Directive sur la gestion de la sécurité

Note aux lecteurs

La Directive sur la gestion de la sécurité et les Procédures obligatoires sont entrées en vigueur le 1er juillet 2019, remplaçant la précédente Directive sur la gestion de la sécurité, ainsi que la Norme de sécurité opérationnelle sur le programme de planification de la continuité des activités (PCA), la Norme opérationnelle sur la sécurité matérielle la Norme de sécurité opérationnelle sur les niveaux de préparation des installations du gouvernement fédéral, et la Norme de sécurité opérationnelle sur la gestion de la sécurité de la technologie de l’information.

1. Date d’entrée en vigueur

  • 1.1La présente Directive entre en vigueur le 1 juillet, 2019.
  • 1.2Elle remplace les instruments de politique suivants du Conseil du Trésor :
    • Directive sur la gestion de la sécurité ministérielle (le 1er juillet 2009)
    • Norme opérationnelle de sécurité – Programme du Plan de continuité des activités (PCA) (le 23 avril 2004)
    • Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) (le 31 mai 2004)
    • Norme opérationnelle sur la sécurité matérielle (le 18 février 2013)
    • Norme opérationnelle de sécurité : Niveaux de préparation des installations du gouvernement fédéral (le 1er novembre 2002)
    • Norme de sécurité et de gestion des marchés (le 9 juin 1996)
    • Norme de sécurité relative à l’organisation et l’administration (le 1er juin 1995)
  • 1.3Considérations transitoires :
    • 1.3.1Les sous-sections 4.1.3 et 4.2.5 de la présente Directive entreront en vigueur le 1 juillet, 2019 ou à la date prévue pour le renouvellement du plan de sécurité ministérielle, selon la dernière éventualité.

2. Pouvoirs

  • 2.1La présente Directive est émise conformément aux pouvoirs indiqués à la section 2 de la Politique sur la sécurité du gouvernement (PSG).

3. Objectifs et résultats escomptés

  • 3.1Les objectifs indiqués à la section 3 de la Politique sur la sécurité du gouvernement s’appliquent à la présente Directive
  • 3.2Les résultats escomptés indiqués à la section 3 de la Politique sur la sécurité du gouvernement s’appliquent à la présente Directive.

4. Exigences

Dirigeant principal de la sécurité

  • 4.1Le dirigeant principal de la sécurité (DPS), désigné par l’administrateur général conformément à la Politique sur la sécurité du gouvernement, est responsable de la gestion du programme de sécurité ministériel et de ce qui suit:
    • 4.1.1appuyer les responsabilités de l’administrateur général en vertu de la Politique sur la sécurité du gouvernement;
    • 4.1.2diriger la fonction de sécurité ministérielle, y compris:
      • 4.1.2.1les responsabilités pour définir, consigner, mettre en oeuvre, évaluer, surveiller et tenir à jour les exigences, les pratiques et les mesures de sécurité;
      • 4.1.2.2les pouvoirs pour les décisions connexes en matière de gestion des risques de sécurité;
    • 4.1.3diriger et surveiller l’élaboration, la mise en oeuvre et la tenue à jour du plan de sécurité ministérielle, en collaboration avec d’autres hauts fonctionnaires et d’autres intervenants, qui :
      • 4.1.3.1donne une vision intégrée des menaces, des risques et des exigences en matière de sécurité ministérielle;
      • 4.1.3.2définit les stratégies, les priorités, les responsabilités et le calendrier afin de tenir à jour, de renforcer, de surveiller et d’améliorer continuellement les pratiques et les mesures de sécurité décrites aux annexes A à H;
    • 4.1.4superviser l’établissement de processus à l’échelle du ministère pour évaluer et consigner les mesures prises concernant les risques de sécurité résiduels pour les programmes et les services du ministère et leurs ressources de soutien;
    • 4.1.5rendre compte à l’administrateur général, au moins chaque année, sur les avancements dans la réalisation des priorités définies dans le plan de sécurité ministérielle et, comme exigé, recommander des changements aux pratiques, aux mesures ou aux priorités du ministère en matière de sécurité;
    • 4.1.6superviser l’établissement de processus à l’échelle du ministère pour surveiller les menaces, les vulnérabilités, les incidents de sécurité et les événements de sécurité propres au ministère, en assurer une intervention coordonnées ainsi qu'un compte rendu, y compris la détermination des mesures pour remédier à toutes lacunes;
    • 4.1.7veiller à ce que tous les problèmes importants de conformité aux politiques, d’activités criminelles soupçonnées, de préoccupations liées à la sécurité nationale, ou autres problèmes de sécurité soient évalués, examinés, consignés, traités, et signalés à l’administrateur général et, comme exigé, aux autorités policières compétentes ou organismes de sécurité et du renseignement (voir l’annexe I : Norme sur le signalement des événements de sécurité), et aux intervenants touchés, et comme exigé, coopérer dans toutes enquêtes criminelles résultantes ou autres enquêtes;
    • 4.1.8collaborer avec d’autres hauts fonctionnaires et d’autres intervenants pour répondre aux demandes d’orientation, de conseils et d’information émises par le Bureau du Conseil privé, le Secrétariat du Conseil du Trésor du Canada (SCT) à titre d’employeur (p. ex., le Bureau du dirigeant principal des ressources humaines), et le Centre des opérations du gouvernement au sujet des événements de sécurité qui nécessitent une intervention immédiate ou coordonnée à l’échelle du gouvernement;
    • 4.1.9vérifier qu’un accord écrit est en place lorsque le ministère fait appel ou fournit à un autre ministère ou une autre organisation pour atteindre les objectifs de sécurité du gouvernement (voir les sous-sections 6.2 et 6.3).

Les hauts fonctionnaires dans la gouvernance de la sécurité du ministère

  • 4.2Les hauts fonctionnaires, personnes désignées par l’administrateur général dans la gouvernance de sécurité du ministère comme étant responsables de certains aspects de la sécurité, ont les responsabilités suivantes :
    • 4.2.1participer à la gouvernance de la sécurité du ministère et en rendre compte, conformément à leurs responsabilités attribuées en matière de sécurité;
    • 4.2.2attribuer des responsabilités en matière de sécurité pour les programmes, les services et les activités dans leur domaine de responsabilité, comme une partie intégrante de la gouvernance de la sécurité du ministère;
    • 4.2.3conseiller l’administrateur général, le DPS et les autres intervenants concernant les questions de sécurité ministérielle dans leur domaine de responsabilité;
    • 4.2.4lorsque le ministère compte sur un autre ministère ou l’appuie pour exercer une fonction de sécurité, ou appuyer l’exécution de programmes, de services ou d’activités dans leur domaine de responsabilité :
      • 4.2.4.1établir une entente écrite qui définit les exigences applicables en matière de sécurité et les responsabilités respectives en matière de sécurité, ou en recommander l’établissement;
      • 4.2.4.2vérifier si ces exigences et responsabilités sont respectées;
      • 4.2.4.3surveiller la conformité permanente (voir les sous-sections 6.2 et 6.3);
    • 4.2.5déterminer les exigences en matière de sécurité et les besoins de ressources connexes pour les programmes, les services et les activités dans leur domaine de responsabilité, tout en tenant compte des autres intervenants, et agir conformément à la gouvernance de la sécurité du ministère;
    • 4.2.6veiller à ce que des pratiques et des mesures de sécurité (voir les annexes A à H) soient définies, consignées, mises en oeuvre, surveillées et tenues à jour en vue de respecter les exigences indiquées en matière de sécurité pour les programmes, les services et les activités dans leur secteur de responsabilité, conformément au Plan de sécurité ministérielle et en collaboration avec d’autres hauts fonctionnaires, des spécialistes fonctionnels de la sécurité, des partenaires et d’autres intervenants;
    • 4.2.7consigner ou recommander des mesures à prendre concernant les risques de sécurité résiduels pour les programmes, les services et les activités dans leur domaine de responsabilité ainsi que les ressources de soutien, conformément au pouvoir qui leur est attribué et aux processus à l’échelle du ministère, et en consultation avec le DPS;
    • 4.2.8établir des processus afin de surveiller les menaces, les vulnérabilités, les incidents de sécurité et autres événements de sécurité dans leur domaine de responsabilité, de les signaler et d’intervenir, comme une partie intégrante des processus à l’échelle du ministère;
    • 4.2.9aborder les événements de sécurité qui pourraient toucher les programmes, les services et les activités dans leur domaine de responsabilité, ou qui nécessitent une intervention immédiate ou coordonnée à l’échelle du gouvernement, en collaboration avec le DPS, des partenaires et d’autres intervenants;
    • 4.2.10surveiller l’efficacité des pratiques et des mesures de sécurité dans leur domaine de responsabilité et en rendre compte, et présenter les résultats au DPS.

Spécialistes fonctionnels de la sécurité et autres personnes désignées

  • 4.3Les spécialistes fonctionnels de la sécurité, personnes responsables de la coordination, de la gestion, de la prestation de conseils et de services liés aux mesures et au programme de sécurité ministérielle, ainsi que d’autres personnes désignées dans la gouvernance de la sécurité du ministère qui participent à l’élaboration du programme de sécurité ministériel, ont les responsabilités suivantes :
    • 4.3.1définir, consigner, mettre en oeuvre, évaluer, surveiller et tenir à jour les exigences, les pratiques et les mesures de sécurité ministérielle (voir les annexes A à H et l’annexe J);
    • 4.3.2fournir des conseils au DPS et aux autres intervenants, selon le cas, sur les questions de sécurité ministérielle dans leur domaine de responsabilité;
    • 4.3.3surveiller les pratiques et les mesures de sécurité dans leur domaine de responsabilité, en rendre compte, et présenter les résultats au DPS afin de faire ce qui suit :
      • 4.3.3.1évaluer la mesure dans laquelle les exigences de sécurité ministérielle sont satisfaites;
      • 4.3.3.2déterminer les mesures nécessaires en cas d’insuffisance.

Superviseurs

  • 4.4Les superviseurs ont les responsabilités suivantes :
    • 4.4.1intégrer les considérations de sécurité et de ressources connexes dans la planification et les autres activités administratives;
    • 4.4.2veiller à ce que les personnes soient informées de leurs responsabilités en matière de sécurité et que les employés reçoivent la sensibilisation et la formation en matière de sécurité pour tenir à jour les connaissances et les compétences nécessaires pour s’acquitter de leurs responsabilités;
    • 4.4.3vérifier que les employés appliquent et respectent les pratiques de sécurité ministérielles, et prendre ou recommander des mesures correctives en cas d’insuffisance;
    • 4.4.4informer le DPS de tous enjeux liés au respect des politiques, aux activités criminelles soupçonnées ou alléguées, aux préoccupations liées à la sécurité nationale, aux incidents de sécurités ou autres événements de sécurité dans leur domaine de responsabilité;
    • 4.4.5coopérer avec le DPS et les autres intervenants, dans l’enquête des incidents de sécurité et autres événements de sécurité, et la détermination et la mise en oeuvre des mesures correctives.

Employés

  • 4.5Les employés ont les responsabilités suivantes :
    • 4.5.1respecter la politique du gouvernement en matière de sécurité et les pratiques de sécurité ministérielles, y compris la protection de l’information et des biens sous leur contrôle, à l’interne ou à l’externe;
    • 4.5.2participer aux activités de sensibilisation et de formation en matière de sécurité pour demeurer au courant des préoccupations et des enjeux connexes et bien comprendre leurs responsabilités en matière de sécurité;
    • 4.5.3rester vigilants et signaler les insuffisances, les incidents de sécurité, les activités criminelles soupçonnées, les préoccupations liées à la sécurité nationale et tout autre enjeu par les canaux ministériels appropriés.

Personnes désignées par les administrateurs généraux des organisations internes de services intégrés pour superviser leurs activités internes de services intégrés

  • 4.6Les personnes désignées par les administrateurs généraux des organisations internes de services intégrés pour superviser leurs activités internes de services intégrés, qui est un service offert par un ministère du gouvernement du Canada à un autre en vertu de la Politique sur la sécurité du gouvernement, ont les responsabilités suivantes :
    • 4.6.1diriger l’établissement d’une gouvernance de la sécurité pour les services intégrés internes qui :
      • 4.6.1.1comprend les responsabilités et les pouvoirs pour déterminer et respecter les exigences en matière de sécurité tout au long de la planification, de la conception, de la prestation, des opérations et de la tenue à jour des services offerts aux ministères;
      • 4.6.1.2est une partie intégrante de la sécurité du ministère et la gouvernance ministérielle;
    • 4.6.2établir la liaison avec les ministères clients pour déterminer les exigences en matière de sécurité pour les services intégrés internes, et avec le SCT, pour les services qui doivent être offerts dans l’ensemble du gouvernement;
    • 4.6.3communiquer aux ministères clients les pratiques et les mesures de sécurité qui ont été mises en oeuvre pour respecter les exigences en matière de sécurité, les conditions de sécurité qui doivent être en place dans l’environnement des clients, et tous les risques résiduels restants et les mesures d’atténuation recommandées;
    • 4.6.4établir des processus pour les services de surveillance offerts aux ministères afin de veiller à ce que les enjeux liés au respect des exigences en matière de sécurité soient examinés et traités, en coordination avec les intervenants touchés, et que les enjeux qui ont des incidences possibles dans l’ensemble du gouvernement soient consignés et signalés au SCT;
    • 4.6.5intervenir et prendre les mesures nécessaires liées aux événements de sécurité qui pourraient toucher la sécurité des services offerts aux ministères, en collaboration avec le DPS, les clients et les autres intervenants.

5. Rôles des autres organisations gouvernementales

  • 5.1Les rôles des autres organisations gouvernementales liés à la présente Directive sont décrits à la section 5 de la Politique sur la sécurité du gouvernement.

6. Application

  • 6.1La présente Directive s’applique aux organisations indiquées à la section 6.1 de la Politique sur la sécurité du gouvernement.
  • 6.2Les sous-sections 4.1.9 et 4.2.4 de la présente Directive s’appliquent uniquement aux ententes interministérielles conformément à l’article 29.2 de la Loi sur la gestion des finances publiques, et aux dispositions conclues avec les sociétés d’État, les autres ordres de gouvernements, le secteur privé ou les autres entités qui ne sont pas régies par la Politique sur la sécurité du gouvernement, où le ministère a le pouvoir de conclure de telles ententes ou dispositions.
  • 6.3Les sous-sections 4.1.9 et 4.2.4 de la présente Directive s’appliquent aux contrats pour la production ou la livraison de biens ou de services et à toutes autres dispositions liées au partage d’information délicate ou de biens avec les organisations ou les personnes qui ne sont pas régies par la Politique sur la sécurité du gouvernement (p. ex., le protocole d’entente avec d’autres ordres de gouvernements et des partenaires universitaires ou scientifiques).

7. Références

8. Demandes de renseignements

  • 8.1Les membres du grand public peuvent communiquer avec la section des Demandes de renseignements du Secrétariat du Conseil du Trésor du Canada pour obtenir de plus amples renseignements sur la présente Directive.
  • 8.2Les employés des ministères doivent communiquer avec leur groupe chargé de la gestion de la sécurité ministérielle s’ils ont des questions au sujet de la présente Directive.
  • 8.3Pour l’interprétation de la présente Directive, les employés du groupe de la gestion de la sécurité ministérielle peuvent communiquer avec la Division des politiques sur la sécurité du SCT, par courriel à l’adresse SEC@tbs-sct.gc.ca.

Annexe A : Procédures obligatoires relatives aux mesures de filtrage de sécurité

A.1 Date d’entrée en vigueur

  • A.1.1Les présentes procédures entrent en vigueur le 20 octobre, 2014.

A.2 Procédures

Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information

B.1 Date d’entrée en vigueur

  • B.1.1Les présentes procédures entrent en vigueur le 1 juillet, 2019.

B.2 Procédures

  • B.2.1Les présentes procédures fournissent des renseignements en vue d’appuyer la responsabilisation de l’administrateur général.

    Voici les procédures et les sous sections.

    ProcédureSous Section
    Exigences et pratiques liées à la technologie de l’information (TI)B.2.2
    Mesures de sécurité de la TIB.2.3
    Sécurité dans la gestion des projets de la TIB.2.4
    Sécurité dans le cycle de vie des systèmes d’information, et intégrité de la chaà®ne d’approvisionnement en matière de TIB.2.5
    Évaluation et autorisation de sécurité de la TIB.2.6
    Surveillance et mesures correctivesB.2.7
  • B.2.2Exigences et pratiques en matière de sécurité de la TI : Définir, consigner et tenir à jour les exigences et pratiques ministérielles en matière de sécurité de la TI :
    • B.2.2.1Pour tous les systèmes d’information qui appuient les programmes, les activités et les services ministériels ou qui détiennent de l’information ministérielle ou de l’information sous la garde et le contrôle du ministère :
      • B.2.2.1.1déterminer les exigences pertinentes en matière de sécurité matérielle, de continuité des activités et de sécurité de l’information;
      • B.2.2.1.2cerner et évaluer les menaces auxquelles sont exposés les systèmes d’information;
      • B.2.2.1.3définir et consigner les exigences afin d’assurer la protection des systèmes d’information ministériels pendant tout leur cycle de vie, en fonction des exigences et menaces cernées en matière de sécurité, et conformément aux lois, politiques, contrats, accords et protocoles d’entente applicables;
    • B.2.2.2définir et consigner les pratiques en matière de sécurité du ministère afin de mettre en oeuvre et tenir à jour les mesures de sécurité de la TI, y compris des pratiques pour l’évaluation et l’autorisation de la sécurité de la TI, conformément aux exigences en matière de sécurité du ministère.
  • B.2.3Mesures de sécurité de la TI : Définir, consigner, mettre en oeuvre et tenir à jour les mesures de sécurité pour respecter les exigences en matière de sécurité de la TI du ministère, conformément aux pratiques ministérielles.
    • B.2.3.1Gestion de l’identification et de l’authentification : Mettre en oeuvre des mesures afin de veiller à ce que les personnes et les appareils soient identifiés et authentifiés de façon unique, à un niveau approprié d’assurance avant d’accorder l’accès à l’information dans les systèmes d’information, conformément à l’annexe A : Norme sur l’assurance de l’identité et des justificatifs de la Directive sur la gestion de l’identité.
    • B.2.3.2Gestion de l’accès : Mettre en oeuvre des mesures afin de veiller à ce que l’accès à l’information (données électroniques) et aux systèmes d’information soit limité aux utilisateurs autorisés qui ont fait l’objet d’un filtrage de sécurité de niveau opportun et qui doivent y avoir accès :
      • B.2.3.2.1établir les exigences et procédures d’approbation, de notification, de surveillance et opérationnelles pour la création, l’activation, la modification, l’examen périodique, et la désactivation ou la suppression des comptes de système d’information;
      • B.2.3.2.2définir les privilèges d’accès en fonction des exigences de sécurité ministérielles et des principes de privilège minimal, de séparation des tà¢ches, et de l’utilisation acceptable des systèmes d’information du gouvernement;
      • B.2.3.2.3informer les utilisateurs autorisés des attentes liées à l’utilisation acceptable des systèmes d’information du gouvernement, des pratiques de surveillance appliquées et des conséquences de l’utilisation inacceptable de ces systèmes;
      • B.2.3.2.4établir des mesures pour contrôler l’utilisation des comptes ayant des privilèges administratifs, y compris restreindre le nombre d’utilisateurs qui ont des privilèges administratifs, et limiter les systèmes d’information, les réseaux et les applications qui peuvent être accédés, ainsi que les opérations qui peuvent être effectuées en utilisant un compte à accès privilégié;
      • B.2.3.2.5vérifier que les personnes qui sont autorisées à mener des opérations privilégiées, comme établir ou modifier des privilèges d’accès et mettre en oeuvre ou tenir à jour d’autres mesures de sécurité de la TI, ne sont pas autorisées à modifier les enregistrements de ces opérations et ont fait l’objet d’un filtrage de sécurité proportionnel à leur niveau d’accès;
      • B.2.3.2.6examiner les privilèges d’accès de façon périodique, et supprimer l’accès lorsqu’il n’est plus nécessaire (p. ex., lorsqu’un employé quitte le ministère ou change de responsabilités).
    • B.2.3.3Sécurité dans la gestion de la configuration de la TI : Gérer la configuration des systèmes d’information pour conserver la conception, les réglages, les paramètres et les attributs connus et approuvés pour les systèmes et des composants :
      • B.2.3.3.1veiller à ce que les pratiques de gestion des changements tiennent compte des incidences sur la sécurité qui peuvent provenir des changements proposés;
      • B.2.3.3.2concevoir et configurer les systèmes d’information pour fournir uniquement les capacités nécessaires et interdire, désactiver ou restreindre particulièrement l’utilisation des fonctions, des ports, des protocoles et des services inutiles;
      • B.2.3.3.3établir des mesures pour garantir que seules les applications et les composants d’application autorisées sont installées et exécutées sur les systèmes d’information et leurs composants;
      • B.2.3.3.3établir des mesures afin de garantir que seuls le matériel et les appareils autorisés sont connectés aux systèmes d’information et à leurs composants ou y ont accès.
    • B.2.3.4Gestion sécurisée du stockage de données : Mettre en oeuvre des mesures pour protéger l’information sur les supports électroniques et les appareils de stockage électroniques immobiles (p. ex., en utilisation ou en stockage), en transit (p. ex., en transport ou en transmission), et au moyen du nettoyage ou de la destruction appropriés avant la réutilisation ou l’élimination de l’équipement, conformément à la sensibilité de l’information et aux pratiques ministérielles, y compris :
      • B.2.3.4.1déterminer les appareils, les méthodes et les services de stockage électronique, de transport, de transmission, de nettoyage et de destruction dont l’utilisation est autorisée au ministère, y compris, sans toutefois s’y limiter, les appareils de stockage amovibles;
      • B.2.3.4.2mettre en oeuvre les mesures de protection appropriées lorsque d’autres appareils, méthodes ou services sont utilisés à des fins opérationnelles, sous réserve de l’approbation d’une personne ayant le pouvoir nécessaire.
    • B.2.3.5Protection physique et environnementale : Mettre en oeuvre des mesures pour protéger les systèmes d’information, leurs composants, et l’information ayant été traitée, contre les menaces physiques et environnementales, conformément à la sensibilité de l’information, en faisant ce qui suit :
      • B.2.3.5.1mettre en oeuvre des mesures de protection physiques et environnementales dans les installations où les systèmes d’information sont élaborés, utilisés, conservés ou stockés;
      • B.2.3.5.2placer les composants physiques de systèmes d’information dans des zones de sécurité physique appropriées;
      • B.2.3.5.3utiliser la sécurité des émanations ou autres mesures, au besoin, pour protéger les systèmes information de la fuite d’information liée à l’émanation de signaux électromagnétiques.
    • B.2.3.6Protection des systèmes et des communications : Mettre en oeuvre des mesures pour protéger les systèmes d’information et leurs composants, ainsi que l’information qu’ils traitent, et transmettent, contre les menaces de réseaux internes et externes, comme les menaces liées à l’utilisation des réseaux publics, des communications sans fil et de l’accès à distance, y compris :
      • B.2.3.6.1définir et établir des zones de sécurité pour maintenir la séparation appropriée dans les environnements de la TI physiques et virtuels et veiller à ce que les systèmes d’information (y compris les instances virtuelles) qui se trouvent dans ces environnements bénéficient de niveaux uniformes de protection en fonction du type et du niveau des menaces, de la sensibilité de l’information et des autres considérations de sécurité pertinentes, comme la criticité des services et des activités pris en charge par le système d’information;
      • B.2.3.6.2limiter le nombre de connexions externes et discrètes aux réseaux ministériels au minimum nécessaire pour satisfaire les exigences ministérielles et gouvernementales;
      • B.2.3.6.3utiliser le chiffrement et des mesures de protection des réseaux pour protéger la confidentialité des données de nature délicate transmises sur les réseaux publics, les réseaux sans fil ou tout autre réseau lorsque les données peuvent être exposées à un accès non autorisé.
    • B.2.3.7Gestion de l’intégrité des systèmes et de l’information : Mettre en oeuvre des mesures pour protéger les systèmes d’information, leurs composants et l’information qu’ils traitent et transmettent contre les attaques qui exploitent les vulnérabilités dans les systèmes d’information pour toucher leur intégrité et qui pourraient avoir une incidence sur leur disponibilité ou leur confidentialité (p. ex., un code malveillant), y compris :
      • B.2.3.7.1surveiller les systèmes d’information pour détecter les attaques et les indicateurs d’attaques possibles, les connexions locales, réseau et à distance non autorisées, et l’utilisation non autorisée des ressources de la TI;
      • B.2.3.7.2cerner et consigner les vulnérabilités dans les systèmes d’information et leurs composants et les signaler au spécialiste fonctionnel responsable de la sécurité et autres, comme indiqué dans la gouvernance de la sécurité du ministère et les processus de gestion des événements de sécurité;
      • B.2.3.7.3analyser les incidences des vulnérabilités cernées, et mettre en oeuvre des mesures correctives (p. ex., appliquer des correctifs et des mises à jour, conformément aux échéances définies et, au besoin, en cas d’urgence);
      • B.2.3.7.4coordonner les processus de gestion les vulnérabilités dans les systèmes d’information à l’aide des processus ministériels et pangouvernementaux de gestion des événements liés à la sécurité;
      • B.2.3.7.5utiliser, examiner et mettre à jour régulièrement pour empêcher, détecter et éliminer les codes malveillants (p. ex., les virus) dans les systèmes d’information et leurs composants;
      • B.2.3.7.6établir l’authentification à la source et les autres mécanismes, au besoin, afin de veiller à ce que l’on puisse attribuer l’information (p. ex., les messages et les transactions financières) à une personne autorisée.
    • B.2.3.8Gestion de l’audit des systèmes d’information : Créer, protéger et conserver les journaux et les dossiers d’audit des systèmes d’information pour permettre la surveillance, l’analyse, l’examen et la mise en oeuvre des mesures correctives et l’établissement de rapports sur celles-ci, au besoin, pour chaque système et conformément aux pratiques ministérielles, y compris :
      • B.2.3.8.1mettre en oeuvre des mesures pour permettre le suivi d’être modifié de façon autoritaire afin de veiller à ce que les utilisateurs soient responsables de leurs activités;
      • B.2.3.8.2surveiller l’utilisation acceptable des systèmes d’information du gouvernement, qu’importe l’emplacement de l’accès ou du système utilisé, et signaler au moyen des voies appropriées les cas possibles d’utilisation inacceptable dans le ministère.
    • B.2.3.9Sécurité en matière d’entretien de la TI : Veiller à ce que l’entretien des systèmes d’information et de leurs composants soit autorisé et consigné, et que l’entretien respecte les pratiques de sécurité du ministère, y compris :
      • B.2.3.9.1veiller à ce que les personnes qui sont responsables d’effectuer l’entretien aient l’autorisation, l’accès et l’orientation nécessaires dans l’exécution de leurs fonctions.
    • B.2.3.10Gestion de la continuité de la TI : Établir des mécanismes pour permettre aux systèmes d’information de maintenir les niveaux de service définis ou d’y retourner, selon le cas, y compris :
      • B.2.3.10.1définir des stratégies de reprise et des priorités de rétablissement pour les données et les systèmes d’information, conformément aux exigences ministérielles de continuité des activités;
      • B.2.3.10.2mettre en oeuvre des mesures pour respecter les stratégies de reprise et les priorités de rétablissement;
      • B.2.3.10.3tester les mécanismes de gestion de la continuité de la TI pour garantir un état de préparation acceptable comme une partie intégrante des pratiques pour la gestion ministérielle de la continuité des activités.
  • B.2.4Sécurité dans la gestion des projets de la TI : Intégrer des considérations de sécurité dans toutes les phases de la gestion des projets de la TI afin de veiller à ce que les besoins en matière de sécurité des programmes et des services soient pris en compte et abordés à l’élaboration, à la mise en oeuvre ou à la mise à niveau des systèmes d’information.
  • B.2.5Sécurité dans le cycle de vie des systèmes d’information, et intégrité de la chaà®ne d’approvisionnement en matière de TI : Déterminer et satisfaire les exigences, les activités et l’établissement de points de contrôle en matière de sécurité tout au long du cycle de vie des systèmes d’information, y compris la définition, la conception, l’élaboration et l’approvisionnement, les opérations, l’entretien et la mise hors service, y compris :
    • B.2.5.1intégrer l’ingénierie de sécurité des systèmes et les processus de conception de sécurité aux étapes appropriées du processus lié au cycle de vie d’élaboration des systèmes;
    • B.2.5.2mettre en oeuvre des mesures de sécurité liées à la chaà®ne d’approvisionnement pour établir et maintenir une confiance raisonnable envers la sécurité des sources de système d’information et des composants informatiques, conformément aux exigences applicables en matière de sécurité;
    • B.2.5.3cerner et aborder tous risques liés à la transmission, au traitement ou au stockage des données, tant à l’intérieur qu’à l’extérieur du Canada, dans la planification d’un système d’information, y compris le cycle de vie complet du système;
    • B.2.5.4pour des systèmes d’information gérés pour ou par une autre organisation, de même que pour les systèmes d’information partagés ou interconnectés par deux ou plusieurs organisations, établir des ententes consignées qui définissent les exigences applicables et les responsabilités respectives en matière de sécurité.
  • B.2.6Évaluation et autorisation de sécurité de la TI : Mettre en oeuvre des processus d’évaluation et d’autorisation liés à la sécurité de la TI afin d’établir et de maintenir la confiance envers la sécurité des systèmes d’information que le ministère utilise ou gère, tout en tenant compte des exigences des intervenants en matière de sécurité, y compris :
    • B.2.6.1évaluer si les mesures de sécurité sont efficaces et si les exigences applicables en matière de sécurité sont respectées;
    • B.2.6.2mettre en oeuvre et consigner les mesures d’atténuation des risques lorsqu’il est impossible de respecter entièrement les exigences en matière de sécurité avant de mettre en service un système d’information, sous réserve de l’approbation d’une personne ayant le pouvoir nécessaire;
    • B.2.6.3autoriser un système d’information avant de le mettre en service au moyen des processus établis d’évaluation et d’autorisation de la sécurité de la TI;
    • B.2.6.4consigner les évaluations de sécurité et les décisions d’autorisation, y compris l’acceptation officielle du risque résiduel par une personne ayant le pouvoir nécessaire;
    • B.2.6.5évaluer et tenir à jour l’autorisation tout au long du cycle de vie opérationnel du système d’information.
  • B.2.7Surveillance et mesures correctives : Maintenir une position efficace de sécurité de la TI, y compris :
    • B.2.7.1surveiller les menaces et les vulnérabilités;
    • B.2.7.2analyser les journaux et les dossiers d’audit des systèmes d’information;
    • B.2.7.3examiner les résultats des évaluations de la surveillance des systèmes, des tests et des analyses après événement;
    • B.2.7.4prendre des mesures préventives, réactives et correctives pour remédier aux lacunes et veiller à ce que les pratiques et les mesures de sécurité de la TI continuent de répondre aux besoins du ministère.

Annexe C : Procédures obligatoires relatives aux mesures de sécurité matérielle

C.1 Date d’entrée en vigueur

  • C.1.1Les présentes procédures entrent en vigueur le 1 juillet, 2019.

C.2 Procédures

  • C.2.1Les présentes procédures fournissent des renseignements en vue d’appuyer la responsabilisation de l’administrateur général.

    Voici les procédures et les sous sections.

    ProcédureSous section
    Exigences et pratiques liées à la sécurité matérielleC.2.2
    Mesures de sécurité matérielleC.2.3
    Sécurité dans les cycles de vie de la gestion des biens immobiliers et du matérielC.2.4
    Évaluation et autorisation liées à la sécurité des installationsC.2.5
    Inspections de sécuritéC.2.6
    DispositionsC.2.7
    Surveillance et mesures correctivesC.2.8
  • C.2.2Exigences et pratiques liées à la sécurité matérielle : Définir, consigner et tenir à jour les exigences et pratiques ministérielles liées à la sécurité matérielle, y compris :
    • C.2.2.1Pour tout le matériel ministériel, la matériel conservé en fiducie par le ministère et les autres biens mobiliers qui appuient les programmes, les services et les activités, y compris les actifs de la TI, les marchandises contrôlées, le matériel de sécurité des communications (COMSEC), les cartes d’achat, les cartes de voyage, les instruments négociables et tout autre bien précieux ou de nature délicate :
      • C.2.2.1.1attribuer une catégorie de sécurité aux biens en fonction du degré de préjudice qui pourrait vraisemblablement découler de leur compromission, et regrouper, au besoin, les biens ayant une sensibilité équivalente (voir l’annexe J : Norme sur la catégorisation de sécurité);
      • C.2.2.1.2cerner et évaluer les menaces auxquelles les biens sont exposés;
      • C.2.2.1.3définir et consigner les exigences la protection des biens sous la garde ou le contrôle du ministère tout au long de leur cycle de vie, en fonction des incidences possibles d’une compromission et des menaces cernées, et conformément aux lois, aux politiques, aux contrats, aux accords ou aux protocoles d’entente applicables;
    • C.2.2.2Pour toutes les installations qui appuient les programmes, les activités ou les services ministériels, ou sous sa responsabilité :
      • C.2.2.2.1déterminer les exigences pertinentes liées à la protection de l’information, des biens et des employés, et à la continuité des activités;
      • C.2.2.2.2cerner et évaluer les menaces auxquelles les installations sont exposées;
      • C.2.2.2.3définir et consigner les exigences afin d’assurer la protection des installations ministérielles pendant tout leur cycle de vie, en fonction des exigences et des menaces liées à la sécurité, et conformément aux lois, aux politiques, aux contrats, aux accords ou aux ententes applicables.
    • C.2.2.3Définir et consigner les pratiques de sécurité du ministère afin de mettre en oeuvre et tenir à jour les mesures de sécurité matérielle, y compris les pratiques pour l’évaluation et l’autorisation de la sécurité des installations, et les inspections de sécurité des installations, conformément aux exigences en matière de sécurité du ministère.
  • C.2.3Mesures de sécurité matérielle : Définir, consigner, mettre en oeuvre et tenir à jour les mesures de sécurité pour respecter les exigences en matière de sécurité matérielle du ministère, conformément aux pratiques ministérielles.
    • C.2.3.1Conception de l’espace des installations : Concevoir, intégrer et gérer les cadres extérieur et intérieur d’une installation pour mettre en place des conditions qui, de pair avec des mesures de sécurité précises, permettent, dans la mesure du possible, de déceler les tentatives d’accès ou les accès non autorisés, et de déclencher une intervention efficace afin de répondre aux exigences en matière de sécurité du ministère, y compris la surveillance électronique.
    • C.2.3.2Gestion de l’accès : Mettre en oeuvre des mesures afin de veiller à ce que l’accès à l’information (sous forme matérielle), aux installations gouvernementales et aux autres biens (y compris les équipements de nature délicate, les cà¢bles de télécommunications et les systèmes d’information), soit limité aux personnes autorisées qui ont fait l’objet d’un filtrage de sécurité au niveau approprié et qui doivent y avoir accès, y compris :
      • C.2.3.2.1fournir des identifiants aux employés;
      • C.2.3.2.2remettre des cartes d’accès aux employés et autres personnes afin de déterminer l’installation ou la zone à laquelle le titulaire est autorisé à accéder, selon le cas;
      • C.2.3.2.3définir et établir une hiérarchie discernable des zones de sécurité matérielle afin de contrôler progressivement l’accès et fournir des niveaux de protection cohérents qui correspondent au type et au degré de la menace et à la sensibilité des programmes, des services, des activités, de l’information ou des biens dans chaque zone;
      • C.2.3.2.4autoriser, contrôler et surveiller les personnes et les biens qui entrent et, au besoin, sortent des installations gouvernementales, des zones et des secteurs de nature délicate, et tenir à jour un registre de ces activités, conformément aux pratiques en matière de sécurité du ministère et au calendrier de conservation et d’élimination des dossiers;
      • C.2.3.2.5examiner les privilèges d’accès de façon périodique, et supprimer l’accès lorsqu’il n’est plus nécessaire (p. ex., lorsqu’un employé quitte le ministère ou change de responsabilités).
    • C.2.3.3Stockage, transport, transmission et destruction sécurisés : Mettre en oeuvre des mesures pour protéger l’information sous forme matérielle, y compris les biens immobiles (p. ex., en utilisation ou en en stockage), en transit (p. ex., en transport ou en transmission), et au moyen d’une destruction appropriée, conformément à leur sensibilité et aux pratiques en matière de sécurité du ministère, y compris :
      • C.2.3.3.1déterminer les appareils, les méthodes et les services sécurisés de stockage physique, de transport, de transmission et de destruction à utiliser au ministère;
      • C.2.3.3.2mettre en oeuvre les mesures de protection appropriées lorsque d’autres appareils, méthodes ou services sont utilisés à des fins opérationnelles, sous réserve de l’approbation d’une personne ayant le pouvoir nécessaire;
      • C.2.3.3.3au besoin, appliquer les marquages de sécurité pertinents aux biens de nature délicate pour alerter les utilisateurs du niveau de protection qu’il faut appliquer au bien.
    • C.2.3.4Mesures supplémentaires : Mettre en oeuvre des mesures supplémentaires, au besoin, pour respecter les exigences en matière de sécurité du ministère ou atteindre un niveau de préparation élevé en cas d’urgence ou de situations de menaces accrues (p. ex., filtrage du courrier entrant ou des livraisons de colis suspects, espaces de discussion spéciaux, salles sécurisées, contre-mesures de surveillance technique, instructions de destruction d’urgence, et mesures de protection de l’information ou des biens de nature délicate ou précieux).
  • C.2.4Sécurité dans les cycles de vie de la gestion des biens immobiliers et du matériel : Intégrer des considérations de sécurité dans les processus de gestion des biens immobiliers et du matériel et dans toutes les étapes des cycles de vie de la gestion des installations et du matériel, y compris :
    • C.2.4.1intégrer les considérations de sécurité dans la planification, la sélection du site, la conception, l’approvisionnement, l’octroi de contrats, la construction, la modification, l’exploitation et l’entretien des installations;
    • C.2.4.2intégrer les considérations liées à la sécurité à l’évaluation des besoins, à l’analyse des options, à la planification de l’acquisition, à l’acquisition, à l’exploitation, à l’utilisation, à l’entretien, à l’élimination et au remplacement du matériel.
  • C.2.5Évaluation et autorisation de la sécurité des installations : Mettre en oeuvre les processus d’évaluation et d’autorisation liés à la sécurité de l’installation afin d’établir et de maintenir la confiance envers la sécurité des installations qui sont utilisées, occupées ou gérées par le ministère, en tenant compte des exigences des intervenants en matière de sécurité, y compris :
    • C.2.5.1évaluer si les mesures de sécurité sont efficaces et si les exigences applicables en matière de sécurité sont respectées;
    • C.2.5.2mettre en oeuvre et consigner les mesures d’atténuation des risques lorsqu’il est impossible de respecter entièrement les exigences en matière de sécurité avant de mettre en service uns installation, sous réserve de l’approbation d’une personne ayant le pouvoir nécessaire;
    • C.2.5.3autoriser les installations avant leur mise en service par le biais des processus d’évaluation et d’autorisation liés à la sécurité des installations;
    • C.2.5.4consigner les évaluations de sécurité et les décisions d’autorisation, y compris l’acceptation officielle du risque résiduel par une personne ayant le pouvoir nécessaire;
    • C.2.5.5évaluer et tenir à jour l’autorisation tout au long de l’utilisation, de l’occupation et de l’entretien d’une installation.
  • C.2.6Inspections de sécurité : Effectuer des inspections de sécurité dans les installations où de l’information ou des biens de nature délicate sont traités ou stockés, ou qui appuient des activités ou des services essentiels, afin de vérifier la conformité aux pratiques de sécurité du ministère, y compris :
    • C.2.6.1veiller à ce que les inspections de sécurité soient effectuées par les personnes désignées, conformément aux processus et aux échéanciers définis;
    • C.2.6.2dans les situations d’urgence ou de menaces accrues, augmenter la fréquence ou la portée des inspections de sécurité pour atteindre un niveau de préparation plus élevé;
    • C.2.6.3signaler les problèmes de non-conformité, conformément aux processus définis, afin de permettre la mise en oeuvre des mesures correctives, et rendre compte aux autorités responsables, selon le cas.
  • C.2.7Dispositions: Établir des ententes consignées (p. ex., bail ou accord d’occupation) qui définissent les exigences pertinentes et les responsabilités respectives en matière de sécurité, lorsque le ministère appuie une autre organisation ou y fait appel, y compris, sans toutefois s’y limiter, d’autres ministères fédéraux, d’autres ordres de gouvernements et des fournisseurs et partenaires du secteur privé, pour répondre aux exigences du ministère en matière de sécurité matérielle :
    • C.2.7.1Pour les installations où le ministère est le gardien de l’immeuble
      • C.2.7.1.1définir des exigences en matière de sécurité de l’immeuble de base;
      • C.2.7.1.2fournir la sécurité de l’immeuble de base;
      • C.2.7.1.3informer tous les locataires de la sécurité de l’immeuble de base fournie dans les installations occupées par les locataires;
      • C.2.7.1.4tenir compte des exigences en matière de sécurité des locataires à la sélection d’un site;
      • C.2.7.1.5coordonner l’intégration des mesures de protection supplémentaires dans l’infrastructure de l’immeuble de base pour respecter les exigences en matière de sécurité des locataires;
    • C.2.7.2Pour les installations où le ministère est locataire :
      • C.2.7.2.1définir les exigences en matière de sécurité des locataires, en tenant compte des ressources et des activités dans les installations occupées par le locataire, en consultation avec d’autres intervenants avec qui les installations sont partagées, s’il y a lieu;
      • C.2.7.2.2informer le ministère gardien de ses exigences de locataire en matière de sécurité, pour appuyer la sélection du site et l’aménagement des locaux;
      • C.2.7.2.3vérifier que des mesures de protection supplémentaires ont été intégrées dans l’infrastructure de l’immeuble de base pour répondre aux exigences de locataire en matière de sécurité.
    • C.2.7.3Pour les installations à plusieurs locataires occupées ou gérées par le ministère, établir des mécanismes ou vérifier qu’ils sont en place pour permettre la coordination des activités de sécurité, y compris un comité de sécurité de l’immeuble, l’harmonisation de la hiérarchie des zones de sécurité pour les espaces communs, la détermination des responsabilités du locataire principal et les processus de gestion des événements de sécurité.
    • C.2.7.4Lorsque des personnes d’un autre ministère ou d’une autre organisation nécessitent un accès régulier à des installations occupées ou gérées par le ministère, établir des mécanismes ou vérifier qu’ils sont en place pour aborder les exigences en matière de sécurité et permettre la coordination des activités de sécurité, y compris le filtrage de sécurité, la gestion de l’accès et la gestion des événements de sécurité.
  • C.2.8Surveillance et mesures correctives : Maintenir une posture de sécurité matérielle efficace :
    • C.2.8.1surveiller les menaces et les vulnérabilités;
    • C.2.8.2analyser les registres d’accès;
    • C.2.8.3examiner les résultats des évaluations de sécurité, des inspections de sécurité et des analyses après événement;
    • C.2.8.4prendre des mesures préventives, réactives et correctives pour garantir que les pratiques et les mesures de sécurité matérielle continuent de répondre aux besoins du ministère.

Annexe D : Procédures obligatoires relatives aux mesures de sécurité en matière de gestion de la continuité des activités

D.1 Date d’entrée en vigueur

  • D.1.1Les présentes procédures entrent en vigueur le 1 juillet, 2019.

D.2 Procédures

  • D.2.1Les présentes procédures fournissent des renseignements sur les exigences en vue d’appuyer la responsabilisation de l’administrateur général.
  • D.2.2Voici les procédures :
    • D.2.2.1Pratiques en matière de gestion de la continuité des activités : Définir, consigner et tenir à jour les pratiques en matière de gestion de la continuité des activités, qui abordent :
      1. les processus pour mener l’analyse des incidences sur les activités et élaborer des plans, des mesures et des dispositions liés à la continuité des activités;
      2. la coordination de la gestion de la continuité des activités avec les activités de gestion des événements de sécurité et de gestion des situations d’urgence;
      3. les processus et les échéanciers pour fournir de la sensibilisation et de la formation, et tester des plans, des mesures et des dispositions de continuité des activités;
      4. la coordination avec les partenaires et les autres intervenants;
      5. les processus et les échéanciers pour examiner et tenir à jour l’analyse des incidences sur les activités et les plans, les mesures et les dispositions de continuité des activités.
    • D.2.2.2Analyse des incidences sur les activités : Définir les exigences en matière de gestion de la continuité des activités du ministère pour tous les services et les activités du ministère, en assurant la continuité de la disponibilité des services et des actifs connexes qui sont essentiels à la santé, au bien-être, à la sécurité et au bien-être économique des Canadiens et des Canadiennes, ou du bon fonctionnement du gouvernement, en fonction d’une analyse des incidences possibles des perturbations :
      • D.2.2.2.1attribuer une catégorie de sécurité aux services et aux activités en fonction du degré de préjudice qui pourrait vraisemblablement découler de leur interruption ou de leur détérioration, et, selon le cas, les activités et services de groupe de criticité équivalente (voir l’annexe J : Norme la catégorisation de la sécurité);
      • D.2.2.2.2faire la liaison avec les clients (pour les services fournis à un autre ministère) et les autres intervenants qui peuvent être touchés par les interruptions des activités ou des services ministériels, pour les informer des exigences, des stratégies et des priorités en matière de continuité;
      • D.2.2.2.3fournir de l’information au SCT, de façon régulière ou sur demande, au sujet des activités et des services essentiels déterminés du ministère;
      • D.2.2.2.4définir les exigences en matière de gestion de la continuité des activités, formulées comme le temps d’arrêt maximal admissible, niveaux de service minimums, les objectifs de temps de reprise, et les objectifs de point de reprise;
      • D.2.2.2.5définir des stratégies de continuité et des priorités de reprise;
      • D.2.2.2.6déterminer les ressources d’appui, y compris les employés, les entrepreneurs, les fournisseurs, l’information et les biens comme les systèmes d’information, le matériel et les installations, y compris lorsque le ministère appuie une autre organisation ou y fait appel, dans l’exécution d’un service ou d’une activité;
      • D.2.2.2.7déterminer tous les plans opérationnels existants qui appuient des exigences en matière de gestion de la continuité des activités.
    • D.2.2.3Plans, mesures et dispositions de continuité des activités : Établir des plans, des mesures et des dispositions de continuité des activités, en fonction des résultats de l’analyse des incidences sur les activités.
    • D.2.2.4Sensibilisation et formation : Fournir de la sensibilisation et de la formation à tous, y compris une formation spécialisée pour les personnes qui participent directement à la mise en oeuvre des plans de continuité des activités, conformément aux pratiques ministérielles.
    • D.2.2.5Essais: Effectuer régulièrement des essais et des exercices de simulation relatifs aux plans de continuité des activités pour assurer un état de préparation acceptable, conformément aux pratiques ministérielles.
    • D.2.2.6Surveillance et mesures correctives : Examiner et mettre à jour l’analyse des incidences sur les activités et les plans, les mesures et les dispositions de continuité des activités, tout en tenant compte des changements de services, des activités, de l’environnement des ressources ou des menaces, en fonction des résultats des tests et l’activation des plans, pour assurer les pratiques en matière de gestion de la continuité des activités continuent de respecter les besoins du ministère.

Annexe E : Procédures obligatoires relatives aux mesures de sécurité de la gestion de l’information

E.1 Date d’entrée en vigueur

  • E.1.1Les présentes procédures entrent en vigueur le 1 juillet, 2019.

E.2 Procédures

  • E.2.1Les présentes procédures fournissent des renseignements sur les exigences en vue d’appuyer la responsabilisation de l’administrateur général.
  • E.2.2Voici les procédures :
    • E.2.2.1Exigences et pratiques en matière de gestion de l’information : Définir, consigner et tenir à jour les exigences et pratiques ministérielles en matière de gestion de l’information.
      • E.2.2.1.1Pour toutes les ressources documentaires et toute la propriété intellectuelle du gouvernement, y compris les documents éphémères, les renseignements reçus des citoyens canadiens, des organisations du secteur privé, des autres ordres de gouvernements, des organisations internationales ou d’autres partenaires, les renseignements constituant des marchandises contrôlées, le matériel COMSEC et d’autres renseignements qui appuient les programmes, les services et les activités du gouvernement :
        1. attribuer une catégorie de sécurité aux ressources documentaires du ministère en fonction du degré de préjudice qui pourrait vraisemblablement résulter de leur compromission, et regrouper, s’il y a lieu, les ressources documentaires ayant une sensibilité équivalente (voir l’annexe J – Norme sur la catégorisation de sécurité);
        2. déterminer et évaluer les menaces auxquelles sont exposées les ressources documentaires du ministère;
        3. définir et consigner les exigences la protection des ressources documentaires sous la garde ou le contrôle du ministère tout au long de leur cycle de vie, en fonction des incidences possibles d’une compromission et des menaces cernées, et conformément aux lois, aux politiques, aux contrats, aux accords ou aux protocoles d’entente applicables;
        4. définir et consigner les pratiques en matière de sécurité du ministère pour la mise en oeuvre et le maintien des mesures de sécurité de la gestion de l’information, conformément aux exigences en matière de sécurité du ministère.
    • E.2.2.2Mesures relatives à la sécurité matérielle : Définir, consigner, mettre en oeuvre et tenir à jour les mesures de sécurité pour répondre aux exigences en matière de sécurité de la gestion de l’information du ministère et conformément aux pratiques ministérielles.
      • E.2.2.2.1Marquage de sécurité : Appliquer des marques de sécurité pour prévenir les utilisateurs du niveau de protection qui doit être appliqué à l’information :
        1. appliquer des marques de sécurité au moment où l’information est créée ou recueillie, à partir de la catégorie de sécurité attribuée et les mises en garde applicables;
        2. appliquer les marques de sécurité à l’information sous forme physique et électronique, et, au besoin, aux supports électroniques et dispositifs de stockage contenant des renseignements de nature délicate.
      • E.2.2.2.2Déclassement et mise à niveau: Veiller à ce que le délai de protection de l’information soit aussi bref que possible et que la catégorie de sécurité continue de refléter les incidences possibles d’une compromission :
        1. au besoin et en conformité avec les exigences en matière de protection des renseignements personnels et des autres obligations liées aux lois ou aux politiques, déclasser la catégorie de sécurité attribuée aux ressources documentaires lorsque le préjudice attendu est réduit;
        2. avant de procéder au déclassement d’information provenant d’une autre organisation, prévenir l’autorité compétente;
        3. au moment de déclasser de l’information reçue d’autres ordres de gouvernements, d’organisations du secteur privé ou d’organisations internationales, respecter les accords ou protocoles d’entente conclus avec ces gouvernements ou organisations;
        4. au besoin, surclasser la catégorie de sécurité attribuée aux ressources documentaires lorsque le préjudice attendu est accru.
      • E.2.2.2.3Mesures supplémentaires : Mettre en oeuvre les mesures supplémentaires nécessaires pour répondre aux exigences en matière de sécurité du ministère.
    • E.2.2.3Sécurité dans le cycle de vie de la gestion de l’information : Intégrer les considérations liées à la sécurité au processus de gestion de l’information tout au long des étapes du cycle de vie de l’information, y compris la planification, la création, la réception, l’organisation, l’utilisation, la diffusion, la mise à jour, le transfert et la disposition.
    • E.2.2.4Surveillance et mesures correctives : Surveiller les pratiques et les mesures en matière de sécurité relatives à la gestion de l’information pour veiller à l’application uniforme et mettre en oeuvre les changements nécessaires pour veiller à ce que ces pratiques et mesures continuent de répondre aux besoins du ministère.

Annexe F : Procédures obligatoires relatives aux mesures de sécurité lors de l’octroi de contrats et d’autres ententes

F.1 Date d’entrée en vigueur

  • F.1.1Les présentes procédures entrent en vigueur le 1 juillet, 2019.

F.2 Procédures

  • F.2.1Les présentes procédures fournissent des renseignements sur les exigences en vue d’appuyer la responsabilisation de l’administrateur général.

    Voici les procédures et les sous sections.

    ProcédureSous section
    Sécurité dans le processus d’approvisionnement ou d’ententeF.2.2
    Exigences de sécurité pour les contrats et les ententes d’échange de renseignementsF.2.3
    Vérification de la conformitéF.2.4
    Surveillance et mesures correctivesF.2.5
  • F.2.2Sécurité dans le processus d’approvisionnement ou d’entente : Définir, consigner et tenir à jour les pratiques ministérielles en matière de sécurité pour l’approvisionnement et l’établissement d’ententes d’échange de renseignements ou de biens :
    • F.2.2.1définir des exigences de sécurité qui devraient s’appliquer à l’ensemble des contrats ou des ententes;
    • F.2.2.2établir un processus pour déterminer les exigences de sécurité propres à un contrat ou une entente en particulier;
    • F.2.2.3établir un processus pour vérifier et surveillance la conformité continue avec les exigences de sécurité, y compris toute exception permise et les mesures d’atténuation des risques, selon le cas;
    • F.2.2.4intégrer les considérations relatives à la sécurité au processus d’approvisionnement du ministère et aux processus de gestion de l’information, de gestion des biens et de gestion des programmes, tout en tenant compte des ententes d’échange de renseignements et de biens.
  • F.2.3Exigences de sécurité lors de l’octroi de contrats et d’ententes d’échange de renseignements : Déterminer et consigner les exigences de sécurité pour l’ensemble des contrats et des ententes, y compris :
    • F.2.3.1Déterminer les exigences en matière de sécurité selon la sensibilité des renseignements, des biens ou des sites auxquels les personnes doivent avoir accès, l’emplacement et le type de travail à accomplir, la nécessité, pour le fournisseur, le partenaire ou le ministère de protéger, de traiter ou de produire des renseignements ou des biens de nature délicate dans ses installations ou dans ses systèmes d’information, ainsi que tout autre facteur pertinent :
      • F.2.3.1.1assujettir à des mesures de sécurité les personnes qui doivent accéder à de l’information, des biens ou des sites de nature délicate dans l’exercice de leurs fonctions; les personnes sur qui il faut compter pour produire et livrer les biens et les services achetés; et les personnes qui, en raison de leur poste, pourraient avoir accès à de l’information, des biens ou des sites de nature délicate ou pourraient porter atteinte à la livraison de biens ou de services, y compris les points de contact en matière de sécurité du fournisseur et, pour certains contrats, les cadres supérieurs clés du fournisseur;
      • F.2.3.1.2vérifier et obtenir l’assurance d’une mise en oeuvre appropriée de ce qui suit :
        1. les mesures de sécurité matérielle dans les installations utilisées pour stocker et/ou produire des renseignements ou des biens de nature délicate, ou sur lesquelles on compte pour produire ou fournir les biens ou les services achetés;
        2. les mesures de sécurité visant à protéger les systèmes d’information qui servent à traiter ou à transmettre électroniquement de l’information de nature délicate ou sur lesquels on compte pour produire ou livrer les biens ou les services achetés;
        3. les mesures de sécurité administratives et opérationnelles (y compris la désignation de personnes-ressources en matière de sécurité, la gouvernance, la planification, la gestion de la sous-traitance ou des ententes avec des tiers, la sensibilisation et la formation en matière de sécurité, la surveillance des événements liés à la sécurité, la réponse à ces derniers et l’établissement de rapports, selon le cas);
        4. toutes autres exigences particulières en matière de sécurité visant à respecter des obligations découlant de lois ou de règlements, entre autres (p. ex., les exigences relatives à la gestion du matériel COMSEC; les contrats internationaux ou de défense assujettis à des traités négociés, des accords internationaux ou des accords multinationaux; et les exigences où les fonctions ou l’accès à l’information, aux biens ou aux installations se rapportent directement à des fonctions de sécurité et de renseignement ou appuient directement ces fonctions);
        5. une approche fondée sur les risques afin de vérifier et de surveillance la conformité des fournisseurs, des partenaires et du ministère avec les exigences de sécurité, selon le cas.
    • F.2.3.2Déterminer les exigences de sécurité dans les documents associés à un contrat ou une entente :
      • F.2.3.2.1pour les contrats et les autres ententes avec les fournisseurs, consigner les exigences de sécurité dans Liste de vérification des exigences relatives à la sécurité (LVERS) ou dans un document équivalent, et dans les autres documents associés au contrat ou à l’entente;
      • F.2.3.2.2pour les autres types d’ententes, consigner les exigences de sécurité dans l’entente;
      • F.2.3.2.3pour les contrats ou les ententes qui prévoient la participation d’un sous traitant ou d’un autre tiers, indiquer dans le contrat ou l’entente que le fournisseur ou le partenaire doit étendre les exigences de sécurité applicables à toute autre entité participant à la réalisation du contrat ou de l’entente;
      • F.2.3.2.4pour les contrats ou les ententes qui ne comportent pas d’exigences de sécurité, inclure une attestation qui l’indique dans les documents du contrat ou de l’entente.
  • F.2.4Vérification de la conformité : Confirmer et consigner le respect des exigences de sécurité avant d’attribuer un contrat ou de conclure une entente et avant d’accorder l’accès à de l’information, des biens ou des sites de nature délicate, selon le cas.
    • F.2.4.1Vérifier la conformité avec les exigences de sécurité à l’aide d’une approche fondée sur les risques définie pour le contrat ou l’entente, et obtenir une assurance de la mise en oeuvre de ces exigences. Pour éviter les dédoublements, lorsque c’est possible et conformément aux exigences relatives à la protection des renseignements personnels et à d’autres obligations relevant de lois ou de politiques :
      • F.2.4.1.1fournir les dossiers de sécurité des fournisseurs du gouvernement du Canada aux organisations de services internes intégrés et à d’autres ministères;
      • F.2.4.1.2consulter les dossiers de sécurité des fournisseurs du gouvernement du Canada au moment de vérifier la conformité des fournisseurs;
    • F.2.4.2mettre en oeuvre et consigner les mesures d’atténuation des risques lorsque les exigences de sécurité destinées à limiter l’accès à de l’information, des biens ou des sites de nature sensible ne peuvent pas être entièrement respectées avant d’attribuer un contrat ou de conclure une entente, sous réserve de l’approbation d’une personne ayant le pouvoir nécessaire;
    • F.2.4.3établir des ententes consignées qui définissent les responsabilités en matière de sécurité respectives s’appliquant à des contrats ou des ententes gérés pour ou par une autre organisation.
  • F.2.5Surveillance et mesures correctives : Surveiller la conformité des fournisseurs, des partenaires et du ministère avec les exigences de sécurité tout au long du processus lié au contrat ou à l’entente, à l’aide de l’approche fondée sur les risques définie pour le contrat ou l’entente, et prendre des mesures visant à aborder les problèmes de non conformité, les incidents de sécurité ou d’autres événements de sécurité.

Annexe G : Procédures obligatoires relatives aux mesures de sécurité dans la gestion des événements

G.1 Date d’entrée en vigueur

  • G.1.1Les présentes procédures entrent en vigueur le 1 juillet, 2019.

G.2 Procédures

  • G.2.1Les présentes procédures fournissent des renseignements en vue d’appuyer la responsabilisation de l’administrateur général.

    Voici les procédures et les sous sections.

    ProcédureSous section
    Pratiques ministérielles de gestion des événements de sécuritéG.2.2
    Signalisation des événements de sécuritéG.2.3
    La sécurité en situation d’urgence et de menace accrueG.2.4
    Enquêtes administratives sur les événements de sécuritéG.2.5
    Analyse après événementG.2.6
    Dossiers sur les événements de sécuritéG.2.7
  • G.2.2Pratiques ministérielles de gestion des événements de sécurité : Définir, consigner et tenir à jour les pratiques ministérielles de gestion des événements de sécurité :
    • G.2.2.1définir les processus de gestion des événements de sécurité, y compris les responsabilités de tous les intervenants, en tenant compte des partenaires (p. ex., les autres ministères, les fournisseurs et les autres ordres de gouvernements) et des processus pangouvernementaux;
    • G.2.2.2désigner une personne ressource officielle du ministère pour appuyer les communications pangouvernementales sur les menaces et les vulnérabilités et les réponses aux incidents de sécurité et aux autres événements de sécurité, en fonction des processus pangouvernementaux;
    • G.2.2.3mettre en place des ressources pour appuyer la mise en oeuvre des processus de gestion des événements de sécurité, et permettre l’échange sécurisé des renseignements pertinents au sein du ministère et avec les autres intervenants;
    • G.2.2.4mettre en place des mesures destinées à garantir que les processus de gestion des événements de sécurité peuvent être déclenchés dans l’éventualité de perturbations touchant leurs ressources de soutien;
    • G.2.2.5coordonner les processus de gestion des événements de sécurité avec les responsables des plans de communication et avec ceux de la continuité des activités, de la gestion des urgences, de la gestion des grèves et d’autres plans et mesures d’urgence, selon le cas;
    • G.2.2.6mettre à l’essai les processus de gestion des événements liés à la sécurité pour assurer l’état de préparation et appuyer l’amélioration continue des processus.
  • G.2.3Signalisation des événements de sécurité : Évaluer, consigner, signaler et échanger des renseignements relatifs aux menaces, aux vulnérabilités, aux incidents de sécurité et à d’autres événements de sécurité, conformément aux processus ministériels et pangouvernementaux (voir l’annexe B – Norme sur le signalement des événements de sécurité) :
    • G.2.3.1veiller à ce que le signalement et l’échange de renseignements liés aux menaces, aux vulnérabilités, aux incidents de sécurité et à d’autres événements de sécurité se limitent aux utilisateurs autorisés qui ont fait l’objet d’une mesure de sécurité au niveau approprié et qui doivent accéder à l’information pour veiller à la préparation, l’intervention ou le rétablissement qui convient; qu’ils soient effectués au moyen de mécanismes offrant une protection qui est à la mesure du caractère délicat de l’information et des menaces auxquelles l’information peut être exposées; et qu’ils soient effectués dans les limites des lois et des politiques applicables, ou encore d’autres obligations;
    • G.2.3.2signaler les événements de sécurité qui touchent, ou qui sont susceptibles de toucher, la préparation, l’intervention ou le rétablissement dans l’ensemble du gouvernement à l’organisme de sécurité ou l’organisme central responsable approprié;
    • G.2.3.3signaler toute activité criminelle soupçonnée (y compris, mais sans s’y limiter, les cas de vol et d’abus de confiance) à l’autorité policière compétente, fournir tous les documents, le matériel et les détails pertinents et respecter les protocoles pour assurer la conservation des preuves et la coopération entre le ministère et les autorités policières;
    • G.2.3.4informer les autres ministères et intervenants s’il y a des motifs de croire que l’événement est attribuable à cette organisation ou pourrait la toucher, y compris les organisations de services internes intégrés, les ministères qui fournissent ou reçoivent des services en vertu d’accords ou d’autres ententes, les fournisseurs et les autres partenaires.
  • G.2.4La sécurité en situation d’urgence et de menace accrue : Définir, consigner et mettre en oeuvre les processus et les mesures pour atteindre et conserver un niveau de préparation de référence et pour accroà®tre le niveau de sécurité dans l’éventualité d’une situation d’urgence ou de menaces accrues afin de prévenir ou de réduire au minimum les incidences et les pertes potentielles :
    • G.2.4.1Appliquer les niveaux de préparation définis en fonction du niveau de menace envers les employés, les renseignements, les biens ou la prestation de services du gouvernement du Canada.
    • G.2.4.2Déterminer les responsabilités de tous les employés ministériels chargés de la mise en oeuvre des processus et des mesures de préparation :
      • G.2.4.2.1désigner la personne ressource ministérielle pour la gestion des événements de sécurité comme l’agent de liaison officiel aux fins de déclaration et d’application de niveaux de préparations accrus au ministère;
    • G.2.4.3signaler, sans tarder, une déclaration d’un niveau de préparation plus élevé et le retour à des niveaux de préparation moins élevés au Bureau du Conseil privé, conformément à l’annexe I : Norme de signalement des événements de sécurité;
    • G.2.4.4mettre en oeuvre des changements au niveau de préparation qui sont imposés par le Bureau du Conseil privé en réaction aux situations d’urgence et de menace accrue qui peuvent toucher plusieurs ministères, la sécurité nationale et le gouvernement dans son ensemble;
    • G.2.4.5coordonner les processus et les mesures de préparation avec les responsables des processus de gestion des événements de sécurité et des plans de continuité des activités et avec les responsables de la préparation aux situations d’urgence et des mesures d’intervention.
  • G.2.5Enquêtes administratives sur les événements de sécurité : Mener des enquêtes administratives rigoureuses et impartiales sur les incidents de sécurité et d’autres événements de sécurité d’une façon qui garantit la protection de la preuve, qui respecte les droits de la personne et qui ne nuit pas aux procédures civiles ou criminelles possibles :
    • G.2.5.1définir les pratiques d’exécution d’enquêtes administratives sur les événements de sécurité;
    • G.2.5.2aviser les parties impliquées dans les enquêtes administratives sur les événements de sécurité de leurs droits et obligations;
    • G.2.5.3mener des enquêtes administratives sur les événements de sécurité indépendamment des enquêtes criminelles et sans aucune intention particulière de les faire progresser afin d’éviter de les compromettre.
  • G.2.6Analyse après événement : Réaliser une analyse après les incidents de sécurité et les autres événements de sécurité importants dans le but de rendre possible l’application de mesures correctives et d’appuyer l’amélioration des processus :
    • G.2.6.1communiquer les résultats de l’analyse après événement à l’organisme de sécurité ou à l’organisme central responsable approprié, selon le cas et selon la gravité et la portée de l’événement.
  • G.2.7Dossiers sur les incidents de sécurité : Tenir à jour des dossiers rigoureux sur tous les incidents de sécurité et les autres événements de sécurité importants, y compris l’identification des programmes, des services, des activités et des ressources touchées, l’évaluation de la gravité et de la portée des incidences (le degré de préjudice), les conclusions des enquêtes administratives et les résultats de l’analyse après événement :
    • G.2.7.1appliquer des mesures de protection afin de veiller à ce que l’accès aux dossiers sur les événements de sécurité se limite aux agents de sécurité et aux autres utilisateurs autorisés, et ce, afin de veiller à l’intégrité de ces dossiers.

Annexe H : Procédures obligatoires relatives aux mesures de sécurité dans la sensibilisation et la formation

H.1 Date d’entrée en vigueur

  • H.1.1Les présentes procédures entrent en vigueur le 1 juillet, 2019.

H.2 Procédures

  • H.2.1Les présentes procédures fournissent des renseignements sur les exigences en vue d’appuyer la responsabilisation de l’administrateur général.
  • H.2.2Les procédures obligatoires sont les suivantes :
    • H.2.2.1Exigences et pratiques en matière de sensibilisation à la sécurité : Définir, consigner et tenir à jour les exigences et les pratiques du ministère relatives à la sensibilisation et à la formation en matière de sécurité, conformément aux exigences des politiques à l’échelle du gouvernement.
    • H.2.2.2Sensibilisation en matière de sécurité : Élaborer, présenter, tenir à jour et documenter les activités et les produits relatifs à la sensibilisation en matière de sécurité pour informer les personnes et leur rappeler les menaces et les risques liés à la sécurité, ainsi que leurs responsabilités à cet égard, conformément aux exigences ministérielles relativement à la sensibilisation en matière de sécurité.
    • H.2.2.3Formation en matière de sécurité : Fournir une formation en matière de sécurité, ou prendre des dispositions pour qu’elle soit fournie et en consigner la fourniture, à l’intention de tous les employés, y compris une formation spécialisée sur la sécurité aux personnes ayant des responsabilités particulières liées à la sécurité ou qui pourraient influer sur la réalisation des objectifs de sécurité dans le cadre de leurs fonctions, conformément aux exigences de formation en matière de sécurité ministérielles.
    • H.2.2.4Surveillance et mesures correctives : Évaluer l’efficacité des activités de sensibilisation et de formation en matière de sécurité et mettre en oeuvre les changements nécessaires pour veiller à ce que ces activités continuent de répondre aux besoins du ministère.

Annexe I : Norme sur le signalement des événements de sécurité

Précise les organisations du gouvernement du Canada auxquelles il faut signaler chaque type d’événement lié à la sécurité. La Norme sur le signalement des événements liés à la sécurité se trouve à l’adresse suivante : https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=32613

Annexe J : Norme sur la catégorisation de sécurité

Explique les différentes catégories de sécurité qui s’appliquent à différents types de biens, de renseignements et de services. La Norme sur la catégorisation de sécurité se trouve à l’adresse suivante : https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=32614

Annexe K : Définitions

Les définitions à utiliser pour l’interprétation de la présente Directive se trouvent à l’annexe B de la Politique sur la sécurité du gouvernement.

© Sa Majesté la Reine du chef du Canada, représentée par le président du Conseil du Trésor, 2019,
ISBN: