Annulée [2007-07-07] - Politique de gestion de l'Infrastructure à clé publique au gouvernement du Canada

Cette politique assure la gestion efficace de l'ICP au gouvernement.
Modification : 2004-04-26

Cette page a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Renseignements supplémentaires

Terminologie :

Version imprimable XML

1. Date d'entrée en vigueur

La présente politique, qui entre en vigueur le 26 avril 2004, remplace la Politique de gestion de l'Infrastructure à clé publique du gouvernement du Canada en date du 27 mai 1999. Le titre abrégé de cette politique est la Politique sur l'ICP du gouvernement.

2. Application

La présente politique s'applique à tous les ministères énumérés à l'Annexe I, à l'Annexe I.1 et à l'Annexe II de la Loi sur la gestion des finances publiques (LGFP).

Elle s'applique également à :

  1. Toute commission assujettie à la Loi sur les enquêtes désignée comme un ministère par décret du Gouverneur en conseil aux fins de la LGFP;
  2. Aux Forces canadiennes, à condition que toute référence aux fonctionnaires dans la présente politique exclut les membres des Forces armées.

D'autres organismes et sociétés d'État peuvent également conclure des ententes avec le Secrétariat du Conseil du Trésor du Canada relativement à l'adoption des modalités de la présente politique et à leur application au sein de leur organisation.

Les ministères, les commissions, les organismes, les sociétés d'État ainsi que les Forces canadiennes assujettis à la présente politique, ou qui décident de l'adopter, seront désignés ci-après comme des « ministères ».

3. Contexte

Le gouvernement du Canada a choisi d'adopter la technologie de clé publique comme moyen privilégié d'authentification électronique des personnes et des documents. Les infrastructures à clé publique, qui se fondent sur les principes de la cryptographie à clé publique, permettent de coder les données et d'utiliser les signatures numériques pour effectuer et faciliter les transactions électroniques protégées.

L'une des composantes de l'Infrastructure à clé publique concerne l'autorité de certification - une entité à laquelle on confie la responsabilité d'accorder une biclé publique/privée à un particulier ou à une entité. L'autorité de certification émet des clés; révoque des clés en cas de divulgation de documents confidentiels; et émet des avis relatifs aux biclés révoquées.

4. Définitions

Aux fins de la présente politique :

Abonné (Subscriber) - désigne une entité ou une personne qui n'est pas fonctionnaire et à qui un certificat est émis.

Authentification (Authentication) - désigne l'acte qui consiste à vérifier (i) la validité de l'identité d'une personne ou d'une entité, ou (ii) l'intégrité des données en format électronique.

Autorisation (Authorization) - désigne l'acte qui consiste à permettre à une personne ou à une entité ou à vérifier si une personne ou une entité a obtenu la permission de poser un geste ou d'obtenir quelque chose, y compris l'accès aux données en format électronique, ainsi que l'autorisation et la modification de ces données.

Autorité d'accréditation (Accreditation Authority) - désigne, à l'intérieur d'un ministère donné, une personne ayant le pouvoir d'autoriser une entité à utiliser une ou plusieurs autorités de certification dans ce ministère ainsi que d'accepter les risques résiduels connexes. Le dirigeant principal de l'information du gouvernement du Canada est responsable de l'accréditation de la Charnière fédérale canadienne de l'Infrastructure à clé publique et des autorités de certification communes.

Autorité de certification (Certification Authority) - désigne une entité responsable du fonctionnement d'un serveur, ou de plusieurs serveurs, utilisés pour émettre et gérer des certificats de clé publique et des listes de certificats.

Autorité de gestion des politiques (Policy Management Authority) - désigne un comité qui regroupe le dirigeant principal de l'information, des représentants des ministères et d'autres personnes nommées dans le but de constituer l'autorité de gestion des politiques de l'Infrastructure à clé publique du gouvernement du Canada.

Autorité opérationnelle (Operational Authority) - désigne une personne qui, au sein d'un ministère, est responsable de l'administration d'une ou plusieurs autorités de certification gérées par ce ministère.

Certificat de clé publique (Public Key Certificate) - désigne la clé publique d'un utilisateur, ainsi que les informations afférentes, portant une signature numérique calculée avec la clé privée de l'autorité de certification qui a émis le certificat. Le format du certificat est conforme à la recommandation X.509 du Secteur de normalisation des télécommunications de l'Union internationale des télécommunications (UIT-T).

Charnière fédérale canadienne de l'Infrastructure à clé publique (Canadian Federal Public Key Infrastructure Bridge) - désigne une autorité de certification qui, sous l'égide de l'autorité de gestion des politiques, signe et gère les cocertificats avec les plus hautes autorités de certification ministérielles ou communes et avec les autorités de certification à l'extérieur du gouvernement du Canada. La Charnière fédérale canadienne de l'Infrastructure à clé publique ne gère pas les certificats des fonctionnaires ou des abonnés mais encourage l'« interopérabilité » en servant de pont entre les diverses autorités de certification ministérielles ou communes à l'intérieur de l'Infrastructure à clé publique du gouvernement du Canada de même qu'entre l'Infrastructure à clé publique du Canada et les autorités de certification à l'extérieur du gouvernement.

Cocertificat (Cross-Certificate) - désigne un certificat servant à établir un lien de confiance entre deux autorités de certification.

Cocertification (Cross-Certification) - désigne le processus entrepris par des autorités de certification afin d'établir un lien de confiance. Les autorités de certification échangent leurs cocertificats et permettent aux utilisateurs d'un certificat émis par l'une d'elle de communiquer par des moyens électroniques sûrs avec les utilisateurs de l'autre. Quand deux autorités de certification concluent une entente de cocertification, elles acceptent de se faire mutuellement confiance et de se fier aux certificats de clé publique et aux clés de l'autre comme si elles les avaient émis elles-mêmes.

Clé (Key) - désigne une séquence de symboles qui contrôle les processus de chiffrement et de signature numérique.

Dépôt (Repository) - désigne un système permettant de stocker des certificats ou d'autres renseignements relatifs aux certificats et d'y accéder. Un annuaire X-500 constitue un exemple de dépôt.

Dirigeant principal de l'information (Chief Information Officer) - le dirigeant principal de l'information du gouvernement du Canada.

Énoncé de pratiques de certification (Certification Practice Statement) - désigne un énoncé exhaustif des mécanismes et procédures qu'une autorité de certification emploie aux fins de l'émission et de la gestion de certificats, conformément à une ou plusieurs politiques de certification. Si une autorité de certification adopte plus d'une politique de certification, l'énoncé de pratiques de certification doit contenir ou mener à d'autres sources qui contiennent suffisamment de renseignements pour démontrer en quoi les exigences inhérentes aux politiques de certification ont été respectées.

Entité (Entity) - désigne une association de deux personnes ou plus, une société, un partenariat, un trust, une entreprise commune et autres formes d'organisation.

Fonctionnaire (Employee) - désigne une personne employée par un ministère; pour plus de certitude, il est entendu que ce terme ne comprend pas les abonnés.

Fournisseur de services (Service Provider) - désigne une personne ou une entité qui offre des services ayant trait à un ou plusieurs aspects de l'administration d'une autorité de certification. Un fournisseur de services peut être un ministère ou une entité du secteur privé.

Infrastructure à clé publique (Public Key Infrastructure) - désigne l'ensemble des politiques, des processus, des plates-formes de serveurs, des logiciels et des postes de travail utilisés pour émettre et gérer des certificats et des clés.

Liste de certificats révoqués (Certificate Revocation List) - désigne la liste qui énumère les certificats de clé publique émis par une autorité de certification mais que cette autorité a révoqués avant leur date d'échéance normale.

Partie utilisatrice (Relying Party) - désigne une personne ou une entité autre que le détenteur du certificat qui utilise un certificat signé par une autorité de certification pour vérifier l'authenticité d'une signature numérique ou de données chiffrées.

Politique de certification (Certificate Policy) - est un ensemble de règles définies qui régit l'application d'un certificat de clé publique à l'intérieur d'une collectivité ou d'une catégorie d'applications comportant des exigences communes de sécurité. Elle indique si un certificat convient à une application ou à une fin particulière. Une autorité de certification peut adopter plus d'une politique de certification.

Président (President) - désigne le président du Conseil du Trésor du Canada.

Projet pilote (Pilot Project) - désigne la mise à l'essai à petite échelle de procédés et procédures qui s'appliqueront à plus grande échelle s'il est prouvé que ces procédés et procédures donnent de bons résultats au plan concret.

Registraire des dépôts (Registrar of Repositories) - désigne, aux fins des dépôts de l'administration fédérale, Travaux publics et Services gouvernementaux Canada ou toute autre entité nommée par le Conseil canadien des normes aux fins de l'exécution des fonctions du Registraire canadien d'interconnexion de systèmes ouverts.

Secrétaire (Secretary) - désigne le secrétaire du Conseil du Trésor du Canada.

Signature numérique (Digital Signature) - désigne la transformation de données à l'aide d'un système cryptographique utilisant des clés de manière à ce que la personne ou l'entité qui reçoit les données initiales puisse déterminer si la transformation s'est faite en utilisant la clé qui correspond à la clé de la personne ou de l'entité qui a procédé à la transformation, et si les données ont été modifiées depuis la transformation.

5. Énoncé de politique

Le gouvernement a pour politique de favoriser et de gérer l'utilisation de la cryptographie à clé publique dans le cadre de l'infrastructure de technologie de l'information et de gestion de l'information commune, aux fins suivantes :

  1. Appuyer les objectifs gouvernementaux de transformation et d'amélioration des services;
  2. Favoriser et faciliter, à l'échelle du gouvernement du Canada, la mise en œuvre d'infrastructures à clé publique et en faire le mode privilégié d'authentification de l'identité des personnes et des documents;
  3. Favoriser et permettre le recours aux autorités de certification communes;
  4. Permettre et encourager la coopération et la collaboration entre les autorités de certification du gouvernement et, en leur nom, avec d'autres infrastructures publiques à clé publique gouvernementales et autres, tant au Canada qu'à l'étranger;
  5. Favoriser l'élaboration et l'utilisation de normes ouvertes pour les produits commerciaux qui emploient la cryptographie à clé publique.

6. Exigences de la politique

6.1 Autorités de certification ministérielles

Les ministères, à l'exception des ministères qui font appel à un fournisseur de services, doivent, avant d'émettre des certificats de clé publique (y compris les cocertificats) :

  1. établir une autorité de certification;
  2. veiller à ce que leur autorité de certification;
    1. gère les listes de certificats de clé publique et les listes de certificats révoqués en ayant soin,
      1. d'adopter une ou plus d'une politiques de certification et un énoncé de pratiques de certification ayant trait à l'activité de cette autorité de certification;
      2. de garantir la conformité des personnes ou des entités qui agissent en son nom.
    2. dans le cas des politiques de certification applicables, a recours à des politiques ou ententes en vue d'informer les abonnés et les fonctionnaires des droits et obligations respectifs de l'autorité de certification, des abonnés et des fonctionnaires.

En plus des éléments susmentionnés, les ministères qui émettent des certificats de clé publique (y compris des cocertificats) à l'extérieur du ministère doivent procéder à une cocertification à l'échelle de la Charnière fédérale canadienne de l'Infrastructure à clé publique et rapporter chaque année à l'autorité de gestion des politiques que leurs activités sont conformes aux exigences précisées dans leurs politiques de certification et leurs énoncés de pratiques de certification.

Les ministères doivent désigner un ou plusieurs fonctionnaires à titre d'autorité opérationnelle dans le cas de chaque autorité de certification gérée ou embauchée par le ministère et leur confier la tâche de fournir, sur demande, à l'Autorité de gestion des politiques du gouvernement du Canada, de l'information et de la documentation sur tout aspect des activités de l'autorité de certification.

6.2 Autorités de certification communes

L'Autorité de gestion des politiques peut confier à une ou plusieurs autorités de certification ministérielles le rôle d'autorité de certification commune aux fins d'émission des certifications de clé publique au nom d'autres ministères.

Une autorité de certification commune doit :

  1. relever de l'Autorité de gestion des politiques et se rapporter à cette même Autorité;
  2. procéder aux cocertifications en passant par la Charnière fédérale canadienne de l'Infrastructure à clé publique;
  3. n'avoir recours qu'aux politiques de certification et énoncés de pratiques de certification approuvées par l'Autorité de gestion des politiques, ainsi qu'aux ententes et politiques conformes aux modalités imposées par l'Autorité de gestion des politiques, s'il y en a.

Les ministères peuvent fournir certains services, ou tous les services, liés à l'administration d'une autorité de certification commune.

Les ministères qui administrent une autorité de certification commune peuvent fournir certains services, ou tous les services, liés à l'administration de cette autorité.

6.3 Charnière fédérale canadienne de l'Infrastructure à clé publique

La gestion de la Charnière fédérale canadienne de l'Infrastructure à clé publique relève du Centre de sécurité des télécommunications. Aux fins de la cocertification ou de la reconnaissance des autorités de certification, la Charnière fédérale canadienne de l'Infrastructure à clé publique constitue l'Autorité de certification de charnière du gouvernement du Canada.

La Charnière fédérale canadienne de l'Infrastructure à clé publique ne doit adopter que les politiques de certification et les énoncés de pratiques de certification approuvés par l'Autorité de gestion des politiques.

La Charnière fédérale canadienne de l'Infrastructure à clé publique :

  1. Signe et gère les cocertificats qu'elle émet :
    1. aux autorités de certification ministérielles ou communes;
    2. aux autorités de certification qui ne font pas partie du gouvernement du Canada.
  2. Dans le contexte de l'Infrastructure à clé publique du gouvernement du Canada, elle fournit des avis touchant la conformité aux exigences techniques de l'Infrastructure à l'Autorité de gestion des politiques.

6.4 Achat de services d'autorité de certification

Les ministères peuvent acheter auprès d'un autre ministère ou d'un fournisseur de services du secteur privé une partie ou la totalité des services liés à l'exploitation d'une autorité de certification.

Les ministères qui offrent de tels services doivent s'assurer que :

  1. les politiques et pratiques des fournisseurs de services jugées pertinentes par l'Autorité de gestion des politiques, y compris les politiques de certification ou les énoncés de pratiques de certification, respectent les critères établis par l'Autorité de gestion des politiques;
  2. conformément à la Loi, toutes les copies des clés privées de confidentialité, des certificats de clé publique et de toute l'information recueillie ou conservée touchant l'émission, la distribution et la gestion, y compris la révocation, des certificats de clé privée et de clé publique, ne seront conservées qu'au Canada ou que sur les lieux des missions consulaires et diplomatiques du Canada à l'étranger;
  3. les ententes conclues avec les fournisseurs de services sont conformes aux exigences des règlements et des politiques gouvernementales sur les marchés de services et renferment au moins les dispositions prévues de temps à autre par l'Autorité de gestion des politiques;
  4. toutes les ententes intègrent les modalités relatives à la protection des données et de la vie privée qui conviennent en rapport avec la collecte, l'utilisation, la divulgation ou la conservation de renseignements personnels.

6.5 Adhésion à l'Autorité de gestion des politiques et à l'Infrastructure à clé publique du gouvernement du Canada

Un ministère qui autorise l'émission de certificats en son nom ou qui agit en tant qu'autorité de certification qui émet des certificats de clé publique est considéré membre de l'Infrastructure de clé publique du gouvernement du Canada.

Un ministère membre de l'Infrastructure à clé publique du gouvernement du Canada peut être représenté à l'échelle de l'Autorité de gestion des politiques. Les personnes suivantes doivent faire partie de l'Autorité de gestion des politiques :

  1. le dirigeant principal de l'information, à titre de président;
  2. un vice-président nommé par le dirigeant principal de l'information;
  3. l'exploitant de la Charnière fédérale canadienne de l'Infrastructure à clé publique;
  4. tous les ministères qui gèrent une autorité de certification commune;
  5. tous les ministères qui gèrent une autorité de certification ayant fait l'objet d'une cocertification avec la Charnière fédérale canadienne de l'Infrastructure à clé publique;
  6. les représentants de ces ministères, s'il y en a, nommés pour servir à titre de membres sans fonction déterminée.

Les directeurs généraux des ministères en cause doivent nommer les représentants ministériels qui siégeront à l'échelle de l'Autorité de gestion des politiques.

Chaque ministère membre de l'Autorité de gestion des politiques aura droit à un vote, nonobstant le nombre d'autorités de certification qu'il gère.

Le président et le vice-président auront chacun droit à un vote. Il n'est pas permis de céder les droits de vote. Autorité de gestion des politiques précisera les exigences applicables au quorum, aux règles de procédure et au mandat en vertu des responsabilités assignées dans le cadre de cette Politique et pourra confier certaines tâches et fonctions à un comité directeur, composé de ses membres, dont les responsabilités relèveront de mandats qui pourront être établis et modifiés, au besoin, par l'Autorité de gestion des politiques.

6.6 Cocertification ou reconnaissance des autorités de certification

6.6.1 Cocertification ou reconnaissance

Un ministère qui exploite une autorité de certification ou une autorité de certification commune voulant conclure une entente de cocertification avec une autorité de certification de l'extérieur du ministère ou du gouvernement doit le faire en tant que membre de l'Infrastructure à clé publique du gouvernement du Canada. La cocertification avec une autorité de certification doit nécessairement passer par la Charnière fédérale canadienne de l'Infrastructure à clé publique, toute dérogation devant être autorisée par le Conseil du Trésor du Canada.

Lorsqu'il ne convient pas d'engager une cocertification pour des motifs techniques ou liés aux politiques, le président peut, à sa discrétion et sur recommandation du secrétaire, reconnaître une autorité de certification à l'extérieur du gouvernement.

En vertu des pouvoirs qui lui sont conférés par décret, le président peut approuver ou rejeter toute entente ou tout marché ainsi conclu. Avant de reconnaître une autorité de certification, le président doit s'assurer que cette autorité est en mesure d'émettre des certificats de façon sûre et fiable, conformément aux alinéas 48 a) à 48 d) de la Loi sur la protection des renseignements personnels et les documents électroniques (L.C. de 2000, chapitre 5). Les autorités de certification reconnues par le président du Conseil du Trésor figureront au site Web du Secrétariat du Conseil du Trésor du Canada.

La cocertification avec une autorité de certification à l'extérieur du gouvernement, ou la reconnaisse d'une telle cocertification, exige nécessairement l'exécution d'un marché ou d'une entente entre le gouvernement et l'exploitant de l'autorité de certification.

Il incombe au secrétaire de recommander au président la formule et le contenu qui conviennent à ce genre d'entente ou de marché.

L'Autorité de gestion des politiques conseillera le secrétaire quant à la forme et au contenu de toute entente ou de tout marché proposé, y compris les modalités applicables.

Si un ministère a établi une autorité de certification ayant procédé à une cocertification avec la Charnière fédérale canadienne de l'Infrastructure à clé publique et s'il a l'intention de conclure une entente de cocertification avec une autre de ses autorités de certification n'ayant pas procédé à une cocertification avec la Charnière fédérale canadienne de l'Infrastructure à clé publique, le ministère doit en informer l'Autorité de gestion des politiques. Si l'Autorité de gestion des politiques estime que ce cocertificat risque de nuire à l'Infrastructure à clé publique du gouvernement du Canada, elle peut prendre les mesures qui s'imposent, y compris déclasser ou révoquer le cocertificat de l'autorité de certification qui a procédé à la cocertification avec la Charnière fédérale canadienne de l'Infrastructure à clé publique.

6.6.2 Exemption de la cocertification

Chaque fois qu'un ministère désire qu'une ou plusieurs de ses autorités de certification procède à une cocertification avec une autorité de certification externe au ministère (« autorité de certification externe »), il peut demander au Conseil du Trésor du Canada de l'exempter de la cocertification avec l'autorité de certification externe en passant par la Charnière fédérale canadienne de l'Infrastructure à clé publique.

Le ministère qui émet des certificats de clé publique à des utilisateurs externes pour une fin précise peut demander au Conseil du Trésor du Canada la permission de passer outre à l'obligation de cocertification avec la Charnière fédérale canadienne de l'Infrastructure à clé publique.

Toute demande en ce sens doit démontrer que :

  1. le but de la demande d'exemption est conforme à l'énoncé de politique défini à la section 5;
  2. la mesure n'a pas incidences négatives sur les exigences opérationnelles ou des politiques du gouvernement du Canada, même si l'autorité de certification en cause n'échange aucune cocertification avec la Charnière fédérale canadienne de l'Infrastructure à clé publique.

Certaines classes d'autorités de certification sont spécifiquement exemptées de l'obligation de cocertification au moyen de la Charnière fédérale canadienne de l'Infrastructure à clé publique et les ministères n'ont pas à soumettre une demande d'exemption au Conseil du Trésor du Canada.

Ces classes regroupent les autorités de certification suivantes :

  1. Les autorités de certification qui fonctionnent dans des milieux clos où les abonnés n'ont pas à interagir avec d'autres abonnés ou avec des parties utilisatrices hors du domaine de l'autorité de certification, lorsqu'on peut démontrer que la cocertification avec la Charnière fédérale canadienne de l'Infrastructure à clé publique ne présente aucun avantage;
  2. Les autorités de certification dont les activités concernent la sécurité nationale, lorsqu'on peut démontrer que la cocertification avec la Charnière fédérale canadienne de l'Infrastructure à clé publique ne présente aucun avantage;
  3. Les autorités de certification établies en tant que projets pilotes, pourvu que les projets pilotes qui doivent entraîner l'octroi de certificats procèdent à la cocertification avec la Charnière fédérale canadienne de l'Infrastructure à clé publique au plus tard au second anniversaire de la date à laquelle les certificats ont été émis dans le cadre du projet; ou
  4. Exercées par Statistique Canada ou en son nom uniquement pour protéger les données recueillies en vertu de la Loi sur la statistique.

L'Autorité de gestion des politiques déterminera si une autorité de certification fait partie d'une classe énumérée et peut être exemptée de l'obligation de procéder à la cocertification avec la Charnière fédérale canadienne de l'Infrastructure à clé publique.

L'Autorité de gestion des politiques peut demander au Conseil du Trésor du Canada d'établir d'autres classes aux fins d'exemption.

6.7 Utilisation des certificats de clé publique et des clés par des abonnés

Les ministères qui émettent, ou qui font émettre en leur nom, des certificats de clé publique aux abonnés doivent :

  1. élaborer, mettre en œuvre et communiquer à ces abonnés, ou faire communiquer en leur nom à ces abonnés, les modalités de l'utilisation en bonne et due forme de ces certificats;
  2. obtenir, ou faire obtenir en leur nom, l'approbation signée, par écrit ou par moyen électronique, de ces modalités par les abonnés.

Lorsque les ministères établissent les modalités d'utilisation des certifications par les abonnés, ils doivent s'assurer d'inclure les modalités d'utilisation minimales définies, quand besoin est, par l'Autorité de gestion des politiques.

6.8 Utilisation des certificats de clé publique et des clés par des fonctionnaires

Les ministères, avant d'émettre ou de faire émettre en leur nom, des certificats de clé publique à des fonctionnaires pour que ceux-ci les utilisent dans le cadre de leur travail, doivent élaborer, mettre en œuvre et communiquer à ces fonctionnaires des politiques et des directives régissant l'utilisation de ces certificats. Les ministères doivent prendre en compte les exigences opérationnelles et légales pertinentes et s'assurer d'inclure les modalités d'utilisation minimales définies, quand besoin est, par l'Autorité de gestion des politiques.

6.9 Dépôt

Les ministères qui établissent une autorité de certification doivent :

  1. veiller à ce que leurs certificats de clé publique et leurs Listes de certificats révoqués soient publiés dans un dépôt accessible en vue de vérifier la validité de ces listes;
  2. veiller à ce que tous les renseignements concernant leurs certificats de clé publique et leurs Listes de certificats révoqués soient actuels, exacts et conformes aux exigences des politiques de certification applicables;
  3. Le dépôt :
    1. doit être conforme aux normes établies, ou jugées applicables, par l'Autorité de gestion des politiques;
    2. doit assurer l'interopérabilité avec les autres dépôts associés aux autorités de certification assujetties à la présente politique;
    3. doit être enregistré auprès du Registraire des dépôts.

6.10 Gestion de l'information et des clés

Les ministères doivent adopter des politiques et des modalités qui leur permettront de gérer l'information produite dans le cadre de leurs fonctions à titre d'autorités de certification, y compris les renseignements personnels des fonctionnaires, des abonnés et des parties utilisatrices. Le mode de gestion de cette information est assujetti à la Loi sur la protection des renseignements personnels , à la Loi sur l'accès à l'information et, dans la mesure du possible, à la Loi sur la Bibliothèque et les Archives du Canada ainsi qu'à toutes les autres lois et politiques gouvernementales pertinentes.

Les ministères doivent conserver, à des fins de récupération de données, une copie des clés privées de confidentialité émises aux fonctionnaires, aviser les fonctionnaires que leurs clés privées sont sauvegardées et les informer quand ils doivent accéder à celles-ci.

Un ministère ne doit pas :

  1. sauvegarder les clés privées de confidentialité des abonnés sans leur consentement;
  2. accéder aux clés privées de confidentialité des abonnés, ou les divulguer, sauf s'ils ont leur consentement ou si la loi l'exige ou une autorité légale l'autorise;
  3. conserver, ou faire conserver, en aucun cas, une copie des clés privées de signature numérique. Aux fins de la politique, on considère que les clés privées de signature numérique entreposées au niveau des serveurs des ministères sous le contrôle d'un abonné ou d'un fonctionnaire ne sont pas conservées par le ministère.

Les ministères qui gèrent et utilisent des certificats de clé publique peuvent être appelés à importer, à exporter ou à copier des clés publiques ou encore, à copier des certificats de clé publique. Puisque ces pratiques comportent à la fois des risques initiaux et résiduels, les ministères doivent gérer activement les risques découlant de telles activités.

6.11 Responsabilité financière

Les ministères qui adoptent une ou plus d'une politiques de certification régissant des certificats de clé publique émis par des autorités de certification qui relèvent de ces ministères, doivent :

  1. établir et communiquer, ou faire connaître en leur nom, la limitation de responsabilité applicable en ce qui concerne les jugements, les décisions ou les règlements pris contre eux en raison de l'utilisation de ces certificats de clé publique;
  2. en tant que membres de l'Infrastructure à clé publique du gouvernement du Canada, se conformer aux directives et aux règles établies, quand besoin est, afin d'établir la répartition de la responsabilité financière et autre dans le cas des jugements, des décisions ou des règlements parmi les membres.

6.12 Contrôle

Le Secrétariat du Conseil du Trésor du Canada procédera à des vérifications du respect de cette politique en se basant sur les rapports rédigés par les autorités opérationnelles à l'intention de l'Autorité de gestion des politiques.

7. Responsabilités

Sous réserve d'autres références dans le texte de la présente politique, la section suivante fait état des responsabilités qui incombent aux instances gouvernementales chargées de gérer, en général, les tâches d'authentification à l'aide des certificats de clé publique et, en particulier, l'Infrastructure à clé publique du gouvernement du Canada.

7.1 Secrétariat du Conseil du Trésor du Canada

7.1.1 Président du Conseil du Trésor

En vertu des pouvoirs qui lui sont accordés par décret, il incombe au président, sur les conseils du secrétaire, de conclure ou de résilier les ententes écrites de cocertification avec les autorités de certification extérieures au gouvernement, ou de reconnaître ces ententes.

7.1.2 Secrétaire du Conseil du Trésor du Canada

Le secrétaire est responsable de la coordination et de l'établissement de l'orientation et des politiques liées à la gestion de l'authentification à l'aide des certificats de clé publique au gouvernement du Canada.

En ce qui concerne la gestion de l'authentification à l'aide des certificats de clé publique, le secrétaire s'acquitte de ses responsabilités en engageant les mesures suivantes :

  1. il recommande au président les modalités des ententes de cocertification et de reconnaissance, ainsi que du retrait de ces ententes ou de leur cessation;
  2. il identifie les exigences et formule des recommandations quant aux politiques que le Conseil du Trésor du Canada devrait adopter;
  3. il prodigue des conseils au Conseil du Trésor du Canada et aux ministères;
  4. il établit et maintient l'Autorité de gestion des politiques pour l'Infrastructure à clé publique du gouvernement du Canada.

7.1.3 Dirigeant principal de l'information du gouvernement du Canada

Le dirigeant principal de l'information :

  1. agit à titre de président de l'Autorité de gestion des politiques;
  2. nomme le vice-président de l'Autorité de gestion des politiques et détermine quels ministères seront représentés par des membres sans fonction déterminée;
  3. est responsable de l'accréditation de la Charnière fédérale canadienne de l'Infrastructure à clé publique et des autorités de certification communes;
  4. appuie les responsabilités respectives du secrétaire et de l'Autorité de gestion des politiques relativement à l'orientation et à la gestion de l'Infrastructure à clé publique du gouvernement du Canada.

7.2 Autorité de gestion des politiques

L'Autorité de gestion des politiques est responsable devant le secrétaire pour ce qui est de l'orientation et de la gestion de l'Infrastructure à clé publique du gouvernement du Canada. Elle formule des recommandations au secrétaire touchant l'adhésion à l'Infrastructure à clé publique du gouvernement du Canada et la cocertification ou de la reconnaissance des autorités de certification.

Pour s'acquitter de cette responsabilité, l'Autorité de gestion des politiques :

  1. avise le secrétaire au sujet des recommandations au président pour ce qui est des modalités touchant les ententes de cocertification, y compris le retrait ou l'annulation d'une telle entente de cocertification;
  2. demande à un ou à plusieurs ministères d'agir à titre d'autorités de certification communes;
  3. établit les politiques, les procédures (y compris les procédures d'enregistrement) et les normes opérationnelles que doit observer une autorité de certification commune;
  4. établit et approuve les mécanismes, les contrôles et les structures de rapport requis, y compris les normes opérationnelles et les lignes directrices, nécessaires à la saine gestion de la Charnière fédérale canadienne de l'Infrastructure à clé publique et des autorités de certification dans le contexte de l'Infrastructure à clé publique du gouvernement du Canada;
  5. demande à la Charnière fédérale canadienne de l'Infrastructure à clé publique d'émettre, de déclasser ou de révoquer les cocertificats, au besoin;
  6. représente le gouvernement auprès d'organismes externes dans tous les dossiers en vue de faire connaître le rôle de l'authentification à l'aide des certifications à clé publique, et d'améliorer le fonctionnement de l'Infrastructure à clé publique du gouvernement du Canada, y compris la participation à d'autres autorités de vérification des charnières gérées avec des entités externes au gouvernement ou en collaboration avec ces entités;
  7. établit et approuve les politiques de certification pour la Charnière fédérale canadienne de l'Infrastructure à clé publique ou pour toute autorité de certification commune et les met à la disposition des autorités de certification ministérielles;
  8. gère la Politique d'authentification électronique et d'autorisation , ou toute politique remplaçante, dans la mesure où cette dernière s'applique à la gestion et à l'utilisation des certificats de clé publique et des clés par les ministères;
  9. nomme des décideurs en cas de différends entre des autorités de certification et établit des directives sur le règlement des différends;
  10. favorise l'interopérabilité au plan de l'authentification grâce aux certificats de clé publique dans l'ensemble de l'administration publique;
  11. tient le gouvernement au courant des progrès dans les domaines de l'authentification à l'aide des certificats de clé publique, ainsi que de la technologie et des infrastructures à clé publique, y compris les normes et pratiques en vigueur dans l'industrie;
  12. fait connaître le rôle de l'authentification dans l'Infrastructure à clé publique du gouvernement du Canada, de manière à la garantir la sécurité des activités de prestation des services, d'administration publique et de communications.

7.3 Centre de la sécurité des télécommunications

Le Centre de la sécurité des télécommunications gère et exploite la Charnière fédérale canadienne de l'Infrastructure à clé publique. En ce sens, il lui revient de signer et de gérer les cocertificats des autorités de certification externes, ministérielles et communes qui engagent des activités de cocertification avec la Charnière fédérale canadienne de l'Infrastructure à clé publique.

À titre d'autorité technique en cryptographie et en technologies de l'information pour l'Infrastructure à clé publique du gouvernement du Canada, le Centre de la sécurité des télécommunications doit s'acquitter des responsabilités suivantes :

  1. met au point les normes opérationnelles et la documentation technique du système de certification et d'accréditation, analyse les risques et la vulnérabilité, évalue les produits, analyse la sécurité des systèmes et des réseaux en consultation avec l'Autorité de gestion des politiques et les ministères, dans la mesure où ces activités touchent l'Infrastructure à clé publique du gouvernement du Canada et ses applications connexes;
  2. fournit des conseils et de l'aide à l'Autorité de gestion des politiques et aux ministères concernant les normes opérationnelles et la documentation technique;
  3. fournit des services stratégiques d'ingénierie de sécurité et des conseils techniques spécialisés pour appuyer la conception, la mise en œuvre et le fonctionnement de l'Infrastructure à clé publique du gouvernement du Canada et des éléments essentiels de l'Infrastructure connexes;
  4. met au point et offre une formation spécialisée, surtout au niveau du réseau de vulnérabilités et des stratégies d'atténuation applicables, et s'adonne à des activités de recherche et de développement connexes;
  5. Sous l'égide de l'Autorité de gestion des politiques :
    1. entretient l'ensemble du système d'architecture de l'Infrastructure à clé publique du gouvernement du Canada et formule des avis en ce sens;
    2. représente le gouvernement du Canada au sein de comités techniques nationaux et internationaux dédiés aux infrastructures à clé publique.

Il incombe également au Centre de la sécurité des télécommunications d'assurer la gestion et le fonctionnement du banc d'essai sur les nouvelles technologies sécurisées qui encadre les essais d'interopérabilité entre les nouvelles applications technologiques sécurisées et l'Infrastructure à clé publique du gouvernement du Canada.

8. Lois et documents de référence

8.1 Fondement législatif

La présente politique est émise conformément au paragraphe 7(1) de la Loi sur la gestion des finances publiques.

8.2 Publications

9. Demande de renseignements

Prière d'adresser les demandes de renseignements au sujet des objectifs et de la mise en œuvre de cette politique à la :

Direction du dirigeant principal de l'information
Secrétariat du Conseil du Trésor du Canada
Télécopieur : (613) 946-9893
Courriel : pki-icp@tbs-sct.gc.ca

Date de modification :