Nouveau cadre de gouvernance de la sécurité de l’information.
Présenté à ISACA-Québec par Mohamed Darabid du Sous-secrétariat du dirigeant principal de l’information,
Direction de l’encadrement de la sécurité de l’information.
D2. Impliquer les agents dans les événements internes
Nouveau cadre de gouvernance de la sécurité de l’information
1. NOUVEAU CADRE DE GOUVERNANCE
DE LA SÉCURITÉ DE L’INFORMATION
14 octobre 2014
PRÉSENTÉ À ISACA-QUÉBEC
Sous-secrétariat du dirigeant principal de l’information
Direction de l’encadrement de la sécurité de l’information
2. TABLE DES MATIÈRES
Introduction
Définition de la gouvernance
Cadre légal
Évaluation de la Directive adoptée en 2006
Composantes du nouveau cadre de gouvernance
Directive sur la sécurité de l’information
Cadre gouvernemental de gestion de la sécurité de l’information
Cadre de gestion des risques et des incidents à portée gouvernementale
Approche stratégique gouvernementale 2014-2017 en sécurité de
l’information
Gestion du changement
Stratégie et leviers de transformation
Conclusion
4. GOUVERNANCE DE LA SÉCURITÉ DE L’INFORMATION
DÉFINITION
« Établissement et mise en oeuvre d’un processus de
gestion intégrée et d’amélioration continue de la sécurité de
l’information où les rôles et les responsabilités en cette
matière sont clairement attribués à tous les niveaux de
l’organisation. »
4
5. CADRE LÉGAL 5
Loi concernant le cadre juridique des technologies de l'information
Loi sur l’accès aux documents des organismes publics et sur la protection des
renseignements personnels
Loi sur la gouvernance et la gestion des ressources informationnelles des
organismes publics et des entreprises du gouvernement (adoptée en juin 2011)
Établit les règles de gouvernance et de gestion en matière de ressources
informationnelles, incluant la sécurité de l’information (Champ d’application, acteurs clés
et nouvelles fonctions, règles de gouvernance des RI)
Politique-cadre sur la gouvernance et la gestion des ressources informationnelles
des organismes publics (adoptée en décembre 2010)
Met l’emphase sur la révision de la directive en vigueur et sur la réalisation de trois
documents structurants permettant d’en faciliter la mise en oeuvre (cadre gouvernemental
de gestion de la sécurité de l’information, cadre de gestion des risques et des incidents à
portée gouvernementale, approche stratégique triennale)
7. 7
ÉVALUATION DIRECTIVE 2006
Directive 2006 Ajustement requis
• Champs d’application non aligné sur la LGGRI • Alignement sur le champ d’application de la LGGRI, incluant les
établissement des réseaux
• Énoncés trop généraux et sujets à interprétations
diverses
• Énoncés identifiant clairement les exigences, et conformes aux
bonnes pratiques de sécurité de l’information
• Édicte des obligations ainsi que des rôles et des
responsabilités
• Édicter des obligations dans une nouvelle directive. Les rôles et
responsabilités sont à intégrer dans un autre document : le cadre
gouvernemental de gestion de la sécurité de l’information
• Limite la gestion des risques à l’échelle d’un ministère
ou organisme
• Instaurer une gestion des risques prenant en compte les risques
ayant un impact à l’échelle gouvernementale
• Absence d’obligation en matière de cybersécurité et de
gestion des incidents
• Les incidents sont déclarés au Centre de services
partagés du Québec (CERT/AQ) sur une base volontaire
• Instaurer un processus de coordination et de concertation, advenant
un incident ayant un impact à l’échelle gouvernementale
• Instaurer une déclaration obligatoire des incidents à portée
gouvernementale
• Exige la désignation d’un RSI, sans préciser sa classe
d’emploi. Lorsqu’un professionnel est désigné en tant
que RSI, il bénéficie d’une faible marge de manoeuvre en
raison de son éloignement du pouvoir décisionnel
• Désigner un ROSI de niveau cadre (ministères ou organismes,
réseaux). Celui-ci a l’avantage de bénéficier d’une plus grande marge
de manoeuvre en raison de son rapprochement du pouvoir
décisionnel
• Désigner un COGI de niveau professionnel ou supérieur (ministères
ou organismes, réseaux)
• Est appuyée par une approche stratégique 2005-2009,
limitée à la définition de grands axes d’intervention
• Adopter une approche stratégique gouvernementale qui soit basée
sur les bilans gouvernementaux et les tendances de l’heure en
sécurité de l’information, et qui définit les objectifs, les cibles à
atteindre et les indicateurs de performance
9. 9
QUATRE DOCUMENTS STRUCTURANTS
Directive sur la sécurité de l’information gouvernementale
Fixe les objectifs à atteindre, énonce les principes directeurs devant être appliqués et établit les
obligations du dirigeant principal de l’information (DPI) et des organismes publics afin d’assurer la
sécurité de l’information gouvernementale tout au long de son cycle de vie
Cadre gouvernemental de gestion de la sécurité de l’information
Vise à compléter les dispositions de la directive en précisant l’organisation fonctionnelle de la
sécurité de l’information au sein de l’appareil gouvernemental ainsi que les rôles et les
responsabilités en cette matière
Cadre de gestion des risques et des incidents à portée gouvernementale
Présente une approche novatrice d’identification et de suivi du traitement des risques et des incidents
susceptibles d'avoir des conséquences sur la prestation de services à la population, sur la vie, la
santé ou le bien-être des personnes, sur le respect de leurs droits fondamentaux à la protection des
renseignements personnels qui les concernent et au respect de leur vie privée, sur l’image du
gouvernement, ou sur la prestation de services fournie par d’autres organismes publics
Approche stratégique gouvernementale 2014-2017 en sécurité de l’information
Permet d’établir la vision gouvernementale et de définir les objectifs stratégiques pour les trois
années à venir
10. 10
DIRECTIVE SUR LA SÉCURITÉ DE L’INFORMATION
GOUVERNEMENTALE
Obligations du dirigeant principal de l’information
Conseiller le CT en matière de gouvernance de la sécurité de l’information
Déposer au CT un rapport bisannuel sur l’état de situation gouvernemental et un rapport
annuel sur les risques à portée gouvernementale
Définir et mettre en oeuvre, conjointement avec le CERT/AQ, un processus de gestion
des incidents à portée gouvernementale
Proposer au CT des services communs de sécurité de l’information à rendre obligatoires
pour l’Administration gouvernementale
Mettre en place les instances de concertation gouvernementales de sécurité de
l’information
11. 11
DIRECTIVE SUR LA SÉCURITÉ DE L’INFORMATION
GOUVERNEMENTALE (SUITE)
OBLIGATIONS DU CSPQ - CERT/AQ
Présenter au DPI, conjointement avec le ministère de la Sécurité publique et la
Sûreté du Québec, un rapport annuel sur les incidents à portée gouvernementale
Informer le DPI de tout incident de sécurité de l’information à portée
gouvernementale
OBLIGATION DU CONTRÔLEUR DES FINANCES
Veiller à l’intégrité du système comptable du gouvernement et informer, le cas échéant,
le DPI des situations ayant des incidences sur la sécurité de l’information
gouvernementale
12. 12
DIRECTIVE SUR LA SÉCURITÉ DE L’INFORMATION
GOUVERNEMENTALE (SUITE)
Obligations des organismes publics
Adopter et mettre en oeuvre une politique et un cadre de gestion de la sécurité de
l’information
Présenter au DPI une planification et un bilan de sécurité de l’information
Définir et mettre en oeuvre, de façon formelle, les processus de gestion des risques, de
gestion des incidents et de gestion de l’accès à l’information
Déclarer, au CERT/AQ, les incidents de sécurité de l’information à portée
gouvernementale
Réaliser des audits et des tests d’intrusion
Mettre en place un registre d’autorité
Intégrer aux ententes de service et aux contrats les clauses garantissant le respect des
exigences de sécurité de l’information
Déclarer au DPI les risques de sécurité de l’information à portée gouvernementale
Utiliser les services communs de sécurité de l’information
Désigner les principaux intervenants en sécurité de l’information (ROSI, COGI)
Définir et mettre en place un programme formel de formation et de sensibilisation
13. DIRECTIVE SUR LA SÉCURITÉ DE L’INFORMATION 13
GOUVERNEMENTALE (SUITE)
Obligations des réseaux de l’éducation et de la santé
Les établissements des réseaux sont assujettis aux obligations faites aux
organismes publics en matière de respect de bonnes pratiques de sécurité de
l’information
Le DRI présente au DPI une synthèse des bilans et des plans d’action des
établissements de chaque réseau
Chaque réseau désigne un ROSI et un COGI
14. CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATION14
Organisation fonctionnelle de la sécurité de
l’information
Structure gouvernementale
de sécurité de l’information
Organisme public
15. CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATION
15
EIMSG
Comité de crise
gouvernemental
Réseau d’alerte
gouvernemental
Instances
gouvernementales
de concertation
CCGSI
Table des ROSI
Réseau des COSI
Conseil du trésor
Dirigeant principal de
l’information
Organismes publics à
portée horizontale
MJQ MSP
MCE - SIDPC SQ
- CSPQ
- CERT /AQ
BAnQ
CF
Organisme public
Organisation fonctionnelle de la sécurité de
l’information
Structure gouvernementale
de sécurité de l’information
16. CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATION
ROSI
COGI COSI
Organisme public
Dirigeant d’un
organisme public
DRI
DSI
Détenteurs de
l’information
Comité chargé
de la sécurité
de l’information
Comité de crise
ministériel
Comité de
continuité des
services
Autres
intervenants
- RASI - RGD
- RCS - RSP
- RDASI - RE
- RVI - RGTI
- RAIPRP
Structure sectorielle de
sécurité de l’information
Instances
Structure gouvernementale
de sécurité de l’information
gouvernementales
de concertation
CCGSI
EIMSG
Table des ROSI
Réseau des COSI
Comité de crise
gouvernemental
Conseil du trésor
Dirigeant principal de
l’information
Réseau d’alerte
Organismes publics à
portée horizontale
MJQ MSP
MCE-SIDPC SQ
-C SPQ gouvernemental
- CERT/AQ
BAnQ
CF
Organisation fonctionnelle de la sécurité de
l’information
17. CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATIO1N7
Structure gouvernementale
de sécurité de l’information
EIMSG
Comité de crise
gouvernemental
Réseau d’alerte
gouvernemental
Instances
gouvernementales
de concertation
CCGSI
Table des ROSI
Réseau des COSI
Conseil du trésor
Dirigeant principal de
l’information
Organismes publics à
portée horizontale
MJQ MSP
MCE-SIDPC SQ
- CSPQ
- CERT/AQ
BAnQ
CF
Organisation fonctionnelle de la sécurité de
l’information
Organisme public
Dirigeant d’un
organisme public
DRI
DSI
Détenteurs de
l’information
Comité chargé
de la sécurité
de l’information
Comité de crise
ministériel
Comité de
continuité des
services
Autres
intervenants
- RASI - RGD
- RCS - RSP
- RDASI - RE
- RVI - RGTI
- RAIPRP
Structure sectorielle de
sécurité de l’information
ROSI
COGI COSI
18. 18
CADRE GOUVERNEMENTAL DE GESTION DE LA
SÉCURITÉ DE L’INFORMATION (SUITE)
Responsable organisationnel de la sécurité de l’information (ROSI)
Joue un rôle transversal à l’ensemble des systèmes de mission de l’organisation [De
ce fait, et sans qu’il soit mis dans une situation de conflit d’intérêt, le ROSI doit bénéficier d’une
marge de manoeuvre qui dépend essentiellement de son positionnement hiérarchique, d’où
l’avantage de son rapprochement du pouvoir décisionnel, voire son rattachement auprès de la
haute direction]
Assure la coordination et la cohérence des actions de sécurité de l’information
menées au sein de son organisation
S’assure de la contribution de son organisation au processus de gestion des risques
et des incidents de sécurité de l’information à portée gouvernementale
Représente le dirigeant d’organisme en matière de déclaration des incidents à
portée gouvernementale
Est le principal interlocuteur du comité chargé de la sécurité de l’information de
l’organisation
19. 19
CADRE GOUVERNEMENTAL DE GESTION DE LA
SÉCURITÉ DE L’INFORMATION (SUITE)
Conseiller organisationnel en sécurité de l’information (COSI)
Met en oeuvre les orientations internes et les priorités d’actions, notamment celles portant
sur l’instauration de processus formels de sécurité de l’information et le suivi de leur mise
en oeuvre
Collabore étroitement avec le ROSI et lui apporte le soutien nécessaire dans la prise en
charge des exigences de sécurité de l’information
Assiste les détenteurs dans la catégorisation de l’information relevant de leur
responsabilité et dans la réalisation des analyses de risques de sécurité de l’information
Participe aux négociations des ententes de service et des contrats et formule des
recommandations quant à l’intégration de dispositions garantissant le respect des
exigences de sécurité de l’information
Produire les bilans et les plans d’action de sécurité de l’information
20. 20
Conseiller organisationnel en gestion des incidents (COGI)
Participe au réseau d’alerte gouvernemental dont la coordination est assurée par le
CERT/AQ
Est l’interlocuteur officiel de son organisation auprès du CERT/AQ
Assure la coordination de l’équipe de réponse aux incidents de son organisation, et du
déploiement des stratégies de réaction appropriées
Apporte au ROSI et au COSI le soutien technique nécessaire dans l’exercice de leurs
responsabilités
Contribue à la mise en place du processus de gestion des incidents de son organisation
Le COGI contribue à la mise en oeuvre du processus gouvernemental de gestion des
incidents
CADRE GOUVERNEMENTAL DE GESTION DE LA
SÉCURITÉ DE L’INFORMATION (SUITE)
21. 21
CADRE GOUVERNEMENTAL DE GESTION DE LA
SÉCURITÉ DE L’INFORMATION (SUITE)
INSTANCES DE COORDINATION ET DE CONCERTATION
Comité de crise gouvernemental : centre de coordination de la réaction et de la décision
lorsqu’un incident de sécurité de l’information à portée gouvernementale n’est pas
maîtrisé en dépit des stratégies palliatives mises en oeuvre
Table des ROSI : exerce un rôle-conseil auprès du dirigeant principal de l’information
dans la définition, la mise en oeuvre et le suivi de l’application des politiques, des
directives et des orientations gouvernementales de sécurité de l’information
Comité de coordination gouvernementale de la sécurité de l’information (CCGSI) :
est constitué de représentants des organismes publics ayant les responsabilités
horizontales. Il voit à la coordination des actions découlant de ces responsabilités
horizontales des OP membres et qui seraient d’intérêt pour l’ensemble des organismes
publics
Réseau des COSI : constitue une plateforme d’échanges et de partage des
connaissances en sécurité de l’information
Réseau d’alerte gouvernemental : animé par le CERT/AQ, ce réseau constitue une
plateforme de partage de l’information entre les coordonnateurs organisationnels de
gestion des incidents
22. 22
CADRE DE GESTION DES RISQUES ET DES
INCIDENTS À PORTÉE GOUVERNEMENTALE
Risque de sécurité de l’information à portée gouvernementale (RPG)
Risque d'atteinte à la disponibilité, à l’intégrité ou à la confidentialité de
l’information gouvernementale et qui peut avoir des conséquences sur la
prestation de services à la population, sur la vie, la santé ou le bien-être des
personnes, sur le respect de leurs droits fondamentaux à la protection des
renseignements personnels qui les concernent et au respect de leur vie privée,
sur l’image du gouvernement, ou sur la prestation de services fournie par
d’autres organismes publics
Incident de sécurité de l’information à portée gouvernementale (IPG)
Conséquence observable de la concrétisation d’un risque de sécurité de
l’information à portée gouvernementale et qui nécessite une intervention
concertée au plan gouvernemental
23. 23
CADRE DE GESTION DES RISQUES ET DES
INCIDENTS À PORTÉE GOUVERNEMENTALE (SUITE)
Le DPI assure la mise en oeuvre et la coordination de la stratégie de gestion des RPG.
Il doit :
Identifier, de concert avec les organismes publics, les RPG inhérents aux activités
stratégiques
Analyser les RPG et les mesures d’atténuation mises en place
Apprécier le niveau de risque résiduel et juger de son acceptabilité au niveau
gouvernemental
Formuler des recommandations de prise en charge du RPG, si nécessaire, à
l’organisme public concerné.
Élaborer un rapport annuel sur les RPG à l’intention du CT
En matière de réponse aux IPG, le DPI, conjointement avec le CERT/AQ
Assure la coordination du processus gouvernemental de gestion d’un IPG
Soutient les organismes publics dans le rétablissement de la situation après incident
Effectue le suivi d’un IPG auprès des organismes publics
24. 24 APPROCHE STRATÉGIQUE GOUVERNEMENTALE
2014-2017 EN SÉCURITÉ DE L’INFORMATION
ORIENTATIONS ET OBJECTIFS STRATÉGIQUES
Environnement interne
(Rapport du VG, état de situation
gouvernemental)
Environnement externe
(Préoccupations et tendances
observées au plan national et
International)
Parties prenantes
(Tables de concertation,
groupes de validation
interministériels, réseau
d’expertise et de vigie)
Orientations
et objectifs
stratégiques
25. 25 APPROCHE STRATÉGIQUE GOUVERNEMENTALE
2014-2017 EN SÉCURITÉ DE L’INFORMATION (SUITE)
Niveau de maturité cible : Un niveau de maturité en sécurité de l’information, convenable pour un
organisme public (niveau 3), est atteint, notamment, lorsque ses processus de sécurité de
l’information sont normalisés, intégrés, documentés et implémentés et lorsque l’information qu’elle
détient est sécurisée, conformément aux bonnes pratiques de sécurité de l’information.
26. 26 APPROCHE STRATÉGIQUE GOUVERNEMENTALE
2014-2017 EN SÉCURITÉ DE L’INFORMATION (SUITE)
Orientation Cible à l’endroit des organismes publics
1- Renforcer l’encadrement • Adopter une politique et un cadre de gestion
• Identifier les actifs critiques et mettre en place les mesures
de sécurité associées
2- Atteindre un niveau de
maturité adéquat en
sécurité
• Définir et mettre en oeuvre, de façon formelle, les
processus de gestion des risques, de
gestion des incidents et de gestion des droits d’accès
• Effectuer un audit de sécurité et des tests d’intrusion
• Adopter une architecture de sécurité de l’information
• Mettre en place un registre d’autorité
3- Renforcer la cybersécurité • Participer au réseau d’alerte gouvernemental
4- Développer l’offre de
service d’authentification
• Utiliser les services communs d’authentification
5- Développer et maintenir les
compétences
• Élaborer un plan de formation et de sensibilisation
28. 28
STRATÉGIE DE GESTION DU CHANGEMENT
Vise l’adhésion des acteurs impliqués, la transformation des pratiques et
l’évolution de la sécurité de l’information gouvernementale vers un niveau de
maturité adéquat
Leviers de transformation
Communication : plateforme de collaboration des DI, plateforme dédiée à la
sécurité de l’information, communauté d’intérêt en sécurité de l’information
Formation : formations dispensées par le CSPQ/CLDC, réflexion en cours sur
une nouvelle stratégie de formation
Sensibilisation : colloques, séminaires et conférences organisés par des
associations et forums exerçant des activités en SI ou dans des domaines
connexes
Accompagnement et soutien : réalisation de guides de bonnes pratiques,
soutien dans le cadre d’un service de première ligne, mise en oeuvre du cadre de
gestion des RPG, mise en place d’un processus gouvernemental de gestion des
incidents
Pilotage du changement : mise en place de comités de travail interministériels
et des instances gouvernementales de coordination et de concertation
29. 29
ACCOMPAGNEMENT DES ORGANISMES PUBLICS
(GUIDE DE BONNES PRATIQUES)
Guides réalisés (11)
Politique de sécurité de l’information
Cadre de gestion en sécurité de l’information
Critères de désignation des principaux intervenants en SI (ROSI, COSI et COGI)
Tests d’intrusions et de vulnérabilités
Catégorisation de l’information
Processus de gestion des risques de sécurité de l’information
Suivi de la reddition de comptes (tableau de bord)
Méthode d’analyse des risques Méhari
Audit de sécurité de l’information
Mise en oeuvre du cadre de gestion des risques à portée gouvernementale
Sensibilisation à la sécurité de l’information
Guides en cours de réalisation(4)
Plan d’action ministériel de sécurité de l’information (en cours)
Registre d’autorité de la sécurité de l’information (en cours)
Gestion des incidents à portée sectorielle et gouvernementale (en cours)
Processus de gestion des accès logiques (en cours)
Guides à venir (2)
Utilisation sécuritaire des assistants numériques personnels (à venir)
Prise en charge des exigences de SCPRP (à venir)
Article 25 : La personne responsable de l'accès à un document technologique qui porte un renseignement confidentiel doit prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d'accès effectué au moyen d'un procédé de visibilité réduite ou d'un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement ou, selon le cas, d'avoir accès autrement au document ou aux composantes qui permettent d'y accéder.
Séparer les obligations des responsabilités de la Directive
Les instances de concertation gouvernementales de sécurité de l’information :
CCGSI composé de représentants des organismes publics ayant les responsabilités horizontales (CSPQ, MSP, SQ, CF, BAnQ, MJQ et le MCE) et des représentants des réseaux
Table des ROSI
Réseau des COSI
Audit au 2 ans
Test intrusion annuellement
Heartbleed : gestion préventive des incidents
Un OP se situe au niveau 4 si, de plus, la sécurité de l’information est intégrée dans toutes les opérations et dans la culture de l’organisation.
Cibles découlent de la Directive
Évaluation des cibles basée sur les bilans de sécurité
Cibles découlent de la Directive
Évaluation des cibles basée sur les bilans de sécurité