samedi 22 octobre 2011

Compréhension de la Loi 133 (a)

Depuis son adoption en juin 2011... la loi portant sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement remue les esprits :)

La nouvelle loi porte sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement dans son ensemble (budget, gestion de projet, sécurité de l’information, etc.).
Elle définit des rôles et responsabilités du Détenteur Principale de l’Information à l’échelle gouvernementale qui dépend du Conseil du Trésor à travers lequel, le gouvernement a voté cette loi à l’Assemblée Nationale et s’attend à ce qu’il gère les risques liés à l’information à portée gouvernementale(1)  - indirectement de chaque ministères et organismes - afin de resserre les façons de faire, de mieux gérer et surtout mieux dépenser les sous de l’état(2) afin d’éviter les dépassement de coûts (et par la même occasion les scandales(3), (4), (5)) tels que ceux rappelés depuis quelques temps dans les médias (6), (7). Encore aujourd’hui averc le rapport Duchesneau...
De plus le CT a émis, depuis plus d’une dizaine d’années un ensemble de politiques, de directives et de guides à destination des différents M/O afin de les guider dans leur tâche vis-à-vis de la sécurité de l’information. Ne pouvant attendre, les M/O ont rédigé les leurs...
A noter que l’avènement de cette loi donne aussi le pouvoir au DPI, au nom du gouvernement et à travers la nouvelle politique-cadre (1), de faire maintenant la vérification de l'application de la politique cadre auprés des M/O. Et ce, de façon plus ''officielle'' pourquoi pas avec le temps de façon plus coercitive...
Notons également que le groupe de travail du CT qui s’occupe entre autre de la gestion des risques de la sécurité de l’information à l’échelle gouvernementale attend à ce que ces documents & orientations soient indexées, reliées de quelques manières que ce soit à cette nouvelle loi par le biais de la politique-cadre afin de leur donner une certtaine légitimité. Ces orientations se déclinent en 4 documents qui sont :
-       Cadre gouvernementale de la sécurité de l’information
-       Stratégie de gestion des risques à portée gouvernementales en matière de sécurité de l’information
-       Directive sur la sécurité de l’information gouvernementale
-       Approche stratégique gouvernementale de sécurité de l’information
1.1.  Analyse de la politique-cadre (1)
Notons que la politique cadre est antérieur à la loi 133. On peut lire page 10 l’objectif du gouvernement (Comment?):
Avec la politique-cadre et le projet de loi qui lui conférera la portée requise, le gouvernement dotera l’administration publique québécoise d’une nouvelle philosophie de gestion des ressources informationnelles.

On y peut lire en page 10 :
Au titre de la sécurité de l’information, la politique-cadre prévoit la révision de la Directive sur la sécurité de l’information gouvernementale ainsi que l’élaboration et la mise en oeuvre d’un cadre gouvernemental de gestion et d’une approche stratégique triennale. La production annuelle d’un rapport concernant les risques sur la sécurité de l’information de portée gouvernementale ainsi que la promotion de la sensibilisation à la sécurité de l’information figurent également parmi les énoncés de la politique-cadre pour contribuer à consolider la confiance des citoyens et des entreprises à l’égard des services gouvernementaux.

On y peut lire également : L’importance de la reddition de comptes attendue témoigne de la volonté de transparence du gouvernement à cet égard.

La quatrième partie de cette politique traite de la sécurité de l’information. Voici ce qui est écrit (Quoi?) :
Le quatrième objectif de la Politique-cadre sur la gouvernance et la gestion des ressources informationnelles des organismes publics vise à assurer la sécurité de l’information et, ainsi, à maintenir et à rehausser la confiance des citoyens et des entreprises à l’égard de l’État et des services publics. À cet effet, le gouvernement entend contribuer à l’atteinte des objectifs par cinq actions :
·         réviser la Directive sur la sécurité de l’information gouvernementale, adoptée en 2006;
·         élaborer et mettre en oeuvre un cadre gouvernemental de gestion de la sécurité de l’information;
·         élaborer et mettre en oeuvre une approche stratégique triennale de sécurité de l’information;
·         élaborer et mettre en oeuvre un cadre de gestion des risques et des incidents de portée gouvernementale;
·         promouvoir la sensibilisation en matière de sécurité de l’information.

On y peut lire également cet objectif (Qui?) à la page 48:

désigner des responsables ministériels de la sécurité de l’information, permettant d’assurer une circulation de l’information entre le dirigeant principal de l’information et l’organisme