Annexe D : Processus d’inspection de la sécurité de la technologie de l’information
Utilisez cette annexe conjointement avec le chapitre 7 : Sécurité des technologies de l’information du manuel de la sécurité des contrats (MSC).
Sur cette page
I. Lancement
Lors de la phase de lancement d’une inspection de la sécurité de la technologie de l’information (TI), l’inspecteur de la sécurité de la TI du Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC) communiquera avec l’agent de sécurité d’entreprise (ASE) de l’organisation pour discuter de l’inspection à venir.
Dans le cadre de la phase de lancement, l’organisation devra remplir une liste de vérification de l’inspection de la sécurité de la TI qui décrit les systèmes de TI qu’elle a l’intention d’utiliser pour stocker, traiter et créer les renseignements protégés et/ou classifiés associés aux contrats. Cette liste de vérification n’est pas un exercice de réussite ou d’échec; elle sert plutôt d’outil de discussion essentiel pour la partie de l’inspection qui se déroule sur place. Ce document est d’une portée qui doit se limiter à une description des systèmes de TI à utiliser pour stocker, traiter ou créer des renseignements protégés ou classifiés associés aux contrats. L’ASE est censé fournir la liste de vérification de la sécurité de la TI remplie et toute pièce justificative à l’inspecteur de la sécurité de la TI dans les 30 jours suivant sa réception.
En outre, si pendant la phase de lancement de l’inspection, une inspection sur place doit avoir lieu, l’inspecteur de la sécurité de la TI en fixera la date et l’heure avec l’ASE.
II. L’inspection sur place
Pendant la partie de l’inspection qui se déroule sur place, l’inspecteur de la sécurité de la TI aura un entretien avec l’organisation et évaluera la situation de celle-ci en matière de sécurité de la TI pour le stockage, le traitement et la création de renseignements protégés ou classifiés à l’appui des contrats visés par une inspection.
L’ASE ou l’agent de sécurité d’entreprise remplaçant (ASER) doit assister à l’inspection de la sécurité de la TI sur place. Si l’ASE ou l’ASER n’est pas l’administrateur de TI pour les systèmes de TI inspectés, les responsables du PSC de SPAC recommandent vivement à l’organisation de faire en sorte qu’un administrateur de TI qui connaît bien le ou les systèmes assiste à l’inspection. En outre, il peut être bénéfique tant pour l’organisation que pour l’inspecteur de pouvoir compter sur un spécialiste des processus opérationnels qui connaît les fonctions exercées à l’appui du contrat, pour répondre aux questions.
Lors de l’inspection sur place, l’inspecteur de la sécurité de la TI :
- examinera les questions et les réponses fournies sur la liste de vérification de la sécurité de la TI et tout document justificatif
- certifiera que toutes les exigences du contrat décrites dans un document faisant état des exigences techniques en matière de TI (le cas échéant) ont été respectées
- passera en revue les systèmes de TI en place pour stocker, traiter ou créer des renseignements protégés ou classifiés
- demandera à parler au personnel associé aux activités contractuelles s’il y a lieu
Au cours de cette inspection, l’inspecteur de la sécurité de la TI prend note de toute constatation de la non-conformité possible de l’organisation aux exigences du contrat, au PSC de SPAC ou aux meilleures pratiques opérationnelles. Pour chaque constatation, l’inspecteur formulera une ou plusieurs recommandations visant à améliorer la situation en matière de sécurité de la TI. Ces recommandations sont faites à l’ASE pendant l’inspection et énoncées dans une lettre de recommandation à la suite de l’inspection (Section IV. A : Lettre de recommandation).
III. Inspections hors site
Lorsque l’historique des inspections et les exigences contractuelles le permettent, les inspecteurs de la sécurité de la TI du PSC de SPAC peuvent effectuer des inspections hors site. Ces inspections se déroulent de deux façons :
- par téléphone, avec un suivi sur place obligatoire
- au moyen d’un processus d’attestation
A. Inspections par téléphone
Les inspections par téléphone fonctionnent de la même manière qu’une inspection sur place, la différence étant que l’inspecteur de la sécurité de la TI ne passe pas lui-même les systèmes de TI en revue, mais s’appuie sur des preuves.
B. Processus d’attestation
Si une organisation a été inspectée au niveau de sécurité du contrat en cours durant les deux années précédentes et a l’intention d’utiliser les mêmes systèmes de TI, ou des systèmes configurés de manière identique aux systèmes inspectés précédemment, il sera demandé à l’ASE de confirmer ce qui suit :
- l’organisation utilisera des systèmes de TI qui ont été préalablement inspectés et approuvés par les responsables du PSC
- l’organisation n’a pas apporté de changements majeurs aux systèmes de TI depuis la dernière inspection
- il n’y a pas eu d’atteintes à la sécurité liées à l’utilisation des systèmes de TI pour le stockage, le traitement et la création de renseignements protégés ou classifiés
- si le contrat s’accompagne d’un document technique sur la sécurité de la TI, l’organisation a connaissance de ce document et se conforme à ses exigences
L’organisation doit également fournir à l’inspecteur de la sécurité de la TI une liste de vérification de la sécurité de la TI dûment remplie pour l’inspection en cours.
IV. Après l’inspection
Une inspection de la sécurité de la TI peut mener à deux conclusions :
- l’organisation est pleinement conforme aux exigences du contrat et du PSC, ce qui donne lieu à une lettre d’approbation (Section V. Approbation)
- l’organisation n’est pas entièrement conforme et des recommandations sont formulées. Les recommandations sont faites verbalement à l’ASE pendant l’inspection et sont suivies d’une lettre de recommandation
A. Lettre de recommandation
La lettre de recommandation contient les recommandations et/ou suggestions faites par l’inspecteur de la sécurité de la TI à l’ASE. Dès qu’il reçoit la lettre de recommandation, l’ASE dispose de 30 jours pour y répondre.
La réponse de l’ASE doit décrire les mesures prises (ou à prendre) par l’organisation pour donner suite à chacune des recommandations ou suggestions énoncées dans la lettre. Ce document doit être signé par l’ASE et remis à l’inspecteur de la sécurité de la TI.
V. Approbation
Lorsqu’une inspection ne donne lieu à aucune constatation et donc à aucune recommandation, ou lorsqu’une organisation répond à la lettre de recommandation en indiquant que sa situation en matière de sécurité de la TI a été mise à niveau en fonction des exigences du contrat en matière de sécurité, le PSC de SPAC adresse une lettre d’approbation de la TI à l’organisation et au ministère/organisation client. La lettre d’approbation de la TI n’est valable que pour le ou les contrats inspectés et uniquement pour la durée du ou des contrats en question.
La lettre d’approbation de la TI n’autorise pas l’organisation à utiliser ses systèmes de TI pour stocker, traiter ou créer des renseignements protégés ou classifiés pour tout autre contrat.
Une organisation ne doit pas utiliser un système de TI pour stocker, traiter ou créer des renseignements protégés ou classifiés avant d’avoir reçu l’autorisation des responsables du PSC, sous peine d’enfreindre une ou plusieurs clauses du contrat.
VI. Modifications des systèmes de technologie de l’information après une inspection de la sécurité de la technologie de l’information
Comme il est indiqué dans la lettre d’approbation des systèmes de TI, si une organisation apporte des modifications importantes aux systèmes de TI inspectés, les responsables du PSC de SPAC peuvent suspendre l’approbation de ces systèmes jusqu’à leur prochaine inspection.
Les organisations doivent aviser les responsables du PSC de SPAC si elles ont l’intention d’apporter d’importantes modifications aux systèmes de TI inspectés au cours d’un contrat. Les responsables du PSC de SPAC évalueront les modifications et détermineront s’il y a lieu de procéder à une inspection du ou des systèmes modifiés.