|
||||||||||||
Vous venez d’aboutir sur une page faisant partie des archives Web du ministère de la Sécurité publique et de la Protection civile du Canada. Il est possible que ce document ne soit plus à jour. Veuillez consulter le site remanié de SPPCC pour obtenir de l’information à jour.
|
|
Note d'information numéro : IN02-005 L'objet de cette note est d'aider les spécialistes de la sécurité à déterminer des stratégies de gestion du risque en ce qui concerne les renseignements de nature délicate qui, s'ils étaient du domaine public, pourraient exposer davantage les infrastructures essentielles (IE) à un plus grand risque. On encourage les propriétaires et exploitants des IE à tenir compte de ces critères lorsqu'ils décident s'il y a lieu de permettre l'accès à des renseignements par l'entremise de l'Internet ou par d'autres moyens. Introduction Le conseiller spécial du président en matière de sécurité cybernétique aux États-Unis, Richard Clarke, a dit récemment que le groupe Al-Qa'ida recueillait des renseignements utiles à partir de sites Web publics. Selon M. Clark : « Si vous mettez ensemble tous les renseignements non classifiés, parfois cela constitue un tout qui devrait être classifié. » M. Clarke a aussi déclaré que certains indices démontrent que d'autres groupes et États terroristes pourraient se livrer à des activités de cueillettes de renseignements semblables. La Maison-Blanche a donné aux bureaux fédéraux l'ordre d'examiner le contenu de leurs sites Web pour déterminer l'existence de renseignements de nature délicate et de faire part de ses conclusions au Bureau de la sécurité intérieure (Office of Homeland Security) avant le 19 juin 2002. Le Bureau de la protection des infrastructures essentielles et de la
protection civile (BPIEPC) reconnaît que le gouvernement et l'industrie
privée doivent trouver un équilibre entre les renseignements
du domaine public et ceux qui sont protégés. Dans le but
d'augmenter la sensibilisation à ce problème, le BPIEPC
a, le 17 janvier 2002, publié un Avis de sécurité
sur les « Menaces potentielles en raison de la cueillette de renseignements
à partir de sites Web » (http://www.ocipep-bpiepc.gc.ca/emergencies/advisories/AV02-002_f.asp)
et une Note d'information sur Renseignements de nature délicate accessibles
au public Le terme « renseignements de nature délicate » utilisé dans la présente évaluation fait référence à toute information qui permettrait à une personne malveillante de choisir une cible, ou d'obtenir des renseignements à son sujet, sans qu'elle ait à l'évaluer matériellement. Les questions qui suivent aideront les spécialistes de la sécurité à examiner les renseignements de nature délicate qui ont été mis à la disposition du public ou qui pourraient l'être.
Une connaissance de l'environnement de sécurité aidera les propriétaires et exploitants des IE à décider du niveau de vigilance avec lequel ils examinent les renseignements de nature délicate. Les risques qui découlent de l'accessibilité du public aux renseignements de nature délicate proviennent, à la fois, de menaces déterminées et opportunistes. Facteurs qui augmentent les risques de menaces déterminées L'objectif primaire de la menace déterminée est de décider comment déployer ses ressources limitées pour causer le plus grand impact possible à une cible bien précise. La personne malveillante aura déjà beaucoup réfléchi sur le choix de la cible et sur la façon de produire le maximum d'impact visuel ou opérationnel. Le choix de la cible a probablement été influencé par un nombre de facteurs préexistants y compris l'idéologie, les griefs personnels, les objectifs stratégiques et le désir de notoriété. Une fois la cible choisie, l'auteur de la menace déterminée consacrera beaucoup de temps et d'efforts pour acquérir autant de renseignements de nature délicate que possible au sujet de la cible choisie et de son environnement. Souvent, la personne malveillante n'aura pas les moyens d'obtenir des renseignements précis de sources clandestines ou ne sera pas prédisposée à le faire. Elle cherchera plutôt à se fier aux sources ouvertes, comme l'Internet, les médias et les bibliothèques pour recueillir une mine de renseignements qu'il est possible d'obtenir de façon relativement anonyme. Les renseignements recueillis seront examinés soigneusement pour trouver des détails qui pourraient aider à planifier l'attaque sur la cible, y compris des précisions au sujet de la sécurité et de la vulnérabilité de celle-ci. Le tableau présenté à l'Annexe 1 précise les catégories universelles de renseignements de nature délicate qui, s'ils devaient être communiqués au public, pourraient exposer les éléments d'IE à de plus grands risques de menaces déterminées. On encourage les propriétaires et exploitants d'IE d'utiliser ces catégories pour déterminer les occasions où la pertinence à leurs propres installations et opérations existe. Facteurs qui augmentent les risques en provenance
de menaces opportunistes Par opposition à une menace déterminée, l'objectif
primaire d'une personne malveillante opportuniste est de décider
où déployer ses ressources pour causer le plus grand impact
possible à des cibles perçues comme ayant une valeur similaire.
Ce type de personne cherche à obtenir des quantités significatives
de renseignements comparatifs sur des cibles potentielles et des environnements.
Le choix de cible sera probablement influencé davantage par des
considérations d'ordre pratique que par des objectifs idéologiques,
personnels ou stratégiques. Les critères qui font qu'un bien soit une cible inattendue intéressante peuvent comprendre des détails au sujet de sa criticité, de son accessibilité, de sa récupérabilité, de sa vulnérabilité, de son caractère reconnaissable et de son interdépendance relatifs. Le risque que posent des éléments d'information de nature délicate à un bien peut être influencé par des facteurs comme :
Après avoir déterminé une cible précise grâce à une analyse comparative, la menace opportuniste comprendra l'une de deux méthodes suivantes. Premièrement, la personne malveillante peut attaquer la cible impulsivement avec très peu de planification additionnelle. Deuxièmement, la menace opportuniste peut devenir une menace déterminée si l'attaque est planifiée de façon méthodique et élaborée. Stratégies de gestion du risque Le BPIEPC recommande que les propriétaires et exploitants d'infrastructures
essentielles (IE) examinent la disponibilité de renseignements
de nature délicate en tenant compte des menaces déterminées
et opportunistes. Les propriétaires et exploitants des IE devraient
prendre en considération le fait qu'il n'y aura peut-être
pas suffisamment de temps pour retirer du domaine public des informations
potentiellement compromettantes une fois qu'une menace précise
ait été déterminée. Il pourrait aussi y avoir
des occasions, comme des sites d'archivage sur Internet ou dans des installations
collectives, où il est impossible de retirer de façon permanente
des renseignements du domaine public. Les propriétaires et exploitants
pourront accroître leurs objectifs de protection des IE en reconnaissant
le risque que provoquent de tels événements et en révisant
leurs plans de protection en conséquence. Annexe 1 : Catégories de renseignements potentiellement
sensibles
*Le terme « biens critiques » signifie
les données, les communications, les structures et systèmes
opérationnels et en énergie qui sont nécessaires
pour soutenir la continuité des opérations.
Le rôle du BPIEPC est d'ofrir un leadership national en matière de protection des infrastructures essentielles et de gestion efficace des relatifs urgences. Pour remplir ces fonctions, le BPIEPC recueille des renseignements ayant rapport aux menaces cybernétiques et matérielles aux infrastructures essentielles (IE) du Canada ainsi qu’aux incidents les concernant. Ces renseignements permettent au BPIEPC de surveiller et d’analyser les menaces à nos IE et de diffuser des alertes et des avis de sécurité, ainsi que d’autres produits d’information à nos partenaires. Pour signaler au BPIEPC des menaces ou des incidents relatifs aux IE, veuillez communiquer avec notre centre de coordination des opérations au (613) 991-7000 ou à : opscen@bpiepc-ocipep.gc.ca sur Internet. L'utilisation non autorisée des systèmes informatiques et les méfaits relatifs aux données constituent une grave infraction au Code criminel canadien. Si une personne est trouvée coupable d'une telle infraction, elle est passible d'emprisonnement pour une période n'excédant pas dix ans. Toute activité criminelle présumée doit être signalée immédiatement à un organisme local d'application de la loi. Le Centre national des opérations (CNO) de la GRC est disponible tous les jours, 24 heures sur 24, pour recevoir de tels rapports ou pour réacheminer les appels aux organismes locaux d'application de la loi. Vous pouvez rejoindre le CNO au (613) 993-4460. Les préoccupations portant sur la sécurité nationale doivent être signalées au Service canadien du renseignement de sécurité (SCRS). Pour des renseignements généraux sur le BPIEPC, veuillez contacter notre Direction des Affaires publiques au : Par Téléphone : (613) 991-4875 ou 1-800-830-3118Par Télécopieur : (613) 998-9589 Par Courriel : communications@bpiepc.gc.ca Site Web : www.bpiepc-ocipep.gc.ca |
Mise à jour : 12/30/1899 | Avis importants |