Title: Cowboys dexprience demands clowns sabstenir Gestion de la scurit dans le Rseau de la sant et des ser
1Cowboys dexpérience demandés ? clowns
sabstenirGestion de la sécurité dans le
Réseau de la santé et des services sociaux
- Direction des ressources informationnelles
- Pierre P. Tremblay, ing.
2Agenda
- Introduction
- Juridique
- Organisationnel
- Humain
- Technique
- Conclusion
3Juridique ? Objectifs
- Mission Santé et bien-être de la population
- Programmes -gt processus daffaires
- Ressources
-
- Financières
- Humaines
- Matérielles
- Informationnelles
- Lensemble forme une chaîne de ressources
- Le maillon des actifs informationnels devient
- critique avec linformatisation du RSSS
- Doit assurer de la Disponibilité, Intégrité et
Confidentialité
4Juridique ? Obligations
- LSSSS
- Projet de loi 25 décembre 2003
- Création des CSSS et des RLS facilite la
circulation dinformation - Projet de loi 83 novembre 2005
- Doit garantir lintégrité, lauthentification et
lirrévocabilité (certificat pour signature) - Inclut des mesures pour la confidentialité
- Projets de règlements en élaboration
- Concernant la sécurité et la protection des
renseignements personnels - Ententes de sécurité interorganisationnelles
5Juridique ? Conséquences
- LSSSS
- Conséquences
- Pénalités applicable à la personne de
- 3 000 6 000 par incident de confidentialité
6Juridique ? Obligations
- Code criminel canadien
- Suite accident mine Westray N-É en 1992
- Code modifié en mars 2004
- Art. 217-1 Il incombe à quiconque dirige
laccomplissement dun travail et lexécution
dune tâche, ou est habilité à le faire, de
prendre des mesures voulues pour éviter quil en
résulte des blessures corporelles pour autrui - Imputabilité des dirigeants et professionnels à
titre personnel en terme de négligence criminelle
(nont pas assumé leur devoir de diligence) pour
la sécurité physique des personnes
7Juridique ? Conséquences
- Code criminel canadien
- Relation avec le RSSS ?
- Manque de disponibilité (ex. dossier patient aux
urgences) et intégrité (posologie un 0 de
plus) de linformation causant lésion physique à
un citoyen - Sexpose personnellement à un casier judiciaire
et amendes lt xx 000
8Organisationnel ? Plan de mise en oeuvre
- Niveau national
- Politique RSSS CGGAI
- Outils (guides)
- Directives, standards
- Optimisation RTSS TI processus
- Niveau régional et local
- Contrôle et suivi
- - Plan pour les organismes et établissements
- Réévaluation et réajustement
9Organisationnel ? Politique
- Cadre global de gestion des actifs
informationnels (CGGAI) - Politique de sécurité pour le RSSS
- Cadre de gestion (rôles et responsabilités)
- Mesures (63) minimales et obligatoires à mettre
en place - Actifs informationnels Papier,
numérique et infrastructure - Adoption en septembre 2002
10Organisationnel ? Outil Élaboration des guides
- MSSS
- Guide de rédaction de politiques de sécurité de
linformation MSSS, juin 2003 - Guide de catégorisation des actifs
informationnels MSSS v1 2003, v2 juin 2004 et
v3 déc. 2005 - Guide de rédaction dun plan directeur de la
sécurité des actifs informationnels MSSS
v1 juin 2003 et v2 avril 2006 - Guide recueil des mesures MSSS nov. 2003
- Guide de la gestion des incidents de sécurité
MSSS nov. 2003
11Organisationnel ? Directives, standards et
architectures
- Processus formel délaboration et dadoption
- Statut
- Normes et standards gt 460
- Directives gt 60
- Diffusion
- Site Internet
- URL http//www.msss.gouv.qc.ca/ri
- Site Intranet RSSS
- URL intranetreseau.rtss.qc.ca
12Organisationnel ? Optimisation
- Analyse préliminaire faite en 2004
- RSSS représente environ
- 350 organismes
- 200 000 personnes
- 85 000 postes
- 10 000 serveurs
- 105 salles de serveurs
- 110 millions pour mettre le RSSS à niveau pour
les quatre volets Juridique, Organisationnel,
Humain et Technologique - Besoin doptimisation
- des infrastructures technologiques
- de la gestion opérationnelle
13Organisationnel ? Optimisation des processus
- Programme dassurance qualité
- Amélioration des processus
- La définition formelle des processus
- Le contrôle de la qualité
- Suivi dindicateurs précis et mesurables
- Stratégie
- Basée sur les référentiels des meilleures
pratiques - Augmentation de la maturité du RSSS, en terme de
capacité, un processus à la fois - Implantation par le biais de la structure de
gouverne
1- Les technocentres (TCN -gt TCRs) et les
services RTSS 2- Les établissements et autres
services TI
14Organisationnel ? Optimisation des processus
- Le cadre de gestion stratégique des RI
- Basé sur Control Objectives for Information and
related Technology (COBIT ) - 4 Domaines, 33 processus et 387 contrôles
- Planification organisation
- Acquisition implantation
- Gestion opérationnelle et tactique -gt ITIL
- Suivi et contrôle
15Organisationnel ? Optimisation des processus
- Le cadre de gestion opérationnelle
- Basé sur Bibliothèque dinfrastructure pour les
TI (ITIL) - Une fonction et 10 processus
- Fonction Centre de service
- Opérationnels Gestion des incidents, pannes,
configuration, changements, mise en production - Tactiques Gestion de la disponibilité,
capacité, continuité, financière et des niveaux
de service - Présentement en déploiement
- Fonction et processus opérationnels
- NOTE Permet de rencontrer 80 dISO17799
16Organisationnel ? Optimisation des processus
- Cadre de la gestion de la sécurité
- ISO27001 pour le système de gestion de
linformation de sécurité (amélioration
continue) - Roue de Deming Planifier
- Améliorer
Réaliser -
Contrôler - ISM3 amélioration (de la maturité) des processus
de sécurité (stratégique, tactique et
opérationnel) - ISO17799 (133 mesures) pour la gestion de la
sécurité, - Sert de seuil dans la jurisprudence aux
États-Unis - Le principe de diligence raisonnable est
- déterminé en fonction des contrôles dISO17799
- Bientôt ISO27799 spécifique pour la santé
17Organisationnel ? Suivi et contrôle opérationnel
- Sécurité opérationnelle au niveau national
assurée par la SOGIQUE - Surveillance 24/7 et contrôle au niveau du
périmètre, de lintranet et lextranet - Veille des vulnérabilités, service dalertes et
de réponse aux incidents - Conseils de sécurité dans le développement des
systèmes et aux établissements (révision
darchitecture, audits et tests dintrusions) - Mise en uvre des orientations du MSSS
- Évolution de la menace
- Stratégie de défense en profondeur
- ITIL et ISO27001
18Organisationnel ? Niveau régional et local
Plan de mise en uvre du CGGAI par organisme
- 1- Politique par organisme
- 2- Programme de sensibilisation et formation
- 3- Mise en uvre des 15 mesures prioritaires
- 4- Catégorisation des actifs informationnels
(DIC) - 5- Plan directeur par organisme (Roue -
Planifier) - 3a Situation actuelle
- 3b Analyse de risque
- 3c Bien livrable dossier daffaires et plan
19Organisationnel ? Niveau régional et local
Plan de mise en uvre du CGGAI par
organisme (suite)
- 6- Mise en uvre des mesures du plan directeur
- les 63 mesures et plus (Roue - Réaliser)
- 7- Contrôle (audits) (Roue - Contrôler)
- 8- Suivi indicateurs et tableaux de bord
- 9- Réévaluation et réajustement (Roue -
Améliorer) - Roue de lamélioration continue en retournant à
létape 4
20Volet humain ?
- Outils
- Programme de formation et de sensibilisation
- Ressources humaines
21Volet humain ? Outils de formation et plan de
formation
Guide Politique de sécurité de linformation
- Préparation du matériel terminée - MSSS
- Formation des formateurs terminée printemps
2004 - MSSS - Formation des agents multiplicateurs - automne
2004 à hiver 2005 - Agences - Formation des intervenants printemps 2005 à
hiver 2006 Organismes - Clientèle cible 200 000 personnes
22Volet humain ? Outils de formation et plan de
formation
- Guide Catégorisation des actifs informationnels
- Préparation du matériel terminée - MSSS
- Formation des formateurs hiver 2005 -
printemps 2005 - MSSS - Formation des agents multiplicateurs -
printemps 2005 à automne 2005 - Agences - Formation des intervenants automne 2005
à printemps 2006 Organismes - Guide Élaboration du plan directeur
23Volet technologique ?
- Infrastructures communes du RSSS
- Service RTSS et ses infrastructures de sécurité
- Acquisition dans le cadre du plan
dinformatisation - Outil de gestion de la sécurité SAGeS qui permet
- La gestion de linventaire
- la catégorisation des actifs
- Létat de situation
- La conformité CGGAI et ISO17799
- Lanalyse et la gestion du risque (principe de
base) - Lélaboration des plans directeurs damélioration
de la sécurité des actifs informationnels - Outil SAGeS sera disponible début juin 2006
24Conclusion ? Gestion du risque
- Risque menace X probabilité dexploiter X
vulnérabilité - Options
- Ignorer les risques La population nacceptera
pas ceci de ses institutions publiques. - Évaluer et transférer le risque La population
naccepte pas que le gouvernement transfère ses
actifs informationnels du RSSS au privé. - Évaluer et accepter les risques oui, si les
conséquences sont moins importantes que les
mesures. - Évaluer et mitiger les risques inacceptables par
des mesures de contrôle qui diminuent le risque à
un niveau acceptable.
25Conclusion ? Gestion du risque
- Dans le contexte actuel, il y a toujours une
possibilité que des incidents de sécurité, en
terme de bris de disponibilité, dintégrité et de
confidentialité causant des lésions morales ou
physiques à la population, vont se produire.
26Conclusion ? Choisissez votre rôle
- Êtes-vous le cowboy qui
- Juridique - Connaît les enjeux juridiques
- Organisationnel - Est organisé pour gérer la
sécurité - Politique, directives, processus, catégorisation,
analyse de risque, a élaboré son plan directeur
et débuté la mise en uvre de mesures pour
mitiger les risques les plus importants. -
- Humain - A sensibilisé et formé les ressources
- humaines
- Technologique - Adhère aux orientations et
services - technologiques du RSSS
27Merci ?
La présentation est disponible sur le site
Internet du MSSS sous la rubrique Actualités
Présentations de la section consacrée aux
ressources informationnelles http//www.msss.gouv
.qc.ca/ri