ARCHIVÉE – Chapitre 8 : Sécurité de la technologie de l'information
Informations archivées
Cette information est archivée et remplacée par le Manuel de la sécurité des contrats.
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage.
Sur cette page
800. Généralités
Objet et portée
- Le présent chapitre établit les normes opérationnelles dans l'industrie canadienne pour la conservation de l'information gouvernementale traitée, archivée ou transmise électroniquement. Ce chapitre s'applique également à la conservation des biens technologiques
- En plus de ces normes, celles sur la sécurité administrative, organisationnelle, matérielle et celles s'adressant au personnel exposées dans ce manuel s'appliquent également à l'environnement de la technologie de l'information (TI)
- La Politique sur la sécurité du gouvernement et la Archivée – Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information exigent que le degré de protection accordé par l'industrie soit adapté au niveau de la sécurité de l'information et des biens, de même qu'aux menaces et aux risques connexes. Sans mesures de conservation adéquates, on pourrait compromettre la sécurité, l'intégrité et la disponibilité des systèmes et des services d'information
Fonctions et attributions
Les institutions gouvernementales doivent protéger les renseignements et les biens protégés et classifiés placés sous leur contrôle. En ce qui a trait aux contrats attribués par le gouvernement au secteur privé, l'autorité contractante doit s'assurer que les exigences de la Politique sur la sécurité du gouvernement sont respectées et que les normes de sécurité sont appliquées. Les normes de sécurité reproduites dans la Politique sur la sécurité du gouvernement dans le chapitre consacré aux normes sur la technologie de l'information, constituent les normes minimums à respecter pour la sécurité dans le secteur privé. On peut consulter la Archivée – Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information.
Lignes directrices
Pour obtenir des évaluations, des conseils et des lignes directrices sur ces normes, on peut consulter le Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC).
801. Organisation et administration
Organisation
L'organisation peut être appelée à nommer à temps plein un responsable de la sécurité de la TI selon :
- la taille des installations de TI de l'organisation
- la complexité de la partie des contrats de rapportant à la sécurité de la technologie de l'information
- le nombre de contrats à mener de front
On doit discuter, avec le PSC de SPAC, des questions relatives à cette politique.
Planification
- La rentabilité de la sécurité de la TI dépend de la planification, qui doit elle-même tenir compte de toutes les phases de la durée utile d'un système, à partir de la création des documents d'origine en passant par les opération initiales d'entrée de l'information, la communication et le traitement jusqu'à l'archivage, à l'extraction, à la production et à l'élimination. En outre, les plans doivent tenir compte des liens entre la sécurité matérielle et du personnel d'une part et, d'autre part, les impératifs de sécurité, de confidentialité, d'intégrité et de disponibilité de la technologie de l'information. À cause des considérations relatives à la sécurité des émissions TEMPEST, les plans doivent également tenir compte des exigences relatives à la sécurité des communications (COMSEC – Communications security), même si le système d'information actuel ne comprend pas de liens de communications. On doit toujours appliquer les mesures TEMPEST en fonction de la menace définie dans l'évaluation de la menace et des risques
- Tous les programmes de sécurité comprennent une structure organisationnelle et des procédures administratives qui appuient les 3 sous-systèmes de la sécurité matérielle, de la sécurité de la TI et de la sécurité du personnel. Ces sous-systèmes sont intimement liés, de sorte que dans l'ensemble, l'efficacité du système de sécurité dépend du rendement et, par conséquent, de la planification coordonnée de tous les sous-systèmes
802. Fonctions et attributions
Le programme de sécurité des contrats de Services publics et Approvisionnement Canada
- Dans tous les cas où on attribue, par l'entremise de SPAC, un contrat à une organisation pour traiter électroniquement de l'information gouvernementale à l'aide de l'équipement de la TI, l'agent régional de sécurité industrielle (ARSI) prend des dispositions pour procéder à une inspection de la TI et coordonne cette inspection. L'ARSI coordonne également les inspections de la TI pour motif grave
- L'ARSI contacte directement l'organisation afin de discuter de la date de l'inspection et de finaliser cette date. L'équipe responsable de l'inspection pourrait être constituée de un à 5 membres; il se peut qu'on doive compter entre une demi-journée et 2 semaines pour effectuer l'inspection, selon la complexité du contrat et d'autres facteurs comme le niveau de confidentialité des données
- Lorsque l'équipe responsable de l'inspection de la TI a terminé son inspection, elle soumet un rapport au ARSI pour examen. Une copie de ce rapport est transmise à l'organisation pour suivi lorsque l'ARSI a examiné le rapport et qu'il est d'accord avec les constatations qu'il renferme. L'organisation doit déposer un plan d'action pour l'application des recommandations dans un délai de 30 jours suivant la réception de ce rapport et doit rendre compte, au PSC de SPAC, de la situation des recommandations en cours à intervalles réguliers, généralement une fois par mois. PSC de SPAC fait parvenir à l'organisation une lettre d'appel lorsque le rapport sur la situation de l'inspection doit être déposé
- Il est absolument essentiel de se rappeler que les recommandations doivent obligatoirement être appliquées, alors que les suggestions représentent de saines pratiques professionnelles; bien qu'il ne soit pas obligatoire d'appliquer les suggestions, l'organisation doit éventuellement les mettre en oeuvre
- Le contenu du rapport n'est pas diffusé en dehors de SPAC sans l'autorisation expresse de l'organisation
- Si les données nécessitent des mesures de protection TEMPEST, PSC de SPAC demande au Centre de la sécurité des télécommunications (CST) d'en vérifier l'à-propos. Il faut alors soit tester l'équipement pour s'assurer qu'il est conforme aux normes TEMPEST, soit assister, comme témoin, à l'essai final de l'enceinte blindée
- CST adresse également un rapport au PSC de SPAC; toutefois, ce rapport ne fait état que de la situation de l'équipement ou du blindage et des mesures correctives recommandées, le cas échéant. Lorsque l'équipement ou le blindage ont subi avec succès tous les essais et toutes les inspections nécessaires, le groupe COMSEC de SPAC délivre un certificat pour confirmer que cet équipement ou ce blindage sont satisfaisants
Entrepreneur
- PSC de SPAC doit approuver les installations de technologie de l'information de l'entrepreneur principal avant qu'il traite l'information gouvernementale. Toutefois, il appartient à l'entrepreneur principal de s'assurer qu'on précise aux sous-traitants les exigences relatives à la sécurité de la technologie de l'information, que ces sous-traitants les respectent et qu'à la fin des contrats de sous-traitance, il ne reste pas d'information résiduelle dans les ordinateurs des sous-traitants ou dans d'autres secteurs
- Le ARSI et CST communiquent, s'il y a lieu, avec l'organisation (entrepreneur principal), pour prendre des dispositions afin de procéder à une inspection ou à un essai et pour finaliser le calendrier d'inspection ou d'essai
- L'organisation doit prendre des dispositions pour fournir à l'équipe chargée de l'inspection de la TI, pendant la réunion de lancement de l'inspection, un exemplaire de ses procédures opérationnelles et de ses procédures de sécurité de TI, de ses organigrammes et la liste du personnel à contacter, ainsi que les numéros de téléphone, pour les remettre à l'équipe chargée de l'inspection de la TI. Dans certains cas, le chef de l'équipe responsable de l'inspection pourra demander une visite préliminaire, dans un délai de 2 à 4 semaines avant la date prévue pour l'inspection, afin de se réunir avec le personnel, de visiter l'installation et de prendre les documents à étudier
- À la fin de l'inspection, l'équipe responsable de l'inspection de la TI tient une séance de débreffage pour faire connaître ses constatations à l'entrepreneur. L'organisation doit alors profiter de cette occasion pour préciser des points ou pour discuter des solutions proposées. La documentation demandée auparavant sera retournée pendant la réunion avec le CST, lorsqu'elle aura pu en vérifier l'à-propos. Il faudra alors soit tester l'équipement pour s'assurer qu'il est conforme aux normes TEMPEST, soit assister, comme témoin, à l'essai final de l'enceinte blindée
- CST transmettra également un rapport au PSC de SPAC; toutefois, ce rapport ne portera que sur la situation de l'équipement ou du blindage et comprendra des recommandations sur les mesures correctives, le cas échéant. Lorsque l'équipement ou le blindage auront subi avec succès tous les essais et toutes les inspections nécessaires, le groupe COMSEC de SPAC délivrera un certificat indiquant que cet équipement ou ce blindage sont satisfaisants
- Par la suite, le PSC de SPAC fera parvenir une lettre d'appel à l'organisation pour lui demander de lui soumettre un rapport de situation à jour sur l'ensemble des recommandations et des suggestions faites par l'équipe chargée de l'évaluation de la sécurité et de l'inspection et que cette organisation est en train d'appliquer. En donnant suite à cette demande de rapport de situation à jour, l'organisation doit indiquer la situation de chaque recommandation, en employant les mots clés, accompagnés des détails essentiels, dans les cas nécessaires. Voici ces mots clés :
- Mis en oeuvre : l'organisation doit indiquer comment la recommandation a été mise en œuvre (par exemple, en utilisant ou en mettant à niveau un logiciel, le matériel ou les procédures, entre autres)
- Actif : l'organisation doit indiquer les activités exercées, les responsables et les dates auxquelles on s'attend à ce que les recommandations soient appliquées
- Reporté : l'organisation doit indiquer les raisons pour lesquelles la mise en oeuvre des recommandations a été retardée et la date à laquelle elle s'attend de recommencer à mettre en oeuvre ces recommandations
- Rejeté : l'organisation doit faire connaître les raisons essentielles pour lesquelles aucune mesure n'a été prise pour appliquer les recommandations
803. Exigences relatives à la sécurité des émissions
- L'application des normes relatives à la sécurité TEMPEST pour l'équipement de traitement des télécommunications ou de l'information électronique vise à protéger l'information contre les personnes non autorisées qui pourraient intercepter et analyser les émissions électromagnétiques
- PSC de SPAC déterminera les mesures à prendre au titre des normes TEMPEST dans chaque cas particulier, en tenant compte de menace et des risques
804. Exigences relatives à la sécurité des télécommunications
En plus des considérations relatives aux normes TEMPEST, l'organisation qui doit transmettre de l'information gouvernementale sur des liaisons ou des réseaux de télécommunications doit protéger cette information en faisant appel à des mesures d'encryptage approuvées par le gouvernement ou à d'autres mesures approuvées par le groupe COMSEC par exemple des circuits approuvés (et dotés de moyens de protection matérielle). PSC de SPAC doit être mis au courant de ces exigences le plus rapidement possible. Dans ces cas, il donnera des instructions et des directives propres aux systèmes de sécurité des communications en cause.
805. Sécurité des renseignements et des biens relativement à la sécurité des communications
- Le matériel de sécurité des communications COMSEC comprend l'ensemble des documents, des dispositifs, des biens d'équipement ou des appareils et du matériel cryptographique utilisés dans l'établissement ou le maintien des communications protégées. On entend par « matériel cryptographique » l'ensemble des dispositifs renfermant l'information essentielle à l'encryptage, au décryptage ou à l'authentification des communications, y compris les documents, les dispositifs ou les biens d'équipement
- L'organisation qui doit, conformément à des exigences confirmées, conserver du matériel COMSEC doit ouvrir un compte COMSEC auprès du PSC de SPAC et désigner un responsable des ressources COMSEC et un gardien COMSEC substitut, qui seront, avec l'agent de sécurité d'entreprise, responsables de la conservation de ce matériel
- À cause du caractère confidentiel particulier du matériel COMSEC le guide du contrôle du matériel industriel COMSEC et le Manuel de la sécurité industrielle renferment un ensemble complet de règles et de procédures pour le traitement et la conservation du matériel COMSEC. Toutes les organisations qui doivent détenir du matériel COMSEC doivent se procurer un exemplaire du Guide de contrôle du matériel industriel COMSEC