Exigences de sécurité relatives à la technologie de l'information

Les exigences de sécurité relatives à la technologie de l'information (TI) ont été conçues dans le but de garantir la confidentialité, l'intégrité et la disponibilité des renseignements protégés et classifiés. Les organisations qui accèdent, stockent, enregistrent, traitent, transmettent, visualisent ou sauvegardent électroniquement des renseignements protégés ou classifiés dans le cadre de contrats conclus avec le gouvernement sont tenues de voir à la sécurité de la TI. Prenez connaissance de la façon dont le Programme de sécurité des contrats (PSC) peut aider votre organisation à obtenir la désignation « Autorisation de traiter les technologies de l'information », de même que de la manière dont se déroulent les inspections de la TI.

Sur cette page

À propose des exigences de sécurité relatives à la technologie de l'information

Les exigences de sécurité relatives à la TI sont propres à chaque contrat. Le niveau de sécurité requis dépend de la nature des renseignements en cause.

Pour obtenir l’autorisation d'accéder, de stocker, d’enregistrer, de traiter, de transmettre, de visualiser ou de sauvegarder des renseignements de nature délicate électroniquement, les organisations doivent détenir l'une des attestations suivantes (valides) :

D'autres attestations d'organisation pourraient être exigées, par exemple :

En savoir plus sur les exigences de sécurité des lieux de travail.

Votre organisation devra :

Inspections de la sécurité de la technologie de l'information

L'inspection de la sécurité de la TI est axée sur les systèmes de TI qu'utilise votre organisation pour accéder, stocker, enregistrer, traiter, transmettre, visualiser ou sauvegarder des renseignements protégés et classifiés se rattachant aux contrats. L'inspection a lieu après que le contrat a été attribué et que l'on a confirmé le respect des exigences relatives à la sécurité matérielle, mais avant que votre organisation entreprenne à accéder, stocker, enregistrer, traiter, transmettre, visualiser ou sauvegarder électroniquement des renseignements de nature délicate.

Inspection de la sécurité de la technologie de l'information : À quoi s'attendre

Un inspecteur de la sécurité de la TI désigné par le PSC communiquera avec l’ASE ou l’ASER de votre organisation. Votre ASE devra remplir une liste de vérification en matière de sécurité de la TI et présenter un diagramme d’acheminement des données qui illustre où il sera possible d'accéder, de stocker, d’enregistrer, de traiter, de transmettre, de visualiser ou de sauvegarder des renseignements protégés ou classifiés.

L’inspecteur utilise ces documents pour évaluer la sécurité globale des systèmes de TI de votre organisation. Votre ASE ou ASER devra remplir une nouvelle liste de vérification pour chaque contrat comportant des exigences de sécurité relatives à la TI.

L'inspecteur de la sécurité de la TI examinera également les documents techniques fournis par le ministère ou l'organisme client. Dans ces documents, on précise les exigences propres au contrat en ce qui a trait à la TI et aux mesures de protection que votre organisation doit mettre en place.

Pendant l'inspection de la sécurité de la technologie de l'information : À quoi s'attendre

L'inspecteur de la sécurité de la TI examinera le système de TI de votre organisation afin de s'assurer que les mesures de protection nécessaires sont en place. Le jour de l'inspection, votre organisation devra être en mesure de démontrer votre capacité d'accéder, de stocker, d’enregistrer, de traiter, de transmettre, de visualiser ou de sauvegarder électroniquement les renseignements de nature délicate du gouvernement de façon sécuritaire.

Tous les employés participant à l'exécution du contrat doivent faire l'objet d'une enquête de sécurité appropriée et satisfaire en tout temps à l'exigence du principe du besoin de connaître. Dans le contexte du principe du besoin de connaître, on restreint l'accès aux biens et aux renseignements de nature délicate selon les fonctions des employés.

Tout employé participant à l'exécution du contrat peut être interrogé lors de l'inspection de la sécurité de la TI.

Remarque

Compte tenu des restrictions de voyage, mis en œuvre par le PSC en référence à COVID-19, tous les autorisation de détenir des renseignements et les inspections de la sécurité de la TI sont actuellement effectuées hors site virtuellement. Une fois les restrictions de voyage à l’échelle du programme sont levées, votre organisation peut être soumise à une inspection sur place pour valider les exigences en matière de sécurité. Votre organisation peut également être tenue de mettre en œuvre d’exigences de sécurité supplémentaires conformément à l’inspection sur place pour assurer la conformité.

Après l'inspection : À quoi s'attendre

L’inspecteur de la sécurité de la TI fournira à votre ASE ou ASER une lettre de déclaration comportant des mesures correctives lorsque l’inspection sera terminée. Lorsque votre organisation a mis en œuvre les mesures correctives, votre ASE ou ASER doit retourner la lettre de déclaration à l’inspecteur de la sécurité de la TI. Dans la lettre, votre organisation doit déclarer qu’elle a mis en œuvre toutes les mesures correctives.

Après avoir reçu et approuvé la lettre de déclaration, l’inspecteur de la sécurité de la TI produira une lettre d’approbation de la TI à l’intention de votre ASE ou ASER. Dès réception, votre organisation peut commencer les travaux relatifs au contrat et utiliser ses systèmes de TI pour accéder, stocker, enregistrer, traiter, transmettre, visualiser ou sauvegarder des renseignements de nature délicate.

Les autorisations requises en ce qui touche la TI sont propres à chaque contrat et sont valides pendant toute la durée du contrat en cause ou jusqu’à ce que des changements soient apportés au système de TI ayant fait l’objet d’une inspection pendant l’inspection de sécurité de la TI. Votre ASE et votre ASER sont chargés d’informer le PSC de tout changement apporté aux systèmes de TI, par courriel à tpsgc.ssidie-issiid.pwgsc@tpsgc-pwgsc.gc.ca.

Incidents de sécurité

Votre ASE ou ASER doit signaler sans délai au PSC tout incident de sécurité soupçonné ou confirmé qui concerne des renseignements ou des biens associés à la TI, plus précisément en ce qui concerne les tâches pour accéder, stocker, enregistrer, traiter, transmettre, visualiser ou sauvegarder des renseignements se rattachant à un contrat de nature délicate du gouvernement.

En savoir plus sur le signalement des incidents de sécurité.

Solutions infonuagiques

Dans le cadre de tout contrat, le PSC n’évalue ni n’approuve de solutions infonuagiques. En ce qui concerne l’utilisation des solutions infonuagiques, le PSC exige la confirmation suivante de votre organisation ou du ministère client avant d'attribuer un contrat :

Les 2 évaluations doivent être approuvées et signées par le dirigeant principal de la sécurité du ministère client.

Apprenez-en davantage sur le processus d’évaluation de la sécurité des technologies de l’information s’appliquant aux fournisseurs de services infonuagiques du CCCS.

Renseignements supplémentaires

Les organisations ayant fait l’objet d’une enquête auprès du PSC trouveront de plus amples renseignements sur la façon de se conformer aux normes de sécurité de la TI dans le cadre de contrats conclus avec le gouvernement :

Date de modification :