La conformité au Cadre global du MSSS, qui entrera en vigueur à l’automne, nécessite de satisfaire plusieurs exigences au chapitre de la sécurité.
Au cours des dernières années, le ministère de la Santé et des Services sociaux (MSSS) a procédé à une révision en profondeur des mesures de sécurité entourant l’infrastructure technologique de ses établissements. Ces efforts ont débouché, en 2002, sur la publication du Cadre global de gestion des actifs informationnels (CGGAI), qui définit les éléments essentiels de la politique de sécurité à mettre en place d’ici l’automne 2005.
En fonction du Cadre global, chaque établissement du réseau de la santé devra adopter, par l’entremise de son conseil d’administration, sa propre politique de sécurité, ainsi qu’un cadre de gestion permettant de l’actualiser. Les aspects reliés au Cadre global étant d’ordre humain, organisationnel, juridique et technique, les établissements devront réaliser une analyse de vulnérabilité, puis produire un plan directeur précisant les mesures à prendre pour corriger les faiblesses qui auront été décelées et diminuer les risques et les menaces qui y sont associés.
Afin de définir leur plan directeur, les établissements ont à identifier et à classifier leurs actifs informationnels et leurs détenteurs, en valeur et en sensibilité. La sécurité s’appuie sur la technologie, mais elle est d’abord et avant tout un processus, d’où l’importance de connaître ce que l’on souhaite protéger.
Dans un premier temps, il importe que les établissements mettent sur pied un comité chargé d’établir l’état de la situation. Pour être pleinement efficace, le comité sera chapeauté par le plus haut dirigeant de l’organisme qui aura l’ultime responsabilité en matière de sécurité. Le comité devra également être constitué de la direction des ressources informationnelles (DRI) et comprendre quatre autres membres provenant respectivement de la haute direction, des ressources humaines, des soins infirmiers et du corps médical. Le représentant d’une firme externe pourrait servir de facilitateur.
Le comité assumera la responsabilité de coordonner l’analyse de vulnérabilité et l’évaluation des résultats, afin de brosser un tableau précis de l’état de la sécurité informationnelle au sein de l’établissement. En bout de piste, le comité accouchera d’un plan d’action établissant les priorités parmi les tâches à effectuer. C’est lui qui devra mettre en oeuvre les mesures visant à protéger les actifs, selon la classification qui en aura été faite, à colmater les brèches et à déployer les technologies pertinentes à cet effet.
Revue technique exhaustive
La première démarche vers l’atteinte de ces objectifs consiste à évaluer les systèmes informatiques existants, de façon à repérer les lacunes par rapport aux critères de sécurité indiqués dans le Cadre global. Les conditions générales entourant l’utilisation de ces systèmes devront être examinées, notamment : comment sont gérés les changements ? Doit-on utiliser des mots de passe pour accéder aux systèmes ? Les rustines et les mises à niveau disponibles sont-elles appliquées efficacement ? Les systèmes sont-ils protégés par des antivirus ? Leur accès se limite-t-il à un groupe restreint d’utilisateurs ?
À cet égard, l’informatique mobile ou externe ne peut pas être négligée : les blocs-notes utilisés par les employés à la maison ou lors de déplacements sont-ils munis de pare-feu ou d’une méthode d’authentification forte ? Qu’en est-il des ordinateurs des télétravailleurs, le cas échéant ?
En fait, l’examen des ressources doit se faire en priorité sur les postes de travail, les serveurs, les applications et les réseaux. Il est suggéré de désigner, au sein du comité, un champion de la sécurité, qui coordonnera l’ensemble des évaluations et des enquêtes nécessaires. Une fois celles-ci achevées, l’établissement saura quel travail d’ordre technique doit être accompli afin de se conformer au Cadre global, et à quel coût.
Normalement, l’analyse de la situation et l’examen des systèmes devraient pouvoir être réalisés dans le cadre budgétaire prévu par les établissements. Par contre, la mise en oeuvre de nouvelles technologies, la mise à niveau de l’infrastructure existante et les services professionnels qui y sont associés nécessiteront sans doute des dépenses extrabudgétaires. Ces changements matériels et logiciels constituent la troisième étape des mesures à prendre pour se conformer à la politique de sécurité prescrite par le ministère. À cet égard, des changements fondamentaux et des investissements importants sont à prévoir dans beaucoup d’établissements.
Corrections à apporter
Les observations faites dans l’ensemble du réseau permettent de dégager des faiblesses assez généralisées en matière de sécurité informatique. L’ampleur des corrections à apporter variera d’un établissement à un autre, en fonction de l’état de la situation et des budgets disponibles.
La première de ces faiblesses porte sur les réseaux en place : une modernisation importante s’impose, grâce à laquelle on pourra isoler certaines parties des réseaux, que l’on protégera à l’aide de pare-feu. Cette technique permet de limiter à une zone restreinte les dégâts causés par une brèche dans la sécurité.
Les méthodes d’accès aux systèmes et aux applications représentent un autre volet où des changements substantiels sont à envisager. Étant donné l’utilisation éventuelle de dossiers électroniques intégrés contenant l’ensemble des informations pertinentes sur les patients, projet qui progresse rapidement, les établissements n’auront d’autre choix que de protéger de façon très étanche les multiples accès à ces données ultraconfidentielles. À cette fin, ils doivent instaurer des méthodes d’authentification hautement efficaces, au premier rang desquelles on retrouve la biométrie et les variantes de systèmes d’authentification forte.
Par ailleurs, une pratique très répandue dans le secteur de la santé consiste à effectuer autant de sauvegardes qu’il existe de serveurs et d’applications, ou presque. Cette façon de faire engendre non seulement des coûts d’exploitation, de gestion, de matériel et de logiciels particulièrement élevés, mais elle accroît le risque d’erreur en raison de la multiplication des manipulations. De plus, la récupération des données s’en trouve complexifiée, car qui dit sauvegarde, dit récupération. Finalement, cette méthode met inutilement les données à risque, ce que le ministère souhaite justement éviter avec le Cadre global.
Pour corriger la situation, les établissements de santé peuvent mettre à jour leurs infrastructures de façon à centraliser les données et à procéder à des sauvegardes générales. Une façon d’y arriver serait d’avoir recours aux entrepôts de données qui, à certains endroits, ont déjà été mis en place afin de stocker les images numériques utilisées par les systèmes PACS. Cette infrastructure pourrait également servir aux besoins de la sauvegarde et permettre aux établissements d’éliminer la segmentation actuelle.
Une autre lacune caractérisant de nombreux établissements : l’absence d’une disponibilité élevée des systèmes. Pour y remédier, il est nécessaire de les mettre en grappe, de manière à ce qu’ils demeurent disponibles en cas de bris matériel. Quant aux applications et aux données, on doit pouvoir en utiliser une copie à partir d’autres locaux, dans l’éventualité où un sinistre, ou tout autre raison, empêcherait les utilisateurs d’accéder à leur lieu de travail habituel.
Voilà donc un aperçu des travaux qui, dans l’ensemble, devront être réalisés afin de se conformer aux exigences du Cadre global. Comme la tâche à accomplir est grande, il devient d’autant plus urgent de l’entreprendre. Puisqu’il est généralement impossible de procéder en bloc aux changements nécessaires, on doit adopter une méthode de travail progressive. À cette fin, il est primordial de planifier soigneusement ses interventions, de façon à pouvoir les faire au rythme de ses possibilités.
Si un conseil doit être donné en matière de sécurité, il s’agit de toujours prévoir les éléments de sécurité au début de tout projet et de bien les intégrer. Ceci contribue grandement à minimiser les dépenses et les pertes de productivité engendrées par la reprise de travaux importants.