Cowboys dexprience demands clowns sabstenir Gestion de la scurit dans le Rseau de la sant et des ser

1
Cowboys dexpérience demandés ? clowns
sabstenirGestion de la sécurité dans le
Réseau de la santé et des services sociaux

• Direction des ressources informationnelles
• Pierre P. Tremblay, ing.

2
Agenda

• Introduction
• Juridique
• Organisationnel
• Humain
• Technique
• Conclusion

3
Juridique ? Objectifs

• Mission Santé et bien-être de la population
• Programmes -gt processus daffaires
• Ressources

• Financières
• Humaines
• Matérielles
• Informationnelles

• Lensemble forme une chaîne de ressources
• Le maillon des actifs informationnels devient
• critique avec linformatisation du RSSS

• Doit assurer de la Disponibilité, Intégrité et
  Confidentialité

4
Juridique ? Obligations

• LSSSS
• Projet de loi 25 décembre 2003
• Création des CSSS et des RLS facilite la
  circulation dinformation
• Projet de loi 83 novembre 2005
• Doit garantir lintégrité, lauthentification et
  lirrévocabilité (certificat pour signature)
• Inclut des mesures pour la confidentialité
• Projets de règlements en élaboration
• Concernant la sécurité et la protection des
  renseignements personnels
• Ententes de sécurité interorganisationnelles

5
Juridique ? Conséquences

• LSSSS
• Conséquences
• Pénalités applicable à la personne de
• 3 000 6 000 par incident de confidentialité

6
Juridique ? Obligations

• Code criminel canadien
• Suite accident mine Westray N-É en 1992
• Code modifié en mars 2004
• Art. 217-1 Il incombe à quiconque dirige
  laccomplissement dun travail et lexécution
  dune tâche, ou est habilité à le faire, de
  prendre des mesures voulues pour éviter quil en
  résulte des blessures corporelles pour autrui
• Imputabilité des dirigeants et professionnels à
  titre personnel en terme de négligence criminelle
  (nont pas assumé leur devoir de diligence) pour
  la sécurité physique des personnes

7
Juridique ? Conséquences

• Code criminel canadien
• Relation avec le RSSS ?
• Manque de disponibilité (ex. dossier patient aux
  urgences) et intégrité (posologie un 0 de
  plus) de linformation causant lésion physique à
  un citoyen
• Sexpose personnellement à un casier judiciaire
  et amendes lt xx 000

8
Organisationnel ? Plan de mise en oeuvre

• Niveau national
• Politique RSSS CGGAI
• Outils (guides)
• Directives, standards
• Optimisation RTSS TI processus
• Niveau régional et local
• Contrôle et suivi
• - Plan pour les organismes et établissements
• Réévaluation et réajustement

9
Organisationnel ? Politique

• Cadre global de gestion des actifs
  informationnels (CGGAI)
• Politique de sécurité pour le RSSS
• Cadre de gestion (rôles et responsabilités)
• Mesures (63) minimales et obligatoires à mettre
  en place
• Actifs informationnels Papier,
  numérique et infrastructure
• Adoption en septembre 2002

10
Organisationnel ? Outil Élaboration des guides
- MSSS

• Guide de rédaction de politiques de sécurité de
  linformation MSSS, juin 2003
• Guide de catégorisation des actifs
  informationnels MSSS v1 2003, v2 juin 2004 et
  v3 déc. 2005
• Guide de rédaction dun plan directeur de la
  sécurité des actifs informationnels MSSS
  v1 juin 2003 et v2 avril 2006
• Guide recueil des mesures MSSS nov. 2003
• Guide de la gestion des incidents de sécurité
  MSSS nov. 2003

11
Organisationnel ? Directives, standards et
architectures

• Processus formel délaboration et dadoption
• Statut
• Normes et standards gt 460
• Directives gt 60
• Diffusion
• Site Internet
• URL http//www.msss.gouv.qc.ca/ri
• Site Intranet RSSS
• URL intranetreseau.rtss.qc.ca

12
Organisationnel ? Optimisation

• Analyse préliminaire faite en 2004
• RSSS représente environ
• 350 organismes
• 200 000 personnes
• 85 000 postes
• 10 000 serveurs
• 105 salles de serveurs
• 110 millions pour mettre le RSSS à niveau pour
  les quatre volets Juridique, Organisationnel,
  Humain et Technologique
• Besoin doptimisation
• des infrastructures technologiques
• de la gestion opérationnelle

13
Organisationnel ? Optimisation des processus

• Programme dassurance qualité
• Amélioration des processus
• La définition formelle des processus
• Le contrôle de la qualité
• Suivi dindicateurs précis et mesurables
• Stratégie
• Basée sur les référentiels des meilleures
  pratiques
• Augmentation de la maturité du RSSS, en terme de
  capacité, un processus à la fois
• Implantation par le biais de la structure de
  gouverne

1- Les technocentres (TCN -gt TCRs) et les
services RTSS 2- Les établissements et autres
services TI
14
Organisationnel ? Optimisation des processus

• Le cadre de gestion stratégique des RI
• Basé sur Control Objectives for Information and
  related Technology (COBIT )
• 4 Domaines, 33 processus et 387 contrôles
• Planification organisation
• Acquisition implantation
• Gestion opérationnelle et tactique -gt ITIL
• Suivi et contrôle

15
Organisationnel ? Optimisation des processus

• Le cadre de gestion opérationnelle
• Basé sur Bibliothèque dinfrastructure pour les
  TI (ITIL)
• Une fonction et 10 processus
• Fonction Centre de service
• Opérationnels Gestion des incidents, pannes,
  configuration, changements, mise en production
• Tactiques Gestion de la disponibilité,
  capacité, continuité, financière et des niveaux
  de service
• Présentement en déploiement
• Fonction et processus opérationnels
• NOTE Permet de rencontrer 80 dISO17799

16
Organisationnel ? Optimisation des processus

• Cadre de la gestion de la sécurité
• ISO27001 pour le système de gestion de
  linformation de sécurité (amélioration
  continue)
• Roue de Deming Planifier
• Améliorer
  Réaliser
• 
  Contrôler
• ISM3 amélioration (de la maturité) des processus
  de sécurité (stratégique, tactique et
  opérationnel)
• ISO17799 (133 mesures) pour la gestion de la
  sécurité,
• Sert de seuil dans la jurisprudence aux
  États-Unis
• Le principe de diligence raisonnable est
• déterminé en fonction des contrôles dISO17799
• Bientôt ISO27799 spécifique pour la santé

17
Organisationnel ? Suivi et contrôle opérationnel

• Sécurité opérationnelle au niveau national
  assurée par la SOGIQUE
• Surveillance 24/7 et contrôle au niveau du
  périmètre, de lintranet et lextranet
• Veille des vulnérabilités, service dalertes et
  de réponse aux incidents
• Conseils de sécurité dans le développement des
  systèmes et aux établissements (révision
  darchitecture, audits et tests dintrusions)
• Mise en uvre des orientations du MSSS

• Évolution de la menace
• Stratégie de défense en profondeur
• ITIL et ISO27001

18
Organisationnel ? Niveau régional et local
Plan de mise en uvre du CGGAI par organisme

• 1- Politique par organisme
• 2- Programme de sensibilisation et formation
• 3- Mise en uvre des 15 mesures prioritaires
• 4- Catégorisation des actifs informationnels
  (DIC)
• 5- Plan directeur par organisme (Roue -
  Planifier)
• 3a Situation actuelle
• 3b Analyse de risque
• 3c Bien livrable dossier daffaires et plan

19
Organisationnel ? Niveau régional et local
Plan de mise en uvre du CGGAI par
organisme (suite)

• 6- Mise en uvre des mesures du plan directeur
• les 63 mesures et plus (Roue - Réaliser)
• 7- Contrôle (audits) (Roue - Contrôler)
• 8- Suivi indicateurs et tableaux de bord
• 9- Réévaluation et réajustement (Roue -
  Améliorer)
• Roue de lamélioration continue en retournant à
  létape 4

20
Volet humain ?

• Outils
• Programme de formation et de sensibilisation
• Ressources humaines

21
Volet humain ? Outils de formation et plan de
formation
Guide Politique de sécurité de linformation

• Préparation du matériel terminée - MSSS
• Formation des formateurs terminée printemps
  2004 - MSSS
• Formation des agents multiplicateurs - automne
  2004 à hiver 2005 - Agences
• Formation des intervenants printemps 2005 à
  hiver 2006 Organismes
• Clientèle cible 200 000 personnes

22
Volet humain ? Outils de formation et plan de
formation

• Guide Catégorisation des actifs informationnels
• Préparation du matériel terminée - MSSS
• Formation des formateurs hiver 2005 -
  printemps 2005 - MSSS
• Formation des agents multiplicateurs -
  printemps 2005 à automne 2005 - Agences
• Formation des intervenants automne 2005
  à printemps 2006 Organismes
• Guide Élaboration du plan directeur

23
Volet technologique ?

• Infrastructures communes du RSSS
• Service RTSS et ses infrastructures de sécurité
• Acquisition dans le cadre du plan
  dinformatisation
• Outil de gestion de la sécurité SAGeS qui permet
• La gestion de linventaire
• la catégorisation des actifs
• Létat de situation
• La conformité CGGAI et ISO17799
• Lanalyse et la gestion du risque (principe de
  base)
• Lélaboration des plans directeurs damélioration
  de la sécurité des actifs informationnels
• Outil SAGeS sera disponible début juin 2006

24
Conclusion ? Gestion du risque

• Risque menace X probabilité dexploiter X
  vulnérabilité
• Options
• Ignorer les risques  La population nacceptera
  pas ceci de ses institutions publiques.
• Évaluer et transférer le risque  La population
  naccepte pas que le gouvernement transfère ses
  actifs informationnels du RSSS au privé.
• Évaluer et accepter les risques oui, si les
  conséquences sont moins importantes que les
  mesures.
• Évaluer et mitiger les risques inacceptables par
  des mesures de contrôle qui diminuent le risque à
  un niveau acceptable.

25
Conclusion ? Gestion du risque

• Dans le contexte actuel, il y a toujours une
  possibilité que des incidents de sécurité, en
  terme de bris de disponibilité, dintégrité et de
  confidentialité causant des lésions morales ou
  physiques à la population, vont se produire.

26
Conclusion ? Choisissez votre rôle

• Êtes-vous le cowboy qui
• Juridique - Connaît les enjeux juridiques
• Organisationnel - Est organisé pour gérer la
  sécurité
• Politique, directives, processus, catégorisation,
  analyse de risque, a élaboré son plan directeur
  et débuté la mise en uvre de mesures pour
  mitiger les risques les plus importants.
• Humain - A sensibilisé et formé les ressources
• humaines
• Technologique - Adhère aux orientations et
  services
• technologiques du RSSS

27
Merci ?
La présentation est disponible sur le site
Internet du MSSS sous la rubrique Actualités
Présentations de la section consacrée aux
ressources informationnelles http//www.msss.gouv
.qc.ca/ri