![](/web/20061026001806im_/http://www.ciisd.gc.ca/images/misc/spacer.gif) |
SÉCURITÉ DES TECHNOLOGIES DE L'INFORMATION
- Qu'est-ce que la sécurité de la technologie de l'information (TI)?
Lorsqu'un marché est attribué à une entreprise
ou qu'un contrat lui est confié en sous-traitance par une autre entreprise,
pour traiter l'information CLASSIFIÉE/PROTÉGÉE
de l'État à l'aide d'un ordinateur, il faut veiller à la sécurité de
la TI. On doit tenir compte des exigences relatives à la sécurité de
la TI, peu importe les travaux à exécuter. Il peut s'agir soit de l'enregistrement
de données, soit de la prestation de services complets en matière de
gestion des installations. Deux conditions doivent être respectées pour
que les exigences en matière de sécurité de la TI s'appliquent : les
données doivent être classifiées/désignées, et on doit se servir des
ressources de la TI dans le traitement de l'information contractuelle.
REMARQUE : Bien que seule l'information susmentionnée ait été identifiée
comme étant une exigence, cette dernière pourrait également être un
processus, comme l'élaboration d'un programme d'application.
- Pourquoi faut-il assurer la sécurité de la technologie de l'information?
La réponse à cette question est simple : on peut
ainsi s'assurer que l'information CLASSIFIÉE/PROTÉGÉE
de l'État qui est confiée à l'entreprise ne sera pas perdue, ni détruite,
modifiée ou compromise. L'information peut être fournie par l'État,
élaborée par l'entreprise ou produite par un autre entrepreneur.
- Suffit-il d'obtenir une attestation de VOD ou une ASI pour traiter
l'information CLASSIFIÉE/PROTÉGÉE de l'État?
Non. L'entreprise doit obtenir une attestation
de vérification d'organisation désignée (VOD) ou une attestation de
sécurité d'installation (ASI), accompagnée d'une capacité appropriée
pour la sauvegarde de documents, avant d'être autorisée à se servir
des ressources de la TI pour traiter l'information de nature CLASSIFIÉE/PROTÉGÉE
de l'État.
- Qui s'assure que l'on traite l'information CLASSIFIÉE/PROTÉGÉE
de l'État de façon sécuritaire?
L'examen de la sécurité peut être effectué par
un agent régional de la sécurité industrielle (ARSI) ou un membre de
la Direction de la sécurité de la technologie de l'information de Travaux
publics et Services gouvernementaux Canada (TPSGC). Règle générale,
seule une des deux organisations effectuera un examen de la sécurité
de la TI et le choix d'une organisation dépend du degré de sensibilité
des données, de la complexité du contrat et du lieu géographique de
l'entreprise. La décision revient à la Direction de la sécurité de la
technologie de l'information de TPSGC.
- Que vérifie-t-on pendant un examen de la sécurité de la TI?
Tout dépend de la complexité des travaux à effectuer,
du degré de sensibilité des données et si l'entreprise se servira d'un
ordinateur personnel autonome ou d'un réseau local. En principe, un
examen de la sécurité de la technologie de l'information porte sur les
sept domaines suivants en matière de la sécurité de la TI. la sécurité
de l'organisation et de l'administration; la sécurité du personnel;
la sécurité physique et environnementale; la sécurité du matériel; la
sécurité des communications; la sécurité des logiciels; la sécurité
des opérations.
- Qui peut s'occuper de la sécurité de la TI au sein de l'entreprise?
Tous ceux et celles qui participent au contrat,
y compris le personnel chargé de la maintenance des systèmes et des
applications informatiques, de l'entrée, de la mise à jour, de la suppression,
de l'archivage, du traitement ou de la transmission de l'information,
ainsi que des services nécessaires au bon fonctionnement du système
informatique. En fait, la sécurité de la TI est une responsabilité qui
revient à tous ceux et celles qui participent au contrat. REMARQUE :
Dans le cadre du processus, l'entreprise commence par nommer un agent
de sécurité de la TI. Cet agent doit avoir de l'expérience en TI; selon
le degré de complexité des travaux et l'ampleur des opérations informatiques,
cette fonction peut être confiée, dans la plupart des cas, à l'agent
de sécurité de l'entreprise.
- Dans la définition officielle de la sécurité de la TI, on trouve le
terme «menace». Qu'entend-on par là ?
Une menace est un fait ou un acte potentiel qui
peut avoir une ou plusieurs des répercussions suivantes : la divulgation,
la destruction, la suppression, la modification ou l'interruption non
autorisées de renseignements, de biens ou de services de nature CLASSIFIÉE / PROTÉGÉE,
ou même le risque de blessures. Une menace peut être délibérée ou accidentelle.
Une offensive concentrée menée par des pirates informatiques à l'intérieur
ou à l'extérieur d'une organisation constitue un exemple de menace.
- Comment la sensibilisation à la sécurité peut-elle bénéficier à mon
entreprise?
Le fait de sensibiliser la direction et le personnel
aux questions et aux pratiques relatives à la sécurité de la TI permet
de réduire considérablement le nombre d'incidents de sécurité de TI,
par exemple ceux qui sont causés par des erreurs humaines, des virus
informatiques et des pirates.
- Si une demande de propositions prévoit le traitement d'information
CLASSIFIÉE/PROTÉGÉE de l'État, mon entreprise doit-elle
évaluer le programme actuel de sécurité de la TI?
Non. Un examen de la sécurité de la TI sera effectué
chez le soumissionnaire retenu seulement.
- Notre entreprise traitera l'information CLASSIFIÉE/PROTÉGÉE
de l'État sur un réseau. Notre serveur réseau se trouve dans une autre
ville. Devons-nous autoriser ce site en fonction de notre programme
de sécurité de la TI?
Oui.
- La DSICI a approuvé notre organisation pour la production de documents
et de données électroniques au niveau Protégé B, mais cette approbation
n'est plus en vigueur. On nous a attribué un autre contrat et nous utiliserons
le même équipement que celui utilisé dans le cadre du contrat précédent.
Devons-nous subir sur place une autre inspection de sécurité de la TI?
Oui. Toutefois, il pourra s'agir d'une simple vérification
pour confirmer que l'équipement, les logiciels et les procédures de
l'entreprise, entre autres, n'ont pas changé.
- Où devrions-nous conserver nos supports de sauvegarde qui renferment
de l'information CLASSIFIÉE/PROTÉGÉE de l'État?
Les supports de sauvegarde devraient être conservés
au sein d'une organisation qui n'est pas soumise aux mêmes menaces que
nous. Cette organisation doit obtenir une attestation de VOD ou une
ASI, accompagnée d'une capacité pour la sauvegarde de documents du moins
au même niveau que pour l'information contenue dans les supports.
- Dois-je soumettre à un programme de détection des virus tous les
supports électroniques que j'utilise, si je ne m'en suis jamais servi
auparavant?
Oui. Vous devez soumettre à la version la plus
récente d'un programme de détection des virus tous les supports électroniques
destinés au traitement d'information CLASSIFIÉE/PROTÉGÉE
de l'État.
- Comment puis-je m'assurer qu'on ne peut pas récupérer, à la fin d'un
contrat, l'information CLASSIFIÉE/PROTÉGÉE de l'État
sur le disque dur du système?
Tout dépend de la sensibilité de l'information
reproduite sur le support informatique; la méthode la plus facile consiste
à formater trois fois le disque dur du système à l'aide de l'option
a:/u (unconditional).
|