L’architecture de sécurité,

un outil payant pour la

gouvernance

CQSI 2009

Miser sécurité, c’est payant

9 septembre 2009

Version 1.0

Mario Lapointe ing. MBA CISA CGEIT

mario.lapointe@metastrategie.com

Au programme

Ce qu’est une architecture de sécurité

Bénéfices

Structure

Conception

Volets affaires, données, technologie et application

Gouvernance

Application de ces concepts chez Info-Santé 811

Pourquoi une architecture de sécurité

1. Formalise une vision, un langage et une structure de principes communs de la sécurité de l’information, des processus et des outils supportant les affaires de l’organisation

2. Aide à supporter les choix d’affaires et aligner les initiatives, les stratégies et les activités de sécurité

3. Démontre l’intention de l’organisation à l’égard de la sécurité de l’information, la gestion du risque et la conformité au contexte légal

4. Formalise la gestion de processus et de planification d’amélioration continue de la sécurité

5. Contribue à supporter les audits de sécurité et à réduire des actions qui seraient divergentes à la conformité du contexte légal

6. Finalement, les activités de sécurité tactiques et opérationnelles peuvent être vérifiées

Architecture d’entreprise

No

rm

es e

t sta

nd

ard

sAffaires Informations

Sécu

rité

Systèmes

Technologie

Influencent l’évolution de l’AE

• La planification stratégique

• Les meilleures pratiques

• La veille technologique

• Les orientations technologiques

Modèle d’architecture d’entreprise

Documenter et évaluer

l’architecture actuelle

Documenter et évaluer la

capacité opérationnelle et

organisationnelle

Identifier les besoins Développer les normes et

principes

Développer les

modèles

Capacité opérationnelle et organisationnelle

• Expertise

• Solutions et technologies

• Etc.

Conception, développement, implantation, opérations

Réduction

des écartsChangements

Tendances de

l’environnement

Objectifs

d’affaires

Org

an

isati

on

des

eff

ort

s d

e r

éali

sati

on

Architecture d’entreprise

La structure de l’architecture de sécurité

Vue

d’affairesVue de

l’information

Vue

technologiques

Source : Gartner G00158226

Stratégies d’affaires

Modèles d’information

Modèles techniques

Architectures

d’infrastructure

Conceptuel

Niveaux

Logique

Mise en œuvre

Politiques de

l’entreprise

Principes des

processus d’affaires

Modèles

d’organisation

Cadre de référence méthodologique

Sécurité de l’information

COBIT(Gouvernance)

ISO

27002(Points de

contrôle)

ITIL(Opération)

CMMI(Maturité)

Risque

Cadre de référence

Points de contrôle

Questionnaires

Analyse de risques

organisationnel

Questions

États des lieux

Répondants

Réponses

AGSIN

4 volets

Validation

Analyse

par volet

Vues

par volet

Analyse

globale

Plan

d’action

Processus logique

Mesures de contrôle

de risques

Gouvernance de la SIN dans une organisation

Volet affaires

Lien entre les services de systèmes et les

clientèles

Modèle de domaine de confiance

Politique de sécurité

Rôles et responsabilités en sécurité

Directives et processus de sécurité

Cadre de gestion normalisé regroupant le tout

Volet données

Regroupement de l’information

Détenteur de données

Modèle de données du domaine de confiance

Classification des données du domaine de confiance

Cadre de sécurité (registre de nécessité)

Accès aux données

Journalisation des accès aux données

Volet technologie

Regroupement logique et physique des

composantes d’infrastructures technologiques

Modèle de niveau de confiance

Modèle d’élaboration des interfaces sécuritaires

Définition des interfaces sécuritaires

Zone de sécurité (publique, échange, privé…)

Réseau de communication

Infrastructure

Volet applications

Applications de sécurité nécessaires pour offrir les

fonctions de sécurité

Modèle de détenteur d’applications

Modèle des données des applications

Cadre de développement

Logiciel

Progiciel

Plateforme applicative

Centrale

Client/serveur

Web

Progiciel

Vision de l’architecture cible (5 à 10 ans)

Que sera votre organisation:

Départs à la retraite

Arrivée de la culture de la génération Y

Notion Impartition

Travail et support à distance

Contrôles règlementaires (SOX, PCI etc)

La population désire des services électroniques

Quelles seront vos technologies :

CardSpace, gestion d’identité sur Internet

Clef USB U3, avec empreintes digitales

Convergence IP (un port IP dans presque tout)

Virtualisation du poste de travail

Virtualisation des serveurs (Passage au monde virtuel )

Application de ces concepts chez Info-Santé 811

Lauréat Octas 2008

Catégorie Les technologies au service de la

collectivité 101 employés et plus

Refonte Info-Santé et Info-Social : Accès privilégié à

l’information pour tous les Québécois 24/7

2008 Association des MBA du Québec.

Prix tremplin, secteur public

Le projet

Équipe de projet ministérielle, juillet 2005

Analyse des besoins, rédaction de l’appel d’offres,

publication de l’appel d’offres, analyse des propositions

des fournisseurs, août 2005 – mars 2006

Signature du contrat en mars 2006

Conception d’une coquille téléphonique nationale, 3

centrales en sites pilotes, Visite des 12 autres centrales,

printemps 2006 - été 2006

Déploiement d’une centrale par semaine à l’automne

2006, terminé en décembre 2006

Virtualisation, hiver 2007

Déploiement gestion des effectifs, printemps 2007

Fermeture du projet, juin 2007

Constats Info-Santé

avant le projet

Service très apprécié de la population : 2,4 millions d’appels annuellement, 92 % des appelants se conforment aux recommandations des infirmières.

Environ 850 000 consultations médicales et visites à l’urgence évitées annuellement selon l’évaluation de 1999.

Difficulté d’accessibilité : 25 % des appels perdus.

Possibilité d’amélioration de la performance: 72 % des appels en mode régional répondus en moins de 4 minutes versus 57 % en mode local.

Fort taux de roulement de personnel.

Repenser le rôle et l’organisation du service

Info-Santé

Amélioration des services existants De l’accessibilité et de la performance Recherche de solutions pour pallier aux difficultés de

recrutement et de rétention du personnel infirmier Réponse aux appels de nature psychosociale Réponse aux appels en lien avec les médicaments Amélioration de la capacité à assurer une continuité des

services et une prise en charge des clientèles vulnérables

Amélioration de la capacité à soutenir les actions de santé publique ou de sécurité civile lors de situations d’urgence

Contexte d’affaires

L’appel téléphonique est une PES Identifié, catalogué, traité, mesuré, enregistré

Stabilité sur 10 ans Opérationnel sur 20 ans

Capacité Planification d’achalandage avec le 811

Évolutivité Arrivée Info-Social, Info-médicament

Traitement spécialisé dans le futur

Interopérabilité RVI, CTI, reconnaissance vocale, gestion des effectifs

Acheminement par compétences, tableau de bord

Coût fixe (réseau de la santé) Indépendant du volume d’appels

Proposition technologique

Système téléphonique Nortel CS 1000 (option 11)

Acheminement des appels par compétences Nortel CCMS

Reconnaissance vocale Nuance

RVI MPS 500

Messagerie vocale Call Pilot

CTI IMPRESSARIO

Enregistrement des appels Novo Technologies

Virtualisation Nortel NCC

Tableau de bord IMPRESSARIO, CCMA, GDP

Gestion des effectifs IEX TotalView

Système

téléphonique

CS 1000 (Option 11C)

Base de

Données

clientIntervenant

CTI

Impressario

Gestion des effectifs

IEX Totalview

Messagerie

vocale

CallPilot

Réseau de transmission de

données de gestion

WEB

Affichage temps

réel + relevés

+ Gestion

effectifs

aiguilleur

RTPC

Appel

Info-Santé

Centrale d'appels Info-Santé

applications régionale

Base de

Données

client

Oracle

Virtualisation des

appels

Centrale d'appels

Info-Santé

Centrale d'appels Info-Santé

applications provinciale

Lien informatique

Lien voix

RVI MPS-500/

reconnaissance vocale

Nuance

MH

Virtualisation

NCC

Enregistrement

des appels

Novo

Gestion téléphonique

Telephony Manager

Système d'acheminement

des appels

CCMS

WEB

Affichage temps

réel + relevés

CCMA + GDP

M3904

Environnement technologique

Gestion des risques

Humain

Projet

Systémique

Entreprise

Gestion des risques

HumainProjet "Fast Track " dans le réseau de la

santé

Projet Échéancier - élection

SystémiquePlus de 10 systèmes inter-reliés

Réseau provincial RTSS peu fiable

Entreprise Le 811 ne répond plus

Architecture de sécurité

Info Santé 811

Disponibilité Intégrité Confidentialité

Affaires

Données

Technologies

Applications

Architecture de sécurité

Info Santé 811

Disponibilité Intégrité Confidentialité

Très élevé Moyen Faible

Affaires Cadre de gestion Éthique

Données Protection d’accèsParamètre des

systèmes

Technologies Redondance Cadre de gestion

ApplicationsProtection des

accès

Facteurs de réussite

Expertise de l’équipe C’est pas la place pour apprendre (junior)

Respect de l’architecture d’affaires C’est pas un « trip technologique »

Rigueur dans le discours Dit ce qu’on fait et fait ce qu’on dit

Accompagnement rigoureux de chaque client (centrale) Pas de liaison entre fournisseur et client Mais fournisseur-projet-client Gestion par agents de liaison

Gestion rigoureuse des risques Agir en amont des DDC

L’architecture de sécurité,

un outil payant pour la

gouvernance

Merci pour votre participation

Au plaisir

Mario Lapointe ing. MBA CISA CGEIT

mario.lapointe@metastrategie.com