CADRE GLOBAL DE GESTION DES ACTIFS INFORMATIONNELS APPARTENANT AUX ORGANISMES DU RÉSEAU DE LA SANTÉ ET DES SERVICES SOCIAUX

CADRE GLOBAL DE GESTION DES ACTIFS INFORMATIONNELS APPARTENANT AUX ORGANISMES DU RÉSEAU DE LA SANTÉ ET DES SERVICES SOCIAUX

CADRE GLOBAL DE GESTION DES ACTIFS INFORMATIONNELS APPARTENANT AUX ORGANISMES DU RÉSEAU DE LA SANTÉ ET DES SERVICES SOCIAUX VOLET SUR LA SÉCURITÉ Septembre 2002 V2007-03-12

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ TABLE DES MATIÈRES Introduction . 4 I Politique nationale sur la sécurité des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux . 7 1. OBJECTIF . 7 2. DOMAINE D’APPLICATION . 7 3. ÉNONCÉS GÉNÉRAUX . 8 4. PRINCIPES . 8 5. ENTRÉE EN VIGUEUR, IMPLANTATION, ÉVALUATION ET MODIFICATION . 10 II Rôles et responsabilités des acteurs en matière de sécurité des actifs informationnels . 11 1. ATTRIBUTION DES RÔLES ET RESPONSABILITÉS TOUCHANT L’ENSEMBLE DU RSSS . 11 1.1 Le ministre de la Santé et des Services sociaux . 11 1.2 Le sous-ministre de la Santé et des Services sociaux . 12 1.3 Le Comité national de protection des renseignements personnels et de sécurité . 12 1.4 Le coordonnateur de la sécurité des actifs informationnels appartenant aux organismes du RSSS . 13 1.5 Les présidents-directeurs généraux des régies régionales de la santé et des services sociaux. 14 1.6 Le coordonnateur régional de la sécurité des actifs informationnels . 14 1.7 La Régie de l’assurance maladie du Québec . 14 2. ATTRIBUTION DES RÔLES ET RESPONSABILITÉS TOUCHANT LES ORGANISMES ET LES UTILISATEURS.. 15 2.1 Le conseil d’administration de l’organisme . 15 2.2 Le dirigeant de l’organisme . 15 2.3 Le responsable de la sécurité des actifs informationnels . 16 2.4 Les détenteurs 2.5 Le responsable de l’application de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels . 17 2.6 Les utilisateurs . 17 3. MODIFICATION . 18 IIIMesures en matière de sécurité des actifs informationnels . 19 1. NATURE DES MESURES . 19 2. PORTÉE DES MESURES . 19 3. PLANS D’ACTION . 20 3.1 Classification des actifs informationnels . 20 3.2 Évaluation des risques et des menaces . 20 4. MESURES DE SÉCURITÉ . 21 4.1 Sécurité physique . 21 4.2 Sécurité logique . 23 4.3 Sécurité de l’exploitation des actifs informationnels . 25 4.4 Sécurité des applications . 27 4.5 Sécurité de l’impression . 27 4.6 Sécurité des télécommunications (réseaux locaux et étendus . 28 5. REGISTRES DE SÉCURITÉ . 28 6. CONTRATS ET ENTENTES . 29 7. ÉVALUATION DE LA SÉCURITÉ . 29 8. PROGRAMME DE SENSIBILISATION ET DE FORMATION . 29 9. MODIFICATION . 30 2

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ IVRépertoire des procédures optionnelles en matière de sécurité des actifs informationnels . 31 1. CLASSIFICATION DES ACTIFS INFORMATIONNELS . 31 2. MESURES DE SÉCURITÉ . 32 2.1 Sécurité physique . 33 2.2 Sécurité logique . 36 2.3 Sécurité de l’exploitation des actifs informationnels . 39 2.4 Sécurité des applications . 43 2.5 Sécurité des télécommunications . 44 3. REGISTRES DE SÉCURITÉ . 47 3.1 Registre des autorités . 48 3.2 Registre des incidents . 48 3.3 Registre des actes de gestion de la sécurité . 48 4. CONTRATS ET ENTENTES . 49 5. ÉVALUATION DE LA SÉCURITÉ . 50 5.1 Vérification . 50 5.2 Audit . 50 5.3 Suites à donner aux évaluations . 51 6. PROGRAMME DE SENSIBILISATION ET DE FORMATION . 52 ANNEXE 1 INVENTAIRE DES OUTILS PROPOSÉS . 53 ANNEXE 2 GRILLE DES MESURES EN MATIÈRE DE SÉCURITÉ DES ACTIFS INFORMATIONNELS . 60 BIBLIOGRAPHIE . 65 LEXIQUE . 68 3

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Introduction Le ministère de la Santé et des Services sociaux, les régies régionales et les établissements utilisent, sous forme électronique notamment, les informations nécessaires à la réalisation de leur mission. Ils détiennent, en outre, des renseignements personnels ainsi que des informations qui ont une valeur légale, administrative, économique ou patrimoniale. L’information numérique constitue une ressource essentielle dont la sécurité doit être assurée en tout temps compte tenu principalement du droit à la vie privée lequel représente une valeur fondamentale de notre société. Un cadre de gestion portant sur la sécurité des actifs informationnels s’imposait devant l’apport grandissant des technologies de l’information comme moyen utilisé pour soutenir la prestation des soins et des services. Il fallait d’abord prendre en considération l’ensemble des lois, des codes d’éthique, des codes déontologiques et des pratiques actuellement appliqués en matière de transmission de l’information sur les usagers. Ensuite, les divers types d’informations nécessaires au fonctionnement du réseau se rejoignant de plus en plus, le cadre de gestion devait intégrer tant l’information de nature clinique, se rapportant principalement à l’usager, que celles de nature administrative et clinico-administrative. Enfin, il est nécessaire de souligner que ce cadre de gestion vise aussi bien les informations de nature électronique (ou numérique) contenues dans les actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux (RSSS) que les impressions sur support papier générées par les technologies de l’information.

Par ailleurs, le présent cadre global suppose que le consentement des usagers quant à l’utilisation de leurs informations personnelles a été accordé conformément aux règles et aux lois en vigueur ; les mesures nécessaires pour assurer la protection des renseignements personnels n’y sont donc pas abordées. Soulignons que des travaux en cours dans le réseau sociosanitaire serviront à définir les modalités à suivre en cette matière. De plus, comme le dossier d’un usager n’est plus lié à un seul secteur d’intervention, ni à un seul intervenant, ni même à un seul établissement, la gestion traditionnelle du consentement doit être révisée. Ainsi, ces travaux évalueront la portée du consentement des usagers lorsque les soins sont prodigués par une équipe qui s’échange de façon électronique de l’information de santé au sujet d’un patient. Avec la mise en service des inforoutes gouvernementales, dont le réseau de télécommunications sociosanitaire (RTSS), arrivent de nouvelles possibilités d’échange d’informations pour mieux servir et suivre les usagers, notamment en ayant recours aux téléservices et aux autres moyens électroniques. Ces possibilités se concrétiseront pleinement si la confiance en la sécurité des échanges électroniques se développe et si la protection des renseignements personnels ainsi que le droit au respect de la vie privée sont assurés.

4

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Dans ce nouveau contexte organisationnel et technologique, les organismes (le ministère de la Santé et des Services sociaux, les régies régionales ainsi que les établissements) ne peuvent assurer la sécurité de leurs actifs informationnels de façon isolée. C’est pourquoi les mesures de sécurité doivent : ƒ s’arrimer à des solutions conçues à une échelle plus large, en collaboration avec les responsables de la sécurité des actifs informationels ; ƒ s’inscrire dans une vision unifiée et cohérente de la gestion de l’information ; ƒ s’orienter résolument vers le futur pour assurer la rentabilité et la durabilité des investissements encourus dans le domaine de la gestion sécurisée de l’information. De plus, un niveau élevé de sécurité est nécessaire afin de protéger les renseignements personnels ainsi que les autres informations électroniques utilisées par les organismes du RSSS et les utilisateurs des actifs informationnels appartenant à ces organismes. En même temps, il est essentiel d’assurer le respect des règles établies par la loi, notamment la Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4.2), la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., c. A-2.1), le Code civil (art. 35 à 41), la Loi sur les archives (L.R.Q., c. A-21.1) et les lois imposant des obligations particulières. Précisons ici que la mise en place de mesures de sécurité visant à protéger les dossiers informatisés des usagers ne libère pas les organismes ni les utilisateurs du réseau sociosanitaire d’assurer la protection de l’information, conformément aux lois mentionnées précédemment et aux pratiques reconnues en matière de sécurité. Compte tenu de l’envergure et de la portée des solutions à mettre en place, le ministère de la Santé et des Services sociaux, en collaboration avec les acteurs concernés par la question, propose le Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité. Ce cadre global de gestion vise à soutenir la mise en place des dispositions législatives qui s’appliquent au secteur sociosanitaire et des standards reconnus en matière de sécurité de l’information, compte tenu particulièrement de l’évolution des besoins et de l’environnement technologique du RSSS.

Les principales composantes en sont : ƒ la Politique nationale sur la sécurité des actifs informationnels, qui définit un ensemble de principes à suivre pour protéger adéquatement les actifs informationnels appartenant aux organismes du RSSS en s’appuyant sur le cadre législatif, les règlements et les directives qui doivent être appliqués par tous les organismes et les utilisateurs des actifs informationnels ; ƒ la description des rôles et des responsabilités des différents acteurs en matière de sécurité des actifs informationnels dans le RSSS ; ƒ les mesures en matière de sécurité des actifs informationnels, qui impliquent l’instauration dans le RSSS de procédures et règles obligatoires en cette matière ; 5

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ƒ le répertoire des procédures optionnelles en matière de sécurité des actifs informationnels, qui propose des façons de faire aux organismes du RSSS quant à la mise en place et au suivi de la sécurité des actifs informationnels appartenant aux organismes du RSSS. Un inventaire des outils se rapportant aux différents aspects de la sécurité et une grille des mesures à respecter en matière de sécurité des actifs informationnels sont placés en annexe. Viennent ensuite la bibliographie, comprenant les principales références légales et documentaires dont il fallait tenir compte pour définir le présent cadre de gestion, ainsi qu’un lexique où est précisé le sens de certains termes. Le Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité est évolutif puisqu’il doit tenir compte des nouveaux besoins ressentis, des nouvelles pratiques employées et des technologies récentes exploitées par les organismes et les utilisateurs du RSSS. Toute modification à ce cadre devra toutefois être approuvée par les autorités compétentes. La sécurité des actifs informationnels comporte plusieurs enjeux – qu’ils soient d’ordre organisationnel, professionnel, économique, technologique, politique, éthique ou légal – et les mesures visant à assurer cette sécurité intéressent plus que jamais aussi bien les hautes instances gouvernementales que les gestionnaires, les spécialistes et le personnel du RSSS ainsi que toute personne ayant accès aux renseignements personnels et aux autres informations numériques. La gestion de la sécurité des actifs informationnels doit donc devenir la préoccupation de tous les acteurs concernés par cette question, en fonction particulièrement des valeurs et des principes dont s’est dotée la société contemporaine. D’autre part, c’est en tenant compte de ces enjeux que les organismes et les utilisateurs des actifs informationnels doivent appliquer le présent cadre de gestion qui regroupe, en un tout cohérent, un ensemble d’informations nécessaires sur le sujet. 6

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ I Politique nationale sur la sécurité des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux Préambule Les façons d’offrir les soins de santé et les services sociaux à la population québécoise ont grandement évolué ces dernières années. Le virage ambulatoire et la modernisation des modes de prestation de ces soins et de ces services ont entraîné des changements majeurs dans les caractéristiques du réseau sociosanitaire. Les périodes de traitement et leur suivi demandent la participation de multiples professionnels, de disciplines et de niveaux de spécialisation variés, travaillant dans des lieux différents. Les échanges d’information qui en découlent doivent être soutenus par la mise en place de technologies de l’information ou d’actifs informationnels. Le besoin se faisant de plus en plus pressant d’obtenir une information fiable, il faut, à partir d’un consentement éclairé, y avoir accès instantanément, en tout temps, et pouvoir la communiquer en toute sécurité, en conformité avec les valeurs et les principes associés à la protection de la vie privée.

Pour se donner les conditions optimales permettant de relever ces défis, et considérant l’apport grandissant des technologies de l’information, le ministère de la Santé et des Services sociaux ainsi que ses partenaires mettent en place un cadre global de gestion sur la sécurité des actifs informationnels appartenant aux organismes du RSSS dont la présente Politique nationale constitue l’élément de base. 1. Objectif La Politique nationale sur la sécurité des actifs informationnels définit un ensemble d’énoncés et de principes afin d’assurer la sécurisation adéquate des informations électroniques et de leurs dérivés sur support papier (impressions), informations de nature clinique, clinico-administrative et administrative portant principalement sur les usagers et les activités du système de la santé et des services sociaux du Québec.

2. Domaine d’application Les organismes assujettis à l’application de la présente politique sont les suivants : le ministère de la Santé et des Services sociaux, les régies régionales et les établissements. Toute personne morale ou physique, travaillant ou non dans 7

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ces organismes, autorisée à accéder aux actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux (RSSS) est également assujettie à la Politique nationale par l’entremise des formulaires d’engagement que les autorités de ces organismes signent. 3. Énoncés généraux 3.1 Le plus haut dirigeant de l’organisme demeure l’ultime responsable de la sécurité des actifs informationnels utilisés au sein de l’organisme qu’il dirige.

3.2 Les organismes visés par la politique sont responsables devant le ministre de la Santé et des Services sociaux du Québec. 3.3 Le dirigeant d’un organisme prend les moyens nécessaires à la mise en œuvre et à la gestion de la sécurité, notamment en dotant l’organisme d’une politique sur la sécurité qui soit en concordance avec la Politique nationale sur la sécurité des actifs informationnels et qui complète celle-ci afin de prendre en compte les rôles, responsabilités et mesures énoncés dans le Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité.

3.4 Les mesures du Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité sont obligatoires et minimales. 4. Principes 4.1 Toute personne au sein de l’organisme ayant accès aux actifs informationnels assume des responsabilités particulières en matière de sécurité et doit répondre de ses actions auprès du dirigeant de l’organisme. 4.2 La gestion de la sécurité des actifs informationnels repose sur une compréhension commune et sur une approche globale de la sécurité. Cette approche tient compte des aspects humains, organisationnels, juridiques et techniques, elle demande la mise en place d’un ensemble de mesures coordonnées.

4.3 Afin de déterminer les mesures de sécurité qu’il serait approprié de mettre en place, les actifs informationnels appartenant aux organismes du RSSS et leurs détenteurs font l’objet d’une identification ; ces actifs font aussi l’objet d’une classification selon leur valeur et leur sensibilité. Enfin, en fonction de cette classification, l’inventaire des risques et des menaces est établi pour les actifs répertoriés.

4.4 Des mesures de protection, de prévention, de détection et de correction ainsi que des mesures disciplinaires doivent être mises en place afin d’assurer la sécurité des actifs informationnels appartenant aux organismes du RSSS. Ces mesures visent à assurer : 8

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ a) la disponibilité, laquelle est la propriété d’une information d’être accessible et utilisable en temps voulu et de la manière adéquate par une personne autorisée ; b) l’intégrité, laquelle est la propriété d’une information ou d’une technologie de l’information de n’être ni modifiée, ni altérée, ni détruite sans autorisation ; c) la confidentialité, laquelle est la propriété d’une information d’être accessible aux seules personnes autorisées ; d) l’ authentification, laquelle est une fonction permettant d’établir la validité de l’identité d’une personne ou d’un dispositif ; e) l’ irrévocabilité, laquelle est la propriété d’un acte d’être définitif et clairement attribué à la personne qui l’a accompli ou au dispositif avec lequel cet acte a été accompli.

4.5 L’organisation de la sécurité s’articule autour de trois axes majeurs : a) la mise en place du volet sur la sécurité du cadre global de gestion des actifs informationnels au sein du RSSS de façon à protéger les actifs informationnels durant tout le cycle de vie de l’information ; b) la définition des rôles, des responsabilités et des procédures afin d’assurer la coordination, la mise en place, le suivi et l’évaluation du cadre global de gestion sur la sécurité ; c) la conception et l’application par les organismes d’une politique sur la sécurité en concordance avec le Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité. 4.6 Pendant la conception ou le développement de tout nouveau projet d’informatisation, les obligations réglementaires et normatives en matière de sécurité seront nécessairement prises en compte. 4.7 Afin d’outiller les représentants des organismes du RSSS et les utilisateurs autorisés à accéder aux actifs informationnels appartenant à ces organismes, il est nécessaire de concevoir un programme continu de sensibilisation et de formation sur la sécurité. Ce programme contient et explique, entre autres, la politique sur la sécurité adoptée par l’organisme ainsi que la documentation élaborée notamment en fonction du volet sur la sécurité du cadre global de gestion des actifs informationnels. 4.8 Les organismes du RSSS précisent leurs exigences en matière de sécurité des actifs informationnels dans les ententes et contrats signés avec d’autres organismes du RSSS ou d’autres organismes externes. 4.9 Tout manquement à la sécurité fait l’objet d’une vérification afin de rendre compte de la situation au responsable et d’appliquer les mesures correctrices.

4.10 Toute personne qui enfreint les dispositions de la politique adoptée par l’organisme pour lequel elle travaille s’expose à des mesures disciplinaires ou administratives, en fonction de la gravité et des 9

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ conséquences de son geste. Ces mesures peuvent inclure la suspension des privilèges relatifs à l’accès aux actifs informationnels, la réprimande, la suspension ou le congédiement, et ce, conformément aux dispositions des conventions collectives. 4.11 Pour prendre en compte les changements organisationnels et technologiques ainsi que l’évolution des menaces et des risques, les mesures de sécurité retenues font l’objet de réévaluations périodiques. Des évaluations relatives à d’autres aspects de la sécurité sont également effectuées ; elle comportent des vérifications et des audits qui font partie intégrante de la gestion de la sécurité de l’organisme. 5. Entrée en vigueur, implantation, évaluation et modification La présente politique entre en vigueur à la date de son approbation par le sous- ministre de la Santé et des Services sociaux. À compter de cette date, les organismes visés disposent d’une période de trois ans pour procéder à son adaptation en fonction de leurs caractéristiques et à son implantation. La politique est évaluée annuellement afin de tenir compte des nouveaux besoins, des nouvelles pratiques et technologies, des nouvelles menaces et risques encourus.

Toute modification à la présente politique doit être approuvée par le sous-ministre de la Santé et des Services sociaux. Entrée en vigueur le : 10

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ II Rôles et responsabilités des acteurs en matière de sécurité des actifs informationnels Les rôles et responsabilités concernant l’approbation, la mise en place, la coordination, le développement, le suivi et l’évaluation du Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité sont répartis en deux catégories selon qu’ils touchent soit l’ensemble du réseau de la santé et des services sociaux – catégorie regroupant les rôles et responsabilités stratégiques communs à toutes les composantes de ce réseau –, soit les organismes du RSSS et les utilisateurs des actifs informationnels appartenant à ces organismes – catégorie qui comprend les rôles et responsabilités se rapportant à la mise en œuvre ou à l’application des mesures de sécurité qu’ils sont susceptibles d’adapter. Chacun des acteurs assume des responsabilités en matière de sécurité qui lui sont propres et doit répondre de ses actes.

1. Attribution des rôles et responsabilités touchant l’ensemble du RSSS 1.1 Le ministre de la Santé et des Services sociaux Le ministre, en tant que responsable ultime du réseau de la santé et des services sociaux : a) définit les valeurs et les orientations en matière de sécurité des actifs informationnels pour l’ensemble du RSSS ; b) assure tant le respect que l'application des lois et politiques relatives à la gestion de la sécurité au sein du RSSS ; c) informe l’Assemblée nationale de la situation en ce qui concerne la sécurité des actifs informationnels appartenant aux organismes du RSSS.

11

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ 1.2 Le sous-ministre de la Santé et des Services sociaux Le sous-ministre est responsable de la gestion de la sécurité des actifs informationnels appartenant aux organismes du RSSS. À ce titre, il : a) prend les dispositions nécessaires pour que le réseau de la santé et des services sociaux soit doté d'une politique nationale accompagnée des mécanismes appropriés de gestion, d'évaluation et de suivi ; b) s'assure que les orientations prises en matière de sécurité sont cohérentes avec les politiques, les directives et les autres dispositions décidées par le gouvernement du Québec à ce sujet ; c) rend compte au ministre de la situation en ce qui concerne la sécurité des actifs informationnels appartenant aux organismes du RSSS.

1.3 Le Comité national de protection des renseignements personnels et de sécurité Relevant du sous-ministre de la Santé et des Services sociaux, le Comité national de protection des renseignements personnels et de sécurité (CNPRPS) : a) assume le suivi des travaux en matière de sécurité à l'intérieur du RSSS, c’est- à-dire qu’il donne des avis ; qu’il s’assure de la cohérence des travaux de sécurité ; qu’il mandate des groupes de travail pour l’élaboration de propositions de sécurité et qu’il suit l’avancement de leurs travaux ; b) propose pour adoption au sous-ministre tous les éléments stratégiques relatifs au Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité et à ses modifications subséquentes ; c) informe le sous-ministre de toute situation particulière en matière de sécurité des actifs informationnels appartenant aux organismes du RSSS ; d) réunit les représentants des divers secteurs d’activités du réseau sociosaniaire. La composition du comité est la suivante : ¾ Personne responsable du dossier relatif à la protection des renseignements personnels, représentant le Ministère (coprésidente) ; ¾ Personne responsable du dossier relatif à la sécurité, représentant le Ministère (coprésidente) ; ¾ Personne représentant l’Association des centres jeunesse du Québec ; ¾ Personne représentant l’Association des hôpitaux du Québec ; ¾ Personne représentant l’Association des CLSC et des CHSLD du Québec ; 12

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ¾ Personne représentant l’Association des gestionnaires informatiques du réseau sociosanitaire ; ¾ Personne représentant l’Ordre professionnel des travailleurs sociaux du Québec ; ¾ Personne représentant l’Ordre des infirmières et infirmiers du Québec ; ¾ Personne représentant l’Association québécoise des archivistes médicales ; ¾ Personne représentant le Collège des médecins du Québec ; ¾ Personne représentant les régies régionales ; ¾ Personne représentant l’Association sur l’accès et la protection de l’information (ressource du réseau de la santé et des services sociaux) ; ¾ Personne représentant le Sous-secrétariat à l’inforoute et aux ressources informationnelles du Secrétariat du Conseil du trésor (responsabilité gouvernementale en sécurité des technologies de l’information) ; ¾ Personne représentant le ministère des Relations avec les citoyens et de l’Immigration (responsabilité gouvernementale en en ce qui concerne la protection des renseignements personnels) ; ¾ Personne représentant la Régie de l’assurance maladie du Québec ; ¾ Personne représentant la Sogique.

1.4 Le coordonnateur de la sécurité des actifs informationnels appartenant aux organismes du RSSS Le coordonnateur de la sécurité des actifs informationnels appartenant aux organismes du RSSS, nommé par le sous-ministre : a) assume la coordination des activités relatives à la mise en œuvre des mesures de sécurité dans l’ensemble du RSSS, en collaboration avec les coordonnateurs régionaux de la sécurité des actifs informationnels ; b) s’occupe, en étroite collaboration avec le CNPRPS, de la planification et de la mise en œuvre, à travers le RSSS, de tous les volets sur la sécurité du cadre global de gestion et informe périodiquement le Comité du degré d’avancement des travaux ainsi que du bilan de la situation en matière de sécurité en plus d’assumer le secrétariat du CNPRPS ; c) gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle nationale et procède à des évaluations de la situation en matière de sécurité ; d) produit, annuellement et au besoin, des bilans nationaux de la situation en matière de sécurité des actifs informationnels appartenant aux organismes du RSSS, bilans qu’il soumet au sous-ministre, au CNPRPS et aux coordonnateurs régionaux de la sécurité. 13

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ 1.5 Les présidents-directeurs généraux des régies régionales de la santé et des services sociaux Les présidents-directeurs généraux des régies régionales : a) s’occupent de l’application du volet sur la sécurité du cadre global de gestion dans leur région respective ; b) adaptent au contexte régional, s’il y a lieu, le volet sur la sécurité du cadre global de gestion en veillant à ce que les adaptations ne soient pas moins restrictives que les dispositions fixées dans la Politique nationale sur la sécurité des actifs informationnels.

c) nomme le coordonnateur régional de la sécurité des actifs informationnels 1.6 Le coordonnateur régional de la sécurité des actifs informationnels Le coordonnateur régional de la sécurité des actifs informationnels : a) coordonne, à l’échelle régionale, la mise en application du Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité de façon à réduire les risques à un niveau jugé acceptable par le RSSS ; b) planifie, en collaboration avec les établissements, la mise en œuvre et le suivi de toutes les mesures de sécurité dans la région ainsi que la production de tous les rapports à l’intention du conseil d’administration de la régie régionale et du coordonnateur de la sécurité des actifs informationnels appartenant aux organismes du RSSS ; c) met en place les mécanismes d’évaluation et de contrôle pour s’assurer de l’application efficace des orientations et des mesures de sécurité retenues ; d) gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle régionale et procède à des évaluations de la situation en matière de sécurité. 1.7 La Régie de l’assurance maladie du Québec En vertu de l’article 2 de la Loi sur la Régie de l’assurance maladie du Québec, la Régie est dépositaire des données en matière de santé et de services sociaux que lui confie, par entente soumise à l’application de l’article 70 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, entre autres, le ministre de la Santé et des Services sociaux. 14

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Dans le cadre de la réalisation de ses mandats, la Régie applique les mesures de sécurité contenues dans chacune des ententes de dépôt de données signées avec le ministre de la Santé et des Services sociaux, ou tout autre signataire prévu au 3e alinéa de l’article 2 de la Loi sur la Régie de l’assurance maladie du Québec, et approuvées par la Commission d’accès à l’information. De plus, la Régie assure, d’une part, la mise en place de services permettant un accès sélectif et fiable aux données sociosanitaires qu’elle détient et, d’autre part, la transmission sécuritaire des données nécessaires aux usagers, aux professionnels et aux organismes du réseau de santé et des services sociaux. Ces activités sont réalisées en conformité avec le présent cadre global de gestion sur la sécurité.

2. Attribution des rôles et responsabilités touchant les organismes et les utilisateurs 2.1 Le conseil d’administration de l’organisme Le conseil d’administration de l’organisme : a) adopte la politique et le plan d’action établis par l’organisme en matière de sécurité des actifs informationnels, lesquels sont conformes à la Politique nationale et au cadre global de gestion portant sur cette question, et suit leur application dans l’établissement ; b) reçoit et entérine le bilan annuel de l’organisme concernant la sécurité de ces actifs avant de le soumettre au coordonnateur de la sécurité du palier supérieur ; c) nomme le responsable de la sécurité des actifs informationnels. 2.2 Le dirigeant de l’organisme (incluant le sous-ministre pour le MSSS) Le dirigeant de l’organisme est le garant de la mise en œuvre de la politique sur la sécurité des actifs informationnels adoptée par l’organisme, laquelle politique doit être conforme au volet sur la sécurité du cadre global de gestion. À ce titre, il : a) prend toutes les mesures nécessaires à l’élaboration et à l’application de cette politique ; b) nomme le responsable de la sécurité des actifs informationnels ; 15

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ c) informe et mobilise les gestionnaires et le personnel de l’organisme au sujet de l’application du cadre global de gestion sur la sécurité ; 2.3 Le responsable de la sécurité des actifs informationnels Le responsable de la sécurité des actifs informationnels veille à l’élaboration et à l’application de la politique sur la sécurité adoptée par l’organisme. Dans cette perspective, il collabore avec tous les gestionnaires et, en particulier, avec le gestionnaire qui est en charge des technologies de l’information. Plus précisément, le responsable de la sécurité de l’organisme : a) élabore la politique sur la sécurité des actifs informationnels qui sera adoptée par l’organisme et soumet cette politique au directeur général et au conseil d’administration de l’organisme pour approbation ; b) met en place et préside le comité de protection des renseignements personnels et de sécurité de l’organisme, qui pourrait être formé du responsable de la sécurité, de gestionnaires, d’un vérificateur interne, de détenteurs, de représentants des ressources humaines, financières et matérielles ainsi que d’un juriste ; c) coordonne, avec les secteurs visés et en concordance avec les orientations régionales, la mise en œuvre de la politique sur la sécurité adoptée par l’organisme et en suit l’évolution ; d) identifie, en collaboration avec les gestionnaires, les détenteurs d’actifs informationnels dans leur secteur respectif ; e) s’informe des besoins en matière de sécurité auprès des détenteurs et des gestionnaires, leur propose des solutions et coordonne la mise en place de ces solutions ; f) gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle locale et procède à des évaluations de la situation en matière de sécurité ; g) suit la mise en œuvre de toute recommandation découlant d’une vérification ou d’un audit ; h) produit annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité des actifs informationnels appartenant à l’établissement en s’assurant que l’information sensible à diffusion restreinte est traitée de manière confidentielle et, après approbation du directeur général et du conseil d’administration, les soumet au coordonnateur régional de la sécurité des actifs informationnels.

16

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ N.B. : Selon la taille et les caractéristiques organisationnelles des organismes, il est possible que les rôles et responsabilités décrits ci-après soient assumés par plusieurs personnes. 2.4 Les détenteurs Les détenteurs : a) assurent la sécurité d’un ou de plusieurs actifs informationnels, qu’ils leur soient confiés par le sous-ministre, le dirigeant de l’organisme ou un tiers mandaté ; b) s’impliquent dans l’ensemble des activités relatives à la sécurité, notamment l’évaluation des risques, la détermination du niveau de protection visé, l’élaboration des contrôles non informatiques et, finalement, la prise en charge des risques résiduels ; c) s’assurent que les mesures de sécurité appropriées sont élaborées, approuvées, mises en place et appliquées systématiquement en plus de s’assurer que leur nom et les actifs dont ils assument la responsabilité sont consignés dans le registre des autorités ; d) déterminent les règles d’accès aux actifs dont ils assument la responsabilité avec l’appui du responsable de la sécurité des actifs informationnels de l’organisme.

2.5 Le responsable de l’application de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Le responsable de l’application de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., c. A-2.1) veille au respect de la Loi et, pour ce faire, collabore avec le responsable de la sécurité des actifs informationnels à toutes les étapes du cycle de vie de l’information.

2.6 Les utilisateurs Les utilisateurs : a) appliquent et respectent les lois et règlements qui régissent leur domaine d’activités ainsi que toutes les politiques, mesures et procédures en matière de sécurité des actifs informationnels auxquelles ils sont assujettis ; 17

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ b) avisent leur supérieur immédiat de toute situation portée à leur connaissance et qui est susceptible de compromettre la sécurité des actifs informationnels appartenant à l’organisme. 3. Modification Les rôles et responsabilités des différents acteurs en matière de sécurité doivent être évalués périodiquement afin de tenir compte des nouveaux besoins, des changements organisationnels, des pratiques récentes et des nouvelles technologies utilisées par les organismes du RSSS. Toute modification aux présents rôles et responsabilités doit être approuvée par le sous-ministre de la Santé et des Services sociaux.

18

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ III Mesures en matière de sécurité des actifs informationnels N.B. : Les responsables de la sécurité des actifs informationnels sont invités à évaluer les conséquences que l’application des mesures proposées aura dans leur organisation respective et à communiquer les résultats de leur évaluation tant à la régie régionale dont leur organisme dépend qu’au coordonnateur de la sécurité des actifs informationnels appartenant aux organismes du RSSS. L’annexe 2 présente une grille synthèse des mesures proposées et constitue un outil susceptible d’aider les responsables à faire leur évaluation. Cette grille précise quelles sont les mesures exigées par la Commission d’accès à l’information.

1. Nature des mesures Les mesures en matière de sécurité des actifs informationnels doivent être mises en place par les organismes du RSSS et les utilisateurs des actifs informationnels appartenant à ces organismes afin d’assurer la sécurité desdits actifs. Ces mesures obligatoires constituent un minimum auquel les organismes et les utilisateurs sont astreints. Elles sont indiquées par une puce en forme de pointe de flèche. Dans un souci de cohérence, deux critères ont été retenus pour la détermination des mesures : ƒ elles doivent être applicables à tous les types d’organismes et d’utilisateurs ; ƒ elles seront libres de contraintes budgétaires et de délais d’implantation. Les mêmes critères vaudront pour la mise à jour des mesures existantes et le choix de nouvelles mesures.

Ces mesures obligatoires et minimales sont complétées par un ensemble de pratiques optionnelles et de suggestions qui sont présentées à la section IV, intitulée «Répertoire des procédures optionnelles en matière de sécurité des actifs informationnels». 2. Portée des mesures Les mesures en matière de la sécurité des actifs informationnels dans le RSSS s’appliquent au ministère de la Santé et des Services sociaux, aux régies régionales et aux établissements. Quant aux personnes qui ne sont pas du réseau sociosanitaire et dont la pratique professionnelle exige qu’elles aient accès aux 19

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux, elles doivent s’engager, par la signature d’un formulaire, à assurer la protection et la sécurité des renseignements personnels mis à leur disposition. La diversité des applications et des infrastructures technologiques appartenant aux organismes ne permet pas de prévoir toutes les situations dans des mesures détaillées. Par conséquent, les mesures obligatoires décrites ici serviront de base aux responsables de la gestion de la sécurité des actifs informationnels pour définir les mesures propres à l’organisme pour lequel ils travaillent. 3. Plans d’action Pour chaque actif informationnel identifié et classé selon sa valeur et sa sensibilité, un plan d’action doit être établi. Ce plan d’action comprend des mesures relatives à la sécurité physique, à la sécurité logique, à la sécurité de l’exploitation de ces actifs, à la sécurité des applications et à la sécurité des télécommunications, le cas échéant.

Les plans d’action peuvent contenir certaines des pratiques et des suggestions présentées à la section IV, intitulée «Répertoire des procédures optionnelles en matière de sécurité des actifs informationnels», ou, encore, d’autres mesures correspondant aux besoins et caractéristiques de l’organisme. 3.1 Classification des actifs informationnels ¾ 1- Les organismes du RSSS doivent produire et tenir à jour l’inventaire de leurs actifs informationnels, la liste des détenteurs de ces actifs, la classification de ces actifs en fonction de leur valeur et de leur sensibilité ainsi que les plans d’action établis pour les protéger. 3.2 Évaluation des risques et des menaces L’analyse des risques et des menaces permet de déterminer les niveaux de risques, acceptables ou non, au regard des impératifs de la sécurité informatique et au regard de la capacité de l’organisme à y résister. Cette analyse consiste en une étude complète des actifs informationnels et de leur vulnérabilité. Elle est effectuée dans le but d’évaluer les pertes prévisibles consécutives à des bris de sécurité, selon une estimation de la probabilité que ces bris surviennent.

20

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ¾ 2- Les organismes du RSSS doivent évaluer, périodiquement mais aussi au besoin, les risques et les menaces pour tous leurs actifs informationnels afin de tenir compte des incidents survenus, tels que les intrusions et la détection de virus, et des modifications significatives de l’environnement technologique, comme le raccordement au RTSS ou le déploiement de nouvelles applications. 4. Mesures de sécurité Les mesures de protection, de prévention, de détection et de correction nécessaires pour assurer la sécurité des actifs informationnels appartenant aux organismes du RSSS concernent : ƒ la sécurité physique ; ƒ la sécurité logique ; ƒ la sécurité de l’exploitation de ces actifs ; ƒ la sécurité des applications ; ƒ la sécurité des télécommunications. Toutes ces mesures visent à assurer la disponibilité, l’intégrité et la confidentialité de l’information ainsi qu’à garantir l’authentification des utilisateurs et l’irrévocabilité des actes accomplis par les utilisateurs. ¾ 3- Toute information portant sur des processus ou des mesures touchant la sécurité des actifs informationnels doit être gérée de façon confidentielle par l’organisme.

4.1 Sécurité physique La sécurité physique des actifs informationnels concerne les aspects liés au matériel et à l’environnement entourant ce matériel. La sécurité physique porte principalement sur les ordinateurs centraux, les mini-ordinateurs, les serveurs des réseaux locaux, le matériel de télécommunications et autres actifs informationnels du même genre. Pour assurer la sécurité physique des actifs informationnels appartenant aux organismes du RSSS, les mesures qui suivent doivent être appliquées. 21

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ 4.1.1 Pour l’emplacement des installations et du matériel ¾ 4- Les locaux où se trouvent les ordinateurs centraux, les mini-ordinateurs, les serveurs des réseaux locaux, le matériel de télécommunications et autres actifs informationnels doivent : − être situés dans des endroits protégés contre les catastrophes naturelles (ex. : verglas, inondations) ou accidentelles (ex. : bris d’aqueduc ou de tuyauterie, surchauffe, déclenchement de gicleurs) ; − être protégés par des mécanismes de contrôle d’accès ; − être munis de systèmes de chauffage, de ventilation et de climatisation conformes aux normes recommandées par les fournisseurs ; − être munis d’un système d’alimentation électrique sans interruption et d’un système de protection contre les incendies ; − permettre de voir les faits et gestes du personnel autorisé présent à l’intérieur du local (aire ouverte).

¾ 5- Les équipements, ce qui comprend les imprimantes, les photocopieurs et les télécopieurs, doivent être placés de façon à éviter toute utilisation et observation non autorisées. 4.1.2 Pour le contrôle de l’accès aux locaux ¾ 6- L’accès aux locaux où se trouvent les ordinateurs centraux, les mini- ordinateurs, les serveurs des réseaux locaux, le matériel de télécommunications et autres actifs informationnels doit être limité au strict minimum et réservé aux personnes autorisées uniquement.

¾ 7- Une liste des personnes autorisées à accéder à ces locaux doit être constituée. Outre le nom de ces personnes, la liste comporte l’énumération des tâches autorisées pour chacune d’entre elles et la durée habituelle de leur intervention ; cette liste doit être mise à jour périodiquement. ¾ 8- Un mécanisme de contrôle de l’entrée et de la sortie des personnes qui accèdent aux locaux sécurisés doit être mis en place. ¾ 9- Le personnel externe (ex. : fournisseurs, consultants, tiers n’étant pas des employés) chargé de l’entretien et de la réparation des équipements ou de tout autre type d’intervention permise doit être accompagné par une personne autorisée.

22

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ 4.1.3 Pour le matériel informatique (incluant les portables) ¾ 10- L’inventaire des équipements, précisant la localisation et l’assignation principale de ces équipements doit être constitué et tenu à jour. ¾ 11- La configuration de base des équipements installés doit être définie et tenue à jour. ¾ 12- Le registre de l’entretien des équipements doit être constitué et tenu à jour. ¾ 13- Les équipements déclarés en surplus ou mis au rebut doivent être exempts d’information électronique avant leur abandon.

¾ 14- Les renseignements nominatifs ou de nature sensible contenus sur les supports magnétiques (disque dur, disquette, CD-ROM) que l’on désire éliminer doivent être détruits de façon à ce que leur caractère confidentiel soit protégé. ¾ 15- L’information contenue sur tout équipement à déplacer doit, au préalable, être analysée et, le cas échéant, éliminée. ¾ 16- Des procédures ou des mécanismes de protection contre l’utilisation non autorisée et le vol des équipements doivent être mis en place. ¾ 17- L’organisme doit instaurer une procédure obligatoire pour autoriser la sortie d’équipements hors de ses installations.

4.2 Sécurité logique La sécurité logique concerne principalement la gestion du contrôle de l’accès aux données lequel contrôle comprend l’identification, l’authentification et l’autorisation. Pour assurer la sécurité logique des actifs informationnels appartenant aux organismes du RSSS, les mesures qui suivent doivent être appliquées. 4.2.1 Pour le contrôle de l’accès aux actifs informationnels ¾ 18- Un mécanisme d’identification et d’autorisation doit être mis en place afin de limiter aux seules personnes autorisées l’accès aux actifs informationnels. ¾ 19- L’autorisation d’avoir accès aux actifs informationnels à l’aide d’un identifiant doit être suspendue après un nombre prédéterminé (cinq au maximum) d’erreurs d’inscription du mot de passe par l’utilisateur. ¾ 20- Les privilèges relatifs à l’accès doivent être accordés et mis à jour selon les tâches et responsabilités de chaque utilisateur. L’accès doit être révoqué ou 23

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ suspendu lorsque l’utilisateur s’absente pour une période de plus de six semaines ou quitte définitivement l’organisme. L’outil de gestion des privilèges informatiques ou administratifs doit comporter des mécanismes permettant de réviser, de suspendre, de révoquer, de bloquer ou de radier ces privilèges en tout temps. ¾ 21- Les privilèges d’accès accordés aux utilisateurs doivent être inscrits dans un registre maintenu à jour. L’utilisateur qui a accès à des données personnelles ou sensibles signe un formulaire par lequel il s’engage à en respecter la confidentialité.

¾ 22- L’identifiant doit être différent pour chaque utilisateur sauf en de rares exceptions incontournables, définies et pour lesquelles les autorisations préalables ont été accordées par le responsable attitré ; ces autorisations doivent être consignées dans un registre prévu à cette fin. ¾ 23- L’identifiant qui n’a pas été utilisé pendant une période donnée (un an au maximum) doit être désactivé ou détruit à la suite d’une vérification préalable. ¾ 24- L’application qui accède à une autre application doit être considérée comme un utilisateur et être assujettie aux mesures applicables aux utilisateurs. 4.2.2 Pour l’authentification ¾ 25- Des mesures doivent être mises en place pour contrôler et protéger l’authentifiant de l’utilisateur.

¾ 26- Après une période d’inactivité prédéterminée (une heure au maximum), le système doit automatiquement redemander l’authentifiant de l’utilisateur ou mettre un terme à la session de travail. ¾ 27- Le système doit protéger la confidentialité des données servant à l’authentification des utilisateurs en empêchant, entre autres, l’affichage et l’impression de ces informations.

¾ 28- Le mot de passe comprendra des lettres, des chiffres ou des caractères spéciaux. Il doit être composé d’au moins 8 caractères et être changé au moins une fois tous les 90 jours. De plus, l’historique des 10 derniers mots de passe doit être conservé afin de s’assurer que les nouveaux mots de passe diffèrent des précédents. 4.2.3 Pour l’irrévocabilité des actes ¾ 29- Tous les accès doivent être journalisés. La journalisation doit obligatoirement permettre de connaître l’identité de l’utilisateur, le nom du fichier auquel cet utilisateur a eu accès, l’acte qu’il a accompli (création, lecture, impression, modification ou destruction d’un dossier), le code de 24

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ transaction ou le nom du programme, la date et l’heure de l’accès. La journalisation doit également consigner ces renseignements au moment d’une intervention liée à l’entretien des équipements. Note : La Commission d’accès à l’information exige la journalisation des numéros des dossiers consultés ou modifiés dans les banques de données médicales et médico-administratives.

¾ 30- Le calendrier de conservation de la journalisation doit être établi en fonction des lois, normes et règlements en vigueur. 4.3 Sécurité de l’exploitation des actifs informationnels La sécurité de l’exploitation des actifs informationnels concerne le bon fonctionnement desdits actifs. Les risques en cette matière sont l’interruption de service ou la perte de données. Pour assurer la sécurité de l’exploitation des actifs informationnels appartenant aux organismes du RSSS, les mesures qui suivent doivent être appliquées. 4.3.1 Pour le service de l’exploitation informatique ¾ 31- Le calendrier des tâches assurées par le service de l’exploitation informatique quant à l’installation, à l’entretien et à la mise à jour de chaque logiciel et application doit être établi en fonction des besoins définis par le détenteur de l’actif informationnel.

4.3.2 Pour le personnel du service de l’exploitation informatique ¾ 32- Le personnel affecté à l’exploitation des actifs informationnels ne doit pas accéder, sur une base continue, aux données de production. Une autorisation écrite par le détenteur de l’actif stipulera les circonstances lors desquelles l’accès et les modifications sont permis au personnel affecté à l’exploitation informatique ainsi que les contrôles que ce personnel pourra effectuer.

¾ 33- L’utilisation des données de production à des fins de formation des utilisateurs est interdite sauf si l’autorisation du détenteur d’un actif ne contenant aucune information personnelle est accordée et que des mesures de contrôle supplémentaires sont mises en place. 4.3.3 Pour la sauvegarde et la récupération des informations ¾ 34- Un plan de sauvegarde et de récupération des informations doit être élaboré et révisé périodiquement. Il précise, entre autres, la fréquence des copies de sécurité de toutes les informations (données, programmes informatiques, journaux d’accès), le lieu d’entreposage de ces copies, les personnes 25

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ responsables de cette activité et les calendriers de conservation établis selon la classification des actifs. ¾ 35- Les copies de sécurité contenant des informations de nature hautement sensible sont conservées dans des locaux extérieurs au site d’origine de ces informations. ¾ 36- Les copies de sécurité et les mécanismes de récupération des informations sont vérifiés régulièrement.

¾ 37- La circulation des copies doit être contrôlée et l’accès aux copies de sécurité, restreint aux seules personnes autorisées. 4.3.4 Pour la remise en état des systèmes ¾ 38- Un plan de reprise après sinistre (en cas de sinistre, de panne, d’intrusion, etc.) des systèmes en activité doit être mis par écrit et éprouvé régulièrement au moyen d’exercices de récupération des informations. Ce plan doit préciser, entre autres, le seuil de tolérance à l’interruption de chaque actif ainsi que les processus de relocalisation et les façons de revenir à la normale ; il doit également consigner l’historique des événements. ¾ 39- Tous les documents à jour relatifs au plan de reprise après sinistre doivent être conservés à l’extérieur du site.

4.3.5 Pour la gestion des mises à jour ¾ 40- Chaque organisme établit et applique des procédures et des mesures afin de continuer à assurer la sécurité des actifs informationnels pendant les changements apportés au système informatique. 4.3.6 Pour la protection contre les attaques ¾ 41- Des mécanismes de protection contre les attaques (ex. : virus, intrusion, déni de service) internes et externes doivent être mis en place et tenus à jour afin de suivre l’évolution des menaces.

¾ 42- Les accès non autorisés doivent être vérifiés. Des mesures préventives ou correctives doivent être appliquées pour les éviter. ¾ 43- Un processus d’escalade en cas d’attaque doit être établi et éprouvé ; ce processus comprend notamment les actions permettant la reconstitution de la preuve. 26

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ 4.4 Sécurité des applications Les mesures qui suivent ne font pas partie des exigences minimales de la Commission d’accès à l’information, mais elles sont tout de même obligatoires. La sécurité des applications concerne l’acquisition de logiciels et le développement des applications. Pour assurer la sécurité desdites applications, les mesures qui suivent doivent être appliquées.

¾ 44- La sécurité doit être prise en compte dans les processus d’acquisition des logiciels et de développement des applications et au moment d’intégrer ces logiciels et applications à l’environnement technologique de l’organisme. ¾ 45- Les logiciels et applications utilisés doivent être liés aux besoins d’affaires de l’organisme, être acquis légalement et respecter la Loi sur les droits d’auteur.

¾ 46- Les logiciels et applications partageables entre les organismes par l’intermédiaire d’un réseau de télécommunications doivent être soumis à l’organisme mandaté par le MSSS pour en faire la certification. ¾ 47- Les originaux des logiciels et des applications doivent être conservés sous clé et n’être accessibles qu’aux personnes autorisées. ¾ 48- Une documentation structurée, claire et à jour concernant chaque logiciel et application informatique détenus par les organismes du RSSS doit être conservée dans un endroit sécuritaire.

¾ 49- Les outils pour le soutien technique à distance (télédépannage et télédiagnostic) devront être préalablement homologués par le Bureau d’accueil et le Centre de certification avant d’être acquis et déployés. 4.5 Sécurité de l’impression Pour assurer la sécurité de l’impression, les mesures qui suivent doivent être appliquées. ¾ 50- L’impression d’informations confidentielles doit être limitée aux seules personnes autorisées par le détenteur de l’actif informationnel. ¾ 51- Les applications doivent permettre la gestion des profils afin de limiter l’impression d’informations personnelles aux seules personnes autorisées. ¾ 52- La clé « Print screen » et tous les outils de saisie d’image écran doivent être désactivés lorsque des informations nominatives apparaissent à l’écran afin d’empêcher l’impression non journalisée.

27

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ¾ 53- Le détenteur détermine la localisation et le nombre d’imprimantes utilisables pour l’impression d’informations confidentielles contenues dans l’actif informationnel dont il a la responsabilité. 4.6 Sécurité des télécommunications (réseaux locaux et étendus) Pour assurer la sécurité des télécommunications (réseaux locaux et étendus) des organismes du RSSS, les mesures qui suivent doivent être appliquées.

¾ 54- Les organismes doivent respecter les exigences minimales de raccordement au Réseau de télécommunications sociosanitaire (RTSS). ¾ 55- Les organismes doivent mettre en place une infrastructure réseau sécurisée intégrant les accès, les protocoles de communication, les systèmes d’exploitation et les équipements. ¾ 56- Les organismes doivent sécuriser les données véhiculées par l’intermédiaire d’un réseau de télécommunications. ¾ 57- Les organismes doivent faire évoluer les dispositifs de sécurité et les contrôles d'accès aux systèmes et aux données afin de contrer les nouvelles menaces et ils doivent vérifier périodiquement l’efficacité des mesures en place.

¾ 58- La disponibilité des services locaux de télécommunications doit être assurée en fonction des besoins du détenteur de l’actif informationnel. 5. Registres de sécurité ¾ 59- Les organismes du RSSS doivent élaborer et tenir à jour les trois registres de sécurité suivants : – le registre des autorités, contenant le nom des différents acteurs impliqués dans la gestion des actifs informationnels ainsi que leurs rôles et responsabilités ; – le registre des incidents, où sont consignés les événements ayant pu mettre en péril la sécurité des actifs informationnels ; – le registre des actes de gestion de la sécurité, contenant tout renseignement obtenu dans le cadre du processus de gestion de la sécurité ainsi que les documents, décisions ou directives rédigés par un acteur dans le cadre de ses fonctions en matière de sécurité.

28

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ 6. Contrats et ententes ¾ 60- Les contrats et les ententes touchant les actifs informationnels, signés avec d’autres organismes du RSSS, avec des organismes externes ou avec des tiers, doivent préciser les exigences à respecter en matière de sécurité. ¾ 61- Les contrats et ententes stipulent, entre autres, les points suivants : − le respect de la confidentialité ; − l’obligation de protéger les données, le mandataire étant responsable de l’application par son personnel de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels ; − les méthodes d'élimination des données stockées ; − les procédures relatives au contrôle et à l'entretien des voies de communication, à la résolution de problèmes, au contrôle de la configuration et au contrôle des changements ; − le calendrier des tâches ; − les restrictions quant aux périodes d'entretien des actifs informationnels de l’organisme ; − la cessation du contrat en cas de non-respect des exigences ; − le fait que ces exigences s’appliquent aussi aux fournisseurs (sous- traitants) du mandataire.

7. Évaluation de la sécurité En conformité avec le volet sur la sécurité du cadre global de gestion, la mesure qui suit doit être appliquée. ¾ 62- Les organismes doivent effectuer des vérifications et des audits, de façon périodique et au besoin, pour s’assurer du respect des mesures, des pratiques et des procédures relatives à la sécurité des actifs informationnels. Ils produiront des bilans périodiques portant sur les menaces ainsi que sur les mesures en place et celles qui sont prévues. Les menaces non contrées doivent être identifiées et la mise en place de nouvelles mesures de sécurité sera ensuite planifiée.

8. Programme de sensibilisation et de formation En conformité avec la Politique nationale sur la sécurité, les mesures qui suivent doivent être appliquées. ¾ 63- Les organismes doivent mettre en place des programmes de sensibilisation et de formation du personnel de manière à favoriser le développement des 29

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ compétences relatives à la sécurité des actifs informationnels, à l’application de la politique de sécurité adoptée par l’organisme et au Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité. ¾ 64- Les organismes doivent réévaluer périodiquement, et particulièrement au moment de l’intégration de nouveaux employés, de nouveaux systèmes, de nouveaux développements ou de nouvelles technologies, les besoins du personnel en ce qui concerne la sensibilisation et la formation en matière de sécurité.

9. Modification Les mesures sont évaluées périodiquement afin de tenir compte des nouveaux besoins, des pratiques récentes et des nouvelles technologies utilisées par les organismes du RSSS. Toute modification aux présentes mesures doit faire l’objet d’une recommandation du Comité national de protection des renseignements personnels et de sécurité, et être approuvée par le sous-ministre de la Santé et des Services sociaux.

30

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ IV Répertoire des procédures optionnelles en matière de sécurité des actifs informationnels 1. Classification des actifs informationnels Pour procéder à la classification des actifs informationnels, une méthode en deux étapes est proposée selon qu’il s’agit des données proprement dites ou de l’ensemble des actifs informationnels. Première étape : Classification des données Les données sont classifiées selon leur niveau de confidentialité, d’intégrité et de disponibilité en tenant compte : ƒ du caractère critique de l’information pour l’organisme, selon l’élément qui caractérise le mieux l’actif, entre autres : − l’incidence sur la qualité des services donnés aux usagers, − les contraintes ou les obligations légales, − l’incidence sur les engagements formels, − le fait de contenir des informations décisionnelles se rapportant à l’organisation, − l’utilité pour la gestion des ressources humaines, − l’utilité pour la gestion des ressources financières, − l’utilité pour le soutien des travaux de l’administration ; ƒ du caractère confidentiel et du niveau de confidentialité de l’information qui est : − nominative (relative à une personne physique et permet de l’identifier), − confidentielle ou stratégique (placée sous le sceau du secret), − publique (accessible à tous).

Note : Les données personnelles et les données de nature sensible ne forment pas une catégorie particulière. L’inventaire des données s’effectue à l’aide du formulaire de collecte des données. Selon l’ensemble des méthodes reconnues, ce formulaire devrait contenir les renseignements suivants : ƒ la description de la donnée ; ƒ le nom des fichiers ou des banques ; ƒ le nom des plates-formes ; ƒ les applications qui traitent ou véhiculent la donnée ; ƒ les principaux groupes, types et profils d’utilisateurs ; 31

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ƒ le type de données (selon la classification proposée dans les normes et pratiques) ; ƒ l’indication de la présence de données nominatives (avec ou sans consentement) ; ƒ la date de la révision de la classification. Les données devraient être classifiées en fonction des classes normalisées, indépendamment de la ou des plates-formes de résidence ou de transition. La classification devrait être revue : ƒ annuellement ou périodiquement ; ƒ pendant le développement d’un nouveau système ; ƒ au moment de l’implantation d’une nouvelle technologie. Chaque détenteur ou responsable de système détermine la classification des données dont il a la charge. Un guide est mis à sa disposition pour l’aider dans ce travail.

Deuxième étape : Classification des actifs Les actifs informationnels sont classifiés en fonction de la nature des données que l’actif traite ou emmagasine, tout en tenant compte des données les plus sensibles. Le formulaire d’inventaire des actifs informationnels est utilisé à cet effet. Ce formulaire devrait contenir les renseignements suivants : ƒ la description de la plate-forme ; ƒ la catégorie de données la plus critique ; ƒ des exemples de données appartenant à cette catégorie ; ƒ l’indication de la présence de données nominatives ; ƒ la date de la révision de la classification. La classification relève par la suite des responsables de chacun des actifs. Ces personnes ont également la responsabilité de proposer un réaménagement des données et des applications si une telle action permet de regrouper de manière plus fonctionnelle les données d’une même classe. Les formulaires et les outils servant à faire la classification ainsi que les documents produits montrant cette classification devraient être conservés par le responsable de la sécurité informatique de l’organisme. 2. Mesures de sécurité Pour l’évaluation des risques et des menaces, la méthode suivante est proposée : ƒ faire le relevé des dispositifs de sécurité en place et des mesures existantes en plus de décrire les menaces et les risques qui ont été pris en considération dans l’évaluation ; 32

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ƒ identifier les menaces et les risques auxquels sont soumis les actifs informationnels pour en déterminer la vulnérabilité ; ƒ déterminer le niveau des risques pour indiquer la probabilité que ces risques portent atteinte à l’actif et évaluer les conséquences d’une telle éventualité ; ƒ évaluer les mesures de sécurité en place et déterminer celles qui devraient être ajoutées ; ƒ ajouter les nouvelles mesures de protection appropriées ; ƒ revoir périodiquement l’évaluation des risques. 2.1 Sécurité physique 2.1.1 Emplacement des installations et du matériel Tout choix d’emplacement et toute installation de matériel devrait se faire en considérant les différents risques afférents (catastrophe naturelle, bris accidentel, conditions environnementales et électriques, accès du lieu permis ou non au personnel et au public, etc.). L’analyse se fera selon les différents types d’actifs informationnels.

a) Les postes de travail et les périphériques communs Les actifs constituant les postes de travail et les périphériques qui leur sont communs, par exemple les imprimantes et les télécopieurs, devraient être à proximité des utilisateurs puisqu’il n’est pas toujours possible de les placer dans des endroits plus sécuritaires. Ces actifs sont en général assez vulnérables étant donné qu’ils peuvent être vus et sont accessibles par bon nombre d’employés ou de personnes de l’extérieur.

Les conditions suivantes devraient toutefois être respectées : ƒ placer tout actif de cette catégorie de manière à ce qu’il soit visible en permanence (près d’un poste d’accueil, d’un secrétariat, etc) ; ƒ fixer tout actif au moyen du dispositif approprié ; ƒ éviter qu’un écran soit visible de l’extérieur d’un local muni de fenêtres et qu’un écran soit placé face aux fenêtres ou aux portes des pièces contiguës ; ƒ placer les imprimantes, les télécopieurs et les autres périphériques près des seules personnes autorisées ; ƒ déterminer un temps de mise en fonction très court pour les économiseurs d’écran des postes de travail.

33

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Sauf exception, ces actifs ne requièrent habituellement pas de conditions de chauffage ou de climatisation ni d’installations électriques particulières. b) Les serveurs et autres composantes communes Les serveurs et autres composantes communes sont, par définition, des actifs qui rendent différents services à un grand nombre d’utilisateurs. Il n’est pas nécessaire de les installer à proximité des utilisateurs ; il faut plutôt les placer dans des endroits sécuritaires.

c) Les locaux de câblage Les locaux où l’on retrouve des panneaux de raccordement et des composantes communes de télécommunications ou de téléphonie, par exemple, ne devraient être accessibles qu’aux personnes dûment autorisées, les portes étant verrouillées en permanence. On devrait également s’assurer que ces locaux sont exempts de toute tuyauterie, conduit, éclairage incandescent ou autre fonctionnalité pouvant présenter un risque relatif pour le bon fonctionnement des actifs qui s’y trouvent. d) Les copies de sécurité Chaque organisme devrait voir à ne pas conserver ses copies de sécurité près du serveur ou de l’actif qui en est la source. Lorsque cette situation se présente, l’organisme devrait définir des règles d’entrée et de sortie des copies de sécurité visant à limiter le temps où les copies sont à proximité de l’actif source. (Voir aussi plus loin la section 2.3.2, intitulée «Plan de sauvegarde et de récupération des informations».) 2.1.2 Contrôle de l’accès aux locaux Lorsque des mécanismes limitant l’accès aux locaux sont placés sur les portes pour protéger certains actifs, le détenteur ou le responsable de ces actifs devrait : ƒ constituer la liste des personnes ayant accès aux locaux ; ƒ définir les mesures de sécurité à mettre en place ; ƒ déterminer les moyens à utiliser pour faire le suivi des entrées et des sorties (certains produits automatisés, comme les cartes magnétiques, offrent la possibilité de conserver les traces du passage du personnel, ce qui évite de consigner sur du papier les entrées et les sorties) ; ƒ installer un registre de signature près de la porte pour les personnes qui ne font pas partie du personnel de l’organisme.

34

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ 2.1.3 Sécurité de l’équipement informatique Il est recommandé que les équipements traitant des renseignements nominatifs ou de nature sensible, par exemple les équipements biomédicaux, comportent des mécanismes physiques ou logiques de verrouillage. Il est également recommandé que les portables ne contiennent que les données nominatives nécessaires à la réalisation du travail prévu. Par ailleurs, trois procédures permettent de veiller à la sécurité physique des équipements : ƒ l’inventaire des équipements ; ƒ la gestion des configurations matérielles ; ƒ la procédure de sortie ou de mise au rancart du matériel. a) Inventaire des équipements L’inventaire permanent de l’équipement informatique et technologique devrait comprendre les renseignements suivants : ƒ la description de la composante ; ƒ le statut (actif, en surplus, etc.) ; ƒ la marque, le modèle et le numéro de série de la composante ; ƒ la date d’acquisition ; ƒ le vendeur (nom et coordonnées) ; ƒ le fournisseur du service d’entretien (nom et coordonnées) ; ƒ la localisation physique ; ƒ l’utilisateur principal ; ƒ le détenteur.

L’inventaire devrait être mis à jour de manière centralisée et uniquement par les personnes autorisées à effectuer les installations et les déplacements de matériel ou toute autre action ayant une incidence sur l’inventaire. b) Gestion des configurations matérielles La configuration de toute composante matérielle en usage devrait être connue. Il existe différents moyens de produire ces configurations. Par exemple, dans le cas des postes de travail, certains outils automatisés permettent de conserver une image sur disque de la configuration des postes et des serveurs. Plusieurs composantes ou systèmes d’exploitation ont par ailleurs la fonction « impression », ce qui permet de constituer le registre des configurations matérielles.

35

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Les schémas sont habituellement utilisés pour représenter la configuration, notamment quand il s’agit de systèmes de télécommunications. Il est important de conserver ces configurations, ou images de configurations, à l’extérieur de l’organisme. Le responsable de l’exploitation informatique s’occupe de la gestion des configurations matérielles. Il devrait produire ces schémas : ƒ au moment d’installer ou de modifier une composante ; ƒ quand un changement de version affecte la configuration ; ƒ à l’occasion d’un réaménagement physique ou administratif ; ƒ quand un équipement est déplacé ; ƒ au moment de procéder à la révision annuelle de ces configurations ; ƒ quand il y a une migration technologique.

c) Procédure de sortie ou de mise au rancart des équipements Différentes raisons peuvent amener une composante à sortir des murs d’un organisme. On peut penser à une réparation, au remplacement, à la mise au rancart ou encore à une déclaration de surplus. Toutes ces activités nécessitent une certaine préparation des équipements afin d’éviter la communication d’informations confidentielles à des tiers.

Le responsable de l’information numérique devrait voir à ce que toute composante qui sort temporairement ou définitivement de l’organisme soit soumise à la procédure établie, selon laquelle il faut : ƒ effectuer une copie de sécurité et transférer les données sur un autre appareil, si nécessaire ; ƒ effacer complètement les espaces magnétiques ; ƒ autoriser la sortie ou la mise au rancart ; ƒ enregistrer la sortie de la composante, le cas échéant ; ƒ sortir la composante de l’inventaire, le cas échéant. 2.2 Sécurité logique 2.2.1 Contrôle de l’accès aux actifs informationnels Le contrôle de l’accès aux actifs informationnels comporte trois fonctions : ƒ l’identification ; ƒ l’authentification ; ƒ l’autorisation. Ces fonctions sont basées sur des procédures, des règles et des mécanismes adaptés au type de technologie utilisée et elles peuvent donc varier pour un même organisme si des technologies différentes sont employées. 36

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ A c t i f s i n f o r m a t i o n n e l s U t i l i s a t e u r s IDENTIFICATION Identifiant: –Procédures, mécanismes et règles d'identification AUTHENTIFICATION Authentifiant: –Procédures, mécanismes et règles d'authentification AUTORISATION Registre de privilèges: –Procédures, mécanismes et règles de détermination de privilèges Contrôle de l’accès 2.2.1.1 Identification et authentification L’identification et l’authentification sont deux fonctions intimement liées. L’utilisateur qui fournit son identifiant sera reconnu comme l’utilisateur qu’il prétend être seulement en y associant son authentifiant. L’identifiant est un renseignement connu de l’organisme qui autorise l’accès, tandis que l’authentifiant est un renseignement connu de l’utilisateur seulement. Les mécanismes permettant l’identification et l’authentification sont variés. Le plus utilisé est le pairage d’un code d’identification et d’un mot de passe. D’autres mécanismes, tels que la carte à mémoire et les mécanismes biométriques, sont de plus en plus populaires.

Si l’on utilise le pairage d’un code d’identification et d’un mot de passe, des mesures devraient être prises afin de minimiser la vulnérabilité de ce mécanisme. On peut : ƒ désactiver ou détruire, à la suite d’une vérification, les codes d’identification qui n’ont pas été utilisés pendant une période donnée ; ƒ modifier périodiquement les mots de passe ; ƒ annuler le mot de passe après un certain nombre d’essais infructueux ; ƒ assigner un code d’identification à une seule personne ; 37

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ƒ masquer l’affichage du mot de passe ; ƒ définir une longueur minimale des mots de passe ; ƒ ne pas utiliser des mots de passe faciles à reproduire ou à déduire (date de naissance, prénom, etc.) ; ƒ ne pas réutiliser des mots de passe utilisés récemment ; ƒ ne pas transmettre des mots de passe en clair sur le réseau ; ƒ demander de nouveau le mot de passe, au cours d’une même session de travail, après une période d’inactivité déterminée. 2.2.1.2 Autorisation La troisième fonction, l’autorisation, permet par la suite d’accorder à l’utilisateur l’accès aux actifs informationnels selon son profil et les règles en vigueur dans l’organisme.

Le registre des utilisateurs contient les privilèges relatifs à l’accès accordés à chaque utilisateur pour chaque application ou service. Ces privilèges devraient être déterminés selon les tâches et responsabilités de l’utilisateur. Les activités d’inclusion, de modification et d’élimination des privilèges relatifs à l’accès devraient faire l’objet d’une procédure stricte. L’autorisation de la personne responsable de la sécurité ou d’une haute autorité de l’organisme ayant des responsabilités en matière de sécurité devrait être obligatoire pour permettre l’accès aux actifs informationnels. L’utilisateur devrait lire et signer une entente portant sur ses responsabilités en matière de sécurité par laquelle il déclare les accepter et s’y conformer.

2.2.2 Irrévocabilité Les principaux mécanismes pour assurer l’irrévocabilité d’un acte utilisent des techniques cryptographiques, avec des clés publiques et privées et la signature numérique. Avec la signature numérique il est primordial que les clés privées soient protégées contre la copie et la divulgation sans quoi on ne peut pas assurer l’irrévocabilité des actes. 38

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Un autre mécanisme faisant appel à des moyens combinés qui permettent de relier des actions à une même personne peut aussi être utilisé. Par exemple, l’accès physique à un établissement par carte magnétique sera jumelé à l’information se retrouvant dans les journaux électroniques des différents actifs bénéficiant de ce moyen de contrôle.

2.2.3 Journalisation Il est important de déterminer les événements à journaliser ainsi que les informations à conserver sur ces événements. Les journaux devraient être gérés de façon rigoureuse. Le journal des accès comprendra les informations suivantes : ƒ l’identification de l’utilisateur ou du service ; ƒ le nom du fichier ou de la ressource auquel l’utilisateur a eu accès ; ƒ le numéro du dossier auquel l’utilisateur a eu accès ; ƒ l’acte accompli (création, lecture, modification, destruction d’un dossier) ; ƒ le code de transaction ou le nom du programme ; ƒ la date et l’heure à laquelle l’accès a été accordé. La gestion des journaux, incluant le suivi des activités, devrait être faite par un nombre limité de personnes.

La période de conservation des journaux dépend de la Loi sur les archives. Cependant, si une enquête ou des procédures judiciaires sont entamées, les journaux seront conservés tant que le dossier ne sera pas fermé. 2.3 Sécurité de l’exploitation des actifs informationnels 2.3.1 Service de l’exploitation informatique Afin de garantir des services de qualité, tout actif informationnel devrait être caractérisé par un niveau de service minimal. Le niveau de service dépend des applications et des services qui sont supportés par chacun des actifs (voir la méthode proposée pour la classification des données). Plusieurs moyens sont envisageables pour obtenir le niveau de service souhaité : ƒ les mécanismes garantissant la disponibilité et l’accessibilité du personnel ; ƒ les ententes complémentaires avec des fournisseurs ; ƒ les technologies, concepts ou méthodes permettant de rehausser le niveau de service ; ƒ la répartition des tâches au sein du personnel du service de l’exploitation. 39

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Outre ces moyens, les différents niveaux de service attendus devraient également influencer le cadre de gestion de l’exploitation, qui se divise en plusieurs secteurs de gestion, notamment : ƒ les infrastructures logicielles et matérielles ; ƒ les espaces magnétiques ; ƒ la sécurité logique ; ƒ la capacité et la performance ; ƒ les problèmes et les changements. Ces secteurs de gestion devraient être régis par des procédures visant les activités de gestion courantes, telles que : ƒ le démarrage et l’arrêt des infrastructures matérielles et logicielles ; ƒ les règles à suivre en fonction des différents messages rapportés aux opérateurs ; ƒ l’épuration périodique des systèmes ; ƒ le suivi constant de la capacité et de la performance ; ƒ la production de rapports portant sur les problèmes rencontrés ; ƒ la récupération, partielle et globale, des informations ; ƒ la priorité des opérations, notamment en ce qui concerne les travaux en lot ; ƒ les actions à prendre en cas de violation de la sécurité ; ƒ l’imputabilité des opérations d’exploitation aux responsables ; ƒ l’escalade en cas de défaillance incluant la liste des numéros de téléphone des ressources concernées.

2.3.2 Plan de sauvegarde et de récupération des informations Le plan de sauvegarde et de récupération est un plan d’action établi en vue d’assurer la restauration des données en cas de perte. Ce plan devrait aborder les points suivants : ƒ la fréquence des copies de sécurité de toutes les informations ; ƒ la conservation dans des locaux sûrs, situés à l’extérieur du site d’origine des données, des copies de sécurité devant être conservées hors de l’organisme ; ƒ la conservation sous clé des copies de sécurité conservées dans les locaux de l’organisme ; ƒ le nombre, restreint, de personnes autorisées à faire ces copies ; ƒ le contrôle de la circulation des copies de sécurité ; ƒ la vérification régulière de la qualité des copies de sécurité. 2.3.3 Plan de reprise après sinistre Chaque organisme devrait déterminer, pour chacun des actifs informationnels, le seuil de tolérance à l’interruption du service en cas de sinistre. Après quoi l’organisme prévoira des moyens de poursuivre ses activités en cas de sinistre 40

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ainsi qu’un plan de reprise après sinistre axé sur les technologies. Des seuils de tolérance à l’interruption seront fixés pour les problèmes mineurs du type « continuité » et les problèmes majeurs du type « sinistre ». Les problèmes mineurs de type « continuité » sont définis comme des problèmes : ƒ de courte durée ; ƒ causant l'interruption d'une partie des services seulement ; ƒ habituellement liés au fonctionnement des composantes technologiques ; ƒ résolus localement par les ressources internes ou des ressources externes sous contrat permanent ; ƒ habituellement non perceptibles par les utilisateurs. À l'opposé, les caractéristiques des problèmes majeurs du type « sinistre » sont des problèmes : ƒ de longue durée ; ƒ causant l'interruption d'une grande partie ou de la totalité des services ; ƒ résultant d'une catastrophe ou d'un événement majeur ; ƒ exigeant une solution à grand déploiement impliquant la haute direction ; ƒ habituellement perceptibles par les utilisateurs ; ƒ résolus par des ressources externes spécialisées dans la reconstitution des actifs informationnels après un sinistre.

L’organisme devrait déterminer sa capacité de satisfaire les exigences relatives à la disponibilité des actifs informationnels en cas de bris ou de sinistre et apporter, s’il y a lieu, les correctifs nécessaires pour lui permettre de satisfaire ces exigences. Les correctifs à apporter pour solutionner les problèmes du type « continuité » concernent : ƒ la révision des ententes de service ; ƒ la modifications de l’infrastructure ; ƒ le rehaussement de l’infrastructure ; ƒ le réaménagement de composantes ; ƒ l’acquisition de matériel complémentaire. Dans le cas des correctifs à apporter pour solutionner les problèmes majeurs, différents scénarios peuvent alors être envisagés, dont les deux principaux sont la souscription et le site miroir.

41

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Souscription ƒ Approche impliquant la reconstitution ou la reconfiguration d’un site de production en cas de sinistre. Le délai de reprise normal est alors de deux ou trois jours. L’organisme procède à la reprise de ses opérations sur un site prévu à l’avance dans une entente signée avec un fournisseur spécialisé. Site miroir ƒ Approche impliquant une infrastructure disponible en permanence, ce qui permet de réduire le délai de remise en opération et la perte de données. Les deux infrastructures sont normalement intègres en raison du lien de télécommunication qui les unit.

2.3.4 Gestion des changements associés aux technologies de l’information Les types de configuration des équipements et des systèmes devraient être mis sur papier au moment de l’installation et mis à jour après chaque modification. La configuration minimale nécessaire à l’exécution des fonctions essentielles sera maintenue en tout temps pour les systèmes essentiels à la mission de l’organisme. 2.3.5 Protection contre les attaques Pour protéger les actifs informationnels contre les virus, les consignes sont les suivantes : ƒ utiliser un logiciel de détection de virus qui s’exécute lorsque l’ordinateur est amorcé. Une mise à jour régulière de la version du logiciel antivirus devrait être faite pour protéger les actifs informationnels contre les nouveaux virus ; ƒ examiner tous les logiciels et tout le matériel avant leur usage pour déceler la présence de virus ; ƒ effacer et reformater l’unité qui contient des fichiers infectés ; ƒ s’assurer qu’aucune copie de sécurité ne contient des virus et faire de nouvelles copies de sécurité après l’élimination des virus ; ƒ vérifier périodiquement les serveurs.

En ce qui concerne plus particulièrement les postes de travail, les consignes sont les suivantes : 42

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ƒ ne jamais utiliser des programmes ou des logiciels de provenance douteuse ou venant de l’extérieur, ni autoriser leur utilisation ; ƒ sensibiliser les utilisateurs aux dangers des infections informatiques ; ƒ vérifier les disquettes et les fichiers provenant de l’extérieur au moyen d’un logiciel antivirus avant leur utilisation sur les postes de travail. 2.4 Sécurité des applications La présente section porte sur certains aspects relatifs aux logiciels acquis et aux applications développées.

Il est recommandé : ƒ que toute acquisition de logiciels et tout développement d’applications servant à traiter des données nominatives ou de nature sensible fasse au préalable l’objet d’une analyse de risque ; ƒ que la documentation sur les logiciels et les applications informatiques soit conservée dans un endroit sécuritaire et qu’elle comprenne, notamment, l’analyse fonctionnelle, l’analyse organique, les programmes sources, les opérations ainsi que les instructions à l’intention des utilisateurs et des usagers.

2.4.1 L’ensemble des applications Seules des données fictives devraient être utilisées au cours du développement d’une application. Si la divulgation de données de production est nécessaire, le processus de sélection des données doit être encadré par le responsable de la sécurité des actifs informationnels. L’application qui accède aux données d’une autre application sera considérée comme un simple utilisateur. Il devrait être possible de retracer dans les journaux toute opération entre des applications. Le suivi de ces codes génériques fera également l’objet d’une analyse préventive périodique. Pour les usagers les droits d’accès aux dossiers informatisés demeurent les mêmes que lorsque le dossier est constitué de papiers. L’application devrait donc permettre toute extraction de renseignements et être conforme aux normes établies en la matière par l’organisme.

Toute application qui utilisera le RTSS doit obtenir, au préalable, une homologation du Bureau d’accueil et du Centre de certification. 43

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ 2.4.2 Logiciels supportés par des fournisseurs externes Selon le niveau de sensibilité de l’application ou des données, une procédure de reconnaissance de l’appelant visant à authentifier l’utilisateur qui désire accéder au système à distance peut être mise en place. Il est impératif de s’assurer que la procédure de rappel fournisse un journal d’accès ou de tentatives d’accès conforme aux attentes.

Toute demande d’accès à distance faite par un fournisseur devrait être étudiée par le détenteur de l’actif informationnel et le responsable de la sécurité des actifs informationnels avant d’être acceptée par le dirigeant de l’organisme. 2.5 Sécurité des télécommunications La sécurité des télécommunications vise à offrir, tant à l’utilisateur qu’aux applications communicantes, une connectivité fiable, de qualité et qui fonctionne, en tout temps, selon les notions défendues par le « DICAI » (disponibilité, intégrité, confidentialité, authentification et irrévocabilité). Pour sécuriser les télécommunications, on devrait procéder à la classification des actifs informationnels de télécommunications, à l’étude des risques et des menaces propres à ces actifs ainsi qu’à l’inventaire des liens d’interconnexion. Ces actions permettront de connaître les composantes qui devraient être protégées et de déterminer les mesures nécessaires pour assurer leur protection. 2.5.1 Inventaire et configuration des actifs informationnels en télécommunications Les composantes des réseaux sont : ƒ le matériel, tel que les serveurs, les aiguilleurs, les passerelles, les concentrateurs, les modems et les liens (câbles, fibres, etc.) ; ƒ les protocoles de communication ; ƒ les logiciels, tel que les systèmes d’exploitation réseau et les outils de gestion de réseaux.

L’inventaire des actifs informationnels de télécommunication devrait contenir les renseignements qui suivent : Pour le matériel : ƒ les circuits, les lignes ou les connexions attribués et le nom du fournisseur ; ƒ l’emplacement des terminaisons des circuits et des voies de transmission ; ƒ les liens utilisés (câbles, fibres, etc.) ; ƒ le statut du circuit ou de la voie de transmission ; 44

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ƒ la cote de sécurité attribuée à chaque voie ou circuit de transmission ; ƒ les identifiants des unités d’entrée et de sortie à distance ; ƒ le numéro de série et de modèle du matériel de communication (modems, concentrateurs, commutateurs, aiguilleurs) ; ƒ la configuration du matériel de communication, le cas échéant. Pour les logiciels : ƒ les programmes ; ƒ la base de données et les répertoires de configuration ; ƒ les utilitaires ; ƒ les numéros des licences. Pour chaque réseau : ƒ les dispositifs (serveurs, aiguilleurs, passerelles, etc.) ; ƒ le protocole ; ƒ les systèmes d'exploitation des réseaux et les logiciels d'application ; ƒ les supports de réseau et les méthodes de transmission ; ƒ les noms des nœuds (pour un document : nom, adresse du réseau, type, emplacement, responsable).

Les terminaisons ou les circuits de communication seront inscrits sur des étiquettes apposées sur l’équipement ou près de celui-ci, ou sur un schéma gardé à proximité de l’équipement. De plus, les câbles seront munis d’étiquettes permettant de les identifier. En ce qui concerne la configuration des réseaux de télécommunications, elle devrait être représentée sur papier sous forme schématique. Le document sera mis à jour périodiquement et au besoin.

Ce schéma devrait comprendre plus précisément : ƒ les composantes qui véhiculent des données nominatives ou de nature sensible (en fonction de la classification de l’actif lui-même) ; ƒ la configuration minimale nécessaire en cas de reprise. 2.5.2 Mécanismes de sécurité des réseaux de télécommunications Les principaux mécanismes de sécurité des réseaux de télécommunications permettent d’assurer la disponibilité, l’intégrité et la confidentialité des télécommunications ainsi que de garantir l’authentification des utilisateurs des réseaux et l’irrévocabilité des actes accomplis par ces utilisateurs. 45

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ 2.5.2.1 Pour assurer la disponibilité La disponibilité des réseaux de télécommunications devrait être maintenue, pendant une panne de matériel ou de logiciel, par des mécanismes tels que : ƒ des modules, des composants et des composantes de secours ; ƒ une liaison de secours ; ƒ des copies de sécurité. 2.5.2.2 Pour assurer l’intégrité Les mécanismes permettant d’assurer l’intégrité des réseaux de télécommunications sont de deux types, selon qu’ils concernent les fonctions des réseaux ou les données.

Pour les fonctions des réseaux : ƒ les systèmes de surveillance et de détection sont les principaux mécanismes qui permettent d’assurer l’intégrité des réseaux de télécommunications. Ils détectent toute anomalie sur le réseau. Pour les données : ƒ des protocoles de communication et des mécanismes qui gèrent les modifications accidentelles pendant la transmission des données sur les réseaux existent déjà. Cependant, pour assurer l’intégrité des données contre les interventions délibérées, d’autres mécanismes - tels que le scellement - devraient être mis en place.

2.5.2.3 Pour assurer la confidentialité Les mécanismes permettant d’assurer la confidentialité des télécommunications sont associés au contrôle de l’accès aux réseaux et à la protection de l’information qui est tranmise par ces réseaux. ƒ L’accès aux réseaux est centralisé et le contrôle de l’accès fait partie de la sécurité logique (voir la section 2.2). Pour le contrôle de l’accès par interconnexion des réseaux, notamment sur Internet, d’autres mesures devraient être prévues. Une des principales mesures est l’utilisation de coupe-feu. Les coupe-feu réduisent de manière efficace et à un niveau acceptable les risques associés aux accès non autorisés. Cependant, il faut toujours garder à l’esprit que les coupe-feu n’assurent pas une protection absolue.

46

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ƒ Pour la protection de l’information transmise par les réseaux, les mécanismes les plus connus sont le chiffrement et la configuration adéquate du matériel de communication. ƒ L'information nominative ou de nature sensible doit être mise en mémoire et transmise sous forme chiffrée avant son expédition et déchiffrée à son arrivée seulement. De cette façon, si quelqu'un arrive à contourner les mesures contrôlant l’accès au réseau et parvient aux fichiers, la confidentialité de l'information est protégée. Le chiffrement s’effectue grâce à une clé de chiffrement. La cryptographie moderne, basée sur des fonctions mathématiques, emploie des clés de chiffrement numérique.

Lorsque le chiffrement et le déchiffrement sont faits à l’aide d’une seule et même clé, la cryptographie est alors qualifiée de symétrique. À l’opposé, la cryptographie dite asymétrique emploie deux clés : une pour le chiffrement et une autre pour le déchiffrement. Cette dernière méthode est aussi appelée chiffrement à clé publique parce qu’elle utilise une clé publique et une clé privée.

Le chiffrement à clé publique fournit les meilleures garanties de sécurité actuellement. ƒ L’utilisation de concentrateurs et d’aiguilleurs aide aussi à assurer la confidentialité parce que ces dispositifs déterminent comment et où l’information transite sur le réseau. Par exemple, l’information circulera seulement dans une partie du réseau, celle à laquelle les utilisateurs autorisés sont rattachés. Cependant, ce mécanisme de configuration du matériel de communication a une efficacité limitée puisque l’information peut être interceptée.

2.5.2.4 Pour assurer l’authentification et l’irrévocabilité Les mécanismes permettant de garantir l’authentification et l’irrévocabilité font partie de la sécurité logique (voir la section 2.2). 3. Registres de sécurité Il faut pouvoir faire le suivi de tous les aspects concernant la sécurité des actifs informationnels dans un organisme. Trois registres sont nécessaires : ƒ le registre des autorités ; ƒ le registre des incidents ; ƒ le registre des actes de gestion de la sécurité. 47

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ 3.1 Registre des autorités Le registre des autorités est un répertoire, un recueil ou un fichier dans lequel sont inscrites les désignations effectuées et les délégations consenties aux fins de la gestion de la sécurité ainsi que les responsabilités qui y sont rattachées. Il comprend : ƒ les désignations des détenteurs, les délégations qui leur sont attribuées et l’identification des actifs informationnels assignés à chacun d’eux ; ƒ la désignation et les attributions du responsable du soutien à la gestion de la sécurité ; ƒ toute autre désignation et délégation découlant de la mise en commun de services ou de mesures de sécurité.

3.2 Registre des incidents Le registre des incidents contient tous les événements ayant pu mettre ou ayant mis en péril la sécurité, tels que la communication de codes ou de mots de passe d’un usager à l’autre et l’accès non radié quand un employé quitte l’organisme. C’est un registre chronologique et centralisé des incidents qui surviennent dans le système informatique de l’organisme. Dans le registre, chaque événement devrait être décrit en détail ainsi que les circonstances dans lesquelles il est survenu. Les renseignements à inscrire pour chaque événement sont : ƒ la description de l’incident ; ƒ les journaux faisant référence à l’incident ; ƒ les actions prises ; ƒ les conséquences. Le registre des incidents aide le responsable de la sécurité des actifs informationnels à évaluer les dommages et lui sert de référence pendant les phases subséquentes de la gestion des incidents visant l’élimination d’un type d’incidents.

3.3 Registre des actes de gestion de la sécurité Le registre des actes de gestion de la sécurité contient les renseignements obtenus dans le cadre des activités de gestion de la sécurité. Le responsable de la sécurité des actifs informationnels devrait déterminer les conditions relatives à la gestion courante de ces activités par le personnel d’exploitation, notamment en ce qui concerne : ƒ la gestion du contenu des différents journaux ; 48

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ƒ la paramétrisation des alarmes, des schèmes de collecte et de l’application des profils. Il est essentiel de ne confier ces tâches qu’à un minimum d’employés du service de l’exploitation. Par ailleurs, la destruction des traces portant sur les actes de gestion devrait être approuvée à la fois par le responsable de l’exploitation et le responsable de la sécurité des actifs informationnels. Le registre des actes de gestion de la sécurité devrait en faire mention.

Ce registre devrait s’accompagner de l’ensemble des documents, décisions ou directives rédigés par un responsable en matière de sécurité dans le cadre de ses fonctions. 4. Contrats et ententes Les contrats et ententes devraient être révisés au moins une fois l'an en fonction de la modification des exigences en matière de sécurité. Les contrats d’achat de logiciels, à l’exception des logiciels de base tels que les systèmes d’exploitation et les systèmes de base de données et sauf les logiciels grand public tels que les traitements de texte et les chiffriers, seront assortis d’une clause d’entiercement (qui stipule que les codes sources sont confiés à un dépositaire) assurant la récupération des programmes sources, lesquels sont fournis avec des documents, de manière à protéger les organismes du RSSS advenant l’incapacité du fournisseur à respecter ses obligations. Le cahier des charges produit par l’organisme pour l’adjudication de travaux touchant de près ou de loin aux actifs informationnels devrait contenir des clauses stipulant que le contractant s’engage : ƒ à ce que son personnel prenne connaissance des documents se rapportant à la sécurité, annexés au contrat ; ƒ à inscrire le nom des sous-traitants qui participeront aux travaux ; ƒ à respecter les normes relatives à la sécurité des actifs ; ƒ à signer une déclaration d’absence de conflit d’intérêt. En cours de mandat, le personnel de la firme contractante devrait s’engager : ƒ à ne pas divulguer les informations mises à sa disposition ; ƒ à ne pas faire circuler ces informations à l’extérieur de l’organisme, sur quelque support que ce soit ; ƒ à n’utiliser les actifs qu’aux seules fins énoncées dans le contrat tout en respectant les configurations présentées ainsi que les horaires de travail ; ƒ à rapporter toute situation pouvant mettre en péril la sécurité des actifs informationnels de l’organisme.

49

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ 5. Évaluation de la sécurité Il est de la responsabilité de tout employé, mandataire ou partenaire d’informer le dirigeant de l’organisme de toute situation potentiellement problématique. Le dirigeant devrait alors prendre une décision après avoir consulté le responsable de la sécurité des actifs informationnels et, au besoin, les personnes assumant les fonctions équivalentes au MSSS.

Il existe deux façons de s’assurer du respect des mesures, des pratiques et des procédures relatives à la sécurité des actifs informationnels : ƒ la vérification ; ƒ l’audit. Au besoin, un bilan peut également être produit. 5.1 Vérification La vérification est demandée par le dirigeant d’un organisme après que des événements risquant de porter atteinte à la sécurité d’un ou de plusieurs actifs informationnels lui aient été signalés. Elle est utilisée pour étudier des problèmes mineurs seulement ou à titre préventif. En cours d’investigation, le dirigeant de l’organisme devrait avoir la possibilité de demander que la vérification se transforme en audit.

La vérification sera faite selon une méthode éprouvée qui est recommandée par le Comité national de protection des renseignements personnels et de sécurité. Le coordonnateur de la sécurité des actifs informationnels du RSSS ainsi que des ressources externes peuvent également être mis à contribution en fonction de la nature et de l’ampleur de l’investigation. 5.2 Audit L’audit vise à garantir la conformité de tous les aspects normatifs entourant la sécurité des actifs informationnels. Également effectué selon une méthode éprouvée qui est recommandée par le CNPRPS, l’audit devrait être périodique. La périodicité peut cependant varier d’une catégorie d’actifs à une autre. Un audit devrait être entrepris si, au cours d’une vérification, il est démontré que la situation d’origine est plus grave que ce que l’on avait estimé. Tout comme dans le cas de la vérification, le coordonnateur de la sécurité du RSSS ainsi que des ressources externes peuvent également être mis à contribution en fonction de la nature et de l’ampleur de l’investigation. 50

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ 5.3 Suites à donner aux évaluations Selon les résultats de la vérification ou de l’audit, un plan d’action sera établi afin de corriger la situation observée. Quand le plan d’action aura été exécuté, les résultats devraient être vérifiés par une nouvelle évaluation. Le diagramme ci-dessous présente le processus.

Analyse des événements rapportés Constat d’une situation à risque Audit Vérification Suivi Inscription aux registres Conclusion ou plan d’action, selon les résultats 51

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ 6. Programme de sensibilisation et de formation Tout organisme devrait s’assurer que les personnes qui participent aux opérations courantes de l’organisme sont sensibilisées à la sécurité des actifs informationnels. Chacun des membres du personnel devrait bénéficier d’une formation adaptée aux tâches et responsabilités qui lui sont confiées. Ainsi, chaque organisme offrira des sessions de formation différentes : ƒ à l’ensemble du personnel et ses sous-traitants ; ƒ aux membres du conseil d’administration de l’organisme ; ƒ au dirigeant de l’organisme ; ƒ aux gestionnaires de l’organisme ; ƒ aux employés du service de l’informatique ; ƒ aux employés chargés de l’exploitation informatique ; ƒ aux employés chargés de la sécurité de l’information numérique ; ƒ aux employés chargés de la gestion de la sécurité logique. Tout nouveau membre du personnel devrait suivre une session de formation initiale au moment de son entrée en fonction et, s’il y a lieu, une autre session de formation adaptée à ses tâches. La responsabilité d’émettre et d’appliquer une directive sur la formation en matière de sécurité des actifs informationnels appartient au dirigeant de l’organisme. Le dirigeant de l’organisme approuvera le plan de formation annuel (mises à jour et formations adaptées ou complémentaires) portant sur la sécurité des actifs informationnels. Le plan de formation sera revu lorsqu’une des situations suivantes se présentera : ƒ l’implantation d’une nouvelle technologie ; ƒ l’implantation d’une nouvelle application ; ƒ le raccordement à des infrastructures technologiques complémentaires. Tout employé ou utilisateur s’engagera à respecter les directives en matière de sécurité des ressources informationnelles. Cet engagement devrait cependant être obtenu après que l’employé ou l’utilisateur aura suivi une session de formation. 52

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ANNEXE 1 INVENTAIRE DES OUTILS PROPOSÉS 53

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Planification de la sécurité Guides Guide de classification Formulaires Classification des données Classification des actifs Journaux Sans objet Autres outils Sans objet Sécurité physique Guides Documentation sur les mécanismes de contrôle de l’accès physique Documentation sur les outils relatifs à la gestion des configurations Formulaires Formulaire relatif à l’élimination du matériel Formulaire pour le suivi des accès par des ressources autres que le personnel de l’organisme Journaux Sans objet Autres outils Sans objet Sécurité logique Guides Procédure et règles d’identification Procédure et règles portant sur la détermination des privilèges relatifs à l’accès aux actifs informationnels Formulaires Formulaire d’autorisation concernant l’accès aux actifs informationnels 54

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Journaux Registre des utilisateurs Historique d’accès Historique des événements Autres outils Sans objet Sécurité de l’exploitation des actifs informationnels Guides Guide relatif à la description des tâches du personnel affecté à l’exploitation en matière de sécurité Marche à suivre pour la vérification des antécédents judiciaires Procédure d’élimination des virus Guide de sensibilisation à l’utilisation des données de production Cycle et calendrier des copies de sécurité, et contrôle de l’accès aux copies Formulaire relatif aux processus d’exploitation cités Formulaires Formulaire pour la détermination du seuil de tolérance à l’interruption Journaux Historique des copies Historique des opérations de récupération des informations Autres outils Processus automatique de mise à jour du logiciel antivirus pour les postes et pour les serveurs Sensibilisation aux dangers des virus Formulaire relatif aux procédés de remplacement Formulaire relatif aux procédures citées Formulaire présentant les symboles normalisés utilisés dans les schémas de télécommunications Formulaire d’entente avec un fournisseur de logiciel Formulaire d’entente avec un fournisseur d’équipement Sécurité applicative Guides Techniques de génération de données fictives Principes de gestion des codes génériques et des codes interapplications 55

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Formulaires Accès à distance par une ressource externe Autorisation d’utiliser des données de production Journaux Sans objet Autres outils Sans objet Sécurité des télécommunications Guides Guide d’évaluation des menaces et des risques pour les télécommunications Formulaires Sans objet Journaux Journal des accès aux réseaux Autres outils Sans objet Registres de sécurité Guides Guide d’encadrement des actes de gestion de la sécurité Guide d’analyse des journaux Formulaires Autorisation d’épurer les journaux Journaux Registre des autorités Registre des incidents Registre des actes de gestion de la sécurité Autres outils Sans objet Contrats et ententes 56

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Guides Sans objet Formulaires Sans objet Journaux Registre des entrées et des sorties des ressources contractuelles Autres outils Modèle de cahier des charges et de contrat Formulaire énumérant les spécifications minimales qui caractérisent les configurations autorisées Évaluation de la sécurité Guides Processus de vérification selon la méthodologie retenue Processus d’audit selon la méthodologie retenue Bilan, analyse de la situation Formulaires Sans objet Journaux Sans objet Autres outils Sans objet Sensibilisation et formation Autres outils Répertoire des différents cours offerts dans le réseau et à l’extérieur du réseau 57

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ANNEXE 2 GRILLE DES MESURES EN MATIÈRE DE SÉCURITÉ DES ACTIFS INFORMATIONNELS APPARTENANT AUX ORGANISMES DU RÉSEAU DE LA SANTÉ ET DES SERVICES SOCIAUX 58

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Nom de l’organisme : Responsable : Date : Région sociosanitaire : Préciser si les mesures sont mises en application ou non dans votre organisme. N.B. : Les mesures présentées ici à titre de référence sont appelées à devenir obligatoires après l’analyse des rapports que remettront les responsables de la sécurité des actifs informationnels. Ces personnes sont en effet invitées à évaluer les conséquences que l’application des mesures proposées aura dans leur organisation respective et à communiquer les résultats de leur évaluation tant à la régie régionale qu’à la Direction des technologies de l’information et des télécommunications du MSSS.

59

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ MESURES EXIGENCES CAI1 PLANS D’ACTION Classification des actifs informationnels ¾ 1- Les organismes du RSSS doivent produire et tenir à jour l’inventaire de leurs d’actifs informationnels, la liste des détenteurs de ces actifs, la classification de ces actifs en fonction de leur valeur et leur sensibilité ainsi que les plans d’action établis pour les protéger. Évaluation des risques et des menaces ¾ 2- Les organismes du RSSS doivent évaluer, périodiquement mais aussi au besoin, les risques et les menaces pour tous leurs actifs informationnels afin de tenir compte des incidents survenus, tels que les intrusions et la détection de virus, et des modifications significatives de l’environnement technologique, comme le raccordement au RTSS ou le déploiement de nouvelles applications. MESURES DE SÉCURITÉ ¾ 3- Toute information portant sur des processus ou des mesures touchant la sécurité des actifs informationnels doit être gérée de façon confidentielle par l’organisme. Sécurité physique ƒ Pour l’emplacement des installations et du matériel ¾ 4- Les locaux où se trouvent les ordinateurs centraux, les mini-ordinateurs, les serveurs des réseaux locaux, le matériel de télécommunications et autres actifs informationnels doivent : − être situés dans des endroits protégés contre les catastrophes naturelles (ex. : verglas, inondations) ou accidentelles (ex. : bris d’aqueduc ou de tuyauterie, surchauffe, déclenchement de gicleurs) ; − être protégés par des mécanismes de contrôle d’accès ; − être munis de systèmes de chauffage, de ventilation et de climatisation conformes aux normes recommandées par les fournisseurs ; − être munis d’un système d’alimentation électrique sans interruption et d’un système de protection contre les incendies ; − permettre de voir les faits et gestes du personnel autorisé présent à l’intérieur du local (aire ouverte).

Mesure 6 ¾ 5- Les équipements, ce qui comprend les imprimantes, les photocopieurs et les télécopieurs, doivent être placés de façon à éviter toute utilisation et observation non autorisées. Mesure 5.3 ƒ Pour le contrôle de l’accès aux locaux ¾ 6- L’accès aux locaux où se trouvent les ordinateurs centraux, les mini-ordinateurs, les serveurs des réseaux locaux, le matériel de télécommunications et autres actifs informationnels doit être limité au strict minimum et réservé aux personnes autorisées uniquement.

Mesure 6 ¾ 7- Une liste des personnes autorisées à accéder à ces locaux doit être constituée. Outre le nom de ces personnes, la liste comporte l’énumération des tâches autorisées pour chacune d’entre elles et la durée habituelle de leur intervention ; cette liste doit être mise à jour périodiquement. ¾ 8- Un mécanisme de contrôle de l’entrée et de la sortie des personnes qui accèdent aux locaux sécurisés doit être mis en place.

¾ 9- Le personnel externe (ex. : fournisseurs, consultants, tiers n’étant pas des employés) chargé de l’entretien et de la réparation des équipements ou de tout autre type d’intervention permise doit être accompagné par une personne autorisée. ƒ Pour le matériel informatique (incluant les portables) ¾ 10- L’inventaire des équipements, précisant la localisation et l’assignation principale de ces équipements doit être constitué et tenu à jour.

¾ 11- La configuration de base des équipements installés doit être définie et tenue à jour. 1 Voir le document produit par la Commission d’accès à l’information en 1992 et intitulé Exigences minimales relatives à la sécurité des dossiers informatisés des usagers du RSSS. 60

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ MESURES EXIGENCES CAI1 ¾ 12- Le registre de l’entretien des équipements doit être constitué et tenu à jour. ¾ 13- Les équipements déclarés en surplus ou mis au rebut doivent être exempts d’information électronique avant leur abandon. ¾ 14- Les renseignements nominatifs ou de nature sensible contenus sur les supports magnétiques (disque dur, disquette, CD-ROM) que l’on désire éliminer doivent être détruits de façon à ce que leur caractère confidentiel soit protégé.

Mesure 2.7 ¾ 15- L’information contenue sur tout équipement à déplacer doit, au préalable, être analysée et, le cas échéant, éliminée. ¾ 16- Des procédures ou des mécanismes de protection contre l’utilisation non autorisée et le vol des équipements doivent être mis en place. ¾ 17- L’organisme doit instaurer une procédure obligatoire pour autoriser la sortie d’équipements hors de ses installations.

Sécurité logique ƒ Pour le contrôle de l’accès aux actifs informationnels ¾ 18- Un mécanisme d’identification et d’autorisation doit être mis en place afin de limiter aux seules personnes autorisées l’accès aux actifs informationnels. Mesures 1.1, 1.4 et 1.5 ¾ 19- L’autorisation d’avoir accès aux actifs informationnels à l’aide d’un identifiant doit être suspendue après un nombre prédéterminé (cinq au maximum) d’erreurs d’inscription du mot de passe par l’utilisateur.

Mesure 1.9 ¾ 20- Les privilèges relatifs à d’accès doivent être accordés et mis à jour selon les tâches et responsabilités de chaque utilisateur. L’accès doit être révoqué ou suspendu lorsque l’utilisateur s’absente pour une période de plus de six semaines ou quitte définitivement l’organisme. L’outil de gestion des privilèges informatiques ou administratifs doit comporter des mécanismes permettant de réviser, de suspendre, de révoquer, de bloquer ou de radier ces privilèges en tout temps. Mesures 1.11, 2.1, 2.8 et 13.1 ¾ 21- Les privilèges d’accès accordés aux utilisateurs doivent être inscrits dans un registre maintenu à jour. L’utilisateur qui a accès à des données personnelles ou sensibles signe un formulaire par lequel il s’engage à en respecter la confidentialité.

Mesure 11.2 ¾ 22- L’identifiant doit être différent pour chaque utilisateur sauf en de rares exceptions incontournables, définies et pour lesquelles les autorisations préalables ont été accordées par le responsable attitré ; ces autorisations doivent être consignées dans un registre prévu à cette fin. Mesure 1.2 ¾ 23- L’identifiant qui n’a pas été utilisé pendant une période donnée (un an au maximum) doit être désactivé ou détruit à la suite d’une vérification préalable.

Mesure 1.3 ¾ 24- L’application qui accède à une autre application doit être considérée comme un utilisateur et être assujettie aux mesures applicables aux utilisateurs. ƒ Pour l’authentification ¾ 25- Des mesures doivent être mises en place pour contrôler et protéger l’authentifiant de l’utilisateur. Mesures 1.7 et 1.10 ¾ 26- Après une période d’inactivité prédéterminée (une heure au maximum), le système doit automatiquement redemander l’authentifiant de l’utilisateur ou mettre un terme à la session de travail. Mesure 5.2 ¾ 27- Le système doit protéger la confidentialité des données servant à l’authentification des utilisateurs en empêchant, entre autres, l’affichage et l’impression de ces informations.

Mesure 1.7 ¾ 28- Le mot de passe comprendra des lettres, des chiffres ou des caractères spéciaux. Il doit être composé d’au moins 8 caractères et être changé au moins une fois tous les 90 jours. De plus, l’historique des 10 derniers mots de passe doit être conservé afin de s’assurer que les nouveaux mots de passe diffèrent des précédents. Mesures 1.6 et 1.8 61

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ƒ Pour l’irrévocabilité des actes ¾ 29- Tous les accès doivent être journalisés. La journalisation doit obligatoirement permettre de connaître l’identité de l’utilisateur, le nom du fichier auquel cet l’utilisateur a eu accès, l’acte qu’il a accompli (création, lecture, impression, modification ou destruction d’un dossier), le code de transaction ou le nom du programme, la date et l’heure de l’accès. La journalisation doit également consigner ces renseignements au moment d’une intervention liée à l’entretien des équipements. Note : La Commission d’accès à l’information exige la journalisation des numéros des dossiers consultés ou modifiés dans les banques de données médicales et médico-administratives. Mesure 7.1 ¾ 30- Le calendrier de conservation de la journalisation doit être établi en fonction des lois, normes et règlements en vigueur.

Mesure 7.5 Sécurité de l’exploitation des actifs informationnels ƒ Pour le service de l’exploitation informatique ¾ 31- Le calendrier des tâches assurées par le service de l’exploitation informatique quant à l’installation, à l’entretien et à la mise à jour de chaque logiciel et application doit être établi en fonction des besoins définis par le détenteur de l’actif informationnel.

ƒ Pour le personnel du service de l’exploitation informatique ¾ 32- Le personnel affecté à l’exploitation des actifs informationnels ne doit pas accéder, sur une base continue, aux données de production. Une autorisation écrite par le détenteur de l’actif stipulera les circonstances lors desquelles l’accès et les modifications sont permis au personnel affecté à l’exploitation informatique ainsi que les contrôles que ce personnel pourra effectuer. Mesure 2.3 ¾ 33- L’utilisation des données de production à des fins de formation des utilisateurs est interdite sauf si l’autorisation du détenteur d’un actif ne contenant aucune information personnelle est accordée et que des mesures de contrôle supplémentaires sont mises en place.

Mesure 2.4 ƒ Pour la sauvegarde et la récupération des informations ¾ 34- Un plan de sauvegarde et de récupération des informations doit être élaboré et révisé périodiquement. Il précise, entre autres, la fréquence des copies de sécurité de toutes les informations (données, programmes informatiques, journaux d’accès), le lieu d’entreposage de ces copies, les personnes responsables de cette activité et les calendriers de conservation établis selon la classification des actifs.

Mesure 4.1 ¾ 35- Les copies de sécurité contenant des informations de nature hautement sensible sont conservées dans des locaux extérieurs au site d’origine de ces informations. Mesure 4.4 ¾ 36- Les copies de sécurité et les mécanismes de récupération des informations sont vérifiés régulièrement. ¾ 37- La circulation des copies doit être contrôlée et l’accès aux copies de sécurité, restreint aux seules personnes autorisées.

Mesures 4.2 et 4.5 ƒ Pour la remise en état des systèmes ¾ 38- Un plan de reprise après sinistre (en cas de sinistre, de panne, d’intrusion, etc.) des systèmes en activité doit être mis par écrit et éprouvé régulièrement au moyen d’exercices de récupération des informations. Ce plan doit préciser, entre autres, le seuil de tolérance à l’interruption de chaque actif ainsi que les processus de relocalisation et les façons de revenir à la normale ; il doit également consigner l’historique des événements.

¾ 39- Tous les documents à jour relatifs au plan de reprise après sinistre doivent être conservés à l’extérieur du site. ƒ Pour la gestion des mises à jour ¾ 40- Chaque organisme établit et applique des procédures et des mesures afin de continuer à assurer la sécurité des actifs informationnels pendant les changements apportés au système informatique. ƒ Pour la protection contre les attaques ¾ 41- Des mécanismes de protection contre les attaques (ex. : virus, intrusion, déni de service) internes et externes doivent être mis en place et tenus à jour afin de suivre l’évolution des menaces. 62

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ ¾ 42- Les accès non autorisés doivent être vérifiés. Des mesures préventives ou correctives doivent être appliquées pour les éviter. Mesures 1.11 et 7.2 ¾ 43- Un processus d’escalade en cas d’attaque doit être établi et éprouvé ; ce processus comprend notamment les actions permettant la reconstitution de la preuve.

Sécurité des applications ¾ 44- La sécurité doit être prise en compte dans les processus d’acquisition des logiciels et de développement des applications et au moment d’intégrer ces logiciels et applications à l’environnement technologique de l’organisme. ¾ 45- Les logiciels et applications utilisés doivent être liés aux besoins d’affaires de l’organisme, être acquis légalement et respecter la Loi sur les droits d’auteur.

Mesure 13.2 ¾ 46- Les logiciels et applications partageables entre les organismes par l’intermédiaire d’un réseau de télécommunications doivent être soumis à l’organisme mandaté par le MSSS pour en faire la certification. ¾ 47- Les originaux des logiciels et des applications doivent être conservés sous clé et n’être accessibles qu’aux personnes autorisées. ¾ 48- Une documentation structurée, claire et à jour concernant chaque logiciel et application informatique détenus par les organismes du RSSS doit être conservée dans un endroit sécuritaire. ¾ 49- Les outils pour le soutien technique à distance (télédépannage et télédiagnostic) devront être préalablement homologués par le Bureau d’accueil et le Centre de certification avant d’être acquis et déployés.

Sécurité de l’impression ¾ 50- L’impression d’informations confidentielles doit être limitée aux seules personnes autorisées par le détenteur de l’actif informationnel. Mesure 14.1 ¾ 51- Les applications doivent permettre la gestion des profils afin de limiter l’impression d’informations personnelles aux seules personnes autorisées. Mesure 14.1 ¾ 52- La clé « Print screen » et tous les outils de saisie d’image écran doivent être désactivés lorsque des informations nominatives apparaissent à l’écran afin d’empêcher l’impression non journalisée. Mesure 13.3 ¾ 53- Le détenteur détermine la localisation et le nombre d’imprimantes utilisables pour l’impression d’informations confidentielles contenues dans l’actif informationnel dont il a la responsabilité. Sécurité des télécommunications (réseaux locaux et étendus) ¾ 54- Les organismes doivent respecter les exigences minimales de raccordement au Réseau de télécommunications sociosanitaire (RTSS).

¾ 55- Les organismes doivent mettre en place une infrastructure réseau sécurisée intégrant les accès, les protocoles de communication, les systèmes d’exploitation et les équipements. Mesure 13.2 ¾ 56- Les organismes doivent sécuriser les données véhiculées par l’intermédiaire d’un réseau de télécommunications. Mesure 8.2 ¾ 57- Les organismes doivent faire évoluer les dispositifs de sécurité et les contrôles d'accès aux systèmes et aux données afin de contrer les nouvelles menaces et ils doivent vérifier périodiquement l’efficacité des mesures en place.

¾ 58- La disponibilité des services locaux de télécommunications doit être assurée en fonction des besoins du détenteur de l’actif informationnel. REGISTRES DE SÉCURITÉ ¾ 59- Les organismes du RSSS doivent élaborer et tenir à jour les trois registres de sécurité suivants : – le registre des autorités, contenant le nom des différents acteurs impliqués dans la gestion des actifs informationnels ainsi que leurs rôles et responsabilités ; – le registre des incidents, où sont consignés les événements ayant pu mettre en péril la sécurité des actifs informationnels ; – le registre des actes de gestion de la sécurité, contenant tout renseignement obtenu dans le cadre du processus de gestion de la sécurité ainsi que les documents, décisions ou directives rédigés par un acteur dans le cadre de ses fonctions en matière de sécurité.

63

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ CONTRATS ET ENTENTES ¾ 60- Les contrats et les ententes touchant les actifs informationnels, signés avec d’autres organismes du RSSS, avec des organismes externes ou avec des tiers, doivent préciser les exigences à respecter en matière de sécurité . ¾ 61- Les contrats et ententes stipulent, entre autres, les points suivants : − le respect de la confidentialité ; − l’obligation de protéger les données, le mandataire étant responsable de l’application par son personnel de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels ; − les méthodes d'élimination des données stockées ; − les procédures relatives au contrôle et à l'entretien des voies de communication, de résolution de problèmes, au contrôle de la configuration et au contrôle des changements ; − le calendrier des tâches ; − les restrictions quant aux périodes d'entretien des actifs informationnels de l’organisme ; − la cessation du contrat en cas de non-respect des exigences ; − le fait que ces exigences s’appliquent aussi aux fournisseurs (sous-traitants) du mandataire. Mesures 9.2 à 9.7 ÉVALUATION DE LA SÉCURITÉ ¾ 62- Les organismes doivent effectuer des vérifications et des audits, de façon périodique et au besoin, pour s’assurer du respect des mesures, des pratiques et des procédures relatives à la sécurité des actifs informationnels. Ils produiront des bilans périodiques portant sur les menaces ainsi que sur les mesures en place et celles qui sont prévues. Les menaces non contrées doivent être identifiées et la mise en place de nouvelles mesures de sécurité sera ensuite planifiée.

Mesure 13.2 PROGRAMME DE SENSIBILISATION ET DE FORMATION ¾ 63- Les organismes doivent mettre en place des programmes de sensibilisation et de formation du personnel de manière à favoriser le développement des compétences relatives à la sécurité des actifs informationnels, à l’application de la politique de sécurité adoptée par l’organisme et au Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité.

Mesures 11.3 et 13.2 ¾ 64- Les organismes doivent réévaluer périodiquement, et particulièrement au moment de l’intégration de nouveaux employés, de nouveaux systèmes, de nouveaux développements ou de nouvelles technologies, les besoins du personnel en ce qui concerne la sensibilisation et la formation en matière de sécurité. 64

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ BIBLIOGRAPHIE 65

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ CANADA. Code criminel. CANADA. Loi concernant le droit d’auteur (C-42). CANADA. Loi sur les jeunes contrevenants. CENTRE DE LA SÉCURITÉ DES TÉLÉCOMMUNICATIONS DU CANADA. Guide d’évaluation des risques et de sélection des mesures de protection pour les technologies de l’information, 1996. CENTRE DE LA SÉCURITÉ DES TÉLÉCOMMUNICATIONS DU CANADA. Guide de la gestion des risques d’atteinte à la sécurité des technologies de l’information, 1996.

COMMISSION D’ACCÈS À L’INFORMATION DU QUÉBEC. Exigences minimales relatives à la sécurité des dossiers informatisés des usagers du réseau de la santé et des services sociaux, 1992. CONSEIL DU TRÉSOR DU QUÉBEC. Directive sur la sécurité de l’information et des échanges électroniques dans l’Administration gouvernementale, 1999. CONSEIL DU TRÉSOR DU QUÉBEC. Sécurité des échanges électroniques au gouvernement du Québec,1997.

GENDARMERIE ROYALE DU CANADA. Norme de sécurité technique dans le domaine de la technologie de l’information, 1997. Ghernaouti-Hélie S. Stratégie et ingénierie de la sécurité des réseaux, InterÉditions, 1998. MINISTÈRE DE LA SANTÉ ET DES SERVICES SOCIAUX. RTSS : Exigences minimales en matière de sécurité pour les applications du RTSS, document de travail, 1999. MINISTÈRE DE LA SANTÉ ET DES SERVICES SOCIAUX. RTSS : Politique intérimaire de sécurité visant les actifs informationnels du réseau de la santé et des services sociaux, 1999.

QUÉBEC. Charte des droits et libertés de la personne (L.R.Q., c. C-12). QUÉBEC. Code civil du Québec. QUÉBEC. Codes de déontologie des différentes professions de la santé. QUÉBEC. Loi concernant le cadre juridique des technologies de l’information. 66

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ QUÉBEC. Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., c. A-2.1). QUÉBEC. Loi sur la protection de la jeunesse (L.R.Q., c. P-34.1). QUÉBEC. Loi sur la protection de la santé publique. QUÉBEC. Loi sur les archives (L.R.Q., c. A-21.1). QUÉBEC. Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4.2). RÉGIE D’ASSURANCE MALADIE DU QUÉBEC. Lexique sur la sécurité de l’information, 1998.

RÉGIE RÉGIONALE DE LA SANTÉ ET DES SERVICES SOCIAUX DE QUÉBEC. Politique administrative relative à la sécurité des actifs informationnels et de télécommunications et à la protection des données et des renseignements confidentiels de la Régie régionale de la santé et des services sociaux de Québec, 1999. RFC2196. Site Security Handbook, 1997. UNIVERSITÉ LAVAL. Politique de sécurité sur les technologies de l’information et des télécommunications, adoptée mars 1992, modifiée en septembre 1995 et en juin 1998.

67

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ LEXIQUE 68

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Actif informationnel : banque d’information électronique, système d’information, réseau de télécommunications, technologie de l’information, installation ou ensemble de ces éléments ; un équipement médical spécialisé ou ultra-spécialisé peut comporter des composantes qui font partie des actifs informationnels, notamment lorsqu’il est relié de façon électronique à des actifs informationnels. (Réf. : Loi sur les services de santé et les services sociaux, art. 520.1). S’ajoutent, dans le présent cadre de gestion, les documents imprimés générés par les technologies de l’information. Altération : toute modification qui a pour effet de changer les caractéristiques ou la nature d’une information.

Archivage de l’information : action de classer l’information dans les archives. Audit : évaluation périodique basée sur des critères définis permettant de vérifier si les normes de l’ensemble ou d’une partie du Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité sont appliquées. Authentifiant : renseignement unique à l’utilisateur et connu de lui seul, qui permet d’établir la validité de l’identité d’une personne, d’un dispositif ou d’une autre entité.

Authentification : fonction de contrôle de l’accès aux actifs informationnels permettant d'établir la validité de l'identité d'une personne, d'un dispositif ou d'une autre entité au sein d'un système d'information ou de communication. Autorisation : attribution par une autorité de droits d’accès aux actifs informationnels qui consiste en un privilège d’accès accordé à une personne, à un dispositif ou à une entité.

Banque d’information électronique : collection d’informations électroniques relatives à un domaine défini, regroupées et organisées de façon à en permettre l’accès. Biclé : ensemble constitué d'une clé publique et d'une clé privée mathématiquement liées entre elles, formant une paire unique et indissociable pour le chiffrement et le déchiffrement des données, et appartenant à une seule entité.

Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux – Volet sur la sécurité : ensemble de textes encadrant la sécurité des actifs informationnels et comprenant la Politique nationale sur la sécurité des actifs informationnels, les rôles et responsabilités des acteurs en matière de sécurité, les mesures en matière 69

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ de sécurité des actifs informationnels et le répertoire des procédures optionnelles en cette matière. Chiffrement : opération qui consiste à rendre une information inintelligible, de façon qu’elle ne puisse être lue par une personne qui ne possède pas le dispositif permettant de la ramener à sa forme initiale. Clé privée : composante de la biclé, laquelle composante est connue de son unique propriétaire et utilisée par lui seul pour déchiffrer un message dont il est le destinataire ou pour signer un message dont il est l'émetteur.

Clé publique : composante de la biclé, laquelle composante est stockée dans un répertoire accessible à tous les membres d'un réseau ou d'une organisation et permet de transmettre en toute confidentialité des messages à son unique propriétaire ou d'authentifier à l'arrivée des messages émis par ce dernier. CNPRPS : Comité national de protection des renseignements personnels et de sécurité.

Code d’identification : type d’identifiant. Groupe alphanumérique, unique et normalisé permettant d’identifier l’utilisateur d’un actif informationnel. Collecte d’information : action de rassembler des informations variables destinées à un traitement. Confidentialité : propriété que possède une donnée ou une information dont l’accès et l'utilisation sont réservés à des personnes ou entités désignées et autorisées.

Conservation de l’information : action de maintenir l’information intacte. Copie de sécurité : copie d'un fichier ou d'un ensemble de fichiers mise à jour à intervalles réguliers en vue d'assurer la restauration des données en cas de perte. Coupe-feu ou garde-barrière ou bastion de sécurité : dispositif informatique qui permet le passage sélectif des flux d'information entre un réseau interne et un réseau public ainsi que la neutralisation des tentatives de pénétration en provenance du réseau public.

Cryptographie : discipline qui comprend les principes, les moyens et les méthodes de transformation des données afin d’en dissimuler le contenu, d’en prévenir les modifications non détectées ou d’en éviter l’utilisation non autorisée. Cycle de vie de l’information : période de temps couvrant toutes les étapes d’existence de l’information, dont celles (selon la terminologie) de la définition, 70

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ de la création, de l’enregistrement, du traitement, de la diffusion, de la conservation et de la destruction. Déchiffrement : action de rendre sa forme originale à une information précédemment chiffrée. Destruction de l’information : action de faire disparaître l’information. Détenteur : personne à qui, par délégation du sous-ministre ou d’un dirigeant d’organisme, est assignée la responsabilité d’assurer la sécurité d’un ou de plusieurs actifs informationnels, qu’ils soient détenus par le sous-ministre, un dirigeant d’organisme ou un tiers mandaté.

Disponibilité : propriété qu’ont les données, l’information et les systèmes d’information et de communication d’être accessibles et utilisables en temps voulu et de la manière adéquate par une personne autorisée. Donnée : élément de base constitutif d’un renseignement, d’une information. Donnée confidentielle : donnée qui ne peut être communiquée ou rendue accessible qu’aux personnes ou autres entités autorisées. Donnée nominative : information relative à une personne physique identifiée ou identifiable.

Donnée publique : donnée ne faisant pas l’objet de restriction d’accès. Donnée sensible : donnée dont la divulgation, l’altération, la perte ou la destruction risquent de paralyser ou de mettre en péril soit un service, soit l’organisation elle-même qui, de ce fait, devient vulnérable. Droit d’auteur : droit exclusif que détient un auteur ou son représentant d’exploiter une œuvre pendant une durée déterminée. Équipement informatique : ordinateurs, mini-ordinateurs, micro-ordinateurs, postes de travail informatisés et leurs unités ou accessoires périphériques de lecture, d’emmagasinage, de reproduction, d’impression, de communication, de réception et de traitement de l’information, et tout équipement de télécommunications.

Exploitation informatique : unité administrative qui a comme tâche d’assurer le bon fonctionnement, le développement et l’entretien des services informatiques de l’organisme. Fournisseur : corporation, société, coopérative ou personne physique faisant affaires et étant en mesure de contracter avec le gouvernement, unité 71

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ administrative d’un organisme ou tout fonds spécial qui fournit des services ou des biens à un détenteur, à un utilisateur ou à un autre fournisseur. Identifiant : renseignement sur l’utilisateur, lequel renseignement est connu de l’organisme et permet à cet utilisateur d’avoir accès à des actifs informationnels. Identification : fonction du contrôle de l’accès aux actifs informationnels permettant d’attribuer un code d’identification, ou identifiant, à un utilisateur, à un dispositif ou à une autre entité.

Incident : événement ayant pu mettre ou ayant mis en péril la sécurité d’un ou de plusieurs actifs informationnels. Information : élément de connaissance descriptif d’une situation ou d’un fait, résultant de la réunion de plusieurs données. Information électronique : information sous toute forme (textuelle, symbolique, sonore ou visuelle), dont l’accès et l’utilisation ne sont possibles qu’au moyen des technologies de l’information.

Infrastructure commune : ensemble des composantes matérielles, logicielles, technologiques et organisationnelles partagées en tout ou en partie par le ministère de la Santé et des Services sociaux et les organismes du réseau de la santé et des services sociaux. Installation : ensemble des objets, appareils, bâtiments et autres éléments installés en vue de l’utilisation d’une technologie de l’information. Intégrité : propriété d’une information ou d’une technologie de l’information de n’être ni modifiées, ni altérées, ni détruites sans autorisation. Interrogation de l’information : question ou ensemble des questions posées à une banque d’information.

Irrévocabilité : propriété d’un acte d’être définitif et clairement attribué à la personne qui l’a accompli ou au dispositif avec lequel il a été accompli. Journal : relevé chronologique des opérations informatiques, constituant un historique de l'utilisation des programmes et des systèmes sur une période donnée. Journalisation : enregistrement dans un journal de tous les accès fructueux et infructueux à un ordinateur et aux données, de l’utilisation de certains privilèges spéciaux relatifs à l’accès et des changements apportés aux actifs informationnels, en vue d’une vérification ultérieure.

72

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Logiciel : ensemble des programmes, des procédures et des règles ainsi que de la documentation qui leur est associée, nécessaires à la mise en œuvre d'un système de traitement de l'information. Logiciel d’application : logiciel conçu pour répondre à un ensemble de besoins dans un domaine donné. LSSSS : Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4.2). Matériel : ensemble des éléments physiques employés pour le traitement de l’information.

Mécanisme : agencement ou ensemble de processus et de ressources humaines, matérielles et autres disposé de façon à obtenir un résultat donné. Mesure : disposition ayant pour but de protéger ou de conserver un actif informationnel. Modification de l’information : action de faire des changements dans l’information. Mot de passe : authentifiant prenant la forme d'un code alphanumérique attribué à un utilisateur, permettant à ce dernier d'obtenir l'accès à un ordinateur en ligne et d'y effectuer l'opération désirée. Cet authentifiant représente une liste secrète de caractères qui, combinée à un code d’utilisateur public, forme un identificateur unique désignant un utilisateur particulier.

Non-répudiation : voir Irrévocabilité. Normes et pratiques : énoncés généraux émanant de la direction d’une organisation et indiquant ce qui doit être appliqué relativement à la sécurité des actifs informationnels. Organisme : le ministère de la Santé et des Services sociaux, les régies régionales et les établissements du réseau de la santé et des services sociaux. Personne : une personne physique ou une personne morale de droit public ou de droit privé.

Personnel : ensemble des ressources humaines, rémunérées ou non, qui assument la mission de l’organisme. Plan de reprise après sinistre : document qui prévoit toutes les circonstances entraînant une interruption de service des actifs informationnels ainsi que toutes les mesures applicables afin d’assurer, sur site ou hors site, les services essentiels. 73

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ Plan de sauvegarde : plan contenant les règles détaillées et strictes relatives à tous les aspects de la sauvegarde informatique (responsabilité, exhaustivité, cohérence, fichiers stratégiques, nombre de générations, cycles de rotation, confection, supports, transport, lieu d’entreposage, durée d’entreposage, accessibilité, exploitabilité, contrôles et validation). Politique de sécurité : énoncé général émanant de la direction d’une organisation et indiquant la ligne de conduite adoptée relativement à la sécurité, à sa mise en œuvre et à sa gestion.

Progiciel : ensemble complet de programmes informatiques munis de documents, conçus pour être fournis à plusieurs utilisateurs et commercialisés en vue d'une même application ou d’une même fonction. Programme informatique : série de fonctions et de définitions en langage machine ou dans un langage plus évolué. Renseignement : synonyme d’information. Renseignement personnel ou nominatif : tout renseignement qui concerne une personne physique et qui permet de l’identifier. Renseignement confidentiel : tout renseignement qui ne peut être communiqué ou rendu accessible qu’aux personnes ou autres entités autorisées. Répertoire des procédures optionnelles : ensemble des recommandations et des suggestions relatives à la mise en place des procédures visant à assurer la sécurité des actifs informationnels.

Réseau informatique : ensemble des composantes et des équipements informatiques reliés par voie de télécommunications, soit pour accéder à des ressources ou à des services informatisés, soit pour en partager l’accès. Réseau étendu : réseau local qui devient une partie d’un réseau étendu lorsqu’une liaison est établie (par l’intermédiaire de modems, d’aiguilleurs distants, de lignes téléphoniques, de satellites ou d’autres connexions) avec un gros système, un réseau de données public ou un autre réseau local.

Réseau local : réseau informatique de taille réduite et, le plus souvent, à l’intérieur d’un organisme. Réseau privé : réseau appartenant à une seule organisation. Réseau public : réseau partagé par plusieurs organisations et appartenant généralement à un fournisseur de services de télécommunications. 74

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ RSSS : réseau de la santé et des services sociaux. RTSS : réseau de télécommunications sociosanitaire. Sceau électronique : bloc de données dont le contenu est le résultat d'un calcul complexe effectué à partir d'un message à transmettre, qui est ajouté à ce message par l'expéditeur, et dont un nouveau calcul à l'arrivée permet de vérifier l'origine et l'intégrité du message auquel il a été attaché. Scellement : action qui consiste à adjoindre à un message à transmettre un sceau électronique permettant de garantir l'origine et l'intégrité de ce message. Signature numérique ou signature électronique : données annexées à un document électronique qui permettent à la personne qui reçoit ce document de connaître la source des données, d'en attester l'intégrité, et de s'assurer de l'adhésion de l'émetteur au contenu de ce document. On emploie parfois l’expression signature électronique sécurisée. Système d’information : ensemble organisé de moyens mis en place pour recueillir, emmagasiner, traiter, communiquer, protéger ou éliminer l’information en vue de répondre à un besoin déterminé, y incluant notamment les technologies de l’information et les procédés utilisés pour accomplir ces fonctions. Technologie de l’information : tout logiciel ou matériel électronique et toute combinaison de ces éléments utilisés pour recueillir, emmagasiner, traiter, communiquer, protéger ou éliminer l’information sous toute forme (textuelle, symbolique, sonore ou visuelle).

Télécommunication : ensemble des procédés électroniques de transmission d’information à distance. Traitement de l’information ou traitement des données : ensemble des opérations effectuées automatiquement sur des données afin d’en extraire certains renseignements qualitatifs ou quantitatifs. Transaction : opération impliquant une modification de l’information. Transmission d’information : action de transporter une information d’un émetteur vers un récepteur.

Utilisateur : personne, groupe ou entité administrative qui fait usage d'un ou de plusieurs actifs informationnels appartenant aux organismes publics du réseau de la santé et des services sociaux. Utilisation : terme qui recouvre, le cas échéant, l’ensemble des événements constituant le cycle de vie de l’information électronique, entre autres la création, 75

CADRE GLOBAL DE GESTION DES ACTIF INFORMATIONNELS VOLET SÉCURITÉ la collecte, le traitement, la conservation, l’interrogation, la communication, la modification, l’archivage et la destruction. Vérification : évaluation ciblée d’une situation problématique ou jugée à risque et ne visant que les actifs informationnels en cause. Virus : programme inséré dans un système informatique afin de causer des dommages nuisibles et néfastes.

76

Vous pouvez aussi lire