Annulée [2019-06-28] - Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI)
Cette page a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Note aux lecteurs
Norme instaurée en vertu de la Politique du gouvernement sur la sécurité et de la Politique sur la gestion de l'information gouvernementale.Partie I - Introduction
1. Raison d'être
La présente norme définit les exigences sécuritaires de base que les ministères fédéraux doivent satisfaire pour assurer la sécurité de l'information et des biens de technologie de l'information (TI) placés sous leur contrôle.
2. Portée et application
La Politique du gouvernement sur la sécurité énonce les exigences à respecter pour protéger les biens du gouvernement, y compris l'information, et prescrit aux ministères et organismes fédéraux touchés par cette politique de se doter d'une stratégie de sécurité en matière de technologies de l'information. La Politique sur la gestion de l'information gouvernementale exige des ministères qu'ils protègent l'information tout au long de son cycle de vie. La présente norme élargit les exigences de ces deux politiques. De plus, elle remplace les Normes sur la sécurité des technologies de l'information (1995) chapitres 2 et 3 du Manuel du Conseil du Trésor sur la Gestion de l'information et la Gestion administrative.
La Politique du gouvernement sur la sécurité définit la sécurité des TI comme étant les « mesures de sauvegarde visant à préserver la confidentialité, l'intégrité, la disponibilité, l'utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique ». Pour les besoins de la présente norme, le terme sécurité des TI inclura aussi les mesures de protection appliquées aux biens utilisés pour recueillir, traiter, recevoir, afficher, transmettre, reconfigurer, balayer, entreposer ou détruire l'information par voie électronique.
3. Philosophie de gestion du risque
La présente norme établit les exigences de la sécurité des TI, même si la mise en œuvre de ces dernières doit être gérée par les ministères. La documentation technique, publiée en vertu de la présente norme, contient d'autres directives de mise en œuvre.
Comme l'indique la Politique du gouvernement sur la sécurité, les exigences sécuritaires de base sont des dispositions obligatoires qui permettent d'obtenir une cohérence à l'échelle du gouvernement fédéral et d'offrir un niveau minimal de protection pour les ministères. Dans le cadre du profil de risque des ministères, comme l'illustre le Cadre de gestion intégrée du risque (CGIR), la mise en œuvre propre aux exigences de base et celle d'autres mesures de protection devraient être déterminées par la gestion du risque.
4. Principes
La prestation de services nécessite la sécurité des TI.
La sécurité des TI fait partie intégrante de la prestation continue de programmes et de services. Pour éviter toute interruption de service ou perte de confiance que pourrait causer une atteinte à la sécurité des TI, les ministères sont tenus de concevoir la sécurité des TI comme étant un impératif organisationnel et un outil de prestation de services.
Bien que les gestionnaires de la prestation de programmes et services puissent déléguer la responsabilité de la sécurité des TI à des experts techniques, ils demeurent redevables envers les administrateurs généraux et sont responsables d'assurer la sécurité des programmes et des services placés sous leur autorité.
Les pratiques de sécurité des TI doivent tenir compte de l'évolution de l'environnement.
Les technologies de l'information continuent à progresser rapidement dans le sens de l'accroissement de l'interconnectivité et de l'amélioration de la prestation des services. Simultanément, le nombre et la gravité éventuelle des menaces, des vulnérabilités et des incidents se multiplient. Les ministères doivent être conscients de l'évolution de l'environnement et comprendre comment gérer leurs programmes de sécurité des TI en conséquence.
Le gouvernement du Canada est une seule entité.
La disponibilité accrue de services communs et partagés peut aider les ministères à satisfaire à leurs exigences en matière de sécurité. Même si on peut ainsi améliorer l'efficience, les ministères doivent néanmoins comprendre que les décisions de sécurité qu'ils prennent peuvent avoir des incidences sur d'autres organisations.
Travailler ensemble pour soutenir la sécurité des TI.
La sécurité des TI est bien plus que la somme des outils servant à protéger l'information et les systèmes; pour être efficace, un programme de sécurité des TI doit combiner les gens, les processus et les technologies. Chaque directeur principal de ministère, chaque gestionnaire de la prestation de programmes et services, chaque membre du personnel de la sécurité, des opérations de TI ou des ressources humaines ainsi que tout autre intervenant travaillent de manière concertée afin d'atteindre le même niveau élevé de sécurité des TI partout au sein du gouvernement fédéral.
La prise de décision nécessite un processus permanent de gestion du risque.
Afin de prendre de bonnes décisions opérationnelles fondées sur la gestion du risque, les ministères doivent continuellement rester au fait des biens qu'ils détiennent et de leur degré d'importance et de délicatesse. Les décisions doivent être prises en fonction d'un mode de gestion du risque qui reconnaît les incidences éventuelles sur le ministère et sur l'ensemble du gouvernement.
5. Politiques et normes connexes
Le gouvernement établit des politiques, des normes et des lignes directrices portant sur la gestion de l'information, les TI et la sécurité. La présente norme devrait être lue parallèlement à ces politiques, normes et lignes directrices.
6. Structure de la présente norme
La présente norme comprend trois principales parties, en plus des annexes. La Partie I contient de l'information générale sur la sécurité des TI. La Partie II offre une orientation sur la manière d'organiser et de gérer la sécurité des TI au sein des ministères. La Partie III contient des consignes sur les mesures de protection techniques et opérationnelles.
7. Ministères et organismes gouvernementaux clés
L'annexe A de la Politique du gouvernement sur la sécurité définit les rôles et responsabilités des ministères et organismes gouvernementaux qui jouent un rôle clé dans la sécurité de l'information et des TI au sein du gouvernement.
Partie II - Approche ministérielle de l'organisation et de la gestion de la sécurité des TI
8. Introduction
La présente partie de la norme contient une orientation et des directives sur la manière d'organiser et de gérer un programme ministériel de sécurité des TI. Elle porte sur les rôles et les responsabilités, la politique, les ressources et les contrôles de gestion.
9. Rôles et responsabilités
Bien que les ministères attribuent de manière différente les rôles et responsabilités qui suivent (p. ex., ils peuvent utiliser des titres différents que ceux qui figurent ci-après), chaque ministère doit désigner les personnes qui devront tenir les fonctions décrites dans la présente section.
9.1 Coordonnateur de la sécurité des TI
Les ministères doivent nommer un coordonnateur de la sécurité des TI qui doit avoir au moins un rapport hiérarchique fonctionnel à la fois avec le dirigeant principal de l'information et avec l'agent de sécurité du ministère.
Au minimum, le coordonnateur de la sécurité des TI doit :
- mettre en place et gérer un programme ministériel de sécurité des TI dans le cadre d'un programme ministériel de sécurité coordonné;
- examiner les politiques et normes de sécurité des TI du ministère et toutes les politiques qui contiennent des implications pour la sécurité des TI, et recommander leur approbation;
- veiller à ce que soient vérifiées les sections liées à la sécurité des TI de la demande de propositions et de toute autre documentation sur la passation de marchés, y compris les listes de vérification des exigences relatives à la sécurité;
- recommander l'approbation de tous les contrats destinés aux fournisseurs externes de services de sécurité des TI;
- collaborer étroitement avec les gestionnaires de la prestation de programmes et services afin d'effectuer ce
qui suit :
- veiller à ce que leurs besoins de sécurité des TI soient satisfaits,
- prodiguer des conseils sur les mesures de protection,
- les conseiller sur les incidences éventuelles des menaces existantes et nouvelles,
- les informer sur le risque résiduel lié à un programme ou service;
- surveiller la conformité du ministère à la présente norme et à la documentation connexe;
- promouvoir la sécurité des TI au sein du ministère;
- mettre en place un processus efficace afin de gérer les incidents liés à la sécurité des TI et veiller à ce que tous s'y conforment;
- servir de principale personne-ressource au ministère en matière de sécurité des TI.
Le poste de coordonnateur de la sécurité des TI doit faire l'objet d'une enquête de sécurité au niveau secret ou à un niveau plus élevé. Au moment d'embaucher une personne pour ce poste, les ministères devraient privilégier des personnes qui possèdent une attestation de leurs compétences professionnelles.
9.2 Haute direction
L'un des rôles de la haute direction est de promouvoir une culture de la sécurité à l'échelle du ministère.
Lorsqu'elle définit les priorités, les orientations stratégiques, les objectifs des programmes, le budget et la dotation en personnel du ministère, la haute direction doit satisfaire aux exigences en matière de sécurité des TI. Elle doit aussi veiller à fournir une financement approprié pour la sécurité des projets de TI, conformément à la section 10.12 de la Politique du gouvernement sur la sécurité.
La haute direction doit approuver les politiques, normes et lignes directrices ministérielles relatives à la sécurité des TI.
9.3 Agent de sécurité du ministère
La section 10.1 de la Politique du gouvernement sur la sécurité stipule que les ministères sont tenus de nommer un agent de sécurité du ministère chargé d'établir et de diriger un programme de sécurité ministérielle, en plus de fournir une liste des responsabilités liées à ce poste.
L'agent de sécurité du ministère et le coordonnateur de la sécurité des TI doivent veiller à ce que les responsables de la sécurité matérielle, de la protection des personnes et de la sécurité des TI coordonnent leurs efforts de manière à protéger l'information et les biens de TI, et mettre en pratique une approche intégrée et équilibrée.
9.4 Dirigeant principal de l'information
Le dirigeant principal de l'information du ministère assume la responsabilité de veiller à l'efficience et à l'efficacité de la gestion de l'information et des biens de TI du ministère. Compte tenu de l'incidence qu'auraient d'éventuels échecs de prestation de services découlant d'atteintes à la sécurité, le dirigeant principal de l'information et le coordonnateur de la sécurité des TI doivent collaborer pour que des mesures de sécurité appropriées soient mises en place à l'égard de toutes les activités et de tous les processus de GI et de TI.
9.5 Coordonnateur de la planification de la continuité des activités
Le dirigeant principal de l'information, l'agent de sécurité du ministère, le coordonnateur de la sécurité des TI et le coordonnateur de la planification de la continuité des activités doivent collaborer pour appliquer une approche globale de la prestation continue des services. Prière de se reporter à la Norme opérationnelle de sécurité sur le programme de planification de la continuité des activités.
9.6 Gestionnaires de la prestation de programmes et services
Au nom de l'administrateur général du ministère, les gestionnaires de la prestation de programmes et services assument la responsabilité de fournir un niveau de sécurité approprié pour leurs programmes et services. Au stade de la conception des programmes et services, les gestionnaires collaborent avec les spécialistes de la sécurité du ministère afin de gérer les risques liés à leurs programmes ou services. En s'appuyant sur les conseils et le support du coordonnateur de la sécurité des TI, les gestionnaires doivent déterminer les exigences de sécurité des TI pour leurs programmes et services et doivent les accréditer en acceptant le risque résiduel qui leur est associé.
Les gestionnaires doivent s'assurer que, dans leurs champs de responsabilité, les exigences énoncées dans la présente norme, dans la Politique du gouvernement sur la sécurité et dans d'autres politiques, normes et documentation technique connexes, soient satisfaites.
9.7 Personnel des opérations de TI
Le personnel des opérations de TI inclut les administrateurs ou gestionnaires de réseau ou de système, le personnel du centre d'assistance, les gestionnaires de compte, le personnel de la sécurité des systèmes, celui de la maintenance et tout autre personnel de soutien des TI. Sous la direction générale du coordonnateur de la sécurité des TI et conformément aux priorités, politiques et procédures ministérielles, le personnel des opérations de TI doit :
- suivre les procédures de sécurité et y recommander des améliorations
- régler les incidents en matière de sécurité
- mettre à l'essai et installer des correctifs de sécurité
- maintenir ou mettre à niveau le matériel et les logiciels de sécurité
- surveiller les systèmes et les journaux d'activité
- sauvegarder et récupérer l'information
- gérer les privilèges et les droits d'accès
9.8 Autre personnel
Tout le personnel doit se conformer à la politique et aux procédures de sécurité des TI du gouvernement ou du ministère et à tout autre document connexe. Il doit signaler aux responsables de la sécurité désignés les incidents de sécurité, qu'ils soient réels ou présumés, normalement par l'intermédiaire de leur supérieur immédiat. Aux fins de la présente norme, le personnel inclut les employés, les membres du personnel, les entrepreneurs, les étudiants, les visiteurs et les Forces canadiennes.
9.9 Gardien COMSEC
Les ministères qui gardent des dossiers cryptographiques classifiés, des éléments cryptographiques contrôlés ou des documents comptables doivent avoir un compte COMSEC (Sécurité des communications). Ces ministères doivent nommer un gardien COMSEC (et un remplaçant, au besoin) qui sera responsable de ces dossiers, éléments et documents conformément aux directives du Centre de la sécurité des télécommunications.
9.10 Gestionnaires de projet de TI
Avec l'aide du coordonnateur de la sécurité des TI et du personnel chargé du soutien opérationnel des TI, les gestionnaires de projet de TI doivent faire en sorte que les exigences en matière de sécurité des projets sont respectées au moyen du développement et de la mise en œuvre de devis techniques de sécurité.
10. Politique ministérielle de sécurité des TI
Chaque ministère doit avoir une politique de sécurité des TI qui se fonde sur la Politique du gouvernement de sécurité, la présente norme et les autres politiques, normes et documents techniques connexes. Cette politique peut constituer un document distinct ou s'inscrire, sous forme d'énoncés de politique, dans la politique de sécurité ministérielle.
Au minimum, la politique ministérielle de sécurité des TI doit :
- définir les rôles et responsabilités des gestionnaires de prestation de services et de programmes, du dirigeant principal de l'information, des conseillers juridiques, des spécialistes de la protection des renseignements personnels et des spécialistes de la sécurité du ministère et d'autres membres du personnel en rapport avec la sécurité des TI;
- établir les liens requis avec les autres normes et politiques ministérielles et les exigences juridiques et réglementaires en matière de sécurité des TI (p. ex., politique sur l'utilisation acceptable);
- énoncer l'exigence de faire de la sécurité des TI une partie intégrante de la prestation des services et des programmes;
- énoncer les besoins pour obtenir du financement aux fins de support de la sécurité des TI;
- énoncer les exigences d'examen et de remaniement de la politique ministérielle de sécurité des TI et des documents connexes.
11. Ressources de sécurité des TI destinées aux projets
Au stade de la planification de nouveaux programmes ou services et d'importantes mises à niveau de programmes ou services existants, les gestionnaires responsables doivent, dès le tout début du processus de financement et d'approbation, déterminer les exigences sécuritaires pour ces programmes, services ou mises à niveau, et indiquer les ressources requises dans les demandes de financement.
12. Contrôles de gestion
La présente section décrit les contrôles de gestion qui s'appliquent à tous les programmes et services ministériels. La partie III de la présente norme définit les mesures de protection techniques et opérationnelles à l'appui de ces contrôles.
12.1 Sécurité dans le cycle chronologique d'élaboration des systèmes
Compte tenu de la difficulté de prendre des mesures de protection des TI rentables après le déploiement d'un système, et comme les technologies et les menaces évoluent constamment, les ministères doivent régler les questions de sécurité et rajuster les exigences de sécurité tout au long des stades du cycle chronologique d'élaboration des systèmes ci-après, y compris dès les premiers stades de la planification et vérification :
- Préparation
- Une évaluation initiale des menaces et des risques (EMR) permettra de fournir des intrants aux exigences de sécurité des TI.
- Conception et développement
- Le dosage approprié des mesures de protection visant l'aspect technique, la gestion, le fonctionnement, la sécurité matérielle et la sécurité du personnel permet de satisfaire aux exigences énoncées dans l'Évaluation des menaces et des risques.
- Mise en œuvre
- Créer la documentation de conception, effectuer les tests d'acceptation et obtenir la certification et l'accréditation.
- Fonctionnement
- La sécurité du système est surveillée et maintenue tandis que l'Évaluation des menaces et des risques aide à évaluer les modifications pouvant avoir une incidence sur la sécurité.
- Conservation et élimination
- Conformément aux normes et lignes directrices visant l'archivage et la sécurité, archiver ou détruire l'information et les biens de TI de nature délicate dans les systèmes.
Étant donné que les systèmes sous-tendent la plupart des programmes et services, l'approche de la sécurité des TI qui est liée au cycle chronologique d'élaboration des systèmes s'applique aussi à la gestion des programmes et services.
12.2 Identification et catégorisation des biens de TI
Conformément à la Norme opérationnelle de sécurité sur l'identification et la catégorisation des biens, les ministères doivent déterminer le degré d'importance et de délicatesse de leur information et de leurs biens de TI sur les plans de la confidentialité, de l'intégrité, de la disponibilité et de la valeur.
Ce processus est essentiel pour établir les priorités ministérielles au chapitre de la sécurité des TI et il aide à définir l'application progressive des contrôles et mesures de protection prévus dans la présente norme et dans les documents techniques afférents.
12.3 Gestion du risque de sécurité
Les ministères doivent gérer les risques de sécurité touchant l'information et les biens de TI tout au long du cycle de vie de leurs programmes et services.
La gestion du risque de sécurité n'est qu'un élément de la gestion du risque pour l'organisation et les services décrite dans le Cadre intégré de gestion des risques.
Les activités de gestion du risque de sécurité incluent les évaluations des menaces et des risques, les vérifications, les analyses de l'incidence sur l'organisation, les évaluations des répercussions sur la protection des renseignements personnels, les auto-évaluations, la surveillance, les enquêtes de sécurité et les évaluations de vulnérabilité. Comme certaines de ces activités vont générer une information identique ou similaire sur la gestion du risque, le gestionnaire de la prestation de programmes et services devrait éviter le chevauchement en veillant à leur coordination et au partage de l'information ainsi recueillie (en vertu des lois et politiques en vigueur traitant avec la collecte, l'utilisation, la divulgation et la conservation de l'information).
12.3.1 Application progressive des contrôles et mesures de protection
L'application progressive des contrôles de gestion et des mesures de protection techniques et opérationnelles devrait se fonder au moins sur les éléments suivants :
- le degré de délicatesse et d'importance des biens liés aux programmes et services;
- les menaces à la confidentialité, l'intégrité, la disponibilité ou la valeur des biens;
- les vulnérabilités connues du programme ou service;
- les données sur les incidents ou l'historique de ceux-ci;
- les risques que les biens ne soient exposés à des menaces (p. ex., par Internet).
Ces activités contribuent à la gestion des risques des programmes, systèmes et services.
12.3.2 Évaluation des menaces et des risques
L'évaluation des menaces et des risques est un des éléments qui permettent d'établir les exigences en matière de sécurité. Les ministères doivent appliquer des mesures de sécurité supérieures aux exigences de base lorsqu'une évaluation des menaces et des risques le justifie.
Étapes de l'évaluation des menaces et des risques :
- identifier et classer l'information et les biens connexes selon leur degré de délicatesse (et consigner cette information dans un énoncé de la nature délicate);
- évaluer les vulnérabilités du système et les menaces à son endroit qui pourraient avoir une incidence sur la prestation d'un programme ou d'un service;
- déterminer le niveau de risque, en fonction des mesures de protection en place et des vulnérabilités du système;
- recommander des mesures de protection qui permettront de ramener le risque à un niveau acceptable.
Les ministères doivent coordonner l'identification et la catégorisation de leurs biens avec les activités connexes telles que les évaluations des répercussions sur la protection des renseignements personnels ou les analyses des répercussions sur les activités.
Les ministères doivent effectuer une Évaluation des menaces et des risques (EMR) pour chaque programme, système ou service. Ce type d'évaluation peut être soit simple et concise, soit détaillée et rigoureuse, selon le degré de délicatesse, d'importance et de complexité du programme, du système ou du service faisant l'objet de l'évaluation.
Dans le cas des programmes, systèmes ou services pour lesquels les inquiétudes relatives à l'environnement d'exploitation et à la sécurité sont identiques ou similaires, les ministères sont encouragés à développer des EMR réutilisables.
12.3.3 Certification et accréditation
La certification sert à vérifier si les exigences de sécurité établies pour un système ou service particulier sont respectées et si les contrôles et mesures de protection fonctionnent comme prévu. L'accréditation vise à confirmer si la direction a autorisé le fonctionnement du système ou service et si elle a accepté le risque résiduel lié au fonctionnement du système ou service, en se fondant sur les éléments probants de la certification.
Les ministères doivent avoir leurs systèmes ou services certifiés et accrédités avant d'en autoriser le fonctionnement. Le rendement progressif de la certification dépend de la quantité et de la qualité des éléments probants de certification exigés par le responsable de l'accréditation. Ces derniers peuvent inclure les résultats applicables de l'EMR, de l'évaluation de l'incidence sur les activités, de l'évaluation des répercussions sur la protection des renseignements personnels, de l'évaluation de vulnérabilité, de l'évaluation des tests de sécurité et des produits, des auto-évaluations, des vérifications, des examens de sécurité et des évaluations juridiques et stratégiques connexes qui font la preuve de la conformité aux lois et politiques pertinentes.
Les ministères doivent examiner périodiquement l'accréditation des systèmes ou services si ces derniers ont beaucoup changé ou si cela est nécessaire en raison de changements survenus dans l'environnement de risque.
Pour les systèmes ou services communs, le dirigeant principal de l'information du gouvernement du Canada est le responsable de l'accréditation. Pour les systèmes ou services propres à un ministère, le gestionnaire de la prestation de programmes ou services est chargé de l'accréditation. Pour les systèmes ou services communs à deux organisations ou plus, le gestionnaire du programme ou du service est responsable de l'accréditation.
12.4 Gestion des incidents
La gestion des incidents couvre l'incident depuis sa découverte jusqu'à la mise en œuvre des mesures appropriées. La découverte d'un incident se fait souvent par l'entremise de systèmes qui détectent l'occurrence d'incidents. Une fois l'incident détecté, les ministères doivent être en mesure de cerner correctement l'incident et d'y réagir à la fois au sein du ministère et dans le cadre d'une réponse coordonnée à l'échelle du gouvernement.
La gestion des incidents fait partie d'une stratégie de défense active décrite à la section 15. Se reporter aux sections 17 et 18 pour obtenir de plus amples renseignements sur la gestion des incidents.
12.5 Gestion de la vulnérabilité
Les ministères doivent continuellement gérer les vulnérabilités de leurs programmes, systèmes et services. Cette tâche de gestion inclut la découverte des vulnérabilités et la mise en œuvre de solutions adaptées. Dans le cadre de la découverte, les ministères doivent vérifier activement les sources d'information sur la vulnérabilité afin d'en déterminer les effets éventuels sur leurs programmes, systèmes et services.
Dans le cadre de la gestion des solutions, les ministères doivent déterminer le risque que posent les vulnérabilités. En fonction de ce risque, les ministères doivent évaluer l'incidence de la solution proposée pour la vulnérabilité, et, par la suite, mettre en œuvre et déployer la solution (p. ex., un correctif logiciel). Les ministères qui découvrent dans un système une vulnérabilité pour laquelle il n'existe aucun correctif devraient avoir recours à une autre méthode pour atténuer le risque (p. ex., changer la configuration).
12.5.1 Évaluation de la vulnérabilité
Une évaluation de la vulnérabilité permet de découvrir les points vulnérables de systèmes existants. Les ministères doivent effectuer une évaluation de la vulnérabilité régulièrement pour les systèmes très délicats ou assortis de risques importants, et à leur discrétion, pour les autres systèmes.
Les ministères doivent consigner les détails relatifs aux évaluations de la vulnérabilité, les décisions prises et les mesures correctives prises ultérieurement, p. ex., les correctifs logiciels.
12.5.2 Gestion des correctifs
Le fait de ne pas appliquer rapidement les correctifs de sécurité peut entraîner de graves incidents en matière de sécurité des TI. Les ministères doivent mettre en place un processus systématique et documenté de gestion des correctifs afin de s'assurer qu'ils appliquent les correctifs de sécurité en temps opportun. Le coordonnateur de la sécurité des TI doit veiller à ce que ce processus soit efficace et à ce que le ministère le respecte.
12.6 Répartition des fonctions
Le fait de confier toutes les responsabilités d'un système de TI ou d'une fonction au sein de l'organisation à une seule personne peut rendre un système vulnérable à un abus non détecté ou à une défaillance ponctuelle. Afin qu'aucune personne ne détienne le contrôle complet d'un système entier de TI ou d'une importante fonction d'exécution, les ministères doivent, dans la mesure du possible, répartir les responsabilités de TI. Les personnes autorisées à effectuer des opérations sensibles ne doivent pas être autorisées à en faire la vérification.
12.7 Passation de marchés
Les ministères doivent respecter les exigences de sécurité des TI au cours du processus de passation de marchés. Avant de signer un contrat, les ministères doivent vérifier si la sécurité des TI convient au type de marchandises ou de services que fournira l'entrepreneur, et si tel est le cas, ils doivent justifier les exigences de sécurité à tous les stades de la passation de marchés.
Les ministères doivent nommer, au sein de leur personnel, des personnes responsables de superviser le travail des fournisseurs de services de sécurité des TI externes.
Pour de plus amples renseignements, prière de consulter la Norme de sécurité et de gestion des marchés.
12.8 Planification de la continuité
La planification de la continuité de la Gestion de l'information (GI) et des Technologies de l'information (TI) fait partie intégrante de la planification de la continuité des activités. L'un des objectifs de la planification de la continuité de la GI est de faire en sorte qu'il y ait peu ou pas d'interruptions dans la disponibilité des biens d'information. Un des objectifs de la planification de la continuité des TI est de faire en sorte qu'il y ait peu ou pas d'interruptions dans la disponibilité des services et biens essentiels de TI. Dans le cadre de la planification de la continuité des activités, les ministères doivent élaborer un plan de continuité pour la GI et un autre pour les TI puis, les tester et les réviser régulièrement. Le coordonnateur de la planification de la continuité des activités doit collaborer avec le coordonnateur de la sécurité des TI tout au long de la planification de la continuité des activités.
Pour de plus amples renseignements, prière de consulter la Norme opérationnelle de sécurité sur le programme de planification de la continuité des activités.
12.9 Sanctions
La section 10.16 de la Politique du gouvernement sur la sécurité exige que les ministères imposent des sanctions en raisons de violations de la sécurité des TI, lorsque, de l'avis de l'administrateur général, il y a eu inconduite ou négligence. Pour de plus amples informations, veuillez consulter la norme opérationnelle de sécurité sur les sanctions et les lignes directrices du Conseil du Trésor sur la discipline.
12.10 Partage et échange d'information et de biens de TI
Les ministères qui partagent de l'information, l'infrastructure des TI et d'autres biens de TI doivent rédiger une entente de sécurité qui définit les modalités de tout partage d'information, et qui reconnaît les conséquences légales de ce partage. Comme le stipule la section 10.2 de la Politique du gouvernement sur la sécurité, les ministères qui partagent de l'information et d'autres biens ou qui se servent d'une infrastructure commune doivent se conformer aux normes de sécurité définies pour ce système ou cette infrastructure.
Les ministères qui détiennent ou utilisent de l'information provenant de l'extérieur du gouvernement du Canada (p. ex., de l'industrie, d'un gouvernement provincial ou de parties internationales) doivent respecter les ententes ou les arrangements pris avec les parties qui ont fourni l'information.
12.11 Évaluation et vérification de la sécurité des TI à l'échelle du ministère
Les ministères devraient surveiller activement les pratiques et les contrôles de gestion. Dans le cadre de leurs responsabilités, les ministères doivent évaluer et vérifier la sécurité des TI et en combler les lacunes, s'il y a lieu.
12.11.1 Auto-évaluation
Les ministères doivent effectuer une évaluation annuelle de leur programme et de leurs pratiques de sécurité des TI afin de vérifier leur conformité aux politiques et normes de sécurité du gouvernement et du ministère, au moyen de la méthode d'auto-évaluation de la sécurité des TI mise au point par le Secrétariat du Conseil du Trésor. Cette méthode sera expliquée en détail dans des documents ultérieurs.
L'auto-évaluation de la sécurité des TI permet de repérer les lacunes et aide les ministères à trouver et à mettre en œuvre des mesures correctives. En fonction des résultats de l'auto-évaluation, les ministères doivent élaborer ou mettre à jour leur plan d'action en matière de sécurité des TI et déterminer les ressources requises pour le mettre en œuvre.
Afin d'aider le Secrétariat du Conseil du Trésor à évaluer la sécurité à l'échelle du gouvernement, les ministères doivent présenter leur auto-évaluation de la sécurité des TI quand le dirigeant principal de l'information en fait la demande.
12.11.2 Vérification interne
La planification des vérifications de la sécurité des TI doit être intégrée au processus général de planification des vérifications internes du ministère, et placée selon un ordre de priorité conforme à la Politique du SCT sur la vérification interne, aux exigences du ministère et du gouvernement du Canada ainsi qu'à la stratégie et aux pratiques générales du ministère en matière de gestion du risque. En général, le processus interne de planification de la vérification accorde la priorité aux domaines assortis d'une grande importance relative et de grands risques, aux systèmes fondamentaux des ministères sur les plans financier, administratif ou de contrôle, ainsi qu'aux processus de production de rapports externes sur le rendement.
Le coordonnateur de la sécurité des TI et le dirigeant principal de l'information doivent être consultés pendant chaque étape d'une vérification du programme de sécurité des TI et au cours de toutes les vérifications de programmes ou services ministériels ayant une composante de sécurité des TI. Le coordonnateur de la sécurité des TI doit préparer une réponse écrite à la vérification de la sécurité des TI et élaborer un plan d'action qui sera soumis à l'approbation de la haute direction.
12.12 Sensibilisation à la sécurité des TI
Les ministères doivent informer les membres de leur personnel de leurs responsabilités et de toute question ou de tout problème liés à la sécurité des TI, et les leur rappeler régulièrement. Le personnel inclut toute personne ayant accès à l'information et aux biens de TI du gouvernement. Les ministères doivent inclure une sensibilisation à la sécurité des TI dans la formation des nouveaux employés. Les ministères doivent intégrer la sensibilisation à la sécurité des TI à leur programme général de sensibilisation à la sécurité du ministère.
Les ministères doivent veiller à ce que tout le personnel connaisse les risques de sécurité associés à l'utilisation des postes de travail et de tout autre matériel informatique (notamment les assistants numériques personnels ou ANP), étant donné que la sécurité de l'information à laquelle on a accès dépend principalement de la personne qui utilise le matériel.
Afin de sensibiliser davantage les employés, les ministères sont invités à afficher des avis sur la sécurité des TI partout où le personnel travaille et à vérifier régulièrement les postes de travail afin de s'assurer que le personnel respecte les consignes de sécurité des TI.
12.13 Formation en matière de sécurité des TI
Les ministères doivent offrir en permanence une formation sur la sécurité des TI à toutes les personnes assumant des responsabilités importantes en la matière.
Partie III - Mesures de protection techniques et opérationnelles
La Partie III contient une orientation et des consignes sur certaines des mesures de protection techniques et opérationnelles disponibles. Les ministères choisissent un ensemble de ces mesures de protection et éventuellement d'autres afin que, ensemble, elles permettent de ramener le risque résiduel à un niveau acceptable. D'autres mesures de protection sont décrites dans d'autres normes de sécurité et documents techniques.
13. Mesures de protection progressives
Les ministères doivent appliquer des mesures de protection progressives qui sont proportionnelles aux risques menaçant leur information et leurs biens de TI, en ayant recours à des mesures de protection plus rigoureuses à mesure qu'augmentent la valeur des biens, les exigences de la prestation de service et les menaces à la confidentialité, à la disponibilité ou à l'intégrité. Les facteurs ayant une incidence sur le niveau de protection choisi sont expliqués à la section 12.3.1.
Les ministères peuvent réduire les coûts généraux de la sécurité pour les systèmes de TI en divisant l'information et les services de nature délicate, et en consacrant la gamme des mesures de protection plus coûteuses et plus restrictives à un nombre limité de biens.
14. Processus de TI au cœur de la sécurité
Les ministères doivent fonder leur sécurité des TI sur les contrôles généraux suivants.
14.1 Gestion de la configuration et contrôle des modifications
Quand ils proposent une gestion de la configuration ou des modifications au système, les ministères doivent demander les conseils du coordonnateur de la sécurité des TI si ces modifications ont la capacité de compromettre la sécurité.
14.2 Signalement des problèmes et centre d'assistance
Des mesures de sécurité de TI doivent être intégrées aux tâches routinières du processus de signalement des problèmes du ministère ou de l'unité centralisée d'assistance. Le centre d'assistance est habituellement le premier point de contact pour les utilisateurs souhaitant signaler des problèmes, notamment avec les mots de passe, la corruption de données, le rendement du réseau ou les interruptions de service. Si l'incident implique une atteinte possible à la sécurité, les procédures de réaction consignées doivent préciser comment le personnel du centre d'assistance doit consigner l'événement, repérer les tendances, aviser le coordonnateur de la sécurité des TI ou une équipe de réaction aux incidents, et aviser l'utilisateur de la façon de procéder.
14.3 Planification de la capacité
Afin de soutenir les exigences de disponibilité, les ministères devraient surveiller la capacité des systèmes et du réseau afin de planifier et de mettre en œuvre des modifications de capacité en temps opportun.
14.4 Services de soutien des systèmes
Les ministères doivent s'assurer que les services sous-jacents aux systèmes (p. ex., l'horodatage et la consignation d'événements) sont offerts afin d'appuyer les services de sécurité.
En se fiant à une source fiable d'horodatage, les ministères donnent la date et l'heure exactes partout dans leurs systèmes et leurs réseaux. La fiabilité de l'horodatage est particulièrement importante dans les activités comme les opérations financières électroniques, les signatures numériques, la vérification et l'enquête.
15. Stratégie de défense active
Les ministères doivent adopter une stratégie de défense active qui inclut la prévention, la détection, la réaction et la reprise (PDRR). La prévention est la première ligne de défense. Puisque les mesures de prévention peuvent être déjouées, les ministères doivent être en mesure de détecter les incidents rapidement, d'y réagir promptement afin de limiter les dommages et de rétablir les systèmes et les données en temps opportun.
Les ministères doivent continuellement surveiller les menaces et les vulnérabilités et, au besoin, agir proactivement en prenant des contre-mesures. Les ministères doivent réagir aux alertes et avis émis par Sécurité publique et protection civile Canada (SPPCC), et prendre en considération l'information provenant des fournisseurs de produits de sécurité et des organismes de surveillance externes, notamment le Computer Emergency Response Team Coordination Center (CERT CC). Au cours des périodes où les niveaux de préparation sont accrus ou des périodes de recrudescence des menaces à l'endroit des TI, les ministères sont tenus d'accroître leur vigilance, par exemple en élargissant les heures d'ouverture d'un centre de protection de l'information (CPI) à 24 heures par jour et sept jours par semaine.
Pour les ministères qui détiennent des informations très sensibles et essentielles de même que des biens de TI dépendant de réseaux et de systèmes complexes, il PEUT être utile d'ouvrir un CPI spécialisé. Ce CPI peut coordonner la défense active au sein du ministère et veiller à ce que le ministère communique et collabore avec SPPCC et d'autres organismes de sécurité.
16. Prévention
Les mesures de prévention protègent la confidentialité, l'intégrité et la disponibilité de l'information et des biens de TI.
16.1 Sécurité matérielle au sein de l'environnement de sécurité des TI
Les mesures de sécurité matérielle, notamment les serrures et les systèmes d'alarme, réduisent le risque d'accès non autorisé à l'information et aux biens de TI. La sécurité matérielle sert aussi à protéger l'information et les biens de TI contre les incendies, les inondations, les tremblements de terre, les pannes de courant, etc.
Les exigences énoncées dans la section 10.11 de la Politique du gouvernement sur la sécurité et dans la Norme opérationnelle sur la sécurité matérielle s'appliquent tant aux systèmes de technologie de l'information qu'à leurs installations et locaux de service. Cela inclut la définition des exigences de sécurité dans les plans des installations de TI, et l'utilisation de zones de sécurité matérielle, de conteneurs et d'autres mécanismes de sécurité appropriés afin de protéger l'information et les biens de TI.
Les ministères doivent protéger les appareils tels que les ordinateurs portatifs, les dispositifs numériques tenus à la main et les téléphones cellulaires, en fonction de l'information qu'ils contiennent et de leur valeur pécuniaire.
Les ministères devant détruire ou éliminer les supports de TI contenant de l'information classifiée ou protégée doivent suivre les méthodes et procédures définies dans la documentation technique qui leur est associée.
16.2 Stockage et élimination des supports de TI
Les ministères doivent marquer les supports de TI contenant de l'information classifiée ou protégée conformément à la Norme opérationnelle de sécurité sur l'identification des biens et doivent, conformément à la Norme opérationnelle sur la sécurité matérielle, procéder à ce qui suit :
- stocker les copies de sauvegarde ou les supports de TI sensibles liés à des systèmes ou services assortis d'un degré de disponibilité élevé ou moyen, dans des contenants conçus pour résister au feu ou à d'autres dommages causés par l'environnement (cette règle s'applique à l'entreposage tant sur place qu'à l'extérieur);
- éliminer les supports de TI contenant de l'information classifiée ou protégée.
16.3 Sécurité du personnel dans l'environnement de sécurité des TI
Les mesures de sécurité du personnel visent à instaurer la confiance au sein du personnel et chez les autres personnes qui doivent avoir accès aux systèmes et réseaux du gouvernement.
Les exigences de sécurité en rapport avec les enquêtes sur le personnel se trouvant dans la section 10.9 de la Politique du gouvernement sur la sécurité et dans la Norme opérationnelle sur les enquêtes de sécurité s'appliquent aux postes et aux contrats nécessitant l'accès à l'information et aux biens liés à la technologie de l'information et à la sécurité des TI. De plus, les ministères doivent effectuer une enquête de sécurité, au moins jusqu'au niveau secret, de tout membre du personnel ayant un accès privilégié aux systèmes essentiels.
16.4 Mesures de protection techniques
16.4.1 Sélection des produits de sécurité
Les ministères doivent tenir compte du coût, de la qualité, de l'efficacité, de la facilité d'utilisation, de la certification et de l'incidence sur le rendement des systèmes des ministères lorsqu'ils choisissent des produits de sécurité. Les ministères devraient utiliser des produits évalués, surtout dans les systèmes où la sécurité que permettent ces produits est assurée. Les produits qui sont évalués doivent l'être en fonction de la norme ISO/CEI 15408, contenant les critères communs pour l'évaluation de la sécurité des technologies de l'information.
Si aucun produit évalué n'est choisi, les ministères doivent valider le choix et obtenir autrement la certitude que procure leur processus de certification et d'accréditation.
16.4.2 Identification et authentification
Les ministères doivent intégrer des mesures d'identification et d'authentification dans tous leurs réseaux et systèmes, en fonction du niveau de risque pour le réseau ou le système. Lorsqu'ils attribuent un code d'identification exclusif à un utilisateur, les ministères doivent veiller à identifier en bonne et due forme la personne à qui ce code est destiné.
Les mesures d'identification et d'authentification sont importantes car d'autres mesures de sécurité en dépendent. Pour les environnements assortis d'un risque faible (p. ex., accès à partir d'un réseau interne ou systèmes contenant de l'information dont le degré de sensibilité est faible), les ministères peuvent avoir recours à des méthodes d'authentification simples (p. ex., un mot de passe), si les mots de passe sont bien gérés et protégés. Pour les environnements assortis d'un risque plus élevé (p. ex. accès à partir de réseaux externes comme Internet, ou systèmes contenant de l'information dont le degré de sensibilité est élevé), les ministères peuvent avoir recours à des méthodes d'authentification plus rigoureuses (p. ex., de type cryptographique). Si d'autres mesures de sécurité sont nécessaires, les ministères peuvent utiliser des mesures de protection supplémentaires, comme les jetons ou la biométrie.
16.4.3 Autorisation et contrôle de l'accès
Les ministères doivent limiter l'accès des TI et de l'information aux personnes qui ont fait l'objet d'une enquête de sécurité et qui ont été autorisées; qui ont été identifiées et authentifiées; et qui ont un accès sélectif.
Les ministères ne doivent accorder que des privilèges d'accès minimums de manière à ce que les personnes ne puissent accomplir avec ceux-ci que les tâches liées à l'exercice de leurs fonctions (c.-à-d., principe du droit d'accès minimal) et veiller à ce que les privilèges d'accès sont mis à jour régulièrement pour correspondre exactement aux responsabilités actuelles de la personne.
Les ministères doivent retirer les privilège d'accès à toute personne (y compris les étudiants, entrepreneurs et autres personnes possédant un droit d'accès à court terme) qui quitte l'organisation, et revoir les privilèges d'accès lorsque des personnes sont mutées à un poste qui ne requiert pas le même niveau d'accès.
16.4.4 Cryptographie
Utilisée correctement, la cryptographie constitue un moyen efficace d'assurer la confidentialité, l'intégrité, l'authentification et la non-répudiation. Les ministères doivent aussi garantir l'efficacité de la gestion des clés de chiffrement, y compris la protection et la récupération de ces clés.
Les ministères doivent utiliser le chiffrement ou d'autres mesures de protection homologuées ou approuvées par le Centre de la sécurité des télécommunications (CST) afin de protéger la transmission électronique de toute information classifiée et de tout renseignement protégé et coté C. Les ministères devraient chiffrer les renseignements protégés cotés A et B lorsqu'ils ont une évaluation des menaces et des risques à l'appui. Cependant, les ministères doivent chiffrer l'information protégée cotée B avant de la transmettre par Internet ou un réseau sans fil.
16.4.5 Infrastructure à clés publiques
L'infrastructure à clés publiques (ICP) est l'une des manières dont les ministères peuvent satisfaire aux exigences d'authentification, de confidentialité, d'intégrité et de non-répudiation. L'ICP permet le chiffrement de clés publiques et les signatures numériques, et offre des procédés de gestion des clés publiques.
Pour de plus amples renseignements, prière de se reporter à la Politique de gestion de l'Infrastructure à clé publique au gouvernement du Canada et aux Politiques de certification du gouvernement du Canada. Les politiques de certification définissent les exigences de sécurité pour les certificats à divers niveaux d'assurance.
16.4.6 Sécurité des réseaux et défense du périmètre
Les ministères doivent diviser les réseaux en zones de sécurité des TI et mettre en en place des mesures de défense du périmètre et de protection des réseaux. La norme Exigences sécuritaires de base des zones STI décrit cette mise en place. Le fait d'utiliser des zones de sécurité des TI dans tous les ministères assure un niveau minimal cohérent de protection des réseaux d'échange de données à l'échelle du gouvernement.
Les ministères doivent confiner rigoureusement toutes les interfaces avec les zones publiques, y compris tous les réseaux externes non contrôlés comme Internet, à un périmètre de sécurité déterminé. Les ministères doivent avoir recours aux mesures de défense du périmètre (p. ex., gardes-barrières ou routeurs) pour faciliter le trafic et protéger les serveurs accessibles à partir d'Internet.
16.4.7 Informatique mobile et télétravail
L'utilisation des biens de TI à l'extérieur d'un ministère peut multiplier les risques de sécurité de l'information. Les ministères qui permettent au personnel d'utiliser l'information du ministère et ses biens, réseaux et systèmes de TI à l'extérieur des bureaux du gouvernement doivent mettre en place des procédures appropriées.
Pour protéger l'ordinateur servant à l'accès à distance, l'information qu'il contient et la liaison téléinformatique, les ministères devraient utiliser une combinaison efficace des instruments suivants : mesures de protection matérielle, contrôles d'accès, chiffrement, protection contre les codes malveillants (p. ex., logiciels de balayage des virus), copies de sauvegarde, paramètres de configuration de sécurité (p. ex., contrôles du système d'exploitation), mesures d'identification et d'authentification de même que contrôles de sécurité du réseau (p. ex., garde-barrière pour OP).
Les ministères doivent s'assurer que le personnel travaillant en dehors de leurs installations est conscient de ses responsabilités en matière de sécurité incluant la sensibilité et la criticité de l'information et des TI auxquels ils ont accès.
16.4.8 Appareils sans fil
L'utilisation des appareils sans fil peut multiplier les risques de sécurité de l'information. Les ministères doivent prendre des mesures de protection appropriées et restreindre l'utilisation de ces appareils aux personnes qui ont reçu l'autorisation du ministère.
Les utilisateurs doivent éteindre leurs appareils sans fil capables de transmettre des messages vocaux lorsqu'ils assistent à une réunion où de l'information délicate (protégée et ayant une cote supérieure à A) est échangée.
Les ministères devraient communiquer avec le Centre de la sécurité des télécommunications pour obtenir plus de détails sur la manière de sécuriser l'utilisation des appareils sans fil.
16.4.9 Sécurité relative aux émanations
La plupart des appareils électroniques émettent des signaux électromagnétiques qui, s'ils sont interceptés, peuvent compromettre la sécurité d'informations délicates. Il existe fondamentalement deux méthodes pour atténuer ce risque, à savoir la suppression de la source et le confinement des signaux porteurs d'information qui, ensemble, forment la norme TEMPEST.
Au Canada, les ministères devraient appliquer la norme TEMPEST à l'information très secrète et aux renseignements protégés C lorsqu'une évaluation des menaces et des risques le justifie. À l'étranger, les ministères devraient appliquer la norme TEMPEST à toute information classifiée lorsqu'une évaluation des menaces et des risques le justifie.
16.4.10 Câbles de télécommunication
Les ministères doivent protéger les données transmises par câbles de télécommunications contre toute interception non autorisée ou contre tout dommage. Les ministères doivent autoriser, contrôler et surveiller l'accès aux câbles de télécommunications, aux locaux et aux chemins d'accès (p. ex., les salles de télécommunications, les salles de l'ordinateur central et les autres salles contenant du matériel) de manière appropriée au degré de sensibilité de l'information à transmettre.
Les ministères devraient offrir une protection supplémentaire, comme les systèmes de distribution rouges, pour la transmission de renseignements protégés C et classifiés.
Si les mesures de sécurité matérielle s'avèrent impraticables, les ministères devraient avoir recours au chiffrement ou à d'autres méthodes approuvées par le Centre de la sécurité des télécommunications.
16.4.11 Intégrité des logiciels et configuration de sécurité
Les mesures de protection permettant de maintenir l'intégrité des logiciels peuvent aider à éviter bien des incidents éventuels en matière de sécurité.
Les ministères devraient configurer leurs systèmes d'exploitation et leurs logiciels d'application conformément aux pratiques exemplaires en matière de sécurité. Les ministères doivent configurer leurs systèmes de manière à contrôler l'utilisation de codes mobiles (p. ex., Javascript).
Les ministères doivent mettre en place des mesures de protection pour renforcer les logiciels exposés à Internet (p. ex., les serveurs Web et leurs logiciels) ou les serveurs qui supportent les applications délicates. Au minimum, les ministères devraient retirer ou désactiver les services et applications inutiles et configurer correctement l'authentification des utilisateurs.
Les ministères devraient interdire l'utilisation de logiciels non autorisés et devraient être en mesure de balayer les réseaux afin de détecter tout logiciel non autorisé.
Pour plus de détails sur les pratiques exemplaires de configuration et de renforcement des logiciels, prière de se reporter aux directives émises par le Centre de la sécurité des télécommunications, le « National Institute for Standards and Technology » et le « Centre for Internet Security ».
16.4.12 Code malveillant
Les systèmes de TI sont vulnérables aux codes malveillants tels que les virus, le cheval de Troie et les vers de réseau. Les pièces jointes à des courriels comptent parmi les sources les plus fréquentes de code malveillant.
Les ministères doivent régulièrement installer, utiliser et mettre à jour des logiciels antivirus et effectuer un balayage pour repérer les codes malveillants sur tous les fichiers électroniques provenant de l'extérieur. Les ministères doivent installer les nouvelles définitions de virus dès qu'elles sont disponibles. Les ministères devraient mettre en place des logiciels de détection des virus à plusieurs points de l'infrastructure, y compris les ordinateurs de bureau, les serveurs et les points d'entrée au ministère.
17. Détection
Pour détecter les incidents, les ministères peuvent utiliser, en vertu des lois et politiques applicables, des gardes-barrières et des routeurs, des journaux de vérification, des logiciels de détection de virus et de codes malveillants, ainsi que des outils de vérification du rendement des systèmes, de contrôle de l'état des systèmes, de vérification de l'intégrité et de détection d'intrusion par l'entremise de l'hôte et du réseau. La rigueur et l'étendue des activités de détection dépendront du niveau de risque, y compris du degré de délicatesse (sur les plans de la confidentialité, de la disponibilité et de l'intégrité) et d'exposition du système au risque.
Afin de protéger l'information et de garantir la prestation de services, les ministères doivent surveiller continuellement le rendement de leur système pour repérer rapidement :
- les tentatives (réussies ou échouées) d'accès sans autorisation au système, ou celles de déjouer les mécanismes de sécurité;
- les tentatives de sonder ou de balayer le système sans autorisation afin d'en déceler les vulnérabilités;
- l'interruption non planifiée des systèmes ou des services;
- les attaques par déni de service;
- la modification non autorisée du matériel, de la microprogrammation et des logiciels du système;
- les anomalies de fonctionnement du système;
- les signatures d'attaque connues.
Au minimum, les ministères doivent inclure une fonction de journal de vérification de la sécurité dans tous les systèmes de TI. Les ministères doivent intégrer des outils de détection des incidents automatisés et en temps réel dans les systèmes à risque élevé.
Prière de se reporter aux documents techniques à l'appui pour obtenir d'autres consignes sur la détection.
18. Réaction et reprise
18.1 Coordination de la réaction à un incident
La section 10.12.3 de la Politique du gouvernement sur la sécurité stipule que les ministères doivent établir des mécanismes pour bien répondre aux incidents reliés aux TI et pour partager rapidement les détails de l'incident avec les ministères responsables. Pour ce faire, les ministères doivent nommer une personne ou établir un centre qui se chargera de la tâche de coordonner la réaction à l'incident et qui agira à titre de point de contact pour les communications relatives à la réaction aux incidents à l'échelle du gouvernement. Les ministères qui n'ont pas de centre de protection de l'information devraient confier cette responsabilité au coordonnateur de la sécurité des TI.
Les systèmes et réseaux du gouvernement du Canada devraient être considérés comme une seule entité interreliée qui nécessite une coordination de la réaction à un incident. Le ministère de la Sécurité publique et Protection civile du Canada (SPPCC) est chargé de coordonner la réaction aux incidents partout dans le gouvernement fédéral et, avec d'autres organismes conseils, de fournir l'aide technique, les conseils et l'information nécessaires pour traiter les incidents de sécurité des TI.
Le traitement des incidents suit généralement cinq étapes :
- Identification - déterminer le type, la gravité et la cause de l'incident (des incidents) (p. ex., virus, ver, attaque par déni de service).
- Réaction - déterminer la meilleure approche à suivre et prendre des mesures pour limiter les dommages (p. ex., débrancher, désactiver, bloquer ou mettre à jour la configuration de l'ordinateur ou du réseau).
- Signalement - communiquer les détails de l'incident, y compris l'incidence et la réaction, à la SPPCC et à la direction du ministère.
- Reprise - trouver une approche permettant de rétablir les systèmes et de reprendre les activités, et mettre en œuvre tout changement autorisé visant les dispositifs de sécurité (p. ex., les règles s'appliquant aux gardes-barrières et à la détection des incidents).
- Analyse postérieure à l'incident - évaluer l'incident et recommander des modifications à apporter aux processus et procédures, au besoin.
18.2 Définition de l'incident et établissement des priorités
Si la surveillance révèle une anomalie, les ministères doivent déterminer si sa cause est un incident de sécurité, un problème de logiciel ou de matériel informatique, ou un accroissement de la demande des clients. Un incident de sécurité des TI est un événement négatif touchant un système ou un réseau d'information ou la menace que pareil événement ne se produise. Les incidents incluent, sans s'y limiter :
- Déni de service - attaque pouvant empêcher l'utilisation des réseaux, des systèmes ou des applications.
- Code malveillant - virus, ver, cheval de Troie ou autre entité malveillante intégrée au code qui infecte un système hôte.
- Accès non autorisé - utilisateur qui obtient sans autorisation l'accès à un réseau, un système, des applications, des données ou d'autres ressources.
- Incidences multiples - combinaison d'un certain nombre d'événements informatiques se produisant simultanément ou événement informatique combiné à d'autres incidents malveillants ou accidentels.
Afin d'analyser les incidents de sécurité des TI de manière efficace, les ministères doivent comprendre les types d'incidents de sécurité pouvant survenir, leur incidence éventuelle, l'environnement technique et opérationnel, et les priorités de prestation de services.
Généralement, cette analyse comprend les étapes suivantes :
- Déterminer si un incident s'est produit;
- Effectuer une évaluation de la gravité de son incidence réelle ou éventuelle;
- Définir le type d'incident, sa cause et sa source;
- Consigner l'événement.
Si plus d'un incident survient au même moment ou si la situation est trop complexe, les ministères devraient établir une liste de priorité et se concentrer sur l'incident le plus important. Les facteurs à prendre en compte incluent les risques liés à :
- la vie humaine et la sécurité des personnes;
- l'information et aux biens précieux, sensibles et essentiels;
- l'interruption des activités ou des services;
- la perte de confiance du public.
18.3 Réaction à l'incident
Les ministères doivent élaborer des procédures de réaction aux incidents afin d'atténuer le préjudice, de contenir les causes des incidents et de rétablir les services.
Étant donné l'interconnectivité du gouvernement du Canada, les ministères doivent toujours, lorsqu'ils répondent à un incident de sécurité des TI, envisager l'incidence de leur action ou de leur inaction sur les autres organisations fédérales.
Les ministères doivent maintenir des dossiers opérationnels où l'on indique comment les incidents ont été traités et où est consigné le déroulement des faits au cours de l'incident, et où l'on précise le moment où l'incident a été détecté; les mesures prises; la logique à l'appui des décisions; le détail des communications; les autorisations de la direction ou ses consignes; et les rapports externes et internes.
18.4 Rapport d'incident
La section 10.15 de la Politique du gouvernement sur la sécurité stipule que les ministères doivent mettre en place un processus de signalement des incidents internes et externes. Pour satisfaire à ces exigences, les ministères doivent faire ce qui suit :
- signaler les incidents et les menaces et partager l'information, en vertu des lois applicables et des politiques, et l'efficacité des réactions à la SPPCC;
- participer aux séances d'information et aux téléconférences sur les menaces et les risques;
- donner à SPPCC les coordonnées à jour permettant de communiquer en tout temps avec le coordonnateur de la sécurité des TI ou désigner aussi une deuxième personne-ressource;
- établir une procédure permettant d'aviser le personnel de soutien opérationnel approprié, les gestionnaires et toutes les parties concernées, et garder la liste des personnes-ressources à jour (p. ex., le coordonnateur de la sécurité des TI, l'agent de sécurité du ministère, le dirigeant principal de l'information, les gestionnaires des activités et des systèmes);
- aviser les autorités policières appropriées si l'incident semble être de nature criminelle et le Service canadien du renseignement de sécurité (SCRS) si l'incident a des répercussions sur la sécurité nationale. (Au besoin, SPPCC peut aider les ministères à déterminer la nature de l'incident.)
Si requis, la SPPCC épaulera les ministères afin de déterminer la nature de l'incident. On devrait consulter des conseillers légaux s'il y a raison de soupçonner une quelconque activité criminelle.
Pour les cas où le principal mode de communication prévu ne serait pas disponible, les ministères devraient établir un mode de communication de rechange afin de transmettre l'information relative aux incidents.
18.5 Reprise
Avant de rebrancher ou de rétablir les services, les ministères doivent veiller à ce que tous les logiciels malveillants soient éliminés et empêcher que le problème ne se reproduise ou qu'il ne se répande.
Les ministères doivent rétablir les fonctions essentielles dans les limites de temps et selon les exigences de disponibilité précisées dans le Plan de continuité des activités du ministère.
Pour être en mesure de récupérer l'information, les ministères doivent :
- enregistrer les données régulièrement;
- vérifier régulièrement si les copies de sauvegarde peuvent servir à la reprise;
- sauvegarder tous les logiciels et toutes les données de configuration;
- faciliter la restauration des données et des services en permettant aux systèmes d'annuler des opérations et de revenir à un stade antérieur (p. ex., services de reprise);
- tester les procédés de rétablissement régulièrement pour s'assurer qu'ils sont efficaces et qu'ils peuvent être effectués dans le délai imparti pour la reprise;
- fixer les délais de conservation pour les données essentielles sur les activités et les copies de sauvegarde archivées;
- consigner, dans un protocole d'entente ou toute autre convention, tous les arrangements pris pour la sauvegarde à l'extérieur des installations (dans les cas où la sauvegarde externe est sous le contrôle d'une tierce partie).
Veuillez noter que la remise en état d'un système devrait être menée de façon à préserver l'intégrité de la preuve, par exemple, dans le cas d'une enquête criminelle d'une infraction à la sécurité.
Les ministères peuvent demander le soutien et les conseils de SPPCC pour effectuer ce processus.
18.6 Analyse postérieure à l'incident
Chaque fois que se produit un incident de sécurité des TI grave ou majeur, les ministères doivent effectuer une analyse postérieure à l'incident dans laquelle ils résument les effets de l'incident, y compris les coûts, et ils énoncent :
- les lacunes au chapitre de la sécurité,
- les mesures qui empêcheront ce type d'incident de se reproduire,
- les mesures permettant de réduire l'incidence d'une récurrence,
- les améliorations à apporter aux procédures de traitement des incidents.
Sur demande de SPPCC, les ministères doivent faire part des leçons tirées de leur analyse postérieure à l'incident. Le partage de l'information relative aux incidents à l'échelle du gouvernement permet aux ministères de tirer des leçons des analyses faites par d'autres ministères et organismes conseils.
Les ministères devraient analyser périodiquement leurs propres statistiques sur les incidents de sécurité afin de repérer les problèmes ou profils d'attaque récurrents et d'estimer le coût global des incidents en vue d'améliorer la prestation de services.
Demandes de renseignements
Pour toute demande de renseignements au sujet du présent instrument de politique, veuillez communiquer avec la Division de la sécurité et gestion de l'identité.
Annexe A - Lois, politiques et normes connexes
Loi reliées :
- Loi sur l'accès à l'information
- Loi sur la preuve au Canada
- Code canadien du travail
- Loi sur le Service Canadien du renseignement de sécurité
- Charte des droits et libertés
- Code criminel
- Loi sur le casier judiciaire
- Loi sur la production de défense
- Loi sur la protection civile
- Loi sur la gestion des finances publiques
- Loi d'interprétation
- Loi sur les Archives Nationales du Canada
- Loi sur la défense nationale
- Loi sur la protection de l'information
- Loi sur la protection des renseignements personnels et les documents électroniques
- Loi sur la protection des renseignements personnels
- Loi sur l'emploi dans la fonction publique
- Loi sur les relations de travail dans la fonction publique
- Ordonnances et règlements royaux
- Loi sur les jeunes contrevenants
- Loi sur la statistique
Politique reliées du Conseil du Trésor du Canada :
- Accès à l'information
- Surveillance active
- Services communs
- Communications
- Autorisation et authentification électronique
- Cadre amélioré de gestion
- Sécurité du gouvernement
- Vérification interne
- Gestion de l'information gouvernementale
- Gestion des technologies de l'information
- Politique, lignes directives et normes pour l'infrastructure à clé publique
- Protection des renseignements personnels et des données
- Évaluation de l'incidence sur la vie privée
On peut trouver d'autres politiques et publications sur le site Web du Secrétariat du Conseil du Trésor.
Annexe B - Glossaire
- Bien essentiel
- biens supportant un service essentiel. [PGS]
- Compromission
- divulgation sans autorisation, destruction, emprunt, modification, interruption ou utilisation des biens. [PGS]
- Évaluation de vulnérabilité
- détermination de l'existence de vulnérabilités au sein d'un système.
- Gestion des corrections de programmes
- composante de la gestion du changement qui comprend l'acquisition, la mise à l'essai et l'installation de correctifs pour les logiciels sur un système de TI administré.
- Gestion du risque
- approche systématique permettant d'établir la meilleure marche à suivre en cas d'incertitude en définissant, évaluant, comprenant et communiquant les questions liées au risque, et en y réagissant. [CGIR]
- Gestion du risque de sécurité
- composante d'un processus global de gestion du risque comprenant l'organisation et la coordination d'activités et de processus permettant de contrôler le risque au chapitre de la sécurité.
- Incident de sécurité des TI
- tout événement imprévu ou indésirable qui peut compromettre les activités d'exploitation ou la sécurité de l'information. [ISO 17799]
- Information gouvernementale
- information créée, reçue, utilisée et tenue à jour peu importe sa présentation matérielle, de même que l'information préparée aux fins du gouvernement du Canada ou produite par celui-ci et présumée comme étant sous son contrôle dans le cadre de l'exécution de ses activités ou conformément aux obligations qui lui incombent aux termes des lois. [PGIG]
- Intégrité des logiciels
- processus permettant d'élaborer des logiciels assortis d'un minimum de vulnérabilités.
- Intrusion
- type d'incident lié à la sécurité des TI impliquant l'accès non autorisé à un système ou un réseau, ou de l'activité sur celui-ci.
- Mesures de protection progressives
- ensemble de mesures de protection de plus en plus sécuritaires qui réduisent le risque, chacune dans sa mesure respective.
- Sécurité des technologies de l'information (TI)
- mesures de protection visant à préserver la confidentialité, l'intégrité, la disponibilité, l'utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique. [PGS]
- Service
- ensemble d'un ou de plusieurs systèmes s'acquittant d'une fonction utile appuyant les orientations stratégiques.
- Service essentiel
- service dont la compromission au chapitre de la disponibilité ou de l'intégrité causerait un préjudice élevé à la santé, à la sûreté, à la sécurité et au bien-être économique des Canadiens et des Canadiennes ainsi qu'à l'efficacité du gouvernement du Canada. [PGS]
- Système
- ensemble d'éléments (personnel, volet matériel, environnement, mesures de protection, technologie, etc.) combinés qui, ensemble, permettent de réaliser un objectif précis ou une mission donnée. [MG-03]
- Système de détection des intrusions (SDI)
- logiciel qui permet de repérer l'activité suspecte et d'en aviser les administrateurs. [NIST]
- Vulnérabilité
- faiblesse quant à la sécurité qui pourrait permettre à une menace de causer préjudice. [PGS]
- Zones de sécurité des TI
- environnement réseau possédant des limites bien définies, une administration de la sécurité et un niveau normalisé de vulnérabilité aux menaces visant le réseau. [zones STI]
© Sa Majesté la Reine du chef du Canada, représentée par le président du Conseil du Trésor, 2017,
ISBN : 978-0-660-09872-2