CHAPITRE 8 - SÉCURITÉ DE LA TECHNOLOGIE DE L’INFORMATION 

800. GÉNÉRALITÉS

1. Objet et portée
   
   
   1. Le présent chapitre établit les normes opérationnelles dans l'industrie canadienne pour la conservation de l'information gouvernementale traitée, archivée ou transmise électroniquement. Ce chapitre s'applique également à la conservation des biens technologiques.
      
      
   2. En plus de ces normes, celles sur la sécurité administrative, organisationnelle, matérielle et celles s'adressant au personnel exposées dans ce manuel s'appliquent également à l'environnement de la technologie de l'information.
      
      
   3. La Politique gouvernementale en matière de sécurité exige que le degré de protection accordé par l'industrie soit adapté au niveau de la sécurité de l'information et des biens, de même qu'aux menaces et aux risques connexes. Sans mesures de conservation adéquates, on pourrait compromettre la sécurité, l'intégrité et la disponibilité des systèmes et des services d'information.
      
      
2. Fonctions et attributions
   
   Les institutions gouvernementales doivent protéger les renseignements et les biens PROTÉGÉ et CLASSIFIÉS placés sous leur contrôle. En ce qui a trait aux contrats attribués par le gouvernement au secteur privé, l'autorité contractante doit s'assurer que les exigences de la Politique gouvernementale en matière de sécurité sont respectées et que les normes de sécurité sont appliquées. Les normes de sécurité reproduites dans la Politique gouvernementale en matière de sécurité, dans le chapitre consacré aux normes sur la technologie de l’information, constituent les normes minimums à respecter pour la sécurité dans le secteur privé. On peut consulter la Norme de sécurité technique dans le domaine de la technologie de l'information sur le site Web suivant :
   
   http://www.rcmp-grc.gc.ca/tsb/index.htm.
   
   
3. Lignes directrices
   
   Pour obtenir des évaluations, des conseils et des lignes directrices sur ces normes, on peut consulter la DSICI.

801. ORGANISATION AND ADMINISTRATION

1. Organisation
   
   Selon la taille des installations de technologie de l'information de l'organisation, la complexité de la partie des contrats de rapportant à la sécurité de la technologie de l'information et le nombre de contrats à mener de front, l'organisation peut être appelée à nommer à temps plein un responsable de la sécurité de la technologie de l'information. On doit discuter, avec les DSICI, des questions relatives à cette politique.
   
   
2. Planification
   
   
   1. La rentabilité de la sécurité de la technologie de l'information dépend de la planification, qui doit elle-même tenir compte de toutes les phases de la durée utile d'un système, à partir de la création des documents d'origine en passant par les opération initiales d'entrée de l'information, la communication et le traitement jusqu'à l'archivage, à l'extraction, à la production et à l'élimination. En outre, les plans doivent tenir compte des liens entre la sécurité matérielle et du personnel d'une part et, d'autre part, les impératifs de sécurité, de confidentialité, d'intégrité et de disponibilité de la technologie de l'information. À cause des considérations relatives à la sécurité des émissions (TEMPEST), les plans doivent également tenir compte des exigences relatives à la sécurité des communications électroniques (COMSEC), même si le système d'information actuel ne comprend pas de liens de communications. On doit toujours appliquer les mesures TEMPEST en fonction de la menace définie dans l'évaluation de la menace et des risques.
      
      
   2. Tous les programmes de sécurité comprennent une structure organisationnelle et des procédures administratives qui appuient les trois sous-systèmes de la sécurité matérielle, de la sécurité de la technologie de l'information et de la sécurité du personnel. Ces sous-systèmes sont intimement liés, de sorte que dans l'ensemble, l'efficacité du système de sécurité dépend du rendement et, par conséquent, de la planification coordonnée de tous les sous-systèmes.

802. FONCTIONS ET ATTRIBUTIONS

1. Direction de la sécurité industrielle canadienne et internationale
   
   
   1. Dans tous les cas où on attribue, par l'entremise de TPSGC, un contrat à une organisation pour traiter électroniquement de l'information gouvernementale à l'aide de l'équipement de la technologie de l'information (TI), le BRSI prend des dispositions pour procéder à une inspection de la TI et coordonne cette inspection. Le BRSI coordonne également les inspections de la TI pour motif grave.
      
      
   2. Le BRSI contacte directement l'organisation afin de discuter de la date de l'inspection et de finaliser cette date. L'équipe responsable de l'inspection pourrait être constituée de un à cinq membres; il se peut qu'on doive compter entre une demi-journée et deux semaines pour effectuer l'inspection, selon la complexité du contrat et d'autres facteurs comme le niveau de confidentialité des données.
      
      
   3. Lorsque l'équipe responsable de l'inspection de la TI a terminé son inspection, elle soumet un rapport au BRSI pour examen. Une copie de ce rapport est transmise à l'organisation pour suivi lorsque le BRSI a examiné le rapport et qu'il est d'accord avec les constatations qu'il renferme. L'organisation doit déposer un plan d'action pour l'application des recommandations dans un délai de 30 jours suivant la réception de ce rapport et doit rendre compte, à la DSICI, de la situation des recommandations en cours à intervalles réguliers, généralement une fois par mois. La DSICI fait parvenir à l'organisation une lettre d'appel lorsque le rapport sur la situation de l'inspection doit être déposé.
      
      
   4. Il est absolument essentiel de se rappeler que les recommandations doivent obligatoirement être appliquées, alors que les suggestions représentent de saines pratiques professionnelles; bien qu'il ne soit pas obligatoire d'appliquer les suggestions, l'organisation doit éventuellement les mettre en oeuvre.
      
      
   5. Le contenu du rapport n'est pas diffusé en dehors de la DSICI sans l'autorisation expresse de l'organisation.
      
      
   6. Si les données nécessitent des mesures de protection TEMPEST, la DSICI demande au Centre de la sécurité des télécommunications (CST) d'en vérifier l'à-propos. Il faut alors soit tester l'équipement pour s'assurer qu'il est conforme aux normes TEMPEST, soit assister, comme témoin, à l'essai final de l'enceinte blindée.
      
      
   7. CST adresse également un rapport à la DSICI; toutefois, ce rapport ne fait état que de la situation de l'équipement ou du blindage et des mesures correctives recommandées, le cas échéant. Lorsque l'équipement ou le blindage ont subi avec succès tous les essais et toutes les inspections nécessaires, le groupe COMSEC de TPSGC délivre un certificat pour confirmer que cet équipement ou ce blindage sont satisfaisants.
      
      
2. Entrepreneur
   
   
   1. La DSICI doit approuver les installations de technologie de l'information de l'entrepreneur principal avant qu'il traite l'information gouvernementale. Toutefois, il appartient à l'entrepreneur principal de s'assurer qu'on précise aux sous-traitants les exigences relatives à la sécurité de la technologie de l'information, que ces sous-traitants les respectent et qu'à la fin des contrats de sous-traitance, il ne reste pas d'information résiduelle dans les ordinateurs des sous-traitants ou dans d'autres secteurs.
      
      
   2. Le BRSI et CST communiquent, s'il y a lieu, avec l'organisation (entrepreneur principal), pour prendre des dispositions afin de procéder à une inspection ou à un essai et pour finaliser le calendrier d'inspection ou d'essai.
      
      
   3. L'organisation doit prendre des dispositions pour fournir à l'équipe chargée de l'inspection de la TI, pendant la réunion de lancement de l'inspection, un exemplaire de ses procédures opérationnelles et de ses procédures de sécurité de TI, de ses organigrammes et la liste du personnel à contacter, ainsi que les numéros de téléphone, pour les remettre à l'équipe chargée de l'inspection de la TI. Dans certains cas, le chef de l'équipe responsable de l'inspection pourra demander une visite préliminaire, dans un délai de deux à quatre semaines avant la date prévue pour l'inspection, afin de se réunir avec le personnel, de visiter l'installation et de prendre les documents à étudier.
      
      
   4. À la fin de l'inspection, l'équipe responsable de l'inspection de la TI tient une séance de débreffage pour faire connaître ses constatations à l'entrepreneur. L'organisation doit alors profiter de cette occasion pour préciser des points ou pour discuter des solutions proposées. La documentation demandée auparavant sera retournée pendant la réunion avec le CST, lorsqu'elle aura pu en vérifier l'à-propos. Il faudra alors soit tester l'équipement pour s'assurer qu'il est conforme aux normes TEMPEST, soit assister, comme témoin, à l'essai final de l'enceinte blindée.
      
      
   5. CST transmettra également un rapport à la DSICI; toutefois, ce rapport ne portera que sur la situation de l'équipement ou du blindage et comprendra des recommandations sur les mesures correctives, le cas échéant. Lorsque l'équipement ou le blindage auront subi avec succès tous les essais et toutes les inspections nécessaires, le Groupe COMSEC de TPSGC délivrera un certificat indiquant que cet équipement ou ce blindage sont satisfaisants.
      
      Par la suite, la DSICI fera parvenir une lettre d'appel à l'organisation pour lui demander de lui soumettre un rapport de situation à jour sur l'ensemble des recommandations et des suggestions faites par l'équipe chargée de l'évaluation de la sécurité et de l'inspection et que cette organisation est en train d'appliquer. En donnant suite à cette demande de rapport de situation à jour, l'organisation doit indiquer la situation de chaque recommandation, en employant les mots clés, accompagnés des détails essentiels, dans les cas nécessaires. Voici ces mots clés.
      
      
      1. Mis en oeuvre : l'organisation doit indiquer comment la recommandation a été mise en oeuvre (par exemple, en utilisant ou en mettant à niveau un logiciel, le matériel ou les procédures, entre autres);
         
         
      2. Actif : l'organisation doit indiquer les activités exercées, les responsables et les dates auxquelles on s'attend à ce que les recommandations soient appliquées;
         
         
      3. Reporté : l'organisation doit indiquer les raisons pour lesquelles la mise en oeuvre des recommandations a été retardée et la date à laquelle elle s'attend de recommencer à mettre en oeuvre ces recommandations;
         
      4. Rejeté : l'organisation doit faire connaître les raisons essentielles pour lesquelles aucune mesure n'a été prise pour appliquer les recommandations.

803. EXIGENCES RELATIVES À LA SÉCURITÉ DES ÉMISSIONS (TEMPEST)

1. L'application des normes TEMPEST pour l'équipement de traitement des télécommunications ou de l'information électronique vise à protéger l'information contre les personnes non autorisées qui pourraient intercepter et analyser les émissions électromagnétiques.
   
   
2. La DSICI déterminera les mesures à prendre au titre des normes TEMPEST dans chaque cas particulier, en tenant compte de menace et des risques.

804. EXIGENCES RELATIVES À LA SÉCURITÉ DES TÉLÉCOMMUNICATIONS

En plus des considérations relatives aux normes TEMPEST, l'organisation qui doit transmettre de l'information gouvernementale sur des liaisons ou des réseaux de télécommunications doit protéger cette information en faisant appel à des mesures d'encryptage approuvées par le gouvernement ou à d'autres mesures approuvées par le Groupe COMSEC par exemple des circuits approuvés (et dotés de moyens de protection matérielle). La DSICI doit être mise au courant de ces exigences le plus rapidement possible. Dans ces cas, elle donnera des instructions et des directives propres aux systèmes de sécurité des communications en cause.

805. SÉCURITÉ DES RENSEIGNEMENTS ET DES BIENS RELATIVEMENT À LA SÉCURITÉ DES COMMUNICATIONS (COMSEC)

1. Le matériel COMSEC comprend l'ensemble des documents, des dispositifs, des biens d'équipement ou des appareils et du matériel cryptographique utilisés dans l'établissement ou le maintien des communications protégées. On entend par « matériel cryptographique » l'ensemble des dispositifs renfermant l'information essentielle à l'encryptage, au décryptage ou à l'authentification des communications, y compris les documents, les dispositifs ou les biens d'équipement.
   
   
2. L'organisation qui doit, conformément à des exigences confirmées, conserver du matériel COMSEC doit ouvrir un compte COMSEC auprès de la DSICI et désigner un responsable des ressources COMSEC et un gardien COMSEC substitut, qui seront, avec l'agent de sécurité d'entreprise, responsables de la conservation de ce matériel.
   
   
3. À cause du caractère confidentiel particulier du matériel COMSEC le Guide du contrôle du matériel industriel COMSEC et le Manuel de la sécurité industrielle renferment un ensemble complet de règles et de procédures pour le traitement et la conservation du matériel COMSEC Toutes les organisations qui doivent détenir du matériel COMSEC doivent se procurer un exemplaire du Guide de contrôle du matériel industriel COMSEC.

 Chapitre 9