• Sécurité de l'information sur Internet
• Échanges sécuritaires
• Directives
• Pourriel, hameçonnage et logiciels espions
• Orientations gouvernementales en sécurité de l'information numérique
• Authentification des citoyens et des entreprises
• Réseau d'expertise et de vigie

Orientations gouvernementales en sécurité de l'information numérique

• Sécurité de l'information : une priorité gouvernementale
• Enjeux de la sécurité
• Quatre dimensions de la sécurité

La sécurité de l'information : une priorité gouvernementale

Les renseignements détenus par les ministères et organismes doivent être protégés, car les impacts liés aux bris de sécurité sont considérables et peuvent toucher à la capacité de l'organisation à livrer des services essentiels, à la productivité du personnel ainsi qu'au respect de la vie privée.

Ce problème se pose, plus particulièrement, dans le cadre du développement des nouveaux services électroniques qui utilisent les réseaux ouverts, tel Internet. Ces réseaux sont généralement perçus par les utilisateurs comme non sécuritaires ; cette perception se vérifie d'ailleurs dans la réalité par de multiples exemples d'usurpation d'identité, d'intrusion dans les systèmes, de détournement de trafic et d'altération du contenu de sites Internet. La Politique québécoise de l'autoroute de l'information (299 Ko) adoptée par le gouvernement du Québec au printemps 1998, a mis en évidence l'important virage que doit prendre l'administration publique québécoise pour tirer parti des nouvelles technologies de l'information et améliorer la qualité des services et sa productivité. Puisque l'appareil gouvernemental doit recourir de plus en plus aux inforoutes pour la conduite de ses affaires, il doit bâtir un environnement électronique sécuritaire en mettant en place un ensemble de mesures de nature technologique, administrative et juridique susceptibles d'instaurer et d'entretenir un climat de confiance dans les échanges électroniques.

Pour assurer cette confiance, le gouvernement agit particulièrement selon deux axes d'intervention, soit :

• la gestion de la sécurité, en s'appuyant sur la Directive sur la sécurité en vigueur depuis le 1er mai 2006 et sur le plan d'action associé ;
• la sécurisation des échanges électroniques.

Les enjeux de la sécurité

• aux réseaux ouverts (Internet)
• à la prestation électronique de services
• aux services intégrés

Ce qui entraîne :

• des changements profonds
  • aux processus d'affaires
  • aux techniques utilisées pour recueillir, transférer, traiter et stocker l'information
• l'intégration des clients dans nos processus
• une plus grande interdépendance entre les ministères et organismes, les autres Administrations et le secteur privé

Des risques additionnels liés à la sécurité et à la protection de la vie privée :

• Risques que l'on connaît
  • intrusions, dommages physiques, fraudes
  • maintien des services essentiels
• Ceux que l'on découvre
  • conservation de l'information numérique sensible pour des fins juridiques, peu importe les changements de logiciel ou d'équipement

Ce qui implique :

• de gérer stratégiquement la sécurité en :
  • intégrant la gestion de la sécurité dans tout changement aux processus d'affaires
  • assurant la cohérence des mesures de sécurité dans les processus d'affaires interreliés
  • responsabilisant, formant et sensibilisant tous les échelons de l'organisation

Les quatre dimensions de la sécurité

Les différentes dimensions de la sécurité et les aspects et points particuliers qu'elles renferment doivent être considérés par l'ensemble du personnel qui compose l'appareil gouvernemental. Évidemment, les plus touchés sont les individus responsables de la sécurité dans les ministères et organismes de même que les intervenants impliqués dans l'élaboration de toute architecture de sécurité de l'information numérique.

Vous trouverez, dans le tableau ci-dessous, une brève énumération des principaux éléments qui constituent chacune des quatre dimensions de la sécurité :

Dimensions de la sécurité
Dimension JURIDIQUE
Aspects légaux	Lois et règlements nationaux Lois et règlements provinciaux généraux et spécifiques Conventions internationales Contrats et ententes Avis juridiques
Dimension HUMAINE
Sécurité appliquée au personnel	Enquête de sécurité Habilitation sécuritaire Sensibilisation à la sécurité Formation du personnel
Éthique, pratique professionnelle et obligation de rendre compte	Responsabilité de l'organisation Responsabilité des gestionnaires Responsabilité du personnel et des usagers
Dimension ORGANISATIONNELLE
Structure administrative	Politiques, normes, directives, guides et procédures de sécurité Rôles et responsabilités du personnel chargé de la sécurité Catégorisation de l'information Évaluation de vulnérabilité (menaces, risques) Registres et dossiers de sécurité Gestion du consentement Prévention
Sécurité physique et du milieu	Installations principales et auxiliaires des ressources informationnelles Contrôle de l'accès physique Sécurité du matériel
Sécurité des opérations	Administration Contrôle d'accès logique Surveillance et audit Utilisation et gestion des supports Mesures d'urgence, de relève et de continuité
Dimension TECHNOLOGIQUE
Sécurité des logiciels, du matériel, des communications et de l'information de sécurité	Fonctions de sécurité Intégrité Irrévocabilité Identification, authentification Habilitation, contrôle d'accès Confidentialité Disponibilité Surveillance Administration Développement des applications Sélection des applications ou équipements Installation et paramétrisation des applications ou équipements