Introduction

Créé afin d'aider les décideurs dans leurs choix reliés aux technologies de l'information.

Définitions

La sécurité de l’information est définie comme l’ensemble des actions et des procédures conçues pour prévenir, avec un niveau de certitude démontrable, la divulgation, le transfert, la modification ou la destruction non autorisée, volontaire ou accidentelle de données. Les principaux objectifs de la sécurité de l’information sont :

la confidentialité des données;
l’intégrité des données;
la disponibilité des données;
la non répudiation des transactions;
l’authentification des utilisateurs;
l’authentification de l’origine des données; et
le contrôle des accès.

L’intégrité est l'exactitude et l'intégralité des renseignements et des biens et l'authenticité des transactions. Dans un établissement de la santé, l’intégrité requise est justifiée indirectement par les conséquences possibles d’un manque d’intégrité des données. Par exemple, le changement du groupe sanguin d’un patient peut avoir des conséquences d’une gravité extrême pour l’individu concerné.

La non répudiation des transactions ou l’irrévocabilité des transactions fait référence à la pérennité et la traçabilité des transactions. Ainsi il y a de nombreuse justification à la mise en place de la non-répudiation, par exemple pour des besoins en matière de traçabilité.

L’authentification des utilisateurs définit des mécanismes et des processus qui sont utilisés pour identifier, avec un niveau de certitude déterminé, l’identité d’un utilisateur d’un système d’information. L’autentification des utilisateurs est une des pierres d’assises de la sécurité des actifs informationels. Les données fournies au cours d’un processus d’authentification seront utilisées, entre autre, pour la journalisation des transactions. La journalisation est requise pour le respect de la Loi sur l’accès.

Nous définissions comme conditions de base en matière de sécurité (baseline) le profil de sécurité établi ou les conditions de sécurité déterminées à un moment donné.

L’impact est le résultat, l’effet ou la conséquence d'un événement, d’une action ou d’une situation sur une autre. Le résultat de l’exécution d’une vulnérabilité technologique ou de l’exploitation d’une menace est son impact.

Une menace consiste en une situation ou une condition avec le potentiel de compromettre la sécurité de l’information.

L’évaluation de la menace consiste en l’évaluation de la nature, de la probabilité et des conséquences d'actes ou d'événements susceptibles de mettre en péril des biens ou des renseignements de nature délicate.

Le risque est l’impact négatif net résultant de l’exploitation d’une menace en considérant sa probabilité et ses impacts.

La probabilité est le degré de vraisemblance qu’un événement se produise.

Les mesures de protection sont les éléments, les outils ou les processus mis en place pour réduire le niveau d’exposition, mitiger les conséquences d’une vulnérabilité technologique, contrer une menace ou solutionner un problème de sécurité particulier. En général, des mesures de protection pertinentes et bien utilisées réduisent le risque.

L’évaluation des menaces et du risque consiste à observer, dans un processus formel, la relation entre la menace et le risque pour en évaluer la probabilité. Cette analyse aidera l’organisation à déterminer les mesures de protection disponibles et prendre des décisions concernant la pertinence de leur mise en place.

Un actif informationel et équipement de télécommunication désigne un éÉquipement informatique et de télécommunication, systèmes d'information, logiciels, progiciels, banques de données et information (textuelle, sonore, symbolique ou visuelle) placées dans un équipement ou sur un média informatique, système de courrier électronique et système de messagerie vocale.

Le droits d'auteur est le droit exclusif de produire ou de reproduire une uvre ou une partie importante de celle-ci, sous une forme matérielle quelconque, de la représenter en public, de la publier, de permettre l'un des actes ci-dessus énumérés ainsi que tous les droits accessoires y afférents, le tout tel que défini par la Loi concernant le droit d'auteur.

Le droit d'utilisation est une autorisation accordée à une personne ou une organisation définissant l'usage qu'il peut faire des actifs informatiques et de télécommunication.

Nous définissons comme équipements informatiques comme étant un ou des ordinateurs, mini-ordinateurs, micro-ordinateurs, postes de travail informatiques et leurs unités ou accessoires périphériques de lecture, d'emmagasinage, de reproduction, d'impression, de transmission, de réception et de traitement de l'information et tout équipement de télécommunication.

Le terme extrant représente tout objet permettant de conserver de l'information ou des programmes informatiques provenant d'un ordinateur ou de ses unités périphériques ou d'un équipement de télécommunication.

Gestionnaire de système

Tout membre du personnel dont la fonction est d'assurer la responsabilité de gestion d'actifs, d'équipements, de systèmes ou de réseaux au sens de la présente politique, et toute personne à qui cette responsabilité est conférée en vertu d'une entente avec l'Établissement.

Objet numérisé

Information textuelle, symbolique, sonore ou visuelle (animée ou non) qui est transformée afin qu'elle puisse soit être transmise ou visualisée sur les réseaux de télécommunications, soit traitée par un ordinateur ou l'un de ses périphériques, soit placée sur un support informatique ou électronique.

Personnel

Administrateur ou membre du personnel au sens de la LSSS.

Poste de travail informatisé

Tout appareil qui peut être utilisé pour accéder, saisir, traiter ou emmagasiner des données de façon autonome ou en lien avec d'autres ordinateurs.

Progiciel

Programme informatique destiné au traitement d'une application.

Réseau informatique

Ensemble des composantes et des équipements informatiques reliés par voies de télécommunication en vue d'accéder à des ressources ou des services informatisés, ou de partager cet accès.

Systèmes d'information

Ensemble des pratiques et des moyens pour recueillir, traiter, mettre à jour, reproduire et distribuer tous les types d'information nécessaire au fonctionnement de l'Établissement ou de l'une de ses unités.

Système d'information institutionnel

Système d'information officiellement reconnu et utilisé par l'Établissement pour ses activités de gestion interne et pour fournir de l'information aux organismes externes. Généralement, on reconnaît que les données d'un système d'information institutionnel ont un caractère d'unicité quant à leur source et normatif quant à leur définition.

Pourquoi IVRI

Le nom IVRI fait principalement référence aux principales étapes de la méthodologie de gestion du risque en matière de sécurité de l’information, soit :

Identification;
Vulnérabilités;
Risque; et
Interprétation.

Notre approche est basée sur une méthodologie qualitative de recherche-action. Elle propose une approche participative d’appropriation du changement dans lequel un ‘expert/consultant ’ agit comme facilitateur. Elle comprend cinq phases principales d’analyses répétées pour chaque actif informationnel analysé.

Contrairement aux approches actuelles, notre méthodologie permet d’évaluer le changement du niveau de risque dans le temps en fonction des nombreuses variables, tels que l’évolution des vulnérabilités, l’amélioration des habilités des hackers, le contexte socio-économique ou même politique (e.g. les incidents du 11 septembre 2001) et un grand nombre d’autres variables qu’il est difficile de mesurer à cause de l’influence des unes sur les autres. Notre approche tiens compte de mesures de protections plus tangibles (e.g. Firewall ou anti-virus), mais aussi d’éléments difficilement quantifiables, comme des SLA’s, la mise en place de politiques et de procédures ou l’utilisation de normes. Cette différence sera beaucoup plus significative dans des organisations publiques ou parapubliques, dans des organisations opérant dans divers secteurs d’activités complémentaires ou dans des entreprises multinationales.

De la sécurité de l’information à la gestion du risque

Depuis de nombreuses années, surtout avec l’arrivé de l’Internet dans les organisations, la sécurité informatique est un sujet d’intérêt. En général les spécialistes des technologies de l’information se préoccupent de mettre en place des infrastructures de contrôles d’accès tels des mots de passes et des pare-feu (firewall). Cette approche n’est pas foncièrement mauvaise, mais elle est incomplète.

Considérons l’organisation en fonction de cinq pôles fondamentaux (les processus d’affaires, la structure organisationnelle, les individus et leur rôle) qui demeurent dans un équilibre dynamique alors que le contexte organisationnel change. De ces cinq pôles touts sont critiques dans toute transformation organisationnelle. Si une organisation doit changer suite à une évolution technologique, elle doit puiser dans sa culture pour conserver l’équilibre des cinq pôles. Toute organisation qui veut mettre en place une transformation doit prendre une vue d’ensemble de ces forces et de leur interaction, ce que nous appelons l’approche holistique de l’organisation. Ainsi qu’il s’agisse de changements pour améliorer sa position compétitive ou pour améliorer la sécurité de ses systèmes d’information, l’organisation doit considérer l’ensemble des pôles et chercher à mettre en place un processus de changement qui permettra à l’équilibre d’être retrouvé après la mise en ouvre du changement. Ça peut sembler évident, mais bon nombre d’organisations qui investissent des sommes importantes en technologies de l’information ne se préoccupent pas de gérer le changement.

Un bon équilibre stratégique tiendra aussi compte des diverses contraintes politiques, économiques, sociales, technologiques et environnementales hérités, actuelles et futures de l’organisation. Il tiendra compte des autres éléments identifiés dans le modèle[1] de l’organisation. Il offrira à l’organisation les outils qui lui permettra d’atteindre ses objectifs à court, moyen et long terme.

Dans le contexte de ce document nous ne traitons pas du processus de planification stratégique ou de processus de gestion du changement, cependant nous suggérons que ces rôles doivent être intégré dans le mandats des participants à la mise en place d’un processus de gestion du risque. En considérant les aspects stratégiques des technologies dans la mise en place d’une infrastructure technologique sécuritaire l’organisation ira au delà de la sécurité de l’information vers un processus de gestion du risque en matière de sécurité de l’information.

Nous proposons que l’organisation regarde au-delà de la mise en place de processus de gestion de la sécurité (par exemples des mots de passe et des pare-feu). Nous suggérons que l’organisation doit considérer la sécurité de l’information en fonction des cinq pôles mentionnés dans une optique d’analyse et de gestion des risques. L’organisation doit chercher à identifier ce qu’elle considère comme un niveau de risque acceptable et cherche à mettre en place des éléments qui recoupent les cinq pôles, non seulement le pôle technologie par la mise en place de solutions technologiques à des problèmes de risque organisationnel. Entre autre, l’organisation doit mettre en place des politiques de sécurité de l’information, assigner des responsabilités en matière de sécurité de l’information, revoir au besoin certains de ses processus afin de tenir compte de la sécurité de l’information et mettre en place des technologies de protection de son environnement technologique. Évidemment il ne s’agit là que d’un survol de la question, elle-même bien plus complexe de l’utilisation stratégique des technologiques.

Les facteurs clés de réussite

Les meilleures pratiques en matière de politique de sécurité de l’information prescrivent un style clair, concis et direct. La politique doit avant tout être compréhensible et conviviale pour le lecteur. Il est recommandé d’éviter d’utiliser des termes techniques ou d’expliquer ces derniers au lexique.

Le succès de l'initiative nécessite une volonté de la direction qui se traduit par une implication et le support de cette dernière. Sans cette implication, il sera difficile d’obtenir l’adhésion des intervenants et la politique n’atteindra pas ses objectifs. Nous vous rappelons que la sécurité de l'information est d'abord une démarche organisationnelle qui inclus les technologies de l'information mais qui en dépasse largement les frontières. De même, il est important de positionner la sécurité de l'information comme un processus qui nécessite donc des efforts continus et non pas comme un problème ponctuel pouvant être résolu grâce à la mise en place de mesures exclusivement technologiques.

Le succès de la politique et son respect nécessite une compréhension des enjeux et des risques de la part des utilisateurs qui y seront assujettis. Cette compréhension devra être inculquée aux utilisateurs par des efforts continuels de sensibilisation et de formation qui nécessiteront l'implication d’un ensemble de collaborateurs tout particulièrement des directions ressources humaines. Enfin, il est à noter que sans les ressources nécessaires à la diffusion, à l’implantation, à la sensibilisation et à la formation, la politique ne pourra atteindre ses objectifs.
Politiques de sécurité

De manière générale, les politiques de sécurité de l'information sont des directives de gestion qui établissent les objectifs opérationnels, le cadre de sécurité, les responsabilités et la gouvernance. L'établissement d'une politique de sécurité est l’une des premières étapes d'amélioration de la sécurité de l'information. L’existence d’une politique de sécurité est, selon nous, très importante pour l’organisation. Il sera difficile pour une organisation de mettre en place et maintenir des systèmes d’information sécuritaires sans ces politiques pour les encadrer. Nous ne donnerons pas d’exemples détaillés sur les politiques en matières de sécurité de l’information, cependant il faut souligner que l’organisation devrait définir, comme point de départ, une politique qui permet de rencontrer les objectifs en matière de sécurité de l’informations élaborés dans le document mentionné = la section précédente. Une fois une première politique cadre en place, l’organisation pourra chercher à élaborer des politiques plus complètes. Il existe, sur Internet et ailleurs, de nombreux modèles de politiques de sécurité que l’organisation pourra utiliser comme modèle. Certaines de celles-ci sont disponibles gratuitement d’autres sont vendues[2].

Tel que décrit dans la norme ISO/EIC 17799:2000(E), il est essentiel qu’une organisation identifie ses besoins en matière de sécurité de l’information. La première source d’information pour l’identification des besoins est une analyse des risques de sécurité de l’information. La seconde source d’information est constituée du cadre juridique, réglementaire et contractuel dans lequel évolue l’organisation. La troisième source d’information est constituée de la mission et des objectifs de l’organisation, des principes de gestion, des politiques en place. La norme ISO/EIC 17799:2000(E) propose un ensemble d’éléments et de points de contrôle recommandés pour une gestion efficace de la sécurité, tel qu détaillé dans la méthodologie IVRI.

Les principales étapes

Cette section présente les étapes nécessaires à l’élaboration d’une politique en matière de sécurité de l’information, tel que proposé par le document du MSSS, Politique de sécurité de l’information, Guide de rédaction, Trousse d’outils, ébauche de standard non approuvé,Juin 2003, Version 1.1, ci-après appelé le guide PSI. Le processus présenté ci-bas a été adapté pour l’établissements, tel qu’il est suggéré par le MSSS, en fonction de la taille, la structure organisationnelle, la culture organisationnelle et l'état d'avancement de ses travaux face à la sécurité de l’information.

Le cycle de développement et de mise à jour d’une politique de sécurité de l'information peut s’étendre sur une période de quelques mois à plus d’une année en fonction de la structure organisationnelle de l’établissement, et des méthodes de validation et d’adoption qui ont été choisies. Les activités suivantes font généralement partie du processus d’élaboration :

·a) étape 1 : engagement de la direction et création du comité de gouvernance;

·b) étape 2 : définition des objectifs;

·c) étape 3 : recensement des préoccupations;

·d) étape 4 : rédaction;

·e) étape 5 : analyse des impacts;

·f)étape 6 : validation;

·g) étape 7 : adoption par le conseil d’administration;

·h) étape 8 : diffusion et sensibilisation.

Étape 1 - Engagement de la direction et création du comité de gouvernance

Il est nécessaire pour une organisation d’identifier ses objectifs, sa stratégie et ses politiques en matière de sécurité de l’information. L’identification des principaux objectifs de la sécurité de l’information doit être faite à haut niveau dans une organisation. Ces objectifs en matière de sécurité de l’information doivent être alignés avec les objectifs d’affaires et la mission de l’organisation. À cette fin, il est recommandé de créer un comité de gouvernance de la sécurité de l’information.

Le comité devrait comprendre de quatre (4) à sept (7) membres. Ce comité devrait comprendre des directeurs et des officiers de l’organisation. Il devrait inclure :

un gestionnaire de haut niveau du comité exécutif de l’organisation;
un gestionnaire de haut niveau des services juridique, des services légaux, ou son équivalent dans l’organisation;
un gestionnaire de haut niveau du groupe ayant la responsabilité opérationnelle et budgétaire des technologies de l’information dans l’organisation;
un gestionnaire de haut niveau du groupe responsable de l’exécution de la mission principale de l’organisation.

Ce comité devrait avoir un mandat de la haute direction ou du conseil d’administration de l’organisation lui donnant l’autorité nécessaire pour exercer ses fonctions en matière de sécurité de l’information. Il sera responsable de la mise en œuvre de la politique que de sécurité. La première tâche du comité de gouvernance est de nommer un individu ou un groupe d’individus responsable de procéder à l’étape suivante, l’audit de la situation actuelle.

L’étape suivante vise à obtenir un mandat clair de la part de la haute direction pour développer la politique. Ce mandat devrait être discuté entre les membres de l’équipe qui sera chargé d’élaborer la politique et la direction. Les thèmes abordés lors de la définition du mandat devraient être notamment :

·i) les objectifs poursuivis par la direction en matière de sécurité de l’information. Par exemple : se conformer aux lois, assurer la sécurité des usagers, etc.;

·j) l'engagement de la haute direction à participer activement à l’exercice. Le support de la direction est particulièrement crucial lors des étapes de recensement des préoccupations, de validation et d’adoption;

·k) les ressources (humaines et financières) nécessaires à l’élaboration de la politique. Certaines personnes doivent être libérées partiellement ou entièrement de leurs tâches habituelles;

·l) les ressources (humaines et financières) nécessaires à la mise en place et au suivi de la politique dont les mesures de sensibilisation et de formation qui en découlent.

D’autres préoccupations d’ordre logistique devraient aussi être discutées, telles que les échéanciers et le calendrier de réalisation.

Nous recommandons à l’équipe de projet de documenter son mandat et d’élaborer une « fiche-mandat ». L’annexe B du guide PSI présente un exemple de fiche-mandat pouvant être utilisé.

Étape 2 - Définitions des objectifs

Nous proposons de démarrer avec un audit initial afin de déterminer la situation actuelle de l’organisation en matière de sécurité de l’information. Nous suggérons d’effectuer nu audit selon la méthodologie IVRI, tel que réalisé au CLSC dans le passé.

Le premier mandat du comité de gouvernance devrait être la définition des principaux objectifs en matière de sécurité de l’information. Afin d’exploiter des systèmes d’informations dit sécuritaires, une organisation doit d’abord décider ce qu’elle entend par sécuritaire. De même, afin de pouvoir gérer le risque l’organisation doit avoir une idée de ce quelle considère comme un risque acceptable. Il est nécessaire pour une organisation d’identifier à haut niveau ses objectifs, sa stratégie et ses politiques en matière de sécurité de l’information. Ces objectifs doivent être alignés sur les stratégies et les objectifs d’affaire de l’organisation, comme nous l’avons mentionné précédemment dans ce document. Cette notion d’alignement n’est pas traitée comme tel dans ce document, mais la notion d’alignement tel que proposé par Scott-Morton[3] est sous-jacente aux processus proposés. Ainsi les membres du comité de gouvernance devraient se familiariser avec ce concept.

Dès l’identification du comité de gouvernance de la sécurité de l’information, sa première tâche devrait être de procéder à l’identification des principaux objectifs de la sécurité de l’information. Ces objectifs en matière de sécurité de l’information doivent être alignés avec les objectifs d’affaires et la mission de l’organisation. Pour assister les membres du comité de gouvernance, nous avons identifié un certain nombre de questions auquel il pourra répondre, qui sont basés sur les principaux objectifs en matière de sécurité de l’information, que nous rappelons ici :

la confidentialité des données;
l’intégrité des données;
la disponibilité des données;
la non répudiation des transactions;
l’authentification des utilisateurs;
l’authentification de l’origine des données; et
le contrôle des accès.

Nous proposons aux membres du comité de gouvernance un ensemble de questions qui pourront servir de point de départ à la définition des objectifs en matière de sécurité de l’information. De plus nous proposons des pistes initiales de réponses, qui pourront aider les membres du comité dans leurs discussions.

Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quel est le niveau de confidentialité des données requis ?

La confidentialité identifie la sensibilité de l'information ou des biens à une divulgation non autorisée, évaluée à l'aide d'une cote de classification ou d'une désignation correspondant au niveau de dommage produit advenant une divulgation non autorisée. Dans un établissement du secteur de la santé au Québec, les besoins en matière de confidentialité sont dictés par le cadre légal. En particulier l’article 19 de la LSSS est assez spécifique sur les besoins en cette matière. Les impacts de divulgation de renseignements confidentiels ou nominatifs pourront avoir des impacts sur la crédibilité de l’établissement et de ses dirigeants vis-è-vis de ses bénéficiaires et des organismes ou établissements partenaires. Un employé ayant siamment divulgué des renseignements devrait être sujet à une procédure d’enquête et è des mesures disciplinaires appropriés par l’établissement ou par le syndic de son ordre professionnel, selon les cas.

Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quel est le niveau d’intégrité des données requis ?

Le fait que le niveau d’intégrité soit connu et démontrable pourra être ulile lors de transactions entre les établissements, par exemple dans un contexte de resserrements au sein du réseau, tel qu’il semble être proposé par le Ministre Couillard.

Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quelles sont les attentes de l’organisation en matière de disponibilité des données?

La disponibilité est l'accessibilité d’un système d’informations ou des données qu ‘il contient, au moment opportun, pour exécuter certains processus. Encore ici, les impacts graves de la non disponibilité pour un patient peuvent être cités à titre d’exemple. Ainsi selon le type d’établissement et les services offerts, les besoins en matière de disponibilité pouront varier.

Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quels sont les besoins de l’organisation en matière de non répudiation des transactions ?

Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quels sont les besoins de l’organisation en matière d’authentification des utilisateurs ?

Les trois catégories principales d’authentification d’un utilisateur sont :

l’authentification d’une information connue de l’utilisateur légitime (eg. un mot de passe);
l’authentification d’un objet détenu par l’utilisateur légitime (eg. une carte à puce);
l’authentification d’un caractéristique distincte de l’utilisateur lui-même (eg. biométrie, empreintes digitales).

De façon générale une authentification à un seul facteur,, l’authentification d’une information connue de l’utilisateur légitime (eg. Un mot de passe), est considéré comme suffisante. Cependant pour qu’elle soit utilisée correctement, l’authentification de ce type devrait utiliser un compte d’utilisateur unique, directement attribuable à un membre du personnel de l’établissement. Ainsi, les comptes partagés ne devraient pas être utilisés.

Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quels sont les besoins de l’organisation en matière d’authentification de l’origine des données ?

L’authentification de l’origine des données définit des mécanismes et des processus qui sont utilisés pour identifier, avec un niveau de certitude déterminé, la source d’une donnée stockée dans un système d’information. Ici encore, les besoins principaux sont liés au respect de la Loi sur l’accès. Les systèmes et les logiciels devraient inclurent des contrôles sur l’authentification de l’origine des données et journaliser les transactions.

Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quels sont les besoins de l’organisation en matière de contrôle des accès ?

Le contrôle des accès comprend l’ensemble des mécanismes de contrôle et de journalisation (log) de l’utilisation d’un système d’information ou des données qu’il contient. Le contrôle des accès est fondamental à divers niveaux. Comment s’assurer de la juste utilisation des données, par exemple, si l’on n’est pas en mesure d’en contrôler l’accès. Dans ce cas, des contrôles dans les équipements de télécommunications (eg. Routers et firewall) devrait limiter l’accès aux systèmes d’informations locaux ou dûements autorisés. Les systèmes et les logiciels devraient inclurent des contrôles d’accès et journaliser ceux-ci.

Après avoir identifié les réponses à ces questions, le comité devrait préparer un document d’orientation pour l’organisation. Ce document de quelques pages devrait identifier les objectifs et les stratégies en matière de sécurité de l’information. Bien qu’il s’agisse d’un document sommaire, l’organisation qui souhaitera aller dans un plus grand niveau de détail devrait effectuer des recherches, par exemple sur Internet, où elle trouvera beaucoup de documents sur le sujet. De plus un conseiller externe en sécurité de l’information pourra assister l’organisation et ainsi accélérer le processus. Le document produit devrait identifier et mandater le comité de gestion de la sécurité de l’information.

Étape 3 - Recensement des préoccupations

L’étape de recensement des préoccupations est fondamentale et devra être menée avec minutie. L’objectif de l’activité est de faire ressortir les préoccupations des principaux intervenants de l’établissement. Pour ce faire, l’équipe de projet peut utiliser les techniques suivantes :

·m) l’entrevue personnalisée (un à un);

·n) l’atelier en groupe de travail.

Peu importe la méthode utilisée, l’objectif demeure la collecte des préoccupations des intervenants. La liste ci-dessous présente une liste d’intervenants qui, en plus des membres du comité de sécurité provisoire présentés à la section 4.2 Composition de l'équipe de projet, pourraient être consultés. Cette liste n’est pas exhaustive et devra être adaptée pour chaque établissement :

·o) le dirigeant de l’établissement;

·p) un représentant du service du contentieux;

·q) un représentant du service des ressources humaines;

·r)un responsable du département de gestion des technologies;

·s) un responsable des ressources matérielles;

·t) un représentant du comité des utilisateurs;

·u) la Direction des services professionnels (DSP) et la Direction des soins infirmiers (DSI).

Nous recommandons de colliger et de documenter les préoccupations qui auront été communiquées à l’équipe de projet (voir Annexe D). Ces préoccupations devront être adressées lors de la phase de rédaction.

Étape 4 - Rédaction

L’étape de rédaction consiste à reprendre chacune des préoccupations identifiées à l’étape précédente et à les adresser sous la forme d’une politique. À cet effet, nous présentons à la section 5 Éléments d’une politique de sécurité de l’information un modèle de structure, de même que les différentes sections qui forment une politique de sécurité.

D’un point de vue technique, il est recommandé que l’équipe de projet délègue la rédaction de la politique à une seule personne ou à une équipe restreinte. Dans ce dernier cas, des sections distinctes devraient être attribuées à chacun des membres de l’équipe de rédaction.

En matière de style, il est recommandé d’utiliser un style directif et précis laissant peu de place à l’interprétation. Les deux exemples ci-bas illustrent nos propos. Le premier utilise un style qui permet une certaine interprétation (inadéquat) par opposition au deuxième, qui lui, est directif (adéquat). Introduire des règles d’écriture ex. opté pour des phrases affirmatives plutôt que négative, employer « doit » pour une obligation.etc.

Exemple 1 (inadéquat) : L’établissement devrait limiter l’accès aux renseignements confidentiels. Lesdits renseignements ne devraient être accessibles que pour l’exercice des fonctions des personnes dont les tâches l’exigent et qui détiennent un privilège d’accès approprié.

Exemple 1 (adéquat) : L’établissement doit limiter l’accès aux renseignements confidentiels. Lesdits renseignements ne seront accessibles que pour l’exercice des fonctions des seules personnes dont les tâches l’exigent et qui détiennent un privilège d’accès approprié.

Exemple 2 (inadéquat) : L’accès aux renseignements personnels est réservé exclusivement au personnel clinique.

Exemple 2 (adéquat) : L’accès aux renseignements personnels est réservé exclusivement au personnel dûment autorisé à y accéder.

La politique pourrait connaître plusieurs itérations et il n’est pas rare que certaines équipe de rédaction mandate une personne afin d’effectuer l’édition finale du texte. Cette pratique offre l’avantage d’assurer une certaine consistance en matière de style de rédaction tout en conservant les avantages que procure le travail d’équipe.

Étape 5 - Analyse des impacts[4]

L’analyse des impacts a pour objectif d'informer les décideurs (le conseil d'administration) sur les conséquences reliées à la mise en œuvre de la politique suite à son adoption. L’analyse des impacts devrait s’articuler autour des cinq dimensions suivantes :

·v) les impacts organisationnels (ex. : rôles et responsabilités, pratique professionnelle, processus de travail, attitude du personnel);

·w) les impacts juridiques (ex. : relations de travail, contrats et ententes);

·x) les impacts humains (ex. : contrainte de temps et méthodes);

·y) les impacts financiers (ex. : investissement en systèmes d’information versus investissements en sécurité);

·z) les impacts technologiques (coûts additionnels).

Chacune des prescriptions de la politique devrait être analysée en fonction des cinq dimensions afin d’identifier les problèmes qui pourraient en découler et les actions nécessaires à leur résolution. L’annexe E présente un exemple d’exercice d’analyse des impacts de la politique.

Étape 6 - Validation

L’étape de validation est cruciale et doit se faire auprès d’un groupe d’utilisateurs comportant des représentants de tous les secteurs d’activités concernés comme ce fût le cas pour l'étape 3 Recensement des préoccupations (appelé « Groupe de validation » ci-après). Idéalement, la validation devrait être effectuée auprès des mêmes personnes consultées à l'étape 3.

L’étape de la validation est intimement liée à l’analyse des impacts. L’objectif de cette étape est de revoir le projet de politique et les impacts identifiés précédemment. Cette étape est nécessaire afin d’obtenir l’assurance que le projet de politique est bien compris par le groupe de validation et que les impacts qu’aura la mise en œuvre de la politique sont acceptables.

Étape 7 - Adoption

L’étape de validation permet de s’assurer de l’atteinte d’un consensus au sein du groupe de validation sans quoi la politique risque de faire face à une certaine résistance lors de son déploiement.

Une fois le projet de politique et ses impacts analysés et validés, le projet devrait être approuvé de manière préliminaire par le comité de sécurité provisoire et déposé au plus haut dirigeant de l’établissement en vue de son adoption finale par le conseil d'administration.

Cette adoption par la plus haute instance de l’établissement est primordiale (voir les rôles et responsabilité du Cadre Global p. 15 art 2.1) puisqu’elle indique clairement l’importance qu’accorde la direction aux enjeux de sécurité de l’information et à la politique.

Étape 8 - Diffusion et sensibilisation

Cette dernière étape est la première concrétisation du processus et a pour objectif de diffuser et d’expliquer les obligations prévues à la politique à l’ensemble du personnel de l'établissement. Bien que certains membres du personnel ne soient pas appelés à utiliser l'information dans le cadre de ses fonctions, il est important de les informer des aspects de la politique qui sont susceptibles de les concerner. Cette étape est cruciale car, comme nous l’avons indiqué à la section 4.1 sur les facteurs clés de réussite, la compréhension et l’adhésion du personnel sont les principales causes de succès ou d’échec d’une politique. Il est important à cette étape de bien s’assurer que les membres du personnel comprennent la politique et y souscrivent. Pour ce faire, nous suggérons les activités suivantes :

·aa) Publication de la politique en format papier et distribution par courrier interne à tous les employés. La politique pourrait être accompagnée d’une lettre d’introduction signée par le plus haut dirigeant de l’établissement.

·bb) Atelier de formation.

·cc) Diffusion de sessions de formation. Il faut prévoir une activité d'une durée minimale de deux heures et des groupes d'une quinzaine de personnes pour celles qui utilisent l'informatique ou qui peuvent être directement en contact avec les systèmes d’information.

·dd) Au terme de l'activité de formation, certaines organisations distribuent, avec la politique, un formulaire attestant que l’employé a lu cette dernière et accepte de s’y conformer. Le formulaire doit être retourné signé par l’employé[5].

·ee) Envoi d’un courrier électronique rappelant la publication de la politique.

·ff) Publication de la politique sur le site intranet de l’organisation.

·gg) Publication d’articles dans le journal interne de l’établissement.

·hh) Formation continue, etc.

Rappel de l'existence de la politique

Il est impératif que les efforts de sensibilisation et de formation soient récurrents selon une fréquence adéquate. Plusieurs organisations optent pour des efforts mensuels, tels qu’un rappel dans le journal des employés ou autre publication interne et un rappel semi-annuel prenant la forme d’une séance de formation formelle.

Accueil des nouveaux employés

La séance d’accueil d’un nouvel employé représente une occasion privilégiée de présenter la politique de sécurité de l’information. En effet, il est recommandé que, lors de la séance d’accueil, la direction des Ressources humaines présente la politique de sécurité de l’information au nouvel employé et offre une séance de formation. Cette séance a généralement pour objectif d’introduire la politique à l’employé et de répondre aux questions de ce dernier.

Éléments de la politique

La politique de sécurité de l’information devrait comprendre les éléments minimaux suivants :

Au minimum, la politique doit :

mettre en évidence la valeur de l'information et la mesure dans laquelle on en a besoin, ainsi que l'importance de la sécurité de l'information pour l'organisation;
identifier les exigences minimales au plan de la conformité et des règlements en matière de sécurité. Cette étape inclut des éléments tels la politique de gestion des risques, la classification et l'étiquetage d'information, la sécurité du personnel et matérielle, les exigences juridiques et contractuelles, l'élaboration et le fonctionnement des systèmes, la planification de la poursuite des activités, la production de rapports sur les incidents et les exigences d'intervention, l'application de mesures en cas de violation et la sensibilisation à la sécurité et la formation;
tenir compte de tout système d'information critique ou des exigences pertinentes.

Identifier les besoins en matière de sécurité de l’information développée en fonction des sept objectifs mentionnés précédemment;
assigner les rôles et les responsabilités en matière de sécurité de l’information et la distribution des responsabilités dans la structure organisationnelle;
inclure la sécurité de l’information dans le développement de systèmes d’information et dans les processus de mise en place ou d’achats de systèmes d’information;
Définir les règles et les procédures en matière de sécurité de l’information;
Définir les procédures pour l’identification de la nature sensible et la classification de l’information;
Identifier la stratégie de gestion du risque;
Définir les besoins en matière de continuité des affaires;
Définir des normes de gestion des ressources humaines;
Prévoir des plans de sensibilisation des employés et de formation continue en matière de sécurité de l’information;
Encadrer les obligations légales;
Identifier les règles de la gestion de l’impartition et des tiers; et
Définir la stratégie de gestion des incidents.

Meilleures pratiques

L’utilisation des meilleures pratiques (Best practices) constitue une excellente source d’information qui pourra guider l’organisation dans la définition de politiques de sécurité. Tous les contrôles ne sont pas applicables pour chaque situation, certaines situations justifient l'élaboration de contrôles spéciaux. Les normes et les meilleures pratiques en matière de sécurité sont définies dans plusieurs documents, dont certains sont mentionnés ici :

"Guidelines for the Management of IT Security", ISO/IEC TR 13335, 1997 (Part 1- Concepts and Models for IT Security, Part 2 – Management and Planning IT Security, Part 3 – Techniques for the Management of IT Security, Part 4 – Selection of Safeguards)
"Guidelines for the Security of Information" - Organization for Economic Cooperation and Development, Paris: OCDE, 1992 - dernière mise à jour 1997
"Generally Accepted System Security Principles – Pervasive Principles", International Information Security Foundation, California: Auerbach Publications – Information Systems Security, 1999.
"Managing Security of Information" an International Information Technology Guideline, By the International Federation of Accountants Information Technology Committee, New York, NY. 1998
"Practices for Securing Critical Information Assets", Critical Infrastructure Assurance Office, January 2000
"Guide for Developing Security Plans for Information Technology Systems", NIST Computer Security Online Special Publications
"Information Security Management - Practices of Leading Organizations", US General Accounting Office - Executive Guide

En dépit d'un environnement de sécurité en constante évolution, l'objectif de la sécurité de l'information est essentiellement demeuré le même, c'est-à-dire la protection attentive des fonds de renseignements grâce à des politiques, normes et meilleures pratiques permettant la mise en œuvre d'une norme adéquate de soins appropriés. Cette approche n'est pas différente de celle qu'utilise le gouvernement pour prévenir les autres risques.

Créé en avril 2001, l’Internet Security Alliance (ISA) est un regroupement collaboratif du Carnegie Mellon University Software Engineering Institue, du CERT/CC, de l’Electronic Industries Alliance, d’associations de manufacturiers, du secteur public et de membres privés. Le Best Practices Working Group, de l’Internet Security Alliance a effectué en 2002 une étude afin d’identifier les dix plus hautes priorités et les pratiques de sécurités recommandées. Ces recommandations concordent avec celles de nombreuses autres best practices en matière de sécurité de l’information. Nous en reprenons ici les principales recommandations.

Gestion

Les gestionnaires de l’organisation devraient considérer la sécurité de l’information comme partie de leurs responsabilités et de la responsabilité de tous les employés.

Politiques

L’organisation devrait développer, réviser et forcer le respect de politiques de sécurité de l’information qui correspondent aux objectifs d’affaires de l’organisation.

Gestion du risque

L’organisation devrait effectuer à intervalles réguliers une évaluation des risques pour les éléments critiques de son infrastructure. Cette évaluation devrait identifier les éléments critiques, évaluer les menaces, évaluer les vulnérabilités et identifier le niveau de risque.

Architecture de sécurité

L’organisation devrait mettre en place et maintenir une infrastructure de gestion de la sécurité de l’information. Cette infrastructure de sécurité devrait se référer aux objectifs d’affaires de l’organisation et protéger les éléments critiques.

Responsabilisation et formation des utilisateurs

L’organisation devrait définir des politiques et des procédures ainsi que mettre en place des systèmes de contrôle afin de responsabiliser les utilisateurs vis-à-vis leur rôle en matière de sécurité de l’information.

Niveau d’expertise des utilisateurs

L’organisation devrait s’assurer que ses utilisateurs possèdent un niveau d’expertise suffisant sur les technologies en place.

Contrôle des accès

L’organisation devrait mettre en place des mesures de contrôle des accès aux systèmes d’information.

Intégrité des applications

L’organisation devrait vérifier à intervalles réguliers l’intégrité des logiciels installés. L’organisation devrait activement rechercher les virus, chevaux de Troie, logiciels malicieux ou non autorisés sur ses systèmes d’information.

Sécurité des configurations des actifs

L’organisation devrait avoir en place des processus et des mécanismes pour s’assurer de la configuration sécuritaire de tout ses systèmes d’information Durant toute leur cycle de vie. L’organisation devrait avoir en place des processus pour la mise en production de correctifs aux configurations. Elle devrait mettre en place des normes pour la configuration de nouveaux systèmes d’information e de postes de travail.

L’organisation devrait mettre en place un processus d’analyse des vulnérabilités et de prise en compte des extrants de ces analyses.

Gestion des systèmes d’information et des réseaux

L’organisation devrait mettre en place et tester une infrastructure de copies de sauvegardes des logiciels et des données qu’ils contiennent.

Authentification et autorisation des utilisateurs

L’organisation devrait mettre en place et maintenir une infrastructure de gestion et de journalisation des accès par les utilisateurs dûment autorisés.

Authentification et autorisation des utilisateurs

L’organisation devrait mettre en place et maintenir une infrastructure de gestion et de journalisation des accès par les utilisateurs externes (consultants, fournisseurs de services) dûment autorisés.

Surveillance et vérification

L’organisation devrait mettre en place des systèmes et des processus de gestion, de vérification et d’inspection de son infrastructure. Les processus devraient identifier les actions à prendre en cas d’incidents.

Sécurité physique

L’organisation devrait contrôler l’accès physique aux systèmes d’informations et aux éléments d’infrastructure technologiques.

Gestion de la capacité et continuité des affaires

L’organisation devrait développer un plan de continuité des affaires en cas d’incident et les tester.

Structure de la politique

Le modèle de politique de sécurité proposé dans le guide PSI s’articule autour des six grandes sections suivantes :

·ii) contexte;

·jj) objectifs;

·kk) respect de la politique;

·ll) portée;

·mm) principes directeurs;

·nn) rôles et responsabilités.

Section Contexte

L’objectif de cette première section est de positionner le contexte de la politique. La section, que l’on présente parfois sous l’appellation « préambule[6] », vise à identifier les éléments de haut niveau ayant donné naissance au besoin d’élaborer une politique. Généralement, les éléments du contexte proviennent des orientations gouvernementales, telles que la prestation électronique de service (PES), les lois, directives et encadrement notamment le Cadre global et autres éléments du contexte sociétal ou administratif.

Section Objectifs

La section « Objectif » a pour but d’exprimer les objectifs de l’établissement en matière de sécurité de l’information. Les objectifs de la politique doivent permettre au lecteur de rapidement saisir les intentions de l’établissement en matière de sécurité de l’information.

Section Respect de la politique

L’objet de cette section est de préciser qui est responsable de l’application de la politique. La section indique aussi le processus disciplinaire en cas de non-respect de la politique.

Section Portée

La section « Portée » est très importante puisqu’elle définit le champ d’application de la politique. La portée comporte généralement trois dimensions :

·oo) les personnes visées par la politique;

·pp) les actifs visés par la politique; et

·qq) les activités encadrées par la politique.

Section Principes directeurs

La section « Principes directeurs » est le cœur de la politique. L’objectif de cette section est d’énoncer les grands principes que l’établissement se donne en matière de gestion de la sécurité de l’information.

Certains auteurs utilisent l’appellation « Énoncés généraux ». Les deux appellations nous semblent appropriées.

Section Rôles et responsabilités

C'est dans cette section de la politique que les rôles et responsabilités de chacun des intervenants concernés sont définis.

Normes

Des recherches ont démontré que l’utilisation de standards nationaux ou internationaux, tels que ISO17799:2000(E), BS7799 et AS/NZCS 4444[7] permet d’aider les organisations du secteur de la santé à mettre en place et maintenir un niveau de sécurité acceptable [Janczewski, 2002][Barber, 1998]. Plusieurs services de santé nationaux ont en place des standards nationaux ou utilisent des standards internationaux. Parmi ceux-ci, le Royaume Unis et plusieurs pays de la Communauté Européenne, l’Australie et la Nouvelle-Zélande [Barber, 1998].

Il existe d’autres normes internationales relatives à la sécurité de l’information, nous en mentionnons ici deux :

ISO/IEC 13335-3, Information technology - Security techniques – Guidelines for the management of IT Security (GMITS) – Part 3: Techniques for management of IT Security
ISO/IEC WD18045 Information Technology – Security techniques – Methodology for IT security evaluation (Working document).

Obligations légales

De façon générale l’ensemble des systèmes d’informations du RSSS sont soumis aux dispositions légales qui s'appliquent aux centres hospitaliers, CLSC, régies régionales, à la RAMQ et au MSSS. Ces dispositions légales sont un élément déterminant dans tout processus d’analyse de la sécurité de l’information d’un système d’information dans le secteur de la santé au Québec. Décrit en détail dans les documents officiels de la Commission d’accès à l’information du Québec, nous identifions ici les principales lois qui trouvent une application :

La Charte des droits et libertés de la personne (L.R.Q. chapitre C-12)
Charte canadienne des droits et libertés (1982, c. 11)
Le Code civil du Québec
La Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l'accès, L.R.Q., chapitre A-2.1)
La Loi sur les services de santé et les services sociaux (LSSSS, L.R.Q., chapitre S-4.2)
La Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le secteur privé, L.R.Q., chapitre P-39.1)
La Loi médicale, (L.R.Q., chapitre M-9)
La Loi concernant le cadre juridique des technologies de l'information (L.Q., 2001, chapitre 32)
Le Code des professions (L.R.Q., chapitre C-26) et les lois professionnelles
Les codes de déontologie d'ordres professionnels oeuvrant dans le secteur de la santé
Le Cadre global sur la sécurité des actifs informationnels du réseau de la santé et des services sociaux – Volet sur la sécurité (ministère de la Santé et des services sociaux , septembre 2002)
Architecture gouvernementale de la sécurité de l’information (septembre 2001)
Directive sur la sécurité de l’information et des échanges électroniques dans l’administration gouvernementale (février 2000)
Directive sur le traitement et la destruction de tout renseignement, registre, donnée, logiciel, système d’exploitation ou autre bien protégé par un droit d’auteur, emmagasiné sur un équipement micro-informatique ou un support amovible (octobre 1999)
Loi sur les archives (L.R.Q., ch. A-21.1)
Loi sur l’accès aux documents des établissements publics et sur la protection des renseignements personnels (L.R.Q., ch. A-2.1)
Loi sur l’administration publique (PL 82)
Loi concernant le cadre juridique des technologies de l’information (PL 161)
Certains articles du code criminel du Canada (C.C.C)
Loi sur la protection des renseignements personnels et les documents électroniques (C-6)
Loi canadienne sur le droit d’auteur (L.R. 1985, ch. C-42)
Loi sur la propriété intellectuelle et les marques de commerce (L.R. 1985 ch. T-13)
Normes en matière d’acquisition, d’utilisation et de gestion des droits d’auteur des documents détenus par le gouvernement et les ministères et établissements désignés (novembre 2000)

Comme le dit [Boudreau, 2001] :

Du serment d'Hippocrate à la LSSSS, la sensibilité des renseignements relatifs à la santé a toujours été largement reconnue et les règles de confidentialité ajustées en conséquence. […] Or, jusqu'à preuve du contraire, l'article 19 de la LSSSS trace clairement la conduite à suivre : les renseignements contenus dans le dossier d'un usager sont confidentiels et ils ne peuvent être communiqués qu'avec le consentement de cet usager ou si l'une des exceptions de la LSSSS trouve application.

Bien qu’il soit clair que les renseignements nominatifs ou les dossiers cliniques de bénéficiaires sont confidentiels (Loi sur l'accès, L.R.Q., chapitre A-2.1, Art. 53) c’est plus difficile de déterminer le niveau de sensibilité de certains systèmes d’informations utilisé dans les établissements. Des renseignements tels le nom, le titre, la fonction, l'adresse et le numéro de téléphone du lieu de travail et la classification, y compris l'échelle de traitement rattachée à cette classification, d'un membre du personnel d'un organisme public sont des renseignements à caractère public. Cependant ces renseignements publics ne peuvent avoir pour effet de révéler le traitement d'un membre du personnel d'un organisme public (Loi sur l'accès, L.R.Q., chapitre A-2.1, Art. 57). Cette information est confidentielle. Les informations sur les actifs du RSSS ou des systèmes d’informations de gestion nécessite une analyse détaillée pour déterminer le niveau de sécurité de l’information qui doit y être appliqué.

L’ensemble de ces obligations se reflète dans les règles de gestion et les politiques émises par le MSSS. Nous identifions en particulier celles-ci :

· GUIDE EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS LE DÉVELOPPEMENT DES SYSTÈMES D'INFORMATION À L'INTENTION DES MINISTÈRES ET ORGANISMES PUBLICS, VERSION 1.0, 20 DÉCEMBRE 2002

· Mesures en matière de sécurité des actifs informationnels, MSSS 2002

· Répertoire des procédures optionnelles en matière de sécurité des actifs informationnels, MSSS 2002

Informatique de la santé

Comme nous le confirme des recherches, la mise en place d’une infrastructure sécuritaire est essentielle pour l’acceptation des technologies de l’information par les usagers du réseau de la santé. La protection des renseignements médicaux est un point particulièrement émotif pour ces bénéficiaires. Le projet européen AIM/SEISMED[8] a identifié les principaux enjeux de la sécurité de l’information dans le secteur de la santé :

L’identification de lignes directrices afin de maintenir un niveau de sécurité consistant dans l’ensemble des partenaires de la santé;
La reconnaissance par les professionnels de la santé de l’importance de la sécurité de l’information, des impacts de l’absence de sécurité et de l’importance de considérer des mesures de protection adéquates;
L’identification de preuves servant à démontrer le niveau de sécurité de l’information;
La mise en place de standards pratiques et acceptés de tous qui permettra aux gestionnaires du secteur de la santé d’améliorer le niveau de sécurité de l’information.

Nos observations indiquent que ces enjeux sont assez près de ceux de l’ensemble des établissements du secteur de la santé au Québec.

Tel que décrit sur le site Internet du RTSS[9], plusieurs aspects de la sécurité de l’information ont été pris en compte dans le cadre de sa mise en oeuvre. En tant que fournisseur de l’infrastructure de télécommunication, le Groupe des Télécommunications du Québec (GTQ) a pris en charge le réseau virtuel privé. Tous les autres aspects de la sécurité sont délégués aux acteurs du secteur socio sanitaire. L’orientation du MSSS à ce propos rend le secteur socio sanitaire autonome dans sa gestion de la sécurité [MSSS, 2003]. La mise en place de structures pour traiter des autres aspects de la sécurité est démarrée depuis peu.

Liste des activités requises pour la mise en place du Cadre Global

Cette section du document comporte une analyse effectuée afin de déterminer les livrables et les activités associées à la mise en place du Cadre Global dans les établissements du RSSS. Il examine aussi l’alignement stratégique des solutions de Fortier Communications avec les besoins des établissements de la santé au Québec. Comme nous croyons que les résultats de notre analyse peuvent intéresser les établissements de la santé du Québec, nous comptons distribuer ce document à ces derniers. Le lecteur devra considérer qu’il n’a pas été créé à la demande du MSSS. L’analyse comporte aussi un alignement avec la norme de sécurité de l’information ISO/EIC 17799(E) :2000. Notre analyse démontre que le Cadre Global s’aligne naturellement sur la norme ISO et en couvre presque tout les points. Nous croyons que cette norme internationale qui est utilisée dans les secteurs de la santé au Royaume-Uni, en Australie, en Nouvelle Zélande et dans des pays scandinaves, pourrait servir de modèle à une politique nationale en profitant d’un processus de standardisation international. Comme bénéfice additionnel l’implantation de la norme ISO pourra permettre au Québec le développement d’une expertise qui est en demande internationalement. Cette expertise serait aussi transférable dans d’autres ministères et dans le secteur privé.

Mettre en place une politique d’établissement en matière de sécurité de l’information.

La première étape dans la mise en œuvre du Cadre Global est la définition des objectifs et la création d’une politique d’établissement. Nous croyons que c’est à haut niveau dans l’organisation et avec le support du conseil d’administration et de la direction générale de l’établissement que ce document doit être généré. La meilleure solution à cet égard passe probablement par l’adaptation de politiques de sécurité déjà utilisées par des établissements du RSSS. Un consultant externe, comme Fortier Communications, pourra guider l’établissement et accélérer le processus tout en assurant que l’ensemble des obligations légales et des besoins du Cadre Global soient pris en considération.

Définir dans un document les rôles et responsabilités en matière de sécurité de l’information

En se basant sur la politique d’établissement en matière de sécurité de l’information, ce document définira les différents rôles et responsabilités des employés. Entre autre elle comprendra des mesures disciplinaires qui pourraient résulter du non respect de la politique. Le développement de ce document devrait se faire en concertation avec les différentes parties prenantes de l’organisation.

Créer un comité de protection des renseignements personnels.

Nous suggérons la création d’un comité de gouvernance de la sécurité de l’information d’établissement. Le comité devrait comprendre de quatre (4) à sept (7) membres. Ce comité devrait comprendre des directeurs et des officiers de l’organisation. Il devrait inclure :

un gestionnaire de haut niveau du comité exécutif de l’organisation (DG);
un gestionnaire de haut niveau des services juridique, des services légaux, ou son équivalent dans l’organisation;
un gestionnaire de haut niveau du groupe ayant la responsabilité opérationnelle et budgétaire des technologies de l’information dans l’organisation (DRFMI);
un gestionnaire de haut niveau du groupe responsable de l’exécution de la mission principale de l’organisation (DSP).

Dès l’identification du comité de gouvernance de la sécurité de l’information, celui-ci devrait procéder à l’identification des principaux objectifs de la sécurité de l’information. Ces objectifs en matière de sécurité de l’information doivent être alignés avec les objectifs d’affaires et la mission de l’organisation. Ce sont ces objectifs qui serviront à l’élaboration des politiques et des procédures en matière de sécurité de l’information.

Créer un comité de sécurité de l’information d’établissement.

Nous suggérons la création d’un comité de sécurité de l’information. Ce comité aura la responsabilité de l’exécution et du suivi de la sécurité de l’information dans l’établissement. Il sera guidé par la politique d’établissement, par les obligations légales et par les directives du comité de gouvernance à qui il fera rapport. Le comité devrait comprendre de quatre (4) à sept (7) membres. Ce comité devrait comprendre :

le coordonnateur de la sécurité de l’information;
un représentant du groupe ayant la responsabilité opérationnelle et budgétaire des technologies de l’information dans l’organisation (DRFMI);
un représentant des groupes responsables de l’exécution de la mission principale de l’organisation (DSP);

· un représentant du service des ressources humaines (DRH); et

un conseiller juridique ou un cadre de l’organisation ayant des responsabilités en relation au contentieux (pourrait être le représentant du DRFMI).

Établir un plan d’action

Ce plan d’action sera appelé à devenir le plan de projet pour la mise en place de la sécurité de l’information dans l’établissement.

Mettre en place un programme continu de sensibilisation et de formation du personnel en matière de sécurité de l’information.

Nous pouvons vous assister dans la rédaction de cette politique. Nous pouvons aussi organiser différents cours. Entre autre, Fortier Communications offre une formation d’un jour en sécurité de l’information destinée au personnel ou à la direction d’un établissement.

Définir un guide d’établissement pour la classification des données.

Ici encore nous pouvons assister l’établissement par les services conseils de Fortier Communications.

Définir les mécanismes d'identification et d'autorisation.

Nous pouvons aider les établissements à déterminer leurs besoins. Cependant sur ce point nous croyons qu’il serait intéressant qu’une politique nationale soit développée et appuyée par des outils centralisés. Dans le contexte de développement de nouvelles solutions dans le cadre du gouvernement en ligne et avec l’arrivé de nouveau services comme la carte à puce, une solution d’authentification centralisée (nationale ou régionale) offrirait le maximum de bénéfices.

Mettre en place un formulaire pour l’accès aux données sensible.

L’établissement pourrait adapter un formulaire déjà créé par un établissement du RSSS.

Mettre en place un processus d’analyse des menaces et des risques.

Fortier Communications a une méthodologie qui est adaptée aux besoins du RSSS. De plus elle a été adaptée pour tenir compte du Cadre Global et des besoins identifiés dans ce document.

Produire un inventaire des actifs informationnels

Il y a dans le réseau des progiciels qui peuvent aider l’établissement dans la tenue de l’inventaire. Nous pouvons aider les établissements à déterminer leurs besoins et à classifier les actifs informationnels avec notre méthodologie. Nous avons développé des formulaires et des outils pour accélérer cette étape.

Produire une analyse des menaces et des risques pour tous les actifs informationnels de l’établissement.

C’est probablement la tâche qui demandera le plus de ressources d’un établissement. Adéquatement effectuer une analyse de menaces et de risques pourra exiger plusieurs heures de travail par système d’information ou actif informationnel analysé. Cependant une équipe expérimentée arrivera à des économies de temps. Fortier Communications a des outils et une méthodologie pour réaliser des analyses de menaces et de risque. Nous pouvons agir comme facilitateur du processus, tout en effectuant un transfert de connaissances vers l’organisation. Éventuellement les praticiens de l’organisation développeront les habilités nécessaires.

Mettre en place un processus formel de gestion des incidents en matière de sécurité de l’information.

Nous suggérons qu’une avenue possible est la création d’un groupe d’intervention au niveau du TCR qui pourra travailler avec les établissements et des ressources externes pour gérer des incidents et effectuer les enquêtes au besoin. Fortier Communications est en mesure d’assister les établissements en offrant des servies ponctuels de résolution d’incident en collaboration avec les praticiens ou les consultants en place.

Mettre en place un plan de reprise après sinistre

Il est préférable de procéder à cette étape lorsque les analyses de menaces et de risque sont complétées pour les systèmes d’information critiques. Fortier Communications a des outils et une méthodologie pour réaliser un plan de reprise après sinistre. Nous pouvons agir comme facilitateur du processus, tout en effectuant un transfert de connaissances vers l’organisation.

Mettre en place un processus d'escalade en cas d'attaque

Devrait être effectué lors de la mise en place du plan de reprise après sinistre.

Établir le calendrier des tâches assurées par le service de l'exploitation informatique quant à l'installation, à l'entretien et à la mise à jour de chaque logiciel et application

Nous pouvons assister l’organisation par des services conseils en cette matière. Pour la plupart des établissements, il s’agit principalement de documenter des processus déjà en place avec l’aide de ses fournisseurs actuels.

Définir un plan de sauvegarde et de récupération des informations

Nous pouvons assister l’organisation par des services conseils en cette matière. Pour la plupart des établissements, il s’agit principalement de documenter des processus informels déjà en place et y ajouter certains processus complémentaires, comme l’utilisation de stockage hors site.

Mettre en place un calendrier de conservation de la journalisation

Mettre en place un processus de vérifications et d’audits.

À cet effet nous proposons le système de détection d’intrusions réseau comme outils de vérification en continu du réseau. Combiné à un système de détection sur les principaux serveurs de l’organisation, ils détectent les tentatives de non-respect des politiques de l’organisation. De plus l’utilisation mensuelle d’un système d’analyse de vulnérabilités produira des rapports des vulnérabilités technologiques présentes dans l’établissement. Ces outils pourront être utilisés pour faciliter les processus de vérification et d’audit. Fortier Communications offre aussi des services d’audit et de vérification à forfait ou à tarif horaire.

Produire (annuellement, et au besoin) les bilans et les rapports relatifs à la sécurité.

L’utilisation d’outils de gestion de la sécurité de l’information, tel que proposé par Fortier Communications, permet d’automatiser une partie de ces tâches. L’analyse par nos spécialistes amènera une valeur ajoutée significative et facilitera l’identification de mesures correctrices au besoin.

Produire des bilans périodiques portant sur les menaces ainsi que sur les mesures en place et celles qui sont prévues.

L’utilisation mensuelle d’un système d’analyse de vulnérabilités et l’utilisation des autres fonctions offertes par les solutions de Fortier Communications produiront des alertes et des rapports des vulnérabilités technologiques présentes dans l’établissement. Ces outils pourront être utilisés pour faciliter les processus de vérification et d’audit. L’utilisation d’outils de gestion de la sécurité de l’information, tel que proposé par Fortier Communications, permet d’automatiser une partie de ces tâches.

Mettre en place des procédures ou des mécanismes de protection contre l'utilisation non autorisée et le vol des équipements.

L’utilisation d’outils de gestion de la sécurité de l’information, tel que proposé par Fortier Communications, permet d’automatiser une partie de ces processus.

registre des incidents et registre historique des événements/sinistres ;
registre des autorités ;
registre des privilèges d'accès ;
registre de l’entretient des équipements ;
registre des accès aux locaux et registre des clés ;

registre des entrées et des sorties.
Obligations de la gestion d’un établissement

Description	Qui	Item	Correspondance ISO/EIC 17799 :2000(E)	Remarques
Le conseil d’administration doit adopter une résolution qui démontre que l’établissement adhère aux exigences minimales en matière de sécurité pour le raccordement au RTSS et s’engage à les respecter.	Conseil d’administration d’établissement	Exigence 1		A été fait lors de l’intégration au RTSS.
L’établissement doit identifier la personne responsable de coordonner la sécurité dans l’établissement.	Direction de l’établissement	Exigene 2	4.1.2 Information security co-ordination	A été fait lors de l’intégration au RTSS.
Adopte la politique et le plan d'action établis par l'organisme en matière de sécurité des actifs informationnels, lesquels sont conformes à la Politique nationale et au cadre global de gestion portant sur cette question, et suit leur application dans l'établissement	Le conseil d'administration de l'organisme	RRAMSAI 2.1	3.1 INFORMATION SECURITY POLICY 4.1.1 Management information security forum	Afin d’exploiter des systèmes d’informations dit sécuritaires, une organisation doit d’abord décider ce qu’elle entend par sécuritaire. Il est nécessaire pour une organisation d’identifier ses objectifs, sa stratégie et ses politiques en matière de sécurité de l’information. Nous suggérons la création d’un comité de gouvernance de la sécurité de l’information d’établissement.
Reçoit et entérine le bilan annuel de l'organisme concernant la sécurité de ces actifs avant de le soumettre au coordonnateur de la sécurité du palier supérieur	Le conseil d'administration de l'organisme	RRAMSAI 2.1
Nomme le responsable de la sécurité des actifs informationnels.	Le conseil d'administration de l'organisme	RRAMSAI 2.1
Prend toutes les mesures nécessaires à l'élaboration et à l'application de cette politique	Le dirigeant de l'organisme	RRAMSI 2.2
Nomme le responsable de la sécurité des actifs informationnels	Le dirigeant de l'organisme	RRAMSI 2.2
Informe et mobilise les gestionnaires et le personnel de l'organisme au sujet de l'application du cadre global de gestion sur la sécurité	Le dirigeant de l'organisme	RRAMSI 2.2		Best practices : L’organisation devrait définir des politiques et des procédures ainsi que mettre en place des systèmes de contrôle afin de responsabiliser les utilisateurs vis-à-vis leur rôle en matière de sécurité de l’information.
L'organisme a une politique sur la sécurité qui est en concordance avec la Politique nationale sur la sécurité des actifs informationnels et qui complète celle-ci afin de prendre en compte les rôles, responsabilités et mesures énoncés dans le Cadre Global	Dirigeant d'un organisme	PNSAI 3.3	4.1.3 Allocation of information security responsibilities
Les rôles et responsabilités des différents acteurs en matière de sécurité doivent être évalués périodiquement afin de tenir compte des nouveaux besoins, des changements organisationnels, des pratiques récentes et des nouvelles technologies utilisées par les organismes du RSSS	Dirigeant de l’organisme	RRAMSI 3	10.5.2 Technical review of operating system changes 10.5.3 Restrictions on changes to software packages
Lors de situations problématiques le dirigeant devrait prendre une décision après avoir consulté le responsable de la sécurité des actifs informationnels et, au besoin, les personnes assumant les fonctions équivalentes au MSSS.	Le dirigeant d’un établissement	Optionnel 5
Vérification : La vérification est demandée par le dirigeant d'un organisme après que des événements risquant de porter atteinte à la sécurité d'un ou de plusieurs actifs informationnels lui aient été signalés.	Le dirigeant d’un établissement	Optionnel 5.1	6.3 RESPONDING TO SECURITY INCIDENTS ANDMALFUNCTIONS	Une procédure de vérification régulière devrait être planifiée. Cette procédure devrait inclure l'ensemble du cycle de vie de l'application. Lorsque le système d'information est en opération, il devrait y avoir une vérification au moins annuelle. En utilisant des outils, tel Nessus ou la solution d'AVT de Fortier Communications, une vérification automatique pourrait même être faîte une fois par mois. Best practices : L’organisation devrait mettre en place des systèmes et des processus de gestion, de vérification et d’inspection de son infrastructure. Les processus devraient identifier les actions à prendre en cas d’incidents.
En cours d'investigation pour étudier des problèmes mineurs seulement ou à titre préventif, le dirigeant de l'organisme devrait avoir la possibilité de demander que la vérification se transforme en audit.	Le dirigeant d’un établissement	Optionnel 5
La responsabilité d'émettre et d'appliquer une directive sur la formation en matière de sécurité des actifs informationnels appartient au dirigeant de l'organisme.	Dirigeant d’un établissement	Optionnel 6		Best practices : L’organisation devrait s’assurer que ses utilisateurs possèdent un niveau d’expertise suffisant sur les technologies en place.
Le dirigeant de l'organisme approuvera le plan de formation annuel (mises à jour et formations adaptées ou complémentaires) portant sur la sécurité des actifs informationnels.	Dirigeant de l’organisme	Optionnel 6	6.2.1 Information security education and training

Obligations et responsabilités du coordonnateur de l’établissement

Politiques

Description	Qui	Item	Correspondance ISO/EIC 17799 :2000(E)	Remarques
Mettre en place le volet sur la sécurité du cadre global de façon à protéger les actifs informationnels durant tout le cycle de vie de l'information	CSE	PNSAI 4.5
Définir les rôles, des responsabilités et des procédures afin d'assurer la coordination, la mise en place, le suivi et l'évaluation du cadre global.	CSE	PNSAI 4.5	4.1.3 Allocation of information security responsibilities	Livrable : Document sur les rôles et responsabilités en matière de sécurité de l’information
Élaborer la politique sur la sécurité des actifs informationnels qui sera adoptée par l'organisme	CSE	PNSAI 4.5 RRAMSI 2.3	3.1.1 Information security policy document	Livrable : Politique d’établissement en matière de sécurité de l’information Best practices : L’organisation devrait développer, réviser et forcer le respect de politiques de sécurité de l’information qui correspondent aux objectifs d’affaires de l’organisation.
Soumet la politique au directeur général et au conseil d'administration de l'organisme pour approbation	CSE	RRAMSI 2.3
mettre en place et présider le comité de protection des renseignements personnels et de sécurité de l'organisme.	CSE	RRAMSI 2.3		Livrable : comité de protection des renseignements personnels. Nécessite la création de ce comité par la direction de l’établissement. Ce comité pourrait être utilisé pour la réalisation des analyses de menaces et de risque. Nous suggérons la création d’un comité de sécurité de l’information.
Coordonner la mise en oeuvre de la politique sur la sécurité adoptée par l'organisme	CSE	RRAMSI 2.3
Suivre l'évolution de la politique	CSE	RRAMSI 2.3
Mettre en place un processus de réévaluation périodique des mesures de sécurité.	CSE	PNSAI 4.11	3.1.2 Review and evaluation
Mettre en place un processus formel pour que les obligations réglementaires et normatives en matière de sécurité soient prises en compte pendant la conception ou le développement de tout nouveau projet d'informatisation.	CSE	PNSAI 4.6	10.1.1 Security requirements analysis and specification	Le Guide CAI fournit les informations sur les obligations à respecter dans les projets de développement. Bien que la mise en place d’un processus formel est requis, cette mesure ne devrait pas affecter les établissement qui ne réalise pas de projets d’informatisation directement mais qui participe généralement à des projets du RSSS.
Des mesures disciplinaires doivent être mises en place afin d'assurer la sécurité des actifs informationnels appartenant aux organismes du RSSS.	CSE	PNSAI 4.4	6.1.1 Including security in job responsibilities 6.1.3 Confidentiality agreements 6.1.4 Terms and conditions of employment	Il s’agit d’un point délicat qui doit être géré en collaboration avec le service des ressources humaines de l’organisation. Il serait important de traiter de ce point dans la formation des utilisateurs.
Mettre en place un processus de vérifications et d’audits en matière de sécurité de l’information.	CSE	PNSAI 4.11	3.1.2 Review and evaluation	Best practices : L’organisation devrait mettre en place des systèmes et des processus de gestion, de vérification et d’inspection de son infrastructure. Les processus devraient identifier les actions à prendre en cas d’incidents.

Gestion du risque

Description	Qui	Item	Correspondance ISO/EIC 17799:2000(E)	Remarques
Produire et tenir à jour l'inventaire de leurs actifs informationnels, la liste des détenteurs de ces actifs, la classification de ces actifs en fonction de leur valeur et de leur sensibilité ainsi que les plans d'action établis pour les protéger.	CSE	MSAI 3 MSAI 3.1 MSAI 4.1.3 PNSAI 4.3 RRAMSI 2.3	5.1.1 Inventory of assets	Livrable : inventaire
Établir un plan d'action pour l’identification et la classification des actifs.	CSE	MSAI 3	5.2.1 Classification guidelines 5.2.2 Information labeling and handling	Livrable : plan d’action
Évaluer périodiquement et au besoin, les risques et les menaces pour tous leurs actifs informationnels.	CSE	MSAI 3.2 PNSAI 4.3 RRAMSI 2.3	10.1.1 Security requirements analysis and specification	Livrable : Analyse des menaces et des risques Nécessite la mise en place d’une méthodologie d’analyse des menaces et des risques. Best practices : L’organisation devrait effectuer à intervalles réguliers une évaluation des risques pour les éléments critiques de son infrastructure. Cette évaluation devrait identifier les éléments critiques, évaluer les menaces, évaluer les vulnérabilités et identifier le niveau de risque.
Mettre en place un processus de vérifications et d’audits.	CSE	PNSAI 4.11	3.1.2 Review and evaluation 12.2.1 Compliance with security policy 12.2.2 Technical compliance checking 12.3.1 System audit controls	Livrable : un processus de vérifications et d’audits. Best practices : L’organisation devrait mettre en place des systèmes et des processus de gestion, de vérification et d’inspection de son infrastructure. Les processus devraient identifier les actions à prendre en cas d’incidents.
Suivre la mise en oeuvre de toute recommandation découlant d'une vérification ou d'un audit	CSE	RRAMSI 2.3
Produire annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité.	CSE	RRAMSI 2.3		Livrable : produit annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité.
Veille au respect de la Loi et, pour ce faire, collabore avec le responsable de la sécurité des actifs informationnels à toutes les étapes du cycle de vie de l'information.	Le responsable de l'application de la Loi sur l'accès	RRAMSI 2.5	12.1.1 Identification of applicable legislation 12.1.3 Safeguarding of organizational records 12.1.4 Data protection and privacy of personal information
Les organismes doivent faire évoluer les dispositifs de sécurité et les contrôles d'accès aux systèmes et aux données afin de contrer les nouvelles menaces et ils doivent vérifier périodiquement l'efficacité des mesures en place.	CSE	MSAI 4.6	9.4.9 Security of network services 12.1.5 Prevention of misuse of information processing facilities	La solution idéale pour cela est la mise en place d’un système d’analyse des vulnérabilités, tel que proposé par Fortier Communications.
La disponibilité des services locaux de télécommunications doit être assurée en fonction des besoins du détenteur de l'actif informationnel.	CSE	MSAI 4.6	11.1.1 Business continuity management process
Les organismes doivent effectuer des vérifications et des audits, de façon périodique et au besoin, pour s'assurer du respect des mesures, des pratiques et des procédures relatives à la sécurité des actifs informationnels.	CSE	MSAI 7	11.1.5 Testing, maintaining and re-assessing business continuity plans	II faut définir périodique ? Best practices : L’organisation devrait mettre en place des systèmes et des processus de gestion, de vérification et d’inspection de son infrastructure. Les processus devraient identifier les actions à prendre en cas d’incidents.
Ils produiront des bilans périodiques portant sur les menaces ainsi que sur les mesures en place et celles qui sont prévues.	CSE	MSAI 7	3.1.2 Review and evaluation 12.2.1 Compliance with security policy 12.2.2 Technical compliance checking 12.3.1 System audit controls	Livrable : bilans périodiques portant sur les menaces ainsi que sur les mesures en place et celles qui sont prévues. Fortier Communications peux fournir des ressources externes afin d’assister l’organisation dans la production de bilans. De plus un établissement peut produire des rapports et des bilans avec l’aide des outils de Fortier Communications.
Les menaces non contrées doivent être identifiées et la mise en place de nouvelles mesures de sécurité sera ensuite planifiée.	CSE	MSAI 7
Les mesures sont évaluées périodiquement afin de tenir compte des nouveaux besoins, des pratiques récentes et des nouvelles technologies utilisées par les organismes du RSSS.	CSE	MSAI 9	3.1.2 Review and evaluation 12.2.1 Compliance with security policy 12.2.2 Technical compliance checking 12.3.1 System audit controls
Classification des actifs informationnels : Les données sont classifiées selon leur niveau de confidentialité, d'intégrité et de disponibilité en tenant compte du caractère critique de l'information pour l'organisme, selon l'élément qui caractérise le mieux l'actif.	CSE	Optionnel 1	5.2.1 Classification guidelines 5.2.2 Information labeling and handling
Les données devraient être classifiées en fonction des classes normalisées, indépendamment de la ou des plates-formes de résidence ou de transition.	CSE	Optionnel 1
La classification devrait être revue périodiquement.	CSE	Optionnel 1
Chaque détenteur ou responsable de système détermine la classification des données dont il a la charge. Un guide est mis à sa disposition pour l'aider dans ce travail.	détenteur ou responsable de système	Optionnel 1
Création d’un guide pour la classification des données.	CSE	Optionnel 1		Livrable : guide pour la classification des données.
Les actifs informationnels sont classifiés en fonction de la nature des données que l'actif traite ou emmagasine, tout en tenant compte des données les plus sensibles.	détenteur ou responsable de système	Optionnel 1
La classification relève par la suite des responsables de chacun des actifs.	détenteur ou responsable de système	Optionnel 1
Ces personnes ont également la responsabilité de proposer un réaménagement des données et des applications si une telle action permet de regrouper de manière plus fonctionnelle les données d'une même classe.	détenteur ou responsable de système	Optionnel 1
Les formulaires et les outils servant à faire la classification ainsi que les documents produits montrant cette classification devraient être conservés.	CSE	Optionnel 1
Faire le relevé des dispositifs de sécurité en place et des mesures existantes en plus de décrire les menaces et les risques qui ont été pris en considération dans l'évaluation ;	CSE	Optionnel 2
Identifier les menaces et les risques auxquels sont soumis les actifs informationnels pour en déterminer la vulnérabilité ;	CSE	Optionnel 2
Déterminer le niveau des risques pour indiquer la probabilité que ces risques portent atteinte à l'actif et évaluer les conséquences d'une telle éventualité ;	CSE	Optionnel 2
Évaluer les mesures de sécurité en place et déterminer celles qui devraient être ajoutées ;	CSE	Optionnel 2
Ajouter les nouvelles mesures de protection appropriées ;	CSE	Optionnel 2
Revoir périodiquement l'évaluation des risques.	CSE	Optionnel 2
Pour sécuriser les télécommunications, on devrait procéder à la classification des actifs informationnels de télécommunications, à l'étude des risques et des menaces propres à ces actifs ainsi qu'à l'inventaire des liens d'interconnexion.	CSE	Optionnel 2.5
Ces actions permettront de connaître les composantes qui devraient être protégées et de déterminer les mesures nécessaires pour assurer leur protection.	CSE	Optionnel 2.5
Évaluation de la sécurité : Il est de la responsabilité de tout employé, mandataire ou partenaire d'informer le dirigeant de l'organisme de toute situation potentiellement problématique.	Utilisateurs	Optionnel 5		Best practices : Les gestionnaires de l’organisation devraient considérer la sécurité de l’information comme partie de leurs responsabilités et de la responsabilité de tous les employés.
Lors de situations problématiques un bilan peut être produit.	CSE	Optionnel 5
La vérification est utilisée pour étudier des problèmes mineurs seulement ou à titre préventif.	CSE	Optionnel 5
La vérification sera faite selon une méthode éprouvée qui est recommandée par le Comité national de protection des renseignements personnels et de sécurité.	CSE	Optionnel 5.1
Le coordonnateur de la sécurité des actifs informationnels du RSSS ainsi que des ressources externes peut également être mis à contribution en fonction de la nature et de l'ampleur de l'investigation.	CSE	Optionnel 5.1
Audit : L'audit vise à garantir la conformité de tous les aspects normatifs entourant la sécurité des actifs informationnels. Également effectué selon une méthode éprouvée qui est recommandée par le CNPRPS, l'audit devrait être périodique. La périodicité peut cependant varier d'une catégorie d'actifs à une autre. Un audit devrait être entrepris si, au cours d'une vérification, il est démontré que la situation d'origine est plus grave que ce que l'on avait estimé. Tout comme dans le cas de la vérification, le coordonnateur de la sécurité du RSSS ainsi que des ressources externes peuvent également être mis à contribution en fonction de la nature et de l'ampleur de l'investigation.	CSE	Optionnel 5.2		Best practices ; L’organisation devrait mettre en place des systèmes et des processus de gestion, de vérification et d’inspection de son infrastructure. Les processus devraient identifier les actions à prendre en cas d’incidents.
Suites à donner aux évaluations : Selon les résultats de la vérification ou de l'audit, un plan d'action sera établi afin de corriger la situation observée. Quand le plan d'action aura été exécuté, les résultats devraient être vérifiés par une nouvelle évaluation.	CSE	Optionnel 5.3

Gestion des incidents

Description	Qui	Item	Correspondance ISO/EIC 17799 :2000(E)	Remarques
Mettre en place un processus formel de gestion des incidents en matière de sécurité de l’information.	CSE	PNSAI 4.9	6.3.1 Reporting security incidents	Livrable : processus formel de gestion des incidents en matière de sécurité de l’information.
Mettre en place un processus disciplinaire.	CSE	PNSAI 4.4 PNSAI 4.10	6.3.5 Disciplinary process
Gérer les aspects relatifs à l'escalade des incidents de sécurité à l'échelle locale et procéder à des évaluations de la situation en matière de sécurité.	CSE	RRAMSI 2.3		Best practices : L’organisation devrait mettre en place des systèmes et des processus de gestion, de vérification et d’inspection de son infrastructure. Les processus devraient identifier les actions à prendre en cas d’incidents.
Avisent leur supérieur immédiat de toute situation portée à leur connaissance et qui est susceptible de compromettre la sécurité des actifs informationnels appartenant à l'organisme	Les utilisateurs	RRAMSI 2.6
Un plan de reprise après sinistre des systèmes en activité doit être mis par écrit et éprouvé régulièrement.	CSE	MSAI 4.3.4	11 BUSINESS CONTINUITY MANAGEMENT	Livrable : plan de reprise après sinistre Best practices : L’organisation devrait développer un plan de continuité des affaires en cas d’incident et les tester.
il doit également consigner l'historique des événements.	CSE	MSAI 4.3.4		Livrable : registre historique des événements/sinistres
Tous les documents à jour relatifs au plan de reprise après sinistre doivent être conservés à l'extérieur du site.	CSE	MSAI 4.3.4		Requiert l’utilisation d’un site de stockage sécuritaire.
Des mécanismes de protection contre les attaques internes et externes doivent être mis en place et tenus à jour afin de suivre l'évolution des menaces.	CSE	MSAI 4.3.6	9.4.7 Network connection control 9.4.8 Network routing control	Cette fonction est assurée par le système de détection des intrusions de Fortier Communications.
Les accès non autorisés doivent être vérifiés. Des mesures préventives ou correctives doivent être appliquées pour les éviter.	CSE	MSAI 4.3.6	6.3.1 Reporting security incidents	L’analyse et la vérification d’incidents et d’intrusions nécessitent un niveau d’expertise en technologies élevé.
Un processus d'escalade en cas d'attaque doit être établi et éprouvé.	CSE	MSAI 4.3.6	6.3.1 Reporting security incidents	Livrable : processus d'escalade en cas d'attaque
Les organismes du RSSS doivent élaborer et tenir à jour le registre des incidents, où sont consignés les événements ayant pu mettre en péril la sécurité des actifs informationnels ;	CSE	MSAI 5	6.3.1 Reporting security incidents	Livrable : Registre des incidents
La période de conservation des journaux dépend de la Loi sur les archives, si une enquête ou des procédures judiciaires sont entamées, les journaux seront conservés tant que le dossier ne sera pas fermé.	CSE	Optionnel 2.2.3	9.7.1 Event logging
Service de l'exploitation informatique : Afin de garantir des services de qualité, tout actif informationnel devrait être caractérisé par un niveau de service minimal.	CSE	Optionnel 2.3.1
Les secteurs de gestion devraient être régis par des procédures visant les activités de gestion courantes.	CSE	Optionnel 2.3.1
Plan de sauvegarde et de récupération des informations : Le plan de sauvegarde et de récupération est un plan d'action établi en vue d'assurer la restauration des données en cas de perte.	CSE	Optionnel 2.3.2	8.4.1 Information back -up
Plan de reprise après sinistre. Chaque organisme devrait déterminer, pour chacun des actifs informationnels, le seuil de tolérance à l'interruption du service en cas de sinistre.	CSE	Optionnel 2.3.3
L'organisme prévoira des moyens de poursuivre ses activités en cas de sinistre ainsi qu'un plan de reprise après sinistre axé sur les technologies.	CSE	Optionnel 2.3.3
Des seuils de tolérance à l'interruption seront fixés pour les problèmes mineurs du type« continuité » et les problèmes majeurs du type « sinistre ».	CSE	Optionnel 2.3.3
L'organisme devrait déterminer sa capacité de satisfaire les exigences relatives à la disponibilité des actifs informationnels en cas de bris ou de sinistre et apporter, s'il y a lieu, les correctifs nécessaires pour lui permettre de satisfaire ces exigences.	CSE	Optionnel 2.3.3
Dans le cas des correctifs à apporter pour solutionner les problèmes majeurs, différents scénarios peuvent alors être envisagés, dont les deux principaux sont la souscription et le site miroir.	CSE	Optionnel 2.3.3
Registre des incidents : Le registre des incidents contient tous les événements ayant pu mettre ou ayant mis en péril la sécurité, tels que la communication de codes ou de mots de passe d'un usager à l'autre et l'accès non radié quand un employé quitte l'organisme. C'est un registre chronologique et centralisé des incidents qui surviennent dans le système informatique de l'organisme. Dans le registre, chaque événement devrait être décrit en détail ainsi que les circonstances dans lesquelles il est survenu. Les renseignements à inscrire pour chaque événement sont : la description de l'incident ; les journaux faisant référence à l'incident ; les actions prises ; les conséquences.	CSE	Optionnel 3.2	12.1.7 Collection of evidence
Le registre des incidents aide le responsable de la sécurité des actifs informationnels à évaluer les dommages et lui sert de référence pendant les phases subséquentes de la gestion des incidents visant l'élimination d'un type d'incidents.	CSE	Optionnel 3.2
Lors de situations problématiques un bilan peut être produit.	CSE	Optionnel 5
La vérification est utilisée pour étudier des problèmes mineurs seulement ou à titre préventif.	CSE	Optionnel 5
La vérification sera faite selon une méthode éprouvée qui est recommandée par le Comité national de protection des renseignements personnels et de sécurité.	CSE	Optionnel 5.1
Le coordonnateur de la sécurité des actifs informationnels du RSSS ainsi que des ressources externes peut également être mis à contribution en fonction de la nature et de l'ampleur de l'investigation.	CSE	Optionnel 5.1

Gestion du changement et de la configuration

Description	Qui	Item	Correspondance ISO/EIC 17799 :2000(E)	Remarques
Veille au respect de la Loi et, pour ce faire, collabore avec le responsable de la sécurité des actifs informationnels à toutes les étapes du cycle de vie de l'information.	Le responsable de l'application de la Loi sur l'accès	RRAMSI 2.5	6.1.1 Including security in job responsibilities
L'inventaire des équipements, précisant la localisation et l'assignation principale de ces équipements doit être constitué et tenu à jour.	CSE	MSAI 4.1.3	5.1.1 Inventory of assets	L’utilisation d’une base de donnée permettra plus de faciliter dans cette gestion.
La configuration de base des équipements installés doit être définie et tenue à jour.	CSE	MSAI 4.1.3	5.1.1 Inventory of assets	L’utilisation d’outils à cette fin permettra plus de souplesse.
Chaque organisme établit et applique des procédures et des mesures afin de continuer à assurer la sécurité des actifs informationnels pendant les changements apportés au système informatique.	CSE	MSAI 4.3.5	8.1.2 Operational change control	Ces procédures devraient être intégrés dans la politique de sécurité de l’établissement. Best Practices : L’organisation devrait avoir en place des processus pour la mise en production de correctifs aux configurations.
Les organismes du RSSS doivent élaborer et tenir à jour le registre des autorités, contenant le nom des différents acteurs impliqués dans la gestion des actifs informationnels ainsi que leurs rôles et responsabilités ;	CSE	MSAI 5	6.1.1 Including security in job responsibilities	Livrable : registre des autorité
L'inventaire des équipements devrait être mis à jour de manière centralisée et uniquement par les personnes autorisées à effectuer les installations et les déplacements de matériel ou toute autre action ayant une incidence sur l'inventaire.	CSE	Optionnel 2.1.3	5.1.1 Inventory of assets	L’utilisation d’une base de données est suggérée.
La configuration de toute composante matérielle en usage devrait être connue.	CSE	Optionnel 2.1.3	5.1.1 Inventory of assets	Best practices : L’organisation devrait avoir en place des processus et des mécanismes pour s’assurer de la configuration sécuritaire de tout ses systèmes d’information durant toute leur cycle de vie.
Les schémas sont habituellement utilisés pour représenter la configuration, notamment quand il s'agit de systèmes de télécommunications.	CSE	Optionnel 2.1.3	8.6.4 Security of system documentation
Il est important de conserver ces configurations, ou images de configurations, à l'extérieur de l'organisme.	CSE	Optionnel 2.1.3	8.6.4 Security of system documentation
Le responsable de l'exploitation informatique s'occupe de la gestion des configurations matérielles.	CSE	Optionnel 2.1.3	8.6.4 Security of system documentation
Gestion des changements associés aux technologies de l'information : Les types de configuration des équipements et des systèmes devraient être mis sur papier au moment de l'installation et mis à jour après chaque modification.	CSE	Optionnel 2.3.4	8.6.4 Security of system documentation 10.5.3 Restrictions on changes to software packages	On devrait parler de documenter les configurations, ce qui pourrait être fait, par exemple, dans une base de données Lotus Notes répartie et répliquée sur les serveurs du MSSS. Best practices : L’organisation devrait avoir en place des processus pour la mise en production de correctifs aux configurations.
La configuration minimale nécessaire à l'exécution des fonctions essentielles sera maintenue en tout temps pour les systèmes essentiels à la mission de l'organisme.	CSE	Optionnel 2.3.4	5.1.1 Inventory of assets 11.1.3 Writing and implementing continuity plans
La configuration des réseaux de télécommunications devrait être représentée sur papier sous forme schématique. Le document sera mis à jour périodiquement et au besoin.	CSE	Optionnel 2.5.1	8.6.4 Security of system documentation

Obligations en matière de formation

Description	Qui	Item	Correspondance ISO/EIC 17799 :2000(E)	Remarques
Un programme d’information continue devrait être mis en place afin de sensibiliser les utilisateurs aux bons comportements à adopter dans les échanges informatiques	CSE	Exigence 4	6.2.1 Information security education and training	A été fait lors de l’intégration au RTSS. Best practices : L’organisation devrait définir des politiques et des procédures ainsi que mettre en place des systèmes de contrôle afin de responsabiliser les utilisateurs vis-à-vis leur rôle en matière de sécurité de l’information.
Mettre en place des programmes continu de sensibilisation et de formation du personnel de manière à favoriser le développement des compétences relatives à la sécurité des actifs informationnels, à l'application de la politique de sécurité adoptée par l'organisme et au Cadre Global.	CSE	PNSAI 4.7 MSAI 8	6.2.1 Information security education and training	Livrable : programme continu de sensibilisation et de formation du personnel en matière de sécurité de l’information. Best practices : L’organisation devrait s’assurer que ses utilisateurs possèdent un niveau d’expertise suffisant sur les technologies en place. Fortier Communications offre des cours adaptés aux besoins du RSSS.
Les organismes doivent réévaluer périodiquement, et particulièrement au moment de l'intégration de nouveaux employés, de nouveaux systèmes, de nouveaux développements ou de nouvelles technologies, les besoins du personnel en ce qui concerne la sensibilisation et la formation en matière de sécurité.	CSE	MSAI 8	6.1.4 Terms and conditions of employment
Sensibiliser les utilisateurs aux dangers des infections informatiques	CSE	Optionnel 2.3.5	6.2.1 Information security education and training
Tout organisme devrait s'assurer que les personnes qui participent aux opérations courantes de l'organisme sont sensibilisées à la sécurité des actifs informationnels.	CSE	Optionnel 6	6.1.3 Confidentiality agreements 6.2.1 Information security education and training
Chacun des membres du personnel devrait bénéficier d'une formation adaptée aux tâches et responsabilités qui lui sont confiées.	Utilisateurs	Optionnel 6	6.2.1 Information security education and training	Best practices : L’organisation devrait s’assurer que ses utilisateurs possèdent un niveau d’expertise suffisant sur les technologies en place.
Chaque organisme offrira des sessions de formation différentes : à l'ensemble du personnel et ses sous-traitants ; aux membres du conseil d'administration de l'organisme ; au dirigeant de l'organisme ; aux gestionnaires de l'organisme ; aux employés du service de l'informatique ; aux employés chargés de l'exploitation informatique ; aux employés chargés de la sécurité de l'information numérique ; aux employés chargés de la gestion de la sécurité logique.	CSE	Optionnel 6	6.2.1 Information security education and training	Best practices : L’organisation devrait s’assurer que ses utilisateurs possèdent un niveau d’expertise suffisant sur les technologies en place.
Tout nouveau membre du personnel devrait suivre une session de formation initiale au moment de son entrée en fonction et, s'il y a lieu, une autre session de formation adaptée à ses tâches.	Utilisateur	Optionnel 6	6.2.1 Information security education and training	Best practices : L’organisation devrait s’assurer que ses utilisateurs possèdent un niveau d’expertise suffisant sur les technologies en place.
Le plan de formation sera revu lorsqu'une des situations suivantes se présentera : l'implantation d'une nouvelle technologie ; l'implantation d'une nouvelle application ; le raccordement à des infrastructures technologiques complémentaires.	CSE	Optionnel 6	6.2.1 Information security education and training

Sécurité des applications et des postes de travail

Description	Qui	Item	Correspondance ISO/EIC 17799 :2000(E)	Remarques
Tous les points d’entrée et de sortie du RTSS devraient être supprimés à l’exception de ceux contrôlés et sécurisés par le RTSS.	CSE	Exigence 3		A été fait lors de l’intégration au RTSS. Il s’agit d’éliminer tous les modems et liens de télécommunications autres que ceux fournis par le GTQ.
Installer sur les serveurs et les postes de travail des mesures de protection adéquates de type logiciel antivirus.	CSE	Exigence 4	8.3.1 Controls against malicious software	A été fait lors de l’intégration au RTSS. Best practices : L’organisation devrait vérifier à intervalles réguliers l’intégrité des logiciels installés. L’organisation devrait activement rechercher les virus, chevaux de Troie, logiciels malicieux ou non autorisés sur ses systèmes d’information.
Les fichiers de définition de virus doivent ensuite être mis à jour régulièrement.	CSE	Exigence 4	8.3.1 Controls against malicious software	A été fait lors de l’intégration au RTSS.
Tous les employés et les professionnels de la santé et des services sociaux autorisés à travailler à l’extérieur de l’établissement ou encore les employés hors établissement dont le travail nécessite un accès aux systèmes de l’établissement par modem, utiliseront le Service T du RTSS.	CSE	Exigence 9	9.8.2 Teleworking	A été fait lors de l’intégration au RTSS.
Des mesures de protection, de prévention, de détection et de correction ainsi que des mesures disciplinaires doivent être mises en place afin d'assurer la sécurité des actifs informationnels appartenant aux organismes du RSSS.	CSE	PNSAI 4.4	9 ACCESS CONTROL.	Aussi couvert dans les obligations en matière de gestion du risque, des mesures de protection adéquates doit être mise en place. Best practices : L’organisation devrait mettre en place et maintenir une infrastructure de gestion et de journalisation des accès par les utilisateurs dûment autorisés.
Mettre en place le volet sur la sécurité du cadre global de façon à protéger les actifs informationnels durant tout le cycle de vie de l'information	CSE	PNSAI 4.5
Mettre en place un processus de réévaluation périodique des mesures de sécurité.	CSE	PNSAI 4.11	3.1.2 Review and evaluation
La configuration de base des équipements installés doit être définie et tenue à jour.	CSE	MSAI 4.1.3
Le registre de l'entretien des équipements doit être constitué et tenu à jour.	CSE	MSAI 4.1.3		Livrable : registre de l’entretient des équipements
Les équipements déclarés en surplus ou mis au rebut doivent être exempts d'information électronique avant leur abandon.	CSE	MSAI 4.1.3	7.2.6 Secure disposal or re-use of equipment
Les renseignements nominatifs ou de nature sensible contenus sur les supports magnétiques que l'on désire éliminer doivent être détruits de façon à ce que leur caractère confidentiel soit protégé.	CSE	MSAI 4.1.3	8.6.2 Disposal of media
L'information contenue sur tout équipement à déplacer doit, au préalable, être analysée et, le cas échéant, éliminée.	CSE	MSAI 4.1.3	8.6.2 Disposal of media
Des procédures ou des mécanismes de protection contre l'utilisation non autorisée et le vol des équipements doivent être mis en place.	CSE	MSAI 4.1.3	7 PHYSICAL AND ENVIRONMENTAL SECURITY
L'organisme doit instaurer une procédure obligatoire pour autoriser la sortie d'équipements hors de ses installations.	CSE	MSAI 4.1.3	7.2.5 Security of equipment off-premises
Un mécanisme d'identification et d'autorisation doit être mis en place afin de limiter aux seules personnes autorisées l'accès aux actifs informationnels.	CSE	MSAI 4.2.1	9.1.1 Access control policy 9.4.3 User authentication for external connections	L’ensemble des mesures en matière d’authentification aurait avantage à être géré en utilisant un système de gestion centralisé des accès utilisateurs. Ce type de système permet une gestion plus sécuritaire tout en respectant les diverses exigences. Best Practice : L’organisation devrait mettre en place et maintenir une infrastructure de gestion et de journalisation des accès par les utilisateurs dûment autorisés.
L'autorisation d'avoir accès aux actifs informationnels à l'aide d'un identifiant doit être suspendue après un nombre prédéterminé (cinq au maximum) d'erreurs d'inscription du mot de passe par l'utilisateur.	CSE	MSAI 4.2.1	9.2.2 Privilege management
Les privilèges relatifs à l'accès doivent être accordés et mis à jour selon les tâches et responsabilités de chaque utilisateur.	CSE	MSAI 4.2.1	9.2.2 Privilege management
L'accès doit être révoqué ou suspendu lorsque l'utilisateur s'absente pour une période de plus de six semaines ou quitte définitivement l'organisme.	CSE
L'outil de gestion des privilèges informatiques ou administratifs doit comporter des mécanismes permettant de réviser, de suspendre, de révoquer, de bloquer ou de radier ces privilèges en tout temps.	CSE		9.2.4 Review of user access rights
Les privilèges d'accès accordés aux utilisateurs doivent être inscrits dans un registre maintenu à jour.	CSE	MSAI 4.2.1	9.2.1 User registration	Livrable : registre des privilèges d'accès
L'utilisateur qui a accès à des données personnelles ou sensibles signe un formulaire par lequel il s'engage à en respecter la confidentialité.	Utilisateur	MSAI 4.2.1	6.1.3 Confidentiality agreements 6.1.4 Terms and conditions of employment	Livrable : formulaire pour l’accès aux données sensible.
L'identifiant doit être différent pour chaque utilisateur sauf en de rares exceptions incontournables, définies et pour lesquelles les autorisations préalables ont été accordées par le responsable attitré ; ces autorisations doivent être consignées dans un registre prévu à cette fin.	CSE	MSAI 4.2.1	9.2.2 Privilege management 9.2.3 User password management 9.3.1 Password use	Livrable : registre des privilèges d’accès
L'identifiant qui n'a pas été utilisé pendant une période donnée (un an au maximum) doit être désactivé ou détruit à la suite d'une vérification préalable.	CSE	MSAI 4.2.1
L'application qui accède à une autre application doit être considérée comme un utilisateur et être assujettie aux mesures applicables aux utilisateurs.	CSE	MSAI 4.2.1
Des mesures doivent être mises en place pour contrôler et protéger l'authentifiant de l'utilisateur.	CSE l’utilisateur	MSAI 4.2.2	9.3.1 Password use	Devrait être traité dans la politique de l’établissement.
Après une période d'inactivité prédéterminée (une heure au maximum), le système doit automatiquement redemander l'authentifiant de l'utilisateur ou mettre un terme à la session de travail.	CSE	MSAI 4.2.2
Le système doit protéger la confidentialité des données servant à l'authentification des utilisateurs en empêchant, entre autres, l'affichage et l'impression de ces informations.	CSE	MSAI 4.2.2
Le mot de passe comprendra des lettres, des chiffres ou des caractères spéciaux. Il doit être composé d'au moins 8 caractères et être changé au moins une fois tous les 90 jours. De plus, l'historique des 10 derniers mots de passe doit être conservé afin de s'assurer que les nouveaux mots de passe diffèrent des précédents.	CSE	MSAI 4.2.2	9.2.3 User password	Nous suggérons que le mot de passe devrait comprendre des lettres et des chiffres et au moins un caractère spécial, être composé d'au moins 8 caractères et être changé au moins une fois tous les 45 jours. Il devrait être validé contre une liste de mots de passes communs.
Tous les accès doivent être journalisés. La journalisation doit obligatoirement permettre de connaître l'identité de l'utilisateur, le nom du fichier auquel cet utilisateur a eu accès, l'acte qu'il a accompli (création, lecture, impression, modification ou destruction d'un dossier), le code de transaction ou le nom du programme, la date et l'heure de l'accès. La journalisation doit également consigner ces renseignements au moment d'une intervention liée à l'entretien des équipements.	CSE	MSAI 4.2.3	8.4.2 Operator logs
Le calendrier de conservation de la journalisation doit être établi en fonction des lois, normes et règlements en vigueur.	CSE	MSAI 4.2.3		Livrable : calendrier de conservation de la journalisation
Le calendrier des tâches assurées par le service de l'exploitation informatique quant à l'installation, à l'entretien et à la mise à jour de chaque logiciel et application doit être établi en fonction des besoins définis par le détenteur de l'actif informationnel.	CSE	MSAI 4.3.1		Livrable : Le calendrier des tâches assurées par le service de l'exploitation informatique quant à l'installation, à l'entretien et à la mise à jour de chaque logiciel et application
Le personnel affecté à l'exploitation des actifs informationnels ne doit pas accéder, sur une base continue, aux données de production. Une autorisation écrite par le détenteur de l'actif stipulera les circonstances lors desquelles l'accès et les modifications sont permis au personnel affecté à l'exploitation informatique ainsi que les contrôles que ce personnel pourra effectuer.	le personnel du service de l'exploitation informatique	MSAI 4.3.2	10 SYSTEMS DEVELOPMENT AND MAINTENANCE
L'utilisation des données de production à des fins de formation des utilisateurs est interdite sauf si l'autorisation du détenteur d'un actif ne contenant aucune information personnelle est accordée et que des mesures de contrôle supplémentaires sont mises en place.	le personnel du service de l'exploitation informatique	MSAI 4.3.2	10.4.2 Protection of system test data
Un plan de sauvegarde et de récupération des informations doit être élaboré et révisé périodiquement.	CSE	MSAI 4.3.2	8.4.1 Information back -up	Livrable : Un plan de sauvegarde et de récupération des informations
Les copies de sécurité contenant des informations de nature hautement sensible sont conservées dans des locaux extérieurs au site d'origine de ces informations.	CSE	MSAI 4.3.3		Nécessite l’utilisation d’un service externe.
Les copies de sécurité et les mécanismes de récupération des informations sont vérifiés régulièrement.	CSE	MSAI 4.3.3
La circulation des copies doit être contrôlée et l'accès aux copies de sécurité, restreint aux seules personnes autorisées.	CSE	MSAI 4.3.3
Chaque organisme établit et applique des procédures et des mesures afin de continuer à assurer la sécurité des actifs informationnels pendant les changements apportés au système informatique.	CSE	MSAI 4.3.5	10.5.1 Change control procedures	Best practices : L’organisation devrait avoir en place des processus pour la mise en production de correctifs aux configurations.
Les logiciels et applications utilisés doivent être liés aux besoins d'affaires de l'organisme, être acquis légalement et respecter la Loi sur les droits d'auteur.	CSE	MSAI 4.4	12.1.2 Intellectual property rights (IPR)
Les logiciels et applications partageables entre les organismes par l'intermédiaire d'un réseau de télécommunications doivent être soumis à l'organisme mandaté par le MSSS pour en faire la certification.	CSE	MSAI 4.4	8.2.2 System acceptance
Les originaux des logiciels et des applications doivent être conservés sous clé et n'être accessibles qu'aux personnes autorisées.	CSE	MSAI 4.4	10.4.3 Access control to program source library
Une documentation structurée, claire et à jour concernant chaque logiciel et application informatique doit être conservée dans un endroit sécuritaire.	CSE	MSAI 4.4		Nécessite l’identification d’un local dans l’établissement.
Les outils pour le soutien technique à distance devront être préalablement homologués par le Bureau d'accueil et le Centre de certification avant d'être acquis et déployés.	CSE	MSAI 4.4	8.2.2 System acceptance
L'impression d'informations confidentielles doit être limitée aux seules personnes autorisées par le détenteur de l'actif informationnel.	CSE	MSAI 4.5

Best Practices	les principales recommandations des best practices de l’ISA. Créé en avril 2001, l’Internet Security Alliance (ISA) est un regroupement collaboratif du Carnegie Mellon University Software Engineering Institute, du CERT/CC, de l’Electronic Industries Alliance, d’associations de manufacturiers, du secteur public et de membres privés. Le Best Practices Working Group, de l’Internet Security Alliance a effectué en 2002 une étude afin d’identifier les dix plus hautes priorités et les pratiques de sécurités recommandés. Ces recommandations concordent avec les recommandations de nombreuses autres best practices en matière de sécurité de l’information.
CSE	Coordonnateur de la sécurité dans l’établissement
Guide CAI	GUIDE EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS LE DÉVELOPPEMENT DES SYSTÈMES D'INFORMATION À L'INTENTION DES MINISTÈRES ET ORGANISMES PUBLICS, VERSION 1.0, 20 DÉCEMBRE 2002
MSAI	Mesures en matière de sécurité des actifs informationnels
Optionnel	Répertoire des procédures optionnelles en matière de sécurité des actifs informationnels
MSSS	Ministère de la santé et des services sociaux du Québec
RSSS	Réseau de la santé et des services sociaux du Québec
Cd	la confidentialité des données
Id	l’intégrité des données
Dd	la disponibilité des données
Nr	la non répudiation des transactions
Au	l’authentification des utilisateurs
Ao	l’authentification de l’origine des données
Ca	le contrôle des accès
ISO	Norme ISO/EIC 17799 :2000(E)