sécurité des actifs informationnels1 est devenue une préoccupation majeure des intervenants oeuvrant dans le domaine de la santé. Étant donné l’importance stratégique des systèmes d’information utilisés par les établissements et les organismes2 de même que la nature sensible des informations qu’ils traitent, la sécurisation des actifs informationnels devient un enjeu stratégique pour le réseau sociosanitaire. En ce sens, le ministère de la Santé et des Services sociaux a récemment officialisé le Cadre global de gestion des actifs informationnels appartenant aux établissements du réseau de la santé et des services sociaux – Volet sur la sécurité (appelé « Cadre global » ci-après). Le Cadre global vise à communiquer, les obligations et les rôles de chacun des intervenants en matière de sécurité des actifs informationnels. À ce titre, les établissements ont notamment l'obligation de se doter d'une politique de sécurité tel que stipulé à l'article 3.3 de la Politique nationale sur la sécurité des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux inclus dans le Cadre global. Afin de les appuyer dans leurs efforts, le ministère de la Santé et des Services sociaux du Québec a créé en octobre 2001 la « Table des coordonnateurs régionaux en sécurité des actifs informationnels » (TCRSAI) afin d’échanger et de partager sur les enjeux reliés au déploiement du Cadre global. Or, la responsabilité de sécuriser les actifs informationnels revient aux propriétaires des actifs afin d’apporter un support aux établissements. SOGIQUE a été mandatée pour développer une trousse destinée à accompagner et à supporter les établissements dans l’implantation du Cadre global. C’est donc dans ce contexte que le présent « guide de rédaction d’une politique de sécurité de l'information » a été développé. 1 La notion d’actif informationnel est définie au lexique. De plus, le domaine d’application de la sécurité de l’information est défini au Cadre global à l’article 2, page 7. 2 Dans un souci d'allègement du texte, nous utiliserons uniquement le terme « établissements » pour désigner l'ensemble des organismes du secteur sociosanitaire assujetti à l'application du Cadre global art. 2 1 Il est important de mentionner que la portée du présent guide se limite aux questions directement reliées à la sécurité de l’information et n’adresse pas l’ensemble des domaines à considérer en matière de gestion de l’information. Ces domaines sont présentés à l’intérieur de la figure 1 de ce document qui permet de bien situer les principaux éléments qui déterminent et établissent les critères et les obligations au regard de la sécurité de l’information et, de plus, qui influencent directement la gestion de l’information, et ce, quel que soit son support. La figure 1 présente quatre (4) niveaux qui s’articulent du haut vers le bas. Il est à noter que chaque niveau influence le suivant. Niveau 1 Le premier niveau identifie les sept (7) principaux domaines à considérer dans une approche globale de gestion de l’information. Ces domaines sont, pour la plupart, chapeautés par un (e) ou plusieurs lois ou règlements. Ils déterminent également les grands paramètres et les obligations des organismes du réseau de la santé et des services sociaux en matière de sécurité de l’information. Niveau 2 Le deuxième niveau représente les trois (3) objectifs (disponibilité, intégrité et confidentialité) de la sécurité de l’information et les deux (2) objectifs de la sécurité des transmissions (authentification et irrévocabilité). Chacun des domaines de gestion de l’information génère des paramètres ou des obligations aux organismes au regard de l’un ou plusieurs de ces objectifs. Par exemple, le domaine de l’accès à l’information (Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels) influence principalement la gestion de la confidentialité et de la disponibilité de l’information, alors que le domaine de la gestion des documents et des archives peut être déterminant pour la disponibilité. Les lois en vigueur dans le domaine de la santé et des services sociaux concernent les trois (3) objectifs de la sécurité de l’information, soit la disponibilité, l’intégrité et la confidentialité et, parfois, les deux objectifs de la transmission des informations qui sont l’authentification et l’irrévocabilité. 2 Niveau 3 Le troisième niveau englobe l’ensemble des mesures globales de sécurité édictées au niveau national. La plupart de ces mesures ont un impact sur les obligations des organismes du réseau en matière de sécurité de l’information. Niveau 4 Le quatrième niveau présente les différents niveaux de documentation de la gestion de la sécurité de l’information dans un organisme. Ce niveau fait l’objet de la section 3.1 du présent guide. Positionnement de la sécurité de l'information du réseau de la santé et des services sociaux GESTION DE L'INFORMATION NIVEAU 1 Domaines déterminant les grands paramètres de la sécurité de l'information dans le réseau de la santé et des services sociaux Lois et réglements, internationaux canadiens, québecois, Lois en vigueur dans le domaine de la santé et des services sociaux Protection de la vie privée Protection des renseignements personnels Accès à l'information NIVEAU 2 Gestion des documents et des archives (quel que soit le support) Propriété intellectuelle Protection des données corporatives DISPONIBILITÉ INTÉGRITÉ CONFIDENTIALITÉ SÉCURITÉ DE L'INFORMATION ET DES TRANSMISSIONS AUTHENTIFICATION IRRÉVOCABILITÉ NIVEAU 3 Gestion de la sécurité de l'information du réseau de la santé et des services sociaux Exigences minimales en matière de sécurité pour le raccordement au RTSS (juillet 1999) Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux - Volet sécurité Politique Nationale - Rôles et responsabilités - Mesures (obligatoires et minimales) (septembre 2002) NIVEAU 4 Gestion de la sécurité de l'information d'un organisme du réseau de la santé et des services sociaux Politique de sécurité locale en lien avec le cadre législatif, le cadre global, la mission de l'organisme et ses caractéristiques organisationnelles Normes et directives Procédures 16-05-2003 Figure 1 : Positionnement de la sécurité de l’information du réseau de la santé et des services sociaux 3 2 Objectifs du guide 2.1 Objectifs L’objectif du présent guide est de supporter les établissements dans l’élaboration de leur politique de sécurité. Afin de s’assurer que le guide soit adapté aux particularités des établissements de la santé et de services sociaux, une approche consultative a été adoptée lors de son élaboration. À cet effet, des établissements de toutes tailles et de vocations différentes ont été rencontrés afin d’identifier et de documenter les enjeux et les besoins des intervenants, de même que leur vision de ce que devrait être une politique de sécurité de l’information. Le guide est construit autour de deux sections principales, soit : • La section 4 - Processus d’élaboration d’une politique de sécurité de l’information; • La section 5 - Éléments d’une politique de sécurité de l’information. La section quatre (4) propose une méthodologie permettant d’élaborer une politique. La méthode proposée se veut consultative afin de favoriser l’adhésion des intervenants aux objectifs et énoncés de la politique adoptée par la direction de l'établissement. Comme toute méthode de travail, cette dernière devra être adaptée aux particularités de chaque établissement. La section (5) cinq, quant à elle, présente les sections qui devraient se retrouver dans une politique. Pour chaque section, l’objectif de la section, les meilleures pratiques en la matière ainsi qu’une liste de suggestions et un exemple sont présentés. De plus, l’annexe A présente un exemple complet de politique de sécurité de l'information. 2.2 Audience Ce guide s’adresse principalement aux personnes suivantes : • Responsable à qui la tâche de mener l’exercice de classification des actifs informationnels a été assignée (qui, dans la majorité des cas, devrait être le responsable de la sécurité des actifs informationnels, RSAI) 4 • Le responsable de la sécurité des actifs informationnels (RSAI) • Le responsable de la protection des renseignements personnels (RPRP) • Les détenteurs d'actifs informationnels • Le directeur de la gestion des ressources informationnelles ou le responsable du service informatique • Le responsable des archives • Le professionnel en sécurité de l’information 2.2 Limitations La disparité entre les établissements et les différents stades d'avancement des activités de gestion reliées à la sécurité de l'information au sein de chacun des établissements font en sorte que le guide devra être adapté et ne se substitue en aucun cas au jugement professionnel des intervenants des établissements. 2.3 Soutien Les agences de la santé et des services sociaux ont le mandat de supporter les établissements dans leur démarche d’élaboration d’une politique de sécurité de l’information. Pour toutes questions concernant ce guide, vous pouvez vous adresser au coordonnateur de votre région. 5 3 Généralités sur les politiques de sécurité 3.1 Positionnement de la politique de l’information Il existe des différences fondamentales dans les termes « Politiques », « Normes » Politique de sécurité et « Procédures », et il est important de bien comprendre la portée de chacun de ces concepts. La politique de sécurité Normes et directives de sécurité adresse la volonté et la vision de la direction en terme de sécurité. La politique de sécurité présente les principes directeurs sur la vision et les objectifs de la haute direction en matière de sécurité Procédures de sécurité de l’information ainsi que les moyens qui doivent être mis en place pour les atteindre. Elle est la pierre angulaire des Figure 2 – Relations entre la politique, les normes et directives, et les procédures de sécurité normes et directives de sécurité qui constituent le second niveau de documentation. Les normes et directives de sécurité sont des énoncés permettant d’indiquer quels sont les standards organisationnels de sécurité pour chacun des domaines importants identifiés par l’organisation. Les normes et directives peuvent s’adresser à des domaines, tels la gestion des codes utilisateur, l’utilisation du courrier électronique, la navigation sur Internet, les mots de passe, la classification des informations, la gestion des changements, le suivi des activités, l’utilisation de la micro-informatique, etc. Par exemple, on ne devrait pas parler de « Politique d’utilisation de l’Internet » mais plutôt de la « Norme d’utilisation de l’Internet ». Les normes et directives sont multiplateformes et s’adressent donc à l’ensemble de l’information et des systèmes d’information de l’organisme. Finalement, les procédures de sécurité permettent de définir spécifiquement, pour chaque plateforme, comment appliquer les normes et directives de sécurité. L’annexe F – Cadre normatif – illustre le rôle de chacun des documents. 6 Précision sur les types de politiques de sécurité Il existe deux types de politiques : les politiques « détaillées » et les politiques « de haut niveau ». L’approche de haut niveau est l’approche à privilégier. Selon cette approche, la politique doit avant tout spécifier les objectifs, la portée, les principes directeurs, et les principaux rôles et responsabilités de chacun. Ce type de politique évite de spécifier les moyens pour atteindre les objectifs ou de formuler des prescriptions en matière de gestion laissant ces aspects aux normes et procédures. Comme la politique sera adoptée par le conseil d’administration de l’établissement, il est important d’éviter d’y inclure des normes techniques ou des procédures qui sont susceptibles de changer assez fréquemment, sans quoi, l’évolution de la politique risque d’être laborieuse. La politique se doit d’être assez de haut niveau afin de bien préciser la volonté et les attentes de la direction en matière de sécurité de l’information. 7 4 Processus d’élaboration d’une politique de sécurité de l’information 4.1 Les facteurs clés de réussite Les meilleures pratiques en matière de politique de sécurité de l’information prescrivent un style clair, concis et direct. La politique doit avant tout être compréhensible et conviviale pour le lecteur. Il est recommandé d’éviter d’utiliser des termes techniques ou d’expliquer ces derniers au lexique. Le succès de l'initiative nécessite une volonté de la direction qui se traduit par une implication et le support de cette dernière. Sans cette implication, il sera difficile d’obtenir l’adhésion des intervenants et la politique n’atteindra pas ses objectifs. Nous vous rappelons que la sécurité de l'information est d'abord une démarche organisationnelle qui inclut les technologies de l'information, mais qui en dépasse largement les frontières. De même, il est important de positionner la sécurité de l'information comme un processus qui nécessite des efforts continus et non pas comme un problème ponctuel, pouvant être résolu grâce à la mise en place de mesures exclusivement technologiques. Le succès de la politique et son respect nécessitent une compréhension des enjeux et des risques de la part des utilisateurs qui y seront assujettis. Cette compréhension devra être inculquée aux utilisateurs par des efforts continuels de sensibilisation et de formation qui nécessiteront l'implication d’un ensemble de collaborateurs tout particulièrement des directions ressources humaines. Enfin, il est à noter que sans les ressources nécessaires à la diffusion, à l’implantation, à la sensibilisation et à la formation, la politique ne pourra atteindre ses objectifs. 8 4.2 Composition de l’équipe de projet Nous recommandons de constituer un comité de sécurité provisoire qui supportera le chargé de projet dans son mandat d'élaboration de la politique. Le groupe devrait être composé des intervenants suivants : • le responsable de la sécurité des actifs informationnels de l’établissement (RSAI); • quelques utilisateurs en mesure de représenter les détenteurs et les utilisateurs de système (pilotes ou utilisateurs-experts); • le responsable de l’application de la Loi d’accès de l’établissement; • le responsable du service informatique; • le responsable des archives; • un membre de la direction des ressources humaines. 4.3 Les étapes Cette section présente les étapes nécessaires à l’élaboration d’une politique. Comme nous l’avons mentionné précédemment à la section 2.2 Limitations, le processus présenté à la figure 3 devra être adapté pour chacun des établissements en fonction de sa taille, sa structure organisationnelle, sa culture organisationnelle et l'état d'avancement de ses travaux face à la sécurité de l’information. 9 Le cycle de développement et de mise à jour d’une politique de sécurité de l'information peut s’étendre sur une période de quelques mois à plus d’une année, en fonction de la structure organisationnelle de l’établissement et des méthodes de validation et d’adoption qui ont été choisies. Les activités suivantes font généralement partie du processus d’élaboration : • étape 1 : engagement de la direction; • étape 2 : recherche et balisage (le guide vise à réduire l'ampleur de cette étape); • étape 3 : recensement des préoccupations; • étape 4 : rédaction; • étape 5 : analyse des impacts; • étape 6 : validation; • étape 7 : adoption par le conseil d’administration; • étape 8 : diffusion et sensibilisation. Engagement de la direction Recherche et balisage Recensement des préoccupations Rédaction Analyse des impacts et validation Adoption et diffusion Validation, rétroaction et mise à jour Figure 3 – Processus d’élaboration et de mise à jour d’une politique de sécurité de l’information 4.3.1 Étape 1 - Engagement de la direction Cette première étape est en lien direct avec la section 4.1 Les facteurs clés de réussite et vise à obtenir un mandat clair de la part de la haute direction pour développer la politique. Ce mandat devrait être discuté entre les membres de l’équipe qui seront chargés d’élaborer la politique et la direction. Les thèmes abordés lors de la définition du mandat devraient être notamment : 10 • les objectifs poursuivis par la direction en matière de sécurité de l’information. Par exemple : se conformer aux lois, assurer la sécurité des usagers, etc.; • l'engagement de la haute direction à participer activement à l’exercice. Le support de la direction est particulièrement crucial lors des étapes de recensement des préoccupations, de validation et d’adoption; • les ressources (humaines et financières) nécessaires à l’élaboration de la politique. Certaines personnes doivent être libérées partiellement ou entièrement de leurs tâches habituelles; • les ressources (humaines et financières) nécessaires à la mise en place et au suivi de la politique, dont les mesures de sensibilisation et de formation qui en découlent. D’autres préoccupations d’ordre logistique devraient aussi être discutées, telles que les échéanciers et le calendrier de réalisation. Nous recommandons à l’équipe de projet de documenter son mandat et d’élaborer une « fichemandat ». L’annexe B présente un exemple de fiche-mandat pouvant être utilisée. 4.3.2 Étape 2 - Recherche et balisage La recherche et le balisage sont des activités qui visent deux objectifs, soit : • identifier les tendances en matière de politique de sécurité; • recenser les politiques existantes afin d’en dégager les meilleures pratiques. Le présent guide devrait faciliter au maximum cette étape en fournissant un ensemble de meilleures pratiques, de références et de sources d’information. À ce chapitre, nous invitons le lecteur à consulter l’annexe C où nous présentons une liste de références. De plus, nous fournissons à l’annexe A, un exemple d’une politique. 11 4.3.3 Étape 3 - Recensement des préoccupations L’étape de recensement des préoccupations est fondamentale et devra être menée avec minutie. L’objectif de l’activité est de faire ressortir les préoccupations des principaux intervenants de l’établissement. Pour ce faire, l’équipe de projet peut utiliser les techniques suivantes : • l’entrevue personnalisée (un à un); • l’atelier en groupe de travail. Peu importe la méthode utilisée, l’objectif demeure la collecte des préoccupations des intervenants. La liste ci-dessous présente une liste d’intervenants qui, en plus des membres du comité de sécurité provisoire présenté à la section 4.2 Composition de l'équipe de projet, qui pourra être consultée. Cette liste n’est pas exhaustive et devra être adaptée pour chaque établissement : • le dirigeant de l’établissement; • un représentant du service du contentieux; • un représentant du service des ressources humaines; • un responsable du département de gestion des technologies; • un responsable des ressources matérielles; • un représentant du comité des utilisateurs; • la Direction des services professionnels (DSP) et la Direction des soins infirmiers (DSI). Nous recommandons de colliger et de documenter les préoccupations qui auront été communiquées à l’équipe de projet (voir Annexe D). Ces préoccupations devront être adressées lors de la phase de rédaction. 4.3.4 Étape 4 - Rédaction L’étape de rédaction consiste à reprendre chacune des préoccupations identifiées à l’étape précédente et à les adresser sous la forme d’une politique. À cet effet, nous présentons à la section 5 Éléments d’une politique de sécurité de l’information un modèle de structure, de même que les différentes sections qui forment une politique de sécurité. 12 D’un point de vue technique, il est recommandé que l’équipe de projet délègue la rédaction de la politique à une seule personne ou à une équipe restreinte. Dans ce dernier cas, des sections distinctes devraient être attribuées à chacun des membres de l’équipe de rédaction. En matière de style, il est recommandé d’utiliser un style directif et précis laissant peu de place à l’interprétation. Les deux exemples ci-bas illustrent nos propos. Le premier utilise un style qui permet une certaine interprétation (inadéquat) par opposition au deuxième, qui lui, est directif (adéquat). Introduire des règles d’écriture, exemple : opter pour des phrases affirmatives plutôt que négatives, employer « doit » pour une obligation, etc. Exemple 1 (inadéquat) : L’établissement devrait limiter l’accès aux renseignements confidentiels. Lesdits renseignements ne devraient être accessibles que pour l’exercice des fonctions des personnes dont les tâches l’exigent et qui détiennent un privilège d’accès approprié. Exemple 1 (adéquat) : L’établissement doit limiter l’accès aux renseignements confidentiels. Lesdits renseignements ne seront accessibles que pour l’exercice des fonctions des seules personnes dont les tâches l’exigent et qui détiennent un privilège d’accès approprié. Exemple 2 (inadéquat) : L’accès aux renseignements personnels est réservé exclusivement au personnel clinique. Exemple 2 (adéquat) : L’accès aux renseignements personnels est réservé exclusivement au personnel dûment autorisé à y accéder. La politique pourrait connaître plusieurs itérations et il n’est pas rare que certaines équipes de rédaction mandatent une personne afin d’effectuer l’édition finale du texte. Cette pratique offre l’avantage d’assurer une certaine consistance en matière de style de rédaction tout en conservant les avantages que procure le travail d’équipe. 13 4.3.5 Étape 5 - Analyse des impacts3 L’analyse des impacts a pour objectif d'informer les décideurs (le conseil d'administration) sur des conséquences reliées à la mise en œuvre de la politique à la suite de son adoption. L’analyse des impacts devrait s’articuler autour des cinq dimensions suivantes : • les impacts organisationnels (rôles et responsabilités, pratique professionnelle, processus de travail, attitude du personnel, etc.); • les impacts juridiques (relations de travail, contrats et ententes, etc.); • les impacts humains (contrainte de temps et méthodes, etc.); • les impacts financiers (investissement en systèmes d’information versus investissements en sécurité, etc.); • les impacts technologiques (coûts additionnels, etc.). Chacune des prescriptions de la politique devrait être analysée en fonction des cinq dimensions afin d’identifier les problèmes qui pourraient en découler et les actions nécessaires à leur résolution. L’annexe E présente un exemple d’exercice d’analyse des impacts de la politique. 4.3.6 Étape 6 - Validation L’étape de validation est cruciale et doit se faire auprès d’un groupe d’utilisateurs comportant des représentants de tous les secteurs d’activités concernés comme ce fut le cas pour l'étape 3 Recensement des préoccupations (appelé « Groupe de validation » ci-après). Idéalement, la validation devrait être effectuée auprès des mêmes personnes consultées à l'étape 3. 3 Il ne s’agit pas ici de faire une analyse des impacts comme on le ferait lors d’une analyse de risques, mais plutôt d’analyser les impacts ou les « changements » que pourrait engendrer la mise en œuvre de la politique. 14 L’étape de la validation est intimement liée à l’analyse des impacts. L’objectif de cette étape est de revoir le projet de politique et les impacts identifiés précédemment. Cette étape est nécessaire afin d’obtenir l’assurance que le projet de politique est bien compris par le groupe de validation et que les impacts qu’aura la mise en œuvre de la politique sont acceptables. L’étape de validation permet de s’assurer de l’atteinte d’un consensus au sein du groupe de validation, sans quoi la politique risque de faire face à une certaine résistance lors de son déploiement. 4.3.7 Étape 7 - Adoption Une fois le projet de politique et ses impacts analysés et validés, le projet devrait être approuvé de manière préliminaire par le comité de sécurité provisoire et déposé au plus haut dirigeant de l’établissement en vue de son adoption finale par le conseil d'administration. Cette adoption par la plus haute instance de l’établissement est primordiale (voir les rôles et responsabilités du Cadre Global p. 15 art 2.1) puisqu’elle indique clairement l’importance qu’accorde la direction aux enjeux de sécurité de l’information et à la politique. 4.3.8 Étape 8 - Diffusion et sensibilisation Cette dernière étape est la première concrétisation du processus et a pour objectif de diffuser et d’expliquer les obligations prévues à la politique à l’ensemble du personnel de l'établissement. Bien que certains membres du personnel ne soient pas appelés à utiliser l'information dans le cadre de ses fonctions, il est important de les informer des aspects de la politique qui sont susceptibles de les concerner. Cette étape est cruciale car, comme nous l’avons indiqué à la section 4.1 sur les facteurs clés de réussite, la compréhension et l’adhésion du personnel sont les principales causes de succès ou d’échec d’une politique. Il est important à cette étape de bien 15 s’assurer que les membres du personnel comprennent la politique et y souscrivent. Pour ce faire, nous suggérons les activités suivantes : • publication de la politique en format papier et distribution par courrier interne à tous les employés. La politique pourrait être accompagnée d’une lettre d’introduction signée par le plus haut dirigeant de l’établissement; • atelier de formation; • diffusion de sessions de formation. Il faut prévoir une activité d'une durée minimale de deux heures et des groupes d'une quinzaine de personnes pour celles qui utilisent l'informatique ou qui peuvent être directement en contact avec les systèmes d’information; • au terme de l'activité de formation, certaines organisations distribuent, avec la politique, un formulaire attestant que l’employé a lu cette dernière et accepte de s’y conformer. Le formulaire doit être retourné signé par l’employé4; • envoi d’un courrier électronique rappelant la publication de la politique; • publication de la politique sur le site intranet de l’organisation; • publication d’articles dans le journal interne de l’établissement; • formation continue, etc. La signature d’un document attestant que l’employé a lu la politique de sécurité de l'information pourrait ne pas être appropriée dans certains contextes de relation de travail. Certaines organisations vont plutôt tenir un registre des présences lors des sessions de formation afin de s’assurer que l'employé a assisté à cette dernière et, par conséquent, qui sont au fait des obligations qui lui sont conférées en vertu de la politique. 4 Une telle pratique devrait être validée avec le service du contentieux de l’organisation et avec le ou les syndicats concernés afin de s’assurer que cette pratique respecte les ententes et les conventions collectives. 16 4.3.9 Rappel de l'existence de la politique Il est impératif que les efforts de sensibilisation et de formation soient récurrents selon une fréquence adéquate. Plusieurs organisations optent pour des efforts mensuels, tels qu’un rappel dans le journal des employés ou autre publication interne et un rappel semi-annuel prenant la forme d’une séance de formation formelle. 4.3.10 Accueil des nouveaux employés La séance d’accueil d’un nouvel employé représente une occasion privilégiée de présenter la politique de sécurité de l’information. En effet, il est recommandé que, lors de la séance d’accueil, la direction des Ressources humaines présente la politique de sécurité de l’information au nouvel employé et offre une séance de formation. Cette séance a généralement pour objectif d’introduire la politique à l’employé et de répondre aux questions de ce dernier. 17 5 Éléments d’une politique de sécurité de l’information 5.1 Structure de la politique Les politiques de sécurité s’articulent généralement autour des six grandes sections suivantes : • contexte; • objectifs; • respect de la politique; • portée; • principes directeurs; • rôles et responsabilités. Il est à noter que le vocabulaire utilisé pourrait être différent, par exemple, certains auteurs parlent de « raison d’être » plutôt que d’« objectifs », de « domaines d’application » plutôt que de « portée ». À cet égard, les meilleures pratiques recommandent de s’arrimer à la culture de l’organisation et d’utiliser le vocable qui est le plus susceptible d’interpeller les utilisateurs qui sont soumis à la politique. Le même commentaire s’applique aussi quant au niveau de langage et de vulgarisation. 5.2 Les sections de la politique Cette partie du guide présente chacune des sections que l’on retrouve généralement dans une politique de sécurité. Pour chacune des sections, nous présentons les objectifs de la section, les meilleures pratiques, certaines suggestions et un exemple. 18 5.2.1 Section « Contexte » Objectif de la section L’objectif de cette première section est de positionner le contexte de la politique. La section, que l’on présente parfois sous l’appellation « préambule5 », vise à identifier les éléments de haut niveau ayant donné naissance au besoin d’élaborer une politique. Généralement, les éléments du contexte proviennent des orientations gouvernementales, telles que la prestation électronique de service (PES), les lois, directives et encadrement notamment le Cadre global et autres éléments du contexte sociétal ou administratif. Meilleures pratiques Les meilleures pratiques recommandent que la section « Contexte » soit brève et concise (une demi-page). En effet, cette section doit permettre de positionner rapidement le lecteur face aux enjeux que la politique tente d’encadrer. Suggestions Les points suivants pourraient être considérés comme des éléments de contexte : • l'émergence des technologies de l'information dans la société et dans l'univers des services de santé et des services sociaux; • les différentes lois et encadrements tels qu'énumérés à l'annexe H, notamment : • la loi sur les services de santé et les services sociaux • la loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels • 5 les préoccupations en matière de protection des renseignements personnels (PRP); De manière formelle, les notions de contexte et de préambule sont différentes. Toutefois, une interprétation libérale permet l’usage des deux termes aux fins décrites ci-haut. 19 • le Cadre global de gestion des actifs informationnels appartenant au organisme du réseau de la santé et des services sociaux – Volet sur la sécurité. Exemple La modernisation du réseau de la santé et des services sociaux repose sur la possibilité, pour les établissements, de s’échanger des informations de façon rapide et sécuritaire. C’est dans cette optique que le réseau s’est doté en 1999 du Réseau de télécommunication sociosanitaire (RTSS) qui relie plus de 1 500 sites au sein de plus de 400 établissements. Dans la perspective d’un volume accru d’échanges d’information et afin de s’assurer du respect des lois, règlements et normes gouvernementales en matière de sécurité de l’information, le ministère de la Santé et des Services sociaux (MSSS) a élaboré un Cadre global de la sécurité des actifs informationnels. La volonté du MSSS est de mettre en place, au cours des trois (3) années qui suivent, l’ensemble des mesures prévues au Cadre global de sécurité. L’établissement reconnaît que l’information est essentielle à ses opérations courantes et, de ce fait, qu'elle doit faire l’objet d’une évaluation, d’une utilisation appropriée et d’une protection adéquate. L’établissement reconnaît détenir, en outre, des renseignements personnels ainsi que des informations qui ont une valeur légale, administrative ou économique. De plus, plusieurs lois et directives encadrent et régissent l’utilisation de l’information. L’établissement est assujetti à ces lois et doit s’assurer du respect de celles-ci. (note : il serait possible d’indiquer les principales lois et directives, nous vous référons à l’annexe H Fondements juridiques pour une liste complète). En conséquence, l’établissement met en place la présente politique de sécurité de l’information qui oriente et détermine l’utilisation appropriée et sécuritaire de l’information et des technologies de l’information. 5.2.2 Section « Objectifs » Objectif de la section La section « Objectifs» a pour but d’exprimer les objectifs de l’établissement en matière de sécurité de l’information. Les objectifs de la politique doivent permettre au lecteur de rapidement saisir les intentions de l’établissement en matière de sécurité de l’information. Meilleures pratiques Généralement, la section « Objectifs » est succincte et utilise un langage direct. Éviter toute confusion ou l’utilisation de termes qui pourraient être sujets à une interprétation trop large, par exemple : « il serait préférable/souhaitable », « nous croyons », « nous souhaitons/désirons », etc., sont des expressions à proscrire. 20 Il ne faut pas négliger le fait que les objectifs d'une politique ne se limitent pas à la protection de la confidentialité. Il est primordial de couvrir les trois axes de la sécurité, soit la disponibilité, l’intégrité et la confidentialité. Suggestions Certaines politiques présentent un objectif de très haut niveau sans l’accompagner de sousobjectifs plus précis, par exemple : « La politique vise à assurer le respect des lois à l'égard de l'usage et du traitement de l'information, et de l'utilisation des technologies de l'information et des télécommunications ». Bien qu’adéquat, ce type d’objectif reste souvent flou et interpelle peu le lecteur. Exemple La politique vise à assurer le respect de toute législation à l'égard de l'usage et du traitement de l'information, et de l'utilisation des technologies de l'information et des télécommunications. Plus spécifiquement, les objectifs de l’établissement en matière de sécurité de l’information sont : • d’assurer la disponibilité, l'intégrité et la confidentialité à l'égard de l’utilisation des réseaux informatiques, du Réseau de télécommunication sociosanitaire et d’Internet, de l’utilisation des actifs informationnels et de télécommunications, et des données corporatives; • d’assurer le respect de la vie privée des individus, notamment, la confidentialité des renseignements à caractère nominatif relatifs aux usagers et au personnel du réseau sociosanitaire; • d’assurer la conformité aux lois et règlements applicables ainsi que les directives, normes et orientations gouvernementales. Cette politique sera suivie de normes et de procédures afin de préciser les obligations qui en découlent. 5.2.3 Section « Respect de la politique » Objectif de la section L’objet de cette section est de préciser qui est responsable de l’application de la politique. La section indique aussi le processus disciplinaire en cas de non-respect de la politique. Meilleures pratiques Il est important de s’assurer que le processus décrit ou que les mesures disciplinaires dont il est mention soient conformes et en ligne avec les conditions de travail en vigueur ainsi que les autres 21 politiques de l’établissement, et respectent les différentes lois notamment les lois du travail et les conventions collectives. Suggestions Nous recommandons à l’équipe de projet de s’adjoindre les services d’un spécialiste de la gestion des ressources humaines, des relations de travail ou du service du contentieux pour l’élaboration de cette section. Exemple Le directeur général de l'établissement a désigné le responsable de la sécurité des actifs informationnels comme responsable de l’application de la présente politique. L'établissement exige de tous les employé, qui utilise les actifs informationnels de l'établissement ou qui a/aura accès à de l’information, de se conformer aux dispositions de la présente politique ainsi qu'aux normes, directives et procédures qui s’y rattachent. Le non-respect de cette obligation aux actifs informationnels peut entraîner des mesures disciplinaires pouvant aller jusqu’au congédiement immédiat. 5.2.4 Section « Portée » Objectif de la section La section « Portée » est très importante puisqu’elle définit le champ d’application de la politique. La portée comporte généralement trois dimensions, soit : • les personnes visées par la politique; • les actifs visés par la politique; • les activités encadrées par la politique. Meilleures pratiques La section de la portée « pointe » sans ambiguïté les personnes, les actifs et les activités qui sont assujettis. Il est fondamental de couvrir les personnes physiques et morales qui n'ont pas de lien d’emploi direct avec l'organisation de même que celles qui n'utilisent pas les systèmes d'information. 22 Exemple La présente politique s’applique : • à l’ensemble du personnel de l’établissement. De plus, elle s’étend à toute personne physique ou morale qui utilise ou qui accède pour le compte de l’établissement, ou non, à des informations confidentielles, ou non, quel que soit le support sur lequel elles sont conservées; • à l’ensemble des actifs informationnels ainsi qu’à leur utilisation au sein de l’établissement6, tels que les banques d’information électronique, les informations et les données sans égard aux médiums de support (fixe ou portable), les réseaux, les systèmes d’information, les logiciels, les équipements informatiques ou centres de traitement utilisés par l’établissement; • à l’ensemble des activités de collecte, d’enregistrement, de traitement, de garde et de diffusion des actifs informationnels de l’établissement. 5.2.5 Section « Principes directeurs » Objectif de la section La section « Principes directeurs » est le cœur de la politique. L’objectif de cette section est d’énoncer les grands principes que l’établissement se donne en matière de gestion de la sécurité de l’information. Certains auteurs utilisent l’appellation « Énoncés généraux ». Les deux appellations nous semblent appropriées. Meilleures pratiques Les principes directeurs sont des orientations de haut niveau qui permettront d’assurer les trois grands objectifs de la sécurité de l’information, soit : 6 • la disponibilité; • l’intégrité; • la confidentialité, incluant la protection des renseignements personnels. L’énumération d’actifs informationnels à la suite de la virgule pourrait être éliminée et remplacée par un renvoi à la définition du terme actif informationnel au lexique. 23 Suggestions Les principes directeurs de la politique devraient s’inspirer, d’une part, de la « Politique nationale sur la sécurité des actifs informationnels du RSSS7 » présentée dans le Cadre global et, d’autre part, des « Exigences minimales relatives à la sécurité des dossiers informatisés des utilisateurs du réseau de la santé et des services sociaux » (avril 1992) de la Commission d’accès à l’information du Québec8. Ces principes s’articulent autour de la collecte, de la confidentialité des renseignements nominatifs et leur communication et de l’accès aux données confidentielles et aux actifs informationnels et de télécommunications. Exemples a) Toute personne au sein de l’établissement ayant accès aux actifs informationnels assume des responsabilités spécifiques en matière de sécurité et est redevable de ses actions auprès du dirigeant de l’établissement. b) La mise en oeuvre et la gestion de la sécurité reposent sur une approche globale et intégrée. Cette approche tient compte des aspects humains, organisationnels, financiers, juridiques et techniques, et demande, à cet égard, la mise en place d’un ensemble de mesures coordonnées. c) Les mesures de protection, de prévention, de détection, d’assurance et de correction doivent permettre d'assurer la confidentialité, l’intégrité, la disponibilité, l'authentification et l'irrévocabilité des actifs informationnels de même que la continuité des activités. Elles doivent notamment empêcher les accidents, l'erreur, la malveillance ou la destruction d’information sans autorisation. d) Les mesures de protection des actifs informationnels doivent permettre de respecter les prescriptions du Cadre global de gestion des actifs informationnels appartenant aux établissements du réseau de la santé et des services sociaux – Volet sur la sécurité, de même que les lois existantes en matière d’accès, de diffusion et de transmission d’informations, et les obligations contractuelles de l’établissement de même que l’application des règles de gestion interne. e) Les actifs informationnels doivent faire l’objet d’une identification et d’une classification. f) Une évaluation périodique des risques et des mesures de protection des actifs informationnels doit être effectuée afin d’obtenir l’assurance qu’il y a adéquation entre les risques, les menaces et les mesures de protection déployées. g) La gestion de la sécurité de l’information doit être incluse et appliquée tout au long du processus menant à l’acquisition, au développement, à l’utilisation, au remplacement ou la destruction d’un actif informationnel par ou pour l’établissement. 7 8 La politique est le chapitre 1 du Cadre global Voir le site Web : http://www.olf.gouv.qc.ca 24 h) Un programme continu de sensibilisation et de formation à la sécurité informatique doit être mis en place à l’intention du personnel de l'établissement. i) L'accès aux renseignements personnels des utilisateurs par le personnel de l’établissement doit être autorisé et contrôlé. Chaque système doit prévoir des droits d'accès différents selon les catégories de personnel. j) Les renseignements personnels ne doivent être utilisés et ne servir qu’aux fins pour lesquels ils ont été recueillis ou obtenus. k) Le principe du « droit d’accès minimal » est appliqué en tout temps lors de l’attribution d’accès aux informations. Les accès aux actifs informationnels sont attribués à l’utilisateur autorisé en fonction de ce qui lui est strictement nécessaire pour l’exécution de ses tâches. l) Les ententes et contrats dont l’établissement fait partie doivent contenir des dispositions garantissant le respect des exigences en matière de sécurité et de protection de l’information. 5.2.6 Section « Rôles et responsabilités » Objectif de la section C'est dans cette section de la politique que les rôles et responsabilités de chacun des intervenants concernés sont définis. Meilleures pratiques Les rôles et responsabilités présentés dans la politique devraient être de niveau général et éviter les détails spécifiques qui s’apparentent à des tâches qui devraient être plutôt définies dans les procédures de sécurité. Suggestions La répartition des rôles et responsabilités en matière de sécurité de l’information sera différente selon la taille, la structure et la mission de l'établissement. Nous présentons ci-dessous une liste d’intervenants qui ont normalement un rôle à assumer dans la gestion de la sécurité de l'information : • le conseil d’administration de l’établissement; • le directeur général ou le président-directeur général; • le responsable de la sécurité des actifs informationnels de l’établissement (RSAI); • le conseiller en sécurité de l’information (CSI); • le responsable de la protection des renseignements personnels (RPRP); 25 • tous les gestionnaires; • le détenteur d'actifs informationnels; • le pilote de système nommé par le détenteur des actifs informationnels; • le personnel; • la direction des ressources humaines; • le comité de sécurité de l'information; • le responsable du service informatique; • le responsable des archives. Exemples (tirés du Cadre global) Le conseil d’administration de l’établissement9 Le conseil d’administration de l’établissement doit approuver la présente politique, s’assurer de sa mise en œuvre et faire le suivi de son application. À cet égard, il autorise et approuve la politique de sécurité de l’information. Le directeur général / président-directeur général9 Le président-directeur général est le premier responsable de la sécurité des actifs informationnels au sein de l’établissement. Il s'assure que les valeurs et les orientations en matière de sécurité soient partagées par l’ensemble des gestionnaires et du personnel de l’établissement. À cette fin, il s’assure de l’application de la politique dans l’organisation, apporte les appuis financiers et logistiques nécessaires pour la mise en œuvre et l’application de la présente politique; soumet le bilan annuel concernant l’application de la politique au conseil d’administration; exerce son pouvoir d’enquête et applique les sanctions prévues à la présente politique, lorsque nécessaire. Pour le représenter en cette matière dans l’organisation et pour la réalisation de l’ensemble des mesures précitées, il nomme un responsable de la sécurité de l’information. Le responsable de la sécurité des actifs informationnels (RSAI) À titre de représentant délégué du président-directeur général en matière de sécurité des actifs informationnels, le RSAI est une ressource de niveau cadre qui gère et coordonne la sécurité au sein de l’établissement. Il doit donc harmoniser l’action des divers acteurs dans l’élaboration, la mise en place, le suivi et l’évaluation de la sécurité de l’information. Cette responsabilité exige une vision globale de la sécurité au sein de l’établissement. Le responsable de la sécurité des actifs informationnels veille à l’élaboration et à l’application de la politique sur la sécurité adoptée par l’organisme. Dans cette perspective, il collabore avec tous les gestionnaires et, en particulier, avec le gestionnaire qui est en charge des technologies de l’information. Plus précisément, le responsable de la sécurité de l’organisme : 9 Responsabilités prévues au Cadre global 26 • élabore la politique sur la sécurité des actifs informationnels qui sera adoptée par l’organisme et soumet cette politique au directeur général et au conseil d’administration de l’organisme pour approbation; • met en place et préside le comité de protection des renseignements personnels et de sécurité de l’organisme, qui pourrait être formé du responsable de la sécurité, de gestionnaires, d’un vérificateur interne, de détenteurs, de représentants des ressources humaines, financières et matérielles ainsi que d’un juriste; • coordonne, avec les secteurs visés et en concordance avec les orientations régionales, la mise en oeuvre de la politique sur la sécurité adoptée par l’organisme et en suit l’évolution; • identifie, en collaboration avec les gestionnaires, les détenteurs d’actifs informationnels dans leur secteur respectif; • s’informe des besoins en matière de sécurité auprès des détenteurs et des gestionnaires, leur propose des solutions et coordonne la mise en place de ces solutions; • gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle locale et procède à des évaluations de la situation en matière de sécurité; • suit la mise en oeuvre de toute recommandation découlant d’une vérification ou d’un audit; • produit annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité des actifs informationnels appartenant à l’établissement en s’assurant que l’information sensible à diffusion restreinte est traitée de manière confidentielle et, après approbation du directeur général et du conseil d’administration, les soumet au coordonnateur régional de la sécurité des actifs informationnels. Les détenteurs d'actifs informationnels Les détenteurs : • assurent la sécurité d’un ou de plusieurs actifs informationnels, qu’ils leur soient confiés par le sous-ministre, le dirigeant de l’organisme ou un tiers mandaté; • s’impliquent dans l’ensemble des activités relatives à la sécurité, notamment l’évaluation des risques, la détermination du niveau de protection visé, l’élaboration des contrôles non informatique et, finalement, la prise en charge des risques résiduels; • s’assurent que les mesures de sécurité appropriées sont élaborées, approuvées, mises en place et appliquées systématiquement en plus de s’assurer que leur nom et les actifs dont ils assument la responsabilité sont consignés dans le registre des autorités; • déterminent les règles d’accès aux actifs dont ils assument la responsabilité avec l’appui du responsable de la sécurité des actifs informationnels de l’organisme. Le responsable de la protection des renseignements personnels (RPRP) À titre de responsable de l’application de la Loi sur l’accès aux documents des établissements publics et sur la protection des renseignements personnels, le RPRP a un rôle de conseiller et/ou de valideur - approbateur auprès du responsable de la sécurité des actifs informationnels afin de s’assurer que les mécanismes de sécurité mis en place permettent de respecter les exigences de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Cette responsabilité se manifeste aussi dès le début d’un développement d’un nouveau système où le RPRP doit introduire les préoccupations et les exigences relatives à la protection des renseignements nominatifs. 27 Utilisateur Chaque membre du personnel utilisateur est responsable de respecter la présente politique, normes, directives et procédures en vigueur en matière de sécurité de l'information, et d’informer son responsable de toute violation des mesures de sécurité dont il pourrait être témoin ou de toutes anomalies décelées pouvant nuire à la protection des actifs informationnels. Suggestions de rôles qui ne sont pas définis dans le Cadre global, mais qui pourraient être appropriés pour certains établissements. Exemples (supplémentaires) Le professionnel en sécurité de l’information (PSI) Le rôle du professionnel de la sécurité de l’information est de conseiller le RSAI sur les aspects technologiques et méthodologiques concernant la sécurité. Il coordonne les travaux reliés à l'implantation et aux contrôles des mesures de sécurité. Il coordonne et/ou réalise les tâches de sécurité opérationnelles qui lui sont confiées par le RSAI. Le gestionnaire Le gestionnaire s’assure que tous ces employés sont au fait de leurs obligations découlant de la présente politique. Il les informe précisément des normes, directives et procédures de sécurité en vigueur. Il informe et sensibilise son personnel à l’importance des enjeux de sécurité. Il doit s’assurer que les moyens de sécurité sont utilisés de façon à protéger effectivement l’information utilisée par son personnel. Il communique au RSAI tout problème d’importance en matière de sécurité de l'information. Il applique les sanctions prévues lors d’un manquement de la part d’un membre du personnel faisant partie de sa direction ou son service. Il est imputable des manquements inhérents à son rôle et à son niveau de responsabilité. Pilotes de systèmes nommés par le détenteur des actifs informationnels Les pilotes des systèmes ont la responsabilité d’assurer le fonctionnement sécuritaire des actifs informationnels dès sa mise en exploitation, de contrôler et d’autoriser l’accès logique à tout actif informationnel dont ils ont la responsabilité d’utilisation. Les pilotes doivent également informer les utilisateurs de leurs obligations face à l’utilisation des systèmes d’information dont ils sont responsables lors de l’attribution des accès. Le service informatique 28 Le rôle du service informatique à l’égard de la sécurité de l'information est d'agir en tant que fournisseur de services. Il fournit et maintient en état les moyens techniques de sécurité et s’assure de leur conformité aux besoins de sécurité déterminés par le détenteur. Ce rôle trouve son complément dans l’assistance et le conseil en vue d’une meilleure utilisation de ces moyens. Direction des ressources humaines La Direction des ressources humaines est responsable d'informer tout nouvel employé de ses obligations découlant de la présente politique ainsi que des normes, directives et procédures en vigueur en matière de sécurité de l’information. Comité de sécurité de l'information Le comité joue avant tout un rôle-conseil auprès du RSAI. Il constitue un mécanisme de coordination et de concertation qui, par sa vision globale, est en mesure de proposer des orientations et de faire des recommandations en regard de l'élaboration, la mise en œuvre et la mise à jour des mesures prévues au plan directeur. Il est aussi en mesure d'évaluer les incidences sur la sécurité de l’organisation que les nouveaux projets pourraient avoir. 29 Annexe A – Exemple de politique 30 « Insérer logo ici » Nom de l’établissement Politique de sécurité des actifs informationnels Adoptée le ______________________ 31 Projet 32 Table des matières CONTEXTE................................................................................................................................. 29 OBJECTIFS DE LA POLITIQUE ............................................................................................ 30 RESPECT DE LA POLITIQUE................................................................................................ 30 PORTÉE....................................................................................................................................... 31 PRINCIPES DIRECTEURS ...................................................................................................... 31 RÔLES ET RESPONSABILITÉS............................................................................................. 33 ANNEXES.................................................................................................................................... 38 33 Contexte La modernisation du réseau de la santé et des services sociaux repose sur la possibilité, pour les établissements, de s’échanger des informations de façon rapide et sécuritaire. C’est dans cette optique que le réseau s’est doté en 1999 du réseau de télécommunication sociosanitaire (RTSS) qui relie plus de 1 500 sites au sein de plus de 400 établissements. Dans la perspective d’un volume accru d’échanges d’information et afin de s’assurer du respect des lois, règlements et normes gouvernementales en matière de sécurité de l’information, le ministère de la Santé et des Services sociaux (MSSS) a élaboré un Cadre global de la sécurité des actifs informationnels. La volonté du MSSS est de mettre en place, au cours des trois (3) années qui suivent, l’ensemble des mesures prévues au Cadre global de sécurité. L’établissement reconnaît que l’information est essentielle à ses opérations courantes et, de ce fait, qu'elle doit faire l’objet d’une évaluation, d’une utilisation appropriée et d’une protection adéquate. L’établissement reconnaît détenir, en outre, des renseignements personnels ainsi que des informations qui ont une valeur légale, administrative ou économique. De plus, plusieurs lois et directives encadrent et régissent l’utilisation de l’information. L’établissement est assujetti à ces lois et doit s’assurer du respect de celles-ci. (Note : il serait possible d’indiquer les principales lois et directives, nous vous référons à l’annexe H Fondements juridiques pour une liste complète). En conséquence, l’établissement met en place la présente politique de sécurité de l’information qui oriente et détermine l’utilisation appropriée et sécuritaire de l’information et des technologies de l’information. 34 Objectifs de la politique La politique vise à assurer le respect de toute législation à l'égard de l'usage et du traitement de l'information et de l'utilisation des technologies de l'information et des télécommunications. Plus spécifiquement, les objectifs de l’établissement en matière de sécurité de l’information sont : • d’assurer la disponibilité, l'intégrité et la confidentialité à l'égard de l’utilisation des réseaux informatiques, de télécommunication sociosanitaire et d’Internet, de l’utilisation des actifs informationnels et de télécommunications, et des données corporatives; • d’assurer le respect de la vie privée des individus, notamment la confidentialité des renseignements à caractère nominatif relatifs aux utilisateurs et au personnel du réseau sociosanitaire; • d’assurer la conformité aux lois et règlements applicables ainsi que les directives, normes et orientations gouvernementales. Cette politique sera suivie de normes et de procédures afin de préciser les obligations qui en découlent. Respect de la politique Le directeur général de l'établissement a désigné l'officier de la sécurité informatique comme responsable de l’application de la présente politique. L'établissement exige de tout employé, qui utilise les actifs informationnels de l'établissement ou qui a/aura accès à de l’information, de se conformer aux dispositions de la présente politique ainsi qu'aux normes, directives et procédures qui s’y rattachent. Le non-respect de cette obligation aux actifs informationnels peut entraîner des mesures disciplinaires pouvant aller jusqu’au congédiement immédiat. 35 Portée La présente politique s’applique : • à l’ensemble du personnel de l’établissement. De plus, elle s’étend à toute personne physique ou morale qui utilise ou qui accède, pour le compte de l’établissement ou non, à des informations confidentielles ou non, quel que soit le support sur lequel elles sont conservées; • à l’ensemble des actifs informationnels ainsi qu’à leur utilisation au sein de l’établissement10, tels que les banques d’information électronique, les informations et les données sans égard aux médiums de support (fixes ou portables), les réseaux, les systèmes d’information, les logiciels, les équipements informatiques ou centres de traitement utilisés par l’établissement; • à l’ensemble des activités de collecte, d’enregistrement, de traitement, de garde et de diffusion des actifs informationnels de l’établissement. Principes directeurs a) Toute personne au sein de l’établissement ayant accès aux actifs informationnels assume des responsabilités spécifiques en matière de sécurité et est redevable de ses actions auprès du dirigeant de l’établissement. b) La mise en oeuvre et la gestion de la sécurité reposent sur une approche globale et intégrée. Cette approche tient compte des aspects humains, organisationnels, financiers, juridiques et techniques, et demande, à cet égard, la mise en place d’un ensemble de mesures coordonnées. c) Les mesures de protection, de prévention, de détection, d’assurance et de correction doivent permettre d'assurer la confidentialité, l’intégrité, la disponibilité, l'authentification et l'irrévocabilité des actifs informationnels de même que la continuité des activités. Elles 10 L’énumération d’actifs informationnels à la suite de la virgule pourrait être éliminée et remplacée par un renvoi à la définition du terme actif informationnel au lexique. 36 doivent notamment empêcher les accidents, l'erreur, la malveillance ou la destruction d’information sans autorisation. d) Les mesures de protection des actifs informationnels doivent permettre de respecter les prescriptions du Cadre global de gestion des actifs informationnels appartenant aux établissements du réseau de la santé et des services sociaux – Volet sur la sécurité, de même que les lois existantes en matière d’accès, de diffusion et de transmission d’information, et les obligations contractuelles de l’établissement de même que l’application des règles de gestion interne. e) Les actifs informationnels doivent faire l’objet d’une identification et d’une classification. f) Une évaluation périodique des risques et des mesures de protection des actifs informationnels doit être effectuée afin d’obtenir l’assurance qu’il y a adéquation entre les risques, les menaces et les mesures de protections déployées. g) La gestion de la sécurité de l’information doit être incluse et appliquée tout au long du processus menant à l’acquisition, au développement, à l’utilisation, au remplacement ou la destruction d’un actif informationnel par ou pour l’établissement. h) Un programme continu de sensibilisation et de formation à la sécurité informatique doit être mis en place à l’intention du personnel de l'établissement. i) L'accès aux renseignements personnels des utilisateurs par le personnel de l’établissement doit être autorisé et contrôlé. Chaque système doit prévoir des droits d'accès différents selon les catégories de personnel. j) Les renseignements personnels ne doivent être utilisés et ne servir qu’aux fins pour lesquels ils ont été recueillis ou obtenus. k) Le principe du « droit d’accès minimal » est appliqué en tout temps lors de l’attribution d’accès aux informations. Les accès aux actifs informationnels sont attribués à l’utilisateur autorisé en fonction de ce qui lui est strictement nécessaire pour l’exécution de ses tâches. l) Les ententes et contrats dont l’établissement fait partie doivent contenir des dispositions garantissant le respect des exigences en matière de sécurité et de protection de l’information. 37 Rôles et responsabilités Le conseil d’administration de l’établissement11 Le conseil d’administration de l’établissement doit approuver la présente politique, s’assurer de sa mise en œuvre et faire le suivi de son application. À cet égard, il autorise et approuve la politique de sécurité de l’information. Le directeur général / président-directeur général11 Le président-directeur général est le premier responsable de la sécurité des actifs informationnels au sein de l’établissement. Il s'assure que les valeurs et les orientations en matière de sécurité soient partagées par l’ensemble des gestionnaires et du personnel de l’établissement. À cette fin, il s’assure de l’application de la politique dans l’organisation, apporte les appuis financiers et logistiques nécessaires pour la mise en œuvre et l’application de la présente politique; soumet le bilan annuel concernant l’application de la politique au conseil d’administration; exerce son pouvoir d’enquête et applique les sanctions prévues à la présente politique, lorsque nécessaire. Pour le représenter en cette matière dans l’organisation et pour la réalisation de l’ensemble des mesures précitées, il nomme un responsable de la sécurité de l’information. Le responsable de la sécurité des actifs informationnels (RSAI) À titre de représentant délégué du président-directeur général en matière de sécurité des actifs informationnels, le RSAI est une ressource de niveau cadre qui gère et coordonne la sécurité au sein de l’établissement. Il doit donc harmoniser l’action des divers acteurs dans l’élaboration, la mise en place, le suivi et l’évaluation de la sécurité de l’information. Cette responsabilité exige une vision globale de la sécurité au sein de l’établissement. Le responsable de la sécurité des actifs informationnels veille à l’élaboration et à l’application de la politique sur la sécurité adoptée par l’organisme. Dans cette perspective, il collabore avec tous 11 Responsabilités prévues au Cadre global 38 les gestionnaires et, en particulier, avec le gestionnaire qui est en charge des technologies de l’information. Plus précisément, le responsable de la sécurité de l’organisme : • élabore la politique sur la sécurité des actifs informationnels qui sera adoptée par l’organisme et soumet cette politique au directeur général et au conseil d’administration de l’organisme pour approbation; • met en place et préside le comité de protection des renseignements personnels et de sécurité de l’organisme, qui pourrait être formé du responsable de la sécurité, de gestionnaires, d’un vérificateur interne, de détenteurs, de représentants des ressources humaines, financières et matérielles ainsi que d’un juriste; • coordonne, avec les secteurs visés et en concordance avec les orientations régionales, la mise en oeuvre de la politique sur la sécurité adoptée par l’organisme et en suit l’évolution; • identifie, en collaboration avec les gestionnaires, les détenteurs d’actifs informationnels dans leur secteur respectif; • s’informe des besoins en matière de sécurité auprès des détenteurs et des gestionnaires, leur propose des solutions et coordonne la mise en place de ces solutions; • gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle locale et procède à des évaluations de la situation en matière de sécurité; • suit la mise en oeuvre de toute recommandation découlant d’une vérification ou d’un audit; • produit annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité des actifs informationnels appartenant à l’établissement en s’assurant que l’information sensible à diffusion restreinte est traitée de manière confidentielle et, après approbation du directeur général et du conseil d’administration, les soumet au coordonnateur régional de la sécurité des actifs informationnels. 39 Les détenteurs d'actifs informationnels Les détenteurs : • assurent la sécurité d’un ou de plusieurs actifs informationnels, qu’ils leur soient confiés par le sous-ministre, le dirigeant de l’organisme ou un tiers mandaté; • s’impliquent dans l’ensemble des activités relatives à la sécurité, notamment l’évaluation des risques, la détermination du niveau de protection visé, l’élaboration des contrôles non informatique et, finalement, la prise en charge des risques résiduels; • s’assurent que les mesures de sécurité appropriées sont élaborées, approuvées, mises en place et appliquées systématiquement en plus de s’assurer que leur nom et les actifs dont ils assument la responsabilité sont consignés dans le registre des autorités; • déterminent les règles d’accès aux actifs dont ils assument la responsabilité avec l’appui du responsable de la sécurité des actifs informationnels de l’organisme. Le responsable de la protection des renseignements personnels (RPRP) À titre de responsable de l’application de la Loi sur l’accès aux documents des établissements publics et sur la protection des renseignements personnels, le RPRP a un rôle de conseiller et/ou de valideur - approbateur auprès du responsable de la sécurité des actifs informationnels afin de s’assurer que les mécanismes de sécurité mis en place permettent de respecter les exigences de la Loi sur l’accès aux documents des établissements publics et sur la protection des renseignements personnels. Cette responsabilité se manifeste aussi dès le début d’un développement d’un nouveau système où le RPRP doit introduire les préoccupations et les exigences relatives à la protection des renseignements nominatifs. Utilisateur Chaque membre du personnel utilisateur est responsable de respecter la présente politique, normes, directives et procédures en vigueur en matière de sécurité de l'information, et d’informer son responsable de toute violation des mesures de sécurité dont il pourrait être témoin ou de toutes anomalies décelées pouvant nuire à la protection des actifs informationnels. 40 Le professionnel en sécurité de l’information (PSI) Le rôle du professionnel de la sécurité de l’information est de conseiller le RSAI sur les aspects technologiques et méthodologiques concernant la sécurité. Il coordonne les travaux reliés à l'implantation et aux contrôles des mesures de sécurité. Il coordonne et/ou réalise les tâches de sécurité opérationnelles qui lui sont confiées par le RSAI. Le gestionnaire Le gestionnaire s’assure que tous ces employés sont au fait de leurs obligations découlant de la présente politique. Il les informe précisément des normes, directives et procédures de sécurité en vigueur. Il informe et sensibilise son personnel à l’importance des enjeux de sécurité. Il doit s’assurer que les moyens de sécurité sont utilisés de façon à protéger effectivement l’information utilisée par son personnel. Il communique au RSAI tout problème d’importance en matière de sécurité de l'information. Pilotes de systèmes nommés par le détenteur des actifs informationnels Les pilotes des systèmes ont la responsabilité d’assurer le fonctionnement sécuritaire d’un actif informationnel dès sa mise en exploitation, de contrôler et d’autoriser l’accès logique à tout actif informationnel dont ils ont la responsabilité d’utilisation. Les pilotes doivent également informer les utilisateurs de leurs obligations face à l’utilisation des systèmes d’information dont ils sont responsables lors de l’attribution des accès. Le service informatique Le rôle du service informatique à l’égard de la sécurité de l'information est d'agir en tant que fournisseur de service. Il fournit et maintient en état les moyens techniques de sécurité et s’assure de leur conformité aux besoins de sécurité déterminés par le détenteur. Ce rôle trouve son complément dans l’assistance et le conseil en vue d’une meilleure utilisation de ces moyens. 41 Direction des Ressources humaines La direction des Ressources humaines est responsable d'informer tout nouvel employé de ses obligations découlant de la présente politique ainsi que des normes, directives et procédures en vigueur en matière de sécurité de l’information. Comité de sécurité de l'information Le Comité joue avant tout un rôle-conseil auprès du RSAI. Il constitue un mécanisme de coordination et de concertation qui, par sa vision globale, est en mesure de proposer des orientations et de faire des recommandations au regard de l'élaboration, la mise en œuvre et la mise à jour des mesures prévues au plan directeur. Il est aussi en mesure d'évaluer les incidences sur la sécurité de l’organisation que les nouveaux projets pourraient avoir. 42 Annexes Références Lexique Fondement juridique 43 Annexe B – Fiche-mandat 1 Identification du projet MANDAT D’ÉLABORATION D’UNE POLITIQUE DE SÉCURITÉ DE L’INFORMATION PROJET NO : 2 Composition de l’équipe de projet Indiquez les membres de l’équipe de projet 3 Échéanciers Indiquez l’échéancier visé pour la fin du projet en précisant s’il s’agit des activités de rédaction seulement ou s’il s’agit de la date visée pour l’adoption ou la diffusion de la politique. 4 Objectifs du mandat Précisez les objectifs du mandat tel que discuté avec la direction. Les objectifs devraient être clairs et ne devraient pas porter à confusion. Par exemple : La politique qui sera produite devra permettre de : • se conformer aux lois; • se conformer aux prescriptions du Cadre global; • assurer la sécurité des actifs informationnels en fonction des risques identifiés. 44 5 Les ressources nécessaires à l’élaboration de la politique. L’équipe de projet devrait préciser les ressources qui seront nécessaires à la réalisation de la politique. Les ressources qui doivent être considérées sont principalement : • Financières (publication, formation, consultants) • Humaines (dégager un responsable) • Logistique (équipements, locaux, etc.) 6 Les ressources nécessaires à la mise en place et au suivi L’équipe de projet devrait préciser les ressources qui seront nécessaires à la mise en place et au suivi de la politique. De plus, les ressources qui seront nécessaires à la formation et à la sensibilisation doivent être sommairement évaluées à cette étape-ci afin de sensibiliser la haute direction. Les ressources qui doivent être considérées sont principalement : • Financières (élaboration de matériel et de publication, consultants) • Humaines (dégager un responsable) • Logistique (équipements, locaux, etc.) 7 Engagement des parties La direction de même que le responsable de l’équipe de projet devraient s’engager à respecter les termes du mandat. À cet effet, la fiche-mandat pourrait être signée par les deux parties, indiquant ainsi clairement l’importance de la démarche. _____________________________________ date _______________________ Pour la Direction ______________________________________ Pour l’équipe de projet 45 date ________________________ Annexe C – Références RTSS, Politique intérimaire de sécurité visant les actifs informationnels du réseau de la santé et des services sociaux, Québec, 1999. Québec (Province) Agence de la santé et des services sociaux de la Capitale-Nationale, Politique relative à la sécurité des actifs informationnels et de télécommunication et à la protection des données et des renseignements confidentiels, Québec 1999 Centre Hospitalier Universitaire de Québec, Politique relative à la sécurité des actifs informationnels et de télécommunication et à la protection des données et des renseignements confidentiels, 13 décembre 2000. Centre Hospitalier Maisonneuve-Rosemont, Politique de sécurité de l’information, Montréal, février 2002 Université Laval, Politique de sécurité sur les technologies de l’information et des télécommunications, Québec, 1998. Québec (Province) Ministère de l’Industrie et du Commerce, Politique de sécurité de l’information et des échanges électroniques, 5 mars 2002, 27 p. Québec (Province) Ministère des Ressources naturelles, Politique de sécurité de l’information et des actifs informationnels, 18 juin 1998, 20 p. Société de l’assurance automobile du Québec, Politique sur la sécurité informatique, 1er février 2000, 14 p. Québec (Province) ministère de la Santé et des Services sociaux, Politique sur la protection et la sécurité de l’information et des échanges électroniques, 19 mai 2000, 7 p. Québec (Province) Secrétariat du conseil du Trésor, Directive relative à la gestion et à la coordination de la sécurité de l’information, 3 p. Québec (Province) Secrétariat du conseil du Trésor, Directive sur la transmission de renseignements confidentiels ou personnels par télécopieurs, 3 p., annexes 46 Québec (Province) Secrétariat du conseil du Trésor, Directive sur l’utilisation et la gestion du courrier électronique, 4 p. Québec (Province) Secrétariat du conseil du Trésor, Directive sur la destruction des documents renfermant des renseignements confidentiels ou personnels, 3 p. Québec (Province) Secrétariat du conseil du Trésor, Directive relative à la gestion et à la coordination de la sécurité de l’information, 3 p. Québec (Province) Secrétariat du conseil du Trésor, Instruction et procédures pour l’application de la Directive du Conseil du trésor concernant le traitement et la destruction de tout renseignement, registre, donnée, logiciel, système d’exploitation ou autre bien protégé par un droit d’auteur, emmagasiné sur un équipement micro-informatique ou sur un support informatique amovible, 4 p., annexes. Recueil des pratiques recommandées en matière de sécurité de l’information, Conseil du trésor (décembre 1999) Guide relatif à la catégorisation de l’information et aux mesures généralement appliquées en matière de sécurité, Conseil du trésor (juin 2001) Office de la langue française, Vocabulaire général de la sécurité informatique - EOQ 2- 55116730-2 47 Annexe D – Exemple de préoccupations12 1 Confidentialité des renseignements Le responsable des archives médicales • Le responsable des archives nous a indiqué que les dossiers patients devraient être traités comme étant strictement confidentiels, et ce, en tout temps. • Plusieurs lois (indiquer ici) encadrent d’ailleurs la manipulation et la divulgation des informations contenues dans les dossiers patients. • … Le responsable de la loi de l’accès à l’information (Protection des renseignements personnels • Le responsable de la PRP nous a indiqué qu’il est interdit de recueillir un renseignement nominatif si cela n'est pas nécessaire à l'exercice des fonctions d’un utilisateur. • Le responsable de la PRP nous a indiqué que selon la « Loi sur l'accès » la « Loi sur les services de santé et les services sociaux » aucun renseignement ne peut être tiré d’un dossier patient sans le consentement de l'individu concerné. • … 2 Protection de la confiance des citoyens Le directeur général de l’établissement • Le Directeur général de l’établissement nous a mentionné l’importance de maintenir le lien de confiance entre le citoyen et l’établissement. À cet égard, le citoyen doit avoir l’assurance que les informations qui seront consignées à son dossier seront traitées avec le soin nécessaire et la plus grande discrétion possible. • … 12 Il est à noter que les exemples ci-hauts sont fictifs et ne sont donnés qu’à titre d’exemple. 48 3 Utilisation de l’Internet et du courrier électronique Le directeur des services de recherche • Le directeur des services de recherche nous indique que l’accès à l’internet et au courriel est nécessaire en tout temps et sans restriction quant aux sites visités. Le directeur des services professionnels • Le DSP indique que l’accès à l’Internet doit être contrôlé et utilisé seulement lorsque requis par le professionnel dans le but d’effectuer sa tâche. Le représentant du service du contentieux • 4 L’avocat de l’établissement nous indique qu’un message envoyé par un utilisateur à un tiers à partir d’une adresse de courrier électronique appartenant à l’établissement (@établissement.qc.ca) pourrait engager la responsabilité de l’établissement. … 49 Annexe E – Analyse des impacts de la politique Le tableau ci-bas reprend les principales mesures de la politique et analyse l’impact de leur mise en application. Dimensions Paragraphe - Mesure Organisationnelles Juridiques Humaines Technologiques 2.2 L’affichage de tout document ou tout Les cas de non-respect de ce Des sanctions sont à prévoir. L’application de mesures Actuellement nous n’avons aucun graphique sexuellement explicite, paragraphe devront être traités Nous devrons nous assurer que disciplinaires à un utilisateur outil de détection permettant de haineux, raciste et socialement avec le plus grand soin. Le ces sanctions sont légales et suite à ce type de délit pourrait détecter ces comportements inacceptable est interdit. De plus, de tels supérieur immédiat de l’usager appropriées avoir des conséquences documents ne doivent pas être archivés, visé de même que le RSAI « psychologiques » graves sur enregistrés, distribués ou édités via le devront être informés l’utilisateur et sa carrière. réseau de la Régie régionale préalablement à toute action. Un protocole d’intervention Consulter le service du Inclure des mesures Nous devrons implanter un devra être défini (voir aspects contentieux pour connaître les de « counseling » aux mesures logiciel de filtrage des adresses juridiques) recours possibles disciplinaires. de site web. Consulter les ressources S’assurer que le programme Nous devrons analyser humaines afin de discuter du d’aide aux employés (PAE) est périodiquement le trafic réseau processus des sanctions et des en mesure de prendre en afin de découvrir les activités alternatives charge ce type de cas. suspectes qui pourraient indiquer la présence de site web non Discuter des sanctions avec les S’assurer que ces cas sont syndicats et les associations de traités avec le plus haut degré professionnels de confidentialité autorisés. Nous devrons implanter une application de filtrage du courrier électronique (filtrage sur des mots clés) 50 Financières Dimensions Paragraphe - Mesure Organisationnelles … Juridiques … 51 Humaines Technologiques Financières … … … Annexe F – Cadre normatif Emplacement des installations et du matériel Développement, acquisition et mise en place Horaires, calendriers et planification Chiffrement et transmission sécuritaire Mots de passe et réactivation des codes d'accès Contrôle des accès physiques Contrôle des changements Mesures de manipulation des rapports Gestion des accès à distance et mécanisme d'authentification Classification de l'information Suivi des incidents Matériel informatique Applications supportées par des fournisseurs extermes Gestion de la sécurité des systèmes d"information Embauche, départ et suivi du personnel Utilisation du courrier électronique Micro-Informatique Gestion des logiciels/ Droits d'auteur Virus Relève en cas de désastre Relève informatique Copies de sauvegarde Utilisation de portatifs Utilisation de l'Internet Gestion des changements Procédure Procédure Procédure Procédure Procédure Procédure Procédure Procédure Procédure Procédure Procédure Procédure Procédure Procédure Procédure Procédure Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire Guide de référence technique Guide de référence technique Guide de référence technique Guide de référence technique Guide de référence technique 52 Guide de référence technique Guide de référence technique Guide de référence technique Procédures Évaluation des risques et menaces Formulaires Programme de sensibilisation et formation Profils d'accès Exploitation Regroupements fonctionnelles Développement, maintenance et mise en place des systèmes Normes Réseautique Sécurité physique, Prévention, Détection et Protection Introduction, portée et adoption Sécurité logique gestion des accès et utilisation Guides Organisation et administration de la sécurité Politique Politique Corporative Annexe G – Lexique Actifs informationnels : banque d’information électronique, système d’information, réseau de télécommunications, technologie de l’information, installation ou ensemble de ces éléments; un équipement médical spécialisé ou ultraspécialisé peut comporter des composantes qui font partie des actifs informationnels, notamment lorsqu’il est relié de façon électronique à des actifs informationnels. (Réf. : Loi sur les services de santé et les services sociaux, art. 520.1). S’ajoutent, dans le présent cadre de gestion, les documents imprimés générés par les technologies de l’information. Altération : toute modification qui a pour effet de changer les caractéristiques ou la nature d’une information. Archivage de l’information : action de classer l’information dans les archives. Audit : évaluation périodique basée sur des critères définis permettant de vérifier si les normes de l’ensemble ou d’une partie du Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité, sont appliquées. Authentifiant : renseignement unique à l’utilisateur et connu de lui seul, qui permet d’établir la validité de l’identité d’une personne, d’un dispositif ou d’une autre entité. Authentification : fonction de contrôle de l’accès aux actifs informationnels permettant d'établir la validité de l'identité d'une personne, d'un dispositif ou d'une autre entité au sein d'un système d'information ou de communication. Autorisation : attribution par une autorité de droits d’accès aux actifs informationnels qui consiste en un privilège d’accès accordé à une personne, à un dispositif ou à une entité. Banque d’information électronique : collection d’informations électroniques relatives à un domaine défini, regroupées et organisées de façon à en permettre l’accès. 53 Biclé : ensemble constitué d'une clé publique et d'une clé privée mathématiquement liées entre elles, formant une paire unique et indissociable pour le chiffrement et le déchiffrement des données, et appartenant à une seule entité. Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité : ensemble de textes encadrant la sécurité des actifs informationnels et comprenant la Politique nationale sur la sécurité des actifs informationnels appartenant aux organismes du réseau de la santé et des sévices sociaux, les rôles et responsabilités des acteurs en matière de sécurité, les mesures en matière de sécurité des actifs informationnels et le répertoire des procédures optionnelles en cette matière. Ce cadre a été officialisé par monsieur Pierre Gabriel, sousministre au ministère de la Santé et des Services sociaux le 24 septembre 2002. Chiffrement : opération qui consiste à rendre une information inintelligible, de façon qu’elle ne puisse être lue par une personne qui ne possède pas le dispositif permettant de la ramener à sa forme initiale. Clé privée : composante de la biclé, laquelle composante est connue de son unique propriétaire et utilisée par lui seul pour déchiffrer un message dont il est le destinataire ou pour signer un message dont il est l'émetteur. Clé publique : composante de la biclé, laquelle composante est stockée dans un répertoire accessible à tous les membres d'un réseau ou d'une organisation et permet de transmettre en toute confidentialité des messages à son unique propriétaire ou d'authentifier à l'arrivée des messages émis par ce dernier. CNPRPS : Comité national de protection des renseignements personnels et de sécurité. Code d’identification : type d’identifiant. Groupe alphanumérique, unique et normalisé permettant d’identifier l’utilisateur d’un actif informationnel. Collecte d’information : action de rassembler des informations variables destinées à un traitement. 54 Confidentialité : propriété que possède une donnée ou une information dont l’accès et l'utilisation sont réservés à des personnes ou entités désignées et autorisées. Conservation de l’information : action de maintenir l’information intacte. Copie de sécurité : copie d'un fichier ou d'un ensemble de fichiers mise à jour à intervalles réguliers en vue d'assurer la restauration des données en cas de perte. Coupe-feu ou garde-barrière ou bastion de sécurité : dispositif informatique qui permet le passage sélectif des flux d'information entre un réseau interne et un réseau public ainsi que la neutralisation des tentatives de pénétration en provenance du réseau public. Cryptographie : discipline qui comprend les principes, les moyens et les méthodes de transformation des données afin d’en dissimuler le contenu, d’en prévenir les modifications non détectées ou d’en éviter l’utilisation non autorisée. Cycle de vie de l’information : période de temps couvrant toutes les étapes d’existence de l’information, dont celles (selon la terminologie) de la définition, de la création, de l’enregistrement, du traitement, de la diffusion, de la conservation et de la destruction. Déchiffrement : action de rendre sa forme originale à une information précédemment chiffrée. Destruction de l’information : action de faire disparaître l’information. Détenteur : personne à qui, par délégation du sous-ministre ou d’un dirigeant d’organisme, est assignée la responsabilité d’assurer la sécurité d’un ou de plusieurs actifs informationnels, qu’ils soient détenus par le sous-ministre, un dirigeant d’organisme ou un tiers mandaté. Disponibilité : propriété qu’ont les données, l’information et les systèmes d’information et de communication d’être accessibles et utilisables en temps voulu et de la manière adéquate par une personne autorisée. 55 Donnée : élément de base constitutif d’un renseignement, d’une information. Donnée confidentielle : donnée qui ne peut être communiquée ou rendue accessible qu’aux personnes ou autres entités autorisées. Donnée nominative : information relative à une personne physique identifiée ou identifiable. Donnée publique : donnée ne faisant pas l’objet de restriction d’accès. Donnée sensible : donnée dont la divulgation, l’altération, la perte ou la destruction risquent de paralyser ou de mettre en péril soit un service, soit l’organisation elle-même qui, de ce fait, devient vulnérable. Droit d’auteur : droit exclusif que détient un auteur ou son représentant d’exploiter une œuvre pendant une durée déterminée. Équipement informatique : ordinateurs, mini-ordinateurs, micro-ordinateurs, postes de travail informatisés et leurs unités ou accessoires périphériques de lecture, d’emmagasinage, de reproduction, d’impression, de communication, de réception et de traitement de l’information, et tout équipement de télécommunications. Exploitation informatique : unité administrative qui a comme tâche d’assurer le bon fonctionnement, le développement et l’entretien des services informatiques de l’organisme. Fournisseur : corporation, société, coopérative ou personne physique faisant affaires et étant en mesure de contracter avec le gouvernement, unité administrative d’un organisme ou tout fonds spécial qui fournit des services ou des biens à un détenteur, à un utilisateur ou à un autre fournisseur. Identifiant : renseignement sur l’utilisateur, lequel renseignement est connu de l’organisme et permet à cet utilisateur d’avoir accès à des actifs informationnels. 56 Identification : fonction du contrôle de l’accès aux actifs informationnels permettant d’attribuer un code d’identification, ou identifiant, à un utilisateur, à un dispositif ou à une autre entité. Incident : événement ayant pu mettre ou ayant mis en péril la sécurité d’un ou de plusieurs actifs informationnels. Information : élément de connaissance descriptif d’une situation ou d’un fait, résultant de la réunion de plusieurs données. Information électronique : information sous toute forme (textuelle, symbolique, sonore ou visuelle), dont l’accès et l’utilisation ne sont possibles qu’au moyen des technologies de l’information. Infrastructure commune : ensemble des composantes matérielles, logicielles, technologiques et organisationnelles partagées en tout ou en partie par le ministère de la Santé et des Services sociaux et les organismes du réseau de la santé et des services sociaux. Installation : ensemble des objets, appareils, bâtiments et autres éléments installés en vue de l’utilisation d’une technologie de l’information. Intégrité : propriété d’une information ou d’une technologie de l’information de n’être ni modifiées, ni altérées, ni détruites sans autorisation. Interrogation de l’information : question ou ensemble des questions posées à une banque d’information. Irrévocabilité : propriété d’un acte d’être définitif et clairement attribué à la personne qui l’a accompli ou au dispositif avec lequel il a été accompli. Journal : relevé chronologique des opérations informatiques, constituant un historique de l'utilisation des programmes et des systèmes sur une période donnée. 57 Journalisation : enregistrement dans un journal de tous les accès fructueux et infructueux à un ordinateur et aux données, de l’utilisation de certains privilèges spéciaux relatifs à l’accès et des changements apportés aux actifs informationnels, en vue d’une vérification ultérieure. Logiciel : ensemble des programmes, des procédures et des règles ainsi que de la documentation qui leur est associée, nécessaires à la mise en œuvre d'un système de traitement de l'information. Logiciel d’application : logiciel conçu pour répondre à un ensemble de besoins dans un domaine donné. LSSSS : Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4.2). Matériel : ensemble des éléments physiques employés pour le traitement de l’information. Mécanisme : agencement ou ensemble de processus et de ressources humaines, matérielles et autres disposé de façon à obtenir un résultat donné. Mesure : disposition ayant pour but de protéger ou de conserver un actif informationnel. Modification de l’information : action de faire des changements dans l’information. Mot de passe : authentifiant prenant la forme d'un code alphanumérique attribué à un utilisateur, permettant à ce dernier d'obtenir l'accès à un ordinateur en ligne et d'y effectuer l'opération désirée. Cet authentifiant représente une liste secrète de caractères qui, combinée à un code d’utilisateur public, forme un identificateur unique désignant un utilisateur particulier. Non-répudiation : voir Irrévocabilité. Normes et pratiques : énoncés généraux émanant de la direction d’une organisation et indiquant ce qui doit être appliqué relativement à la sécurité des actifs informationnels. 58 Organisme : le ministère de la Santé et des Services sociaux, les régies régionales et les établissements du réseau de la santé et des services sociaux. Personne : une personne physique ou une personne morale de droit public ou de droit privé. Personnel : ensemble des ressources humaines, rémunérées ou non, qui assument la mission de l’organisme. Plan de reprise après sinistre : document qui prévoit toutes les circonstances entraînant une interruption de service des actifs informationnels ainsi que toutes les mesures applicables afin d’assurer, sur site ou hors site, les services essentiels. Plan de sauvegarde : plan contenant les règles détaillées et strictes relatives à tous les aspects de la sauvegarde informatique (responsabilité, exhaustivité, cohérence, fichiers stratégiques, nombre de générations, cycles de rotation, confection, supports, transport, lieu d’entreposage, durée d’entreposage, accessibilité, exploitabilité, contrôles et validation). Politique de sécurité : énoncé général émanant de la direction d’une organisation et indiquant la ligne de conduite adoptée relativement à la sécurité, à sa mise en œuvre et à sa gestion. Progiciel : ensemble complet de programmes informatiques munis de documents, conçus pour être fournis à plusieurs utilisateurs et commercialisés en vue d'une même application ou d’une même fonction. Programme informatique : série de fonctions et de définitions en langage machine ou dans un langage plus évolué. Renseignement : synonyme d’information. Renseignement confidentiel : tout renseignement qui ne peut être communiqué ou rendu accessible qu’aux personnes ou autres entités autorisées. 59 Renseignement personnel ou nominatif : tout renseignement qui concerne une personne physique et qui permet de l’identifier. Répertoire des procédures optionnelles : ensemble des recommandations et des suggestions relatives à la mise en place des procédures visant à assurer la sécurité des actifs informationnels. Réseau étendu : réseau local qui devient une partie d’un réseau étendu lorsqu’une liaison est établie (par l’intermédiaire de modems, d’aiguilleurs distants, de lignes téléphoniques, de satellites ou d’autres connexions) avec un gros système, un réseau de données public ou un autre réseau local. Réseau informatique : ensemble des composantes et des équipements informatiques reliés par voie de télécommunications, soit pour accéder à des ressources ou à des services informatisés, soit pour en partager l’accès. Réseau local : réseau informatique de taille réduite et, le plus souvent, à l’intérieur d’un organisme. Réseau privé : réseau appartenant à une seule organisation. Réseau public : réseau partagé par plusieurs organisations et appartenant généralement à un fournisseur de services de télécommunications. RSSS : réseau de la santé et des services sociaux. RTSS : réseau de télécommunications sociosanitaire. Sceau électronique : bloc de données dont le contenu est le résultat d'un calcul complexe effectué à partir d'un message à transmettre, qui est ajouté à ce message par l'expéditeur, et dont un nouveau calcul à l'arrivée permet de vérifier l'origine et l'intégrité du message auquel il a été attaché. 60 Scellement : action qui consiste à adjoindre à un message à transmettre un sceau électronique permettant de garantir l'origine et l'intégrité de ce message. Signature numérique ou signature électronique : données annexées à un document électronique qui permettent à la personne qui reçoit ce document de connaître la source des données, d'en attester l'intégrité, et de s'assurer de l'adhésion de l'émetteur au contenu de ce document. On emploie parfois l’expression signature électronique sécurisée. Système d’information : ensemble organisé de moyens mis en place pour recueillir, emmagasiner, traiter, communiquer, protéger ou éliminer l’information en vue de répondre à un besoin déterminé, y incluant notamment les technologies de l’information et les procédés utilisés pour accomplir ces fonctions. Technologie de l’information : tout logiciel ou matériel électronique et toute combinaison de ces éléments utilisés pour recueillir, emmagasiner, traiter, communiquer, protéger ou éliminer l’information sous toute forme (textuelle, symbolique, sonore ou visuelle). Télécommunication : ensemble des procédés électroniques de transmission d’information à distance. Traitement de l’information ou traitement des données : ensemble des opérations effectuées automatiquement sur des données afin d’en extraire certains renseignements qualitatifs ou quantitatifs. Transaction : opération impliquant une modification de l’information. Transmission d’information : action de transporter une information d’un émetteur vers un récepteur. Utilisateur : personne, groupe ou entité administrative qui fait usage d'un ou de plusieurs actifs informationnels appartenant aux organismes publics du réseau de la santé et des services sociaux. 61 Utilisation : terme qui recouvre, le cas échéant, l’ensemble des événements constituant le cycle de vie de l’information électronique, entre autres la création, la collecte, le traitement, la conservation, l’interrogation, la communication, la modification, l’archivage et la destruction. Vérification : évaluation ciblée d’une situation problématique ou jugée à risque et ne visant que les actifs informationnels en cause. Virus : programme inséré dans un système informatique afin de causer des dommages nuisibles et néfastes. 62 Annexe H – Fondements juridiques13 Cette annexe présente les principales lois, règlements, directives et autres références encadrant la présente politique : Le Cadre global sur la sécurité des actifs informationnels du réseau de la santé et des services sociaux – Volet sur la sécurité (ministère de la Santé et des services sociaux , septembre 2002) Architecture gouvernementale de la sécurité de l’information (septembre 2001) Charte des droits et liberté de la personne (L.R.Q., c.C-12) Charte canadienne des droits et libertés (1982, c. 11) Directive sur la sécurité de l’information et des échanges électroniques dans l’administration gouvernementale (février 2000) Directive sur le traitement et la destruction de tout renseignement, registre, donnée, logiciel, système d’exploitation ou autre bien protégé par un droit d’auteur, emmagasiné sur un équipement micro-informatique ou un support amovible (octobre 1999) Loi sur les archives (L.R.Q., ch. A-21.1) Loi sur l’accès aux documents des établissements publics et sur la protection des renseignements personnels (L.R.Q., ch. A-2.1) Loi sur l’administration publique (PL 82) Loi concernant le cadre juridique des technologies de l’information (PL 161) Certaines dispositions pertinentes du Code civil du Québec (C.C.Q) Certains articles du code criminel du Canada (C.C.C) Loi sur la protection des renseignements personnels et les documents électroniques (C-6) Loi canadienne sur le droit d’auteur (L.R. 1985, ch. C-42) Loi sur la propriété intellectuelle et les marques de commerce (L.R. 1985 ch. T-13) Normes en matière d’acquisition, d’utilisation et de gestion des droits d’auteur des documents détenus par le gouvernement et les ministères et établissements désignés (novembre 2000) 13 Cette annexe n’est présentée qu’à titre d’exemple. 63