  1 Cowboys d’expérience demandés  clowns s’abstenir Gestion de la sécurité dans le Réseau de la santé et des services sociaux Direction des ressources informationnelles Pierre P. Tremblay, ing. Direction des ressources informationnelles Pierre P. Tremblay, ing.

  2 Agenda  Introduction  Juridique  Organisationnel  Humain  Technique  Conclusion  Introduction  Juridique  Organisationnel  Humain  Technique  Conclusion

  3 Juridique  Objectifs  L’ensemble forme une chaîne de ressources  Le maillon des actifs informationnels devient critique avec l’informatisation du RSSS  L’ensemble forme une chaîne de ressources  Le maillon des actifs informationnels devient critique avec l’informatisation du RSSS Mission – Santé et bien-être de la population  Programmes -> processus d’affaires  Ressources Mission – Santé et bien-être de la population  Programmes -> processus d’affaires  Ressources  Doit assurer de la Disponibilité, Intégrité et Confidentialité  Financières  Humaines  Matérielles  Informationnelles  Financières  Humaines  Matérielles  Informationnelles

  4 LSSSS  Projet de loi 25 – décembre 2003  Création des CSSS et des RLS facilite la circulation d’information  Projet de loi 83 – novembre 2005  Doit garantir l’intégrité, l’authentification et l’irrévocabilité (certificat pour signature)  Inclut des mesures pour la confidentialité  Projets de règlements en élaboration  Concernant la sécurité et la protection des renseignements personnels  Ententes de sécurité interorganisationnelles LSSSS  Projet de loi 25 – décembre 2003  Création des CSSS et des RLS facilite la circulation d’information  Projet de loi 83 – novembre 2005  Doit garantir l’intégrité, l’authentification et l’irrévocabilité (certificat pour signature)  Inclut des mesures pour la confidentialité  Projets de règlements en élaboration  Concernant la sécurité et la protection des renseignements personnels  Ententes de sécurité interorganisationnelles Juridique  Obligations

  5 LSSSS  Conséquences  Pénalités applicable à la personne de $ – $ par incident de confidentialité LSSSS  Conséquences  Pénalités applicable à la personne de $ – $ par incident de confidentialité Juridique  Conséquences

  6 Juridique  Obligations Code criminel canadien  Suite accident mine Westray N-É en 1992  Code modifié en mars 2004  Art « Il incombe à quiconque dirige l’accomplissement d’un travail et l’exécution d’une tâche, ou est habilité à le faire, de prendre des mesures voulues pour éviter qu’il en résulte des blessures corporelles pour autrui » Imputabilité des dirigeants et professionnels à titre personnel en terme de négligence criminelle (n’ont pas assumé leur devoir de diligence) pour la sécurité physique des personnes Code criminel canadien  Suite accident mine Westray N-É en 1992  Code modifié en mars 2004  Art « Il incombe à quiconque dirige l’accomplissement d’un travail et l’exécution d’une tâche, ou est habilité à le faire, de prendre des mesures voulues pour éviter qu’il en résulte des blessures corporelles pour autrui » Imputabilité des dirigeants et professionnels à titre personnel en terme de négligence criminelle (n’ont pas assumé leur devoir de diligence) pour la sécurité physique des personnes

  7 Code criminel canadien Relation avec le RSSS ?  Manque de disponibilité (ex. dossier patient aux urgences) et intégrité (posologie – un 0 de plus) de l’information causant lésion physique à un citoyen  S’expose personnellement à un casier judiciaire et amendes < = xx 000 $ Code criminel canadien Relation avec le RSSS ?  Manque de disponibilité (ex. dossier patient aux urgences) et intégrité (posologie – un 0 de plus) de l’information causant lésion physique à un citoyen  S’expose personnellement à un casier judiciaire et amendes < = xx 000 $ Juridique  Conséquences

  8 Organisationnel  Plan de mise en oeuvre  Niveau national  Politique RSSS – CGGAI  Outils (guides)  Directives, standards  Optimisation RTSS – TI & processus  Niveau régional et local  Contrôle et suivi -Plan pour les organismes et établissements  Réévaluation et réajustement  Niveau national  Politique RSSS – CGGAI  Outils (guides)  Directives, standards  Optimisation RTSS – TI & processus  Niveau régional et local  Contrôle et suivi -Plan pour les organismes et établissements  Réévaluation et réajustement

  9 Cadre global de gestion des actifs informationnels (CGGAI)  Politique de sécurité pour le RSSS  Cadre de gestion (rôles et responsabilités)  Mesures (63) minimales et obligatoires à mettre en place Actifs informationnels : Papier, numérique et infrastructure Adoption en septembre 2002 Cadre global de gestion des actifs informationnels (CGGAI)  Politique de sécurité pour le RSSS  Cadre de gestion (rôles et responsabilités)  Mesures (63) minimales et obligatoires à mettre en place Actifs informationnels : Papier, numérique et infrastructure Adoption en septembre 2002 Organisationnel  Politique

  Guide de rédaction de politiques de sécurité de l’information – MSSS, juin Guide de catégorisation des actifs informationnels – MSSS v1 2003, v2 juin 2004 et v3 déc Guide de rédaction d’un plan directeur de la sécurité des actifs informationnels – MSSS – v1 juin 2003 et v2 avril Guide recueil des mesures – MSSS – nov Guide de la gestion des incidents de sécurité – MSSS – nov Guide de rédaction de politiques de sécurité de l’information – MSSS, juin Guide de catégorisation des actifs informationnels – MSSS v1 2003, v2 juin 2004 et v3 déc Guide de rédaction d’un plan directeur de la sécurité des actifs informationnels – MSSS – v1 juin 2003 et v2 avril Guide recueil des mesures – MSSS – nov Guide de la gestion des incidents de sécurité – MSSS – nov Organisationnel  Outil: Élaboration des guides - MSSS

  11  Processus formel d’élaboration et d’adoption  Statut  Normes et standards > 460  Directives > 60  Diffusion  Site Internet  URL :  Site Intranet RSSS  URL : intranetreseau.rtss.qc.ca  Processus formel d’élaboration et d’adoption  Statut  Normes et standards > 460  Directives > 60  Diffusion  Site Internet  URL :  Site Intranet RSSS  URL : intranetreseau.rtss.qc.ca Organisationnel  Directives, standards et architectures

  12 Analyse préliminaire faite en 2004  RSSS représente environ  350 organismes  personnes  postes  serveurs  105 salles de serveurs  110 millions pour mettre le RSSS à niveau pour les quatre volets : Juridique, Organisationnel, Humain et Technologique Besoin d’optimisation  des infrastructures technologiques  de la gestion opérationnelle Analyse préliminaire faite en 2004  RSSS représente environ  350 organismes  personnes  postes  serveurs  105 salles de serveurs  110 millions pour mettre le RSSS à niveau pour les quatre volets : Juridique, Organisationnel, Humain et Technologique Besoin d’optimisation  des infrastructures technologiques  de la gestion opérationnelle Organisationnel  Optimisation

  13 Programme d’assurance qualité  Amélioration des processus  La définition formelle des processus  Le contrôle de la qualité  Suivi d’indicateurs précis et mesurables  Stratégie  Basée sur les référentiels des meilleures pratiques  Augmentation de la maturité du RSSS, en terme de capacité, un processus à la fois  Implantation par le biais de la structure de gouverne Programme d’assurance qualité  Amélioration des processus  La définition formelle des processus  Le contrôle de la qualité  Suivi d’indicateurs précis et mesurables  Stratégie  Basée sur les référentiels des meilleures pratiques  Augmentation de la maturité du RSSS, en terme de capacité, un processus à la fois  Implantation par le biais de la structure de gouverne Organisationnel  Optimisation des processus 1- Les technocentres (TCN -> TCRs) et les services RTSS 2- Les établissements et autres services TI 1- Les technocentres (TCN -> TCRs) et les services RTSS 2- Les établissements et autres services TI

  14 Le cadre de gestion stratégique des RI  Basé sur « Control Objectives for Information and related Technology » (COBIT )  4 Domaines, 33 processus et 387 contrôles  Planification & organisation  Acquisition & implantation  Gestion opérationnelle et tactique -> ITIL  Suivi et contrôle Le cadre de gestion stratégique des RI  Basé sur « Control Objectives for Information and related Technology » (COBIT )  4 Domaines, 33 processus et 387 contrôles  Planification & organisation  Acquisition & implantation  Gestion opérationnelle et tactique -> ITIL  Suivi et contrôle Organisationnel  Optimisation des processus

  15 Organisationnel  Optimisation des processus Le cadre de gestion opérationnelle  Basé sur Bibliothèque d’infrastructure pour les TI (ITIL) Une fonction et 10 processus  Fonction : Centre de service  Opérationnels : Gestion des incidents, pannes, configuration, changements, mise en production  Tactiques : Gestion de la disponibilité, capacité, continuité, financière et des niveaux de service Présentement en déploiement  Fonction et processus opérationnels NOTE : Permet de rencontrer 80% d’ISO17799 Le cadre de gestion opérationnelle  Basé sur Bibliothèque d’infrastructure pour les TI (ITIL) Une fonction et 10 processus  Fonction : Centre de service  Opérationnels : Gestion des incidents, pannes, configuration, changements, mise en production  Tactiques : Gestion de la disponibilité, capacité, continuité, financière et des niveaux de service Présentement en déploiement  Fonction et processus opérationnels NOTE : Permet de rencontrer 80% d’ISO17799

  16 Organisationnel  Optimisation des processus Cadre de la gestion de la sécurité  ISO27001 pour le système de gestion de l’information de sécurité (amélioration continue) Roue de Deming Planifier Améliorer Réaliser Contrôler  ISM3 amélioration (de la maturité) des processus de sécurité (stratégique, tactique et opérationnel)  ISO17799 (133 mesures) pour la gestion de la sécurité,  Sert de seuil dans la jurisprudence aux États-Unis  Le principe de diligence raisonnable est déterminé en fonction des contrôles d’ISO17799  Bientôt ISO27799 spécifique pour la santé Cadre de la gestion de la sécurité  ISO27001 pour le système de gestion de l’information de sécurité (amélioration continue) Roue de Deming Planifier Améliorer Réaliser Contrôler  ISM3 amélioration (de la maturité) des processus de sécurité (stratégique, tactique et opérationnel)  ISO17799 (133 mesures) pour la gestion de la sécurité,  Sert de seuil dans la jurisprudence aux États-Unis  Le principe de diligence raisonnable est déterminé en fonction des contrôles d’ISO17799  Bientôt ISO27799 spécifique pour la santé

  17 Sécurité opérationnelle au niveau national assurée par la SOGIQUE  Surveillance 24/7 et contrôle au niveau du périmètre, de l’intranet et l’extranet  Veille des vulnérabilités, service d’alertes et de réponse aux incidents  Conseils de sécurité dans le développement des systèmes et aux établissements (révision d’architecture, audits et tests d’intrusions)  Mise en œuvre des orientations du MSSS Sécurité opérationnelle au niveau national assurée par la SOGIQUE  Surveillance 24/7 et contrôle au niveau du périmètre, de l’intranet et l’extranet  Veille des vulnérabilités, service d’alertes et de réponse aux incidents  Conseils de sécurité dans le développement des systèmes et aux établissements (révision d’architecture, audits et tests d’intrusions)  Mise en œuvre des orientations du MSSS Organisationnel  Suivi et contrôle opérationnel  Évolution de la menace  Stratégie de défense en profondeur  ITIL et ISO27001  Évolution de la menace  Stratégie de défense en profondeur  ITIL et ISO27001

  Politique par organisme 2- Programme de sensibilisation et formation 3- Mise en œuvre des 15 mesures prioritaires 4- Catégorisation des actifs informationnels (DIC) 5- Plan directeur par organisme (Roue - Planifier)  3a Situation actuelle  3b Analyse de risque  3c Bien livrable : dossier d’affaires et plan 1- Politique par organisme 2- Programme de sensibilisation et formation 3- Mise en œuvre des 15 mesures prioritaires 4- Catégorisation des actifs informationnels (DIC) 5- Plan directeur par organisme (Roue - Planifier)  3a Situation actuelle  3b Analyse de risque  3c Bien livrable : dossier d’affaires et plan Organisationnel  Niveau régional et local Plan de mise en œuvre du CGGAI par organisme

  Mise en œuvre des mesures du plan directeur  les 63 mesures et plus (Roue - Réaliser) 7- Contrôle (audits) (Roue - Contrôler) 8- Suivi – indicateurs et tableaux de bord 9- Réévaluation et réajustement (Roue - Améliorer)  Roue de l’amélioration continue en retournant à l’étape 4 6- Mise en œuvre des mesures du plan directeur  les 63 mesures et plus (Roue - Réaliser) 7- Contrôle (audits) (Roue - Contrôler) 8- Suivi – indicateurs et tableaux de bord 9- Réévaluation et réajustement (Roue - Améliorer)  Roue de l’amélioration continue en retournant à l’étape 4 Organisationnel  Niveau régional et local Plan de mise en œuvre du CGGAI par organisme (suite)

  20  Outils  Programme de formation et de sensibilisation  Ressources humaines  Outils  Programme de formation et de sensibilisation  Ressources humaines Volet humain 

  21 1.Préparation du matériel – terminée - MSSS 2.Formation des formateurs – terminée printemps MSSS 3.Formation des agents multiplicateurs - automne 2004 à hiver Agences 4.Formation des intervenants – printemps 2005 à hiver 2006 – Organismes Clientèle cible : personnes 1.Préparation du matériel – terminée - MSSS 2.Formation des formateurs – terminée printemps MSSS 3.Formation des agents multiplicateurs - automne 2004 à hiver Agences 4.Formation des intervenants – printemps 2005 à hiver 2006 – Organismes Clientèle cible : personnes Volet humain  Outils de formation et plan de formation Guide : Politique de sécurité de l’information

  22 Guide : Catégorisation des actifs informationnels 1.Préparation du matériel – terminée - MSSS 2.Formation des formateurs – hiver printemps MSSS 3.Formation des agents multiplicateurs - printemps 2005 à automne Agences 4.Formation des intervenants – automne 2005 à printemps 2006 – Organismes Guide : Élaboration du plan directeur Guide : Catégorisation des actifs informationnels 1.Préparation du matériel – terminée - MSSS 2.Formation des formateurs – hiver printemps MSSS 3.Formation des agents multiplicateurs - printemps 2005 à automne Agences 4.Formation des intervenants – automne 2005 à printemps 2006 – Organismes Guide : Élaboration du plan directeur Volet humain  Outils de formation et plan de formation

  23 Infrastructures communes du RSSS  Service RTSS et ses infrastructures de sécurité  Acquisition dans le cadre du plan d’informatisation  Outil de gestion de la sécurité SAGeS qui permet  La gestion de l’inventaire  la catégorisation des actifs  L’état de situation  La conformité CGGAI et ISO17799  L’analyse et la gestion du risque (principe de base)  L’élaboration des plans directeurs d’amélioration de la sécurité des actifs informationnels  Outil SAGeS sera disponible début juin 2006 Infrastructures communes du RSSS  Service RTSS et ses infrastructures de sécurité  Acquisition dans le cadre du plan d’informatisation  Outil de gestion de la sécurité SAGeS qui permet  La gestion de l’inventaire  la catégorisation des actifs  L’état de situation  La conformité CGGAI et ISO17799  L’analyse et la gestion du risque (principe de base)  L’élaboration des plans directeurs d’amélioration de la sécurité des actifs informationnels  Outil SAGeS sera disponible début juin 2006 Volet technologique 

  24 Risque = menace X probabilité d’exploiter X vulnérabilité Options 1.Ignorer les risques : La population n’acceptera pas ceci de ses institutions publiques. 2.Évaluer et transférer le risque : La population n’accepte pas que le gouvernement transfère ses actifs informationnels du RSSS au privé. 3.Évaluer et accepter les risques : oui, si les conséquences sont moins importantes que les mesures. 4.Évaluer et mitiger les risques inacceptables par des mesures de contrôle qui diminuent le risque à un niveau acceptable. Risque = menace X probabilité d’exploiter X vulnérabilité Options 1.Ignorer les risques : La population n’acceptera pas ceci de ses institutions publiques. 2.Évaluer et transférer le risque : La population n’accepte pas que le gouvernement transfère ses actifs informationnels du RSSS au privé. 3.Évaluer et accepter les risques : oui, si les conséquences sont moins importantes que les mesures. 4.Évaluer et mitiger les risques inacceptables par des mesures de contrôle qui diminuent le risque à un niveau acceptable. Conclusion  Gestion du risque

  25 Dans le contexte actuel, il y a toujours une possibilité que des incidents de sécurité, en terme de bris de disponibilité, d’intégrité et de confidentialité causant des lésions morales ou physiques à la population, vont se produire. Conclusion  Gestion du risque

  26 Conclusion  Choisissez votre rôle Êtes-vous le cowboy qui :  Juridique - Connaît les enjeux juridiques  Organisationnel - Est organisé pour gérer la sécurité Politique, directives, processus, catégorisation, analyse de risque, a élaboré son plan directeur et débuté la mise en œuvre de mesures pour mitiger les risques les plus importants.  Humain - A sensibilisé et formé les ressources humaines  Technologique - Adhère aux orientations et services technologiques du RSSS Êtes-vous le cowboy qui :  Juridique - Connaît les enjeux juridiques  Organisationnel - Est organisé pour gérer la sécurité Politique, directives, processus, catégorisation, analyse de risque, a élaboré son plan directeur et débuté la mise en œuvre de mesures pour mitiger les risques les plus importants.  Humain - A sensibilisé et formé les ressources humaines  Technologique - Adhère aux orientations et services technologiques du RSSS

  27 La présentation est disponible sur le site Internet du MSSS sous la rubrique Actualités – Présentations de la section consacrée aux ressources informationnelles La présentation est disponible sur le site Internet du MSSS sous la rubrique Actualités – Présentations de la section consacrée aux ressources informationnelles Merci 