1 / 20

Réunion conjointe du CDPISP et du CPSSP Identification, authentification et autorisation

SENSIBILITÉ MOYENNE. Réunion conjointe du CDPISP et du CPSSP Identification, authentification et autorisation Mise à jour Québec Février 2005. SENSIBILITÉ MOYENNE. Objectif de la présentation.

khuyen
Download Presentation

Réunion conjointe du CDPISP et du CPSSP Identification, authentification et autorisation

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. SENSIBILITÉ MOYENNE Réunion conjointe du CDPISP et du CPSSP Identification, authentification et autorisation Mise à jour Québec Février 2005 CDPISP/CPSSP 15 février 2005

  2. SENSIBILITÉ MOYENNE Objectif de la présentation Présentation des activités du Groupe de travail intergouvernemental sur l'identification, l'authentification et l'autorisation (IAA) au 16 février 2005 comportant les objectifs suivants : • donner un bref aperçu du travail accompli à ce jour; • déterminer les prochaines questions à traiter et les prochaines étapes potentielles; • cerner les sujets qui pourraient être d’un intérêt particulier pour le CDPISP et le CPSSP; • résumer les premières réflexions quant aux futures occasions favorables CDPISP/CPSSP 15 février 2005

  3. Mise à jour CDPISP/CPSSP Rapport présenté aux deux conseils par le Groupe de travail, en septembre. En particulier, les conseils : • ont approuvé, en principe, le lancement d’un deuxième projet pilote commun faisant appel à de multiples jetons (au moins deux) entre multiples ordres de gouvernement; • ont souligné le fait que la collectivité des opérations devrait commencer à travailler sur les aspects de l’authentification non liés à la TI pour faire en sorte que les facteurs et les catalyseurs opérationnels soient déterminés et pris en compte. À cet égard, le Groupe de travail devrait : • donner davantage de précisions quant à la forme et à la structure préconisées pour un deuxième projet pilote commun relatif à un service transactionnel, qui sera présenté à la prochaine réunion du CDPISP et du CPSSP, en février; • gérer la consultation relative aux définitions et aux normes, ainsi que l’adoption de ces dernières; gérer ensuite les changements nécessaires; • poursuivre l’évaluation du premier projet pilote en vue des prochaines étapes. CDPISP/CPSSP 15 février 2005

  4. Évaluation du projet pilote L’évaluation du « modèle de validation de principe » du projet pilote REsurWEB de RHDC – C.­B. visait à utiliser les résultats issus de l’évaluation pour alimenter des discussions ultérieures. Pendant l’évaluation, plusieurs questions ont été jugées critiques dans le contexte de la définition d’une solution ou d’un ensemble de solutions concernant les systèmes d’IAA communs. • Protection des renseignements personnels • Le gouvernement du Canada mène une EFVP en utilisant la démonstration comme contexte. • Les questions liées à la protection des renseignements personnels sont transmises au sous­comité pertinent du CDPISP. • Responsabilité • L’Ontario a rédigé un document sur les questions de responsabilité, auquel a contribué le Groupe de travail (le document a été transmis à un comité juridique spécialisé dans la gouvernance électronique pour fins d’examen). • Gouvernance • Le mandat du Groupe de travail indique clairement que la formulation d’options et de recommandations relatives à la gouvernance figure parmi les tâches de celui­ci. • Des travaux ont déjà été présentés aux deux conseils. • La réflexion doit se préciser dans le contexte de l’évaluationdu projet pilote. • Il faudra harmoniser avec tout élément provenant des travaux proposés relatifs aux catalyseurs de la collectivité de l’authentification. CDPISP/CPSSP 15 février 2005

  5. Cadre et lignes directrices de l’IAA Gérer la consultation relative aux définitions et aux normes, ainsi que l’adoption de ces dernières; gérer ensuite les changements nécessaires. • Consultations sur les lignes directrices • Ébauche du cadre et des lignes directrices sur l’IAA achevée en décembre 2004. • Une consultation plus vaste a été amorcée pour obtenir des commentaires et sensibiliser les personnes concernées. • Un site Internet a été conçu; il est hébergé par l’ISAC. Adresse : http://www.iccs-isac.org/eng/iaa_pub.htm CDPISP/CPSSP 15 février 2005

  6. Engager les gouvernements à l’égard de l’authentification Partenariats Engagement Adoption de définitions et de normes communes pour l’authentification; gouvernance solide; entente sur la responsabilisation, respect de la vie privée harmonisé; accès direct et transparent Participation active Intérêt commun Groupe de travail sur l’IAA; catalyseurs des opérations; engagement externe élargi Réunions du CDPISP et du PSSDC; documents du Lac Carling Information Degré d’influence Sites Web des ministères; échange d’information au besoin, une des applications opérationnelles Engagement des gouvernements Cadre, politiques, lignes directrices, réalisation de l’authentification électronique, pratiques exemplaires, etc. Maintenant Dans l’avenir Adapté du document Énoncé de principe et lignes directrices sur la consultation et l’engagement des Canadiens (ébauche de travail) produit par le gouvernement fédéral, 2001­2002. CDPISP/CPSSP 15 février 2005

  7. La nécessité des normes Tableau 1 : Comparaison des niveaux d’assurance et des méthodes d’authentification Les modes de vérification de l’identité sont encore plus diversifiés que les méthodes d’authentification. CDPISP/CPSSP 15 février 2005

  8. Vision relative aux résultats de la consultation • Les méthodes d’authentification, à elles seules, ne suffisent pas pour réaliser une transaction fiable avec des particuliers. • Il faut concevoir des protocoles pour la mise en place de secrets partagés, etc., qui serviront à vérifier l’identité, et pour l’établissement de liaisons avec les autres administrations. Objectifs stratégiques • Modifier les critères du cadre et des lignes directrices sur l’IAA. • Préciser les termes et les définitions. • Améliorer les pratiques d’authentification et les outils d’évaluation de celles­ci. • Prendre des engagements à l’égard d’options de gouvernance en vue de gérer des normes communes et de faire en sorte que les questions relatives à la protection des renseignements personnels, à la sécurité, aux responsabilités et aux obligations soient réglées. CDPISP/CPSSP 15 février 2005

  9. Plan de consultation • Travaux publics et Services gouvernementaux Canada • Ministère des Services aux consommateurs et aux entreprises de l’Ontario (MSCE) • Projet sur l’authentification du gouvernement de la Colombie­Britannique • Neuf provinces canadiennes • Deux municipalités d’importances majeure (Ville de Toronto et Ville de Winnipeg) • Industrie Canada • Agence du revenu du Canada • Ressources humaines et Développement des compétences Canada • Ministère des Affaires étrangères et du Commerce international • Sous­comité CPSSP­CDPIS sur la protection des renseignements personnels • Sous­comité national des DPI sur la protection de l’information • Autorité de gestion des politiques de l’Agence des systèmes intelligents pour la santé Cibler un environnement propice à une approche « sans fausse route » de la prestation des services en ligne du gouvernement. CDPISP/CPSSP 15 février 2005

  10. Authentification : prochaines étapes • En septembre, les deux conseils ont demandé au Groupe de travail de fournir davantage de détails sur la forme et la structure préconisées pour un deuxième projet pilote commun. • Proposition de réaliser, dans le secteur public ontarien, un projet pilote évaluant l’interopérabilité avec l’ePass du gouvernement fédéral. • Il est impératif que le projet pilote proposé soit lié aux objectifs opérationnels et, de préférence, aux travaux déjà en cours. • Le MSCE a accepté d’être le champion du secteur opérationnel et fournira une application pour le projet pilote. • La transaction gouvernementale qui a finalement été retenue sera une fonction concrète relative aux opérations (p. ex. modification des renseignements sur une entreprise). • On s’attend à ce que le résultat des travaux puisse être utilisé comme modèle ou comme application partagée après le projet pilote. CDPISP/CPSSP 15 février 2005

  11. Qu’est-ce que l’ISI? Le projet pilote fera appel à l’interface de sécurité intégrée (ISI) de l’Ontario. • L’ISI est un modèle qui englobe l’approche de l’authentification de l’Ontario relative aux secteurs concernant les citoyens et les programmes. • Un service d’authentification avec autorisation décentralisée, conforme aux normes de sécurité et de protection des renseignements personnels, qui est géré de façon centralisée et qui est implanté dans les secteurs des programmes : • répond aux besoins de médiums multiples en matière d’authentification; • comporte une procédure d’identification unique pour la population et les entreprises ontariennes voulant accéder aux services gouvernementaux offerts en ligne; • accepte divers jetons pour offrir à la population un accès simple, « sans fausse route », et des services directs; • ne permet aucune traçabilité menant aux secteurs des programmes, ce qui évite la consolidation de données ou la création d’un profil centralisé des citoyens, et protège ainsi la vie privée de la population. • Visa 3D CDPISP/CPSSP 15 février 2005

  12. Projet pilote : activités réalisées à ce jour et activités prévues • L’entente de non divulgation est en voie d’être signée. • Le test de connectivité technique du modèle aura lieu pendant le premier trimestre de 2005. • Poursuite des réunions avec les secteurs opérationnels pour élaborer des catalyseurs opérationnels et des scénarios. • Les projets pilotes de validation du modèle à jetons multiples commencera pendant le troisième trimestre de 2005. CDPISP/CPSSP 15 février 2005

  13. Harmonisation des opérations • Un ensemble initial de notes sur les catalyseurs opérationnels pour l’authentification a été élaboré et des commentaires ont été formulés. • Le MSCE conçoit présentement un scénario opérationnel avec plusieurs partenaires. • Création conjointe d’une proposition de projet pilote axé sur les opérations • Recherche active de participants CDPISP/CPSSP 15 février 2005

  14. Proposition de projet pilote axé sur les opérations • Très probablement une fonction de gestion intergouvernementale pour la modification des renseignements sur les entreprises • Déterminer des partenaires du secteur opérationnel et de celui des TI en vue d’un accord et d’un engagement. • La consultation conjointe des partenaires est en cours. • Dresser la liste des participants et établir des RÉSULTATS ESCOMPTÉS PRÉCIS. • Une CHARTE SIGNÉE définissant les rôles et les responsabilités est en voie d’élaboration. • Mise à jour pendant Lac Carling IX CDPISP/CPSSP 15 février 2005

  15. Pour obtenir plus d’information ou pour formuler des commentaires, communiquez avec : • Jeff Evans • Président, Groupe de travail sur l’IAA • Bureau du stratège en chef de l’information pour la fonction publique • Secrétariat du Conseil de gestion • Gouvernement de l’Ontario • (416) 327­4107 • Jeff.evans@mbs.gov.on.ca • Debbie Farr • Directrice, Conception et mise en œuvre des services • Service Ontario • Services aux consommateurs et aux entreprises • Gouvernement de l’Ontario (416) 326­5459 • Debbie.Farr@cbs.gov.on.ca CDPISP/CPSSP 15 février 2005

  16. Contexte de l’IAA • Les activités d’identification des clients, d’authentification et d’autorisation ont toujours été réalisées au comptoir… • Nous devons maintenant étudier comment exécuter ces activités dans un monde où la prestation intergouvernementale intégrée et multimodale des services est homogène, pratique et axée sur la clientèle. • Cela signifie : • créer et émettre une identité électronique vérifiée et durable (par rapport à une évaluation de la preuve présentée à l’appui de l’identité déclarée); • établir, au début de chaque séance en ligne, la validité de l’identité, s’il y a lieu, à l’aide du niveau d’assurance; • accorder ou refuser l’accès à de l’information ou à des services en direct en fonction des règles particulières aux transactions ou aux programmes liés aux services en direct concernés. • Simultanément, nous devons faire en sorte que les questions relatives à la protection des renseignements personnels, à la sécurité, aux obligations et aux responsabilités soient réglées. CDPISP/CPSSP 15 février 2005

  17. Groupe de travail intergouvernemental sur l’IAA • Le Groupe de travail sur l’IAA est une initiative nationale menée par l’Ontario et dirigée conjointement par le DPI du secteur public et les conseils de la prestation des services dans le secteur public (CDPISP et CPSSP). • Le Groupe de travail s’affaire à régler les questions relatives à l’identification, à l’authentification et à l’autorisation qui ont été définies comme étant critiques pour la prestation électronique des services lors de la réunion du Lac Carling, en 2003. • L’objectif est d’élaborer une norme qui pourra être utilisée par toutes les administrations pour simplifier le travail de mise en place de systèmes d’IAA intergouvernementaux et pour offrir une expérience­client uniforme et cohérente. • Les travaux s’appliquent à tous les types de transactions, par exemple : G2C, G2B et G2G. • Le CDPISP et le CPSSP ont donné leur approbation finale quant au mandat et au plan de travail provisoire le 30 septembre 2003. CDPISP/CPSSP 15 février 2005

  18. Groupe de travail sur l’IAA : résultats obtenus à ce jour • Version 1.0 du cadre et des lignes directrices sur l’IAA • Pour application intergouvernementale; comprend les niveaux de confiance; version achevée et prête pour une consultation plus vaste. Le cadre comprend notamment : • un vocabulaire et un ensemble de définitions communs • des lignes directrices et un cadre d’évaluation des pratiques pour l’IAA. • Projet pilote • Élaboration du modèle de validation de principe présenté à Lac Carling; évaluation en cours • Proposition relative au lancement d’un second projet pilote • Protection des renseignements personnels • Le gouvernement du Canada mène une EFVP en utilisant la démonstration comme contexte. • Les questions liées à la protection des renseignements personnels sont communiquées au sous­comité pertinent du CDPISP. • Responsabilité • L’Ontario a rédigé un document sur les questions de responsabilité, auquel le Groupe de travail a contribué (le document a été transmis à un comité juridique spécialisé dans la gouvernance électronique pour fins d’examen). • Gouvernance • Des normes et une gouvernance solides sont proposées pour faire en sorte que les questions liées à la protection des renseignements personnels, à la sécurité, aux responsabilités et aux obligations soient réglées. CDPISP/CPSSP 15 février 2005

  19. Penser à long terme • Les responsabilités et les obligations constituent une question clé pour tous les partenaires (clients, fournisseurs de services, gouvernement). • Les exigences législatives et les principes relatifs à la protection des renseignements personnels doivent être respectés. • Harmonisation des lois pour soutenir l’authentification. • Pratiques de sécurité communes. • Classification de l’information fondée sur l’évaluation du risque. • Solidité de l’assurance • Quelle devrait être la forme d’un organisme de gouvernance des normes d’IAA, et que devrait­il gouverner? • Compatibilité avec les cadres stratégiques de multiples administrations. • La complexité et le coût croissent au fur et à mesure que la nature délicate de l’information et les risques opérationnels augmentent. • Transparence pour renforcer la confiance de la clientèle. CDPISP/CPSSP 15 février 2005

  20. Risque et responsa-bilité gérés Pratique, accès facile Vue d’ensemble de l’IAA Application municipale/ fédérale/ provinciale actuelle No 1 Application municipale/ fédérale/ provinciale actuelle No 2 Rentable Axée sur la clientèle Enregistre- ment optimisé Information partagée Vie privée Authentifi- cation municipale/ fédérale/ provinciale actuelle No 1 Transparente Intergouvernementale Authentifi- cation municipale/ fédérale/ provinciale actuelle No2 Credentials Inter-opérabilité Sécurité Justificatifs partagés Niveau d’assurance convenu Chaîne de confiance Cadre, gouvernance, pratiques et définitions communs CDPISP/CPSSP 15 février 2005

More Related