1.
Date d'entrée en vigueur
La présente politique entre en vigueur le 15 juillet 1996 et
remplace l'ancienne version datée du 1er octobre 1994.
2. Avant-propos
a) Le processus d'autorisation et d'authentification
électroniques permet d'associer une preuve d'autorisation à une
opération, de faciliter la protection de l'intégrité des données
et d'identifier le signataire autorisé. Conjugué à des pratiques
de gestion adéquates, il aboutira à des mécanismes de contrôle de
la responsabilité quant à la conduite des opérations commerciales
électroniques.
b) De saines pratiques de gestion exigent des ministères
qu'ils exercent des contrôles leur permettant de garantir
l'intégralité, l'exactitude et la validité de leurs opérations.
Ces contrôles sont de plus indispensables à un contrôle de
gestion adéquat et à une responsabilisation efficace.
c) Les progrès technologiques, la disponibilité de postes de
travail et de réseaux informatiques puissants ainsi que la
nécessité d'optimiser l'efficacité des opérations ont amené
l'administration fédérale à privilégier les systèmes de
télétraitement et l'information électronique.
d) Les mécanismes de contrôle sont manuels dans un système
reposant sur le support papier. Ainsi, une signature a toujours
été le meilleur moyen de prouver que les travaux sont autorisés
ou de confirmer qu'ils ont été exécutés. Elle indique clairement
le responsable de chaque fonction de contrôle, et elle convient à
tous les niveaux de responsabilité.
e) Ces mécanismes de contrôle sont essentiels si l'on veut
s'assurer que les opérations sont consignées et traitées de façon
précise et que l'information est dûment autorisée. En général,
les normes d'exactitude et de validité établies pour les données
sur les opérations sont les mêmes que celles qui s'appliquent aux
données financières, opérationnelles et administratives.
f) Dans un milieu informatisé, on se doit de disposer d'une
solution de remplacement électronique à la signature sur papier.
Des mécanismes de contrôle assureraient à la signature
électronique une unicité comparable à celle d'une signature
normale ainsi que pour préserver l'intégrité de cette signature,
ce qui est nécessaire tant pour protéger la personne responsable
d'une opération que pour l'obliger à assumer la responsabilité de
cette opération.
g) La politique vise à assurer la mise en place de ces
mécanismes de contrôle et l'intégrité des opérations et des
autorisations qui s'y rattachent tout au long du processus.
h) Une autre caractéristique importante des systèmes
automatisés réside dans le fait que la délégation des pouvoirs
pourrait aussi se faire par voie électronique. Les matrices
électroniques de délégation qui délimitent l'autorité de chaque
utilisateur pourraient aussi remplacer les tableaux de délégation
des pouvoirs. Une combinaison de codes d'identification de
l'utilisateur, de mots de passe, de numéros d'autorisation
personnels, de codes d'accès spéciaux, de vérifications de
certaines caractéristiques physiques pourraient remplacer les
signatures et des processus de validation et d'authentification
les cartes de spécimen de signature.
i) Cette politique vise à assurer le maintien de l'intégrité
des processus électroniques de délégation de pouvoirs et
d'authentification.
j) Le Centre de la sécurité des télécommunications (CST) est
chargé de mettre en place, dans les ministères, des mécanismes
d'homologation ou d'approbation du matériel cryptographique et de
gestion des clés pour assurer la protection des renseignements
classifiés et des renseignements désignés. Le CST est l'organisme
chargé d'approuver le cryptage, les algorithmes de signature
numérique et les algorithmes de gestion de clés utilisés dans les
processus d'autorisation et d'authentification électroniques. Les
ministères peuvent également consulter le CST sur les besoins en
dispositifs de sécurité non cryptographiques pour la mise en
oeuvre des processus d'autorisation et d'authentification
électroniques, de même que sur la puissance de ces
dispositifs.
k) Les responsabilités des autres organismes centraux en
matière de sécurité sont énoncées dans la Politique sur la
sécurité (chapitre 11 du volume «Sécurité» du Manuel du
Conseil du Trésor).
3. Définitions
Pour l'application de cette politique :
Opération commerciale (business transaction)
s'entend de tout événement, condition, action ou engagement dont
le résultat est l'acquisition, l'aliénation ou l'utilisation de
biens ou de ressources; l'augmentation ou la réduction d'un
passif; la réception ou le versement de fonds; ou encore la
prestation de services facturés à un client. Les opérations
commerciales se déroulent souvent, mais sans s'y limiter, dans
des domaines divers tels que les finances, l'administration, le
personnel, les marchés et la gestion de programmes. Les
opérations commerciales peuvent aussi englober des mécanismes
formels d'approbation ou d'autorisation comme la
correspondance.
Autorisation électronique (electronic
authorization) s'entend du processus par lequel une signature
numérique est associée à une opération commerciale électronique
pour indiquer que le traitement des données a été autorisé par
une personne habilitée à le faire et pour assurer que cette
personne ne puisse, de façon crédible, nier avoir accordé cette
autorisation.
Authentification électronique (electronic
authentication) s'entend du processus par lequel on vérifie
l'autorisation électronique avant de déterminer si le signataire
autorisé peut être identifié, si l'intégrité des données
autorisées est préservée et s'il s'agit des données
d'origine.
Confidentialité (confidentiality) se
rapporte à l'information divulguée ou mise uniquement à la
disposition de personnes, d'entités ou de processus autorisés à
consulter ou à utiliser cette information.
Intégrité des données (data integrity) s'entend
de la qualité ou du caractère exact et complet ainsi que de la
non-modification ou destruction des données sans
autorisation.
Signature numérique (digital signature) -
s'entend de la transformation cryptographique des données qui,
lorsqu'elle est réalisée sur un message, permet au destinaire de
vérifier qui est le signataire et de déterminer si le message a
été changé ou si la signature a été forgée après que la
transformation ait été établie.
Cryptage (encryption) s'entend de l'opération
par laquelle on transforme des données en clair de manière à les
rendre inintelligibles et pour en assurer l'intégrité. Il s'agit
d'un processus réversible nécessitant le recours à un algorithme
cryptographique et à une clé.
Gestion des clés (key management) s'entend d'un
processus par lequel les clés et le matériel de cryptage utilisés
pour autoriser et authentifier des opérations sont gérés
conformément à une politique de sécurité. Ce processus comprend
la production, la distribution, l'application, la certification,
la conservation, l'archivage et l'élimination des clés. Une clé
est une séquence symboles qui contrôle l'opération de cryptage ou
de décryptage.
4. Objectif de la politique
Veiller à ce que les opérations commerciales électroniques
soient dûment autorisées et authentifiées, de façon à en assurer
adéquatement le contrôle et la protection.
5. Énoncé de la politique
Le gouvernement du Canada a pour politique de veiller à ce que
les opérations commerciales électroniques soient dûment
autorisées, validées et protégées contre la perte, l'altération
et la duplication, la substitution ou la destruction.
6. Application
a) Cette politique s'applique à toutes les organisations
considérées comme des ministères en vertu de l'article 2 de la
Loi sur la gestion des finances publiques (LGFP).
b) Cette politique s'applique à tous les systèmes
électroniques commerciaux dont les opérations sont autorisées par
voie électronique.
c) Dans le cas des systèmes en voie d'élaboration, la présente
politique s'applique dans les deux ans suivant son entrée en
vigueur. Les disposition de la présente politique ne s'appliquent
pas aux systèmes actuels, sauf si une nouvelle évaluation de la
menace et des risques indique qu'une autorisation et une
authentification électroniques s'imposent.
d) Les systèmes actuels qui ont recours aux signatures
numériques doivent être conformes à la présente politique d'ici
les deux prochaines années.
7. Exigences de la politique
a) L'intégrité des opérations commerciales électroniques doit
être préservée en tout temps.
b) L'autorisation des opérations commerciales électroniques
doit s'effectuer au moyen d'une signature numérique.
c) La méthode employée pour produire cette signature requiert
tout à la fois la possession d'un renseignement particulier
(comme un mot de passe) et d'un objet (comme une disquette, un
jeton ou une carte.
d) Pour chaque système où une signature numérique est
utilisée, l'évaluation de la menace et des risques déterminera la
nécessité d'utiliser un objet pour la produire. Pour les systèmes
actuels et les systèmes en cours d'élaboration, les ministères
bénéficient d'une période de deux ans à compter de la date
d'entrée en vigueur de la présente politique pour effectuer
l'évaluation de la menace et des risques et se conformer aux
dispositions de la politique.
e) Lorsqu'on utilise des objets tels que des disquettes, des
jetons ou des cartes, les ministères doivent veiller à ce que
tout détenteur d'objet connaisse et accepte les restrictions et
les responsabilités qui lui incombent quant à l'utilisation de
ces objets. Les objets doivent servir de mécanismes d'accès
personnel liant un objet à une seule personne.
f) Les autorisations électroniques d'opérations commerciales
électroniques doivent être authentifiées.
g) Le processus d'authentification électronique doit permettre
d'identifier hors de tout doute la personne qui a autorisé
l'opération, de manière à ce que celle-ci ne puisse nier l'avoir
autorisée.
h) Il faut tenir une piste de vérification complète des
opérations commerciales électroniques, y compris de
l'autorisation et de l'authentification électroniques.
i) L'intégrité et la confidentialité du système et des
processus d'autorisation et d'authentification électroniques
doivent être préservées en tout temps.
j) Au besoin, on assurera la confidentialité des opérations en
procédant au cryptage d'une partie ou de la totalité des données
ou de l'opération.
k) Les ministères doivent procéder à une évaluation de la
menace et des risques afin d'évaluer la menace dont le système
des opérations commerciales électroniques et le processus
d'authentification et d'autorisation électroniques pourraient
faire l'objet et de déterminer le degré de contrôle nécessaire
pour réduire les risques au minimum en tenant compte des
coûts.
l) Les ministères doivent établir des politiques et des
procédures qui leur permettront d'exercer un contrôle adéquat sur
tous les processus d'autorisation et d'authentification
électroniques de données commerciales.
m) Les ministères doivent établir des politiques et des
procédures qui leur permettront de veiller à ce que la protection
de l'attribution et de la communication des pouvoirs ainsi que du
processus de délégation en tant que tel, lorsqu'ils se font sous
forme électronique, soit assurée par un dispositif approuvé de
signatures numériques et de gestion de clés. Les procédés de
cryptage et de gestion de clés afférents à l'autorisation et à
l'authentification électroniques doivent être homologués ou
approuvés par le CST.
8. Surveillance
a) Les ministères feront évaluer par leur service de
vérification interne la façon dont ils observent et appliquent
cette politique.
b) Le Secrétariat du Conseil du Trésor se servira des rapports
de vérification interne pour déterminer si la politique est
respectée.
c) En outre, le Secrétariat du Conseil du Trésor, de concert
avec les ministères, procédera à des examens opérationnels pour
vérifier l'efficacité de la politique.
9. Indicateurs de rendement
Les ministères sont chargés d'appliquer cette politique avec
efficacité et efficience. Les indicateurs de rendement doivent
principalement porter sur :
- - l'efficacité du processus d'autorisation et
d'authentification des opérations commerciales
électroniques;
- - la pertinence des évaluations de la menace et des risques,
pour confirmer périodiquement que le degré de contrôle est
suffisant;
- - l'efficience de la documentation (p. ex., des politiques,
des procédures et des documents de formation) et des systèmes,
afin de veiller à l'efficacité de l'autorisation et de
l'authentification des opérations électroniques.
10. Références
10.1
Autorisation
Cette politique est établie en vertu de la Loi sur la
gestion des finances publiques.
10.2
Publications du Secrétariat du Conseil du Trésor
Plan directeur pour le renouvellement des services
gouvernementaux à l'aide des technologies de
l'information.
Normes sur les technologies de l'information, NCTTI 10.1,
Ligne directrice du gouvernement du Canada sur la mise en
oeuvre de l'échange électronique de données, Spécifications
techniques.
Politique sur la sécurité, chapitre 11 du volume
«Sécurité» du Manuel du Conseil du Trésor.
Normes de sécurité relative aux technologies de l'information,
chapitre 23 du volume «Sécurité» du Manuel du Conseil
du Trésor.
10.3 Autres
publications
Centre de la sécurité des télécommunications, Sécurité du
gouvernement du Canada, Lignes directrices sur l'autorisation et
l'authentification électroniques, CID/01/15.
Centre de la sécurité des télécommunications, Guide de la
gestion des risques d'atteinte à la sécurité des technologies de
l'information.
Gendarmerie royale du Canada, Guide d'évaluation de la
menace et des risques pour les technologies de
l'information.
11. Demandes de renseignements
a) Les demandes de renseignements relatives à cette politique
doivent être adressées à l'agent de sécurité, à l'administration
centrale de votre ministère. Pour toute question d'interprétation
de cette politique, les administrations centrales des ministères
doivent communiquer avec:
Division de la gestion des finances et des marchés
Direction de la gestion des finances et de l'information
Secrétariat du Conseil du Trésor
Ottawa (Ontario)
K1A 0R5
Téléphone : (613) 9577233;
Télécopieur : (613) 9529613
b) Pour obtenir des évaluations, des avis et des conseils sur
la mise en oeuvre des dispositions concernant l'autorisation et
l'authentification électroniques, en particulier le cryptage, les
algorithmes de signatures numériques et les systèmes de gestion
de clés, communiquez avec :
Services à la clientèle , STI
Centre de la sécurité des télécommunications
C.P. 9703, Terminus postal d'Ottawa
Ottawa (Ontario)
K1G 3Z4
Téléphone : (613) 9917532;
Télécopieur : (613) 9917411
Appendice A
Lignes directrices
a) L'évaluation de la menace et des risques est un processus
permettant de définir les opérations et les données dont la
protection est indispensable ainsi que de déterminer le niveau
approprié et l'ampleur des contrôles requis. La fréquence des
évaluations de la menace et des risques dépendra de facteurs tels
que la possibilité de pertes financières ou de données, ou encore
de situations embarrassantes pour le ministre ou le gouvernement.
Les changements apportés à des facteurs externes pouvant rendre
inefficients les contrôles actuels devraient aussi déclencher des
évaluations de la menace et des risques. Ces changements peuvent
comprendre, par exemple, l'implantation de nouveaux programmes
logiciels conçus pour neutraliser des dispositifs de protection
électroniques et qui seraient susceptibles d'être utilisés pour
obtenir un accès non autorisé. Il convient donc d'évaluer
périodiquement la menace et les risques ainsi que d'établir des
mécanismes de contrôle permettant de protéger l'intégrité des
opérations commerciales, d'en préserver la confidentialité et de
veiller à ce qu'elles soient dûment authentifiées.
b) Un cadre de contrôle adéquat pour l'autorisation et
l'authentification électroniques comprendra les éléments suivants
:
- (i) Contrôle d'accès
- a) Le contrôle d'accès permet de veiller à ce que seules les
personnes autorisées aient accès aux données (avant et après
l'autorisation), aux fichiers des programmes d'application, aux
fichiers des données et des programmes d'autorisation et
d'authentification électroniques et aux installations de
télécommunications. Le contrôle d'accès comprend à la fois le
contrôle d'accès logique et le contrôle d'accès physique.
- b) Le contrôle d'accès logique devrait notamment comprendre
l'identification de l'utilisateur, un mot de passe et un
dispositif de sécurité portatif, par exemple un jeton à mémoire,
une disquette, une carte à mémoire ou un disque à mémoire,
utilisés en combinaison avec des profils d'utilisateur, des
matrices électroniques de délégation et un logiciel de
sécurité.
- c) Le contrôle d'accès physique devrait comprendre notamment
l'établissement de zones d'accès réservé, des salles fermées à
clé ou des dispositifs de sécurité rattachés à l'ordinateur. Le
nombre et la nature des mécanismes de contrôle d'accès des divers
éléments du système reposent sur les résultats des évaluations de
la menace et des risques.
- d) Il faudrait aussi tenir des registres de contrôle d'accès
logique et physique et établir des procédures en matière de
rapport pour pouvoir cerner les problèmes rapidement et prendre
immédiatement les mesures correctives qui s'imposent.
- (ii) Gestion de clés
- a) Il faut établir des politiques et des procédures de
gestion de clés afin de protéger les clés (comme les mots de
passe, les codes d'authentification et autres dispositifs de
sécurité) utilisées pour autoriser et authentifier des
opérations, de même que les clés ayant servi à produire d'autres
clés, les algorithmes cryptographiques, les fichiers et les
programmes d'autorisation et d'authentification ainsi que les
dispositifs de sécurité.
- b) La gestion de clés vise également le cycle de vie complet
du matériel de cryptage : création, distribution, application,
homologation, entreposage, archivage et destruction des
certificats et des clés.
- (iii) Vérification
- a) Le système et les processus d'autorisation et
d'authentification électroniques devraient pouvoir faire l'objet
d'une vérification complète. La piste de vérification devrait
comprendre les matrices de délégation, les profils d'utilisateur
et l'ensemble des données et des fichiers d'autorisation et
d'authentification électroniques nécessaires pour reconstituer
dans l'ordre les événements et les opérations traitées.
c) Lorsqu'un ministère envisage de mettre en place un système
d'autorisation et d'authentification électroniques, l'équipe de
projet devrait comprendre des représentants des groupes de la
vérification et de la sécurité des technologies de
l'information.
d) Les besoins en matière d'autorisation et d'authentification
électroniques doivent être envisagés au début du cycle de vie des
systèmes d'application.
e) Les ministères ne doivent pas exiger des documents sur
papier signés lorsque ceux-ci ont été remplacés par un processus
et des signatures électroniques. Parallèlement, les ministères
peuvent décider qu'un système reposant sur le support papier est
une solution viable lorsque le traitement électronique n'est pas
possible, efficace ou rentable. Cette décision devrait être prise
à la suite d'une évaluation de la menace et des risques et, s'il
y a lieu, d'une étude de rentabilisation.
|