Le 1er juillet 2009, la Politique de gestion de l'infrastructure à clé publique au gouvernement du Canada (Politique sur l'ICP) était abrogée. La présente Ligne directrice a pour but d'aider les ministères et les gestionnaires de programme à comprendre comment les responsabilités et les pratiques établies par la Politique sur l'ICP ont évolué conformément aux exigences de la Politique sur la sécurité du gouvernement (PSG).
La Ligne directrice décrit les pratiques recommandées pour la gouvernance et la gestion de l'Infrastructure à clé publique (ICP) au gouvernement du Canada (GC), avec les conseils opérationnels qui s'imposent. Elle ne renferme toutefois pas d'avis, de conseils ni d'exigences techniques quant à la mise en œuvre de la technologie à clé publique par les ministères et organismes du GC.
La Politique sur l'ICP a été établie afin de concrétiser la position du GC, qui veut faire de la technologie à clé publique son moyen de prédilection pour authentifier électroniquement l'identité des entités ou des individus, et de rehausser l'intégrité et la confidentialité des documents.
Dans le contexte de l'initiative de renouvellement de l'ensemble des politiques, la Politique sur l'ICP a été abrogée afin d'harmoniser les responsabilités et la reddition de comptes en ce qui concerne les opérations électroniques sécurisées aux termes de la PSG et des instruments connexes. Cela assurera une approche uniforme pour la sécurisation des activités électroniques de l'administration gouvernementale, en rendant possibles différentes options d'authentification électronique qui devraient permettre au GC d'obtenir les résultats escomptés en matière de sécurité et d'identité, tout en donnant aux ministères et aux organismes la marge de manœuvre nécessaire pour qu'ils puissent se servir des technologies les mieux adaptées à leurs propres exigences opérationnelles.
Alors que la Politique sur l'ICP favorisait l'utilisation des technologies à clé publique, la PSG et ses instruments connexes sont censés être technologiquement neutres. Pour obtenir les résultats auxquels le GC s'attend en matière de sécurité et pour faire en sorte que l'information, les biens, les services et les interactions soient protégés à cet égard, la PSG, la Directive sur la gestion de la sécurité ministérielle (DGSM) et la Directive sur la gestion de l'identité (DGI) précisent les exigences à l'échelle du GC applicables à l'établissement de procédés basés sur la gestion des risques grâce auxquels les ministères et les organismes pourront efficacement contrer leurs risques en matière de sécurité et d'identité.
Les normes et les lignes directrices qui étayent la PSG et ses directives servent à promouvoir les pratiques communes et/ou exemplaires dans tout le GC, sans toutefois chercher à prescrire la méthode, la solution, l'outil ou la technologie que les ministères et les organismes doivent employer pour atteindre les objectifs de contrôle de la sécurité. Il s'ensuit que les ministères et les organismes ont plus de latitude que jamais dans le choix des technologies répondant le mieux à leurs besoins; l'ICP est l'une des options qui s'offrent à eux.
La liste des lois fédérales applicables à la signature électronique et aux documents électroniques, présentée sous cette rubrique, n'est pas exhaustive. Les ministères et les organismes devraient consulter leurs services juridiques pour déterminer quelle loi s'applique à leurs fins particulières, s'il y a lieu.
Cela dit, la partie 2 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) établit un cadre décrivant des moyens électroniques dont on peut se servir plutôt que de papier pour créer des documents ou pour communiquer de l'information ou des opérations dans les cas où une loi ou un règlement prévoit l'utilisation du papier (p. ex., quand une loi fédérale fait état d'« originaux », de « déclarations sous serment », d'une « affirmation solennelle », de « déclarations attestant la véracité, l'exactitude ou l'intégralité », de documents portant un sceau et de la signature d'un témoin).
L'article 31.4 de la Loi sur la preuve au Canada (LPC) investit le gouverneur en conseil du pouvoir de prendre des règlements établissant des présomptions relatives à la preuve relativement aux documents électroniques portant une signature électronique sécurisée.
Le Règlement sur les signatures électroniques sécurisées (Règlement sur les SES) adopté en vertu de la LPRPDE et de la LPC, prescrit la technologie et le processus requis pour l'obtention des signatures électroniques sécurisées, et établit les présomptions relatives à la preuve applicables lorsqu'on utilise la technologie et le processus prescrits à l'égard des données contenues dans un document électronique.
La rubrique « Reconnaissance d'une AC » de cette ligne directrice contient d'autres renseignements sur les signatures électroniques sécurisées.
Cette rubrique précise et décrit les politiques, les directives et les normes applicables que les ministères et les organismes devraient consulter lorsqu'ils doivent décider s'ils devraient mettre une ICP en place pour répondre à leurs besoins. Nous avons cité les extraits pertinents de ces documents pour qu'il soit plus facile de s'y reporter, mais le lecteur devrait consulter les originaux pour avoir le contexte intégral.
La PSG définit au sens large le besoin d'établir un sentiment de confiance dans les interactions avec les services et les programmes du gouvernement, sans toutefois prescrire les mécanismes qu'il faudrait employer à cette fin :
La sécurité commence par l'établissement d'un sentiment de confiance dans les interactions entre le gouvernement et la population et à l'intérieur du gouvernement[1].
L'annexe C de la DGSM stipule que les ministères ont la responsabilité de choisir des moyens de contrôle de la sécurité correspondant à leurs besoins :
Les ministères sont responsables de sélectionner, de mettre en œuvre, de surveiller et de maintenir des moyens durables de contrôle de la sécurité afin d'atteindre les objectifs en matière de contrôles de sécurité. Les mesures de contrôle de sécurité peuvent être de nature administrative, gestionnelle, opérationnelle, technique ou procédurale. Les contrôles de sécurité obligatoires et recommandés sont précisés dans les normes et lignes directrices qui appuient la Politique sur la sécurité au gouvernement. Les ministères peuvent prendre d'autres mesures de contrôle de sécurité et se fixer des objectifs de contrôle additionnels en se fondant sur les résultats des évaluations des risques[2].
La DGSM précise de façon plus détaillée les responsabilités applicables au choix des moyens de contrôle de la sécurité ainsi qu'à l'évaluation et à l'acceptation des niveaux de risque résiduel des programmes et des services. Elle précise que les praticiens ministériels en matière de sécurité sont responsables de :
sélectionner, mettre en œuvre et maintenir des contrôles de sécurité liés à leur champ de responsabilité afin d'assurer la réalisation des objectifs de contrôle[3].
En outre, la DGSM impose aux gestionnaires de tous les niveaux la responsabilité :
d'évaluer les risques en matière de sécurité, d'accepter officiellement les risques résiduels ou en recommander l'acceptation (ces risques sont définis dans le plan de sécurité ministérielle) et de réévaluer périodiquement les risques à la lumière des changements apportés aux programmes, aux activités ou aux services et de prendre des mesures correctives pour corriger les lacunes relevées[4].
La Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI) explique cette responsabilité en ce qui concerne les gestionnaires chargés de l'exécution de programmes et de la prestation de services dans le domaine de la sécurité des technologies de l'information :
Au stade de la conception des programmes et services, les gestionnaires collaborent avec les spécialistes de la sécurité du ministère afin de gérer les risques liés à leurs programmes ou services. En s'appuyant sur les conseils et le support du coordonnateur de la sécurité des TI, les gestionnaires doivent déterminer les exigences de sécurité des TI pour leurs programmes et services et doivent les accréditer en acceptant le risque résiduel qui leur est associé[5].
La GSTI précise encore davantage les responsabilités de certification et d'accréditation des systèmes de TI au GC :
Pour les systèmes ou services communs, le dirigeant principal de l'information du gouvernement du Canada est le responsable de l'accréditation. Pour les systèmes ou services propres à un ministère, le gestionnaire de la prestation de programmes ou services est chargé de l'accréditation. Pour les systèmes ou services communs à deux organisations ou plus, le gestionnaire du programme ou du service est responsable de l'accréditation[6].
Ces responsabilités s'appliquent à la certification et à l'accréditation des systèmes d'ICP au GC. Il s'ensuit que le gestionnaire responsable de l'exécution du programme ou de la prestation du service devrait s'assurer (avec l'aide des spécialistes de la sécurité du ministère) que toutes les politiques, tous les processus ou toutes les technologies mis en place pour s'assurer que le système d'ICP sont adaptés aux besoins et capables d'y répondre quand ils prennent leur décision d'accréditer un système quelconque.
Auparavant, la gouvernance et la gestion de l'ICP au GC étaient expressément définies par les mécanismes que prescrivait la Politique sur l'ICP, mais l'ICP devrait désormais être gérée conformément aux exigences de la PSG et des directives ainsi que des normes connexes sur la sécurité du GC (plus particulièrement la GSTI). Par suite de l'abrogation de la Politique sur l'ICP, les ministères qui choisissent l'ICP comme moyen de contrôle de la sécurité devraient constater qu'ils disposent d'une plus grande marge de manœuvre pour gérer leur ICP.
Cette rubrique distingue les types d'autorité de certification (AC) qui peuvent être utiles aux ministères pour s'acquitter de leurs exigences en matière d'ICP.
Au GC, une AC commune délivre des certificats de clé publique (CCP) au nom d'autres ministères ou d'utilisateurs externes. L'AC des services communs de gestion des justificatifs internes (GJI) administrée par TPSGC pour le compte du Secrétariat du Conseil du Trésor (SCT) est l'AC commune approuvée pour les ministères qui ont besoin de certificats d'ICP pour leurs systèmes internes gouvernementaux contenant de l'information jusqu'au niveau « Protégé B ». Les ministères devraient consulter la Politique sur les services communs et le Guide ministériel pour l'adoption des services obligatoires de la Voie protégée pour s'informer des utilisations obligatoires de ce service. L'AC des services communs de GJI a été reconnue par le président du Conseil du Trésor comme conforme au Règlement sur les SES.
TPSGC gère aussi le service d'AC du gouvernement en direct (GED) pour le compte du SCT, en délivrant des certificats aux utilisateurs de l'extérieur du gouvernement. L'AC du GED est approuvée pour des utilisations allant jusqu'au niveau d'information « Protégé B ».
Les ministères devraient communiquer avec leur représentant au service à la clientèle de TPSGC pour lui parler de leurs objectifs et pour savoir si ces AC communes peuvent les aider à répondre à leurs besoins. Lorsqu'un ministère a un besoin d'AC commune auquel l'AC de services communs de GJI ne peut pas répondre, il devrait communiquer le plus tôt possible avec le SCT afin de cerner ce besoin et de préciser pourquoi l'AC des services communs de GJI n'y répond pas. À partir de là, on trouvera un moyen d'aller de l'avant en définissant les rôles et les responsabilités en vue de la certification et de l'accréditation du système. On devrait pouvoir faire une certification réciproque (ou cocertification) avec une AC commune grâce à la Charnière fédérale canadienne de l'ICP quand elle s'y prête (voir 3.1.3 et 3.2, plus loin).
Les ministères ou les gestionnaires de programmes désireux d'établir une AC commune devraient :
Les ministères se servent de leur AC ministérielle pour répondre à un besoin interne lorsqu'ils ne sont pas tenus d'avoir recours à l'AC des services communs de GJI du GC (voir la rubrique qui précède sur l'AC commune) et que celle-ci ne peut pas répondre de façon satisfaisante aux besoins du ministère.
Pour son AC ministérielle, le ministère devrait s'assurer qu'on a bien géré les risques dans le système. Conformément à la GSTI, c'est le gestionnaire du ministère qui est chargé de l'exécution du programme ou de la prestation du service qui est responsable de l'accréditation du système. Les ministères disposent de la marge de manœuvre nécessaire pour déterminer les exigences de sécurité applicables à leurs AC ministérielles dans leur fourchette de tolérances des risques. Il est recommandé qu'ils se conforment aux pratiques exemplaires du secteur privé pour établir leurs exigences de sécurité et qu'ils harmonisent dans toute la mesure du possible leurs politiques et leurs pratiques de certification avec celles de la Charnière fédérale canadienne de l'ICP (voir 3.1.3, plus loin).
Les AC ministérielles peuvent être par exemple :
Les ministères ou les gestionnaires de programmes qui établissent une AC ministérielle devraient :
Une AC charnière (ou charnière d'ICP) est une AC servant à établir une relation de confiance entre des systèmes d'ICP séparés distincts. La relation de confiance est établie grâce à un processus de certification réciproque entre différentes AC.
Au GC, la Charnière fédérale canadienne de l'ICP (CCFICP) est l'AC charnière approuvée. Elle est gérée par le CSTC pour le compte du SCT.
La certification réciproque est un processus dont les AC se servent pour établir une relation de confiance dans lequel une AC délivre un certificat à une autre AC. Les certifications réciproques peuvent aussi être combinées, les rôles des AC qui délivrent la certification et qui la reçoivent ou qui s'en servent pouvant être inversés (ce qui revient à une certification réciproque mutuelle). Quand deux AC se certifient réciproquement, elles conviennent de se fier à leurs CCP et à leurs clés réciproques comme si elles avaient délivré les certificats elles-mêmes. Les ministères du GC qui sont tenus de certifier réciproquement leur AC avec une autre AC de l'extérieur de leur organisation devraient le faire en passant par la Charnière fédérale canadienne de l'ICP, ce qui nécessite des certifications réciproques entre les AC du GC et des AC de l'extérieur du GC.
Le président du Conseil du Trésor est investi par décret du pouvoir de conclure ou de résilier des ententes de certification réciproque ou de reconnaissance d'AC, incluant celles de l'extérieur du GC. Il a délégué ce pouvoir au dirigeant principal de l'information du gouvernement du Canada.
Aperçu du processus de certification réciproque :
Veuillez communiquer avec la Direction de la gestion de la sécurité et de l'identité de la DDPI, aux coordonnées indiquées sous la rubrique « Demandes de renseignements » de cette ligne directrice, si vous avez besoin de renseignements détaillés sur le processus de certification réciproque ou si vous voulez déterminer la nécessité d'une telle certification.
La reconnaissance d'une AC s'entend des exigences officielles auxquelles il faut satisfaire pour sécuriser une signature électronique conformément à la partie 2 de la LPRPDE. En vertu du Règlement sur les SES, le président du Conseil du Trésor peut reconnaître une entité ou un individu en tant qu'AC. Toutefois, avant de le faire, il doit être convaincu que l'individu ou l'entité a la capacité de délivrer des certificats de signature numérique sécurisée de façon fiable, conformément aux alinéas 48(2)a) à d) de la LPRPDE, qui disposent que :
Les circonstances dans lesquelles les ministères devront faire reconnaître leur AC par le président du Conseil du Trésor sont très limitées. Avant de demander au SCT de reconnaître leur AC, ils devraient préciser leurs besoins à l'égard d'un programme ou d'une opération. Les ministères devraient également consulter leurs services juridiques pour déterminer si des facteurs font obstacle à ce qu'ils procèdent par des moyens électroniques et, s'il n'y a pas d'obstacle, si une signature électronique sécurisée aux termes de la LPRPDE et du Règlement sur les SES s'impose ou si une autre forme de signature électronique peut suffire.
En général, une signature électronique sécurisée s'impose lorsqu'un ministère est tenu par sa loi de traiter des documents de papier signés, mais souhaite les remplacer par des documents électroniques. Une signature électronique sécurisée rend également possibles certaines présomptions relatives à la preuve établies par le Règlement sur les SES en vertu de la LPC. Pour pouvoir utiliser des signatures électroniques et bénéficier de ces présomptions, le ministère doit d'abord faire ajouter sa loi à la liste des annexes 2 ou 3 de la LPRPDE, puis se conformer au Règlement sur les SES, ce qui implique que le président du Conseil du Trésor doit reconnaître l'AC qui délivre les clés de signature. Le Règlement stipule que les AC reconnues comme étant capables de créer des signatures électroniques sécurisées doivent figurer sur le site Web du SCT. À l'heure actuelle, seules les AC du gouvernement fédéral qui ont fait l'objet d'une certification réciproque avec la Charnière fédérale canadienne de l'ICP sont admissibles à cette reconnaissance.
Lorsqu'un ministère a opté d'adhérer au régime susdécrit de la LPRPDE, il doit utiliser des signatures électroniques sécurisées pour les documents électroniques lorsque :
Il faut respecter les étapes suivantes de haut niveau afin d'accorder la reconnaissance d'une AC dans le contexte du Règlement sur les SES:
Veuillez communiquer avec la Direction de la gestion de la sécurité et de l'identité de la DDPI, aux coordonnées indiquées sous la rubrique « Demandes de renseignements » de cette ligne directrice, si vous avez besoin de renseignements additionnels sur la reconnaissance d'une AC.
Les ministères ou les gestionnaires de programmes qui choisissent de se servir de la technologie à clé publique comme moyen de protéger la confidentialité des renseignements ou d'authentifier électroniquement l'identité des individus et/ou des documents devraient :
Cette rubrique est une description des rôles, des responsabilités et des services des organismes responsables du soutien de la gestion de l'ICP.
Le SCT établit l'orientation pangouvernementale, fixe les priorités et officialise les exigences en matière de gestion de la sécurité et de l'identité, ce qui comprend :
Le CSTC assure le leadership et la coordination des activités ministérielles visant à protéger les renseignements sur support électronique, ce qui comprend :
TPSGC fournit des services communs de sécurité des TI et d'autres solutions permettant aux ministères d'échanger de l'information avec les citoyens, les entreprises et les employés, ce qui comprend :
Pour toute demande de renseignements au sujet du présent instrument de politique, veuillez communiquer avec la Division de la sécurité et gestion de l'identité.