L informatisation des groupes de médecine de famille

L informatisation des groupes de médecine de famille Exigences informatiques 5 e version Mise à jour du document : Décembre 2014 Un projet du : Ministère de la Santé et des Services sociaux

Table des matières 1. INTRODUCTION... 2 2. ACRONYMES... 3 3. DÉFINITIONS... 4 4. CONTEXTE... 6 5. INTERPRÉTATION DES EXIGENCES INFORMATIQUES... 7 6. LANGUE D USAGE... 7 7. EXIGENCES INFORMATIQUES... 8 7.1 ATTRIBUTION DES POSTES... 8 7.2 VÉRIFICATION DES EXIGENCES ET AVIS DE CONFORMITÉ... 8 7.3 EXIGENCES CONCERNANT LES RESPONSABILITÉS ET L ENREGISTREMENT DES CSA... 9 7.4 EXIGENCES CONCERNANT LES ÉQUIPEMENTS... 11 7.5 EXIGENCES CONCERNANT LA RÉSEAUTIQUE ET LES LIENS DE TÉLÉCOMMUNICATION... 14 7.6 EXIGENCES CONCERNANT LES APPLICATIONS ET SERVICES INFORMATIQUES... 16 7.7 EXIGENCES CONCERNANT LA SÉCURITÉ DE L INFORMATION... 18 7.8 EXIGENCES PARTICULIÈRES CONCERNANT LES GMF DÉSIRANT OPTER POUR UNE SOLUTION D HÉBERGEMENT EXTERNE... 22 7.9 LISTE DE RÉFÉRENCES... 25 ANNEXE 1 : CIRCULAIRE 2012-027... 26 Ministère de la Santé et des Services sociaux Page 1

1. Introduction L objet de ce document est de présenter les exigences qui tiennent compte de l interopérabilité des solutions cliniques pour l informatisation des GMF mentionnées dans la convention signée entre les GMF et les agences. Les mises à jour de ce document se feront à différents moments selon l évolution des orientations gouvernementales et des technologies. La version à jour se trouve sur le site suivant : http://www.sogique.qc.ca/familles-de-services/actifs-informationnels/informatisationdes-gmf.aspx Ministère de la Santé et des Services sociaux Page 2

2. Acronymes Acronymes Description Agence Agence de la santé et des services sociaux CSA Centre de services autorisés CSSS Centre de santé et de services sociaux DGTI Direction générale des technologies de l information (MSSS) DMÉ Dossier médical électronique DSQ Dossier santé du Québec ESR Équipe suprarégionale FAI Fournisseur d accès Internet GMF Groupe de médecine de famille MSSS Ministère de la Santé et des Services sociaux PQADMÉ Programme québécois d adoption des dossiers médicaux électroniques RITM Réseau intégré de télécommunications multimédia RSSS Réseau de la santé et des services sociaux RTSS Réseau de télécommunication sociosanitaire SQIM Système québécois d information sur les médicaments TCR Technocentre régional UMF Unité de médecine de famille UPS Système d'alimentation sans coupure (Uninterruptible power supply) Ministère de la Santé et des Services sociaux Page 3

3. Définitions Acquisition Processus par lequel un GMF prend possession de ses équipements informatiques. Il peut s agir d un achat, d une location, d une combinaison des deux, etc. CSA (Centre de services autorisés) Ressource offrant aux GMF un service de première ligne pour le soutien et l entretien des systèmes informatiques. Le CSA peut aussi être le fournisseur d équipements informatiques. CSA privé Ressource offrant aux GMF un service de première ligne pour le soutien et l entretien des parcs informatiques indépendant du RSSS. CSA public Ressource, tels un CSSS ou son délégué, offrant aux GMF un service de première ligne pour le soutien et l entretien des parcs informatiques à l intérieur du domaine de confiance du RTSS/RITM telle un CSSS ou son délégué. Équipe suprarégionale Sous la gouverne du Ministère, une équipe est mise à la disposition du GMF pour l accompagner dans son informatisation tout au long de la durée de sa convention. Exigences informatiques (présent document) Liste de critères minimalement exigés dans l informatisation des GMF afin de favoriser un accès sécuritaire aux informations disponibles dans le réseau de la santé et des services sociaux (RSSS) et de correspondre aux orientations émises par le Ministère. GMF multisites Groupe de médecine de famille constitué de plusieurs sites. Hébergement externe Fournisseur de services d hébergement pour les GMF. Le fournisseur d hébergement peut être un fournisseur privé ou public. Ministère de la Santé et des Services sociaux Page 4

Intervenants GMF Personnes ayant une fonction reconnue dans le GMF : médecin GMF, infirmière GMF, technicien en administration GMF, secrétaire GMF et autres. Passerelle de la solution FAI Équipement de télécommunication fourni au GMF 1. Site privé Une installation ne possédant pas de numéro d établissement (ex. : GMF privé, clinique privée, campus clinique, etc.). Site public Une installation possédant un numéro d établissement (ex. : CLSC). Assistance à distance GMF Connexion d un poste d un fournisseur vers un équipement du GMF. Vérification Processus permettant d assurer le respect des exigences informatiques et d éviter des incidents informatiques. Il porte sur l ensemble du parc informatique branché sur le réseau du GMF qui est connecté au RTSS/RITM. 1 À la date de publication de ce document, le produit offert est un appareil de la compagnie Juniper modèle SSG5 ou SRX100.. Ministère de la Santé et des Services sociaux Page 5

4. Contexte Dans le cas des GMF en sites privés, des exigences spécifiques sont associées à leur informatisation. Ces exigences sont en lien avec la Loi sur la protection des renseignements personnels dans le secteur privé, les règlements sur la tenue des dossiers dans les cabinets et les bureaux de médecins et avec la protection du RTSS/RITM et de l information mise à leur disposition par les établissements ainsi que par le MSSS. En offrant aux GMF une porte d accès au RTSS/RITM et à l information y étant entreposée, le MSSS doit s assurer du respect de certaines exigences de sécurité, ceci afin de minimiser les risques à la disponibilité du RTSS/RITM et à la confidentialité et l intégrité de l information sur le RTSS/RITM. Du fait qu ils sont situés à même les établissements du réseau, les GMF dans les sites publics sont tenus de se conformer au Cadre global de gestion des actifs informationnels Volet sécurité, ainsi qu aux politiques et directives de ces établissements. Sur le plan de la sécurité, les principaux risques identifiés sont : Risques pouvant affecter le RTSS/RITM ou les données accessibles par son biais Propagation de virus et autres menaces Déni de service RTSS/RITM Intrusion RTSS/RITM Configuration réseau non conforme Introduction d un virus, cheval de Troie, ver, ou toute autre menace dans le RTSS/RITM par le biais des équipements sous la responsabilité du GMF. D'une manière générale, attaque lancée à partir des infrastructures d un GMF et qui vise à rendre les services du RTSS/RITM incapables de répondre aux requêtes de ses utilisateurs. Le fait pour une personne (en général malveillante) d accéder au RTSS/RITM et aux actifs du réseau alors qu elle n y est pas autorisée, et ce, à partir des équipements du GMF. Un réseau sans fil mal configuré ou une passerelle réseau non sécurisée permettant à une personne à l extérieur du GMF d accéder au réseau du GMF et, par la suite, au RTSS/RITM et aux actifs du réseau. Ministère de la Santé et des Services sociaux Page 6

5. Interprétation des exigences informatiques Les exigences présentées dans ce document représentent une valeur minimale de tout ce qui peut être déployé dans un GMF, incluant tous les équipements privés et subventionnés s ils sont branchés sur le réseau interne du GMF qui est connecté au RTSS/RITM. 6. Langue d usage Les travailleuses et travailleurs ont le droit d'exercer leurs activités en français. Tous les employeurs du Québec sont tenus de respecter ce droit fondamental. Ceux-ci doivent donc rédiger en français les communications qui s'adressent à leur personnel. La loi ne prévoit cependant pas que, dans les entreprises employant moins de cinquante (50) personnes au Québec, les appareils, machines et équipements mis à la disposition du personnel doivent comporter des indications en français. Toutefois, les entreprises qui emploient cinquante (50) personnes ou plus au Québec sont assujetties à un processus de francisation (Charte, article 141). Celui-ci vise la généralisation de l'utilisation du français à tous les niveaux de l'entreprise et comporte, entre autres éléments, la responsabilité de mettre à la disposition du personnel des outils de travail en français ainsi que celle d'utiliser le français dans les technologies de l'information. Ainsi, un ordinateur ou un logiciel est un outil de travail comme un autre, fourni aux membres du personnel à la discrétion de l'employeur, au même titre qu'un photocopieur, un appareil ou un équipement quelconque. Dans une entreprise qui a cinquante (50) employés ou plus, l'employeur est tenu de mettre à la disposition de son personnel la version française de tout logiciel d'utilisation courante, que ce logiciel soit acheté dans le commerce ou qu'il s'agisse d'une application maison. Certains employés peuvent exprimer une préférence pour la version anglaise, si l'employeur est d'accord pour la mettre à leur disposition, mais ces choix individuels ne doivent pas compromettre la généralisation de l'usage du français dans l'entreprise; en pratique, l'office de la langue française du Québec (OLFQ) demande que la version française soit accessible sur tous les postes de travail en premier, ou par défaut. Ces entreprises doivent aussi utiliser le français dans leurs documents de travail, notamment dans leurs manuels et leurs catalogues. Ministère de la Santé et des Services sociaux Page 7

7. Exigences informatiques 7.1 Attribution des postes Lors de l accréditation ou du renouvellement, le GMF doit respecter les règles d attribution des postes prévues aux annexes III et IV de la convention qu il a signée avec l Agence. Ainsi, ces règles d attribution précisent que le GMF a la responsabilité de son informatisation pour laquelle il reçoit une aide sous forme de subvention, à condition de doter le personnel supplémentaire autorisé à l accréditation du GMF (infirmières et personnel administratif (secrétaire et/ou technicien en administration)) de postes informatiques. De plus, chaque site reconnu d un GMF devra avoir au moins un (1) poste informatique et un lien de télécommunication. Une demande de dérogation à cette règle pourra être considérée en tenant compte d un contexte favorable ou non à l informatisation d un site. 7.2 Vérification des exigences et avis de conformité Le GMF doit permettre au mandataire du MSSS de vérifier le respect des présentes exigences informatiques. Cette vérification peut se faire de différentes façons : Physiquement : Il s agit de vérifier sur place le respect des exigences et le contrôle de conformité couvre toute l infrastructure technologique du GMF; Virtuellement : Cette vérification se fait à distance et elle est surtout axée sur les équipements de télécommunication accessibles à distance, les applications et leurs mises à jour. Une première vérification est primordiale pour protéger l intégrité des données du réseau. À la suite de cette vérification, un avis de conformité est émis par l équipe suprarégionale afin de permettre le remboursement des dépenses informatiques. Durant la période d accréditation, d autres vérifications ou audits seront faits selon une certaine périodicité. Par contre, en cas de changement ou de mise en place de nouvelles technologies dans l'infrastructure (réseau sans fil, virtualisation, hébergement externe des serveurs et autres), ou l'ajout de site dans le GMF, il y aura systématiquement un nouveau contrôle pour vérifier l'infrastructure sans attendre le prochain contrôle périodique de conformité. Ministère de la Santé et des Services sociaux Page 8

7.3 Exigences concernant les responsabilités et l enregistrement des CSA Un GMF doit choisir un Centre de services autorisé (CSA) qui lui offrira un service de première ligne pour le soutien et l entretien des parcs informatiques. Son CSA peut être une firme privée, une ressource indépendante en informatique, un établissement (CSSS et autres). Dans ce dernier cas, cela peut inclure un sous-traitant de l établissement. Cependant, un établissement ne peut offrir à des GMF en site privé : des équipements ou applications aux prix négociés pour les établissements du RSSS; l utilisation de ses équipements incluant l infrastructure de télécommunication du RTSS/RITM. L établissement devra offrir une infrastructure technologique indépendante dédiée uniquement aux GMF. Le GMF doit s'assurer que le CSA est enregistré auprès du MSSS. À cet effet, le CSA doit démontrer qu il répond aux exigences suivantes directement ou par des ententes formelles avec des ressources compétentes. Un CSA demeure enregistré pour une période de (vingt-quatre) 24 mois. Après cette période, une demande de réenregistrement du CSA devra être soumise au MSSS. Ministère de la Santé et des Services sociaux Page 9

Exigences obligatoires pour l enregistrement : Certification Microsoft Certification Linux Certification technologique de virtualisation (VMware, Citrix, Sun et autre) Connaissance Lotus Notes Reconnaissance technique en informatique Soutien de première ligne Le premier niveau d escalade fonctionnelle doit compter une ressource détenant un titre reconnu par Microsoft sur les compétences professionnelles de gestion de serveurs Windows (MCSE, MCITP ou la réussite d un des examens reconnus mentionnés sur le formulaire inclus dans la procédure d enregistrement d un CSA). Le premier niveau d escalade fonctionnelle doit compter une ressource détenant un titre émis par un organisme permettant de reconnaître les compétences professionnelles de gestion de serveurs Linux (LPCI-1, Linux+, CLP, RHCE ou la réussite d un des examens reconnus mentionnés sur le formulaire inclus dans la procédure d enregistrement d un CSA). Cette exigence est obligatoire si le CSA doit administrer des serveurs Linux. Ce critère est obligatoire si le CSA offre une solution de virtualisation. Il peut s agir d un premier niveau d escalade fonctionnelle. Démontrer au moins un an d expérience dans l installation et le soutien du client en Lotus Notes version 5 ou plus. Le premier niveau d escalade fonctionnelle doit compter une ressource détenant un DEC en informatique. Le CSA doit démontrer qu il offre minimalement un système de réponses de première ligne avec un seul contact pour être rejoint; Le CSA doit déposer son processus d escalade des incidents (présenter une grille d escalade). Connaissance générale en informatique Mises à jour Le CSA possède au moins trois années d expérience en gestion de réseaux locaux comportant au moins dix postes de travail et un serveur. Il doit fournir les références. Le CSA signe un engagement à effectuer les mises à jour signalées par le MSSS et selon les directives de celle-ci. Ministère de la Santé et des Services sociaux Page 10

7.4 Exigences concernant les équipements Les exigences qui suivent s appliquent à tout équipement GMF en sites privés. Serveurs, ordinateurs de table, portables Les postes informatiques (ordinateurs de table ou portables) et serveurs utilisés en GMF doivent répondre aux exigences suivantes : Ordinateurs de table et portables - poste lourd Par «poste lourd», on entend un ordinateur de table ou portable sur lequel est directement installé le système d exploitation. Les systèmes d exploitation permis sont les produits de Microsoft uniquement afin d assurer une compatibilité avec les produits utilisés pour se brancher au RSSS. Ces systèmes d exploitation installés sur les ordinateurs doivent être supportés par Microsoft. On peut vérifier les versions supportées sur le site de Microsoft. Les versions bêta ou les versions dédiées aux particuliers sont interdites (version de type «home» ou «familiale»). Autrement dit, seules les versions «professionnelles» ou «entreprises» sont autorisées. Les ordinateurs possédant un système d exploitation autre que Microsoft doivent posséder un antivirus à jour et héberger une machine virtuelle répondant aux exigences informatiques. Ordinateurs de table et portables poste léger Par «poste léger», on entend un ordinateur de table, un portable ou un client léger sur lequel est installé un système d exploitation qui permet la virtualisation d un poste de travail. Ce système d exploitation n a que pour fonction d assurer la prise en charge du clavier, de la souris, de l affichage et des communications avec un serveur offrant un environnement virtuel de postes de travail. Ces postes de travail virtuels devront répondre aux mêmes exigences que les postes lourds. Tous les équipements intégrés dans le réseau du GMF ayant la possibilité d avoir une connexion filaire comme une connexion sans fil ne doivent pas être connectés sur deux réseaux différents. Lorsque cela risque d être le cas, la connexion réseau non utilisée pour le réseau principal GMF doit être désactivée. Serveurs Les systèmes d exploitation autorisés sont les produits de Microsoft et les Ministère de la Santé et des Services sociaux Page 11

systèmes d exploitation s appuyant sur le noyau Linux. Les systèmes d exploitation Microsoft installés sur les serveurs doivent être supportés par Microsoft. On peut vérifier les versions supportées sur le site de Microsoft. Les systèmes d exploitation s appuyant sur le noyau Linux doivent être supportés par une communauté du logiciel libre ou entreprise afin d assurer un support du produit incluant les mises à jour. Appareils mobiles Les appareils mobiles utilisés en GMF doivent répondre aux exigences suivantes : Les équipements mobiles désirant faire usage de ressources informatiques situées dans le réseau du GMF doivent être en mesure de se connecter à un réseau sans fil assujetti à la directive de sécurité MSSS03-003; Une vérification des nouvelles versions de l'application de mises à jour de l'équipement mobile (exemple : itunes) doit être effectuée régulièrement (une fois par mois au minimum). Si une mise à jour est disponible lors de cette vérification, elle devra être installée sur l'ordinateur; Une vérification des nouvelles versions du système d'exploitation (par exemple à partir des outils fournis par le manufacturier tel que itunes) pour l'équipement mobile doit être effectuée régulièrement (une fois par mois au minimum). Si une mise à jour est disponible lors de cette vérification, elle devra être installée sur cet équipement. Cette procédure permet de corriger des vulnérabilités de sécurité; L'équipement mobile ne doit pas être débloqué («jailbreaking» ou «rooting» interdits); Les équipements mobiles capables de se connecter sur le réseau cellulaire peuvent se connecter au réseau sans fil du GMF sous condition que la liaison «data» cellulaire soit désactivée, ceci afin d'éviter un accès au réseau GMF par une autre porte («backdoor») que le lien FAI; Pour les plateformes pour lesquelles il existe une solution antivirus, l'utilisation d'une telle solution est obligatoire; Pour les plateformes permettant l'intégration à un domaine Active Directory, l appareil doit être joint au domaine et les services d identification et d'authentification doivent être activés; Le verrouillage automatique de l'écran, avec mot de passe ou NIP après une période d'inactivité, doit être conforme aux exigences pour la sécurité de l'information appliquées aux équipements du GMF. Ministère de la Santé et des Services sociaux Page 12

Système d'alimentation sans coupure - UPS La passerelle de la solution FAI, installée dans chacun des sites, doit être soutenue électriquement par un UPS de capacité suffisante pour prévenir les fluctuations de courant (surtension et sous-tension). Imprimantes Chaque site devra avoir au moins une imprimante principale répondant à ce critère : Au moins une imprimante installée en réseau de manière à permettre à tous les ordinateurs d y imprimer des documents au besoin. Le partage logique d une imprimante branchée localement convient. Ces imprimantes peuvent donc offrir plusieurs fonctions (numérisation, télécopie, etc.) pourvu que ce critère de base soit respecté. Les autres imprimantes dans le site d un GMF, notamment les imprimantes individuelles, ne sont pas tenues de respecter ces critères. Imprimante sans fil : ces imprimantes doivent répondre aux exigences de sécurité pour les réseaux sans fil applicables aux GMF, comme définies dans la directive MSSS03-003. Numériseurs Un numériseur («scanner» en anglais) est un appareil permettant de photographier un document présenté sur un support papier et de transférer le résultat dans un document numérique (informatique) à l aide de logiciels. C est donc un appareil qui permet d obtenir une photocopie numérisée d un document. Les numériseurs ne sont pas obligatoires. Le numériseur ne doit pas utiliser la bande passante du RTSS/RITM s il est situé en dehors du domaine de confiance. Commutateur Un commutateur est un équipement de réseau qui a pour fonction d'établir d'un point à un autre les connexions nécessaires à l'acheminement des signaux. Les points suivants sont conditionnels à la conformité et il n est pas possible de déroger à une de ces exigences : Chaque site GMF doit posséder au moins un commutateur qui doit être gérable et permettre la segmentation. Les routeurs et serveurs doivent être branchés directement sur un commutateur gérable et permettant la segmentation. Ministère de la Santé et des Services sociaux Page 13

Les commutateurs de cinq (5) ports et moins peuvent ne pas être gérables ou permettre la segmentation. Les mots de passe doivent contenir au moins quatorze (14) caractères contenant des lettres minuscules, majuscules, chiffres et des caractères spéciaux. Il est de la responsabilité du CSA d installer les mises à jour de sécurité («firmwares»). Lorsque possible, la configuration standard des commutateurs de plus de cinq (5) ports, doit être changée. Le compte utilisé doit être différent de «root, administrateur ou admin». Il est possible de segmenter les commutateurs. Les configurations doivent répondre au standard IEEE 802.1Q. Tout segment en dehors de l adressage IP du réseau principal du GMF pourra partager le lien Internet du GMF uniquement par une autre interface du routeur Juniper. Infrastructure hôte d un environnement virtuel local Les mots de passe des équipements de gestion hôtes doivent contenir au moins quatorze (14) caractères contenant des lettres minuscules, majuscules, chiffres et des caractères spéciaux; Il est de la responsabilité des CSA d appliquer les mises à jour de sécurité concernant les équipements et applications hôtes. 7.5 Exigences concernant la réseautique et les liens de télécommunication Les exigences qui suivent s appliquent à tout équipement en GMF en site privé. Câblage Le GMF doit utiliser le câblage lui permettant de supporter le réseau de télécommunication. À ce jour, le câblage est de catégorie 5 ou plus récente. Liens de télécommunication Les exigences pour la télécommunication sont : Un lien FAI avec une adresse IP fixe est obligatoire par site privé informatisé. Chaque site informatisé d un GMF doit être relié au RTSS/RITM par le biais d un tunnel VPN à l aide de la passerelle de la solution FAI fournie et configurée par le MSSS. Ministère de la Santé et des Services sociaux Page 14

Un jeton par GMF privé est obligatoire. Il devrait être attitré à l intervenant qui doit compléter le module de garde, accéder à Info-Santé ou recevoir les résultats de laboratoire. Les autres intervenants GMF doivent avoir un jeton s ils répondent «OUI» à l une des questions suivantes : 1. Avez-vous besoin d accéder à l intranet du MSSS? 2. Avez-vous besoin d accéder à un actif informationnel d un établissement de la santé? La même règle s applique pour les intervenants oeuvrant dans les GMF publics ou mixtes. L accès à distance aux applications devra être compatible avec la solution de téléaccès fourni par le MSSS. Si le GMF souhaite avoir un lien de redondance, le GMF devra s assurer de la compatibilité et de la faisabilité avec la solution FAI du MSSS. Si le GMF souhaite avoir une solution sans fil, cette dernière doit être configurée selon les exigences de la directive MSSS03-003 «Directive ministérielle de sécurité liée à l utilisation des terminaux sans fil». Si un GMF désire transmettre des informations à des entités externes à son réseau, une passerelle de sécurité unidirectionnelle du GMF vers l extérieur doit être installée dans les GMF en site privé. De plus, il doit respecter les règles suivantes : Le trafic entre le GMF et l entité externe doit être unidirectionnel. Donc, toutes les connexions initiées à partir du réseau de l entité externe vers le réseau du GMF doivent être interdites et bloquées. La passerelle doit être hébergée dans un lieu protégé sans accès du public sous le contrôle du GMF ou de son CSA. La connexion à la console de gestion de la passerelle se fait à partir de postes de travail connectés au réseau du GMF uniquement. Lorsque possible, la configuration standard de la passerelle doit être changée en utilisant des comptes individuels pour y accéder. Ces comptes doivent être différents de «root, administrateur ou admin» et doivent utiliser un mot de passe d au moins quatorze (14) caractères contenant des lettres minuscules, majuscules, chiffres et/ou des caractères spéciaux. La passerelle doit avoir au minimum deux (2) interfaces : o o o Une interface pour le réseau à protéger (réseau GMF); Une interface pour le réseau externe; Les interfaces non utilisées doivent être désactivées. Ministère de la Santé et des Services sociaux Page 15

7.6 Exigences concernant les applications et services informatiques Les logiciels doivent répondre minimalement aux exigences suivantes : Navigateur Bureautique Lotus Notes Résultats de laboratoires Un navigateur Internet doit être installé sur chaque poste de travail. Le produit reconnu est Internet Explorer de Microsoft. On peut vérifier les versions supportées sur le site de Microsoft. Tout autre produit offrant le service de navigation peut être installé en autant qu il soit supporté. Il est de la responsabilité du GMF d appliquer les dernières mises à jour pour se prémunir contre les incidents de sécurité. Le navigateur installé doit permettre l utilisation du visualiseur DSQ si le GMF requiert un accès au DSQ par cet outil. Les versions reconnues mais non obligatoires sont la Suite Office de Microsoft. Les versions doivent être supportées par le manufacturier. Les mises à jour et l installation des correctifs de sécurité doivent être effectuées rigoureusement. Tout autre produit offrant des outils de bureautique peut être installé en autant qu il soit supporté. Il est de la responsabilité du GMF d appliquer les dernières mises à jour pour se prémunir contre les incidents de sécurité. Le client Lotus Notes est obligatoire sur au moins un poste par site. Les infirmières, étant employées d un CSSS, doivent avoir un identifiant Notes (ID). Minimalement, le médecin responsable, les techniciens en administration et les secrétaires subventionnées doivent aussi avoir un ID afin de favoriser une meilleure communication avec le réseau et l utilisation de certaines applications. Selon les solutions retenues par les régions. Client Juniper ou Junos Pulse L installation est obligatoire sur tous les postes que les intervenants possédant un jeton utilisent. DNS Sauvegarde Active Directory Windows Update Java Runtime Client Installer Service Le serveur DNS doit être configuré selon les spécifications du MSSS et des TCR. Une solution de sauvegarde doit être mise en place. Les services d Active Directory doivent être activés et les postes joints au domaine. Ce service doit être activé. Présent sur les postes qui doivent accéder à l application Info- Santé Web (ISW), en tenant compte des plus récents avis de sécurité émis par le MSSS. Ce client es obligatoire pour les postes utilisés par les intervenants possédant un jeton pour accéder au RTSS/RITM. Ministère de la Santé et des Services sociaux Page 16

Raccourci Web PDF Creator Dossier médical électronique Selon les consignes du MSSS. PDF Creator, ou tout autre logiciel pouvant transformer un fichier en PDF, est présent sur les postes qui doivent accéder à l application Info-Santé Web (ISW). Seuls les dossiers médicaux électroniques homologués peuvent être pris en compte dans la subvention utilisée par le GMF. Tous les sites doivent implanter une seule version du même DMÉ à moins d une dérogation de la part du comité paritaire PQADMÉ. Le déploiement de DMÉ en établissement (public) doit se faire en respectant la Circulaire 2012-027 (voir annexe). Visualiseur DSQ Le visualiseur DSQ doit être installé dans les GMF qui le désirent. Ministère de la Santé et des Services sociaux Page 17

7.7 Exigences concernant la sécurité de l information Exigences devant être respectées par les GMF en site public : Respecter les mesures obligatoires du Cadre global de gestion des actifs informationnels Volet sécurité, de même que toutes les orientations, directives, pratiques et mesures de sécurité exigées par l établissement. Exigences devant être respectées par les GMF en site privé : Protection contre les virus et menaces Un logiciel antivirus doit être installé sur tous les postes et serveurs. Le logiciel antivirus doit être mis à jour quotidiennement de façon automatique et permettre la notification d intrusion et de problèmes de mises à jour de signatures virales en temps réel. Une vérification régulière (au moins une fois par semaine) de l état du logiciel antivirus doit être faite afin de s assurer de leur bon fonctionnement. Les cas d infections doivent faire l objet de vérifications au moins une fois par mois. Des mesures préventives ou correctives doivent être appliquées pour les éviter. Les mécanismes de mises à jour des systèmes d exploitation et autres logiciels utilisés pour la navigation Internet doivent être présents et activés. Une vérification mensuelle des mises à jour installées doit être faite sur tous les postes et serveurs. Les avis de sécurité émis par le MSSS doivent être traités dans les délais raisonnables ne dépassant pas un mois selon le niveau de criticité. Protection contre le déni de service RTSS/RITM : Des procédures assurent la qualité et la solidité du processus d authentification des utilisateurs (GPO). Spécifiquement pour les mots de passe de comptes des usagers : changement aux 90 jours, huit (8) caractères incluant des caractères en minuscule et en majuscule, des chiffres ou caractères spéciaux, historiques de cinq (5) mots de passe différents et désactivation automatique après cinq (5) tentatives infructueuses. Le compte doit être réinitialisé par l administrateur réseau. Les mots de passe par défaut sont changés. Les mots de passe des comptes administrateur de domaine de l infrastructure technologique doivent être changés aux 90 jours et avoir au moins huit (8) caractères de long. Le mot de passe doit avoir les caractéristiques suivantes : être composé de caractères en minuscule et en majuscule, des chiffres ou caractères spéciaux et historique de cinq mots de passe différents. Ministère de la Santé et des Services sociaux Page 18

Protection contre les intrusions Réseau sans fil Les mots de passe des comptes administrateurs locaux et des comptes de services de l infrastructure technologique doivent être différents pour chaque composante et avoir au moins quatorze (14) caractères de long. Le mot de passe doit avoir les caractéristiques suivantes : être composé de caractères en minuscule et en majuscule, des chiffres ou caractères spéciaux. Un compte générique ne peut pas être utilisé pour accéder aux actifs informationnels du réseau de la santé, que ce soit fait à l aide du jeton ou d un autre moyen. Cet accès n est possible qu avec un compte nominatif. Après une période d inactivité d au plus une heure, le système doit automatiquement redemander l authentifiant de l utilisateur. Un nombre limité de personnes est autorisé à changer les règles d authentification des utilisateurs. Il existe un contrôle strict de l accès aux fonctions permettant la gestion des règles. Tous les accès au réseau du GMF doivent être journalisés. La journalisation doit également consigner ces renseignements au moment d une intervention liée à l entretien des équipements. Les éléments journalisés doivent permettre d identifier «qui a fait quoi et quand». Minimalement, la journalisation devrait fournir l identifiant, l ouverture et la fermeture de la session, qu il s agisse d échec ou de succès, et la date/heure de chaque action. Une revue périodique des journaux doit être faite pour déceler les accès non autorisés. Les journaux doivent être conservés un (1) an à des fins d audit. Les comptes d utilisateurs qui n ont pas été utilisés depuis au moins un (1) an doivent être désactivés. Les intrusions et autres accès non autorisés doivent être vérifiés. Des mesures préventives ou correctives doivent être appliquées pour les éviter. Les équipements informatiques doivent être placés de façon à éviter toute utilisation non autorisée. S il y a lieu, la mise en place et la gestion d un réseau sans fil doivent se faire conformément à la norme MSSS03-003. Dans le cas de la présence d un réseau hors mission, celui-ci doit être indépendant du réseau principal (GMF) et il ne doit y avoir aucune communication entre les deux segments. Ministère de la Santé et des Services sociaux Page 19

Communication Bluetooth Cartes à puces Systèmes biométriques Plusieurs attaques peuvent être contrées en effectuant régulièrement les mises à jour logicielles des périphériques utilisant la technologie Bluetooth. Placer le périphérique Bluetooth en mode non détectable après les configurations de détection du périphérique. Cette option n ayant pas d impact sur les fonctionnalités de l appareil, celle-ci permet d éviter que d autres personnes puissent se connecter au périphérique. Éviter de coupler son appareil avec des périphériques non connus. Refuser les invitations à coupler un appareil avec un autre équipement. Il est déconseillé de saisir son code NIP au moment où l identité de l émetteur n a pas été identifiée. Désactiver la technologie Bluetooth si celle-ci n est pas utilisée ou si certains équipements médicaux pouvant être affectés sont situés à proximité. Les cartes doivent répondre à la certification FIPS 140-2 de niveau 3 ou EAL5+. Ces cartes doivent utiliser des pilotes natifs de Windows et un algorithme de cryptographie tels que SHA, AES, RSA, DES, 3DES. Il doit y avoir l application Microsoft FIM 2010 et un serveur de clés publiques sécurisé. Les services de certificat Active Directory doivent être activés et configurés. Le PIN relié à la carte à puce doit être composé de cinq (5) caractères. Il doit y avoir un processus de distribution, de révocation et de réattribution des cartes à puce. Un nombre limité de personnes est autorisé à gérer les cartes des utilisateurs (remplacement de NIP, activation/désactivation, etc.). Bien qu elle remplace le fameux mot de passe, la biométrie ne se substitue pas aux règles configurées dans un Active Directory. Le système technologique d identification biométrique est lié et se synchronise avec les informations de l usager dans l Active Directory; lorsque le mot de passe doit être changé aux 90 jours, l usager en est informé et n a pas le choix de le changer. À la prochaine utilisation du système biométrique, il y aura une demande de synchronisation avec le nouveau mot de passe pour pouvoir fonctionner et ouvrir la session. Une attention particulière devra être apportée sur l aspect légal de l utilisation d une telle technologie. L avis de sécurité MSSS04-024 «utilisation de la biométrie» rappelle, entre autres, l environnement juridique qui touche ces systèmes sachant que les Ministère de la Santé et des Services sociaux Page 20

Autres mesures (préalables au branchement RTSS) mesures ou caractéristiques biométriques sont des renseignements personnels puisqu elles concernent un individu et permettent de l identifier. Conformément à l avis de sécurité mentionné ci-haut, pour les accès nécessitant une identification et une authentification forte (ex. : données confidentielles), les moyens biométriques devront être jumelés à un autre moyen technologique (mot de passe, carte de proximité, etc.). Configurations adéquates des services réseau (DNS, AD). Localisation adéquate des commutateurs (local à accès restreint). Localisation adéquate des équipements de télécom (local à accès restreint). Localisation adéquate des serveurs (local à accès restreint). Exigences devant être respectées par les GMF en petit site privé supervisé par un site public : Pour un GMF mixte seulement, on définit un petit site privé comme étant un site ayant un (1) seul intervenant et un (1) seul équipement de type portable. Dans ce genre de situation, il est possible pour les sites privés de déroger aux exigences qui s'appliquent aux sites privés pourvu que le site public prenne sous sa responsabilité le respect des exigences, et ce, selon les règles d un site public incluant la connexion de télécommunication. Exigences devant être respectées par les GMF en petit site privé : Exigences devant être respectées par les GMF pour des petits sites privés. On entend par petits sites trois (3) postes informatiques et moins : Les règles de sécurité demandées dans l ensemble du document doivent être respectées et configurées localement sans dépendance d un domaine (Active directory) d un serveur. Les comptes utilisateurs ne peuvent pas être administrateur local de l ordinateur. Le poste peut ne pas être intégré à un domaine (Active directory). Ministère de la Santé et des Services sociaux Page 21

7.8 Exigences particulières concernant les GMF désirant opter pour une solution d hébergement externe Les GMF désirant opter pour une solution d hébergement externe doivent se conformer à toutes les exigences citées précédemment ainsi qu aux exigences énumérées ci-après. L application des exigences repose sur le principe qu un GMF s appuie sur une entente contractuelle ayant une durée limitée. Il est donc essentiel de pouvoir retirer facilement toute ressource liée à un GMF. Le partage des ressources doit donc être limité. Dans un centre d hébergement externe, seront considérés comme des ressources partageables, les serveurs hôtes supportant un environnement virtuel et l infrastructure de télécommunication, à l exception de la passerelle de la solution FAI fournie à chacun des GMF. Le fournisseur des services d hébergement doit mettre en place une infrastructure technologique dédiée au GMF hébergé. Ceci signifie que l hébergeur doit minimalement mettre en place un annuaire de sécurité (Active Directory) dédié au GMF. Il est interdit de partager le même service d annuaire de sécurité avec plusieurs GMF distincts. Il est interdit de partager les serveurs physiques et virtuels dédiés spécifiquement aux activités d un GMF. Les serveurs utilisés par un GMF ne doivent contenir que les ressources dédiées à ce GMF. Il est possible de partager les serveurs hôtes supportant un environnement virtuel. L infrastructure de virtualisation doit être configurée de façon à assurer un cloisonnement entre les environnements virtuels (mode condo) dédiés à différentes entités partageant le même serveur hôte. Si un hébergeur supporte plusieurs GMF distincts, il est interdit de créer des liens entre les différents domaines ou annuaires de sécurité des GMF. L infrastructure de télécommunication doit offrir un isolement logique entre les GMF. Si un GMF est multisites, les communications peuvent être autorisées et bidirectionnelles entre les sites. De plus, le réseau dédié au GMF chez l hébergeur n est pas considéré comme une entité externe, mais comme faisant partie du réseau du GMF. Dans l éventualité où l hébergeur offrirait une solution de stockage partagée (exemples : SAN, NAS), celui-ci doit s assurer que les données associées à un GMF sont entièrement isolées des données associées à d autres GMF. De plus, l hébergeur doit s assurer que l espace disque logique assigné au GMF n est accessible qu à ce dernier. Advenant le départ du GMF, l espace disque logique devra être effacé en utilisant un logiciel de type Secure Erase. Lorsque l espace disque logique sera complètement effacé, l hébergeur confirmera par écrit que l espace disque logique a été Ministère de la Santé et des Services sociaux Page 22

complètement effacé et que les assignations logiques ont été détruites 2. Le centre d hébergement externe doit être relié au RTSS/RITM par le biais d un tunnel VPN à l aide de la passerelle de la solution FAI fournie et configuré par le MSSS. Chaque site GMF devra être relié au centre d hébergement externe par un tunnel VPN utilisant le protocole IPsec. Les équipements utilisés seront sous la responsabilité du CSA. Le fournisseur doit fournir une architecture détaillée (haut niveau) de la solution globale d hébergement aussi bien physique que virtuelle, faisant apparaître le nom des infrastructures, LUN, routeurs, sommaires des nomenclatures, plan adressage IP (locale, RTSS et gestion) et autres. Les paramètres à observer pour les équipements de télécommunications sont : o o o o o o o Lorsque possible, la configuration standard du routeur doit être changée en utilisant des comptes individuels pour y accéder. Ces comptes doivent être différents de «root, administrateur ou admin». Les mots de passe doivent contenir au moins quatorze (14) caractères contenant des lettres minuscules, majuscules, chiffres et des caractères spéciaux. Il est de la responsabilité du CSA d installer les mises à jour de sécurité concernant les équipements de télécommunication en place. Des tunnels VPN sont présents uniquement pour les sites hébergés du GMF (des GMF) et sont identifiés de manière à les reconnaître. Le Syslog des routeurs doit être conservé durant un (1) an. Identifications des équipements GMF. Il est de la responsabilité du CSA d appliquer les mises à jour applicatives et correctives de sécurité des applications hôtes. La figure suivante présente une architecture de haut niveau pour les GMF en site privé. Cette architecture tient compte des exigences énumérées précédemment. La figure 1 permet de distinguer qu il y a deux (2) domaines de confiance, domaine de confiance du RSSS et domaine de confiance du GMF, qui doivent échanger de l information. Les exigences informatiques viennent encadrer les mécanismes technologiques à mettre en place pour autoriser des échanges entre les domaines de confiance du GMF et du RSSS et, plus spécifiquement, entre le domaine de confiance du GMF et une entité externe. 2 Le document, «Guide de destruction sécuritaire de l information», produit par le Gouvernement du Québec fournit des informations pertinentes sur le sujet. Ministère de la Santé et des Services sociaux Page 23

Figure 1: Architecture de haut niveau pour les GMF en site privé Hébergeurs publics En plus des exigences énumérées précédemment, un hébergeur public ne peut utiliser l infrastructure technologique de l établissement où il est situé (serveurs et équipements de télécommunication) pour héberger des sites privés de GMF. Il doit donc mettre en place un environnement spécifique aux GMF. L hébergeur public devra également s entendre avec le GMF privé pour la mise en place d une infrastructure sécuritaire entre les deux points de connexion. La figure 2 montre une architecture de haut niveau représentant un hébergeur public pour un GMF en site privé. Il est important de noter la séparation distincte entre le RSSS et l hébergeur public. Ce dernier fait maintenant partie du domaine de confiance du GMF et devra répondre aux exigences informatiques des GMF. Ministère de la Santé et des Services sociaux Page 24

Figure 2: Architecture de haut niveau pour un hébergeur public 7.9 Liste de références Autres documents à considérer. Cette liste n est pas exhaustive. Elle présente des références intéressantes qui redirigent vers d autres sources d information. Cadre global de gestion des actifs informationnels Volet sécurité : http://msssa4.msss.gouv.qc.ca/extranet/ri.nsf/49dd266bd183416e852566e2 005c98b6/9c29ee7e5c5d42058525703b00725379?OpenDocument Le site Le portail de la communauté de pratique en sécurité de l'information du réseau de la santé et des services sociaux https://securite.rtss.qc.ca/ Guide de protection des réseaux sans fil : https://securite.rtss.qc.ca/includes/fichier.php?id=210 Protection des périphériques-mémoires amovibles : https://securite.rtss.qc.ca/includes/fichier.php?id=235 Déploiement sécuritaire des imprimantes multifonctions dans le RSSS https://securite.rtss.qc.ca/includes/fichier.php?id=247 Ministère de la Santé et des Services sociaux Page 25

ANNEXE 1 : Circulaire 2012-027 Ministère de la Santé et des Services sociaux Page 26

Ministère de la Santé et des Services sociaux Page 27