un outil payant pour la gouvernance · pourquoi une architecture de sécurité 1. formalise une...
Post on 25-Sep-2020
1 Views
Preview:
TRANSCRIPT
L’architecture de sécurité,
un outil payant pour la
gouvernance
CQSI 2009
Miser sécurité, c’est payant
9 septembre 2009
Version 1.0
Mario Lapointe ing. MBA CISA CGEIT
mario.lapointe@metastrategie.com
Au programme
Ce qu’est une architecture de sécurité
Bénéfices
Structure
Conception
Volets affaires, données, technologie et application
Gouvernance
Application de ces concepts chez Info-Santé 811
Pourquoi une architecture de sécurité
1. Formalise une vision, un langage et une structure de principes communs de la sécurité de l’information, des processus et des outils supportant les affaires de l’organisation
2. Aide à supporter les choix d’affaires et aligner les initiatives, les stratégies et les activités de sécurité
3. Démontre l’intention de l’organisation à l’égard de la sécurité de l’information, la gestion du risque et la conformité au contexte légal
4. Formalise la gestion de processus et de planification d’amélioration continue de la sécurité
5. Contribue à supporter les audits de sécurité et à réduire des actions qui seraient divergentes à la conformité du contexte légal
6. Finalement, les activités de sécurité tactiques et opérationnelles peuvent être vérifiées
Architecture d’entreprise
No
rm
es e
t sta
nd
ard
sAffaires Informations
Sécu
rité
Systèmes
Technologie
Influencent l’évolution de l’AE
• La planification stratégique
• Les meilleures pratiques
• La veille technologique
• Les orientations technologiques
Modèle d’architecture d’entreprise
Documenter et évaluer
l’architecture actuelle
Documenter et évaluer la
capacité opérationnelle et
organisationnelle
Identifier les besoins Développer les normes et
principes
Développer les
modèles
Capacité opérationnelle et organisationnelle
• Expertise
• Solutions et technologies
• Etc.
Conception, développement, implantation, opérations
Réduction
des écartsChangements
Tendances de
l’environnement
Objectifs
d’affaires
Org
an
isati
on
des
eff
ort
s d
e r
éali
sati
on
Architecture d’entreprise
La structure de l’architecture de sécurité
Vue
d’affairesVue de
l’information
Vue
technologiques
Source : Gartner G00158226
Stratégies d’affaires
Modèles d’information
Modèles techniques
Architectures
d’infrastructure
Conceptuel
Niveaux
Logique
Mise en œuvre
Politiques de
l’entreprise
Principes des
processus d’affaires
Modèles
d’organisation
Cadre de référence méthodologique
Sécurité de l’information
COBIT(Gouvernance)
ISO
27002(Points de
contrôle)
ITIL(Opération)
CMMI(Maturité)
Risque
Cadre de référence
Points de contrôle
Questionnaires
Analyse de risques
organisationnel
Questions
États des lieux
Répondants
Réponses
AGSIN
4 volets
Validation
Analyse
par volet
Vues
par volet
Analyse
globale
Plan
d’action
Processus logique
Mesures de contrôle
de risques
Gouvernance de la SIN dans une organisation
Volet affaires
Lien entre les services de systèmes et les
clientèles
Modèle de domaine de confiance
Politique de sécurité
Rôles et responsabilités en sécurité
Directives et processus de sécurité
Cadre de gestion normalisé regroupant le tout
Volet données
Regroupement de l’information
Détenteur de données
Modèle de données du domaine de confiance
Classification des données du domaine de confiance
Cadre de sécurité (registre de nécessité)
Accès aux données
Journalisation des accès aux données
Volet technologie
Regroupement logique et physique des
composantes d’infrastructures technologiques
Modèle de niveau de confiance
Modèle d’élaboration des interfaces sécuritaires
Définition des interfaces sécuritaires
Zone de sécurité (publique, échange, privé…)
Réseau de communication
Infrastructure
Volet applications
Applications de sécurité nécessaires pour offrir les
fonctions de sécurité
Modèle de détenteur d’applications
Modèle des données des applications
Cadre de développement
Logiciel
Progiciel
Plateforme applicative
Centrale
Client/serveur
Web
Progiciel
Vision de l’architecture cible (5 à 10 ans)
Que sera votre organisation:
Départs à la retraite
Arrivée de la culture de la génération Y
Notion Impartition
Travail et support à distance
Contrôles règlementaires (SOX, PCI etc)
La population désire des services électroniques
Quelles seront vos technologies :
CardSpace, gestion d’identité sur Internet
Clef USB U3, avec empreintes digitales
Convergence IP (un port IP dans presque tout)
Virtualisation du poste de travail
Virtualisation des serveurs (Passage au monde virtuel )
Application de ces concepts chez Info-Santé 811
Lauréat Octas 2008
Catégorie Les technologies au service de la
collectivité 101 employés et plus
Refonte Info-Santé et Info-Social : Accès privilégié à
l’information pour tous les Québécois 24/7
2008 Association des MBA du Québec.
Prix tremplin, secteur public
Le projet
Équipe de projet ministérielle, juillet 2005
Analyse des besoins, rédaction de l’appel d’offres,
publication de l’appel d’offres, analyse des propositions
des fournisseurs, août 2005 – mars 2006
Signature du contrat en mars 2006
Conception d’une coquille téléphonique nationale, 3
centrales en sites pilotes, Visite des 12 autres centrales,
printemps 2006 - été 2006
Déploiement d’une centrale par semaine à l’automne
2006, terminé en décembre 2006
Virtualisation, hiver 2007
Déploiement gestion des effectifs, printemps 2007
Fermeture du projet, juin 2007
Constats Info-Santé
avant le projet
Service très apprécié de la population : 2,4 millions d’appels annuellement, 92 % des appelants se conforment aux recommandations des infirmières.
Environ 850 000 consultations médicales et visites à l’urgence évitées annuellement selon l’évaluation de 1999.
Difficulté d’accessibilité : 25 % des appels perdus.
Possibilité d’amélioration de la performance: 72 % des appels en mode régional répondus en moins de 4 minutes versus 57 % en mode local.
Fort taux de roulement de personnel.
Repenser le rôle et l’organisation du service
Info-Santé
Amélioration des services existants De l’accessibilité et de la performance Recherche de solutions pour pallier aux difficultés de
recrutement et de rétention du personnel infirmier Réponse aux appels de nature psychosociale Réponse aux appels en lien avec les médicaments Amélioration de la capacité à assurer une continuité des
services et une prise en charge des clientèles vulnérables
Amélioration de la capacité à soutenir les actions de santé publique ou de sécurité civile lors de situations d’urgence
Contexte d’affaires
L’appel téléphonique est une PES Identifié, catalogué, traité, mesuré, enregistré
Stabilité sur 10 ans Opérationnel sur 20 ans
Capacité Planification d’achalandage avec le 811
Évolutivité Arrivée Info-Social, Info-médicament
Traitement spécialisé dans le futur
Interopérabilité RVI, CTI, reconnaissance vocale, gestion des effectifs
Acheminement par compétences, tableau de bord
Coût fixe (réseau de la santé) Indépendant du volume d’appels
Proposition technologique
Système téléphonique Nortel CS 1000 (option 11)
Acheminement des appels par compétences Nortel CCMS
Reconnaissance vocale Nuance
RVI MPS 500
Messagerie vocale Call Pilot
CTI IMPRESSARIO
Enregistrement des appels Novo Technologies
Virtualisation Nortel NCC
Tableau de bord IMPRESSARIO, CCMA, GDP
Gestion des effectifs IEX TotalView
Système
téléphonique
CS 1000 (Option 11C)
Base de
Données
clientIntervenant
CTI
Impressario
Gestion des effectifs
IEX Totalview
Messagerie
vocale
CallPilot
Réseau de transmission de
données de gestion
WEB
Affichage temps
réel + relevés
+ Gestion
effectifs
aiguilleur
RTPC
Appel
Info-Santé
Centrale d'appels Info-Santé
applications régionale
Base de
Données
client
Oracle
Virtualisation des
appels
Centrale d'appels
Info-Santé
Centrale d'appels Info-Santé
applications provinciale
Lien informatique
Lien voix
RVI MPS-500/
reconnaissance vocale
Nuance
MH
Virtualisation
NCC
Enregistrement
des appels
Novo
Gestion téléphonique
Telephony Manager
Système d'acheminement
des appels
CCMS
WEB
Affichage temps
réel + relevés
CCMA + GDP
M3904
Environnement technologique
Gestion des risques
Humain
Projet
Systémique
Entreprise
Gestion des risques
HumainProjet "Fast Track " dans le réseau de la
santé
Projet Échéancier - élection
SystémiquePlus de 10 systèmes inter-reliés
Réseau provincial RTSS peu fiable
Entreprise Le 811 ne répond plus
Architecture de sécurité
Info Santé 811
Disponibilité Intégrité Confidentialité
Affaires
Données
Technologies
Applications
Architecture de sécurité
Info Santé 811
Disponibilité Intégrité Confidentialité
Très élevé Moyen Faible
Affaires Cadre de gestion Éthique
Données Protection d’accèsParamètre des
systèmes
Technologies Redondance Cadre de gestion
ApplicationsProtection des
accès
Facteurs de réussite
Expertise de l’équipe C’est pas la place pour apprendre (junior)
Respect de l’architecture d’affaires C’est pas un « trip technologique »
Rigueur dans le discours Dit ce qu’on fait et fait ce qu’on dit
Accompagnement rigoureux de chaque client (centrale) Pas de liaison entre fournisseur et client Mais fournisseur-projet-client Gestion par agents de liaison
Gestion rigoureuse des risques Agir en amont des DDC
L’architecture de sécurité,
un outil payant pour la
gouvernance
Merci pour votre participation
Au plaisir
Mario Lapointe ing. MBA CISA CGEIT
mario.lapointe@metastrategie.com
top related