Académique Documents
Professionnel Documents
Culture Documents
de l’information
Guide de rédaction
Trousse d’outils
Juin 2003
Version 1.1
Guide de rédaction d’une politique de sécurité de
l’information
M. Robert Brochu
Conseiller principal en sécurité et technologie
Société de gestion informatique inc. (SOGIQUE)
Francis Beaudoin
Directeur principal – Groupe sécurité de l’information
KPMG s.r.l.
Personnes consultées :
I
Membres du comité de lecture et de validation :
Dans ce document, le générique masculin est utilisé pour simplifier la lecture du texte, mais
s'applique autant pour le féminin que pour le masculin.
Pour toute question ou commentaire, veuillez communiquer avec votre coordonnateur régional de
la sécurité de l'information.
Remerciements
L’équipe de réalisation tient à remercier toutes les personnes ayant collaboré avec elle.
II
TABLE DES MATIÈRES
1 CONTEXTE ............................................................................................................................ 1
2.1 OBJECTIFS.............................................................................................................................. 4
2.2 AUDIENCE.............................................................................................................................. 4
2.2 LIMITATIONS ......................................................................................................................... 5
2.3 SOUTIEN ................................................................................................................................ 5
ANNEXE B – FICHE-MANDAT............................................................................................... 44
1 IDENTIFICATION DU PROJET.............................................................................................. 44
2 COMPOSITION DE L’ÉQUIPE DE PROJET............................................................................. 44
3 ÉCHÉANCIERS ................................................................................................................... 44
4 OBJECTIFS DU MANDAT .................................................................................................... 44
5 LES RESSOURCES NÉCESSAIRES À L’ÉLABORATION DE LA POLITIQUE. ............................ 45
6 LES RESSOURCES NÉCESSAIRES À LA MISE EN PLACE ET AU SUIVI ................................... 45
7 ENGAGEMENT DES PARTIES .............................................................................................. 45
i
1 CONFIDENTIALITÉ DES RENSEIGNEMENTS ....................................................................... 48
2 PROTECTION DE LA CONFIANCE DES CITOYENS ............................................................... 48
3 UTILISATION DE L’INTERNET ET DU COURRIER ÉLECTRONIQUE ...................................... 49
4 …...................................................................................................................................... 49
ANNEXE G – LEXIQUE............................................................................................................ 53
ii
1 Contexte
La sécurité des actifs informationnels1 est devenue une préoccupation majeure des intervenants
oeuvrant dans le domaine de la santé. Étant donné l’importance stratégique des systèmes
d’information utilisés par les établissements et les organismes2 de même que la nature sensible
des informations qu’ils traitent, la sécurisation des actifs informationnels devient un enjeu
stratégique pour le réseau sociosanitaire.
Afin de les appuyer dans leurs efforts, le ministère de la Santé et des Services sociaux du Québec
a créé en octobre 2001 la « Table des coordonnateurs régionaux en sécurité des actifs
informationnels » (TCRSAI) afin d’échanger et de partager sur les enjeux reliés au déploiement
du Cadre global. Or, la responsabilité de sécuriser les actifs informationnels revient aux
propriétaires des actifs afin d’apporter un support aux établissements. SOGIQUE a été
mandatée pour développer une trousse destinée à accompagner et à supporter les établissements
dans l’implantation du Cadre global.
C’est donc dans ce contexte que le présent « guide de rédaction d’une politique de sécurité de
l'information » a été développé.
1 La notion d’actif informationnel est définie au lexique. De plus, le domaine d’application de la sécurité
de l’information est défini au Cadre global à l’article 2, page 7.
2
Dans un souci d'allègement du texte, nous utiliserons uniquement le terme « établissements » pour
désigner l'ensemble des organismes du secteur sociosanitaire assujetti à l'application du Cadre global
art. 2
1
Il est important de mentionner que la portée du présent guide se limite aux questions directement
reliées à la sécurité de l’information et n’adresse pas l’ensemble des domaines à considérer en
matière de gestion de l’information. Ces domaines sont présentés à l’intérieur de la figure 1 de ce
document qui permet de bien situer les principaux éléments qui déterminent et établissent les
critères et les obligations au regard de la sécurité de l’information et, de plus, qui influencent
directement la gestion de l’information, et ce, quel que soit son support.
La figure 1 présente quatre (4) niveaux qui s’articulent du haut vers le bas. Il est à noter que
chaque niveau influence le suivant.
Niveau 1
Le premier niveau identifie les sept (7) principaux domaines à considérer dans une approche
globale de gestion de l’information. Ces domaines sont, pour la plupart, chapeautés par un (e) ou
plusieurs lois ou règlements. Ils déterminent également les grands paramètres et les obligations
des organismes du réseau de la santé et des services sociaux en matière de sécurité de
l’information.
Niveau 2
Le deuxième niveau représente les trois (3) objectifs (disponibilité, intégrité et confidentialité) de
la sécurité de l’information et les deux (2) objectifs de la sécurité des transmissions
(authentification et irrévocabilité). Chacun des domaines de gestion de l’information génère des
paramètres ou des obligations aux organismes au regard de l’un ou plusieurs de ces objectifs.
Par exemple, le domaine de l’accès à l’information (Loi sur l’accès aux documents des
organismes publics et sur la protection des renseignements personnels) influence principalement
la gestion de la confidentialité et de la disponibilité de l’information, alors que le domaine de la
gestion des documents et des archives peut être déterminant pour la disponibilité. Les lois en
vigueur dans le domaine de la santé et des services sociaux concernent les trois (3) objectifs de la
sécurité de l’information, soit la disponibilité, l’intégrité et la confidentialité et, parfois, les deux
objectifs de la transmission des informations qui sont l’authentification et l’irrévocabilité.
2
Niveau 3
Le troisième niveau englobe l’ensemble des mesures globales de sécurité édictées au niveau
national. La plupart de ces mesures ont un impact sur les obligations des organismes du réseau en
matière de sécurité de l’information.
Niveau 4
Le quatrième niveau présente les différents niveaux de documentation de la gestion de la sécurité
de l’information dans un organisme. Ce niveau fait l’objet de la section 3.1 du présent guide.
GESTION DE L'INFORMATION
NIVEAU 1
Domaines déterminant les grands paramètres de la sécurité de l'information dans le réseau de la santé et des services sociaux
Lois et réglements,
internationaux Gestion des
canadiens, québecois, Protection des documents et des
Protection de la vie Protection des
Lois en vigueur dans renseignements Accès à l'information archives Propriété intellectuelle
privée données corporatives
le domaine de la personnels (quel que soit le
santé et des services support)
sociaux
NIVEAU 2
DISPONIBILITÉ
SÉCURITÉ DE INTÉGRITÉ
L'INFORMATION CONFIDENTIALITÉ
AUTHENTIFICATION
ET DES TRANSMISSIONS
IRRÉVOCABILITÉ
NIVEAU 3
Gestion de la sécurité de l'information du réseau de la santé et des services sociaux
Exigences minimales en matière de sécurité pour le raccordement au RTSS (juillet 1999)
Cadre global de gestion des actifs informationnels appartenant aux organismes du réseau de la santé et des services sociaux - Volet sécurité
Politique Nationale - Rôles et responsabilités - Mesures (obligatoires et minimales) (septembre 2002)
NIVEAU 4
Gestion de la sécurité de l'information d'un organisme du réseau de la santé et des services sociaux
Politique de sécurité locale
en lien avec le cadre législatif, le cadre global, la mission de l'organisme et ses caractéristiques organisationnelles
Normes et directives
Procédures
16-05-2003
3
2 Objectifs du guide
2.1 Objectifs
L’objectif du présent guide est de supporter les établissements dans l’élaboration de leur politique
de sécurité. Afin de s’assurer que le guide soit adapté aux particularités des établissements de la
santé et de services sociaux, une approche consultative a été adoptée lors de son élaboration. À
cet effet, des établissements de toutes tailles et de vocations différentes ont été rencontrés afin
d’identifier et de documenter les enjeux et les besoins des intervenants, de même que leur vision
de ce que devrait être une politique de sécurité de l’information.
La section quatre (4) propose une méthodologie permettant d’élaborer une politique. La méthode
proposée se veut consultative afin de favoriser l’adhésion des intervenants aux objectifs et
énoncés de la politique adoptée par la direction de l'établissement. Comme toute méthode de
travail, cette dernière devra être adaptée aux particularités de chaque établissement.
La section (5) cinq, quant à elle, présente les sections qui devraient se retrouver dans une
politique. Pour chaque section, l’objectif de la section, les meilleures pratiques en la matière ainsi
qu’une liste de suggestions et un exemple sont présentés. De plus, l’annexe A présente un
exemple complet de politique de sécurité de l'information.
2.2 Audience
4
• Le responsable de la sécurité des actifs informationnels (RSAI)
2.2 Limitations
La disparité entre les établissements et les différents stades d'avancement des activités de gestion
reliées à la sécurité de l'information au sein de chacun des établissements font en sorte que le
guide devra être adapté et ne se substitue en aucun cas au jugement professionnel des intervenants
des établissements.
2.3 Soutien
Les agences de la santé et des services sociaux ont le mandat de supporter les établissements dans
leur démarche d’élaboration d’une politique de sécurité de l’information. Pour toutes questions
concernant ce guide, vous pouvez vous adresser au coordonnateur de votre région.
5
3 Généralités sur les politiques de sécurité
3.1 Positionnement de la politique de l’information
6
Précision sur les types de politiques de sécurité
Il existe deux types de politiques : les politiques « détaillées » et les politiques « de haut niveau ».
L’approche de haut niveau est l’approche à privilégier. Selon cette approche, la politique doit
avant tout spécifier les objectifs, la portée, les principes directeurs, et les principaux rôles et
responsabilités de chacun.
Ce type de politique évite de spécifier les moyens pour atteindre les objectifs ou de formuler des
prescriptions en matière de gestion laissant ces aspects aux normes et procédures. Comme la
politique sera adoptée par le conseil d’administration de l’établissement, il est important d’éviter
d’y inclure des normes techniques ou des procédures qui sont susceptibles de changer assez
fréquemment, sans quoi, l’évolution de la politique risque d’être laborieuse.
La politique se doit d’être assez de haut niveau afin de bien préciser la volonté et les
attentes de la direction en matière de sécurité de l’information.
7
4 Processus d’élaboration d’une politique
de sécurité de l’information
4.1 Les facteurs clés de réussite
Le succès de l'initiative nécessite une volonté de la direction qui se traduit par une implication et
le support de cette dernière. Sans cette implication, il sera difficile d’obtenir l’adhésion des
intervenants et la politique n’atteindra pas ses objectifs. Nous vous rappelons que la sécurité de
l'information est d'abord une démarche organisationnelle qui inclut les technologies de
l'information, mais qui en dépasse largement les frontières. De même, il est important de
positionner la sécurité de l'information comme un processus qui nécessite des efforts continus et
non pas comme un problème ponctuel, pouvant être résolu grâce à la mise en place de mesures
exclusivement technologiques.
Le succès de la politique et son respect nécessitent une compréhension des enjeux et des risques
de la part des utilisateurs qui y seront assujettis. Cette compréhension devra être inculquée aux
utilisateurs par des efforts continuels de sensibilisation et de formation qui nécessiteront
l'implication d’un ensemble de collaborateurs tout particulièrement des directions ressources
humaines.
Enfin, il est à noter que sans les ressources nécessaires à la diffusion, à l’implantation, à la
sensibilisation et à la formation, la politique ne pourra atteindre ses objectifs.
8
4.2 Composition de l’équipe de projet
Cette section présente les étapes nécessaires à l’élaboration d’une politique. Comme nous l’avons
mentionné précédemment à la section 2.2 Limitations, le processus présenté à la figure 3 devra
être adapté pour chacun des établissements en fonction de sa taille, sa structure organisationnelle,
sa culture organisationnelle et l'état d'avancement de ses travaux face à la sécurité de
l’information.
9
Le cycle de développement et de mise à jour d’une politique de sécurité de l'information peut
s’étendre sur une période de quelques mois à plus d’une année, en fonction de la structure
organisationnelle de l’établissement et des méthodes de validation et d’adoption qui ont été
choisies. Les activités suivantes font généralement partie du processus d’élaboration :
Cette première étape est en lien direct avec la section 4.1 Les facteurs clés de réussite et vise à
obtenir un mandat clair de la part de la haute direction pour développer la politique. Ce mandat
devrait être discuté entre les membres de l’équipe qui seront chargés d’élaborer la politique et la
direction. Les thèmes abordés lors de la définition du mandat devraient être notamment :
10
• les objectifs poursuivis par la direction en matière de sécurité de l’information. Par
exemple : se conformer aux lois, assurer la sécurité des usagers, etc.;
D’autres préoccupations d’ordre logistique devraient aussi être discutées, telles que les
échéanciers et le calendrier de réalisation.
Nous recommandons à l’équipe de projet de documenter son mandat et d’élaborer une « fiche-
mandat ». L’annexe B présente un exemple de fiche-mandat pouvant être utilisée.
La recherche et le balisage sont des activités qui visent deux objectifs, soit :
• recenser les politiques existantes afin d’en dégager les meilleures pratiques.
11
4.3.3 Étape 3 - Recensement des préoccupations
L’étape de recensement des préoccupations est fondamentale et devra être menée avec minutie.
L’objectif de l’activité est de faire ressortir les préoccupations des principaux intervenants de
l’établissement. Pour ce faire, l’équipe de projet peut utiliser les techniques suivantes :
Peu importe la méthode utilisée, l’objectif demeure la collecte des préoccupations des
intervenants. La liste ci-dessous présente une liste d’intervenants qui, en plus des membres
du comité de sécurité provisoire présenté à la section 4.2 Composition de l'équipe de projet,
qui pourra être consultée. Cette liste n’est pas exhaustive et devra être adaptée pour chaque
établissement :
• le dirigeant de l’établissement;
• un représentant du service du contentieux;
• un représentant du service des ressources humaines;
• un responsable du département de gestion des technologies;
• un responsable des ressources matérielles;
• un représentant du comité des utilisateurs;
• la Direction des services professionnels (DSP) et la Direction des soins infirmiers (DSI).
12
D’un point de vue technique, il est recommandé que l’équipe de projet délègue la rédaction de la
politique à une seule personne ou à une équipe restreinte. Dans ce dernier cas, des sections
distinctes devraient être attribuées à chacun des membres de l’équipe de rédaction.
En matière de style, il est recommandé d’utiliser un style directif et précis laissant peu de place à
l’interprétation. Les deux exemples ci-bas illustrent nos propos. Le premier utilise un style qui
permet une certaine interprétation (inadéquat) par opposition au deuxième, qui lui, est directif
(adéquat). Introduire des règles d’écriture, exemple : opter pour des phrases affirmatives plutôt
que négatives, employer « doit » pour une obligation, etc.
La politique pourrait connaître plusieurs itérations et il n’est pas rare que certaines équipes de
rédaction mandatent une personne afin d’effectuer l’édition finale du texte. Cette pratique offre
l’avantage d’assurer une certaine consistance en matière de style de rédaction tout en conservant
les avantages que procure le travail d’équipe.
13
4.3.5 Étape 5 - Analyse des impacts3
L’analyse des impacts a pour objectif d'informer les décideurs (le conseil d'administration) sur
des conséquences reliées à la mise en œuvre de la politique à la suite de son adoption. L’analyse
des impacts devrait s’articuler autour des cinq dimensions suivantes :
Chacune des prescriptions de la politique devrait être analysée en fonction des cinq dimensions
afin d’identifier les problèmes qui pourraient en découler et les actions nécessaires à leur
résolution. L’annexe E présente un exemple d’exercice d’analyse des impacts de la politique.
L’étape de validation est cruciale et doit se faire auprès d’un groupe d’utilisateurs comportant des
représentants de tous les secteurs d’activités concernés comme ce fut le cas pour l'étape 3
Recensement des préoccupations (appelé « Groupe de validation » ci-après). Idéalement, la
validation devrait être effectuée auprès des mêmes personnes consultées à l'étape 3.
3
Il ne s’agit pas ici de faire une analyse des impacts comme on le ferait lors d’une analyse de risques, mais
plutôt d’analyser les impacts ou les « changements » que pourrait engendrer la mise en œuvre de la
politique.
14
L’étape de la validation est intimement liée à l’analyse des impacts. L’objectif de cette étape est
de revoir le projet de politique et les impacts identifiés précédemment. Cette étape est nécessaire
afin d’obtenir l’assurance que le projet de politique est bien compris par le groupe de validation et
que les impacts qu’aura la mise en œuvre de la politique sont acceptables.
Une fois le projet de politique et ses impacts analysés et validés, le projet devrait être approuvé de
manière préliminaire par le comité de sécurité provisoire et déposé au plus haut dirigeant de
l’établissement en vue de son adoption finale par le conseil d'administration.
Cette adoption par la plus haute instance de l’établissement est primordiale (voir les rôles et
responsabilités du Cadre Global p. 15 art 2.1) puisqu’elle indique clairement l’importance
qu’accorde la direction aux enjeux de sécurité de l’information et à la politique.
Cette dernière étape est la première concrétisation du processus et a pour objectif de diffuser et
d’expliquer les obligations prévues à la politique à l’ensemble du personnel de l'établissement.
Bien que certains membres du personnel ne soient pas appelés à utiliser l'information dans le
cadre de ses fonctions, il est important de les informer des aspects de la politique qui sont
susceptibles de les concerner. Cette étape est cruciale car, comme nous l’avons indiqué à la
section 4.1 sur les facteurs clés de réussite, la compréhension et l’adhésion du personnel sont les
principales causes de succès ou d’échec d’une politique. Il est important à cette étape de bien
15
s’assurer que les membres du personnel comprennent la politique et y souscrivent. Pour ce faire,
nous suggérons les activités suivantes :
• atelier de formation;
• diffusion de sessions de formation. Il faut prévoir une activité d'une durée minimale
de deux heures et des groupes d'une quinzaine de personnes pour celles qui
utilisent l'informatique ou qui peuvent être directement en contact avec les
systèmes d’information;
4
Une telle pratique devrait être validée avec le service du contentieux de l’organisation et avec le ou les
syndicats concernés afin de s’assurer que cette pratique respecte les ententes et les conventions
collectives.
16
4.3.9 Rappel de l'existence de la politique
Il est impératif que les efforts de sensibilisation et de formation soient récurrents selon une
fréquence adéquate. Plusieurs organisations optent pour des efforts mensuels, tels qu’un rappel
dans le journal des employés ou autre publication interne et un rappel semi-annuel prenant la
forme d’une séance de formation formelle.
La séance d’accueil d’un nouvel employé représente une occasion privilégiée de présenter la
politique de sécurité de l’information. En effet, il est recommandé que, lors de la séance
d’accueil, la direction des Ressources humaines présente la politique de sécurité de l’information
au nouvel employé et offre une séance de formation. Cette séance a généralement pour objectif
d’introduire la politique à l’employé et de répondre aux questions de ce dernier.
17
5 Éléments d’une politique de
sécurité de l’information
5.1 Structure de la politique
Les politiques de sécurité s’articulent généralement autour des six grandes sections suivantes :
• contexte;
• objectifs;
• respect de la politique;
• portée;
• principes directeurs;
• rôles et responsabilités.
Il est à noter que le vocabulaire utilisé pourrait être différent, par exemple, certains auteurs
parlent de « raison d’être » plutôt que d’« objectifs », de « domaines d’application » plutôt que de
« portée ». À cet égard, les meilleures pratiques recommandent de s’arrimer à la culture de
l’organisation et d’utiliser le vocable qui est le plus susceptible d’interpeller les utilisateurs qui
sont soumis à la politique. Le même commentaire s’applique aussi quant au niveau de langage et
de vulgarisation.
Cette partie du guide présente chacune des sections que l’on retrouve généralement dans une
politique de sécurité. Pour chacune des sections, nous présentons les objectifs de la section, les
meilleures pratiques, certaines suggestions et un exemple.
18
5.2.1 Section « Contexte »
Objectif de la section
L’objectif de cette première section est de positionner le contexte de la politique. La section, que
l’on présente parfois sous l’appellation « préambule5 », vise à identifier les éléments de haut
niveau ayant donné naissance au besoin d’élaborer une politique. Généralement, les éléments du
contexte proviennent des orientations gouvernementales, telles que la prestation électronique de
service (PES), les lois, directives et encadrement notamment le Cadre global et autres éléments du
contexte sociétal ou administratif.
Meilleures pratiques
Les meilleures pratiques recommandent que la section « Contexte » soit brève et concise (une
demi-page). En effet, cette section doit permettre de positionner rapidement le lecteur face aux
enjeux que la politique tente d’encadrer.
Suggestions
Les points suivants pourraient être considérés comme des éléments de contexte :
5
De manière formelle, les notions de contexte et de préambule sont différentes. Toutefois, une
interprétation libérale permet l’usage des deux termes aux fins décrites ci-haut.
19
• le Cadre global de gestion des actifs informationnels appartenant au organisme du
réseau de la santé et des services sociaux – Volet sur la sécurité.
Exemple
La modernisation du réseau de la santé et des services sociaux repose sur la possibilité, pour les établissements, de
s’échanger des informations de façon rapide et sécuritaire. C’est dans cette optique que le réseau s’est doté en 1999 du
Réseau de télécommunication sociosanitaire (RTSS) qui relie plus de 1 500 sites au sein de plus de 400 établissements.
Dans la perspective d’un volume accru d’échanges d’information et afin de s’assurer du respect des lois, règlements et
normes gouvernementales en matière de sécurité de l’information, le ministère de la Santé et des Services sociaux
(MSSS) a élaboré un Cadre global de la sécurité des actifs informationnels. La volonté du MSSS est de mettre en place,
au cours des trois (3) années qui suivent, l’ensemble des mesures prévues au Cadre global de sécurité.
L’établissement reconnaît que l’information est essentielle à ses opérations courantes et, de ce fait, qu'elle doit faire
l’objet d’une évaluation, d’une utilisation appropriée et d’une protection adéquate. L’établissement reconnaît détenir,
en outre, des renseignements personnels ainsi que des informations qui ont une valeur légale, administrative ou
économique.
De plus, plusieurs lois et directives encadrent et régissent l’utilisation de l’information. L’établissement est assujetti à
ces lois et doit s’assurer du respect de celles-ci. (note : il serait possible d’indiquer les principales lois et directives,
nous vous référons à l’annexe H Fondements juridiques pour une liste complète).
En conséquence, l’établissement met en place la présente politique de sécurité de l’information qui oriente et détermine
l’utilisation appropriée et sécuritaire de l’information et des technologies de l’information.
Meilleures pratiques
Généralement, la section « Objectifs » est succincte et utilise un langage direct. Éviter toute
confusion ou l’utilisation de termes qui pourraient être sujets à une interprétation trop large, par
exemple : « il serait préférable/souhaitable », « nous croyons », « nous souhaitons/désirons », etc.,
sont des expressions à proscrire.
20
Il ne faut pas négliger le fait que les objectifs d'une politique ne se limitent pas à la protection de
la confidentialité. Il est primordial de couvrir les trois axes de la sécurité, soit la disponibilité,
l’intégrité et la confidentialité.
Suggestions
Certaines politiques présentent un objectif de très haut niveau sans l’accompagner de sous-
objectifs plus précis, par exemple :
Bien qu’adéquat, ce type d’objectif reste souvent flou et interpelle peu le lecteur.
Exemple
La politique vise à assurer le respect de toute législation à l'égard de l'usage et du traitement de l'information, et de
l'utilisation des technologies de l'information et des télécommunications. Plus spécifiquement, les objectifs de
l’établissement en matière de sécurité de l’information sont :
• d’assurer la disponibilité, l'intégrité et la confidentialité à l'égard de l’utilisation des réseaux informatiques, du
Réseau de télécommunication sociosanitaire et d’Internet, de l’utilisation des actifs informationnels et de
télécommunications, et des données corporatives;
• d’assurer le respect de la vie privée des individus, notamment, la confidentialité des renseignements à caractère
nominatif relatifs aux usagers et au personnel du réseau sociosanitaire;
• d’assurer la conformité aux lois et règlements applicables ainsi que les directives, normes et orientations
gouvernementales.
Cette politique sera suivie de normes et de procédures afin de préciser les obligations qui en découlent.
L’objet de cette section est de préciser qui est responsable de l’application de la politique. La
section indique aussi le processus disciplinaire en cas de non-respect de la politique.
Meilleures pratiques
Il est important de s’assurer que le processus décrit ou que les mesures disciplinaires dont il est
mention soient conformes et en ligne avec les conditions de travail en vigueur ainsi que les autres
21
politiques de l’établissement, et respectent les différentes lois notamment les lois du travail et les
conventions collectives.
Suggestions
Nous recommandons à l’équipe de projet de s’adjoindre les services d’un spécialiste de la gestion
des ressources humaines, des relations de travail ou du service du contentieux pour l’élaboration
de cette section.
Exemple
Le directeur général de l'établissement a désigné le responsable de la sécurité des actifs informationnels comme
responsable de l’application de la présente politique.
L'établissement exige de tous les employé, qui utilise les actifs informationnels de l'établissement ou qui a/aura accès à
de l’information, de se conformer aux dispositions de la présente politique ainsi qu'aux normes, directives et procédures
qui s’y rattachent.
Le non-respect de cette obligation aux actifs informationnels peut entraîner des mesures disciplinaires pouvant
aller jusqu’au congédiement immédiat.
La section « Portée » est très importante puisqu’elle définit le champ d’application de la politique.
La portée comporte généralement trois dimensions, soit :
Meilleures pratiques
La section de la portée « pointe » sans ambiguïté les personnes, les actifs et les activités qui sont
assujettis. Il est fondamental de couvrir les personnes physiques et morales qui n'ont pas de lien
d’emploi direct avec l'organisation de même que celles qui n'utilisent pas les systèmes
d'information.
22
Exemple
La présente politique s’applique :
• à l’ensemble du personnel de l’établissement. De plus, elle s’étend à toute personne physique ou morale qui utilise
ou qui accède pour le compte de l’établissement, ou non, à des informations confidentielles, ou non, quel que soit
le support sur lequel elles sont conservées;
• à l’ensemble des actifs informationnels ainsi qu’à leur utilisation au sein de l’établissement6, tels que les banques
d’information électronique, les informations et les données sans égard aux médiums de support (fixe ou portable),
les réseaux, les systèmes d’information, les logiciels, les équipements informatiques ou centres de traitement
utilisés par l’établissement;
• à l’ensemble des activités de collecte, d’enregistrement, de traitement, de garde et de diffusion des actifs
informationnels de l’établissement.
La section « Principes directeurs » est le cœur de la politique. L’objectif de cette section est
d’énoncer les grands principes que l’établissement se donne en matière de gestion de la sécurité
de l’information.
Certains auteurs utilisent l’appellation « Énoncés généraux ». Les deux appellations nous
semblent appropriées.
Meilleures pratiques
Les principes directeurs sont des orientations de haut niveau qui permettront d’assurer les trois
grands objectifs de la sécurité de l’information, soit :
• la disponibilité;
• l’intégrité;
• la confidentialité, incluant la protection des renseignements personnels.
6
L’énumération d’actifs informationnels à la suite de la virgule pourrait être éliminée et remplacée par un
renvoi à la définition du terme actif informationnel au lexique.
23
Suggestions
Les principes directeurs de la politique devraient s’inspirer, d’une part, de la « Politique nationale
sur la sécurité des actifs informationnels du RSSS7 » présentée dans le Cadre global et, d’autre
part, des « Exigences minimales relatives à la sécurité des dossiers informatisés des utilisateurs
du réseau de la santé et des services sociaux » (avril 1992) de la Commission d’accès à
l’information du Québec8.
Exemples
a) Toute personne au sein de l’établissement ayant accès aux actifs informationnels assume des responsabilités
spécifiques en matière de sécurité et est redevable de ses actions auprès du dirigeant de l’établissement.
b) La mise en oeuvre et la gestion de la sécurité reposent sur une approche globale et intégrée. Cette approche tient
compte des aspects humains, organisationnels, financiers, juridiques et techniques, et demande, à cet égard, la
mise en place d’un ensemble de mesures coordonnées.
c) Les mesures de protection, de prévention, de détection, d’assurance et de correction doivent permettre d'assurer la
confidentialité, l’intégrité, la disponibilité, l'authentification et l'irrévocabilité des actifs informationnels de
même que la continuité des activités. Elles doivent notamment empêcher les accidents, l'erreur, la malveillance ou
la destruction d’information sans autorisation.
d) Les mesures de protection des actifs informationnels doivent permettre de respecter les prescriptions du Cadre
global de gestion des actifs informationnels appartenant aux établissements du réseau de la santé et des services
sociaux – Volet sur la sécurité, de même que les lois existantes en matière d’accès, de diffusion et de transmission
d’informations, et les obligations contractuelles de l’établissement de même que l’application des règles de gestion
interne.
e) Les actifs informationnels doivent faire l’objet d’une identification et d’une classification.
f) Une évaluation périodique des risques et des mesures de protection des actifs informationnels doit être
effectuée afin d’obtenir l’assurance qu’il y a adéquation entre les risques, les menaces et les mesures de protection
déployées.
g) La gestion de la sécurité de l’information doit être incluse et appliquée tout au long du processus menant à
l’acquisition, au développement, à l’utilisation, au remplacement ou la destruction d’un actif informationnel par ou
pour l’établissement.
7
La politique est le chapitre 1 du Cadre global
8
Voir le site Web : http://www.olf.gouv.qc.ca
24
h) Un programme continu de sensibilisation et de formation à la sécurité informatique doit être mis en place à
l’intention du personnel de l'établissement.
i) L'accès aux renseignements personnels des utilisateurs par le personnel de l’établissement doit être autorisé et
contrôlé. Chaque système doit prévoir des droits d'accès différents selon les catégories de personnel.
j) Les renseignements personnels ne doivent être utilisés et ne servir qu’aux fins pour lesquels ils ont été
recueillis ou obtenus.
k) Le principe du « droit d’accès minimal » est appliqué en tout temps lors de l’attribution d’accès aux
informations. Les accès aux actifs informationnels sont attribués à l’utilisateur autorisé en fonction de ce qui lui
est strictement nécessaire pour l’exécution de ses tâches.
l) Les ententes et contrats dont l’établissement fait partie doivent contenir des dispositions garantissant le respect
des exigences en matière de sécurité et de protection de l’information.
C'est dans cette section de la politique que les rôles et responsabilités de chacun des intervenants
concernés sont définis.
Meilleures pratiques
Les rôles et responsabilités présentés dans la politique devraient être de niveau général et
éviter les détails spécifiques qui s’apparentent à des tâches qui devraient être plutôt définies
dans les procédures de sécurité.
Suggestions
25
• tous les gestionnaires;
• le détenteur d'actifs informationnels;
• le pilote de système nommé par le détenteur des actifs informationnels;
• le personnel;
• la direction des ressources humaines;
• le comité de sécurité de l'information;
• le responsable du service informatique;
• le responsable des archives.
Pour le représenter en cette matière dans l’organisation et pour la réalisation de l’ensemble des mesures précitées, il
nomme un responsable de la sécurité de l’information.
Le responsable de la sécurité des actifs informationnels veille à l’élaboration et à l’application de la politique sur la
sécurité adoptée par l’organisme. Dans cette perspective, il collabore avec tous les gestionnaires et, en particulier, avec
le gestionnaire qui est en charge des technologies de l’information. Plus précisément, le responsable de la sécurité de
l’organisme :
9
Responsabilités prévues au Cadre global
26
• élabore la politique sur la sécurité des actifs informationnels qui sera adoptée par l’organisme et soumet cette
politique au directeur général et au conseil d’administration de l’organisme pour approbation;
• met en place et préside le comité de protection des renseignements personnels et de sécurité de l’organisme, qui
pourrait être formé du responsable de la sécurité, de gestionnaires, d’un vérificateur interne, de détenteurs, de
représentants des ressources humaines, financières et matérielles ainsi que d’un juriste;
• coordonne, avec les secteurs visés et en concordance avec les orientations régionales, la mise en oeuvre de la
politique sur la sécurité adoptée par l’organisme et en suit l’évolution;
• identifie, en collaboration avec les gestionnaires, les détenteurs d’actifs informationnels dans leur secteur respectif;
• s’informe des besoins en matière de sécurité auprès des détenteurs et des gestionnaires, leur propose des solutions
et coordonne la mise en place de ces solutions;
• gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle locale et procède à des évaluations de la
situation en matière de sécurité;
• suit la mise en oeuvre de toute recommandation découlant d’une vérification ou d’un audit;
• produit annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité des actifs informationnels
appartenant à l’établissement en s’assurant que l’information sensible à diffusion restreinte est traitée de manière
confidentielle et, après approbation du directeur général et du conseil d’administration, les soumet au
coordonnateur régional de la sécurité des actifs informationnels.
27
Utilisateur
Chaque membre du personnel utilisateur est responsable de respecter la présente politique, normes, directives et
procédures en vigueur en matière de sécurité de l'information, et d’informer son responsable de toute violation des
mesures de sécurité dont il pourrait être témoin ou de toutes anomalies décelées pouvant nuire à la protection des actifs
informationnels.
Suggestions de rôles qui ne sont pas définis dans le Cadre global, mais qui pourraient être
appropriés pour certains établissements.
Exemples (supplémentaires)
Le professionnel en sécurité de l’information (PSI)
Le rôle du professionnel de la sécurité de l’information est de conseiller le RSAI sur les aspects technologiques et
méthodologiques concernant la sécurité. Il coordonne les travaux reliés à l'implantation et aux contrôles des mesures de
sécurité. Il coordonne et/ou réalise les tâches de sécurité opérationnelles qui lui sont confiées par le RSAI.
Le gestionnaire
Le gestionnaire s’assure que tous ces employés sont au fait de leurs obligations découlant de la présente politique. Il les
informe précisément des normes, directives et procédures de sécurité en vigueur.
Il informe et sensibilise son personnel à l’importance des enjeux de sécurité. Il doit s’assurer que les moyens de sécurité
sont utilisés de façon à protéger effectivement l’information utilisée par son personnel.
Il applique les sanctions prévues lors d’un manquement de la part d’un membre du personnel faisant partie de sa
direction ou son service.
Il est imputable des manquements inhérents à son rôle et à son niveau de responsabilité.
Le service informatique
28
Le rôle du service informatique à l’égard de la sécurité de l'information est d'agir en tant que fournisseur de services. Il
fournit et maintient en état les moyens techniques de sécurité et s’assure de leur conformité aux besoins de sécurité
déterminés par le détenteur. Ce rôle trouve son complément dans l’assistance et le conseil en vue d’une meilleure
utilisation de ces moyens.
29
Annexe A – Exemple de politique
30
« Insérer logo ici »
Nom de l’établissement
Politique de sécurité
des actifs informationnels
Adoptée le ______________________
31
Projet
32
Table des matières
CONTEXTE................................................................................................................................. 29
RESPECT DE LA POLITIQUE................................................................................................ 30
PORTÉE....................................................................................................................................... 31
RÔLES ET RESPONSABILITÉS............................................................................................. 33
ANNEXES.................................................................................................................................... 38
33
Contexte
La modernisation du réseau de la santé et des services sociaux repose sur la possibilité, pour les
établissements, de s’échanger des informations de façon rapide et sécuritaire. C’est dans cette
optique que le réseau s’est doté en 1999 du réseau de télécommunication sociosanitaire (RTSS)
qui relie plus de 1 500 sites au sein de plus de 400 établissements. Dans la perspective d’un
volume accru d’échanges d’information et afin de s’assurer du respect des lois, règlements et
normes gouvernementales en matière de sécurité de l’information, le ministère de la Santé et des
Services sociaux (MSSS) a élaboré un Cadre global de la sécurité des actifs informationnels. La
volonté du MSSS est de mettre en place, au cours des trois (3) années qui suivent, l’ensemble des
mesures prévues au Cadre global de sécurité.
L’établissement reconnaît que l’information est essentielle à ses opérations courantes et, de ce
fait, qu'elle doit faire l’objet d’une évaluation, d’une utilisation appropriée et d’une protection
adéquate. L’établissement reconnaît détenir, en outre, des renseignements personnels ainsi que
des informations qui ont une valeur légale, administrative ou économique.
34
Objectifs de la politique
• d’assurer la conformité aux lois et règlements applicables ainsi que les directives,
normes et orientations gouvernementales.
Cette politique sera suivie de normes et de procédures afin de préciser les obligations qui en
découlent.
Respect de la politique
L'établissement exige de tout employé, qui utilise les actifs informationnels de l'établissement ou
qui a/aura accès à de l’information, de se conformer aux dispositions de la présente politique ainsi
qu'aux normes, directives et procédures qui s’y rattachent.
Le non-respect de cette obligation aux actifs informationnels peut entraîner des mesures
disciplinaires pouvant aller jusqu’au congédiement immédiat.
35
Portée
Principes directeurs
a) Toute personne au sein de l’établissement ayant accès aux actifs informationnels assume des
responsabilités spécifiques en matière de sécurité et est redevable de ses actions auprès du
dirigeant de l’établissement.
b) La mise en oeuvre et la gestion de la sécurité reposent sur une approche globale et intégrée.
Cette approche tient compte des aspects humains, organisationnels, financiers, juridiques et
techniques, et demande, à cet égard, la mise en place d’un ensemble de mesures coordonnées.
10
L’énumération d’actifs informationnels à la suite de la virgule pourrait être éliminée et remplacée par un
renvoi à la définition du terme actif informationnel au lexique.
36
doivent notamment empêcher les accidents, l'erreur, la malveillance ou la destruction
d’information sans autorisation.
d) Les mesures de protection des actifs informationnels doivent permettre de respecter les
prescriptions du Cadre global de gestion des actifs informationnels appartenant aux
établissements du réseau de la santé et des services sociaux – Volet sur la sécurité, de même
que les lois existantes en matière d’accès, de diffusion et de transmission d’information, et les
obligations contractuelles de l’établissement de même que l’application des règles de gestion
interne.
e) Les actifs informationnels doivent faire l’objet d’une identification et d’une classification.
f) Une évaluation périodique des risques et des mesures de protection des actifs informationnels
doit être effectuée afin d’obtenir l’assurance qu’il y a adéquation entre les risques, les
menaces et les mesures de protections déployées.
j) Les renseignements personnels ne doivent être utilisés et ne servir qu’aux fins pour lesquels
ils ont été recueillis ou obtenus.
k) Le principe du « droit d’accès minimal » est appliqué en tout temps lors de l’attribution
d’accès aux informations. Les accès aux actifs informationnels sont attribués à l’utilisateur
autorisé en fonction de ce qui lui est strictement nécessaire pour l’exécution de ses tâches.
l) Les ententes et contrats dont l’établissement fait partie doivent contenir des dispositions
garantissant le respect des exigences en matière de sécurité et de protection de l’information.
37
Rôles et responsabilités
Pour le représenter en cette matière dans l’organisation et pour la réalisation de l’ensemble des
mesures précitées, il nomme un responsable de la sécurité de l’information.
11
Responsabilités prévues au Cadre global
38
les gestionnaires et, en particulier, avec le gestionnaire qui est en charge des technologies de
l’information. Plus précisément, le responsable de la sécurité de l’organisme :
• élabore la politique sur la sécurité des actifs informationnels qui sera adoptée par
l’organisme et soumet cette politique au directeur général et au conseil d’administration
de l’organisme pour approbation;
• coordonne, avec les secteurs visés et en concordance avec les orientations régionales, la
mise en oeuvre de la politique sur la sécurité adoptée par l’organisme et en suit
l’évolution;
• s’informe des besoins en matière de sécurité auprès des détenteurs et des gestionnaires,
leur propose des solutions et coordonne la mise en place de ces solutions;
• gère les aspects relatifs à l’escalade des incidents de sécurité à l’échelle locale et procède
à des évaluations de la situation en matière de sécurité;
• produit annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité des actifs
informationnels appartenant à l’établissement en s’assurant que l’information sensible à
diffusion restreinte est traitée de manière confidentielle et, après approbation du directeur
général et du conseil d’administration, les soumet au coordonnateur régional de la
sécurité des actifs informationnels.
39
Les détenteurs d'actifs informationnels
Les détenteurs :
• assurent la sécurité d’un ou de plusieurs actifs informationnels, qu’ils leur soient confiés
par le sous-ministre, le dirigeant de l’organisme ou un tiers mandaté;
• s’assurent que les mesures de sécurité appropriées sont élaborées, approuvées, mises en
place et appliquées systématiquement en plus de s’assurer que leur nom et les actifs dont
ils assument la responsabilité sont consignés dans le registre des autorités;
• déterminent les règles d’accès aux actifs dont ils assument la responsabilité avec l’appui
du responsable de la sécurité des actifs informationnels de l’organisme.
À titre de responsable de l’application de la Loi sur l’accès aux documents des établissements
publics et sur la protection des renseignements personnels, le RPRP a un rôle de conseiller et/ou
de valideur - approbateur auprès du responsable de la sécurité des actifs informationnels afin de
s’assurer que les mécanismes de sécurité mis en place permettent de respecter les exigences de la
Loi sur l’accès aux documents des établissements publics et sur la protection des renseignements
personnels. Cette responsabilité se manifeste aussi dès le début d’un développement d’un
nouveau système où le RPRP doit introduire les préoccupations et les exigences relatives à la
protection des renseignements nominatifs.
Utilisateur
40
Le professionnel en sécurité de l’information (PSI)
Le rôle du professionnel de la sécurité de l’information est de conseiller le RSAI sur les aspects
technologiques et méthodologiques concernant la sécurité. Il coordonne les travaux reliés à
l'implantation et aux contrôles des mesures de sécurité. Il coordonne et/ou réalise les tâches de
sécurité opérationnelles qui lui sont confiées par le RSAI.
Le gestionnaire
Le gestionnaire s’assure que tous ces employés sont au fait de leurs obligations découlant de la
présente politique. Il les informe précisément des normes, directives et procédures de sécurité en
vigueur.
Il informe et sensibilise son personnel à l’importance des enjeux de sécurité. Il doit s’assurer que
les moyens de sécurité sont utilisés de façon à protéger effectivement l’information utilisée par
son personnel.
Les pilotes des systèmes ont la responsabilité d’assurer le fonctionnement sécuritaire d’un actif
informationnel dès sa mise en exploitation, de contrôler et d’autoriser l’accès logique à tout actif
informationnel dont ils ont la responsabilité d’utilisation. Les pilotes doivent également informer
les utilisateurs de leurs obligations face à l’utilisation des systèmes d’information dont ils sont
responsables lors de l’attribution des accès.
Le service informatique
Le rôle du service informatique à l’égard de la sécurité de l'information est d'agir en tant que
fournisseur de service. Il fournit et maintient en état les moyens techniques de sécurité et s’assure
de leur conformité aux besoins de sécurité déterminés par le détenteur. Ce rôle trouve son
complément dans l’assistance et le conseil en vue d’une meilleure utilisation de ces moyens.
41
Direction des Ressources humaines
La direction des Ressources humaines est responsable d'informer tout nouvel employé de ses
obligations découlant de la présente politique ainsi que des normes, directives et procédures en
vigueur en matière de sécurité de l’information.
42
Annexes
Références
Lexique
Fondement juridique
43
Annexe B – Fiche-mandat
1 Identification du projet
PROJET NO :
3 Échéanciers
Indiquez l’échéancier visé pour la fin du projet en précisant s’il s’agit des activités de
rédaction seulement ou s’il s’agit de la date visée pour l’adoption ou la diffusion de la
politique.
4 Objectifs du mandat
Précisez les objectifs du mandat tel que discuté avec la direction. Les objectifs devraient
être clairs et ne devraient pas porter à confusion. Par exemple :
44
5 Les ressources nécessaires à l’élaboration de la politique.
L’équipe de projet devrait préciser les ressources qui seront nécessaires à la réalisation
de la politique. Les ressources qui doivent être considérées sont principalement :
• Financières (publication, formation, consultants)
• Humaines (dégager un responsable)
• Logistique (équipements, locaux, etc.)
45
Annexe C – Références
Société de l’assurance automobile du Québec, Politique sur la sécurité informatique, 1er février
2000, 14 p.
Québec (Province) ministère de la Santé et des Services sociaux, Politique sur la protection et
la sécurité de l’information et des échanges électroniques, 19 mai 2000, 7 p.
46
Québec (Province) Secrétariat du conseil du Trésor, Directive sur l’utilisation et la gestion du
courrier électronique, 4 p.
Québec (Province) Secrétariat du conseil du Trésor, Directive sur la destruction des documents
renfermant des renseignements confidentiels ou personnels, 3 p.
47
Annexe D – Exemple de préoccupations12
• Le responsable des archives nous a indiqué que les dossiers patients devraient être traités
comme étant strictement confidentiels, et ce, en tout temps.
• …
• Le responsable de la PRP nous a indiqué que selon la « Loi sur l'accès » la « Loi sur les
services de santé et les services sociaux » aucun renseignement ne peut être tiré d’un dossier
patient sans le consentement de l'individu concerné.
• …
• …
12
Il est à noter que les exemples ci-hauts sont fictifs et ne sont donnés qu’à titre d’exemple.
48
3 Utilisation de l’Internet et du courrier électronique
Le directeur des services de recherche
• Le directeur des services de recherche nous indique que l’accès à l’internet et au courriel est
nécessaire en tout temps et sans restriction quant aux sites visités.
• Le DSP indique que l’accès à l’Internet doit être contrôlé et utilisé seulement lorsque requis
par le professionnel dans le but d’effectuer sa tâche.
• L’avocat de l’établissement nous indique qu’un message envoyé par un utilisateur à un tiers à
partir d’une adresse de courrier électronique appartenant à l’établissement
(@établissement.qc.ca) pourrait engager la responsabilité de l’établissement.
4 …
49
Annexe E – Analyse des impacts de la politique
Le tableau ci-bas reprend les principales mesures de la politique et analyse l’impact de leur mise en application.
Dimensions
Paragraphe - Mesure
Organisationnelles Juridiques Humaines Technologiques Financières
2.2 L’affichage de tout document ou tout Les cas de non-respect de ce Des sanctions sont à prévoir. L’application de mesures Actuellement nous n’avons aucun
graphique sexuellement explicite, paragraphe devront être traités Nous devrons nous assurer que disciplinaires à un utilisateur outil de détection permettant de
haineux, raciste et socialement avec le plus grand soin. Le ces sanctions sont légales et suite à ce type de délit pourrait détecter ces comportements
inacceptable est interdit. De plus, de tels supérieur immédiat de l’usager appropriées avoir des conséquences
documents ne doivent pas être archivés, visé de même que le RSAI « psychologiques » graves sur
enregistrés, distribués ou édités via le devront être informés l’utilisateur et sa carrière.
réseau de la Régie régionale préalablement à toute action.
Un protocole d’intervention Consulter le service du Inclure des mesures Nous devrons implanter un
devra être défini (voir aspects contentieux pour connaître les de « counseling » aux mesures logiciel de filtrage des adresses
juridiques) recours possibles disciplinaires. de site web.
50
Dimensions
Paragraphe - Mesure
Organisationnelles Juridiques Humaines Technologiques Financières
… … … … …
51
Annexe F – Cadre normatif
Politique
Politique
Corporative
Organisation et Sécurité logique Sécurité physique, Développement, Réseautique Micro-Informatique Relève en cas de
Exploitation
Regroupements
administration de gestion des accès et Prévention, Détection et maintenance et mise en désastre
fonctionnelles
la sécurité utilisation Protection place des systèmes
Normes
de l'information incidents informatique supportées courrier portatifs
par des fournisseurs électronique
extermes
Évaluation Gestion
des risques des
et menaces changements
Procédures
Procédure Procédure Procédure Procédure Procédure Procédure Procédure Procédure
Formulaires
Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire
Guides
Guide de référence Guide de référence Guide de référence Guide de référence Guide de référence Guide de référence Guide de référence Guide de référence
technique technique technique technique technique technique technique technique
52
Annexe G – Lexique
Altération : toute modification qui a pour effet de changer les caractéristiques ou la nature
d’une information.
Audit : évaluation périodique basée sur des critères définis permettant de vérifier si les
normes de l’ensemble ou d’une partie du Cadre global de gestion des actifs
informationnels appartenant aux organismes du réseau de la santé et des services sociaux –
Volet sur la sécurité, sont appliquées.
Autorisation : attribution par une autorité de droits d’accès aux actifs informationnels qui
consiste en un privilège d’accès accordé à une personne, à un dispositif ou à une entité.
53
Biclé : ensemble constitué d'une clé publique et d'une clé privée mathématiquement liées
entre elles, formant une paire unique et indissociable pour le chiffrement et le
déchiffrement des données, et appartenant à une seule entité.
Clé privée : composante de la biclé, laquelle composante est connue de son unique
propriétaire et utilisée par lui seul pour déchiffrer un message dont il est le destinataire ou
pour signer un message dont il est l'émetteur.
Clé publique : composante de la biclé, laquelle composante est stockée dans un répertoire
accessible à tous les membres d'un réseau ou d'une organisation et permet de transmettre
en toute confidentialité des messages à son unique propriétaire ou d'authentifier à l'arrivée
des messages émis par ce dernier.
54
Confidentialité : propriété que possède une donnée ou une information dont l’accès et
l'utilisation sont réservés à des personnes ou entités désignées et autorisées.
Copie de sécurité : copie d'un fichier ou d'un ensemble de fichiers mise à jour à intervalles
réguliers en vue d'assurer la restauration des données en cas de perte.
Cryptographie : discipline qui comprend les principes, les moyens et les méthodes de
transformation des données afin d’en dissimuler le contenu, d’en prévenir les
modifications non détectées ou d’en éviter l’utilisation non autorisée.
Cycle de vie de l’information : période de temps couvrant toutes les étapes d’existence de
l’information, dont celles (selon la terminologie) de la définition, de la création, de
l’enregistrement, du traitement, de la diffusion, de la conservation et de la destruction.
55
Donnée : élément de base constitutif d’un renseignement, d’une information.
Droit d’auteur : droit exclusif que détient un auteur ou son représentant d’exploiter une
œuvre pendant une durée déterminée.
56
Identification : fonction du contrôle de l’accès aux actifs informationnels permettant
d’attribuer un code d’identification, ou identifiant, à un utilisateur, à un dispositif ou à une
autre entité.
Incident : événement ayant pu mettre ou ayant mis en péril la sécurité d’un ou de plusieurs
actifs informationnels.
Installation : ensemble des objets, appareils, bâtiments et autres éléments installés en vue
de l’utilisation d’une technologie de l’information.
Irrévocabilité : propriété d’un acte d’être définitif et clairement attribué à la personne qui
l’a accompli ou au dispositif avec lequel il a été accompli.
57
Journalisation : enregistrement dans un journal de tous les accès fructueux et infructueux
à un ordinateur et aux données, de l’utilisation de certains privilèges spéciaux relatifs à
l’accès et des changements apportés aux actifs informationnels, en vue d’une vérification
ultérieure.
Logiciel : ensemble des programmes, des procédures et des règles ainsi que de la
documentation qui leur est associée, nécessaires à la mise en œuvre d'un système de
traitement de l'information.
LSSSS : Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4.2).
58
Organisme : le ministère de la Santé et des Services sociaux, les régies régionales et les
établissements du réseau de la santé et des services sociaux.
Personne : une personne physique ou une personne morale de droit public ou de droit
privé.
Plan de reprise après sinistre : document qui prévoit toutes les circonstances entraînant
une interruption de service des actifs informationnels ainsi que toutes les mesures
applicables afin d’assurer, sur site ou hors site, les services essentiels.
Plan de sauvegarde : plan contenant les règles détaillées et strictes relatives à tous les
aspects de la sauvegarde informatique (responsabilité, exhaustivité, cohérence, fichiers
stratégiques, nombre de générations, cycles de rotation, confection, supports, transport,
lieu d’entreposage, durée d’entreposage, accessibilité, exploitabilité, contrôles et
validation).
59
Renseignement personnel ou nominatif : tout renseignement qui concerne une personne
physique et qui permet de l’identifier.
Réseau étendu : réseau local qui devient une partie d’un réseau étendu lorsqu’une liaison
est établie (par l’intermédiaire de modems, d’aiguilleurs distants, de lignes téléphoniques,
de satellites ou d’autres connexions) avec un gros système, un réseau de données public ou
un autre réseau local.
Réseau local : réseau informatique de taille réduite et, le plus souvent, à l’intérieur d’un
organisme.
Sceau électronique : bloc de données dont le contenu est le résultat d'un calcul complexe
effectué à partir d'un message à transmettre, qui est ajouté à ce message par l'expéditeur, et
dont un nouveau calcul à l'arrivée permet de vérifier l'origine et l'intégrité du message
auquel il a été attaché.
60
Scellement : action qui consiste à adjoindre à un message à transmettre un sceau
électronique permettant de garantir l'origine et l'intégrité de ce message.
Utilisateur : personne, groupe ou entité administrative qui fait usage d'un ou de plusieurs
actifs informationnels appartenant aux organismes publics du réseau de la santé et des
services sociaux.
61
Utilisation : terme qui recouvre, le cas échéant, l’ensemble des événements constituant le
cycle de vie de l’information électronique, entre autres la création, la collecte, le
traitement, la conservation, l’interrogation, la communication, la modification, l’archivage
et la destruction.
Virus : programme inséré dans un système informatique afin de causer des dommages
nuisibles et néfastes.
62
Annexe H – Fondements juridiques13
Cette annexe présente les principales lois, règlements, directives et autres références encadrant la
présente politique :
Le Cadre global sur la sécurité des actifs informationnels du réseau de la santé et des services
sociaux – Volet sur la sécurité (ministère de la Santé et des services sociaux , septembre
2002)
Loi sur l’accès aux documents des établissements publics et sur la protection des
renseignements personnels (L.R.Q., ch. A-2.1)
Loi sur la protection des renseignements personnels et les documents électroniques (C-6)
Loi sur la propriété intellectuelle et les marques de commerce (L.R. 1985 ch. T-13)
Normes en matière d’acquisition, d’utilisation et de gestion des droits d’auteur des documents
détenus par le gouvernement et les ministères et établissements désignés (novembre 2000)
13
Cette annexe n’est présentée qu’à titre d’exemple.
63