
	Au sujet de
	Enquête de sécurité sur le personnel
	Enquête de sécurité sur les organismes
	Sécurité des contrats
	Sécurité internationale
	Programme mixte d'agrément
	Formulaires
	Q P F
		Pogramme de sécurité industrielle
		Attestations de sécurité des organismes
		Enquête de sécurité sur le personnel
		Organization des visites
	•	Sécurité des technologies de l'information
	Manuel de la sécurité industrielle
	Bulletins
	Liens
	Recherche

SÉCURITÉ DES TECHNOLOGIES DE L'INFORMATION

Qu'est-ce que la sécurité de la technologie de l'information (TI)?
Lorsqu'un marché est attribué à une entreprise ou qu'un contrat lui est confié en sous-traitance par une autre entreprise, pour traiter l'information CLASSIFIÉE/PROTÉGÉE de l'État à l'aide d'un ordinateur, il faut veiller à la sécurité de la TI. On doit tenir compte des exigences relatives à la sécurité de la TI, peu importe les travaux à exécuter. Il peut s'agir soit de l'enregistrement de données, soit de la prestation de services complets en matière de gestion des installations. Deux conditions doivent être respectées pour que les exigences en matière de sécurité de la TI s'appliquent : les données doivent être classifiées/désignées, et on doit se servir des ressources de la TI dans le traitement de l'information contractuelle.

REMARQUE : Bien que seule l'information susmentionnée ait été identifiée comme étant une exigence, cette dernière pourrait également être un processus, comme l'élaboration d'un programme d'application.

Pourquoi faut-il assurer la sécurité de la technologie de l'information?

La réponse à cette question est simple : on peut ainsi s'assurer que l'information CLASSIFIÉE/PROTÉGÉE de l'État qui est confiée à l'entreprise ne sera pas perdue, ni détruite, modifiée ou compromise. L'information peut être fournie par l'État, élaborée par l'entreprise ou produite par un autre entrepreneur.

Suffit-il d'obtenir une attestation de VOD ou une ASI pour traiter l'information CLASSIFIÉE/PROTÉGÉE de l'État?

Non. L'entreprise doit obtenir une attestation de vérification d'organisation désignée (VOD) ou une attestation de sécurité d'installation (ASI), accompagnée d'une capacité appropriée pour la sauvegarde de documents, avant d'être autorisée à se servir des ressources de la TI pour traiter l'information de nature CLASSIFIÉE/PROTÉGÉE de l'État.

Qui s'assure que l'on traite l'information CLASSIFIÉE/PROTÉGÉE de l'État de façon sécuritaire?

L'examen de la sécurité peut être effectué par un agent régional de la sécurité industrielle (ARSI) ou un membre de la Direction de la sécurité de la technologie de l'information de Travaux publics et Services gouvernementaux Canada (TPSGC). Règle générale, seule une des deux organisations effectuera un examen de la sécurité de la TI et le choix d'une organisation dépend du degré de sensibilité des données, de la complexité du contrat et du lieu géographique de l'entreprise. La décision revient à la Direction de la sécurité de la technologie de l'information de TPSGC.

Que vérifie-t-on pendant un examen de la sécurité de la TI?

Tout dépend de la complexité des travaux à effectuer, du degré de sensibilité des données et si l'entreprise se servira d'un ordinateur personnel autonome ou d'un réseau local. En principe, un examen de la sécurité de la technologie de l'information porte sur les sept domaines suivants en matière de la sécurité de la TI. la sécurité de l'organisation et de l'administration; la sécurité du personnel; la sécurité physique et environnementale; la sécurité du matériel; la sécurité des communications; la sécurité des logiciels; la sécurité des opérations.
Qui peut s'occuper de la sécurité de la TI au sein de l'entreprise?

Tous ceux et celles qui participent au contrat, y compris le personnel chargé de la maintenance des systèmes et des applications informatiques, de l'entrée, de la mise à jour, de la suppression, de l'archivage, du traitement ou de la transmission de l'information, ainsi que des services nécessaires au bon fonctionnement du système informatique. En fait, la sécurité de la TI est une responsabilité qui revient à tous ceux et celles qui participent au contrat. REMARQUE : Dans le cadre du processus, l'entreprise commence par nommer un agent de sécurité de la TI. Cet agent doit avoir de l'expérience en TI; selon le degré de complexité des travaux et l'ampleur des opérations informatiques, cette fonction peut être confiée, dans la plupart des cas, à l'agent de sécurité de l'entreprise.

Dans la définition officielle de la sécurité de la TI, on trouve le terme «menace». Qu'entend-on par là ?

Une menace est un fait ou un acte potentiel qui peut avoir une ou plusieurs des répercussions suivantes : la divulgation, la destruction, la suppression, la modification ou l'interruption non autorisées de renseignements, de biens ou de services de nature CLASSIFIÉE / PROTÉGÉE, ou même le risque de blessures. Une menace peut être délibérée ou accidentelle. Une offensive concentrée menée par des pirates informatiques à l'intérieur ou à l'extérieur d'une organisation constitue un exemple de menace.

Comment la sensibilisation à la sécurité peut-elle bénéficier à mon entreprise?

Le fait de sensibiliser la direction et le personnel aux questions et aux pratiques relatives à la sécurité de la TI permet de réduire considérablement le nombre d'incidents de sécurité de TI, par exemple ceux qui sont causés par des erreurs humaines, des virus informatiques et des pirates.

Si une demande de propositions prévoit le traitement d'information CLASSIFIÉE/PROTÉGÉE de l'État, mon entreprise doit-elle évaluer le programme actuel de sécurité de la TI?

Non. Un examen de la sécurité de la TI sera effectué chez le soumissionnaire retenu seulement.

Notre entreprise traitera l'information CLASSIFIÉE/PROTÉGÉE de l'État sur un réseau. Notre serveur réseau se trouve dans une autre ville. Devons-nous autoriser ce site en fonction de notre programme de sécurité de la TI?

Oui.

La DSICI a approuvé notre organisation pour la production de documents et de données électroniques au niveau Protégé B, mais cette approbation n'est plus en vigueur. On nous a attribué un autre contrat et nous utiliserons le même équipement que celui utilisé dans le cadre du contrat précédent. Devons-nous subir sur place une autre inspection de sécurité de la TI?

Oui. Toutefois, il pourra s'agir d'une simple vérification pour confirmer que l'équipement, les logiciels et les procédures de l'entreprise, entre autres, n'ont pas changé.

Où devrions-nous conserver nos supports de sauvegarde qui renferment de l'information CLASSIFIÉE/PROTÉGÉE de l'État?

Les supports de sauvegarde devraient être conservés au sein d'une organisation qui n'est pas soumise aux mêmes menaces que nous. Cette organisation doit obtenir une attestation de VOD ou une ASI, accompagnée d'une capacité pour la sauvegarde de documents du moins au même niveau que pour l'information contenue dans les supports.

Dois-je soumettre à un programme de détection des virus tous les supports électroniques que j'utilise, si je ne m'en suis jamais servi auparavant?

Oui. Vous devez soumettre à la version la plus récente d'un programme de détection des virus tous les supports électroniques destinés au traitement d'information CLASSIFIÉE/PROTÉGÉE de l'État.
Comment puis-je m'assurer qu'on ne peut pas récupérer, à la fin d'un contrat, l'information CLASSIFIÉE/PROTÉGÉE de l'État sur le disque dur du système?

Tout dépend de la sensibilité de l'information reproduite sur le support informatique; la méthode la plus facile consiste à formater trois fois le disque dur du système à l'aide de l'option a:/u (unconditional).

		Mise à jour par la DSICI	Avis importants
		Dernière mise à jour: 2006-5-2