Vous êtes sur la page 1sur 53
Guide d’élaboration du plan directeur de sécurité de l’information Guide Trousse d’outils Document adopté par

Guide d’élaboration du plan directeur de sécurité de l’information

Guide Trousse d’outils

Document adopté par :

Le Comité national sur la protection des renseignements personnels et la sécurité (CNPRPS) le

23 septembre 2003 La Table des coordonnateurs régionaux de sécurité le 28 mai 2003

Version 2.1

Juin 2003

Guide de rédaction du Plan directeur de sécurité de l’information Ce guide a été élaboré

Guide de rédaction du Plan directeur de sécurité de l’information

Ce guide a été élaboré par le cabinet KPMG sous la supervision de la Direction du Technocentre national et de SOGIQUE :

M. Robert Brochu Conseiller senior en sécurité et technologie Société de gestion informatique inc. (SOGIQUE)

Jacques Bergeron Associé – Groupe sécurité de l’information KPMG s.r.l.

Personnes consultées :

Jean Laterrière Directeur du Technocentre national Société de gestion informatique inc. (SOGIQUE)

Richard Halley Conseiller en sécurité Direction des ressources informationnelles MSSS

Gilles Potvin Coordonnateur des technologies de l’information Régie régionale de Santé et Services sociaux de Lanaudière

Yvan Fournier Responsable du secteur serveur et sécurité Centre hospitalier universitaire de Québec

Denis Lebeuf Officier de sécurité Centre hospitalier de l'Université de Montréal

Normand Baker Directeur général CLSC Frontenac et Centre hospitalier région amiante

Éric Dallaire Coordonnateur de la sécurité du réseau Direction des ressources informationnelles MSSS

Yves Viau Coordonnateur des ressources informationnelles Régie régionale de Santé et Services sociaux des Laurentides

Nathalie Malo Analyste-conseil en technologie de l’information Régie régionale de Santé et Services sociaux de Lanaudière

Lucie Beauregard Coordonnatrice sécurité et confidentialité / service informatique Centre universitaire de santé McGill

Jean Asselin Coordonnateur, secteur ressources matérielles, financières et informationnelles Association des Centres jeunesses du Québec

I

Membres du comité de lecture et de validation : Jean Laterrière Directeur du Technocentre national

Membres du comité de lecture et de validation :

Jean Laterrière Directeur du Technocentre national Société de gestion informatique inc. (SOGIQUE)

Robert Brochu Conseiller senior en sécurité et technologie Société de gestion informatique inc. (SOGIQUE)

Hans Brière Coordonnateur régional de la sécurité des actifs informationnels Technocentre régional de l’Estrie

Éric Dallaire Coordonnateur de la sécurité du réseau Direction des ressources informationnelles MSSS

Jacques Bergeron Associé – Groupe sécurité de l’information KPMG s.r.l.

Jocelyne Legras Analyste en informatique / responsable du dossier de la sécurité de l’information régionale Régie régionale de Santé et Services sociaux de Québec

Dans ce document, le générique masculin est utilisé pour simplifier la lecture du texte, mais s'applique autant pour le féminin que pour le masculin.

Pour toute question ou commentaire, veuillez communiquer avec votre coordonnateur régional de la sécurité de l'information.

Remerciements

L’équipe de réalisation tient à remercier toutes les personnes ayant collaborées avec elle.

II

Table des matières CONTEXTE   1 1. OBJECTIFS DU GUIDE   2   1.1 O

Table des matières

CONTEXTE

 

1

1. OBJECTIFS DU GUIDE

 

2

 

1.1 OBJECTIFS

 

2

1.2 POSITIONNEMENT DU PLAN DIRECTEUR DE SÉCURITÉ DES ACTIFS

 

INFORMATIONNELS

 

2

1.3 AUDIENCE

 

3

1.4 LIMITATIONS

 

4

1.5 SOUTIEN

 

4

2. GÉNÉRALITÉS SUR LE PROCESSUS D’ÉLABORATION DU PLAN

 

DIRECTEUR DE SÉCURITÉ

 

5

 

2.1 PRÉSENTATION GLOBALE DE LA DÉMARCHE

 

6

2.2 TABLE DES MATIÈRES DU PLAN DIRECTEUR

8

2.3 LIMITATIONS

 

9

3. ÉVALUATION DE L’ÉTAT DE LA SITUATION ACTUELLE

 

11

 

3.1

LES FACTEURS CLÉS DE RÉUSSITE

 

11

3.2

PRÉSENTATION GÉNÉRALE DE LA MÉTHODE UTILISÉE

 

11

3.3

DÉMARCHE DÉTAILLÉE

 

ERREUR! SIGNET NON DÉFINI.

3.4

LES TYPES DE CONTRÔLES

 

13

3.5

ÉVALUATION DES CONTRÔLES

 

17

3.6

L’ÉTAT DE LA SITUATION ACTUELLE : À QUELLES FINS SERVENT LES RÉSULTATS?

21

3.7

STRUCTURE DES CONTRÔLES

 

25

3.7

LES SECTIONS ET CRITÈRES DUN ÉTAT DE LA SITUATION ACTUELLE

 

28

4. ANALYSE DE RISQUES

 

29

 

4.1 INTRODUCTION

 

29

4.2 PRÉSENTATION GÉNÉRALE DE LA MÉTHODE UTILISÉE

 

30

4.3. DÉMARCHE DÉTAILLÉE

ERREUR! SIGNET NON DÉFINI.

5. PLAN DIRECTEUR DE SÉCURITÉ

 

45

 

5.1 INTRODUCTION

45

5.2 ÉTAPES DEVANT ÊTRE SUIVIES

 

45

ANNEXE 1 – TABLEAU D’ANALYSE DES CONTRÔLES

49

ANNEXE 2 – FICHES D’ANALYSE DE RISQUES

74

ANNEXE 3 – TABLEAU SOMMAIRE DE L’ÉVALUATION DES CONTRÔLES

122

ANNEXE 4 – SOMMAIRE DES ACTIONS À RÉALISER À COURT TERME, MOYEN TERME ET LONG TERME

129

ANNEXE 5 – PLAN DIRECTEUR DE SÉCURITÉ

130

i

ANNEXE 6 – CONTENU DES SECTIONS DE L’ÉTAT DE LA SITUATION ACTUELLE ii 132

ANNEXE 6 – CONTENU DES SECTIONS DE L’ÉTAT DE LA SITUATION ACTUELLE

ii

132

Annexe 3 – Tableau sommaire de l’évaluation des contrôles I. DIMENSION ORGANISATIONNELLE Type de Cote

Annexe 3 – Tableau sommaire de l’évaluation des contrôles

I.

DIMENSION

ORGANISATIONNELLE

Type de

Cote

contrôle

Actuelle

Importance du

contrôle

(stratégique)

Évaluation

du CS

Évaluation

Action CT, MT ou LT (uniquement pour les CS)

Partie A – Sécurité Administrative

1. Leadership

I.A.1.1

Promotion de la sécurité

CS

A

I.A.1.2

La vision de la sécurité

CS

A

2.

Organisation de la sécurité

 

I.A.2.1

Organisation de la sécurité

CS

A

I.A.2.2

Rôles et responsabilités

CS

A

I.A.2.3

Suivi et rapport des incidents

CS

B

3.

Programme de gestion de la sécurité

 

I.A.3.1

Budget et ressources allouées à la

CS

A

sécurité

I.A.3.2

Plan Directeur de sécurité

CS

A

I.A.3.3

Inventaire, propriété et classification de

CS

A

l’information

I.A.3.4

Analyse de risques

CS

A

I.A.3.5

Bilan Annuel de la Sécurité

CS

B

4.

Cadre de gestion de la sécurité

 

I.A.4.1

Manuel du cadre de gestion de la sécurité

CS

B

122

I.

I. DIMENSION ORGANISATIONNELLE Type de contrôle Cote Actuelle Importance du contrôle (stratégique) Évaluation du CS

DIMENSION

ORGANISATIONNELLE

Type de

contrôle

Cote

Actuelle

Importance du

contrôle

(stratégique)

Évaluation

du CS

Évaluation

Action CT, MT ou LT (uniquement pour les CS)

I.A.4.2

Politique, normes et de procédures de

CS

A

gestion de la sécurité

I.A.4.3

Gestion des crises

CO

I.A.4.4

Assurance contre les dommages matériels

CO

I.A.4.5

Contrats et relations avec les fournisseurs

CO

Partie B – Sécurité physique et du milieu

1.

Sécurité physique

I.B.1.1

Gestion des locaux informatiques

CO

I.B.1.2

Gestion des équipements informatiques

CO

2.

Protection des locaux informatiques

I.B.2.1

Service continu d’alimentation électrique

CO

I.B.2.2

Prévention et détection des inondations

CO

I.B.2.3

Prévention et détection des incendies

CO

Partie C – Sécurité de la production

 

informatique

1.

Administration et protection des données, systèmes

CO

et documents

I.C.1.1

Privilèges du personnel informatique

CO

I.C.1.2

Administration des serveurs CO

 

123

I.

I. DIMENSION ORGANISATIONNELLE Type de contrôle Cote Actuelle Importance du contrôle (stratégique) Évaluation du CS

DIMENSION

ORGANISATIONNELLE

Type de

contrôle

Cote

Actuelle

Importance du

contrôle

(stratégique)

Évaluation

du CS

Évaluation

Action CT, MT ou LT (uniquement pour les CS)

I.C.1.3

systèmes

Contrôle de la mise en place des

I.C.1.4

Gestion de la maintenance des

équipements et systèmes

I.C.1.5

Contrôle de la conformité des

configurations

I.C.1.6

Contrôle des licences des logiciels et

progiciels

I.C.1.7

Antivirus

I.C.1.8

Impression sécuritaire et distribution

I.C.1.9

Gestion des supports magnétiques

I.C.1.10

Sauvegarde des systèmes et des données

I.C.1.11

Plan de relève

I.C.1.12

Reprise des activités

I.C.1.13

Revue des journaux et de sécurité et

enquête

CO

CO

CO

CO

CO

CO

CO

CO

CO

CO

CO

2. Maintenance et développement informatique

I.C.2.1

Intégration de la sécurité dans le

développement

I.C.2.2

Gestion de la documentation

I.C.2.3

Contrôle des changements aux

applications

I.C.2.4

Modifications en cas d’urgence

I.C.2.5

Maintenance des applications

CO

CO

CO

CO

CO

II. DIMENSION HUMAINE   Importance du Évaluation Action CT, MT ou LT (uniquement pour les

II. DIMENSION HUMAINE

 

Importance du

Évaluation

Action CT, MT ou LT (uniquement pour les CS)

Type de

contrôle

Cote Actuelle

contrôle

(stratégique)

du CS

Évaluation

Partie A – Sécurité du personnel

 

1.

Sensibilisation et formation

II.A.1.1

Programme de sensibilisation et

CO

formation

II.A.1.2

Programme d’accueil des employés

CO

Partie B – Éthique, pratiques professionnelle et

 

imputabilité

1.

Règlement intérieur, devoirs, responsabilités et sanctions

 

II.B.1.1

Respect des règlements

CO

III.

DIMENSION

 

Importance du

Évaluation

Action CT, MT ou LT (uniquement pour les CS)

Type de

contrôle

Cote Actuelle

contrôle

(stratégique)

du CS

Évaluation

TECHNOLOGIQUE

Partie A – Télécommunications, réseaux et

serveurs

1. Sécurité de l’architecture réseau

III.A.1.1

Architecture redondante et sécuritaire

CO

125

III. TECHNOLOGIQUE DIMENSION Type de c o n t r ô l e Cote Actuelle

III.

TECHNOLOGIQUE

DIMENSION

Type de

contrôle

Cote Actuelle

Importance du

contrôle

(stratégique)

Évaluation

du CS

Évaluation

Action CT, MT ou LT (uniquement pour les CS)

III.A.1.2

Sécurité des réseaux internes

CO

III.A.1.3

Contrôle des accès aux réseaux

CO

III.A.1.4

Chiffrement et protection de l’intégrité

CO

des informations

III.A.1.5

Surveillance des réseaux

CO

III.A.1.6

Journalisation et gestion des incidents

CO

2.

Exploitation des réseaux

III.A.2.1

Gestion des privilèges du personnel

CO

III.A.2.2

Administration des équipements réseau

CO

III.A.2.3

Gestion des changements

CO

III.A.2.4

Gestion des configurations réseau

CO

III.A.2.5

Procédures et plans de relève réseau

CO

3.

Sécurité des serveurs centraux et

CO

télécommunications

III.A.3.1

Authentification des utilisateurs

CO

III.A.3.2

Autorisation et profils d’accès

CO

Partie B – Applications et bases de données

1.

Sécurité de la messagerie

III.B.1.1

Gestion de la messagerie

CO

III.B.1.2

Contrôle antiviral de la messagerie

CO

126

III. TECHNOLOGIQUE DIMENSION Type de c o n t r ô l e Cote Actuelle

III.

TECHNOLOGIQUE

DIMENSION

Type de

contrôle

Cote Actuelle

Importance du

contrôle

(stratégique)

Évaluation

du CS

Évaluation

Action CT, MT ou LT (uniquement pour les CS)

2. Applications utilisateurs et bases de données

III.B.2.1

Journalisation des accès

III.B.2.2

Contrôles d’application

CO

CO

127

IV. DIMENSION JURIDIQUE Type de c o n t r ô l e Cote Actuelle

IV.

DIMENSION

JURIDIQUE

Type de

contrôle

Cote Actuelle

Importance du

contrôle

(stratégique)

Évaluation

du CS

Évaluation

Action CT, MT ou LT (uniquement pour les CS)

Partie A – Conformité aux Lois

IV. A.1.1

Respect de la réglementation extérieure

CO

128

Annexe 4 – Sommaire des actions à réaliser à court terme, moyen terme et long

Annexe 4 – Sommaire des actions à réaliser à court terme, moyen terme et long terme

       

Évaluation

Évaluation

No de

l’action

Référence

Description de

l’action

Type d’action (CT, MT, LT)

sommaire

des efforts

sommaire des

coûts

129

Annexe 5 – Plan directeur de sécurité Voir page suivante 130

Annexe 5 – Plan directeur de sécurité

Voir page suivante

130

Activités à court terme (0 à 12 mois) No   Action Commentaires Référence Estimation des

Activités à court terme (0 à 12 mois)

No

 

Action

Commentaires

Référence

Estimation des efforts - Sécurité

Estimation des

Estimation des

Estimation des

Activité

Projets

efforts-service

efforts -

coûts

 

informatique

Utilisateurs

1

               

1

               

Activités à moyen terme (12 à 24 mois)

 

No

 

Action

Commentaires

Référence

Estimation des efforts - Sécurité

Estimation des

Estimation des

Estimation des

Activité

Projets

efforts-service

efforts -

coûts

 

informatique

Utilisateurs

1

               

1

               

Activités à long terme (24 mois à 36 mois)

 

No

 

Action

Commentaires

Référence

Estimation des efforts - Sécurité

Estimation des

Estimation des

Estimation des

Activité

Projets

efforts-service

efforts -

coûts

 

informatique

Utilisateurs

1

               

1

               

131

Annexe 6 – Contenu des sections de l’état de la situation actuelle Volet I Dimension

Annexe 6 – Contenu des sections de l’état de la situation actuelle

Volet I Dimension Organisationnelle

Partie A – Sécurité Administrative

1.Leadership

I.A.1.1

La promotion de la sécurité

I.A.1.2

La vision de la sécurité

Mise en contexte

Le leadership est l’une des composantes fondamentales de toute initiative en matière de sécurité de l’information. La mise en place et la gestion d’un environnement technologique sécuritaire, c’est-à-dire respectant le seuil de tolérance de l’organisation, appelle une formalisation des structures de responsabilité et des moyens de gestion de la sécurité de l’information. Cependant, sans un leadership adéquat et une direction claire, il est difficile voire impossible de transformer l’organisation et l’exercice risque d’être futile et demeurer théorique.

Le leadership en sécurité de l’information permet de désigner un « promoteur » de la sécurité de l’information au sein de l’établissement qui supporte les actions posées en matière de sécurité de l’information et qui est le répondant selon le Cadre global de gestion.

Parmi les éléments critiques du leadership, nous retrouvons notamment les items suivants :

n

Promotion de la sécurité au sein de l’établissement;

n

Établissement de la vision en matière de gestion de la sécurité;

n

Établissement des rôles et responsabilités;

132

Les suivantes : composantes peuvent être regroupées sous les deux sections Sous-Section 1.1 – Promotion

Les

suivantes :

composantes

peuvent

être

regroupées

sous

les

deux

sections

Sous-Section 1.1 – Promotion de la sécurité;

Sous-Section 1.2 – La vision de la sécurité

I.A.1.1 Promotion de la sécurité

La promotion de la sécurité par un gestionnaire de haut-niveau est l’une des conditions importantes pour la réussite de toute initiative corporative de protection des actifs informationnels. Cette promotion par un gestionnaire senior confirme l’engagement de l’organisation et démontre l’importance que revêt la protection des actifs informationnels. Comme toute autre initiative corporative, la sécurité de l’information exige une validation et un support formel de la haute direction afin d’en assurer le succès.

I.A.1.2 La Vision de la sécurité

La vision de la sécurité émane nécessairement des membres de la direction d’un établissement. La vision prend souvent la forme d’énoncés contenus dans une politique corporative de sécurité et vise à communiquer les attentes de l’établissement en regard à la sécurité des actifs informationnels. Une vision claire permet d’influencer la culture de l’organisation et par conséquent, l’attitude des usagers. La vision doit être cohérente avec les objectifs liés à la sécurité ainsi que les exigences et besoins législatifs, organisationnels et logistiques.

2. Organisation de la sécurité

I.A.2.1

Organisation de la sécurité

I.A.2.2

Rôles et responsabilités

I.A.2.3

Suivi et rapport des incidents

133

134

134

Mise en contexte Cette section adresse les éléments relatifs à l’organisation de la sécurité, c’est-à-dire

Mise en contexte

Cette section adresse les éléments relatifs à l’organisation de la sécurité, c’est-à-dire les rôles et responsabilités de même que la structure organisationnelle permettant la gestion adéquate de la sécurité des actifs informationnels. La façon dont est structurée la sécurité dans une organisation déterminera, en grande partie, les orientations ainsi que les responsabilités accordées aux individus en matière de sécurité. Cette structure doit permettre l’atteinte des objectifs fixés par la haute direction en matière de gestion des risques. Pour ce faire, les rôles et responsabilités de chacun des acteurs ainsi que leur implication individuelle au niveau des divers systèmes et des banques d’information lors d’incidents de sécurité doivent être définis.

Parmi les éléments clés reliés à l’organisation de la sécurité, nous retrouvons notamment les items suivants :

n

Gestion de la sécurité;

n

Gestion de la sécurité des systèmes d’information;

n

Responsabilités organisationnelles;

n

Suivi des incidents.

I.A.2.1 Organisation de la sécurité

L’organisation de la sécurité représente la structure interne et la définition des tâches en matière de protection de l’information ainsi que les responsabilités qui y sont rattachées. Selon la taille de l’organisation, les mécanismes de management de la sécurité varieront. Ces mécanismes peuvent prendre la forme de comités de sécurité, impliquer la nomination d’un responsable de la sécurité (« officier de sécurité »), exiger la nomination de responsables techniques de la sécurité au sein du service informatique et être adaptés aux besoins de sécurité de l’organisation. Le partage des responsabilités doit indiquer clairement et spécifiquement les tâches et responsabilités des intervenants en matière de sécurité. L’objectif

135

est de posséder un outil permettant d’effectuer une gestion efficace de la sécurité logique, et

est de posséder un outil permettant d’effectuer une gestion efficace de la sécurité logique, et ce, en tenant compte des documents d’encadrement en vigueur (normes et procédures) et des exigences légales et/ou provenant des institutions connexes.

I.A.2.2 Rôles et responsabilités

L’attribution des responsabilités opérationnelles fait référence à l’identification des détenteurs d’actifs informationnels, communément appelés propriétaires de systèmes, et à l’attribution des rôles et responsabilités opérationnelles. Cette attribution des responsabilités se manifeste généralement par un registre d’autorité des systèmes d’information. Un tel registre désigne un ou des individus ainsi que leurs responsabilités par rapport aux divers systèmes. Ce registre doit être tenu à jour et révisé régulièrement afin d’assurer une responsabilisation complète des intervenants par rapport aux systèmes d’information de l’établissement.

I.A.2.3 Suivi et rapport des incidents

Le système d’identification et de suivi des incidents de sécurité est un élément clé permettant de gérer les incidents de sécurité se produisant au sein de l’environnement informatique de l’organisation. Sans un tel mécanisme, il est possible que des incidents de sécurité ne soient pas identifiés ou soient rectifiés par le personnel opérationnel sans être communiqués au personnel responsable de la gestion de la sécurité. En effet, sans des mécanismes d’identification, d’analyse, de diffusion et de suivi approprié des incidents, il pourrait être difficile de déceler des problèmes récurrents. De plus, certains incidents considérés comme mineurs lorsque analysés individuellement pourraient être symptomatiques d’incident à portée plus importante. Sans une vision d’ensemble, il

136

devient difficile de mettre en relation ces incidents individuels et d’en interpréter les impacts globaux.

devient difficile de mettre en relation ces incidents individuels et d’en interpréter les impacts globaux.

3.Programme de gestion de la sécurité

I.A.3.1

Budget et ressources allouées à la sécurité

I.A.3.2

Plan directeur de sécurité

I.A.3.3

Inventaire, propriété et classification de l’information

I.A.3.4

Analyse de risques

I.A.3.5

Bilan annuel de sécurité

Mise en contexte

Cette section traite du programme de sécurité qui est en fonction dans l’organisation. Un programme de sécurité doit mettre en lumière les activités et efforts mis de l’avant par la direction pour promouvoir et responsabiliser le personnel en matière de sécurité des actifs informationnels. Un tel programme est la partie « visible » par le personnel exploitant de l’organisation.

I.A.3.1 Budget et ressources allouées à la sécurité

Le plan opérationnel de sécurité de l’information identifie les projets de sécurité devant être réalisés au cours de la prochaine année. D’autre part, le plan directeur de la sécurité de l’information permet de déterminer à plus long terme les projets en fonction des besoins identifiés dans l’architecture de sécurité. Il est donc important de préciser les besoins en ressources pour réaliser ces projets à court et moyen terme. Un budget spécifique dédié à la sécurité de l’information doit être préparé et accepté par la haute direction de l’établissement afin de s’assurer de l’allocation adéquate des ressources pour répondre aux besoins de sécurité, que les

137

priorités ont été correctement définies et que les problèmes de sécurité sont adressés adéquatement avec

priorités ont été correctement définies et que les problèmes de sécurité sont adressés adéquatement avec des ressources suffisantes.

I.A.3.2 Plan directeur de sécurité

Le plan directeur de sécurité informatique est un document qui vise à fournir aux dirigeants des établissements un outil leur permettant d’avoir la vision, la maîtrise et le contrôle de la sécurité de l’information et ainsi être en mesure de poursuivre leurs activités, tout en connaissant l’état de la situation à ce niveau. Ainsi, le plan directeur de sécurité informatique émet des recommandations sur :

n

les mesures à mettre en place ou à améliorer;

n

l’ordre logique et la priorité d’implantation des mesures correctives, en fonction de la situation actuelle;

n

un plan d’action, incluant un estimé budgétaire des solutions.

I.A.3.3 Inventaire, propriété et classification de l’information

Les notions de propriété et de Catégorisation de l’information sont très importantes pour s’assurer que les actifs informationnels stratégiques et importants pour l’établissement sont adéquatement protégés par des mesures efficaces.

I.A.3.4 Analyse de risques

L’analyse de risques constitue une activité importante afin de permettre à l’établissement d’identifier les principaux risques en matière de sécurité de l’information. L’analyse de risques est également un outil de sensibilisation efficace pour les utilisateurs car elle leur permet de prendre conscience des principaux risques auxquels ils sont confrontés et dont ils sont responsables.

138

I.A.3.5 Bilan annuel de sécurité Le bilan de la sécurité permet d’évaluer périodiquement l’état de

I.A.3.5 Bilan annuel de sécurité

Le bilan de la sécurité permet d’évaluer périodiquement l’état de la sécurité et de déterminer le niveau d’amélioration d’une période à une autre.

4.Cadre de gestion de la sécurité

I.A.4.1

Manuel du cadre de gestion de la sécurité

I.A.4.2

Manuel de gestion opérationnel de la sécurité

I.A.4.3

Politique, normes et procédures de gestion de la sécurité

I.A.4.4

Gestion de crise

I.A.4.5

Assurances contre les dommages matériels

I.A.4.6

Contrats et relations avec les fournisseurs

Mise en contexte

Le cadre de gestion de la sécurité permet d’encadrer, de coordonner et de supporter la mise en place des dispositions législatives qui s’appliquent à l’organisation, des meilleures pratiques en matière de gestion de la sécurité et des standards de sécurité reconnus, tout en tenant compte de l’évolution des besoins et de l’environnement technologique.

I.A.4.1 Manuel du cadre de gestion de la sécurité

Le cadre de gestion de la sécurité de l’information établit entre autre les responsabilités en matière de gestion de l’information et précise les politiques, normes et procédures en vigueur.

I.A.4.2 Manuel de gestion opérationnel de la sécurité

139

Le manuel de gestion de la sécurité regroupe les énoncés essentiels à la gestion opérationnelle

Le manuel de gestion de la sécurité regroupe les énoncés essentiels à la gestion opérationnelle de la sécurité. Il constitue une source de référence autant pour le Responsable de la Sécurité de l’établissement que les différentes personnes impliquées dans la gestion quotidienne de la sécurité de l’information.

I.A.4.3 Politique, normes et procédures de gestion de la sécurité

Les politiques, normes et procédures formant le cadre normatif sont nécessaires afin d’encadrer la sécurité des systèmes d’information ainsi que les actifs informationnels.

n

La politique est un document « parapluie » qui définit la vision et la direction des mesures de sécurité dans une organisation. Ce document doit être approuvé par la direction et diffusé au personnel de l’organisation.

n

Les normes viennent appuyer les énoncés de la politique. Tous les sujets inhérents à sécurité font l’objet d’une norme distincte qui précise les principes à respecter sans tenir compte d’aucune plate- forme ou spécificité technologique. Celles-ci sont remises aux personnes qui sont directement concernées et sont habituellement approuvées par le comité de sécurité.

n

Les normes de sécurité sont associées à une ou plusieurs procédures selon le nombre de systèmes ou de plates-formes différentes. Elles définissent de façon précise les mesures et paramètres à appliquer pour chacun des contextes. En cas de changements technologiques, les procédures doivent habituellement être révisées.

I.A.4.4 Gestion des crises

Cette sous-section vise à s’assurer que l’organisme dispose d’une cellule de gestion des crises qui est en opération de façon continuelle en cas de désastre ou de sinistre informatique.

140

I.A.4.5 Assurance contre les dommages matériels Cette sous-section vise à s’assurer que des assurances suffisantes

I.A.4.5 Assurance contre les dommages matériels

Cette sous-section vise à s’assurer que des assurances suffisantes ont été prises concernant le matériel informatique et les logiciels en cas de perte de ceux-ci suite à un sinistre ou un désastre.

I.A.4.6 Contrats et relations avec les fournisseurs

Cette sous-section vise à s’assurer que les choix des fournisseurs et la négociation des contrats de service sont effectués de manière à assurer la continuité des relations et à prévenir tout bris de lien. Les contrats de service sont constitués généralement d’engagements d’une firme externe envers l’organisme ou bien un département informatique envers d’autres groupes. Les contrats de service déterminent le niveau de ressources attribuées envers un système, les périodes de maintenance, les responsabilités des usagers et autres items. De plus, ces contrats, lorsque appliqués pour tous les systèmes, sont un excellent outil de gestion de tâches du personnel informatique et permettent de définir précisément les intervenants lors de la maintenance et du service à la clientèle.

Volet I Dimension Organisationnelle

Partie B – Sécurité physique et du milieu

1.Sécurité Physique

I.B.1.1

Gestion des locaux informatiques

I.B.1.2

Gestion des équipements informatiques

Mise en contexte

Les progrès constants de la technologie ont, en quelques années, modifié le paysage du monde informatique ainsi que le comportement des utilisateurs en regard de la sécurité des systèmes d'information. Cette évolution a marqué l'architecture des centres informatiques et entraîne

141

fréquemment la répartition physique des systèmes informatiques dans des locaux plus ou moins sécurisés. Il

fréquemment la répartition physique des systèmes informatiques dans des locaux plus ou moins sécurisés. Il est donc nécessaire que des solutions organisationnelles et techniques soient en place afin de mieux maîtriser les risques physiques liés à l’informatique (incendie, dégâts d’eau, intrusion) ainsi que les problèmes pouvant survenir au niveau de l'environnement de fonctionnement des ordinateurs et postes de travail (alimentation électrique, climatisation, câblage, perturbations magnétiques et électromagnétiques, etc.).

I.B.1.1

Gestion des locaux informatiques

La gestion des locaux informatiques limite l’accès de ces locaux aux personnes autorisées. Ce processus permet également de savoir en tout temps quels sont les détenteurs, par exemple, des cartes d’accès et de s’assurer que leur utilisation est conforme à la politique de l’établissement. Le contrôle d’accès des locaux sensibles est la mise en application de moyens sécuritaires tels que des serrures électroniques indépendantes dans chaque local sensible. Cette mesure affine les accès au niveau de certaines salles à des personnes autorisées plutôt qu’à l’ensemble de l’édifice. Ainsi une personne ayant un droit d’accès à l’immeuble ne pourrait pas pénétrer dans des locaux sensibles. Les locaux sensibles ne disposant pas de système anti-effraction, une protection efficace des équipements et documents entreposés n’est pas garantie. La protection anti-effraction permet de protéger les locaux sensibles contre les tentatives d’effraction à l’aide de moyens tels que des portes et fenêtres blindées. Cela permet également de ralentir la progression des fraudeurs dans les différents locaux sensibles, tout en permettant l’intervention précoce des services de sécurité. Cette sous-section vise également à s’assurer que des mécanismes de surveillance adéquats ont été installés dans les locaux contenant des équipements informatiques sensibles et que cette surveillance est adéquatement appliquée.

142

La détection d’intrusion dans les locaux sensibles permet de prévenir rapidement les agents de sécurité

La détection d’intrusion dans les locaux sensibles permet de prévenir rapidement les agents de sécurité qu’un ou plusieurs individus ont tenté de pénétrer dans lesdits locaux. Les dégâts occasionnés aux équipements présents dans les locaux sensibles seront de moindre importance si les délais d’intervention sont réduits au minimum. Finalement, si le câblage d’une organisation est vulnérable, la disponibilité et la confidentialité du réseau de l’organisation peuvent être compromises. Le contrôle d’accès au câblage permet de restreindre les accès aux personnes autorisées. Il permet aussi d’empêcher qu’un individu puisse endommager ou détruire partiellement ou en totalité le câblage. Enfin, il permet d’empêcher la mise en place d’appareils d’écoute des activités du réseau.

I.B.1.1

Gestion des équipements informatiques

La gestion des équipements informatiques permet d’exercer un contrôle rigoureux sur le parc informatique, grâce à la tenue d’un inventaire et à la mise en place de procédures visant à protéger celui-ci contre le vol ou l’utilisation non-autorisés. Ce processus facilite formalise également les modalités de mise au rebut des équipements, et leur sortie du périmètre de l’établissement.

2.Sécurité Environnementale

I.B.2.1

Service continu d’alimentation électrique

I.B.2.2

Prévention et détection des inondations

I.B.2.3

Prévention et détection des incendies

Mise en contexte

143

Cette sous-section vise à identifier si le site sur lequel se trouve la salle informatique

Cette sous-section vise à identifier si le site sur lequel se trouve la salle informatique est susceptible d’être vulnérable à divers risques naturels et humains tels que des tremblements de terre, des inondations, des attaques terroristes, des accidents d’avion si un aéroport est à proximité, des accidents de trains s’il y a la présence proche d’un chemin de fer, etc.

I.B.2.1 Service continu d’alimentation électrique

Cette sous-section vise à s’assurer que les installations informatiques bénéficient d’une alimentation continue en matière électrique et que des dispositifs sont présents afin de palier à une interruption temporaire de l’alimentation électrique ou des variations dans l’alimentation électrique.

I.B.2.2 Prévention et détection des inondations

Cette sous-section vise à mesurer si l’organisme a situé son site informatique à un endroit sécuritaire afin de minimiser les inondations. Elle vise également à mesurer les mesures mises en place afin de détecter les éventuelles inondations dans la salle informatique ou les salles contenant des équipements manipulant des actifs informationnels sensibles. Enfin, elle permet de s’assurer que l’organisme vérifie régulièrement ces mesures.

I.B.2.3 Prévention et détection des incendies

Cette sous-section vise à déterminer si l’organisme dispose d’équipements suffisants pour détecter les incendies dans les locaux contenant des actifs informationnels sensibles. Cette sous-section vise également à déterminer si l’organisme dispose d’équipements suffisants pour combattre les incendies dans les locaux contenant des actifs informationnels sensibles et que les employés attitrés sont formés adéquatement. Enfin, elle permet de s’assurer que l’organisme vérifie régulièrement ces mesures.

144

145

145

Volet I Dimension Organisationnelle Partie C – Sécurité de la production informatique 1.Administration et protection

Volet I Dimension Organisationnelle

Partie C – Sécurité de la production informatique

1.Administration et protection des données, systèmes et documents

I.C.1.1 Privilèges du personnel informatique I.C.1.2 Administration des serveurs I.C.1.3 Contrôle de la mise en place des systèmes

I.C.1.4 Gestion de la maintenance des équipements et des systèmes I.C.1.5 Contrôle de la conformité des configurations I.C.1.6 Contrôle des licences des logiciels et progiciels I.C.1.7 Antivirus I.C.1.8 Impression sécuritaire et distribution I.C.1.9 Gestion des supports magnétiques

I.C.1.10

Sauvegarde des systèmes et des données

I.C.1.11

Plan de relève

I.C.1.12

Reprise des activités

I.C.1.13

Revue des journaux de sécurité et enquête

Mise en contexte

Cette section regroupe les éléments qui sont nécessaires afin d’assurer la protection des systèmes dans l’environnement de production. Cet environnement représente l’ensemble des systèmes et données utilisées par les divers intervenants de l’organisme qui doivent être administrés avec vigilance. De plus, certains éléments, comme par exemple la gestion des licences, s’ils ne sont pas effectués rigoureusement, pourraient entraîner des répercussions légales et porter atteinte à la réputation de l’organisme.

I.C.1.1

Privilèges du personnel informatique

146

Bien que les administrateurs du réseau et des systèmes aient besoin d’accès élargis par rapport

Bien que les administrateurs du réseau et des systèmes aient besoin d’accès élargis par rapport aux utilisateurs dits réguliers, il est essentiel que ces accès soient contrôlés et vérifiés régulièrement. Ces vérifications, sont nécessaires pour être en mesure de prévenir ou détecter des abus de privilèges ou des activités douteuses sur les systèmes. Les accès et agissements sur les systèmes de la part des administrateurs doivent être journalisés et surveillés. De plus, une révision annuelle des privilèges et droits d’accès devrait être effectuée dans le but de s’assurer que les privilèges donnés correspondent toujours aux besoins réels des tâches à effectuer.

I.C.1.2

Administration des serveurs

L’administration des serveurs consiste à maintenir et gérer les serveurs qui soutiennent les applications de l’organisation. Ces serveurs doivent être maintenus pour assurer un fonctionnement optimal et éviter des pannes et problèmes. Cette administration doit prendre la forme de mises à jour aux systèmes d’exploitation ainsi que la surveillance par du personnel autorisé. Seules les personnes compétentes doivent avoir accès aux serveurs critiques de production. Cette sous-section traite également de l’automatisation de l’administration. L’automatisation de l’administration signifie que certains éléments de l’administration quotidienne sont automatisés afin de libérer le personnel de tâches répétitives et souvent rendre le processus plus fiable. De plus, le télé-pilotage permet aux employés d’administration des systèmes d’accéder au système à partir d’un endroit autre que le bureau. Donc, en cas de problème avec les systèmes, un administrateur peut être en mesure de corriger la situation dans un délai rapide sans avoir à se déplacer.

I.C.1.3

Contrôle de la mise en place des systèmes

147

La mise en production est une activité critique pour tout système d’information. Il s’agit de

La mise en production est une activité critique pour tout système d’information. Il s’agit de mettre en fonction les changements (majeurs ou mineurs) dans l’environnement d’exploitation. Cette mise en production doit être effectuée de façon diligente et méthodique. Avant toute mise en production, il faut que des tests appropriés soient effectués pour confirmer officiellement que les changements désirés ont bel et bien été effectués et qu’il n’y ait aucune répercussion sur les autres fonctions. En effet, lors de maintenances des systèmes informatiques, il est possible que les changements aient des effets négatifs sur d’autres aspects du système ou créent une brèche au niveau de la sécurité.

I.C.1.4

Gestion de la maintenance des équipements et systèmes

Le contrôle de la maintenance, qui englobe tous les éléments qui sont effectués sur l’application soit pour ajouter une fonctionnalité, corriger un problème technique ou simplement effectuer de la maintenance préventive doit être encadré de façon rigoureuse. La maintenance doit être effectuée de façon méthodique, pour que les modifications puissent être journalisées et suivies. Par ailleurs, il est important que le personnel qui effectue la maintenance annote leur travail pour que le personnel qui fera la maintenance dans le futur soit en mesure de comprendre les modifications qui ont été apportées auparavant. Cette sous-section concerne également le contrôle de la télé-maintenance, qui permet de s’assurer que la maintenance à distance est effectuée de manière sécuritaire et que l’authentification est adéquate. La télé- maintenance doit être effectuée dans un environnement sécuritaire, autant pour le personnel de maintenance de l’organisme que pour les fournisseurs le cas échéant. Enfin, les contrats de maintenance (ou de service) qui sont fournis par des firmes externes sont fréquemment un élément important dans l’exploitation informatique d’un organisme. Ces contrats, qui peuvent

148

grandement varier selon les besoins et ressources internes doivent être en mesure de répondre aux

grandement varier selon les besoins et ressources internes doivent être en mesure de répondre aux besoins de disponibilité et de temps de réponse nécessaires. Pour les systèmes jugés critiques par l’organisme, il faut que le contrat de service stipule un temps de réponse qui est satisfaisant pour assurer une continuité des affaires dans un délai raisonnable. Pour des raisons financières, il faut que les contrats de maintenance soient rédigés en fonction des tâches que le personnel interne n’est pas en mesure d’effectuer ou qui sont trop exigeantes au niveau du temps.

I.C.1.5

Contrôle de la conformité des configurations

Les postes de travail des utilisateurs des établissements doivent suivre une configuration standard afin d’éviter les brèches de sécurité. Le contrôle de cette configuration devrait être effectué régulièrement par le personnel de l’établissement. La conformité de postes usagers relève directement d’une cohérence au niveau de la gestion des licences ainsi que de la sécurité des postes de travail. L’uniformité des installations pour les usagers facilitera également le support à ces derniers ainsi que la gestion des licences pour les applications qui y sont installés.

I.C.1.6

Contrôle des licences des logiciels et progiciels

La gestion des licences, bien qu’elle représente un élément non technique de la sécurité informatique représente un risque légal pour tout organisme qui ne gère pas correctement les licences d’applications informatiques. Ne pas gérer les licences peut entraîner des répercussions légales importantes, ainsi qu’une perte inestimable de productivité si l’organisme se trouvait dans un déficit important de licences versus le nombre réel d’applications utilisées.

I.C.1.7

Antivirus

149

La protection antivirale des serveurs est essentielle dans la mesure ou les données contenues et

La protection antivirale des serveurs est essentielle dans la mesure ou les données contenues et les actions effectuées sont critiques pour les opérations courantes de l’établissement. Tous les serveurs devraient être munis de protection contre les virus. Si un serveur devient infecté, il est possible que tous les systèmes du parc informatique le deviennent également si une protection adéquate n’est pas déployée systématiquement. La protection contre les virus au niveau des postes de travail est un mécanisme essentiel dans les opérations informatiques actuelles. Le rôle des antivirus au niveau des postes de travail sert surtout à détecter des virus qui pourraient provenir d’un média tel un CD-ROM ou une disquette. De plus, les virus pourraient être contenus dans un fichier qui à été acquis par le biais du réseau Internet. Si le virus n’est pas détecté sur le poste de travail, celui-ci risque de se propager partout au sein de l’établissement et possiblement causer des pertes de données et de productivité. Il est essentiel que les mises à jour des antivirus soient effectuées régulièrement et de façon automatisée tant sur les postes de travail que sur les serveurs.

I.C.1.8

Impression sécuritaire et distribution

La sécurité des documents qui sont imprimés doit faire l’objet d’une directive de sécurité précise. Bien que les documents imprimés ne fassent plus partie de l’informatique, ces impressions peuvent contenir des informations confidentielles provenant de divers systèmes. Il est essentiel que des mécanismes de protection et de destruction volontaire de ces imprimés existent dans l’organisme pour que des informations de nature sensible ne soient pas perdues ou jetées aux ordures sans être détruites de façon appropriée. De plus, certains documents ou informations sensibles, qui sont disponibles dans les systèmes devraient être interdits d’impression si nécessaire.

150

Cette sous-section mesure également les contrôles associés à la distribution des rapports produits par le

Cette sous-section mesure également les contrôles associés à la distribution des rapports produits par le centre informatique de l’établissement. On y mesure les moyens de protection des rapports confidentiels.

I.C.1.9

Gestion des supports magnétiques

Cette sous-section traite de l’administration des supports magnétiques, principalement pour ceux qui sont utilisés pour les copies de sauvegarde. Des procédures écrites doivent être présentes à cette fin. De plus, des procédures de vérification périodique de la qualité des copies de sauvegardes doivent être présentes afin de s’assurer que les copies de sauvegarde peuvent être lisibles et récupérables en cas de problème d’exploitation.

I.C.1.10

Sauvegarde des systèmes et des données

Cette sous-section vise à s’assurer que de façon régulière des copies de sécurité sont prises pour tous les systèmes, ces copies de sécurité des informations de nature hautement sensible sont conservées dans les locaux extérieurs au site d’origine et que les copies de secours sont entreposées à l’extérieur des locaux de l’établissement, idéalement dans la voûte d’une entreprise spécialisée qui en assure le transport d’une façon sécuritaire. De plus, cette section vise à s’assurer que les copies de sauvegarde des systèmes d’information locaux sur micro-ordinateurs autonomes sont soumises aux mêmes règles de sauvegarde.

I.C.1.11

Plan de relève

Cette sous-section vise à s’assurer qu’un plan de relève existe pour les applications critiques autant sur l’environnement central de l’établissement que pour les applications distribuées. Le plan de relève

151

devrait comporter des éléments tels que les numéros de téléphone des personnes stratégiques, des fournisseurs

devrait comporter des éléments tels que les numéros de téléphone des personnes stratégiques, des fournisseurs informatiques, des lieux de rassemblement et autres.

I.C.1.12

Reprise des activités

Les procédures de reprise des opérations devraient être des sous- ensembles d’un plan de relève informatique. Ces procédures devraient décrire les étapes à suivre ainsi que les mesures à prendre en cas de sinistre affectant les applications. Ces procédures de reprise doivent également inclure les procédures d’escalade.

I.C.1.13

Revue des journaux de sécurité et enquête

La gestion des incidents informatiques au niveau de la sécurité devrait faire l’objet d’une gestion et d’un enregistrement centralisé. Cette centralisation fera en sorte que tout événement de sécurité sera signalé au responsable et sera enregistré de façon à ce qu’il puisse y avoir un suivi et gestion de ses événements. En utilisant un système central, le responsable sera en mesure de classer les événements, remarquer les événements récurrents ou similaires et formuler des recommandations le cas échéant. Sans un système central, il y a des risques que les responsables de la sécurité ne soient pas informés des événements et que ces derniers ne puissent être en mesure de formuler des solutions permanentes à des problèmes récurrents ou mener une enquête sur des anomalies significatives. Cette sous-section vise également à mesurer les procédures adoptées par l’établissement afin d’investiguer les anomalies détectées par l’analyse des journaux et de mettre en place les actions nécessaires.

Volet I Dimension Organisationnelle

152

Partie C – Sécurité de la production informatique 1.Administration et protection des données, systèmes et

Partie C – Sécurité de la production informatique

1.Administration et protection des données, systèmes et documents

I.C.2.1

Intégration de la sécurité dans le développement

I.C.2.2

Gestion de la documentation

I.C.2.3

Contrôle des changements aux applications

I.C.2.4

Modifications en cas d’urgence

I.C.2.5

Maintenance des applications

Mise en contexte

Les activités de maintenance et de développement de systèmes s’avèrent des tâches qui comportent plusieurs risques de sécurité. La maintenance des applications implique que des changements aux applications existantes sont effectués. Ces changements pourraient créer des brèches de sécurité, de l’instabilité du système et autres imprévus. Le développement, qui représente une activité de création d’une nouvelle application, doit être soigneusement planifié. En effet, si la sécurité n’est pas planifiée dès le début, il est possible que des contrôles permettant de prévenir l’entrée de données erronées ou non autorisées soient absents mais cependant nécessaires selon les meilleures pratiques. Ces aspects liés à l’intégrité, la confidentialité et la disponibilité pourraient être fortement négligés ou simplement rajoutés à la fin sans une intégration parfaite au système.

I.C.2.1

Intégration de la sécurité dans le développement

Lors du développement d’un système d’information, la méthode de développement devra comprendre les aspects de sécurité dès la phase de l’étude préliminaire. La sécurité, dans tout nouveau système d’information doit être imbriquée dans les fonctionnalités même du système au lieu d’être ajoutée lorsque celui-ci est terminé. Sans une méthodologie de développement dont la

153

sécurité est une partie intégrale, il est possible de retrouver des failles de sécurité importantes

sécurité est une partie intégrale, il est possible de retrouver des failles de sécurité importantes lors de la mise en production ou des tests de performance de l’application finale. De plus, tout au long du développement, des mécanismes de validation des besoins de sécurité devraient avoir lieu pour être en mesure d’assurer un niveau de sécurité optimal lors de la livraison du produit fini. Enfin, une méthodologie de développement devrait être utilisée pour tous les projets en technologie de l’information et comprendre des étapes de contrôle et d’assurance qualité.

I.C.2.2

Gestion de la documentation

La documentation relative à un système est un élément essentiel pour les changements ainsi que son exploitation. Lors des changements dans le système, le détail de ceux-ci devraient être inscrits de façon systématique dans un journal ou autre document pour être en mesure de retracer les modifications effectuées dans le cas ou ces dernières doivent faire l’objet d’une révision.

I.C.2.3

Contrôle des changements aux applications

Selon une base d’événements ou des commentaires récurrents d’usagers, il devrait, dans toute organisation qui maintient elle-même ses systèmes informatiques, avoir un mécanisme de contrôle des changements. Ce mécanisme devrait être en mesure de corriger des problèmes mineurs et détecter des problèmes potentiels suite à une révision du code source.

I.C.2.4

Modifications en cas d’urgence

Une procédure structurée de gestion des cas d’urgences et des pannes, autant au niveau applicatif qu’au niveau technique devrait être en place. Le support de premier niveau et de second niveau doivent être structurés et documentés de façon centralisée.

154

I.C.2.5 Maintenance des applications Les applications achetées ou imparties devraient bénéficier d’un contrat de

I.C.2.5

Maintenance des applications

Les applications achetées ou imparties devraient bénéficier d’un contrat de maintenance et cette dernière devrait être contrôlée au même titre que modifications effectuées aux logiciels développés à l’interne.

155

Volet II Dimension Humaine Partie A – Sensibilisation et formation 1.Sensibilisation et formation II.A.1.1 Programme

Volet II Dimension Humaine

Partie A – Sensibilisation et formation

1.Sensibilisation et formation

II.A.1.1

Programme de sensibilisation et formation

II.A.1.2

Programme d’accueil des employés

Mise en contexte

La sensibilisation et la formation à la sécurité de l’information permettent de faire prendre conscience aux divers types d’intervenants, tels que les gestionnaires, les utilisateurs, les administrateurs de réseau, les nouveaux employés, etc., l’importance de cet aspect, de la valeur des informations qu’ils manipulent, de leurs responsabilités et des lois en vigueur sur la confidentialité des informations. De plus, la sensibilisation et la formation des usagers doivent être transmises dès l’arrivée des employés par un programme d’accueil afin de s’assurer qu’ils soient au fait des enjeux de sécurité de l’information. Un programme d’accueil est essentiel afin de s’assurer que les nouveaux employés de l’établissement soient informés des enjeux de sécurité de l’information. Ce programme devrait être dispensé lors des premières journées à l’emploi de l’établissement et porter sur les enjeux de sécurité de l’établissement ainsi que les attentes de l’établissement et le rôle du nouvel employé

II.A.1.1

Programme de sensibilisation et formation

La sensibilisation permet aux employés de comprendre les enjeux liés à la confidentialité, l’intégrité et la disponibilité de l’information qu’ils manipulent. La formation des utilisateurs et surtout la formation du personnel appartenant au groupe de sécurité permet de maintenir et d’améliorer leur performance et connaissance afférents à la mise en application de la sécurité informatique.

156

Cette section vise également à s’assurer que le climat social est adéquat au sein de

Cette section vise également à s’assurer que le climat social est adéquat au sein de l’établissement et que des mesures de sensibilisation sont présentes. Elle vise à s’assurer que les employés adhèrent aux objectifs de l’établissement en matière de sécurité.

II.A.1.2

Programme d’accueil

Le programme d’accueil des nouveaux employé doit comporter tous les éléments requis, entre autres la signature d’un code d’éthique, l’explication de l’importance de la protection des renseignements pour l’établissement et la remise de la politique de sécurité.

Partie B – Éthique, pratique professionnelle et imputabilité

1.Règlement intérieur, devoirs et responsabilités

II.B.1.1

Respects des règlements

Mise en contexte

La conformité et le suivi, éléments importants dans un contexte hospitalier, sont nécessaires dans la mesure ou une organisation doit s’assurer que ses employés respectent les règlements internes et adoptent un comportement éthique.

II.B.1.1

Respect des règlements

Le respect des règlements internes représente un défi pour toutes les organisations. Ces règlements sont fréquemment complexes et coûteux à appliquer et exigent de l’organisation d’y affecter du personnel. Par contre, les obligations ne doivent pas être négligées ou oubliées par les membres, car les pénalités pourraient être importantes tant au niveau financier que de la réputation. Pour être en mesure de se conformer à toutes ces dispositions, une organisation doit se doter de mécanismes de

157

sensibilisation et de contrôle afin de s’assurer que les règlements internes sont suivis et appliqués

sensibilisation et de contrôle afin de s’assurer que les règlements internes sont suivis et appliqués correctement afin de protéger l’information de l’établissement. Ces mécanismes peuvent prendre la forme d’une personne désignée, de comités ou autres.

158

Volet III Dimension Technologique Partie A – Télécommunication, réseaux et serveurs 1.Sécurité de l’architecture

Volet III Dimension Technologique

Partie A – Télécommunication, réseaux et serveurs

1.Sécurité de l’architecture réseau

III.A.1.1

Architecture redondante et sécuritaire

III.A.1.2

Sécurité des réseaux internes

III.A.1.3

Contrôle des accès aux réseaux

III.A.1.4

Chiffrement et protection de l’intégrité des informations

III.A.1.5

Surveillance des réseaux

III.A.1.6

Journalisation et gestion des incidents

Mise en contexte

Cette section traite des problématiques architecturales reliées à l’exploitation d’un périmètre réseau sécuritaire. Les aspects tels que l’utilisation des protocoles réseau, le fractionnement en fonction des zones de sensibilités, la définition des routes et autres éléments reliés à l’architecture du réseau y sont analysés

III.A.1.1

Architecture redondante et sécuritaire

L’analyse des éléments d’architecture est une vérification des équipements réseau qui doivent fournir à l’organisme un niveau de disponibilité élevé des systèmes d’information. Les éléments observés se situent surtout au niveau des éléments susceptibles de créer un goulot d’étranglement au réseau. C’est-à-dire créer un ralentissement ou panne générale de par leur mauvais fonctionnement.

III.A.1.2

Sécurité des réseaux internes

L’analyse de la sensibilité des réseaux internes est une activité essentielle dans la mesure ou les activités informatiques de l’établissement utilisent

159

des informations sensibles et l’Internet. Les sous-réseaux font en sorte que des informations et systèmes

des informations sensibles et l’Internet. Les sous-réseaux font en sorte que des informations et systèmes critiques puissent être isolés de l’externe et des usagers non autorisés. La sensibilité de ces sous-réseaux varie surtout en fonction de la sensibilité de l’information que contiennent les systèmes qui y sont situés. Le partitionnement du réseau interne, évalué en fonction de la sensibilité des sous-réseaux, est l’étude du bien fondé du partitionnement selon le type et la sensibilité des informations contenues sur les systèmes. De plus, cette évaluation établit si chacun des domaines détient suffisamment de sécurité en fonction des informations contenues.

III.A.1.3

Contrôle des accès aux réseaux

L’accès aux réseaux par le biais de lignes téléphonique (modem) est une méthode fréquemment utilisée par les organismes dans le but de faciliter la gestion à distance des systèmes ou de permettre aux employés d’accéder leurs données à distance. Cette méthode d’accès comporte de nombreux risques. L’utilisation de modems signifie qu’une personne qui accède au réseau de cette manière augmente les risques d’intrusion liés à l’utilisation des modems. Lorsque la sécurité de ces mécanismes d’accès à distance est mal configurée, les données de l’organisme pourraient être la cible de pirates informatiques. Cette sous-section traite également du contrôle des accès des adresses IP par des mécanismes qui effectuent le filtrage des demandes d’accès à des services tel que l’Internet ou autre. Ces mécanismes, lorsqu’en place, effectuent un rôle important au niveau des accès à des systèmes critiques ou au réseau public. Ils sont en mesure de bloquer l’accès d’une personne à un service réseau simplement en reconnaissant l’identifiant de son poste de travail. Enfin, le contrôle des accès sortant est un mécanisme qui permet ou refuse aux usagers d’un réseau informatique d’effectuer des communications avec le réseau public Internet. En fonction des organisations et des

160

politiques qui les régissent, il est possible que le personnel n’ait pas accès à Internet

politiques qui les régissent, il est possible que le personnel n’ait pas accès à Internet ou qu’il en ait seulement un accès partiel. Les contrôles d’accès sortants font en sorte que ces politiques soient mises en place et respectées, c’est à dire que seule la personne qui devrait avoir accès aux sites Internet par exemple soit en mesure d’y accéder.

III.A.1.4

Chiffrement et protection de l’intégrité des informations

Le chiffrement des échanges représente le transfert d’informations sur un réseau, tout en utilisant un moyen technologique rendant illisible les informations aux personnes qui pourraient tenter d’intercepter ces données entre le moment de leur envoi et de leur réception. Ces mécanismes de chiffrement sont cruciaux lorsque des données sont transmises sur Internet en dehors du RTSS et contiennent des informations sensibles. Pour les établissements qui échangent des informations sensibles et qui requièrent un niveau élevé d’intégrité, l’utilisation de signatures numériques devient essentielle. Ces signatures, qui utilisent un protocole de chiffrement, assurent une transmission sécuritaire des données entre le client et le système en question.

III.A.1.5

Surveillance des réseaux

La surveillance des réseaux permet aux administrateurs de ne pas être pris au dépourvu et d’être proactif face aux incidents qui peuvent survenir. La surveillance des réseaux doit inclure des mesures et des analyses périodiques ainsi qu’un système de détection des intrusions et d’anomalies pour fournir aux administrateurs tous renseignements nécessaires pour assurer la disponibilité et l’intégrité du réseau.

III.A.1.6

Journalisation et gestion des incidents

Les journaux d’événements sont essentiels lorsque l’établissement désire obtenir des informations sur les agissements d’un individu en particulier

161

ou des agissements collectifs sur un système précis. La journalisation et les journaux machines sont

ou des agissements collectifs sur un système précis. La journalisation et les journaux machines sont souvent les principaux outils de contrôle permettant d’assurer l’imputabilité des usagers des systèmes d’information. En effet, les journaux peuvent servir en cas d’incident de sécurité à retracer un présumé coupable. Éventuellement les informations journalisées peuvent être utilisées dans la prise de décision en matière de mesures disciplinaires ou légales. La gestion des incidents informatiques au niveau de la sécurité devrait faire l’objet d’une gestion et d’enregistrement centralisé. Cette centralisation fera en sorte que tout événement de sécurité sera signalé au responsable et sera enregistré de façon à ce qu’il puisse y avoir un suivi et gestion de ses événements. En utilisant un système central, le responsable sera en mesure de classer les événements, remarquer les événements récurrents ou similaires et formuler des recommandations le cas échéant. Sans un système central, il y a des risques que les responsables de la sécurité ne soient pas informés des événements et que ces derniers ne puissent être en mesure de formuler des solutions permanentes à des problèmes récurrents ou mener une enquête sur des anomalies significatives.

2. Exploitation réseau

III.A.2.1

Gestion des privilèges du personnel

III.A.2.2

Administration et maintenance des équipements réseau

III.A.2.3

Gestion des changements

III.A.2.4

Gestion des configurations réseau

III.A.2.5

Procédures et plan de relève réseau

162

Mise en contexte L’exploitation des réseaux se résume à toutes les facettes reliées à la

Mise en contexte

L’exploitation des réseaux se résume à toutes les facettes reliées à la gestion et au maintien du bon fonctionnement des systèmes d’information ainsi que des réseaux qui les supportent. Ces facettes permettent que les infrastructures technologiques soient conservées à un niveau optimal de performance relativement aux exigences des usagers et de la direction.

III.A.2.1

Gestion des privilèges du personnel

Bien que les administrateurs du réseau aient besoin d’accès élargies par rapport aux utilisateurs dits réguliers, il est essentiel que ces accès soient contrôlés et vérifiés régulièrement. Ces vérifications sont nécessaires pour être en mesure de prévenir ou détecter des abus de privilèges ou des activités douteuses sur les systèmes. Les accès et agissements sur les équipements réseaux de la part des administrateurs doivent être journalisés et surveillés. De plus, une révision annuelle des privilèges et droits d’accès devrait être effectuée dans le but de s’assurer que les privilèges donnés correspondent toujours aux besoins réels des tâches à effectuer.

III.A.2.2

Administration des équipements réseau

L’administration des équipements réseaux consiste à maintenir et gérer les équipements qui soutiennent le réseau ministériel. Ces équipements doivent être maintenus pour assurer un fonctionnement optimal ainsi qu’éviter des pannes et problèmes. Cette administration doit comprendre des mises à jour aux systèmes d’exploitation ainsi que la surveillance par du personnel autorisé. Seules les personnes compétentes doivent avoir accès aux équipements critiques de production. Ces équipements incluent le câblage, un élément essentiel du réseau. Sans câblage approprié, le réseau ne peut pas fournir les services attendus. Pour la gestion du câblage réseau, le Ministère doit disposer d’un plan de

163

câblage. Les câbles doivent être identifiés pour pouvoir rapidement retrouvé le câble défaillant en cas

câblage. Les câbles doivent être identifiés pour pouvoir rapidement retrouvé le câble défaillant en cas de problème. Tout le câblage doit être analysé régulièrement pour prévenir les disfonctionnements potentiels. Cette sous section traite également de l’automatisation de l’exploitation, signifiant que certains éléments de l’exploitation quotidienne sont automatisés pour être en mesure de libérer le personnel de tâches répétitives et souvent rendre le processus plus fiable. De plus, le télé- pilotage permet aux employés d’administration des systèmes d’accéder aux équipements réseaux à partir d’un endroit autre que le bureau. Donc, en cas de problème avec les systèmes, un administrateur peut être en mesure de corriger la situation dans un délai rapide sans avoir à se déplacer.

III.A.2.3

Gestion des changements

La mise en production est une activité critique pour tout équipement réseau. Il s’agit de mettre en fonction les changements (majeurs ou mineur) dans l’environnement d’exploitation. Cette mise en production doit être effectuée de façon diligente et méthodique. Avant toute mise en production, il faut que des tests appropriés soient effectués pour confirmer officiellement que les changements désirés ont bel et bien effectués et qu’il n’y ait aucune répercussion sur les autres fonctions. En effet, lors de maintenances des équipements réseaux, il est possible que les changements aient des effets négatifs sur d’autres aspects du réseau ou créent une brèche au niveau de la sécurité. Cette sous-section traite également du contrôle de la maintenance, qui englobe tous les éléments qui sont effectués sur les équipements réseaux pour soit rajouter une fonctionnalité, corriger un problème technique ou simplement effectuer de la maintenance préventive doit être encadrée de façon rigoureuse. La maintenance doit être effectuée de façon méthodique, pour que les modifications puissent être journalisés et suivies. Par

164

ailleurs, il est important que le personnel qui effectue la maintenance annote leurs travaux pour

ailleurs, il est important que le personnel qui effectue la maintenance annote leurs travaux pour que les employés qui feront la maintenance dans le futur soit en mesure de comprendre les modifications qui ont été apportées dans le système.

III.A.2.4

Gestion des configurations réseau

La conformité des configurations des équipements réseaux et des cartes réseaux des postes usagers relève directement d’une cohérence au niveau des fonctionnalités offertes ainsi que de la sécurité. Le plan de sauvegarde des configurations réseaux est un mécanisme continuel qui détermine la fréquence des copies de sauvegarde, les items sauvegardés, la rotation des médias ainsi que le stockage à l’extérieur des données critiques s’il y a lieu. En cas de sinistre, ces copies seront la pierre angulaire de la relève des opérations informatiques. Sans ces sauvegardes, l’organisation pourrait perdre plusieurs mois pour reconfigurer les équipements. De plus, il est essentiel que les médias et données soient testés régulièrement pour s’assurer qu’elles soient disponibles rapidement en cas de besoin.

III.A.2.5

Procédures et plans de relève réseau

Les procédures de reprises des opérations devraient être des sous-ensembles d’un plan de relève informatique. Ces procédures devraient décrire les étapes à suivre ainsi que les mesures à prendre en cas de sinistre et que le réseau ministériel serait affecté ou inaccessible. De plus, des copies de la documentation ainsi que tout matériel essentiel au bon fonctionnement des applications critiques devraient être conservées à l’extérieur. Le plan de relève devrait comporter des éléments tels que les numéros de téléphones des personnes clé, des fournisseurs informatiques, des lieux de rassemblement et autres.

3. Sécurité des serveurs centraux et télécommunications

165

III.A.3.1 Authentification des utilisateurs III.A.3.2 Autorisation et profils d’accès Mise en contexte Compte tenu de

III.A.3.1 Authentification des utilisateurs

III.A.3.2 Autorisation et profils d’accès

Mise en contexte

Compte tenu de la décentralisation des systèmes informatisés et de la facilité d’accès aux configurations des systèmes d’exploitation des serveurs, cette section vise spécifiquement cette problématique. Dans ce nouveau contexte, les brèches de sécurité sont facilement connues publiquement, d’où l’importance de réagir rapidement pour appliquer les correctifs et connaître exactement la situation des serveurs face aux nouvelles vulnérabilités. De plus, les architectures de type client-serveur apportent avec elles une nouvelle dynamique en matière de sécurité des serveurs. Jusqu’à récemment utilisés principalement pour les applications bureautiques, les serveurs ont maintenant un rôle de support aux applications dites « mission critical ». La sécurité des serveurs internes et des systèmes d’exploitation de ceux-ci est souvent présentée sous l’appellation du périmètre interne de l’entreprise. La notion de sécurité du périmètre interne fait référence à la sécurité individuelle des systèmes composant l’environnement informatique de l’entreprise qui sont identifiés comme étant « privés » et qui par conséquent ne sont pas accessibles via les réseaux publics tels que l’Internet. De manière générale, ces systèmes sont les systèmes les plus critiques de l’entreprise. Le périmètre interne aussi communément appelé la « dernière ligne de défense » repose sur la sécurité individuelle de chacun des systèmes de l’environnement.

III.A.3.1

Authentification des utilisateurs

L’authentification aux systèmes est reconnue comme étant « la dernière ligne de défense » d’un système. L’authentification, qui repose

166

fréquemment sur une combinaison d’un nom d’usager et un mot de passe, doit être bien

fréquemment sur une combinaison d’un nom d’usager et un mot de passe, doit être bien configurée, sinon cette dernière ligne de défense pourrait être faible et facilement accessible aux pirates informatiques. Les paramètres d’authentification reposent aussi sur des éléments telles que le nombre de tentatives de connexion permises, le nombre de caractères requis pour le mot de passe, etc.

III.A.3.2

Autorisation et profils d’accès

La gestion des autorisations et des comptes usagers est l’un des piliers de la sécurité des systèmes d’informations dans une organisation. Il est essentiel que tous les usagers utilisant un système détiennent les accès nécessaires pour effectuer le travail requis par leur poste. De plus, lorsqu’un usager quitte l’organisme, des mécanismes doivent être enclenchés afin de s’assurer que le compte est désactivé puis révoqué. Des mécanismes doivent assurer en tout temps l’adéquation entre les accès accordés à l’usager et les besoins du poste. L’établissement des profils d’accès est une tâche importante qui est fréquemment négligée. La création et la gestion des profils d’accès doivent être effectuées de façon méthodique dans le seul but d’accorder des privilèges nécessaires aux membres d’un profil donné. De plus, la modification de ces profils doit être effectuée par un nombre limité de personnes du département informatique de l’établissement.

Volet III Dimension Technologique

Partie B – Applications utilisateurs et bases de données

1.Sécurité de la messagerie

III.B.1.2

Gestion de la messagerie

167

III.B.1.2 Contrôle antiviral de la messagerie Afin de contrer les attaques de type viral perpétrées

III.B.1.2

Contrôle antiviral de la messagerie

Afin de contrer les attaques de type viral perpétrées via le courrier électronique, les établissements qui détiennent un système de courrier électronique se doivent d’y installer un mécanisme de filtrage pour bloquer l’entrée au réseau de virus et autres programmes nuisibles.

2.Applications et bases de données

III.B.2.1

Journalisation des accès

III.B.2.2

Contrôles d’application

Mise en contexte

Cette section est particulière car elle traite des spécificités propres aux systèmes applicatifs. Une fiche de contrôle devrait être élaborée pour chaque application critique.

III.B.2.1

Journalisation des accès

III.B.2.2

Contrôles d’application

168

Volet IV Dimension Juridique Partie A – Conformité aux lois IV A.1.1 Respect de la

Volet IV Dimension Juridique

Partie A – Conformité aux lois

IV A.1.1

Respect de la réglementation extérieure

Mise en contexte

Les aspects du programme de conformité aux lois doivent être présents, entre autres une démarche structurée pour assurer la conformité des processus actuels avec les exigences légales, plus particulièrement la protection des renseignements personnels.

IV A.1.1

Respect de la réglementation extérieure

Un processus de respect de réglementation extérieur est en place.

169