L architecture de sécurité, un outil payant pour la gouvernance CQSI 2009 Miser sécurité, c est payant 9 septembre 2009 Version 1.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com
Au programme Ce qu est une architecture de sécurité Bénéfices Structure Conception Volets affaires, données, technologie et application Gouvernance Application de ces concepts chez Info-Santé 811
Pourquoi une architecture de sécurité 1. Formalise une vision, un langage et une structure de principes communs de la sécurité de l information, des processus et des outils supportant les affaires de l organisation 2. Aide à supporter les choix d affaires et aligner les initiatives, les stratégies et les activités de sécurité 3. Démontre l intention de l organisation à l égard de la sécurité de l information, la gestion du risque et la conformité au contexte légal 4. Formalise la gestion de processus et de planification d amélioration continue de la sécurité 5. Contribue à supporter les audits de sécurité et à réduire des actions qui seraient divergentes à la conformité du contexte légal 6. Finalement, les activités de sécurité tactiques et opérationnelles peuvent être vérifiées
Normes et standards Architecture d entreprise Affaires Informations Systèmes Sécurité Technologie Influencent l évolution de l AE La planification stratégique Les meilleures pratiques La veille technologique Les orientations technologiques
Organisation des efforts de réalisation Modèle d architecture d entreprise Architecture d entreprise Tendances de l environnement Objectifs d affaires Identifier les besoins Développer les normes et principes Développer les modèles Conception, développement, implantation, opérations Capacité opérationnelle et organisationnelle Expertise Solutions et technologies Etc. Changements Réduction des écarts Documenter et évaluer l architecture actuelle Documenter et évaluer la capacité opérationnelle et organisationnelle
La structure de l architecture de sécurité Stratégies d affaires Politiques de l entreprise Principes des processus d affaires Modèles d organisation Niveaux Conceptuel Logique Mise en œuvre Modèles d information Modèles techniques Architectures d infrastructure Source : Gartner G00158226 Vue d affaires Vue de l information Vue technologiques
Cadre de référence méthodologique Sécurité de l information ISO 27002 (Points de contrôle) COBIT (Gouvernance) Risque CMMI (Maturité) ITIL (Opération)
Processus logique Plan d action Analyse globale Cadre de référence Points de contrôle Questionnaires Analyse de risques organisationnel Vues par volet AGSIN 4 volets États des lieux Analyse par volet Répondants Validation Réponses Questions Mesures de contrôle de risques
Gouvernance de la SIN dans une organisation
Volet affaires Lien entre les services de systèmes et les clientèles Modèle de domaine de confiance Politique de sécurité Rôles et responsabilités en sécurité Directives et processus de sécurité Cadre de gestion normalisé regroupant le tout
Volet données Regroupement de l information Détenteur de données Modèle de données du domaine de confiance Classification des données du domaine de confiance Cadre de sécurité (registre de nécessité) Accès aux données Journalisation des accès aux données
Volet technologie Regroupement logique et physique des composantes d infrastructures technologiques Modèle de niveau de confiance Modèle d élaboration des interfaces sécuritaires Définition des interfaces sécuritaires Zone de sécurité (publique, échange, privé ) Réseau de communication Infrastructure
Volet applications Applications de sécurité nécessaires pour offrir les fonctions de sécurité Modèle de détenteur d applications Modèle des données des applications Cadre de développement Logiciel Progiciel Plateforme applicative Centrale Client/serveur Web Progiciel
Vision de l architecture cible (5 à 10 ans) Que sera votre organisation: Départs à la retraite Arrivée de la culture de la génération Y Notion Impartition Travail et support à distance Contrôles règlementaires (SOX, PCI etc) La population désire des services électroniques Quelles seront vos technologies : CardSpace, gestion d identité sur Internet Clef USB U3, avec empreintes digitales Convergence IP (un port IP dans presque tout) Virtualisation du poste de travail Virtualisation des serveurs (Passage au monde virtuel )
Application de ces concepts chez Info-Santé 811 Lauréat Octas 2008 Catégorie Les technologies au service de la collectivité 101 employés et plus Refonte Info-Santé et Info-Social : Accès privilégié à l information pour tous les Québécois 24/7 2008 Association des MBA du Québec. Prix tremplin, secteur public
Le projet Équipe de projet ministérielle, juillet 2005 Analyse des besoins, rédaction de l appel d offres, publication de l appel d offres, analyse des propositions des fournisseurs, août 2005 mars 2006 Signature du contrat en mars 2006 Conception d une coquille téléphonique nationale, 3 centrales en sites pilotes, Visite des 12 autres centrales, printemps 2006 - été 2006 Déploiement d une centrale par semaine à l automne 2006, terminé en décembre 2006 Virtualisation, hiver 2007 Déploiement gestion des effectifs, printemps 2007 Fermeture du projet, juin 2007
Constats Info-Santé avant le projet Service très apprécié de la population : 2,4 millions d appels annuellement, 92 % des appelants se conforment aux recommandations des infirmières. Environ 850 000 consultations médicales et visites à l urgence évitées annuellement selon l évaluation de 1999. Difficulté d accessibilité : 25 % des appels perdus. Possibilité d amélioration de la performance: 72 % des appels en mode régional répondus en moins de 4 minutes versus 57 % en mode local. Fort taux de roulement de personnel.
Repenser le rôle et l organisation du service Info-Santé Amélioration des services existants De l accessibilité et de la performance Recherche de solutions pour pallier aux difficultés de recrutement et de rétention du personnel infirmier Réponse aux appels de nature psychosociale Réponse aux appels en lien avec les médicaments Amélioration de la capacité à assurer une continuité des services et une prise en charge des clientèles vulnérables Amélioration de la capacité à soutenir les actions de santé publique ou de sécurité civile lors de situations d urgence
Contexte d affaires L appel téléphonique est une PES Identifié, catalogué, traité, mesuré, enregistré Stabilité sur 10 ans Opérationnel sur 20 ans Capacité Planification d achalandage avec le 811 Évolutivité Arrivée Info-Social, Info-médicament Traitement spécialisé dans le futur Interopérabilité RVI, CTI, reconnaissance vocale, gestion des effectifs Acheminement par compétences, tableau de bord Coût fixe (réseau de la santé) Indépendant du volume d appels
Proposition technologique Système téléphonique Nortel CS 1000 (option 11) Acheminement des appels par compétences Nortel CCMS Reconnaissance vocale Nuance RVI MPS 500 Messagerie vocale Call Pilot CTI IMPRESSARIO Enregistrement des appels Novo Technologies Virtualisation Nortel NCC Tableau de bord IMPRESSARIO, CCMA, GDP Gestion des effectifs IEX TotalView
Environnement technologique Centrale d'appels Info-Santé applications provinciale WEB Affichage temps réel + relevés CCMA + GDP Gestion téléphonique Telephony Manager CTI Impressario Virtualisation NCC Gestion des effectifs IEX Totalview Centrale d'appels Info-Santé Réseau de transmission de données de gestion aiguilleur Base de Données client Oracle Lien informatique Lien voix Centrale d'appels Info-Santé applications régionale WEB Affichage temps réel + relevés + Gestion effectifs Base de Données client Système d'acheminement des appels CCMS Intervenant M3904 Enregistrement Système des appels téléphonique Novo CS 1000 (Option 11C) Messagerie vocale CallPilot RVI MPS-500/ reconnaissance vocale Nuance MH Virtualisation des appels RTPC Appel Info-Santé
Gestion des risques Humain Projet Systémique Entreprise
Gestion des risques Humain Projet "Fast Track " dans le réseau de la santé Projet Systémique Entreprise Échéancier - élection Plus de 10 systèmes inter-reliés Réseau provincial RTSS peu fiable Le 811 ne répond plus
Architecture de sécurité Info Santé 811 Disponibilité Intégrité Confidentialité Affaires Données Technologies Applications
Architecture de sécurité Info Santé 811 Disponibilité Intégrité Confidentialité Très élevé Moyen Faible Affaires Cadre de gestion Éthique Données Protection d accès Paramètre des systèmes Technologies Redondance Cadre de gestion Applications Protection des accès
Facteurs de réussite Expertise de l équipe C est pas la place pour apprendre (junior) Respect de l architecture d affaires C est pas un «trip technologique» Rigueur dans le discours Dit ce qu on fait et fait ce qu on dit Accompagnement rigoureux de chaque client (centrale) Pas de liaison entre fournisseur et client Mais fournisseur-projet-client Gestion par agents de liaison Gestion rigoureuse des risques Agir en amont des DDC
L architecture de sécurité, un outil payant pour la gouvernance Merci pour votre participation Au plaisir Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com