Définis dans les deux chapitres précédents, les freins au partage d’informations ainsi que les gains attendus du Cadre d’échange et de partage d’informations (CÉPI) permettent d’identifier certaines modalités que devra posséder le CÉPI qui sera proposé aux organisations du secteur des télécommunications. Ces modalités doivent permettre de contourner les freins à l’échange des informations et d’aller dans le sens des gains espérés par le CÉPI. Pour rappel, les quatre catégories de freins au partage d’informations identifiées sont : (1) l’accès difficile aux informations (2) la sensibilité des informations (3) la complexité des informations et (4) la méconnaissance des informations. Les quatre catégories de gains espérés sont, elles : (1) améliorer la gestion des connaissances (2) améliorer la gestion des risques (3) améliorer la gestion des conséquences et (4) accroître la résilience des réseaux. Comme pour les trois chapitres précédent, le contenu de ce chapitre a été obtenu en interaction entre le Centre risque & performance, Industrie Canada et le Centre des services partagés du Québec grâce aux activités décrites au tableau 2-1.
6.1 Faciliter l’accès aux informations
L’absence de mandat a été considérée comme une première raison de la difficulté d’accès aux informations. Ainsi, pour pallier à la difficulté d’accès aux informations, la formulation du CÉPI devra clairement établir le mandat visé, autrement dit l’objectif à atteindre ainsi que l’organisation (ou les organisations, ou un comité d’organisations) responsable de mener à bien la mission qui lui aura été confiée.
Le caractère diffus de l’information dans les organisations a également été mis en avant comme une raison à la difficulté d’accès aux informations. Ce caractère diffus des informations entraîne, en effet, un temps non négligeable pour collecter l’information et donc un investissement en ressources (humaines, matérielles, etc.) conséquent. Pour cette raison, pendant toute l’élaboration du CÉPI, il s’agit de se rappeler que les informations proposées pour être intégrées au CÉPI devront être ciblées, justifiées et minimisées. Autrement dit, toute surinformation devra être évitée pour ne pas surcharger les organisations en demande d’information. En se concentrant sur des informations bien précises et ciblées, les temps de collecte, d’analyse et de mise à jour par exemple s’en trouveront minimisés.
Le CÉPI devra également être durable. En effet, la pérennité du CÉPI devra compenser d’éventuels départs à la retraite, mais aussi de nouvelles arrivées de personnel ou des changements technologiques et organisationnels, qui ont tous été identifiés comme des raisons de la difficulté d’accès aux informations dans le chapitre qui expose les freins au partage d’informations.
6.2 Respecter la sensibilité des informations
Évidemment, tous les échanges de données et les transferts des résultats des analyses d’interdépendances devront respectées les politiques de confidentialité des organisations.
De plus, un processus devra permettre une protection adéquate de l’information afin de répondre à certaines craintes des organisations quant à voir leurs vulnérabilités divulguées ou leurs données et informations piratées.
Puisque le but du CÉPI n’est pas de déterminer les vulnérabilités individuelles des réseaux, mais plutôt de déterminer les vulnérabilités des points d’interdépendance (vulnérabilités multi- organisationnelles), aucune information au sujet des vulnérabilités propre à un réseau ne devrait être exigée par le CÉPI. Ainsi, une information ne pourra être demandée que si son utilité est avérée pour mener éventuellement des analyses d’interdépendances qui permettraient un gain pour les organisations concernées par ces interdépendances et non pour mettre en lumière la vulnérabilité d’une organisation.
6.3 Se baser sur des résultats d’expertises
La complexité des informations concernant les réseaux de télécommunications a été jugée comme étant un frein au partage d’informations. En effet, au vu de la complexité des informations concernant les réseaux de télécommunications, une information peut être mal interprétée. Or, l’interprétation erronée d’une donnée technique provenant d’un réseau peut conduire à des analyses fausses.
Pour cette raison, chaque demande d’information devra être traitée à l’interne d’une organisation et seulement le résultat d’une analyse doit être partagé à l’intérieur du CÉPI. En faisant en sorte que toutes les analyses se fassent à l’intérieur même des organisations, on évite le risque
d’interprétation erronée des données, on évite de manipuler des données confidentielles qui servent à obtenir les résultats des analyses souhaitées et l'on diminue du même coup la quantité d’information à collecter, et éventuellement à mettre à jour dans le CÉPI. De même, tout résultat d’analyse devra être validé par les organisations concernées à l’interne.
6.4 Être flexible
La flexibilité du CÉPI est une modalité à respecter par le CÉPI pour plusieurs raisons.
D’abord, la difficulté d’accès à certaines informations, la méconnaissance de certaines informations en raison du développement technologique axé sur la performance des réseaux, ainsi que la sensibilité des informations ont été identifiées comme trois freins au partage d’informations. Ces deux freins doivent se traduire par la capacité du CÉPI à travailler avec des informations manquantes ou imprécises. Pour cela, le CÉPI devra être assez flexible pour proposer des résultats d’analyses pertinents mêmes avec des informations manquantes ou imprécises.
De plus, la complexité des informations est une raison de plus pour laquelle le CÉPI devra être flexible. Les premières analyses à réaliser devront être simples et permettre de mettre en avant de premiers résultats en termes de gains attendus par les organisations du milieu ce qui convaincra les FST de partager davantage d’informations et donc de réaliser des analyses plus complexes. La quantité d’analyses incluses dans le CÉPI augmentera alors en même temps que le niveau d’analyse se complexifiera. Le CÉPI devra donc être assez flexible pour intégrer ces nouvelles analyses.
Enfin, le CÉPI doit pouvoir s’étendre à d’autres régions que le Québec. Or, on peut faire l’hypothèse que les réseaux de télécommunications dans ces régions possèdent des caractéristiques différentes au niveau de leur point d’interconnexion, ce qui amènerait à adapter le CÉPI pour l’étude des interdépendances dans ces régions. Là encore, le CÉPI devra donc être crée en gardant à l’esprit qu’il devra être flexible.
Synthèse
La figure 6-1 ci-dessous résume les modalités à respecter par le Cadre d’échange et de partage d’informations (CÉPI) dédié à l’étude des interdépendances entre fournisseurs de services de télécommunication.