Contrôle d'accès par gouvernance (CAG) : faciliter le partage de l information répondant aux exigences de conformité

Transcription

1 Étude technique Contrôle d'accès par gouvernance (CAG) : faciliter le partage de l information répondant aux exigences de conformité Les technologies de l'information appliquées aux solutions d'affaires MC Groupe CGI inc Tous droits réservés. Aucune partie de cette publication ne peut être reproduite par quelque procédé que ce soit sans autorisation écrite préalable.

2 TABLE DES MATIÈRES INTRODUCTION 3 NOUVEAUX DÉFIS DU CONTRÔLE D ACCÈS 3 ÉVOLUTION DU CONTRÔLE D ACCÈS 5 MÉTHODE AMÉLIORÉE : MODÈLE CAG 5 CAG EN ACTION : EXEMPLE D'APPLICATION DU MODÈLE 6 AVANTAGES DU CAG 11 MEILLEUR ÉCHANGE D INFORMATION POUR GÉRER ET MINIMISER LES RISQUES 11 PRESTATION DE SERVICE AMÉLIORÉE 12 TRANSPARENCE ET RESPONSABILITÉ REHAUSSÉES 12 LES DÉFIS DE DEMAIN 12 CONCLUSION 13 À PROPOS DE CGI 13 2

3 L échange d information comporte certes de multiples avantages, mais les entreprises éprouvent de plus en plus de difficultés à trouver la meilleure façon de collecter, de partager et de gérer cette information. Les modèles traditionnels de contrôle d accès ne suffisent plus aux besoins vastes et complexes de l échange d information tant au sein des entreprises qu à l extérieur de celles-ci. Face à une croissance continue des règlements gouvernementaux et des demandes de la part des clients et citoyens, les entreprises doivent mettre en œuvre des modèles de contrôle d accès plus sophistiqués. Le CAG constitue à cet égard une solution viable qui facilite un échange fiable de l'information des entreprises tout en permettant une gestion et une réduction des risques inhérents. Introduction Jamais auparavant l information n a été si facile à échanger. L échange d'information permet aux pouvoirs publics et aux entreprises commerciales de promouvoir leur valeur, qu il s agisse d une prestation des services sans discontinuité aux citoyens et clients ou de la coordination des capacités d'intervention face aux activités criminelles et aux menaces terroristes. Par contre, l échange d information crée aussi des situations précaires. Par exemple, selon le Computer Security Institute, le vol de données des sources extérieures et intérieures a augmenté à un taux de 650 pour cent entre 2001 et 2004, ce qui démontre le risque que comporte le transfert d information électronique entre les entreprises, qui s exposent notamment à un emploi abusif de renseignements confidentiels, personnels, médicaux ou financiers. Alors que le secteur privé est aux prises avec de récents incidents qui ont fait les manchettes sur la violation de renseignements sensibles de clients, le secteur public continue de fonctionner sans trop de soucier des dispositions concernant l'échange d'information risquant de compromettre ses organismes et, par-dessus tout, les droits des citoyens. Le public est de plus en plus informé de ces incidents et de ces dispositions et il demande des contraintes plus serrées et une transparence accrue sur la protection, la gestion et l'utilisation de l'information sur les clients et les citoyens. Conscientes de la valeur que représente l échange de l information, sans pour autant ignorer la nécessité de prévenir les utilisations abusives et les failles dans la confidentialité, les législatures du monde entier exercent de plus en plus de pression sur les entreprises privées et publiques afin que ces dernières se conforment à de nouvelles mesures qui restreignent la collecte, le partage, la gestion et la disposition de l information et les circonstances entourant ces activités. Entre autres, voici des mesures prises par certains pays : Australie Federal Privacy Act Canada Loi sur la protection des renseignements personnels et les documents électroniques, Loi sur la protection de la vie privée, Loi sur les archives nationales du Canada, Loi sur l accès à l information, Loi sur la sécurité de l information Europe Directive du Parlement européen sur la protection des données États-Unis Sarbanes-Oxley Act, Gramm-Leach-Bliley Act, California Security Breach Notification Law, Fair Credit Reporting Act, Health Insurance Portability Accountability Act (HIPAA), Freedom of Information Act (FOIA), U.S. Patriot Act Pour aider les entreprises à profiter de l échange d information tout en relevant les défis inhérents, ce document présente une approche et une vision de l échange de l information dans le cadre du contrôle d accès. Alors que les modèles traditionnels de contrôle d accès ne suffisent plus aux besoins vastes et complexes de l échange interorganisationnel de l information, le modèle de contrôle d'accès par gouvernance (CAG) offre une solution plus sophistiquée en réponse à ceux-ci. Le CAG est un facilitateur fondamental pour les entreprises qui désirent échanger de l information au-delà des limites de compétence, car il tient compte des multiples exigences imposées par tant de législations. Ce document explique également brièvement comment le CAG peut faciliter l implantation de modèles de prestation de services communs et accroître la transparence et la responsabilisation au sein d un nombre croissant d entreprises ouvertes et interconnectées sous différentes juridictions. Nouveaux défis du contrôle d accès Le contrôle rigoureux des accès aux banques d information a toujours été une priorité des entreprises. En fait, c est la pierre angulaire de nombreuses politiques de sécurité sur la protection des banques d information. Dans le passé, lorsque l information ne circulait qu à 3

4 l intérieur de l entreprise, les méthodes traditionnelles du contrôle d accès faisaient leurs preuves. De nos jours cependant, les entreprises doivent partager de plus en plus leur information avec des sources extérieures et ces modèles de contrôle traditionnels ne répondent plus à la demande. Pour les organismes gouvernementaux, les entreprises du secteur privé et les organismes sans but lucratif, réussir à bénéficier de l'échange de l'information tout en se conformant aux restrictions imposées par les lois sur la protection de la vie privée constitue une tâche colossale. La plupart des organismes et entreprises se fient encore à des modèles traditionnels de contrôle d'accès qui n'ont pas été conçus pour répondre aux exigences de sécurité de l échange de l'information au-delà des limites de l'entreprise d'où elle émane. Afin de faire face efficacement aux responsabilités et risques inhérents à ce nouvel environnement, les entreprises doivent maintenant s interroger sur leur façon de catégoriser et de classer leur actif informationnel et de déterminer les accès à chacun de ces actifs. Actuellement, la plupart des entreprises abordent l'utilisation et la protection de leurs banques d information sous deux angles : le système où elles sont conservées et leurs classifications de sécurité. Les modèles de contrôle d accès interne et de sécurité de partage des données reflètent cette réalité en se fondant sur les modèles les plus répandus. Le contrôle d accès fondé sur l identité gère l accès aux données en fonction des utilisateurs et propriétaires de celles-ci. Également appelé contrôle d accès discrétionnaire (CAD), ce modèle nécessite une connaissance explicite de tous les utilisateurs pouvant avoir besoin d accéder aux données. Le contrôle d accès basé sur des règles permet l accès aux données en fonction de niveaux de sécurité formels attribués à l information et de niveaux d habilitation accordés aux personnes et processus. Également appelé contrôle d accès obligatoire, ce modèle répond uniquement aux besoins en sécurité et en protection, mais pas à ceux fondés sur les personnes qui ont besoin de savoir ni sur les impératifs de la protection de la vie privée. Le contrôle d accès basé sur le rôle accorde l accès aux données selon le rôle organisationnel (par exemple, commis ou enquêteur) attribué à la personne au sein de l entreprise. Le contrôle d accès basé sur le rôle réduit le fardeau administratif en accordant les permissions en fonction des personnes qui ont besoin de savoir. Il est en outre plus efficace dans le traitement des changements opérationnels en administrant les permissions et les rôles organisationnels et en attribuant ces derniers à chacun. Ces modèles de contrôle d accès se fondent sur les postulats de base voulant qu'une seule entreprise doit accéder à l'information, que cette dernière n'est consultée que par des utilisateurs internes de cette entreprise et que tous et chacun ne relèvent que d une seule et unique autorité. Ces postulats sont néanmoins caduques, car les entreprises, les pouvoirs publics et les sociétés sont de plus en plus interconnectés et l information circule de plus en plus entre les entreprises et par-delà les frontières. C est pourquoi les modèles traditionnels ne suffisent plus. Confrontées à de nouvelles responsabilités quant à l échange et à la protection de l information, de nombreuses entreprises sont paralysées par la peur et l indécision. Elles ne comprennent pas la structure de gouvernance de leur information ni leurs responsabilités vis-à-vis l échange et la protection de celle-ci. Elles hésitent car elles sont confrontées à plusieurs problèmes, dont : le risque de responsabilisation qu une seule décision peut entraîner pour l entreprise; le risque d'un usage abusif des données, tel qu'un couplage de celles-ci; la perte éventuelle du contrôle ou de l autorité sur l actif informationnel; l absence d un consensus clair au sein de l entreprise sur la valeur réelle ou l objet de l information détenue. Le résultat? De l information précieuse demeure bloquée dans la structure organisationnelle verticale et s avère difficile, voire impossible, à partager. 4

5 Évolution du contrôle d accès Personne ne peut nier la nouvelle réalité d'un monde sur lequel se tisse un réseau tentaculaire. Pour fonctionner efficacement, toutes les entreprises doivent échanger de l information personnelle ou confidentielle; toutefois, elles doivent aussi prendre leurs responsabilités et s assurer que cette information est protégée efficacement et utilisée à bon escient par la suite. Les organismes gouvernementaux et les compagnies qui ne se conforment pas aux lois à l origine de ces normes risquent d encourir de véritables conséquences; par exemple entacher leur réputation, devoir se soumettre à des obligations légales et éprouver de la difficulté à obtenir de l'information des citoyens, clients et entreprises associées. Comment alors les entreprises peuvent-elles efficacement échanger l information et se conformer aux exigences juridiques tout en minimisant les risques de laisser l information sensible circuler à l extérieur de leurs propres réseaux et groupes? Heureusement, des solutions existent; l échange d information peut être vu sous l'angle d'un problème de contrôle d'accès qui a évolué en fonction des nouveaux postulats suivants : De nombreuses entreprises peuvent devoir accéder à l information L information peut être consultée par des utilisateurs externes ou partagée avec ceux-ci Tout un chacun peut devoir se soumettre à de nombreuses autorités Un nouveau modèle basé sur la gouvernance répond efficacement à ces nouveaux postulats. On l'appelle le contrôle d accès par gouvernance (CAG). Méthode améliorée : le modèle CAG Le CAG est une extension novatrice et évolutionnaire des modèles traditionnels de contrôle d accès. La figure 1 illustre l évolution des modèles de contrôle d accès. Figure 1 : Évolution du contrôle d accès Évolution des modèles de contrôle d'accès Anciens postulats 1. Entreprise unique 2. Utilisateurs internes 3. Autorité unique Nouveaux postulats 1. Entreprises multiples 2. Utilisateurs externes 3. Autorités multiples Modèles basés sur le rôle Modèles basés sur la gouvernance Modèles basés sur des règles Modèles basés sur l identité DAC CAO MBR CAG Calendrier Comme le montre la figure, le CAG est le plus récent des modèles de contrôle d'accès. Le CAG s appuie sur les modèles traditionnels de contrôle d accès des 30 dernières années; il se fonde sur les nouveaux postulats du contrôle d'accès qui n'existaient tout simplement pas à l'époque où l'information était partagée et stockée dans des structures verticales à des fins strictement internes. Le CAG permet aux entreprises de faire face aux nouvelles exigences de l échange d information au-delà de leurs frontières; il renouvelle et perfectionne les modèles traditionnels de contrôle d accès en assurant la sécurité, protégeant la vie privée et veillant à la conformité de l'information partagée. 5

6 Le CAG est le plus récent des modèles de contrôle d accès. Il s appuie sur des modèles traditionnels pour répondre aux nouvelles exigences en matière de contrôle d accès. Il classe l actif informationnel et y accède en l associant directement à des mesures légales qui en régissent l utilisation et tiennent compte du «pourquoi» sous-jacent et de «qui» a le droit d y accéder. La prémisse fondamentale du CAG est simple : quand une entreprise collecte, utilise, gère ou partage de l information personnelle ou sensible, l actif informationnel ainsi créé doit, pour la totalité de son cycle de vie, être régi par la loi en vigueur qui dicte les responsabilités et la conformité de l'entreprise. Par essence, le CAG est une méthode de classement de l'actif informationnel et de l'accès à celui-ci qui l'associe directement à des mesures légales régissant sa collecte, sa diffusion, sa protection et sa disposition. Le CAG tient tout d abord compte de la raison globale justifiant le stockage de l'information sans ignorer que de nombreuses autorités peuvent devoir déterminer un contrôle de son accès ou prendre une décision sur son partage. Avec le CAG, les règles de permission d accès peuvent être précisées et appliquées à l actif informationnel défini par l entreprise, qu il s agisse du simple enregistrement de base de données d'un client, d une série de bases de données, d'un document individuel ou d'un courriel. Ces règles peuvent être rigoureusement imposées conformément aux questions clés de gouvernance. On peut répondre à ces dernières en déterminant les six attributs suivants pour chaque actif informationnel défini : 1. Autorité. Quelle autorité est au départ, actuellement et en bout de ligne responsable de cet actif informationnel? 2.Autorité de collecte. En vertu de quel pouvoir législatif, règlement ou politique et pour quelle utilisation subséquente cet actif informationnel a-t-il été collecté et utilisé? 3.Objet de la collecte. Quelle est la raison, le motif ou le processus d affaires sous-jacents à la collecte de cet actif informationnel? 4.Désignation de sécurité. Quelle est la sensibilité de l actif informationnel ou quels dommages pourraient entraîner sa divulgation? 5.Autorité de divulgation. Quelle est l autorité qui peut permettre la divulgation de cet actif informationnel au-delà son autorité originale ou de sa raison originale? 6.Autorité de disposition. En vertu de quelle autorité peut-on disposer de cet actif informationnel? Étant donné que chaque actif informationnel peut être associé à l'objet original et véritable de sa création, le CAG procure un cadre de classement de cet actif reflétant sa raison d'être originale et véritable. Il fournit aussi une méthode commune d élaboration des règles de gouvernance pouvant servir à permettre l accès aux actifs informationnels, peu importe où ils se trouvent, qu il s agisse d un système ou d une entreprise. Qui plus est, en associant un actif informationnel à sa structure de gouvernance, les entreprises y apposent une étiquette de mise en garde avec toute une série de règles prescrivant l utilisation de l actif et les circonstances de cette utilisation. Une telle méthode élimine un important élément de risque pour l entreprise émettrice en imposant des règles, conditions et responsabilités précises à l'entreprise abonnée, comme si on apposait une étiquette de mise en garde sur un produit de consommation qui oblige légalement l acheteur à se conformer aux mises en garde et restrictions de cette étiquette. CAG en action : exemple d application du modèle Pour mieux illustrer le modèle CAG, prenons le scénario suivant démontrant son fonctionnement dans le monde réel. Prenons trois institutions qui font affaires avec un citoyen canadien du nom d : un service de police fédéral, un centre fédéral d'analyse et de rapports financiers et une institution financière du secteur privé. Alexis Tremblay se livre à du blanchiment d argent pour financer un groupe terroriste. Alexis Tremblay mène sans problème ses activités illicites parce que personne n'a un portrait complet de celui-ci qui pourrait conduire à son arrestation. 6

7 La figure 2 montre comment chaque groupe ou service a un portrait incomplet d Alexis Tremblay. Figure 2 : Portrait incomplet d Service de police fédéral Système d enquêtes criminelles Blanchisseur d argent? Terroriste financier? Centre fédéral d'analyse et de rapports financiers Système de renseignements financiers Données d enquête sur Enquêteur de la police Analyste du renseignement Renseignements financiers sur Client avec d importantes opérations en espèces? Institution financière du secteur privé Système bancaire aux consommateurs Données sur les opérations d Agent de conformité Chaque groupe, organisme ou entreprise possède de l information incomplète sur Alexis Tremblay. Qui est vraiment? Un blanchisseur d argent? Le service de police qui enquête sur le suspecte d être un criminel à faible risque engagé dans un réseau de blanchiment d argent, mais ignore tout de ses activités de financement terroriste. Un terroriste financier? Le centre d analyse qui a repéré estime qu il s agit d un terroriste financier potentiel et ignore tout de ses activités de blanchiment d'argent. Un client qui dépose de grosses sommes en espèces? L institution financière où fait affaires le perçoit comme un client régulier qui dépose d'importantes sommes en espèces. Elle n'a pas la moindre idée qu'on le soupçonne d'activités criminelles et que les services de renseignement s'intéressent à lui. Ce scénario illustre comment le CAG peut être utilisé de concert avec le contrôle d accès basé sur des rôles. Ce ne sont pas des personnes mais bien trois rôles qui nécessitent un échange d information : un enquêteur de police, un analyste du renseignement et un agent de conformité. Ces rôles peuvent être attribués au sein de chaque entreprise ou groupe aux personnes qui ont besoin d un accès. 7

8 Le tableau 1 illustre en détail l information recueillie par chaque groupe, qui y a accès et l utilise en vertu de son rôle, et démontre comment peuvent être classés les actifs informationnels en fonction du CAG. Tableau 1 : Information recueillie par chaque groupe et entreprise sur Service de police fédéral On suspecte de faire du blanchiment d argent. Un enquêteur de la police mène une enquête et recueille des preuves contre. Ses résultats d'enquête sont stockés dans le système des enquêtes criminelles. Le classement CAG des renseignements d enquête sur est comme suit: Autorité: Autorité de police: Raison de la collecte: Désignation de sécurité: Autorité de divulgation: Autorité de disposition: Fédéral Loi sur la police fédérale Enquête sur le blanchiment d argent Protégé C ou Protégé B Loi sur la protection de la vie privée Loi sur les archives nationales du Canada Centre fédéral d analyse et de rapports financiers est ciblé par les services de renseignements en tant que menace à la sécurité nationale. Un agent des renseignements dresse un profil d. Il recueille des renseignements dits sensibles selon les cotes de sécurité nationales du Canada : Très secret, Secret, Protégé C et Protégé B. Cette information est stockée dans un système de renseignements financiers. Le classement CAG des renseignements sur est comme suit: Autorité: Autorité de collecte: Raison de la collecte: Désignation de sécurité: Autorité de divulgation: Autorité de disposition: Fédéral Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes Opérations financières suspectes Très secret ou Protégé B Loi sur la protection des renseignements personnels Loi sur les archives nationales du Canada Institution financière du secteur privé est un client qui dépose d importantes sommes en espèces. Cette information est enregistrée dans les opérations du système bancaire aux consommateurs. Vu la nécessité de se conformer à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, un agent de conformité évalue que les dépôts en espèces supérieurs à dollars constituent des opérations suspectes. Le classement CAG sur les transactions d est comme suit : Autorité: Fédéral Autorité de collecte: Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes Raison de la collecte: Opérations de dépôt normales ou suspectes Désignation de sécurité: Confidentialité du client Autorité de divulgation: Loi sur la protection des renseignements personnels et les documents électroniques Autorité de disposition: Loi sur la protection des renseignements personnels et les documents électroniques Pour dresser un portrait complet d, ces trois organismes doivent échanger leur information pour regrouper tous les faits et être en mesure d établir qu' revêt tous les visages suivants : Un blanchisseur d argent qui tire d'importantes sommes des opérations de blanchiment d'argent. Un terroriste financier qui utilise ces sommes pour financer un groupe terroriste connu. Un client qui dépose d importantes sommes en espèces qui sont immédiatement transférées à un autre compte. 8

9 La figure 3 dresse un portrait complet d' grâce à l'échange d'information entre ces trois organismes. Comme l'illustre l exemple, le CAG permet de regrouper l information de trois organismes différents afin de dresser un portrait complet des activités criminelles d Alexis Tremblay. Grâce aux règles du CAG, les besoins de l échange d information permettent de déterminer qui (ou quel rôle) peut accéder à certains renseignements. Figure 3 : Portrait complet d grâce à l échange d'information Service de police fédéral Système d enquêtes criminelles Données d enquête sur Enquêteur de la police 3. Partage des données sur les opérations Les flèches représentent les besoins d'échange d'information 1. Partage de l information financière 2. Partage des renseignements d enquête Blanchisseur d argent Terroriste financier Client avec d importantes opérations en espèces Institution financière du secteur privé Système bancaire aux consommateurs Données sur les opérations d Agent de conformité Centre fédéral d'analyse et de rapports financiers Analyste du renseignement 4. Partage des données sur les opérations Système de renseignements financiers Renseignements financiers sur Ce scénario d échange d information comporte quatre besoins essentiels d échange d information qui permettent de dresser un portrait complet d'. Ces besoins sont expliqués en détail ci-dessous, avec les avantages et les risques qu'ils comportent. 1. Partage de l information financière Besoin : Le centre fédéral d analyse et de rapports financiers doit fournir au service de police fédéral ses renseignements financiers sur Alexis Tremblay. Avantage : Cette information partagée permet à l enquêteur de police de comprendre qu n est pas un suspect à faible risque, mais bien à haut risque. Risque : Le centre pourrait partager de l information sur risquant de compromettre l enquête policière. 2.Partage des renseignements d enquête Besoin : Le service de police fédéral doit partager ses renseignements d enquête sur avec le centre fédéral d analyse et de rapports financiers. Avantage : Cette information partagée aide l'analyste du renseignement à dresser un profil plus précis d' et de ses activités de blanchiment d'argent. Risque : Le service de police fédéral pourrait partager de l information hautement sensible sur qui risquerait d entraîner des blessures ou des pertes de vie. 3. Partage des données sur les opérations Besoin : L'institution financière doit partager ses données sur les opérations effectuées par avec le service de police fédéral qui mène une enquête sur ce dernier. Avantage : Cette information partagée aide l enquêteur à recueillir des renseignements plus complets sur, à étoffer ses accusations criminelles et à multiplier ses preuves en vue de poursuites éventuelles. Risque : L institution financière pourrait partager de l information sur qui n est pas indispensable à l enquête et du coup brimer ses droits sur les renseignements personnels. 4.Partage des données sur les opérations Besoin : L institution financière doit retracer les données sur les opérations et les partager avec le centre fédéral d'analyse et de rapports financiers concernant les importants dépôts en espèces, conformément à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes. 9

10 Avantage : On respecte non seulement les exigences de conformité, mais on aide également l analyste du renseignement à cibler plus rapidement de nouveaux objectifs des renseignements. Risque : L institution financière pourrait partager des données sur les opérations de dépôt de tous ses clients, risquant ainsi de brimer leurs droits sur les renseignements personnels et d entacher sa réputation. Le CAG répond à ces besoins d'échange d information au moyen de règles qui correspondent directement aux quatre besoins établis dans notre scénario. Ces règles peuvent servir à établir qui (ou quel rôle) peut accéder à certains renseignements stockés dans les systèmes d'information critique, peu importe qu il s agisse de personnes au sein ou à l'extérieur de l'organisation. La figure 4 illustre les règles du scénario CAG. Figure 4 : Échange d information autorisé par les règles CAG Service de police fédéral Système d enquêtes criminelles Règle CAG 1 : Accès de l enquêteur de police Centre fédéral d'analyse et de rapports financiers Système de renseignements financiers Données d enquête sur Enquêteur de la police Règle CAG 2 : Accès de l analyste du renseignement Blanchisseur d argent Terroriste financier Client avec d importantes opérations en espèces Analyste du renseignement Renseignements financiers sur Règle CAG 3 : Accès de l enquêteur de police Institution financière du secteur privé Système bancaire aux consommateurs Règle CAG 4 : Accès de l analyste du renseignement Données sur les opérations d Les flèches représentent des règles CAG Agent de conformité Le tableau 2 explique en détail chaque règle CAG correspondant aux exigences en matière d échange d information. Règle CAG Règle 1 : Partage de l information financière Accorde aux enquêteurs de police l accès aux données financières sur N accorde pas aux enquêteurs de police un accès à des dossiers qui risqueraient de compromettre leur enquête. Règle 2 : Partage des renseignements d enquête Accorde aux analystes du renseignement l accès aux données pertinentes de l enquête de la police sur N accorde pas aux analystes du renseignement l accès à des dossiers qui, une fois partagés, risqueraient d être préjudiciables à ; par exemple, ceux dont la désignation de sécurité est Protégé C. Tableau 2 : Règles CAG Spécification de la règle Un enquêteur de police peut accéder à des dossiers du système de renseignements financiers qui sont classés comme suit : Autorité = Fédéral Autorité de collecte = Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes Raison de la collecte = Opérations financières suspectes Désignation de sécurité = Protégé B Avec les critères additionnels suivants: Nom du sujet = Un analyste du renseignement peut accéder à des dossiers du système d enquêtes criminelles qui sont classés comme suit : Autorité = Fédéral Autorité de collecte = Loi sur la police fédérale Raison de la collecte = Enquête sur le blanchiment d argent Désignation de sécurité = Protégé B Avec les critères additionnels suivants: Nom du sujet = 10

11 Notre exemple démontre clairement comment le CAG peut améliorer l échange d'information; qui plus est, les entreprises peuvent y trouver d autres avantages. Le CAG assure la prestation sans accroc des programmes et services d une entreprise et permet à cette dernière de démontrer sa transparence et sa responsabilisation auprès des organismes et autorités. Règle CAG Règle 3 : Partage des données sur les opérations Accorde aux enquêteurs de police l accès aux données sur les opérations bancaires d'alexis Tremblay N accorde pas aux enquêteurs de police l accès à toutes les données sur les dépôts en espèces qui, une fois partagés, pourraient brimer les droits sur les renseignements personnels des clients; seuls les dossiers sur sont partagés. Règle 4 : Partage des données sur les opérations Accorde aux analystes du renseignement l'accès aux données sur les importants dépôts en espèces, dont ceux faits par. N accorde pas aux analystes du renseignement l accès à tous les dossiers sur les dépôts en espèces qui, une fois partagés, risqueraient de brimer les droits sur les renseignements personnels des clients; seuls les dépôts supérieurs à dollars seront partagés, comme le prévoit la loi. Spécification de la règle L enquêteur de police a accès aux dossiers du système bancaire aux consommateurs répondant au classement CAG suivant : Autorité = Fédéral Autorité de collecte = Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes Raison de la collecte = Opérations financières suspectes Désignation de sécurité = Protégé B Avec les critères additionnels suivants: Nom du sujet = L enquêteur de police a accès aux dossiers du système bancaire aux consommateurs répondant au classement CAG suivant : Autorité = Fédéral Autorité de collecte = Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes Raison de la collecte = Opérations financières suspectes Autorité de divulgation = Loi sur la protection des renseignements personnels et les documents électroniques Désignation de sécurité = Protégé B Avec les critères additionnels suivants: Type d opération = Dépôt en espèces Montant du dépôt = > Plus de dollars Une fois les règles CAG convenues, on peut les inclure aux modèles de contrôle d'accès de chaque organisme où elles régiront l'accès aux systèmes d'information. Étant donné que la spécification des règles CAG se fonde sur la gouvernance de chaque actif informationnel auquel on veut accéder, il est possible de concevoir et de développer des modules de contrôle d accès qui autoriseront l'accès à des utilisateurs tant externes qu'internes qui ont un besoin valable de savoir et le droit d'accéder à cette information. Avantages du CAG Meilleur échange d information pour gérer et minimiser les risques Le scénario ci-dessus illustre comment le CAG permet aux entreprises de surmonter les incontournables défis posés par l'environnement moderne riche en information et soucieux de protéger la confidentialité des données. Le CAG confère un maximum d avantages à l'échange d'information tout en gérant et en minimisant les risques y afférents. En classant son information selon les principes de la gouvernance avec des règles appropriées, une entreprise peut partager son actif informationnel à bon escient, même si elle ne connaît pas toujours les destinataires prévus ou l usage qu on entend faire de cet actif. Elle peut partager cette information de façon tout à fait conforme aux principes de sécurité, de confidentialité et de justice, même si elle n'est pas toujours en mesure de connaître ou d ajuster le contenu précis de cet actif. En associant un actif informationnel à la loi originale qui le régit, le CAG permet à l'entreprise de se conformer sans difficulté avec les prescriptions en vigueur et à venir de cette loi sur l échange et la protection de l information. En adoptant des règles CAG explicites, l'entreprise qui décide de partager son information avec l'extérieur implante un modèle très puissant de gestion et de réduction des risques. Comme le décrit le présent document, le CAG définit l'usage légal et les règles de permission d'accès devant être associés à tout actif informationnel. 11

12 Prestation de service améliorée Le CAG ne se limite pas à la gestion de l'échange d'information. Un semblable scénario illustre la prestation sans accroc des programmes et services au sein d une entreprise. Également appelé le modèle de prestation de services partagés, le concept est simple : Les citoyens et clients peuvent visiter un endroit, en personne, en ligne ou par téléphone, et voir toute l'entreprise comme une seule entité. Toutefois, ce modèle de prestation de services partagés comporte de nombreux risques semblables à ceux mentionnés dans le scénario de l'échange d'information : risques liés à la confidentialité, à la sécurité et à la conformité. Ceux-ci sont les principaux obstacles au développement du modèle de prestation de services partagés. En raison de la similarité de la nature de ces risques, le CAG peut constituer une partie de la solution. Il peut servir de facilitateur clé pour éliminer les redondances et accroître l intégrité, l efficacité et l efficience générales. Ainsi, le CAG peut non seulement favoriser l échange d information en toute conformité, mais également aider à améliorer la prestation des services entre les entreprises. Transparence et responsabilité rehaussées En dernier lieu, nous pourrions affirmer que le principal avantage du CAG est sa capacité à rehausser la transparence et la responsabilisation au sein des organisations et des autorités et entre celles-ci. Avec un CAG en toile de fond, toute demande d accès est filtrée par les règles qui régissent les autorisations d'accès à l'actif informationnel. La demande d accès sera consignée avec son contexte sur une liste de contrôle qui comporte des détails sur le demandeur (personne titulaire d un rôle) et la nature de la demande (actif informationnel auquel on demande accès par l entremise de la règle CAG). Si, pour une raison ou pour une autre, une vérification ou une enquête est jugée nécessaire, l information figurant sur ces listes peut fournir l identité des personnes ayant accédé à cette information ainsi que la raison de cet accès et permettre de savoir si la consultation a été faite conformément aux règles de gouvernance. Cette information peut servir à mener une enquête ou à constituer une preuve. Ainsi, le CAG est un puissant mécanisme qui impose la transparence et la responsabilisation à chaque personne et à chaque actif informationnel d une entreprise. Les défis de demain Il serait faux de prétendre que le CAG est une solution exhaustive. Mais c est un élément essentiel des solutions à l'échange d'information, à la prestation de services et à l'accroissement de la transparence et de la responsabilisation. Avec l implantation des nouveaux systèmes et la mise à niveau des anciens systèmes pour faire face à la réalité des environnements ouverts, interconnectés et intergouvernementaux, le CAG s imposera comme une pierre angulaire de toute architecture nécessitant une prise en considération de la gouvernance. La mise en place du CAG s'accompagne de défis. Les entreprises désireuses d implanter le CAG devront faire des pas de géant. Un de ceux-là consiste simplement à dresser un inventaire des banques d'information existantes et d établir les lois qui régissent leur utilisation. À long terme toutefois, le CAG s avèrera une méthode plus sûre, simple et efficace et, en bout de ligne, moins coûteuse pour la gestion des actifs informationnels. Si on le compare à la perte de confiance, aux coûts et aux risques potentiels, le CAG constitue sans conteste un excellent investissement pour toutes les entreprises qui échangent de l'information. 12

13 Le CAG peut devenir l'assise de la stratégie d échange d information d une entreprise en lui procurant les avantages suivants : Échange de l information par delà les frontières organisationnelles et les autorités. Garantie d entière conformité à la loi Protection des intérêts et de la confidentialité de toutes les parties intéressées Réduction pour l entreprise des risques potentiels liés à la nonconformité et à la responsabilité légale Conclusion Les méthodes de contrôle d accès n ont pas suivi le rythme de l'évolution technologique et sociétale des dernières années. L'omniprésence de plus en plus marquée d Internet et l utilisation croissante des données personnelles imposent la nécessité de protéger l information en vertu de mesures législatives en pleine recrudescence. L administration électronique, le partenariat entre le public et le privé, la menace terroriste et l'évolution technologique qui permet de restructurer les systèmes et les processus d affaires poussent l'échange d'information au-delà des limites des entreprises et des États. Les entreprises désireuses de se conformer aux exigences en apparence conflictuelles de l échange et de la protection de l information sont paralysées par les modèles traditionnels de contrôle d accès parce qu elles ne parviennent pas à savoir si elles contreviennent à la loi, si elles divulguent à tort de l'information ou si elles s'exposent à des responsabilités. Le CAG est une méthode incontournable pour l entreprise qui veut échanger de l information tout en prenant ses responsabilités et en gérant les risques y afférents. Le CAG élimine le défi fondamental auquel est désormais confrontée chaque entreprise : comment transmettre la bonne information aux bonnes personnes pour les bonnes raisons sans en connaître les détails? Face à l adoption rapide d architectures collaboratives axées sur les services qui sont par leur nature fondamentalement ouvertes et interopérables, il est impératif que les entreprises échangent et protègent leur information conformément aux lois en vigueur car elles entrent en contact avec un monde de plus en plus vaste de personnes, d entreprises et de pouvoirs publics. La conclusion finale est sans détour : le CAG est indispensable à chaque organisation, qu elle soit publique, commerciale ou à but non lucratif, qui collecte et échange de l information et qui entend se conformer aux lois et règlements en vigueur et aux politiques qui en découlent. En choisissant le CAG comme assise de leur stratégie d'échange d information, les entreprises peuvent échanger l information au-delà des frontières organisationnelles et des autorités, conscientes qu elles le font en totale conformité avec la loi, protégeant ainsi leurs intérêts et la confidentialité des parties intéressées et réduisant les risques liés la nonconformité et à la responsabilité légale. À propos de CGI Fondée en 1976, CGI est un leader de classe mondiale de services en technologies de l'information (TI) et de processus d affaires. Grâce à notre expertise axée sur les services financiers, pouvoirs publics, soins de santé, télécommunications et services publics, la fabrication, le commerce de détail et la distribution, nous offrons une gamme complète de services tels que l intégration de systèmes, le conseil stratégique, les solutions d affaires et une gestion complète des TI et des fonctions d affaires. S appuyant sur son expérience de longue date à l échelle mondiale et sur une solide situation financière, CGI présente une feuille de route élogieuse sur la livraison ponctuelle dans les limites budgétaires et un rendement de grande valeur qui ne défaillit pas. Fermement implantés dans des processus de qualité et de gestion, nous visons l'atteinte sans compromis des objectifs de nos clients en tant que partenaire responsable, souple et objectif. Pour en savoir plus sur CGI et sur l aide qu elle peut vous offrir, communiquez avec votre gestionnaire de compte CGI ou visitez pour trouver le bureau CGI de votre région. Vous trouverez de plus amples renseignements sur CGI sur le site 13