Guide d`élaboration du plan directeur de sécurité de l`information
Transcription
Guide d`élaboration du plan directeur de sécurité de l`information
Guide d’élaboration du plan directeur de sécurité de l’information Guide Trousse d’outils Document adopté par : • • Le Comité national sur la protection des renseignements personnels et la sécurité (CNPRPS) le 23 septembre 2003 La Table des coordonnateurs régionaux de sécurité le 28 mai 2003 Juin 2003 Version 2.1 Guide de rédaction du Plan directeur de sécurité de l’information Ce guide a été élaboré par le cabinet KPMG sous la supervision de la Direction du Technocentre national et de SOGIQUE : M. Robert Brochu Conseiller senior en sécurité et technologie Société de gestion informatique inc. (SOGIQUE) Jacques Bergeron Associé – Groupe sécurité de l’information KPMG s.r.l. Personnes consultées : Jean Laterrière Directeur du Technocentre national Société de gestion informatique inc. (SOGIQUE) Éric Dallaire Coordonnateur de la sécurité du réseau Direction des ressources informationnelles MSSS Richard Halley Conseiller en sécurité Direction des ressources informationnelles MSSS Yves Viau Coordonnateur des ressources informationnelles Régie régionale de Santé et Services sociaux des Laurentides Gilles Potvin Coordonnateur des technologies de l’information Régie régionale de Santé et Services sociaux de Lanaudière Nathalie Malo Analyste-conseil en technologie de l’information Régie régionale de Santé et Services sociaux de Lanaudière Yvan Fournier Responsable du secteur serveur et sécurité Centre hospitalier universitaire de Québec Lucie Beauregard Coordonnatrice sécurité et confidentialité / service informatique Centre universitaire de santé McGill Denis Lebeuf Jean Asselin Officier de sécurité Coordonnateur, secteur ressources matérielles, Centre hospitalier de l'Université de Montréal financières et informationnelles Association des Centres jeunesses du Québec Normand Baker Directeur général CLSC Frontenac et Centre hospitalier région amiante I Membres du comité de lecture et de validation : Jean Laterrière Directeur du Technocentre national Société de gestion informatique inc. (SOGIQUE) Éric Dallaire Coordonnateur de la sécurité du réseau Direction des ressources informationnelles MSSS Robert Brochu Conseiller senior en sécurité et technologie Société de gestion informatique inc. (SOGIQUE) Jacques Bergeron Associé – Groupe sécurité de l’information KPMG s.r.l. Hans Brière Coordonnateur régional de la sécurité des actifs informationnels Technocentre régional de l’Estrie Jocelyne Legras Analyste en informatique / responsable du dossier de la sécurité de l’information régionale Régie régionale de Santé et Services sociaux de Québec Dans ce document, le générique masculin est utilisé pour simplifier la lecture du texte, mais s'applique autant pour le féminin que pour le masculin. Pour toute question ou commentaire, veuillez communiquer avec votre coordonnateur régional de la sécurité de l'information. Remerciements L’équipe de réalisation tient à remercier toutes les personnes ayant collaborées avec elle. II Table des matières CONTEXTE.........................................................................................................................1 1. OBJECTIFS DU GUIDE ..................................................................................................2 1.1 OBJECTIFS ....................................................................................................................2 1.2 POSITIONNEMENT DU PLAN DIRECTEUR DE SÉCURITÉ DES ACTIFS INFORMATIONNELS .............................................................................................................2 1.3 AUDIENCE ....................................................................................................................3 1.4 LIMITATIONS ................................................................................................................4 1.5 SOUTIEN .......................................................................................................................4 2. GÉNÉRALITÉS SUR LE PROCESSUS D’ÉLABORATION DU PLAN DIRECTEUR DE SÉCURITÉ..............................................................................................5 2.1 PRÉSENTATION GLOBALE DE LA DÉMARCHE ...................................................................6 2.2 TABLE DES MATIÈRES DU PLAN DIRECTEUR ....................................................................8 2.3 LIMITATIONS ................................................................................................................9 3. ÉVALUATION DE L’ÉTAT DE LA SITUATION ACTUELLE....................................11 3.1 LES FACTEURS CLÉS DE RÉUSSITE................................................................................. 11 3.2 PRÉSENTATION GÉNÉRALE DE LA MÉTHODE UTILISÉE .................................................... 11 3.3 DÉMARCHE DÉTAILLÉE ..................................................... ERREUR! SIGNET NON DÉFINI. 3.4 LES TYPES DE CONTRÔLES ........................................................................................... 13 3.5 ÉVALUATION DES CONTRÔLES ..................................................................................... 17 3.6 L’ÉTAT DE LA SITUATION ACTUELLE : À QUELLES FINS SERVENT LES RÉSULTATS? .......... 21 3.7 STRUCTURE DES CONTRÔLES ....................................................................................... 25 3.7 LES SECTIONS ET CRITÈRES D’UN ÉTAT DE LA SITUATION ACTUELLE............................... 28 4. ANALYSE DE RISQUES ...............................................................................................29 4.1 INTRODUCTION ........................................................................................................... 29 4.2 PRÉSENTATION GÉNÉRALE DE LA MÉTHODE UTILISÉE .................................................... 30 4.3. DÉMARCHE DÉTAILLÉE .................................................... ERREUR! SIGNET NON DÉFINI. 5. PLAN DIRECTEUR DE SÉCURITÉ .............................................................................45 5.1 INTRODUCTION ........................................................................................................... 45 5.2 ÉTAPES DEVANT ÊTRE SUIVIES ..................................................................................... 45 ANNEXE 1 – TABLEAU D’ANALYSE DES CONTRÔLES .............................................49 ANNEXE 2 – FICHES D’ANALYSE DE RISQUES ..........................................................74 ANNEXE 3 – TABLEAU SOMMAIRE DE L’ÉVALUATION DES CONTRÔLES ........122 ANNEXE 4 – SOMMAIRE DES ACTIONS À RÉALISER À COURT TERME, MOYEN TERME ET LONG TERME .............................................................................129 ANNEXE 5 – PLAN DIRECTEUR DE SÉCURITÉ.........................................................130 i ANNEXE 6 – CONTENU DES SECTIONS DE L’ÉTAT DE LA SITUATION ACTUELLE .....................................................................................................................132 ii Annexe 1 – Tableau d’analyse des contrôles I. DIMENSION ORGANISATIONNELLE Partie A – Sécurité administrative 1.Leadership I.A.1.1 Promotion de la sécurité Existant Communication périodique aux employés sur les rôles et Poids Total 3 responsabilités du DG. Communication du DG auprès de tous les utilisateurs de 3 l’établissement Le directeur général reçoit du comité de sécurité de 3 l’établissement des communications périodiques Le directeur général s’assure de la production annuelle d’un 3 bilan de sécurité Total global I.A.1.2 La vision de la sécurité Existant Présence d’une politique corporative de sécurité signée par la Poids 3 haute direction Cette politique respecte les standards du guide d’élaboration 3 d’une politique de sécurité et contient les rubriques suivantes : n Objectifs de la politique n Portée de la politique et champs d’application n Rôles et responsabilités des intervenants n Principes généraux de sécurité n Principes spécifiques de sécurité Cette politique a été diffusée au sein de l’établissement 3 Cette politique est révisée une fois par année 3 Total global 49 *tiré du cadre global-Annexe 2 Total I. DIMENSION ORGANISATIONNELLE Partie A – Sécurité administrative 2.Organisation de la sécurité I.A.2.1 Organisation de la sécurité Existant Existence d’un Comité de sécurité, chargé de définir les Poids Total 3 grandes lignes de la stratégie de sécurité des systèmes informatiques, de suivre les projets de sécurité et d’étudier les problèmes liés à la sécurité de l’information. 2 Définition claire et communication du rôle du Comité de sécurité au sein de l’établissement. Suivi et contrôle réguliers des recommandations du Comité. 3 Présence d’un RSAI nommé par le DG 3 Existence d’un registre des actes de gestion de la sécurité 2 contenant tout renseignement obtenu dans le cadre du processus de gestion de la sécurité, et consignant la création de documents, décisions ou directives en matière de sécurité*. Total global I.A.2.2 Rôles et responsabilités Existant Poids Total 3 Existence d’une grille de définition des responsabilités et tâches indiquant les rôle et responsabilités de chacun des intervenants en matière de sécurité de l’information. Présence d’un registre d’autorité pour les actifs informationnels 3 contenant les intervenants concernés par la gestion de la sécurité des actifs, leurs rôles, responsabilités et pouvoirs de délégation*. Inclusion dans ce registre des applications développées ou 2 gérées de façon décentralisée par les différents départements. Révision périodique de ce registre. 2 Communication de ce registre aux principaux intervenants 3 Total global I.A.2.3 Suivi et rapport des incidents Existant Existence d’un système de classification et de suivi des Poids 3 incidents. Existence d’un système de rapport des incidents de sécurité. 2 Inclusion des tous les incidents de sécurité physique, logique 3 ou organisationnelle dans ce système. 50 *tiré du cadre global-Annexe 2 Total Présence d’un mécanisme de communication des incidents au 3 RSAI Total global I.DIMENSION ORGANISATIONNELLE Partie A – Sécurité administrative 3.Programme de gestion de la sécurité I.A.3.1 Budget et ressources allouées à la sécurité Existant Poste qui relève du DG dans l’organigramme, et définition Poids Total 3 claire de fonction pour le RSAI Budget spécifique accordé au RSAI. 3 Total global I.A.3.2 Plan directeur de sécurité Existant Existence d’un plan directeur de sécurité et de le maintenir à Poids Total 3 jour annuellement. Total global I.A.3.3 Inventaire, propriété et classification des ressources Existant Existence d'un inventaire à jour de tous les actifs Poids 3 informationnels* Existence d’une classification des actifs informationnels* 3 effectuée pour chacun des critères de Disponibilité, Intégrité et Confidentialité * Mesure du cadre global 51 *tiré du cadre global-Annexe 2 Total Assignation d’un niveau de classification élevé à toute 3 information concernant les mesures et processus de sécurité de l’établissement*. Existence d’une liste de détenteurs des actifs informationnels 3 responsables de leur classification, des autorisations d'utilisation et des mesures de protection des données qu’ils supportent*. Maintien à jour et diffusion de la liste, de ces détenteurs. 2 Total global I.A.3.4 Analyse de risques Existant Évaluation périodique des risques touchant les actifs Poids Total 3 informationnels de l’établissement*. Cette évaluation est aussi effectuée lors de modifications 2 majeures de l’environnement technologique de l’établissement, et des suites d’un incident de sécurité*. Total global I.A.3.5 Bilan annuel de la sécurité Existant Évaluation annuelle de la sécurité, incluant les aspects Poids Total 3 techniques et la qualité et le respect des procédures de sécurité des actifs informationnels. Communication formelle des résultats de ce bilan au comité de 2 sécurité et au comité de direction. Total global I.DIMENSION ORGANISATIONNELLE Partie A – Sécurité administrative 4.Cadre de gestion de la sécurité I.A.4.1 Manuel du cadre de gestion de la sécurité Existant Existence d’un cadre de gestion de la sécurité Le Cadre de gestion de la sécurité de l’information numérique (le Cadre de gestion) est un cadre référentiel permettant de définir l’organisation de la sécurité de l’information numérique au sein de l’établissement. Le cadre de gestion documente tous les éléments de gestion de la sécurité de l’information 52 *tiré du cadre global-Annexe 2 Poids 3 Total numérique. Il couvre tous les actifs informationnels devant être protégés, la démarche d’analyse de risques et les mesures de contrôle devant être implantées. Existence d’un manuel de gestion opérationnel de la sécurité 3 qui couvre les procédures de sécurité à appliiquer, les formulaires à remplir, etc.. Total global I.A.4.2 Normes et procédures de gestion de la sécurité Existant Présence de normes et procédures de sécurité pour les Poids Total 3 domaines suivants : • Organisation administrative • Sécurité logique et contrôle des accès • Sécurité physique • Développement, acquisition, modification et mise en place des systèmes • Gestion des opérations • Télécommunications • Micro-informatique • Sauvegarde et relève Total global I.A.4.3 Gestion des crises Existant Existence de procédures et d’un plan de gestion de crise Poids Total 3 contenant les noms et coordonnées des différents intervenants et les actions urgentes à effectuer selon les situations. Ce plan décrit les situations de crise touchant les systèmes 3 id’information et traite des aspects spécifiques à ceux-ci. Total global I.A.4.4 Assurances contre les dommages matériels Existant Existence de contrats d’assurance couvrant les systèmes informatiques, les équipements de télécommunication couvrant les risques matériels et la valeur des données entreposées ou manipulées, ainsi que les frais nécessaires à la reprise des opérations. Total global 53 *tiré du cadre global-Annexe 2 Poids 3 Total I.A.4.5 Contrats et relations avec les fournisseurs Existant Existence d’une procédure formelle régissant le choix des Poids 2 fournisseurs informatiques. Existence d’une voie de communication claire avec les 1 fournisseurs. Inclusion des engagements relatifs à la sécurité dans les 2 contrats de service avec les fournisseurs, stipulant, en particulier* : • Le respect de la confidentialité • L’obligation de protection des données • La méthode d’élimination des données stockées • Les procédures relatives au contrôle et à l’entretien des voies de communications, à la résolution des problèmes, au contrôle de la configuration et des changements • Le calendrier des tâches • Les restrictions quant aux périodes d’entretien des actifs informationnels • La cessation du contrat en cas de non-respect des exigences • L’application de ses exigences aux soustraitants Possibilité d’obtenir un rapport de vérification indépendant sur les activités du centre Total global 54 *tiré du cadre global-Annexe 2 Total I.DIMENSION ORGANISATIONNELLE Partie B – Sécurité physique 1.Sécurité physique I.B.1.1 Gestion des locaux informatiques Existant Existence et utilisation systématique d’un registre d’attribution Poids 3 des moyens d’accès physique (clé ou carte magnétique)*. Procédure de la restitution des moyens d'accès avant départ 1 ou mutation. Sécurisation adéquate des cartes temporaires d’accès. 3 Utilisation d’un système automatisé de contrôle des accès aux 3 locaux sensibles. Ce système permet un niveau de granularité élevé dans 3 l’assignation des droits d’accès. Existence d’un registre de personnes autorisées à accéder à 2 ces locaux consignant l’énumération des tâches autorisées pour chacune d’entre elles, et la durée habituelle de leur intervention*. Existence de procédures définissant clairement les règles et 3 les limites d'accès aux locaux sensibles*. Utilisation d’un mécanisme d'authentification robuste (carte à 1 puce, biométrie) Existence de procédures régissant la présence de personnel 3 externe dans les locaux sensibles, stipulant, entre autres, leur accompagnement par une personne autorisée*. Configuration des locaux permettant de voir les faits et gestes 3 du personnel autorisé s’y trouvant*. Utilisation d’un système de vidéo-surveillance complet. 3 Protection par un système de détection d'intrusion en dehors 3 des heures d'exploitation relié au poste permanent de surveillance. Surveillance des locaux adjacents aux locaux sensibles. 1 Disponibilité permanente et immédiate d’une équipe de 1 surveillance pouvant agir en cas d’alerte. Vérification régulière de l'application des règles et consignes de contrôle d’accès et surveillance des locaux sensibles. Total global 55 *tiré du cadre global-Annexe 2 1 Total I.B.1.2 Gestion des équipements informatiques Existant Poids Total 2 Existence d’un inventaire à jour des équipements informatiques incluant leur localisation et assignation principale*. Existence de procédures de protection des équipements 2 contre le vol ou l’utilisation non-autorisée*. Existence de directives régissant l’emplacement des 2 équipements informatiques, spécifiant que ceux-ci doivent être placés de façon à leur éviter toute utilisation et observation non-autorisées*. Existence de procédures régissant la sortie d’équipement hors 3 des installations de l’établissement, requerrant une autorisation appropriée et l’analyse préalable et élimination possible des données contenues sur ces équipements*. Existence de procédures régissant la mise au rebut des 3 équipements ayant contenu des données sensibles*. Total global I.B.2.1 Service continu d’alimentation électrique Existant Existence d’une installation électrique de secours pour les Poids Total 3 équipements informatiques en mesure d'assurer la continuité du service des systèmes informatiques critiques. Existence d’au moins un système d’alimentation sans coupure 1 (UPS) garantissant aux ressources sensibles une autonomie d’au moins dix minutes*. Protection adéquate du réseau de câblage et d'alimentation 1 électrique. Total global I.B.2.2 Prévention et détection des inondations Existant Les locaux contenant des équipements informatiques sont Poids 1 adéquatement situés pour prévenir les dégâts d’eau*. Existence de détecteurs d'humidité à proximité des ressources 1 sensibles. Vérification et test réguliers des ces dispositifs. 1 Total global 56 *tiré du cadre global-Annexe 2 Total I.B.2.3 Prévention et détection des incendies Existant Poids Total 1 Existence de mécanismes de détection d'incendie pour les locaux sensibles*. Cette installation de détection automatique est reliée à un 1 poste permanent de surveillance. 1 Existence d’un dispositif d'extinction d’incendie dans les salles d’équipements informatiques. Formation du personnel concerné. 3 Présence d’extincteurs d’incendie à proximité des salles 3 informatiques. 3 Présence de systèmes de chauffage, de ventilation et de climatisation adéquats*. Vérification et test réguliers des ces dispositifs. 1 Total global I.C.1.1 Privilèges du personnel informatique Existant Contrôle des accès aux outils et utilitaires d’administration des Poids Total 3 systèmes d’exploitation et des équipements réseaux. Restriction des privilèges d’accès du personnel informatique lui 3 interdisant l’accès à la modification des données réelles de l’établissement*. Existence de procédures précisant les conditions d'accès du 1 personnel informatiques aux informations sensibles ou confidentielles, dans le cadre de leurs activités quotidiennes d’administration et d’exploitation*. Vérification périodique de l’utilisation des outils et utilitaires 1 privilégiés. Total global I.C.1.2 Administration des serveurs Existant Nombre limité de personnes autorisées à administrer les Poids 2 serveurs de l’établissement. Code d’accès unique attribué individuellement à chacun des 2 administrateurs. Désactivation des codes d’accès par défaut. 1 Utilisation d’un mécanisme d’authentification robuste (jeton 3 dynamique, carte à puce, etc.) Existence de mécanismes d’administration à distance des 1 serveurs. Homologation préalable par le Bureau d’accueil et le Centre de 57 *tiré du cadre global-Annexe 2 1 Total certification des outils d’administration et de soutien technique à distance*. Utilisation d’un mécanisme d’authentification robuste (jeton 3 dynamique, carte à puce, etc.) pour l’administration à distance. Journalisation et vérification des changements apportés à la 1 configuration des serveurs. Automatisation complète de l’administration des serveurs 3 (incluant les prises de copies de sauvegarde, les restaurations, etc.) Désactivation de tous les services superflus. 3 Vérification périodique de l'ensemble de ces règles et 2 procédures. Total global I.C.1.3 Contrôle de la mise en place des systèmes Existant Évaluation formelle des spécifications de sécurité des Poids 3 systèmes précédant leur mise en place. Existence de procédures formelles de tests d’acceptation et de 3 tests de performance des nouveaux systèmes. Approbation formelle du propriétaire ou représentant principal 1 des utilisateurs du système avant toute mise en place. Certification préalable par le MSSS des applications 3 partageables avec d’autres établissements par l’intermédiaire d’un réseau de télécommunication*. Existence d’une séparation de tâches entre le développement 1 et la maintenance, et l’exploitation informatique. Séparation des environnements de développement et de test 3 des environnements d’exploitation. Vérification systématique des configurations de sécurité des 3 systèmes suite à une nouvelle installation ou à une mise à niveau majeure. Création ou mise à jour de la documentation des systèmes 3 requise avant la mise en place. Description des fonctions de sécurité dans la documentation 1 utilisateur, lorsque nécessaire. Identification formelle et protection des systèmes sensibles et 3 des programmes sources et exécutables. Vérification périodique de l'ensemble de ces règles et 1 procédures. Total global 58 *tiré du cadre global-Annexe 2 Total I.C.1.4 Gestion de la maintenance des équipements et des systèmes Existant Existence de procédures formelles de tests de performance Poids Total 3 des systèmes. 3 Vérification systématique des configurations de sécurité des systèmes suite à une opération importante de maintenance. Existence d’un registre indiquant les interventions relatives à la 3 maintenance matérielle et logicielle, la nature des modifications, le nom et la signature de l'intervenant*. Certification des techniciens de maintenance par le 1 fournisseur. Existence d’accords de confidentialité avec les fournisseurs. 1 Utilisation d’un mécanisme d’authentification robuste (jeton 3 dynamique, carte à puce, etc.) pour le centre et l’agent de maintenance à distance. Journalisation systématique des interventions de maintenance 3 à distance. Documentation de la nature, date, heure de l’intervention de 3 maintenance à distance exigée de la part du fournisseur. Existence de procédures contrôlant l'utilisation par les 3 techniciens de maintenance à distance des systèmes et leur accès aux données sensibles que ces systèmes contiennent. Couverture de tous les systèmes par un contrat de 1 maintenance. 3 Existence de procédures de maintenance préventive des systèmes. Existence de procédures de tests préventifs permettant de 3 diagnostiquer les pannes les plus fréquentes. Existence d’une documentation technique et de maintenance, 3 claire et à jour, de tous les systèmes. Vérification périodique des procédures et contrats 1 maintenance. Total global I.C.1.5 Contrôle de la conformité des configurations Existant Existence d’une définition formelle de la configuration de base Poids 3 des équipements installés*. Contrôle régulier de la conformité des configurations 3 matérielles et logicielles des postes de travail des utilisateurs par rapport aux configurations de base. Utilisation exclusive de versions authentifiées et certifiées des applications et des systèmes d’exploitation sur les postes de travail. 59 *tiré du cadre global-Annexe 2 3 Total Absence ou désactivation des lecteurs de disquette, CD-ROM 2 des postes de travail. Protection des postes de travail contre le téléchargement 3 d'exécutables. Total global I.C.1.6 Contrôle des licences des logiciels et progiciels Existant Révision périodique de la présence de logiciels illégaux sur les Poids Total 2 postes de travail*. Les copies originales des logiciels et progiciels sont 2 conservées sous clé et ne sont accessibles qu’aux personnes autorisées*. Total global I.C.1.7 Antivirus Existant Poids Total 3 Installation d’antivirus sur tous les postes de travail et portables* Mise à jour automatique et régulière de l’antivirus. 3 Vérification périodique de la présence et la mise à jour des 1 antivirus sur les postes de travail et portables . Installation d’antivirus sur tous les serveurs d’exploitation*. 3 Mise à jour automatique et régulière de l’antivirus. 3 Vérification périodique de la présence et la mise à jour des 2 antivirus sur les serveurs. Total global I.C.1.8 Impression sécuritaire et distribution Existant Poids Recensement des rapports sensibles. 1 Restriction de l’impression d’informations confidentielles aux 3 seules personnes autorisées par le propriétaire de l’actif informationnel*. Existence de contrôles qui limitent l’accès aux fonctions 2 d’impression et aux outils de saisie d’image afin d’empêcher l’impression d’informations nominatives ou l’impression nonjournalisée*. Existence d’une procédure de distribution des rapports 3 confidentiels. Vérification régulière de ces procédures. 1 Total global 60 *tiré du cadre global-Annexe 2 Total I.C.1.9 Gestion des supports magnétiques Existant Existence de procédures concernant l’archivage et l’utilisation Poids Total 3 des données selon le type de support et le niveau de classification des données*. Existence de procédures régissant la gestion des supports 1 magnétiques. Automatisation de la gestion des supports magnétiques, en 2 particulier l’entrée et la sortie, les cycles de rétention, etc. Existence de procédures régissant la circulation des supports 2 magnétiques, et spécifiant des mesures de sécurité adéquates*. Recours à une firme spécialisée d’entreposage externe des 1 supports magnétiques, offrant des garanties contractuelles de sécurité*. Vérification périodique de la qualité des supports magnétiques. 3 Tests de vérification périodique des supports d'archivage*. 3 Existence de procédures régissant l’élimination des supports 3 magnétiques désuets Vérification périodique de l'ensemble de ces procédures. 2 Total global I.C.1.10 Sauvegardes des systèmes et des données Existant Sauvegarde périodique des logiciels et des données de Poids 3 l’environnement exploitation. Entreposage des copies de sauvegarde dans un local adéquat 2 de l’établissement. Entreposage des copies de sauvegarde des programmes, de 3 leurs fichiers critiques et de leur documentation dans un site sécuritaire externe. Ces copies de sauvegarde permettent la reconstitution de 3 l’environnement d’exploitation. Existence d’un plan de sauvegarde et de récupération des 3 données spécifiant la fréquence des copies, le lieu d’entreposage de celles-ci, les personnes responsables de ces activités et les calendriers de conservation des données*. Vérification régulière de l’ensemble de ces procédures et plans de sauvegarde de programmes et de données. Total global 61 *tiré du cadre global-Annexe 2 1 Total I.C.1.11 Plan de relève Existant Identification des systèmes critiques de l’établissement, et des Poids Total 3 impacts de l’absence de ces systèmes*. Identification, pour chacun de ces systèmes, des ressources 3 clé de nature matérielle, logicielle ou humaine. Existence de plans de relève pour chaque système critique*. 2 Ces plans de relève concernent toutes les mesures à suivre 2 pour assurer la continuité des services, incluant les mesures « manuelles », et le retour aux opérations normales*. Ces plans sont regroupés en un document unique et complet. 3 Formation appropriée des intervenants sur le contenu de ce 1 plan. Mise à jour annuelle de ce plan. 2 Test régulier des dispositions de ce plan. 2 Total global I.C.1.12 Reprise des activités Existant Existence de procédures de reprise des activités pour chaque Poids Total 3 système critique*. Vérification périodique des procédures et plans de reprise des 1 activités. Total global I.C.1.13 Revue des journaux de sécurité et enquête Existant Analyse et archivage quotidiens des journaux de sécurité des Poids Total 3 systèmes critiques. Analyses périodiques de performance des systèmes afin de 2 détecter tout problème pouvant affecter la performance. Existence d’une personne responsable de mener des 2 enquêtes en cas de détection d’anomalie Existence de procédures de vérification et d’enquête en cas de 3 détection d’anomalie. Total global I.C.2.1 Intégration de la sécurité dans le développement Existant Utilisation systématique d’une méthodologie de 3 développement d’applications intégrant des considérations de sécurité et existence de normes et procédures à cet effet*. 62 *tiré du cadre global-Annexe 2 Poids Total Ces procédures requièrent, pour les fonctions sensibles, des 3 tests complets par une équipe indépendante incluant des utilisateurs. Ces procédures requièrent une revue formelle de la 3 documentation des applications . Ces procédures stipulent une séparation complète des 3 environnements de développement, de tests et d’exploitation. Un propriétaire est formellement désigné pour toute nouvelle 3 application achetée ou développée Formation régulièrement des individus responsables du 1 développement d’applications sur ces normes et procédures. Lorsque le développement d’application est confié à un 3 fournisseur externe, le contrat de service exige le respect de ces normes et procédures. Vérification régulière de l'application de ces normes et 2 procédures. Total global I.C.2.2 Gestion de la documentation Existant Existence d’une documentation par application, maintenue à Poids Total 2 jour, et comportant les instructions d'exploitation, de sécurité, de reprise et d'intervention sur anomalie*. Existence d’une procédure de gestion de la documentation. 2 Total global I.C.2.3 Contrôle des changements aux applications Existant Existence procédures de contrôle des changements aux Poids Total 3 applications*. Ces procédures imposent une validation formelle de la qualité 3 et de l’exhaustivité des tests. Ces procédures requièrent la mise à jour de la documentation 3 après modification. Ces procédures requièrent la séparation des environnements 3 de test et de l’environnement d’exploitation. Total global I.C.2.4 Modifications en cas d’urgence Existant Toute modification d’urgence aux applications doit être justifiée Poids 3 par une explication formelle. Les modifications d’urgence doivent être revues dans un 3 environnement de test avant d’être mise en place. 63 *tiré du cadre global-Annexe 2 Total Les modifications d’urgence doivent être faites en présence, 2 au minimum, des propriétaires et responsables concernés. Journalisation spécifique des modifications en cas d’urgence. 3 Total global I.C.2.5 Maintenance des applications Existant Existence de contrats de maintenance adéquats pour tous les Poids Total 1 logiciels et progiciels sensibles. Existence de contrats de maintenance particuliers avec les 3 fournisseurs pour les logiciels et progiciels sensibles requerrant une forte disponibilité. Application systématique des correctifs logiciels de sécurité recommandés. Total global II.A.1.1 Programme de sensibilisation et formation Existant Existence d’un programme de sensibilisation du personnel aux Poids 3 enjeux de la sécurité des actifs informationnels de l’établissement*. Ce programme inclut une sensibilisation aux impacts possibles 2 des incidents de sécurité sur l’établissement. Existence d’un programme de formation du personnel aux 2 règles et mesures générales de sécurité des actifs informationnels*. Ce programme inclut des recommandations concernant le 1 comportement à adopter afin de détecter et prévenir les incidents. Existence d’un programme de formation adapté destiné au 3 personnel ayant des responsabilités dans le domaine de la sécurité. Ces programmes sont ré-évalués périodiquement et au 3 besoin*. Total global 64 *tiré du cadre global-Annexe 2 Total II.A.1.2 Programme d’accueil des employés Existant Présence d’éléments concernant la sécurité informatique dans Poids Total 3 le programme d’accueil. (Signature d’un code d’éthique, l’explication de l’importance de la protection des renseignements pour l’établissement, remise de la politique de sécurité, etc.) Total global II.B.1.1 Respect des règlements Existant Existence de procédures détaillant les responsabilités du Poids Total 3 personnel concernant l’utilisation et la sauvegarde des biens et des données de l’établissement. Une référence à ces procédures est présente dans le contrat 2 de travail ou le règlement interne de l’établissement. Total global III.A.1.1 Architecture redondante et sécuritaire Existant Poids Respect des exigences minimales de raccordement au RTSS*. 3 Identification des vulnérabilités du réseau de l’établissement 3 Total et des équipements de support (alimentation électrique, etc.). Existence d’une architecture redondante palliant ces 3 vulnérabilités. Existence de mesures on-line d’équilibrage de la charge 3 réseau. Total global III.A.1.2 Sécurité des réseaux internes Existant Analyse réalisée sur la sensibilité et évaluation de la Poids 3 perméabilité des différents segments du réseau interne*. Identification de domaines de sécurité (DMZ, extranet, etc.) 3 Classification de ces domaines selon des critères de 2 disponibilité, intégrité, confidentialité. Révision périodique de cette classification. 2 Partitionnement du réseau interne et domaines de sécurités. 3 Protection de chaque domaine par des mesures de 3 chiffrement. Utilisation d’un réseau privé virtuel (VPN) pour sécuriser la communication entre les différentes parties d’un même domaine, s’il est distribué sur plusieurs sites*. 65 *tiré du cadre global-Annexe 2 2 Total Existence et application d’une politique de sécurité régissant la 3 configuration des équipements réseau. Total global III.A.1.3 Contrôle des accès aux réseaux Existant Existence d’un mécanisme de contrôle des accès au réseau Poids 3 pour les connexions provenant du réseau téléphonique commuté. Existence et application de procédures rigoureuses encadrant 3 la création et la modification des codes d’accès utilisés à cet effet. Nombre limité de personnes autorisées à changer les règles 3 de définition des codes d’accès ou les codes d’accès euxmêmes. Journalisation de toute création ou modification de codes 3 d’accès. Présence de mécanismes d’audit enregistrant certaines actions d’intérêt (tentatives multiples 3 infructueuses, modification des règles de gestion des codes d’accès). Présence de dispositifs de déclenchement d’alarme associés à 1 certaines de ces actions. Existence d’un mécanisme de contrôle des accès au réseau 2 pour les connexions TCP/IP au réseau de l’établissement (pare-feu, routeur, etc.)* Ce contrôle respecte la logique « tout ce qui n’est pas 3 explicitement permis est interdit » Utilisation de mécanismes de traduction d’adresse réseau 3 (NAT)masquant la structure d’adressage IP interne. Existence de mécanismes de protection contre l’usurpation 3 d’adresses IP. (IP spoofing) Existence de mécanismes de contrôle et de fermeture 3 automatique des connexions TCP non fermées. Nombre limité d’individus autorisés à modifier les paramètres 2 de configuration des mécanismes ci-dessus, et contrôle d’accès strict à ces fonctions. Toute modification de ces paramètres est journalisée et auditée. Total global 66 *tiré du cadre global-Annexe 2 3 Total III.A.1.4 Chiffrement et protection de l’intégrité des informations Existant Utilisation d’un système de chiffrement sur le réseau externe Poids Total 3 (Internet) pour la transmission de données sensibles. Utilisation de signatures électroniques pour les messages 3 transmis sur l’Internet Total global III.A.1.5 Surveillance des réseaux Existant Mesures et analyses de performance régulières des réseaux Poids Total 3 afin de faciliter la détection d’anomalies. Utilisation d’un système de détection d’intrusion (IDS). 3 L’IDS est adéquatement configuré. 2 Examen régulier des journaux du système de détection 1 d'intrusion. Total global III.A.1.6 Journalisation et gestion des incidents Existant Journalisation systématique des tentatives Poids d’accès 3 Nombre limité d’individus autorisés à changer les règles de 3 Total infructueuses. journalisation et contrôle strict de l’accès à ces fonctions. Protection adéquate de l’intégrité des journaux et conservation 3 à long terme de ceux-ci. Existence d’un système qui enregistre pour chaque incident les 3 informations suivantes: date, heure, nature de l'incident, durée d'indisponibilité, le statut (en cours, en étude, résolu) et les mesures correctives apportées, ainsi que le nom de l’intervenant. Vérification périodique de ce système d'enregistrement des 1 incidents. Total global III.A.2.1 Gestion des privilèges du personnel Existant Accès contrôlé et recensement des programmes et outils Poids 3 d’administration réseau. Contrôle des modifications ou des ajouts d’outils et utilitaires 1 d’administration réseau. Restriction des privilèges d’accès du personnel informatique aux ressources réseau 67 *tiré du cadre global-Annexe 2 3 Total Existence d’une entente de service précisant les conditions 1 d'accès du personnel informatiques aux informations sensibles ou confidentielles, dans le cadre de leurs activités quotidiennes d’administration et d’exploitation*. Vérification périodique de l'application de ces règles et 1 consignes. Total global III.A.2.2 Administration des équipements réseau Existant Nombre limité d’individus autorisés à accéder aux modules d’administration des équipements réseau et Poids Total 3 de télécommunication. Code d’accès unique attribué à chacun des administrateurs. 1 Désactivation des codes d’accès par défaut. 2 Existence de mécanismes d’administration à distance des 2 équipements réseau et de télécommunication. Utilisation d’un mécanisme d’authentification sécuritaire et 3 chiffrement des transmissions pour l’administration à distance. Journalisation et audit de toutes les modifications apportées à la configuration des équipements réseau et 1 de télécommunication. Automatisation complète de l’administration des équipements 3 (incluant les prises de copies de sauvegarde, les restaurations, etc.) Vérification régulière du câblage. 3 Disponibilité d’outils appropriés d'analyse et de test du 1 câblage. Désactivation de tous les services superflus. 3 Total global III.A.2.3 Gestion des changements des équipements réseau Existant Revue formelle des paramètres de sécurité des équipements Poids 3 réseau et de télécommunication lors des mises en production. Existence de procédures formelles de tests fonctionnels et de 2 tests de performance des nouveaux systèmes, selon des procédures préétablies. Vérification systématique des configurations de sécurité des 3 systèmes d’exploitation des équipements réseau et de télécommunication suite à une nouvelle installation ou à une mise à jour. Existence de procédures formelles de tests fonctionnels et de tests de performance selon des procédures pré-établies, après 68 *tiré du cadre global-Annexe 2 3 Total chaque opération importante de maintenance. Existence d’un journal consignant toutes les interventions de 3 maintenance matérielle et logicielle, la nature des modifications, le nom et la signature de l'intervenant. Existence de procédures régissant l’envoi en réparation des 1 équipements réseau de l’établissement. Ces procédures doivent vérifier que ces équipements ne contiennent aucune information sur la structure interne d’adressage et autres renseignements sensibles. Existence d’accords de confidentialité avec les fournisseurs de 1 maintenance. Existence de procédures régissant la mise au rebut des 3 équipements réseau, spécifiant que tout équipement ayant contenu des informations sensibles doit être détruit. Vérification périodique de ces règles et procédures. 1 Total global III.A.2.4 Gestion des configurations Existant Test systématique de l’intégrité des configurations à chaque Poids Total 3 initialisation de système critique. Contrôle régulier de la conformité des versions installées par 3 rapport aux dernières versions de référence. Contrôle régulier de la conformité des configurations des 1 équipements réseau des postes de travail des utilisateurs par rapport aux configurations standards. Existence de mécanismes automatisés détectant la présence 1 d'équipements de type modem sur le réseau de télécommunication. Total global III.A.2.5 Procédures et plans de relève réseau Existant Existence de procédures de relève pour chaque type Poids 3 d’équipement réseau Tests réguliers de ces procédures et plans de relève. 1 Existence de solutions de secours opérationnelles, palliant 3 l'indisponibilité des équipements critiques. Ces solutions sont consignées en détail dans un Plan de 2 relève réseau. Test régulier des dispositions de ce plan. 2 Total global 69 *tiré du cadre global-Annexe 2 Total III.A.3.1 Authentification des utilisateurs Existant Poids Présence de code d’accès pour chaque utilisateur*. 3 Une application accédant à une autre application est 3 Total considérée comme un utilisateur et est assujettie aux mêmes mesures*. Interdiction d’utilisation de codes d’accès partagés par les 2 utilisateurs*. Existence d’un processus formel de création, modification et 3 distribution des codes d’accès garantissant que seul son propriétaire peut y avoir accès*. Existence de règles assurant la qualité et la solidité du 3 processus d’authentification des utilisateurs (spécifiant, par exemple, la longueur minimale des mots de passe, la fréquence de leurs changements, la durée de conservation de leur historique etc.)* Re-branchement obligatoire des utilisateurs requis après une 2 période d’inactivité préétablie*. Nombre limité de personnes autorisés à changer les règles 3 d’authentification des utilisateurs et contrôle strict de l’accès à ces fonctions. Journalisation de toute création ou modification des règles 2 d’authentification. Chiffrement obligatoire des mots de passe conservés dans des 3 scripts ou autres fichiers résidant sur des systèmes partagés. Chiffrement obligatoire des mots de passe transmis entre 2 l’utilisateur et les systèmes cible. Protection de la confidentialité des données servant à 3 l’authentification : Impossibilité d’affichage ou d’impression*. Désactivation du code d’accès suite à un nombre limite de 3 tentatives infructueuses*. Existence de mécanismes de révocation des codes d’accès 2 n’ayant pas été utilisés pendant une période donnée*. Présence de mécanismes d’enregistrement des événements 3 importants (tentatives multiples infructueuses, modification des règles de gestion des codes d’accès). Présence de dispositifs de déclenchement d’alarme associés à 1 certaines de ces actions. Total global III.A.3.2 Autorisation et profils d’accès Existant Définition de profils d’accès regroupant des rôles ou fonctions précises et régissant les autorisations d’accès aux systèmes*. 70 *tiré du cadre global-Annexe 2 Poids 3 Total L'attribution de droits à ces différents profils fait l’objet d’une approbation de la part des propriétaires des 3 actifs informationnels concernés. Nombre limité d’individus autorisés à modifier les règles 3 d'autorisations qui déterminant les droits attribués aux profils, et contrôle strict de l’accès à ces fonctions. Journalisation des créations ou modifications de règles 2 d'autorisations définissant les droits assignés aux profils*. Accord formel d’un supérieur hiérarchique nécessaire pour 3 l’attribution de droits d’accès supplémentaires. Contrôle rigoureux du processus d’assignation, de modification 3 et de retrait de droits d’accès*. Existence d’un processus de mise à jour du registre des droits 1 d’accès lors du départ d’un membre du personnel ou lors d’un changement de fonction*. Existence d’un processus de délégation des droits d’une 3 personne à une autre personne, pour une période déterminée, en cas de remplacement temporaire. Ce processus est strictement contrôlé. 3 Journalisation des attributions, modifications et retraits de 3 droits ou de profils. Revue périodique de l'ensemble des profils et des droits 1 attribués aux utilisateurs. Total global III.B.1.1 Gestion de la messagerie Existant Existence de mécanismes de protection contre l’utilisation non Poids Total 3 autorisée des serveurs de messagerie de l’établissement comme relais. Existence de mécanismes de protection contre les bombes 1 électroniques. (mail bomb) Sensibilisation des utilisateurs à l’impact sur la performance 1 des systèmes de messagerie de la transmission de chaînes de lettre électroniques et autres types de courrier non-sollicité. Total global III.B.1.2 Contrôle antiviral de la messagerie Existant Poids Existence d’antivirus à jour sur les serveurs de messagerie. 3 Vérification automatique de tous les messages et toutes les 3 pièces jointes. Total global 71 *tiré du cadre global-Annexe 2 Total III.B 2.1 Journalisation des accès Existant Utilisation d’outils permettant de journaliser tous les accès aux Poids Total 3 ressources sensibles. (applications, fichiers, données)* Existence de règles formelles spécifiant les accès à 1 journaliser. Inclusion des éléments nécessaires à une enquête en cas 1 d’incident dans ces règles de journalisation Nombre limité d’individus autorisés à modifier les règles de 3 journalisation et contrôle strict de l’accès à ces fonctions. Journalisation de toutes les créations ou modifications des 3 règles de journalisation. Archivage systématique et délais de conservation appropriés 1 des journaux d’accès. Présence dans les application de capteurs d’accès aux 3 informations sensibles et de systèmes de pistage (audit trail). Total global III.B.2.2 Contrôles d’application Existant Existence dans les applications de contrôles de validation de Poids Total 3 base pour éviter l’entrée d’erreurs (pour chaque champ important) : • Contrôles de limites • Contrôles de vraissemblance Présence de rapports d’exception sur les erreurs identifiées 2 Présence d’un mécanisme de correction des erreurs 2 Vérification périodique de la présence de ces contrôles et des 2 procédures associées. Total global IV.A.1.1 Respect de la réglementation extérieure Existant Sensibilisation appropriée des utilisateurs aux implications Poids 1 légales et réglementaires de leur accès à des données nominatives. Classification systématique des actifs informationnels 3 contenant des informations nominatives leur conférant un niveau adéquat de protection et tenant compte des lois et réglementations extérieures. Sensibilisation adéquate des utilisateurs aux implications 1 légales et réglementaires de leur utilisation illicite de logiciels sans licences. 72 *tiré du cadre global-Annexe 2 Total Sensibilisation adéquate des utilisateurs aux implications 1 légales et réglementaires des accès et tentatives d'accès non autorisés aux systèmes informatiques. Total global 73 *tiré du cadre global-Annexe 2