Norme instaurée en vertu de la Politique du gouvernement sur la sécurité
et de la Politique sur la gestion de l'information gouvernementale.
La présente norme définit les exigences sécuritaires de base que les
ministères fédéraux doivent satisfaire pour assurer la sécurité de
l'information et des biens de technologie de l'information (TI) placés sous
leur contrôle.
La Politique du
gouvernement sur la sécurité énonce les exigences à respecter pour
protéger les biens du gouvernement, y compris l'information, et prescrit aux
ministères et organismes fédéraux touchés par cette politique de se doter
d'une stratégie de sécurité en matière de technologies de l'information. La Politique
sur la gestion de l'information gouvernementale exige des ministères
qu'ils protègent l'information tout au long de son cycle de vie. La présente
norme élargit les exigences de ces deux politiques. De plus, elle remplace les Normes
sur la sécurité des technologies de l'information (1995) chapitres 2 et 3
du Manuel du Conseil du Trésor sur la Gestion de l'information et la
Gestion administrative.
La Politique du
gouvernement sur la sécurité définit la sécurité des TI comme
étant les « mesures de sauvegarde visant à préserver la confidentialité,
l'intégrité, la disponibilité, l'utilisation prévue et la valeur des
renseignements conservés, traités ou transmis par voie électronique ». Pour
les besoins de la présente norme, le terme sécurité des TI inclura
aussi les mesures de protection appliquées aux biens utilisés pour recueillir,
traiter, recevoir, afficher, transmettre, reconfigurer, balayer, entreposer ou
détruire l'information par voie électronique.
La présente norme établit les exigences de la sécurité des TI, même si
la mise en oeuvre de ces dernières doit être gérée par les ministères. La
documentation technique, publiée en vertu de la présente norme, contient
d'autres directives de mise en oeuvre.
Comme l'indique la Politique
du gouvernement sur la sécurité, les exigences sécuritaires de
base sont des dispositions obligatoires qui permettent d'obtenir une
cohérence à l'échelle du gouvernement fédéral et d'offrir un niveau minimal
de protection pour les ministères. Dans le cadre du profil de risque des
ministères, comme l'illustre le Cadre
de gestion intégrée du risque (CGIR), la mise en oeuvre propre aux
exigences de base et celle d'autres mesures de protection devraient être
déterminées par la gestion du risque.
La prestation de services nécessite la sécurité des TI.
La sécurité des TI fait partie intégrante de la prestation continue de
programmes et de services. Pour éviter toute interruption de service ou perte
de confiance que pourrait causer une atteinte à la sécurité des TI, les
ministères sont tenus de concevoir la sécurité des TI comme étant un
impératif organisationnel et un outil de prestation de services.
Bien que les gestionnaires de la prestation de programmes et services
puissent déléguer la responsabilité de la sécurité des TI à des experts
techniques, ils demeurent redevables envers les administrateurs généraux et
sont responsables d'assurer la sécurité des programmes et des services placés
sous leur autorité.
Les pratiques de sécurité des TI doivent tenir compte de
l'évolution de l'environnement.
Les technologies de l'information continuent à progresser rapidement dans le
sens de l'accroissement de l'interconnectivité et de l'amélioration de la
prestation des services. Simultanément, le nombre et la gravité éventuelle
des menaces, des vulnérabilités et des incidents se multiplient. Les
ministères doivent être conscients de l'évolution de l'environnement et
comprendre comment gérer leurs programmes de sécurité des TI en conséquence.
Le gouvernement du Canada est une seule entité.
La disponibilité accrue de services communs et partagés peut aider les
ministères à satisfaire à leurs exigences en matière de sécurité. Même si
on peut ainsi améliorer l'efficience, les ministères doivent néanmoins
comprendre que les décisions de sécurité qu'ils prennent peuvent avoir des
incidences sur d'autres organisations.
Travailler ensemble pour soutenir la sécurité des TI.
La sécurité des TI est bien plus que la somme des outils servant à
protéger l'information et les systèmes; pour être efficace, un programme de
sécurité des TI doit combiner les gens, les processus et les technologies.
Chaque directeur principal de ministère, chaque gestionnaire de la prestation
de programmes et services, chaque membre du personnel de la sécurité, des
opérations de TI ou des ressources humaines ainsi que tout autre intervenant
travaillent de manière concertée afin d'atteindre le même niveau élevé de
sécurité des TI partout au sein du gouvernement fédéral.
La prise de décision nécessite un processus permanent de gestion du
risque.
Afin de prendre de bonnes décisions opérationnelles fondées sur la gestion
du risque, les ministères doivent continuellement rester au fait des biens
qu'ils détiennent et de leur degré d'importance et de délicatesse. Les
décisions doivent être prises en fonction d'un mode de gestion du risque qui
reconnaît les incidences éventuelles sur le ministère et sur l'ensemble du
gouvernement.
Le gouvernement établit des politiques, des normes et des lignes directrices
portant sur la gestion de l'information, les TI et la sécurité. La présente
norme devrait être lue parallèlement à ces politiques, normes et lignes
directrices.
La présente norme comprend trois principales parties, en plus des annexes.
La Partie I contient de l'information générale sur la sécurité des TI. La
Partie II offre une orientation sur la manière d'organiser et de gérer la
sécurité des TI au sein des ministères. La Partie III contient des consignes
sur les mesures de protection techniques et opérationnelles.
L'annexe A de la Politique
du gouvernement sur la sécurité définit les rôles et
responsabilités des ministères et organismes gouvernementaux qui jouent un
rôle clé dans la sécurité de l'information et des TI au sein du
gouvernement.
La présente partie de la norme contient une orientation et des directives
sur la manière d'organiser et de gérer un programme ministériel de sécurité
des TI. Elle porte sur les rôles et les responsabilités, la politique, les
ressources et les contrôles de gestion.
Bien que les ministères attribuent de manière différente les rôles et
responsabilités qui suivent (p. ex., ils peuvent utiliser des titres
différents que ceux qui figurent ci-après), chaque ministère doit désigner
les personnes qui devront tenir les fonctions décrites dans la
présente section.
9.1 Coordonnateur de la sécurité des TI
Les ministères doivent nommer un coordonnateur de la sécurité des TI qui
doit avoir au moins un rapport hiérarchique fonctionnel à la fois avec le
dirigeant principal de l'information et avec l'agent de sécurité du
ministère.
Au minimum, le coordonnateur de la sécurité des TI doit :
- mettre en place et gérer un programme ministériel de sécurité des TI
dans le cadre d'un programme ministériel de sécurité coordonné;
- examiner les politiques et normes de sécurité des TI du ministère et
toutes les politiques qui contiennent des implications pour la sécurité
des TI, et recommander leur approbation;
- veiller à ce que soient vérifiées les sections liées à la sécurité
des TI de la demande de propositions et de toute autre documentation sur la
passation de marchés, y compris les listes de vérification des exigences
relatives à la sécurité;
- recommander l'approbation de tous les contrats destinés aux fournisseurs
externes de services de sécurité des TI;
- collaborer étroitement avec les gestionnaires de la prestation de
programmes et services afin d'effectuer ce qui suit :
- veiller à ce que leurs besoins de sécurité des TI soient satisfaits,
- prodiguer des conseils sur les mesures de protection,
- les conseiller sur les incidences éventuelles des menaces existantes et
nouvelles,
- les informer sur le risque résiduel lié à un programme ou service;
- surveiller la conformité du ministère à la présente norme et à la
documentation connexe;
- promouvoir la sécurité des TI au sein du ministère;
- mettre en place un processus efficace afin de gérer les incidents liés
à la sécurité des TI et veiller à ce que tous s'y conforment;
- servir de principale personne-ressource au ministère en matière de
sécurité des TI.
Le poste de coordonnateur de la sécurité des TI doit faire l'objet d'une
enquête de sécurité au niveau secret ou à un niveau plus élevé. Au moment
d'embaucher une personne pour ce poste, les ministères devraient privilégier
des personnes qui possèdent une attestation de leurs compétences
professionnelles.
9.2 Haute direction
L'un des rôles de la haute direction est de promouvoir une culture de la
sécurité à l'échelle du ministère.
Lorsqu'elle définit les priorités, les orientations stratégiques, les
objectifs des programmes, le budget et la dotation en personnel du ministère,
la haute direction doit satisfaire aux exigences en matière de sécurité des
TI. Elle doit aussi veiller à fournir une financement approprié pour la
sécurité des projets de TI, conformément à la section 10.12 de la Politique
du gouvernement sur la sécurité.
La haute direction doit approuver les politiques, normes et lignes
directrices ministérielles relatives à la sécurité des TI.
9.3 Agent de sécurité du ministère
La section 10.1 de la Politique
du gouvernement sur la sécurité stipule que les ministères sont
tenus de nommer un agent de sécurité du ministère chargé d'établir et de
diriger un programme de sécurité ministérielle, en plus de fournir une liste
des responsabilités liées à ce poste.
L'agent de sécurité du ministère et le coordonnateur de la sécurité des
TI doivent veiller à ce que les responsables de la sécurité matérielle, de
la protection des personnes et de la sécurité des TI coordonnent leurs efforts
de manière à protéger l'information et les biens de TI, et mettre en pratique
une approche intégrée et équilibrée.
9.4 Dirigeant principal de l'information
Le dirigeant principal de l'information du ministère assume la
responsabilité de veiller à l'efficience et à l'efficacité de la gestion de
l'information et des biens de TI du ministère. Compte tenu de l'incidence
qu'auraient d'éventuels échecs de prestation de services découlant
d'atteintes à la sécurité, le dirigeant principal de l'information et le
coordonnateur de la sécurité des TI doivent collaborer pour que des mesures de
sécurité appropriées soient mises en place à l'égard de toutes les
activités et de tous les processus de GI et de TI.
9.5 Coordonnateur de la planification de la continuité des activités
Le dirigeant principal de l'information, l'agent de sécurité du ministère,
le coordonnateur de la sécurité des TI et le coordonnateur de la planification
de la continuité des activités doivent collaborer pour appliquer une approche
globale de la prestation continue des services. Prière de se reporter à la Norme
opérationnelle de sécurité sur le programme de planification de la
continuité des activités.
9.6 Gestionnaires de la prestation de programmes et services
Au nom de l'administrateur général du ministère, les gestionnaires de la
prestation de programmes et services assument la responsabilité de fournir un
niveau de sécurité approprié pour leurs programmes et services. Au stade de
la conception des programmes et services, les gestionnaires collaborent avec les
spécialistes de la sécurité du ministère afin de gérer les risques liés à
leurs programmes ou services. En s'appuyant sur les conseils et le support du
coordonnateur de la sécurité des TI, les gestionnaires doivent déterminer les
exigences de sécurité des TI pour leurs programmes et services et doivent les
accréditer en acceptant le risque résiduel qui leur est associé.
Les gestionnaires doivent s'assurer que, dans leurs champs de
responsabilité, les exigences énoncées dans la présente norme, dans la Politique
du gouvernement sur la sécurité et dans d'autres politiques, normes
et documentation technique connexes, soient satisfaites.
9.7 Personnel des opérations de TI
Le personnel des opérations de TI inclut les administrateurs ou
gestionnaires de réseau ou de système, le personnel du centre d'assistance,
les gestionnaires de compte, le personnel de la sécurité des systèmes, celui
de la maintenance et tout autre personnel de soutien des TI. Sous la direction
générale du coordonnateur de la sécurité des TI et conformément aux
priorités, politiques et procédures ministérielles, le personnel des
opérations de TI doit :
- suivre les procédures de sécurité et y recommander des améliorations
- régler les incidents en matière de sécurité
- mettre à l'essai et installer des correctifs de sécurité
- maintenir ou mettre à niveau le matériel et les logiciels de sécurité
- surveiller les systèmes et les journaux d'activité
- sauvegarder et récupérer l'information
- gérer les privilèges et les droits d'accès
9.8 Autre personnel
Tout le personnel doit se conformer à la politique et aux procédures de
sécurité des TI du gouvernement ou du ministère et à tout autre document
connexe. Il doit signaler aux responsables de la sécurité désignés les
incidents de sécurité, qu'ils soient réels ou présumés, normalement par
l'intermédiaire de leur supérieur immédiat. Aux fins de la présente norme,
le personnel inclut les employés, les membres du personnel, les entrepreneurs,
les étudiants, les visiteurs et les Forces canadiennes.
9.9 Gardien COMSEC
Les ministères qui gardent des dossiers cryptographiques classifiés, des
éléments cryptographiques contrôlés ou des documents comptables doivent
avoir un compte COMSEC (Sécurité des communications). Ces ministères doivent
nommer un gardien COMSEC (et un remplaçant, au besoin) qui sera responsable de
ces dossiers, éléments et documents conformément aux directives du Centre de
la sécurité des télécommunications.
9.10 Gestionnaires de projet de TI
Avec l'aide du coordonnateur de la sécurité des TI et du personnel chargé
du soutien opérationnel des TI, les gestionnaires de projet de TI doivent faire
en sorte que les exigences en matière de sécurité des projets sont
respectées au moyen du développement et de la mise en oeuvre de devis
techniques de sécurité.
Chaque ministère doit avoir une politique de sécurité des TI qui se fonde
sur la Politique du
gouvernement de sécurité, la présente norme et les autres
politiques, normes et documents techniques connexes. Cette politique peut
constituer un document distinct ou s'inscrire, sous forme d'énoncés de
politique, dans la politique de sécurité ministérielle.
Au minimum, la politique ministérielle de sécurité des TI doit :
- définir les rôles et responsabilités des gestionnaires de prestation de
services et de programmes, du dirigeant principal de l'information, des
conseillers juridiques, des spécialistes de la protection des
renseignements personnels et des spécialistes de la sécurité du
ministère et d'autres membres du personnel en rapport avec la sécurité
des TI;
- établir les liens requis avec les autres normes et politiques
ministérielles et les exigences juridiques et réglementaires en matière
de sécurité des TI (p. ex., politique sur l'utilisation acceptable);
- énoncer l'exigence de faire de la sécurité des TI une partie
intégrante de la prestation des services et des programmes;
- énoncer les besoins pour obtenir du financement aux fins de support de la
sécurité des TI;
- énoncer les exigences d'examen et de remaniement de la politique
ministérielle de sécurité des TI et des documents connexes.
Au stade de la planification de nouveaux programmes ou services et
d'importantes mises à niveau de programmes ou services existants, les
gestionnaires responsables doivent, dès le tout début du processus de
financement et d'approbation, déterminer les exigences sécuritaires pour ces
programmes, services ou mises à niveau, et indiquer les ressources requises
dans les demandes de financement.
La présente section décrit les contrôles de gestion qui s'appliquent à
tous les programmes et services ministériels. La partie III de la présente
norme définit les mesures de protection techniques et opérationnelles à
l'appui de ces contrôles.
12.1 Sécurité dans le cycle chronologique d'élaboration des systèmes
Compte tenu de la difficulté de prendre des mesures de protection des TI
rentables après le déploiement d'un système, et comme les technologies et les
menaces évoluent constamment, les ministères doivent régler les questions de
sécurité et rajuster les exigences de sécurité tout au long des stades du
cycle chronologique d'élaboration des systèmes ci-après, y compris dès les
premiers stades de la planification et vérification :
Préparation - Une évaluation initiale des menaces et des
risques (EMR) permettra de fournir des intrants aux exigences de sécurité des
TI.
Conception et développement - Le dosage approprié des
mesures de protection visant l'aspect technique, la gestion, le fonctionnement,
la sécurité matérielle et la sécurité du personnel permet de satisfaire aux
exigences énoncées dans l'Évaluation des menaces et des risques.
Mise en oeuvre - Créer la documentation de conception,
effectuer les tests d'acceptation et obtenir la certification et
l'accréditation.
Fonctionnement - La sécurité du système est surveillée
et maintenue tandis que l'Évaluation des menaces et des risques aide à
évaluer les modifications pouvant avoir une incidence sur la sécurité.
Conservation et élimination - Conformément aux normes et
lignes directrices visant l'archivage et la sécurité, archiver ou détruire
l'information et les biens de TI de nature délicate dans les systèmes.
Étant donné que les systèmes sous-tendent la plupart des programmes et
services, l'approche de la sécurité des TI qui est liée au cycle
chronologique d'élaboration des systèmes s'applique aussi à la gestion des
programmes et services.
12.2 Identification et catégorisation des biens de TI
Conformément à la Norme opérationnelle de sécurité sur
l'identification et la catégorisation des biens, les ministères doivent
déterminer le degré d'importance et de délicatesse de leur information et de
leurs biens de TI sur les plans de la confidentialité, de l'intégrité, de la
disponibilité et de la valeur.
Ce processus est essentiel pour établir les priorités ministérielles au
chapitre de la sécurité des TI et il aide à définir l'application
progressive des contrôles et mesures de protection prévus dans la présente
norme et dans les documents techniques afférents.
12.3 Gestion du risque de sécurité
Les ministères doivent gérer les risques de sécurité touchant
l'information et les biens de TI tout au long du cycle de vie de leurs
programmes et services.
La gestion du risque de sécurité n'est qu'un élément de la gestion du
risque pour l'organisation et les services décrite dans le Cadre intégré
de gestion des risques.
Les activités de gestion du risque de sécurité incluent les évaluations
des menaces et des risques, les vérifications, les analyses de l'incidence sur
l'organisation, les évaluations des répercussions sur la protection des
renseignements personnels, les auto-évaluations, la surveillance, les enquêtes
de sécurité et les évaluations de vulnérabilité. Comme certaines de ces
activités vont générer une information identique ou similaire sur la gestion
du risque, le gestionnaire de la prestation de programmes et services devrait
éviter le chevauchement en veillant à leur coordination et au partage de
l'information ainsi recueillie (en vertu des lois et politiques en vigueur
traitant avec la collecte, l'utilisation, la divulgation et la conservation de
l'information).
12.3.1 Application progressive des contrôles et mesures de protection
L'application progressive des contrôles de gestion et des mesures de
protection techniques et opérationnelles devrait se fonder au moins sur les
éléments suivants :
- le degré de délicatesse et d'importance des biens liés aux programmes
et services;
- les menaces à la confidentialité, l'intégrité, la disponibilité ou la
valeur des biens;
- les vulnérabilités connues du programme ou service;
- les données sur les incidents ou l'historique de ceux-ci;
- les risques que les biens ne soient exposés à des menaces (p. ex., par
Internet).
Ces activités contribuent à la gestion des risques des programmes,
systèmes et services.
12.3.2 Évaluation des menaces et des risques
L'évaluation des menaces et des risques est un des éléments qui permettent
d'établir les exigences en matière de sécurité. Les ministères doivent
appliquer des mesures de sécurité supérieures aux exigences de base
lorsqu'une évaluation des menaces et des risques le justifie.
Étapes de l'évaluation des menaces et des risques :
- identifier et classer l'information et les biens connexes selon leur
degré de délicatesse (et consigner cette information dans un énoncé de
la nature délicate);
- évaluer les vulnérabilités du système et les menaces à son endroit
qui pourraient avoir une incidence sur la prestation d'un programme ou d'un
service;
- déterminer le niveau de risque, en fonction des mesures de protection en
place et des vulnérabilités du système;
- recommander des mesures de protection qui permettront de ramener le risque
à un niveau acceptable.
Les ministères doivent coordonner l'identification et la catégorisation de
leurs biens avec les activités connexes telles que les évaluations des
répercussions sur la protection des renseignements personnels ou les analyses
des répercussions sur les activités.
Les ministères doivent effectuer une Évaluation des menaces et des
risques (EMR) pour chaque programme, système ou service. Ce type
d'évaluation peut être soit simple et concise, soit détaillée et rigoureuse,
selon le degré de délicatesse, d'importance et de complexité du programme, du
système ou du service faisant l'objet de l'évaluation.
Dans le cas des programmes, systèmes ou services pour lesquels les
inquiétudes relatives à l'environnement d'exploitation et à la sécurité
sont identiques ou similaires, les ministères sont encouragés à développer
des EMR réutilisables.
12.3.3 Certification et accréditation
La certification sert à vérifier si les exigences de sécurité établies
pour un système ou service particulier sont respectées et si les contrôles et
mesures de protection fonctionnent comme prévu. L'accréditation vise à
confirmer si la direction a autorisé le fonctionnement du système ou service
et si elle a accepté le risque résiduel lié au fonctionnement du système ou
service, en se fondant sur les éléments probants de la certification.
Les ministères doivent avoir leurs systèmes ou services certifiés et
accrédités avant d'en autoriser le fonctionnement. Le rendement progressif de
la certification dépend de la quantité et de la qualité des éléments
probants de certification exigés par le responsable de l'accréditation. Ces
derniers peuvent inclure les résultats applicables de l'EMR, de l'évaluation
de l'incidence sur les activités, de l'évaluation des répercussions sur la
protection des renseignements personnels, de l'évaluation de vulnérabilité,
de l'évaluation des tests de sécurité et des produits, des auto-évaluations,
des vérifications, des examens de sécurité et des évaluations juridiques et
stratégiques connexes qui font la preuve de la conformité aux lois et
politiques pertinentes.
Les ministères doivent examiner périodiquement l'accréditation des
systèmes ou services si ces derniers ont beaucoup changé ou si cela est
nécessaire en raison de changements survenus dans l'environnement de risque.
Pour les systèmes ou services communs, le dirigeant principal de
l'information du gouvernement du Canada est le responsable de l'accréditation.
Pour les systèmes ou services propres à un ministère, le gestionnaire de la
prestation de programmes ou services est chargé de l'accréditation. Pour les
systèmes ou services communs à deux organisations ou plus, le gestionnaire du
programme ou du service est responsable de l'accréditation.
12.4 Gestion des incidents
La gestion des incidents couvre l'incident depuis sa découverte jusqu'à la
mise en oeuvre des mesures appropriées. La découverte d'un incident se fait
souvent par l'entremise de systèmes qui détectent l'occurrence d'incidents.
Une fois l'incident détecté, les ministères doivent être en mesure de cerner
correctement l'incident et d'y réagir à la fois au sein du ministère et dans
le cadre d'une réponse coordonnée à l'échelle du gouvernement.
La gestion des incidents fait partie d'une stratégie de défense active
décrite à la section 15. Se reporter aux sections 17 et 18 pour obtenir de
plus amples renseignements sur la gestion des incidents.
12.5 Gestion de la vulnérabilité
Les ministères doivent continuellement gérer les vulnérabilités de leurs
programmes, systèmes et services. Cette tâche de gestion inclut la découverte
des vulnérabilités et la mise en oeuvre de solutions adaptées. Dans le cadre
de la découverte, les ministères doivent vérifier activement les sources
d'information sur la vulnérabilité afin d'en déterminer les effets éventuels
sur leurs programmes, systèmes et services.
Dans le cadre de la gestion des solutions, les ministères doivent
déterminer le risque que posent les vulnérabilités. En fonction de ce risque,
les ministères doivent évaluer l'incidence de la solution proposée pour la
vulnérabilité, et, par la suite, mettre en oeuvre et déployer la solution (p.
ex., un correctif logiciel). Les ministères qui découvrent dans un système
une vulnérabilité pour laquelle il n'existe aucun correctif devraient avoir
recours à une autre méthode pour atténuer le risque (p. ex., changer la
configuration).
12.5.1 Évaluation de la vulnérabilité
Une évaluation de la vulnérabilité permet de découvrir les points
vulnérables de systèmes existants. Les ministères doivent effectuer une
évaluation de la vulnérabilité régulièrement pour les systèmes très
délicats ou assortis de risques importants, et à leur discrétion, pour les
autres systèmes.
Les ministères doivent consigner les détails relatifs aux évaluations de
la vulnérabilité, les décisions prises et les mesures correctives prises
ultérieurement, p. ex., les correctifs logiciels.
12.5.2 Gestion des correctifs
Le fait de ne pas appliquer rapidement les correctifs de sécurité peut
entraîner de graves incidents en matière de sécurité des TI. Les ministères
doivent mettre en place un processus systématique et documenté de gestion des
correctifs afin de s'assurer qu'ils appliquent les correctifs de sécurité en
temps opportun. Le coordonnateur de la sécurité des TI doit veiller à ce que
ce processus soit efficace et à ce que le ministère le respecte.
12.6 Répartition des fonctions
Le fait de confier toutes les responsabilités d'un système de TI ou d'une
fonction au sein de l'organisation à une seule personne peut rendre un système
vulnérable à un abus non détecté ou à une défaillance ponctuelle. Afin
qu'aucune personne ne détienne le contrôle complet d'un système entier de TI
ou d'une importante fonction d'exécution, les ministères doivent, dans la
mesure du possible, répartir les responsabilités de TI. Les personnes
autorisées à effectuer des opérations sensibles ne doivent pas être
autorisées à en faire la vérification.
12.7 Passation de marchés
Les ministères doivent respecter les exigences de sécurité des TI au cours
du processus de passation de marchés. Avant de signer un contrat, les
ministères doivent vérifier si la sécurité des TI convient au type de
marchandises ou de services que fournira l'entrepreneur, et si tel est le cas,
ils doivent justifier les exigences de sécurité à tous les stades de la
passation de marchés.
Les ministères doivent nommer, au sein de leur personnel, des personnes
responsables de superviser le travail des fournisseurs de services de sécurité
des TI externes.
Pour de plus amples renseignements, prière de consulter la Norme de
sécurité et de gestion des marchés.
12.8 Planification de la continuité
La planification de la continuité de la Gestion de l'information (GI) et des
Technologies de l'information (TI) fait partie intégrante de la planification
de la continuité des activités. L'un des objectifs de la planification de la
continuité de la GI est de faire en sorte qu'il y ait peu ou pas
d'interruptions dans la disponibilité des biens d'information. Un des objectifs
de la planification de la continuité des TI est de faire en sorte qu'il y ait
peu ou pas d'interruptions dans la disponibilité des services et biens
essentiels de TI. Dans le cadre de la planification de la continuité des
activités, les ministères doivent élaborer un plan de continuité pour la GI
et un autre pour les TI puis, les tester et les réviser régulièrement. Le
coordonnateur de la planification de la continuité des activités doit
collaborer avec le coordonnateur de la sécurité des TI tout au long de la
planification de la continuité des activités.
Pour de plus amples renseignements, prière de consulter la Norme
opérationnelle de sécurité sur le programme de planification de la
continuité des activités.
12.9 Sanctions
La section 10.16 de la Politique
du gouvernement sur la sécurité exige que les ministères imposent
des sanctions en raisons de violations de la sécurité des TI, lorsque, de
l'avis de l'administrateur général, il y a eu inconduite ou négligence. Pour
de plus amples informations, veuillez consulter la norme opérationnelle de
sécurité sur les sanctions et les lignes
directrices du Conseil du Trésor sur la discipline.
12.10 Partage et échange d'information et de biens de TI
Les ministères qui partagent de l'information, l'infrastructure des TI et
d'autres biens de TI doivent rédiger une entente de sécurité qui définit les
modalités de tout partage d'information, et qui reconnaît les conséquences
légales de ce partage. Comme le stipule la section 10.2 de la Politique
du gouvernement sur la sécurité, les ministères qui partagent de
l'information et d'autres biens ou qui se servent d'une infrastructure commune
doivent se conformer aux normes de sécurité définies pour ce système ou
cette infrastructure.
Les ministères qui détiennent ou utilisent de l'information provenant de
l'extérieur du gouvernement du Canada (p. ex., de l'industrie, d'un
gouvernement provincial ou de parties internationales) doivent respecter les
ententes ou les arrangements pris avec les parties qui ont fourni l'information.
12.11 Évaluation et vérification de la sécurité des TI à l'échelle du
ministère
Les ministères devraient surveiller activement les pratiques et les
contrôles de gestion. Dans le cadre de leurs responsabilités, les ministères
doivent évaluer et vérifier la sécurité des TI et en combler les lacunes,
s'il y a lieu.
12.11.1 Auto-évaluation
Les ministères doivent effectuer une évaluation annuelle de leur programme
et de leurs pratiques de sécurité des TI afin de vérifier leur conformité
aux politiques et normes de sécurité du gouvernement et du ministère, au
moyen de la méthode d'auto-évaluation de la sécurité des TI mise au point
par le Secrétariat du Conseil du Trésor. Cette méthode sera expliquée en
détail dans des documents ultérieurs.
L'auto-évaluation de la sécurité des TI permet de repérer les lacunes et
aide les ministères à trouver et à mettre en oeuvre des mesures correctives.
En fonction des résultats de l'auto-évaluation, les ministères doivent
élaborer ou mettre à jour leur plan d'action en matière de sécurité des TI
et déterminer les ressources requises pour le mettre en oeuvre.
Afin d'aider le Secrétariat du Conseil du Trésor à évaluer la sécurité
à l'échelle du gouvernement, les ministères doivent présenter leur
auto-évaluation de la sécurité des TI quand le dirigeant principal de
l'information en fait la demande.
12.11.2 Vérification interne
La planification des vérifications de la sécurité des TI doit être
intégrée au processus général de planification des vérifications internes
du ministère, et placée selon un ordre de priorité conforme à la Politique
du SCT sur la vérification interne, aux exigences du ministère et du
gouvernement du Canada ainsi qu'à la stratégie et aux pratiques générales du
ministère en matière de gestion du risque. En général, le processus interne
de planification de la vérification accorde la priorité aux domaines assortis
d'une grande importance relative et de grands risques, aux systèmes
fondamentaux des ministères sur les plans financier, administratif ou de
contrôle, ainsi qu'aux processus de production de rapports externes sur le
rendement.
Le coordonnateur de la sécurité des TI et le dirigeant principal de
l'information doivent être consultés pendant chaque étape d'une vérification
du programme de sécurité des TI et au cours de toutes les vérifications de
programmes ou services ministériels ayant une composante de sécurité des TI.
Le coordonnateur de la sécurité des TI doit préparer une réponse écrite à
la vérification de la sécurité des TI et élaborer un plan d'action qui sera
soumis à l'approbation de la haute direction.
12.12 Sensibilisation à la sécurité des TI
Les ministères doivent informer les membres de leur personnel de leurs
responsabilités et de toute question ou de tout problème liés à la
sécurité des TI, et les leur rappeler régulièrement. Le personnel inclut
toute personne ayant accès à l'information et aux biens de TI du gouvernement.
Les ministères doivent inclure une sensibilisation à la sécurité des TI dans
la formation des nouveaux employés. Les ministères doivent intégrer la
sensibilisation à la sécurité des TI à leur programme général de
sensibilisation à la sécurité du ministère.
Les ministères doivent veiller à ce que tout le personnel connaisse les
risques de sécurité associés à l'utilisation des postes de travail et de
tout autre matériel informatique (notamment les assistants numériques
personnels ou ANP), étant donné que la sécurité de l'information à laquelle
on a accès dépend principalement de la personne qui utilise le matériel.
Afin de sensibiliser davantage les employés, les ministères sont invités
à afficher des avis sur la sécurité des TI partout où le personnel travaille
et à vérifier régulièrement les postes de travail afin de s'assurer que le
personnel respecte les consignes de sécurité des TI.
12.13 Formation en matière de sécurité des TI
Les ministères doivent offrir en permanence une formation sur la sécurité
des TI à toutes les personnes assumant des responsabilités importantes en la
matière.
La Partie III contient une orientation et des consignes sur certaines des
mesures de protection techniques et opérationnelles disponibles. Les
ministères choisissent un ensemble de ces mesures de protection et
éventuellement d'autres afin que, ensemble, elles permettent de ramener le
risque résiduel à un niveau acceptable. D'autres mesures de protection sont
décrites dans d'autres normes de sécurité et documents techniques.
Les ministères doivent appliquer des mesures de protection progressives qui
sont proportionnelles aux risques menaçant leur information et leurs biens de
TI, en ayant recours à des mesures de protection plus rigoureuses à mesure
qu'augmentent la valeur des biens, les exigences de la prestation de service et
les menaces à la confidentialité, à la disponibilité ou à l'intégrité.
Les facteurs ayant une incidence sur le niveau de protection choisi sont
expliqués à la section 12.3.1.
Les ministères peuvent réduire les coûts généraux de la sécurité pour
les systèmes de TI en divisant l'information et les services de nature
délicate, et en consacrant la gamme des mesures de protection plus coûteuses
et plus restrictives à un nombre limité de biens.
Les ministères doivent fonder leur sécurité des TI sur les contrôles
généraux suivants.
14.1 Gestion de la configuration et contrôle des modifications
Quand ils proposent une gestion de la configuration ou des modifications au
système, les ministères doivent demander les conseils du coordonnateur de la
sécurité des TI si ces modifications ont la capacité de compromettre la
sécurité.
14.2 Signalement des problèmes et centre d'assistance
Des mesures de sécurité de TI doivent être intégrées aux tâches
routinières du processus de signalement des problèmes du ministère ou de
l'unité centralisée d'assistance. Le centre d'assistance est habituellement le
premier point de contact pour les utilisateurs souhaitant signaler des
problèmes, notamment avec les mots de passe, la corruption de données, le
rendement du réseau ou les interruptions de service. Si l'incident implique une
atteinte possible à la sécurité, les procédures de réaction consignées
doivent préciser comment le personnel du centre d'assistance doit consigner
l'événement, repérer les tendances, aviser le coordonnateur de la sécurité
des TI ou une équipe de réaction aux incidents, et aviser l'utilisateur de la
façon de procéder.
14.3 Planification de la capacité
Afin de soutenir les exigences de disponibilité, les ministères devraient
surveiller la capacité des systèmes et du réseau afin de planifier et de
mettre en oeuvre des modifications de capacité en temps opportun.
14.4 Services de soutien des systèmes
Les ministères doivent s'assurer que les services sous-jacents aux systèmes
(p. ex., l'horodatage et la consignation d'événements) sont offerts afin
d'appuyer les services de sécurité.
En se fiant à une source fiable d'horodatage, les ministères donnent la
date et l'heure exactes partout dans leurs systèmes et leurs réseaux. La
fiabilité de l'horodatage est particulièrement importante dans les activités
comme les opérations financières électroniques, les signatures numériques,
la vérification et l'enquête.
Les ministères doivent adopter une stratégie de défense active qui inclut
la prévention, la détection, la réaction et la reprise (PDRR). La prévention
est la première ligne de défense. Puisque les mesures de prévention peuvent
être déjouées, les ministères doivent être en mesure de détecter les
incidents rapidement, d'y réagir promptement afin de limiter les dommages et de
rétablir les systèmes et les données en temps opportun.
Les ministères doivent continuellement surveiller les menaces et les
vulnérabilités et, au besoin, agir proactivement en prenant des
contre-mesures. Les ministères doivent réagir aux alertes et avis émis par
Sécurité publique et protection civile Canada (SPPCC), et prendre en
considération l'information provenant des fournisseurs de produits de
sécurité et des organismes de surveillance externes, notamment le Computer
Emergency Response Team Coordination Center (CERT CC). Au cours des périodes
où les niveaux de préparation sont accrus ou des périodes de recrudescence
des menaces à l'endroit des TI, les ministères sont tenus d'accroître leur
vigilance, par exemple en élargissant les heures d'ouverture d'un centre de
protection de l'information (CPI) à 24 heures par jour et sept jours par
semaine.
Pour les ministères qui détiennent des informations très sensibles et
essentielles de même que des biens de TI dépendant de réseaux et de systèmes
complexes, il PEUT être utile d'ouvrir un CPI spécialisé. Ce CPI peut
coordonner la défense active au sein du ministère et veiller à ce que le
ministère communique et collabore avec SPPCC et d'autres organismes de
sécurité.
Les mesures de prévention protègent la confidentialité, l'intégrité et
la disponibilité de l'information et des biens de TI.
16.1 Sécurité matérielle au sein de l'environnement de sécurité des TI
Les mesures de sécurité matérielle, notamment les serrures et les
systèmes d'alarme, réduisent le risque d'accès non autorisé à l'information
et aux biens de TI. La sécurité matérielle sert aussi à protéger
l'information et les biens de TI contre les incendies, les inondations, les
tremblements de terre, les pannes de courant, etc.
Les exigences énoncées dans la section 10.11 de la Politique
du gouvernement sur la sécurité et dans la Norme opérationnelle
sur la sécurité matérielle s'appliquent tant aux systèmes de
technologie de l'information qu'à leurs installations et locaux de service.
Cela inclut la définition des exigences de sécurité dans les plans des
installations de TI, et l'utilisation de zones de sécurité matérielle, de
conteneurs et d'autres mécanismes de sécurité appropriés afin de protéger
l'information et les biens de TI.
Les ministères doivent protéger les appareils tels que les ordinateurs
portatifs, les dispositifs numériques tenus à la main et les téléphones
cellulaires, en fonction de l'information qu'ils contiennent et de leur valeur
pécuniaire.
Les ministères devant détruire ou éliminer les supports de TI contenant de
l'information classifiée ou protégée doivent suivre les méthodes et
procédures définies dans la documentation technique qui leur est associée.
16.2 Stockage et élimination des supports de TI
Les ministères doivent marquer les supports de TI contenant de l'information
classifiée ou protégée conformément à la Norme opérationnelle de
sécurité sur l'identification des biens et doivent, conformément à la Norme
opérationnelle sur la sécurité matérielle, procéder à ce qui suit :
- stocker les copies de sauvegarde ou les supports de TI sensibles liés à
des systèmes ou services assortis d'un degré de disponibilité élevé ou
moyen, dans des contenants conçus pour résister au feu ou à d'autres
dommages causés par l'environnement (cette règle s'applique à
l'entreposage tant sur place qu'à l'extérieur);
- éliminer les supports de TI contenant de l'information classifiée ou
protégée.
16.3 Sécurité du personnel dans l'environnement de sécurité des TI
Les mesures de sécurité du personnel visent à instaurer la confiance au
sein du personnel et chez les autres personnes qui doivent avoir accès aux
systèmes et réseaux du gouvernement.
Les exigences de sécurité en rapport avec les enquêtes sur le personnel se
trouvant dans la section 10.9 de la Politique du gouvernement sur la
sécurité et dans la Norme opérationnelle sur les enquêtes de
sécurité s'appliquent aux postes et aux contrats nécessitant l'accès à
l'information et aux biens liés à la technologie de l'information et à la
sécurité des TI. De plus, les ministères doivent effectuer une enquête de
sécurité, au moins jusqu'au niveau secret, de tout membre du personnel ayant
un accès privilégié aux systèmes essentiels.
16.4 Mesures de protection techniques
16.4.1 Sélection des produits de sécurité
Les ministères doivent tenir compte du coût, de la qualité, de
l'efficacité, de la facilité d'utilisation, de la certification et de
l'incidence sur le rendement des systèmes des ministères lorsqu'ils
choisissent des produits de sécurité. Les ministères devraient utiliser des
produits évalués, surtout dans les systèmes où la sécurité que permettent
ces produits est assurée. Les produits qui sont évalués doivent l'être en
fonction de la norme ISO/CEI 15408, contenant les critères communs pour
l'évaluation de la sécurité des technologies de l'information.
Si aucun produit évalué n'est choisi, les ministères doivent valider le
choix et obtenir autrement la certitude que procure leur processus de
certification et d'accréditation.
16.4.2 Identification et authentification
Les ministères doivent intégrer des mesures d'identification et
d'authentification dans tous leurs réseaux et systèmes, en fonction du niveau
de risque pour le réseau ou le système. Lorsqu'ils attribuent un code
d'identification exclusif à un utilisateur, les ministères doivent veiller à
identifier en bonne et due forme la personne à qui ce code est destiné.
Les mesures d'identification et d'authentification sont importantes car
d'autres mesures de sécurité en dépendent. Pour les environnements assortis
d'un risque faible (p. ex., accès à partir d'un réseau interne ou systèmes
contenant de l'information dont le degré de sensibilité est faible), les
ministères peuvent avoir recours à des méthodes d'authentification simples
(p. ex., un mot de passe), si les mots de passe sont bien gérés et protégés.
Pour les environnements assortis d'un risque plus élevé (p. ex. accès à
partir de réseaux externes comme Internet, ou systèmes contenant de
l'information dont le degré de sensibilité est élevé), les ministères
peuvent avoir recours à des méthodes d'authentification plus rigoureuses (p.
ex., de type cryptographique). Si d'autres mesures de sécurité sont
nécessaires, les ministères peuvent utiliser des mesures de protection
supplémentaires, comme les jetons ou la biométrie.
16.4.3 Autorisation et contrôle de l'accès
Les ministères doivent limiter l'accès des TI et de l'information aux
personnes qui ont fait l'objet d'une enquête de sécurité et qui ont été
autorisées; qui ont été identifiées et authentifiées; et qui ont un accès
sélectif.
Les ministères ne doivent accorder que des privilèges d'accès minimums de
manière à ce que les personnes ne puissent accomplir avec ceux-ci que les
tâches liées à l'exercice de leurs fonctions (c.-à-d., principe du droit
d'accès minimal) et veiller à ce que les privilèges d'accès sont mis à jour
régulièrement pour correspondre exactement aux responsabilités actuelles de
la personne.
Les ministères doivent retirer les privilège d'accès à toute personne (y
compris les étudiants, entrepreneurs et autres personnes possédant un droit
d'accès à court terme) qui quitte l'organisation, et revoir les privilèges
d'accès lorsque des personnes sont mutées à un poste qui ne requiert pas le
même niveau d'accès.
16.4.4 Cryptographie
Utilisée correctement, la cryptographie constitue un moyen efficace
d'assurer la confidentialité, l'intégrité, l'authentification et la
non-répudiation. Les ministères doivent aussi garantir l'efficacité de la
gestion des clés de chiffrement, y compris la protection et la récupération
de ces clés.
Les ministères doivent utiliser le chiffrement ou d'autres mesures de
protection homologuées ou approuvées par le Centre de la sécurité des
télécommunications (CST) afin de protéger la transmission électronique de
toute information classifiée et de tout renseignement protégé et coté C. Les
ministères devraient chiffrer les renseignements protégés cotés A et B
lorsqu'ils ont une évaluation des menaces et des risques à l'appui. Cependant,
les ministères doivent chiffrer l'information protégée cotée B avant de la
transmettre par Internet ou un réseau sans fil.
16.4.5 Infrastructure à clés publiques
L'infrastructure à clés publiques (ICP) est l'une des manières dont les
ministères peuvent satisfaire aux exigences d'authentification, de
confidentialité, d'intégrité et de non-répudiation. L'ICP permet le
chiffrement de clés publiques et les signatures numériques, et offre des
procédés de gestion des clés publiques.
Pour de plus amples renseignements, prière de se reporter à la Politique de
gestion de l'Infrastructure à clé publique au gouvernement du Canada et aux
Politiques de certification du gouvernement du Canada. Les politiques de
certification définissent les exigences de sécurité pour les certificats à
divers niveaux d'assurance.
16.4.6 Sécurité des réseaux et défense du périmètre
Les ministères doivent diviser les réseaux en zones de sécurité des TI et
mettre en en place des mesures de défense du périmètre et de protection des
réseaux. La norme Exigences sécuritaires de base des zones STI
décrit cette mise en place. Le fait d'utiliser des zones de sécurité des TI
dans tous les ministères assure un niveau minimal cohérent de protection des
réseaux d'échange de données à l'échelle du gouvernement.
Les ministères doivent confiner rigoureusement toutes les interfaces avec
les zones publiques, y compris tous les réseaux externes non contrôlés comme
Internet, à un périmètre de sécurité déterminé. Les ministères doivent
avoir recours aux mesures de défense du périmètre (p. ex., gardes-barrières
ou routeurs) pour faciliter le trafic et protéger les serveurs accessibles à
partir d'Internet.
16.4.7 Informatique mobile et télétravail
L'utilisation des biens de TI à l'extérieur d'un ministère peut multiplier
les risques de sécurité de l'information. Les ministères qui permettent au
personnel d'utiliser l'information du ministère et ses biens, réseaux et
systèmes de TI à l'extérieur des bureaux du gouvernement doivent mettre en
place des procédures appropriées.
Pour protéger l'ordinateur servant à l'accès à distance, l'information
qu'il contient et la liaison téléinformatique, les ministères devraient
utiliser une combinaison efficace des instruments suivants : mesures de
protection matérielle, contrôles d'accès, chiffrement, protection contre les
codes malveillants (p. ex., logiciels de balayage des virus), copies de
sauvegarde, paramètres de configuration de sécurité (p. ex., contrôles du
système d'exploitation), mesures d'identification et d'authentification de
même que contrôles de sécurité du réseau (p. ex., garde-barrière pour OP).
Les ministères doivent s'assurer que le personnel travaillant en dehors de
leurs installations est conscient de ses responsabilités en matière de
sécurité incluant la sensibilité et la criticité de l'information et des TI
auxquels ils ont accès.
16.4.8 Appareils sans fil
L'utilisation des appareils sans fil peut multiplier les risques de
sécurité de l'information. Les ministères doivent prendre des mesures de
protection appropriées et restreindre l'utilisation de ces appareils aux
personnes qui ont reçu l'autorisation du ministère.
Les utilisateurs doivent éteindre leurs appareils sans fil capables de
transmettre des messages vocaux lorsqu'ils assistent à une réunion où de
l'information délicate (protégée et ayant une cote supérieure à A) est
échangée.
Les ministères devraient communiquer avec le Centre de la sécurité des
télécommunications pour obtenir plus de détails sur la manière de sécuriser
l'utilisation des appareils sans fil.
16.4.9 Sécurité relative aux émanations
La plupart des appareils électroniques émettent des signaux
électromagnétiques qui, s'ils sont interceptés, peuvent compromettre la
sécurité d'informations délicates. Il existe fondamentalement deux méthodes
pour atténuer ce risque, à savoir la suppression de la source et le
confinement des signaux porteurs d'information qui, ensemble, forment la norme
TEMPEST.
Au Canada, les ministères devraient appliquer la norme TEMPEST à
l'information très secrète et aux renseignements protégés C lorsqu'une
évaluation des menaces et des risques le justifie. À l'étranger, les
ministères devraient appliquer la norme TEMPEST à toute information
classifiée lorsqu'une évaluation des menaces et des risques le justifie.
16.4.10 Câbles de télécommunication
Les ministères doivent protéger les données transmises par câbles de
télécommunications contre toute interception non autorisée ou contre tout
dommage. Les ministères doivent autoriser, contrôler et surveiller l'accès
aux câbles de télécommunications, aux locaux et aux chemins d'accès (p. ex.,
les salles de télécommunications, les salles de l'ordinateur central et les
autres salles contenant du matériel) de manière appropriée au degré de
sensibilité de l'information à transmettre.
Les ministères devraient offrir une protection supplémentaire, comme les
systèmes de distribution rouges, pour la transmission de renseignements
protégés C et classifiés.
Si les mesures de sécurité matérielle s'avèrent impraticables, les
ministères devraient avoir recours au chiffrement ou à d'autres méthodes
approuvées par le Centre de la sécurité des télécommunications.
16.4.11 Intégrité des logiciels et configuration de sécurité
Les mesures de protection permettant de maintenir l'intégrité des logiciels
peuvent aider à éviter bien des incidents éventuels en matière de
sécurité.
Les ministères devraient configurer leurs systèmes d'exploitation et leurs
logiciels d'application conformément aux pratiques exemplaires en matière de
sécurité. Les ministères doivent configurer leurs systèmes de manière à
contrôler l'utilisation de codes mobiles (p. ex., Javascript).
Les ministères doivent mettre en place des mesures de protection pour
renforcer les logiciels exposés à Internet (p. ex., les serveurs Web et leurs
logiciels) ou les serveurs qui supportent les applications délicates. Au
minimum, les ministères devraient retirer ou désactiver les services et
applications inutiles et configurer correctement l'authentification des
utilisateurs.
Les ministères devraient interdire l'utilisation de logiciels non autorisés
et devraient être en mesure de balayer les réseaux afin de détecter tout
logiciel non autorisé.
Pour plus de détails sur les pratiques exemplaires de configuration et de
renforcement des logiciels, prière de se reporter aux directives émises par le
Centre de la sécurité des télécommunications, le « National Institute for
Standards and Technology » et le « Centre for Internet Security ».
16.4.12 Code malveillant
Les systèmes de TI sont vulnérables aux codes malveillants tels que les
virus, le cheval de Troie et les vers de réseau. Les pièces jointes à des
courriels comptent parmi les sources les plus fréquentes de code malveillant.
Les ministères doivent régulièrement installer, utiliser et mettre à jour
des logiciels antivirus et effectuer un balayage pour repérer les codes
malveillants sur tous les fichiers électroniques provenant de l'extérieur. Les
ministères doivent installer les nouvelles définitions de virus dès qu'elles
sont disponibles. Les ministères devraient mettre en place des logiciels de
détection des virus à plusieurs points de l'infrastructure, y compris les
ordinateurs de bureau, les serveurs et les points d'entrée au ministère.
Pour détecter les incidents, les ministères peuvent utiliser, en vertu des
lois et politiques applicables, des gardes-barrières et des routeurs, des
journaux de vérification, des logiciels de détection de virus et de codes
malveillants, ainsi que des outils de vérification du rendement des systèmes,
de contrôle de l'état des systèmes, de vérification de l'intégrité et de
détection d'intrusion par l'entremise de l'hôte et du réseau. La rigueur et
l'étendue des activités de détection dépendront du niveau de risque, y
compris du degré de délicatesse (sur les plans de la confidentialité, de la
disponibilité et de l'intégrité) et d'exposition du système au risque.
Afin de protéger l'information et de garantir la prestation de services, les
ministères doivent surveiller continuellement le rendement de leur système
pour repérer rapidement :
- les tentatives (réussies ou échouées) d'accès sans autorisation au
système, ou celles de déjouer les mécanismes de sécurité;
- les tentatives de sonder ou de balayer le système sans autorisation afin
d'en déceler les vulnérabilités;
- l'interruption non planifiée des systèmes ou des services;
- les attaques par déni de service;
- la modification non autorisée du matériel, de la microprogrammation et
des logiciels du système;
- les anomalies de fonctionnement du système;
- les signatures d'attaque connues.
Au minimum, les ministères doivent inclure une fonction de journal de
vérification de la sécurité dans tous les systèmes de TI. Les ministères
doivent intégrer des outils de détection des incidents automatisés et en
temps réel dans les systèmes à risque élevé.
Prière de se reporter aux documents techniques à l'appui pour obtenir
d'autres consignes sur la détection.
18.1 Coordination de la réaction à un incident
La section 10.12.3 de la Politique du gouvernement sur la sécurité
stipule que les ministères doivent établir des mécanismes pour bien répondre
aux incidents reliés aux TI et pour partager rapidement les détails de
l'incident avec les ministères responsables. Pour ce faire, les ministères
doivent nommer une personne ou établir un centre qui se chargera de la tâche
de coordonner la réaction à l'incident et qui agira à titre de point de
contact pour les communications relatives à la réaction aux incidents à
l'échelle du gouvernement. Les ministères qui n'ont pas de centre de
protection de l'information devraient confier cette responsabilité au
coordonnateur de la sécurité des TI.
Les systèmes et réseaux du gouvernement du Canada devraient être
considérés comme une seule entité interreliée qui nécessite une
coordination de la réaction à un incident. Le ministère de la Sécurité
publique et Protection civile du Canada (SPPCC) est chargé de coordonner la
réaction aux incidents partout dans le gouvernement fédéral et, avec d'autres
organismes conseils, de fournir l'aide technique, les conseils et l'information
nécessaires pour traiter les incidents de sécurité des TI.
Le traitement des incidents suit généralement cinq étapes :
- Identification - déterminer le type, la gravité et la cause de
l'incident (des incidents) (p. ex., virus, ver, attaque par déni de
service).
- Réaction - déterminer la meilleure approche à suivre et prendre des
mesures pour limiter les dommages (p. ex., débrancher, désactiver, bloquer
ou mettre à jour la configuration de l'ordinateur ou du réseau).
- Signalement - communiquer les détails de l'incident, y compris
l'incidence et la réaction, à la SPPCC et à la direction du ministère.
- Reprise - trouver une approche permettant de rétablir les systèmes et de
reprendre les activités, et mettre en oeuvre tout changement autorisé
visant les dispositifs de sécurité (p. ex., les règles s'appliquant aux
gardes-barrières et à la détection des incidents).
- Analyse postérieure à l'incident - évaluer l'incident et recommander
des modifications à apporter aux processus et procédures, au besoin.
18.2 Définition de l'incident et établissement des priorités
Si la surveillance révèle une anomalie, les ministères doivent déterminer
si sa cause est un incident de sécurité, un problème de logiciel ou de
matériel informatique, ou un accroissement de la demande des clients. Un
incident de sécurité des TI est un événement négatif touchant un système
ou un réseau d'information ou la menace que pareil événement ne se produise.
Les incidents incluent, sans s'y limiter :
- Déni de service - attaque pouvant empêcher l'utilisation des réseaux,
des systèmes ou des applications.
- Code malveillant - virus, ver, cheval de Troie ou autre entité
malveillante intégrée au code qui infecte un système hôte.
- Accès non autorisé - utilisateur qui obtient sans autorisation l'accès
à un réseau, un système, des applications, des données ou d'autres
ressources.
- Incidences multiples - combinaison d'un certain nombre d'événements
informatiques se produisant simultanément ou événement informatique
combiné à d'autres incidents malveillants ou accidentels.
Afin d'analyser les incidents de sécurité des TI de manière efficace, les
ministères doivent comprendre les types d'incidents de sécurité pouvant
survenir, leur incidence éventuelle, l'environnement technique et
opérationnel, et les priorités de prestation de services.
Généralement, cette analyse comprend les étapes suivantes :
- Déterminer si un incident s'est produit;
- Effectuer une évaluation de la gravité de son incidence réelle ou
éventuelle;
- Définir le type d'incident, sa cause et sa source;
- Consigner l'événement.
Si plus d'un incident survient au même moment ou si la situation est trop
complexe, les ministères devraient établir une liste de priorité et se
concentrer sur l'incident le plus important. Les facteurs à prendre en compte
incluent les risques liés à :
- la vie humaine et la sécurité des personnes;
- l'information et aux biens précieux, sensibles et essentiels;
- l'interruption des activités ou des services;
- la perte de confiance du public.
18.3 Réaction à l'incident
Les ministères doivent élaborer des procédures de réaction aux incidents
afin d'atténuer le préjudice, de contenir les causes des incidents et de
rétablir les services.
Étant donné l'interconnectivité du gouvernement du Canada, les ministères
doivent toujours, lorsqu'ils répondent à un incident de sécurité des TI,
envisager l'incidence de leur action ou de leur inaction sur les autres
organisations fédérales.
Les ministères doivent maintenir des dossiers opérationnels où l'on
indique comment les incidents ont été traités et où est consigné le
déroulement des faits au cours de l'incident, et où l'on précise le moment
où l'incident a été détecté; les mesures prises; la logique à l'appui des
décisions; le détail des communications; les autorisations de la direction ou
ses consignes; et les rapports externes et internes.
18.4 Rapport d'incident
La section 10.15 de la Politique du gouvernement sur la sécurité
stipule que les ministères doivent mettre en place un processus de signalement
des incidents internes et externes. Pour satisfaire à ces exigences, les
ministères doivent faire ce qui suit :
- signaler les incidents et les menaces et partager l'information, en vertu
des lois applicables et des politiques, et l'efficacité des réactions à
la SPPCC;
- participer aux séances d'information et aux téléconférences sur les
menaces et les risques;
- donner à SPPCC les coordonnées à jour permettant de communiquer en tout
temps avec le coordonnateur de la sécurité des TI ou désigner aussi une
deuxième personne-ressource;
- établir une procédure permettant d'aviser le personnel de soutien
opérationnel approprié, les gestionnaires et toutes les parties
concernées, et garder la liste des personnes-ressources à jour (p. ex., le
coordonnateur de la sécurité des TI, l'agent de sécurité du ministère,
le dirigeant principal de l'information, les gestionnaires des activités et
des systèmes);
- aviser les autorités policières appropriées si l'incident semble être
de nature criminelle et le Service canadien du renseignement de sécurité
(SCRS) si l'incident a des répercussions sur la sécurité nationale. (Au
besoin, SPPCC peut aider les ministères à déterminer la nature de
l'incident.)
Si requis, la SPPCC épaulera les ministères afin de déterminer la nature
de l'incident. On devrait consulter des conseillers légaux s'il y a raison de
soupçonner une quelconque activité criminelle.
Pour les cas où le principal mode de communication prévu ne serait pas
disponible, les ministères devraient établir un mode de communication de
rechange afin de transmettre l'information relative aux incidents.
18.5 Reprise
Avant de rebrancher ou de rétablir les services, les ministères doivent
veiller à ce que tous les logiciels malveillants soient éliminés et empêcher
que le problème ne se reproduise ou qu'il ne se répande.
Les ministères doivent rétablir les fonctions essentielles dans les limites
de temps et selon les exigences de disponibilité précisées dans le Plan de
continuité des activités du ministère.
Pour être en mesure de récupérer l'information, les ministères doivent :
- enregistrer les données régulièrement;
- vérifier régulièrement si les copies de sauvegarde peuvent servir à la
reprise;
- sauvegarder tous les logiciels et toutes les données de configuration;
- faciliter la restauration des données et des services en permettant aux
systèmes d'annuler des opérations et de revenir à un stade antérieur (p.
ex., services de reprise);
- tester les procédés de rétablissement régulièrement pour s'assurer
qu'ils sont efficaces et qu'ils peuvent être effectués dans le délai
imparti pour la reprise;
- fixer les délais de conservation pour les données essentielles sur les
activités et les copies de sauvegarde archivées;
- consigner, dans un protocole d'entente ou toute autre convention, tous les
arrangements pris pour la sauvegarde à l'extérieur des installations (dans
les cas où la sauvegarde externe est sous le contrôle d'une tierce
partie).
Veuillez noter que la remise en état d'un système devrait être menée de
façon à préserver l'intégrité de la preuve, par exemple, dans le cas d'une
enquête criminelle d'une infraction à la sécurité.
Les ministères peuvent demander le soutien et les conseils de SPPCC pour
effectuer ce processus.
18.6 Analyse postérieure à l'incident
Chaque fois que se produit un incident de sécurité des TI grave ou majeur,
les ministères doivent effectuer une analyse postérieure à l'incident dans
laquelle ils résument les effets de l'incident, y compris les coûts, et ils
énoncent :
- les lacunes au chapitre de la sécurité,
- les mesures qui empêcheront ce type d'incident de se reproduire,
- les mesures permettant de réduire l'incidence d'une récurrence,
- les améliorations à apporter aux procédures de traitement des
incidents.
Sur demande de SPPCC, les ministères doivent faire part des leçons tirées
de leur analyse postérieure à l'incident. Le partage de l'information relative
aux incidents à l'échelle du gouvernement permet aux ministères de tirer des
leçons des analyses faites par d'autres ministères et organismes conseils.
Les ministères devraient analyser périodiquement leurs propres statistiques
sur les incidents de sécurité afin de repérer les problèmes ou profils
d'attaque récurrents et d'estimer le coût global des incidents en vue
d'améliorer la prestation de services.
Loi reliées :
- Loi sur l'accès à l'information
- Loi sur la preuve au Canada
- Code canadien du travail
- Loi sur le Service Canadien du renseignement de sécurité
- Charte des droits et libertés
- Code criminel
- Loi sur le casier judiciaire
- Loi sur la production de défense
- Loi sur la protection civile
- Loi sur la gestion des finances publiques
- Loi d'interprétation
- Loi sur les Archives Nationales du Canada
- Loi sur la défense nationale
- Loi sur la protection de l'information
- Loi sur la protection des renseignements personnels et les documents
électroniques
- Loi sur la protection des renseignements personnels
- Loi sur l'emploi dans la fonction publique
- Loi sur les relations de travail dans la fonction publique
- Ordonnances et règlements royaux
- Loi sur les jeunes contrevenants
- Loi sur la statistique
Politique reliées du Conseil du Trésor du Canada :
- Accès à l'information
- Surveillance active
- Services communs
- Communications
- Autorisation et authentification électronique
- Cadre amélioré de gestion
- Sécurité du gouvernement
- Vérification interne
- Gestion de l'information gouvernementale
- Gestion des technologies de l'information
- Politique, lignes directives et normes pour l'infrastructure à clé
publique
- Protection des renseignements personnels et des données
- Évaluation de l'incidence sur la vie privée
On peut trouver d'autres politiques et publications sur le site Web du
Secrétariat du Conseil du Trésor, à
http://www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_12A/siglist_f.asp.
Bien essentiel - biens supportant un service essentiel. [PGS]
Compromission - divulgation sans autorisation, destruction, emprunt,
modification, interruption ou utilisation des biens. [PGS]
Évaluation de vulnérabilité - détermination de l'existence de
vulnérabilités au sein d'un système.
Gestion des corrections de programmes - composante de la gestion du
changement qui comprend l'acquisition, la mise à l'essai et l'installation de
correctifs pour les logiciels sur un système de TI administré.
Gestion du risque - approche systématique permettant d'établir la
meilleure marche à suivre en cas d'incertitude en définissant, évaluant,
comprenant et communiquant les questions liées au risque, et en y réagissant.
[CGIR]
Gestion du risque de sécurité - composante d'un processus global
de gestion du risque comprenant l'organisation et la coordination d'activités
et de processus permettant de contrôler le risque au chapitre de la sécurité.
Incident de sécurité des TI - tout événement imprévu ou
indésirable qui peut compromettre les activités d'exploitation ou la
sécurité de l'information. [ISO 17799]
Information gouvernementale - information créée, reçue, utilisée
et tenue à jour peu importe sa présentation matérielle, de même que
l'information préparée aux fins du gouvernement du Canada ou produite par
celui-ci et présumée comme étant sous son contrôle dans le cadre de
l'exécution de ses activités ou conformément aux obligations qui lui
incombent aux termes des lois. [PGIG]
Intégrité des logiciels - processus permettant d'élaborer des
logiciels assortis d'un minimum de vulnérabilités.
Intrusion - type d'incident lié à la sécurité des TI impliquant
l'accès non autorisé à un système ou un réseau, ou de l'activité sur
celui-ci.
Mesures de protection progressives - ensemble de mesures de
protection de plus en plus sécuritaires qui réduisent le risque, chacune dans
sa mesure respective.
Sécurité des technologies de l'information (TI) - mesures de
protection visant à préserver la confidentialité, l'intégrité, la
disponibilité, l'utilisation prévue et la valeur des renseignements
conservés, traités ou transmis par voie électronique. [PGS]
Service - ensemble d'un ou de plusieurs systèmes s'acquittant d'une
fonction utile appuyant les orientations stratégiques.
Service essentiel - service dont la compromission au chapitre de la
disponibilité ou de l'intégrité causerait un préjudice élevé à la santé,
à la sûreté, à la sécurité et au bien-être économique des Canadiens et
des Canadiennes ainsi qu'à l'efficacité du gouvernement du Canada. [PGS]
Système - ensemble d'éléments (personnel, volet matériel,
environnement, mesures de protection, technologie, etc.) combinés qui,
ensemble, permettent de réaliser un objectif précis ou une mission donnée.
[MG-03]
Système de détection des intrusions (SDI) - logiciel qui permet de
repérer l'activité suspecte et d'en aviser les administrateurs. [NIST]
Vulnérabilité - faiblesse quant à la sécurité qui pourrait
permettre à une menace de causer préjudice. [PGS]
Zones de sécurité des TI - environnement réseau possédant des
limites bien définies, une administration de la sécurité et un niveau
normalisé de vulnérabilité aux menaces visant le réseau. [zones STI]
|