La présente politique, qui entre en vigueur le 26 avril 2004, remplace la Politique
de gestion de l'Infrastructure à clé publique du gouvernement du Canada
en date du 27 mai 1999. Le titre abrégé de cette politique est la Politique
sur l'ICP du gouvernement.
La présente politique s'applique à tous les ministères énumérés à l'Annexe
I, à l'Annexe I.1
et à l'Annexe II de
la Loi sur la gestion des finances publiques (LGFP).
Elle s'applique également à :
1. Toute commission assujettie à la Loi
sur les enquêtes désignée comme un ministère par décret du
Gouverneur en conseil aux fins de la LGFP;
2. Aux Forces canadiennes, à condition que toute référence aux
fonctionnaires dans la présente politique exclut les membres des Forces
armées.
D'autres organismes et sociétés d'État peuvent également conclure des
ententes avec le Secrétariat
du Conseil du Trésor du Canada relativement à l'adoption des modalités de
la présente politique et à leur application au sein de leur organisation.
Les ministères, les commissions, les organismes, les sociétés d'État
ainsi que les Forces canadiennes assujettis à la présente politique, ou qui
décident de l'adopter, seront désignés ci-après comme des « ministères ».
Le gouvernement du Canada a choisi d'adopter la technologie de clé publique
comme moyen privilégié d'authentification
électronique des personnes et des documents. Les infrastructures à clé
publique, qui se fondent sur les principes de la cryptographie à clé publique,
permettent de coder les données et d'utiliser les signatures
numériques pour effectuer et faciliter les transactions électroniques
protégées.
L'une des composantes de l'Infrastructure
à clé publique concerne l'autorité de certification - une entité
à laquelle on confie la responsabilité d'accorder une biclé publique/privée
à un particulier ou à une entité. L'autorité de certification émet des
clés; révoque des clés en cas de divulgation de documents confidentiels; et
émet des avis relatifs aux biclés révoquées.
Aux fins de la présente politique :
Abonné (Subscriber) - désigne
une entité ou une personne qui n'est pas fonctionnaire et à qui un certificat
est émis.
Authentification (Authentication)
- désigne l'acte qui consiste à vérifier (i) la validité de l'identité
d'une personne ou d'une entité, ou (ii) l'intégrité des données en format
électronique.
Autorisation (Authorization) -
désigne l'acte qui consiste à permettre à une personne ou à une entité ou
à vérifier si une personne ou une entité a obtenu la permission de poser un
geste ou d'obtenir quelque chose, y compris l'accès aux données en format
électronique, ainsi que l'autorisation et la modification de ces données.
Autorité d'accréditation (Accreditation
Authority) - désigne, à l'intérieur d'un ministère donné, une personne
ayant le pouvoir d'autoriser une entité à utiliser une ou plusieurs autorités
de certification dans ce ministère ainsi que d'accepter les risques résiduels
connexes. Le dirigeant principal de l'information du gouvernement du Canada est
responsable de l'accréditation de la Charnière fédérale canadienne de
l'Infrastructure à clé publique et des autorités de certification communes.
Autorité de certification (Certification
Authority) - désigne une entité responsable du fonctionnement d'un
serveur, ou de plusieurs serveurs, utilisés pour émettre et gérer des
certificats de clé publique et des listes de certificats.
Autorité de gestion des politiques (Policy
Management Authority) - désigne un comité qui regroupe le dirigeant
principal de l'information, des représentants des ministères et d'autres
personnes nommées dans le but de constituer l'autorité
de gestion des politiques de l'Infrastructure à clé publique du
gouvernement du Canada.
Autorité opérationnelle (Operational
Authority) - désigne une personne qui, au sein d'un ministère, est
responsable de l'administration d'une ou plusieurs autorités de certification
gérées par ce ministère.
Certificat de clé publique (Public Key
Certificate) - désigne la clé publique d'un utilisateur, ainsi que les
informations afférentes, portant une signature numérique calculée avec la
clé privée de l'autorité
de certification qui a émis le certificat. Le format du certificat est
conforme à la recommandation X.509 du Secteur de normalisation des
télécommunications de l'Union
internationale des télécommunications (UIT-T).
Charnière fédérale canadienne de l'Infrastructure à
clé publique (Canadian Federal Public Key Infrastructure
Bridge) - désigne une autorité de certification qui, sous l'égide de
l'autorité
de gestion des politiques, signe et gère les cocertificats avec les plus
hautes autorités de certification ministérielles ou communes et avec les
autorités de certification à l'extérieur du gouvernement du Canada. La
Charnière fédérale canadienne de l'Infrastructure à clé publique ne gère
pas les certificats des fonctionnaires ou des abonnés
mais encourage l'« interopérabilité » en servant de pont entre les diverses
autorités de certification ministérielles ou communes à l'intérieur de
l'Infrastructure à clé publique du gouvernement du Canada de même qu'entre
l'Infrastructure à clé publique du Canada et les autorités de certification
à l'extérieur du gouvernement.
Cocertificat (Cross-Certificate) -
désigne un certificat servant à établir un lien de confiance entre deux
autorités de certification.
Cocertification (Cross-Certification) -
désigne le processus entrepris par des autorités de certification afin
d'établir un lien de confiance. Les autorités de certification échangent
leurs cocertificats et permettent aux utilisateurs d'un certificat émis par
l'une d'elle de communiquer par des moyens électroniques sûrs avec les
utilisateurs de l'autre. Quand deux autorités de certification concluent une
entente de cocertification, elles acceptent de se faire mutuellement confiance
et de se fier aux certificats de clé publique et aux clés de l'autre comme si
elles les avaient émis elles-mêmes.
Clé (Key) - désigne une
séquence de symboles qui contrôle les processus de chiffrement et de signature
numérique.
Dépôt (Repository) - désigne un
système permettant de stocker des certificats ou d'autres renseignements
relatifs aux certificats et d'y accéder. Un annuaire X-500 constitue un exemple
de dépôt.
Dirigeant principal de l'information (Chief
Information Officer) - le dirigeant principal de l'information du
gouvernement du Canada.
Énoncé de pratiques de certification (Certification
Practice Statement) - désigne un énoncé exhaustif des mécanismes et
procédures qu'une autorité de certification emploie aux fins de l'émission et
de la gestion de certificats, conformément à une ou plusieurs politiques de
certification. Si une autorité de certification adopte plus d'une politique
de certification, l'énoncé de pratiques de certification doit contenir ou
mener à d'autres sources qui contiennent suffisamment de renseignements pour
démontrer en quoi les exigences inhérentes aux politiques de certification ont
été respectées.
Entité (Entity) - désigne une
association de deux personnes ou plus, une société, un partenariat, un trust,
une entreprise commune et autres formes d'organisation.
Fonctionnaire (Employee) -
désigne une personne employée par un ministère; pour plus de certitude, il
est entendu que ce terme ne comprend pas les abonnés.
Fournisseur de services (Service Provider) -
désigne une personne ou une entité qui offre des services ayant trait à un ou
plusieurs aspects de l'administration d'une autorité de certification. Un
fournisseur de services peut être un ministère ou une entité du secteur
privé.
Infrastructure à clé publique (Public
Key Infrastructure) - désigne l'ensemble des politiques, des processus,
des plates-formes de serveurs, des logiciels et des postes de travail utilisés
pour émettre et gérer des certificats et des clés.
Liste de certificats révoqués (Certificate
Revocation List) - désigne la liste qui énumère les certificats de clé
publique émis par une autorité de certification mais que cette autorité a
révoqués avant leur date d'échéance normale.
Partie utilisatrice (Relying Party) -
désigne une personne ou une entité autre que le détenteur du certificat qui
utilise un certificat signé par une autorité de certification pour vérifier
l'authenticité d'une signature numérique ou de données chiffrées.
Politique de certification (Certificate
Policy) - est un ensemble de règles définies qui régit l'application
d'un certificat
de clé publique à l'intérieur d'une collectivité ou d'une catégorie
d'applications comportant des exigences communes de sécurité. Elle indique si
un certificat convient à une application ou à une fin particulière. Une
autorité de certification peut adopter plus d'une politique de certification.
Président (President) - désigne
le président du Conseil du Trésor du Canada.
Projet pilote (Pilot Project) -
désigne la mise à l'essai à petite échelle de procédés et procédures qui
s'appliqueront à plus grande échelle s'il est prouvé que ces procédés et
procédures donnent de bons résultats au plan concret.
Registraire des dépôts (Registrar of
Repositories) - désigne, aux fins des dépôts de l'administration
fédérale, Travaux publics et Services gouvernementaux Canada ou toute autre
entité nommée par le Conseil canadien des normes aux fins de l'exécution des
fonctions du Registraire
canadien d'interconnexion de systèmes ouverts.
Secrétaire (Secretary) - désigne
le secrétaire du Conseil du Trésor du Canada.
Signature numérique (Digital
Signature) - désigne la transformation de données à l'aide d'un système
cryptographique utilisant des clés de manière à ce que la personne ou
l'entité qui reçoit les données initiales puisse déterminer si la
transformation s'est faite en utilisant la clé qui correspond à la clé de la
personne ou de l'entité qui a procédé à la transformation, et si les
données ont été modifiées depuis la transformation.
Le gouvernement a pour politique de favoriser et de gérer l'utilisation de
la cryptographie à clé publique dans le cadre de l'infrastructure de
technologie de l'information et de gestion de l'information commune, aux fins
suivantes :
1. Appuyer les objectifs gouvernementaux de transformation et d'amélioration
des services;
2. Favoriser et faciliter, à l'échelle du gouvernement du Canada, la mise
en oeuvre d'infrastructures à clé publique et en faire le mode privilégié
d'authentification de l'identité des personnes et des documents;
3. Favoriser et permettre le recours aux autorités de certification
communes;
4. Permettre et encourager la coopération et la collaboration entre les
autorités de certification du gouvernement et, en leur nom, avec d'autres
infrastructures publiques à clé publique gouvernementales et autres, tant au
Canada qu'à l'étranger;
5. Favoriser l'élaboration et l'utilisation de normes ouvertes pour les
produits commerciaux qui emploient la cryptographie à clé publique.
Les ministères, à l'exception des ministères qui font appel à un
fournisseur de services, doivent, avant d'émettre des certificats de clé
publique (y compris les cocertificats) :
1. établir une autorité de certification;
2. veiller à ce que leur autorité de certification;
a) gère les listes de certificats de clé publique et les listes de
certificats révoqués en ayant soin,
i) d'adopter une ou plus d'une politiques de certification et un
énoncé
de pratiques de certification ayant trait à l'activité de cette
autorité de certification;
ii) de garantir la conformité des personnes ou des entités qui agissent
en son nom.
b) dans le cas des politiques de certification applicables, a recours à
des politiques ou ententes en vue d'informer les abonnés et les
fonctionnaires
des droits et obligations respectifs de l'autorité de certification, des
abonnés et des fonctionnaires.
En plus des éléments susmentionnés, les ministères qui émettent des
certificats de clé publique (y compris des cocertificats) à l'extérieur
du ministère doivent procéder à une cocertification à l'échelle de la
Charnière
fédérale canadienne de l'Infrastructure à clé publique et rapporter
chaque année à l'autorité de gestion des politiques que leurs activités sont
conformes aux exigences précisées dans leurs politiques de certification et
leurs énoncés de pratiques de certification.
Les ministères doivent désigner un ou plusieurs fonctionnaires à titre
d'autorité
opérationnelle dans le cas de chaque autorité de certification gérée ou
embauchée par le ministère et leur confier la tâche de fournir, sur demande,
à l'Autorité
de gestion des politiques du gouvernement du Canada, de l'information et de
la documentation sur tout aspect des activités de l'autorité de certification.
L'Autorité de gestion des politiques peut confier à une ou plusieurs
autorités de certification ministérielles le rôle d'autorité de
certification commune aux fins d'émission des certifications de clé publique
au nom d'autres ministères.
Une autorité de certification commune doit :
1. relever de l'Autorité de gestion des politiques et se rapporter à cette
même Autorité;
2. procéder aux cocertifications en passant par la Charnière fédérale
canadienne de l'Infrastructure à clé publique;
3. n'avoir recours qu'aux politiques de certification et énoncés de
pratiques de certification approuvées par l'Autorité de gestion des
politiques, ainsi qu'aux ententes et politiques conformes aux modalités
imposées par l'Autorité de gestion des politiques, s'il y en a.
Les ministères peuvent fournir certains services, ou tous les services,
liés à l'administration d'une autorité de certification commune.
Les ministères qui administrent une autorité de certification commune
peuvent fournir certains services, ou tous les services, liés à
l'administration de cette autorité.
La gestion de
la Charnière fédérale canadienne de l'Infrastructure à clé publique
relève du Centre de sécurité des télécommunications. Aux fins de la
cocertification ou de la reconnaissance des autorités de certification, la
Charnière fédérale canadienne de l'Infrastructure à clé publique constitue
l'Autorité de certification de charnière du gouvernement du Canada.
La Charnière fédérale canadienne de l'Infrastructure à clé publique ne
doit adopter que les politiques de certification et les énoncés de pratiques
de certification approuvés par l'Autorité de gestion des politiques.
La Charnière fédérale canadienne de l'Infrastructure à clé publique :
1. Signe et gère les cocertificats
qu'elle émet :
a) aux autorités de certification ministérielles ou communes;
b) aux autorités de certification qui ne font pas partie du gouvernement
du Canada.
2. Dans le contexte de l'Infrastructure à clé publique du gouvernement du
Canada, elle fournit des avis touchant la conformité aux exigences techniques
de l'Infrastructure à l'Autorité de gestion des politiques.
Les ministères peuvent acheter auprès d'un autre ministère ou d'un fournisseur
de services du secteur privé une partie ou la totalité des services liés
à l'exploitation d'une autorité de certification.
Les ministères qui offrent de tels services doivent s'assurer que :
1. les politiques et pratiques des fournisseurs de services jugées
pertinentes par l'Autorité de gestion des politiques, y compris les politiques
de certification ou les énoncés de pratiques de certification, respectent les
critères établis par l'Autorité de gestion des politiques;
2. conformément à la Loi, toutes les copies des clés privées de
confidentialité, des certificats de clé publique et de toute l'information
recueillie ou conservée touchant l'émission, la distribution et la gestion, y
compris la révocation, des certificats de clé privée et de clé publique, ne
seront conservées qu'au Canada ou que sur les lieux des missions
consulaires et diplomatiques du Canada à l'étranger;
3. les ententes conclues avec les fournisseurs de services sont conformes aux
exigences des règlements et des politiques gouvernementales sur les marchés de
services et renferment au moins les dispositions prévues de temps à autre par
l'Autorité de gestion des politiques;
4. toutes les ententes intègrent les modalités relatives à la protection
des données et de la vie privée qui conviennent en rapport avec la collecte,
l'utilisation, la divulgation ou la conservation de renseignements personnels.
Un ministère qui autorise l'émission de certificats en son nom ou qui agit
en tant qu'autorité de certification qui émet des certificats de clé publique
est considéré membre de l'Infrastructure de clé publique du gouvernement du
Canada.
Un ministère membre de l'Infrastructure à clé publique du gouvernement du
Canada peut être représenté à l'échelle de l'Autorité de gestion des
politiques. Les personnes suivantes doivent faire partie de l'Autorité de
gestion des politiques :
1. le dirigeant principal de l'information, à titre de président;
2. un vice-président nommé par le dirigeant principal de l'information;
3. l'exploitant de la Charnière fédérale canadienne de l'Infrastructure à
clé publique;
4. tous les ministères qui gèrent une autorité de certification commune;
5. tous les ministères qui gèrent une autorité de certification ayant fait
l'objet d'une cocertification
avec la Charnière fédérale canadienne de l'Infrastructure à clé publique;
6. les représentants de ces ministères, s'il y en a, nommés pour servir à
titre de membres sans fonction déterminée.
Les directeurs généraux des ministères en cause doivent nommer les
représentants ministériels qui siégeront à l'échelle de l'Autorité de
gestion des politiques.
Chaque ministère membre de l'Autorité de gestion des politiques aura droit
à un vote, nonobstant le nombre d'autorités de certification qu'il gère.
Le président et le vice-président auront chacun droit à un vote. Il n'est
pas permis de céder les droits de vote.
L'Autorité de gestion des politiques
précisera les exigences applicables au quorum, aux règles de procédure et au
mandat en vertu des responsabilités assignées dans le cadre de cette Politique
et pourra confier certaines tâches et fonctions à un comité directeur,
composé de ses membres, dont les responsabilités relèveront de mandats qui
pourront être établis et modifiés, au besoin, par l'Autorité de gestion des
politiques.
6.6.1 Cocertification ou reconnaissance
Un ministère qui exploite une autorité de certification ou une autorité de
certification commune voulant conclure une entente de cocertification avec une
autorité de certification de l'extérieur du ministère ou du gouvernement doit
le faire en tant que membre de l'Infrastructure à clé publique du gouvernement
du Canada. La cocertification avec une autorité de certification doit
nécessairement passer par la Charnière fédérale canadienne de
l'Infrastructure à clé publique, toute dérogation devant être autorisée par
le Conseil du Trésor du Canada.
Lorsqu'il ne convient pas d'engager une cocertification pour des motifs
techniques ou liés aux politiques, le président
peut, à sa discrétion et sur recommandation du secrétaire, reconnaître une
autorité de certification à l'extérieur du gouvernement.
En vertu des pouvoirs qui lui sont conférés par décret, le président peut
approuver ou rejeter toute entente ou tout marché ainsi conclu. Avant de
reconnaître une autorité de certification, le président doit s'assurer que
cette autorité est en mesure d'émettre des certificats de façon sûre et
fiable, conformément aux alinéas 48 a) à 48 d) de la Loi
sur la protection des renseignements personnels et les documents électroniques (L.C.
de 2000, chapitre 5). Les autorités de certification reconnues par le
président du Conseil du Trésor figureront au site Web du Secrétariat du
Conseil du Trésor du Canada.
La cocertification avec une autorité de certification à l'extérieur du
gouvernement, ou la reconnaisse d'une telle cocertification, exige
nécessairement l'exécution d'un marché ou d'une entente entre le gouvernement
et l'exploitant de l'autorité de certification.
Il incombe au secrétaire de recommander au président la formule et le
contenu qui conviennent à ce genre d'entente ou de marché.
L'Autorité de gestion des politiques conseillera le secrétaire quant à la
forme et au contenu de toute entente ou de tout marché proposé, y compris les
modalités applicables.
Si un ministère a établi une autorité de certification ayant procédé à
une cocertification avec la Charnière fédérale canadienne de l'Infrastructure
à clé publique et s'il a l'intention de conclure une entente de
cocertification avec une autre de ses autorités de certification n'ayant pas
procédé à une cocertification avec la Charnière fédérale canadienne de
l'Infrastructure à clé publique, le ministère doit en informer l'Autorité de
gestion des politiques. Si l'Autorité de gestion des politiques estime que ce
cocertificat risque de nuire à l'Infrastructure à clé publique du
gouvernement du Canada, elle peut prendre les mesures qui s'imposent, y compris
déclasser ou révoquer le cocertificat de l'autorité de certification qui a
procédé à la cocertification avec la Charnière fédérale canadienne de
l'Infrastructure à clé publique.
6.6.2 Exemption de la cocertification
Chaque fois qu'un ministère désire qu'une ou plusieurs de ses autorités de
certification procède à une cocertification avec une autorité de
certification externe au ministère (« autorité de certification externe »),
il peut demander au Conseil du Trésor du Canada de l'exempter de la
cocertification avec l'autorité de certification externe en passant par la
Charnière fédérale canadienne de l'Infrastructure à clé publique.
Le ministère qui émet des certificats de clé publique à des utilisateurs
externes pour une fin précise peut demander au Conseil du Trésor du Canada la
permission de passer outre à l'obligation de cocertification avec la Charnière
fédérale canadienne de l'Infrastructure à clé publique.
Toute demande en ce sens doit démontrer que :
1. le but de la demande d'exemption est conforme à l'énoncé de politique
défini à la section 5;
2. la mesure n'a pas incidences négatives sur les exigences opérationnelles
ou des politiques du gouvernement du Canada, même si l'autorité de
certification en cause n'échange aucune cocertification avec la Charnière
fédérale canadienne de l'Infrastructure à clé publique.
Certaines classes d'autorités de certification sont spécifiquement
exemptées de l'obligation de cocertification au moyen de la Charnière
fédérale canadienne de l'Infrastructure à clé publique et les ministères
n'ont pas à soumettre une demande d'exemption au Conseil du Trésor du Canada.
Ces classes regroupent les autorités de certification suivantes :
1. Les autorités de certification qui fonctionnent dans des milieux clos où
les abonnés n'ont pas à interagir avec d'autres abonnés ou avec des parties
utilisatrices hors du domaine de l'autorité de certification, lorsqu'on peut
démontrer que la cocertification avec la Charnière fédérale canadienne de
l'Infrastructure à clé publique ne présente aucun avantage;
2. Les autorités de certification dont les activités concernent la
sécurité nationale, lorsqu'on peut démontrer que la cocertification avec la
Charnière fédérale canadienne de l'Infrastructure à clé publique ne
présente aucun avantage;
3. Les autorités de certification établies en tant que projets pilotes,
pourvu que les projets pilotes qui doivent entraîner l'octroi de certificats
procèdent à la cocertification avec la Charnière fédérale canadienne de
l'Infrastructure à clé publique au plus tard au second anniversaire de la date
à laquelle les certificats ont été émis dans le cadre du projet; ou
4. Exercées par Statistique Canada ou en son nom uniquement pour protéger
les données recueillies en vertu de la Loi sur la statistique.
L'Autorité de gestion des politiques déterminera si une autorité de
certification fait partie d'une classe énumérée et peut être exemptée de
l'obligation de procéder à la cocertification avec la Charnière fédérale
canadienne de l'Infrastructure à clé publique.
L'Autorité de gestion des politiques peut demander au Conseil du Trésor du
Canada d'établir d'autres classes aux fins d'exemption.
6.7 Utilisation des certificats de
clé
publique et des clés par des abonnés
Les ministères qui émettent, ou qui font émettre en leur nom, des
certificats de clé publique aux abonnés doivent :
1. élaborer, mettre en oeuvre et communiquer à ces abonnés, ou faire
communiquer en leur nom à ces abonnés, les modalités de l'utilisation en
bonne et due forme de ces certificats;
2. obtenir, ou faire obtenir en leur nom, l'approbation signée, par écrit
ou par moyen électronique, de ces modalités par les abonnés.
Lorsque les ministères établissent les modalités d'utilisation des
certifications par les abonnés, ils doivent s'assurer d'inclure les modalités
d'utilisation minimales définies, quand besoin est, par l'Autorité de gestion
des politiques.
Les ministères, avant d'émettre ou de faire émettre en leur nom, des
certificats de clé publique à des fonctionnaires pour que ceux-ci les
utilisent dans le cadre de leur travail, doivent élaborer, mettre en oeuvre et
communiquer à ces fonctionnaires des politiques et des directives régissant
l'utilisation de ces certificats. Les ministères doivent prendre en compte les
exigences opérationnelles et légales pertinentes et s'assurer d'inclure les
modalités d'utilisation minimales définies, quand besoin est, par l'Autorité
de gestion des politiques.
Les ministères qui établissent une autorité de certification doivent :
1. veiller à ce que leurs certificats de clé publique et leurs Listes de
certificats révoqués soient publiés dans un dépôt
accessible en vue de vérifier la validité de ces listes;
2. veiller à ce que tous les renseignements concernant leurs certificats de
clé publique et leurs Listes de certificats révoqués soient actuels, exacts
et conformes aux exigences des politiques de certification applicables;
3. Le dépôt :
a) doit être conforme aux normes établies, ou jugées applicables, par
l'Autorité de gestion des politiques;
b) doit assurer l'interopérabilité avec les autres dépôts associés aux
autorités de certification assujetties à la présente politique;
c) doit être enregistré auprès du Registraire
des dépôts.
Les ministères doivent adopter des politiques et des modalités qui leur
permettront de gérer l'information produite dans le cadre de leurs fonctions à
titre d'autorités de certification, y compris les renseignements personnels des
fonctionnaires, des abonnés et des parties utilisatrices. Le mode de gestion de
cette information est assujetti à la Loi
sur la protection des renseignements personnels, à la Loi
sur l'accès à l'information et, dans la mesure du possible, à
la Loi
sur la Bibliothèque et les Archives du Canada ainsi qu'à toutes les
autres lois et politiques gouvernementales pertinentes.
Les ministères doivent conserver, à des fins de récupération de données,
une copie des clés privées de confidentialité émises aux fonctionnaires,
aviser les fonctionnaires que leurs clés privées sont sauvegardées et les
informer quand ils doivent accéder à celles-ci.
Un ministère ne doit pas :
1. sauvegarder les clés privées de confidentialité des abonnés sans leur
consentement;
2. accéder aux clés privées de confidentialité des abonnés, ou les
divulguer, sauf s'ils ont leur consentement ou si la loi l'exige ou une
autorité légale l'autorise;
3. conserver, ou faire conserver, en aucun cas, une copie des clés privées
de signature numérique. Aux fins de la politique, on considère que les clés
privées de signature numérique entreposées au niveau des serveurs des
ministères sous le contrôle d'un abonné ou d'un fonctionnaire ne sont pas
conservées par le ministère.
Les ministères qui gèrent et utilisent des certificats de clé publique
peuvent être appelés à importer, à exporter ou à copier des clés publiques
ou encore, à copier des certificats de clé publique. Puisque ces pratiques
comportent à la fois des risques initiaux et résiduels, les ministères
doivent gérer activement les risques découlant de telles activités.
Les ministères qui adoptent une ou plus d'une politiques de certification
régissant des certificats de clé publique émis par des autorités de
certification qui relèvent de ces ministères, doivent :
1. établir et communiquer, ou faire connaître en leur nom, la limitation de
responsabilité applicable en ce qui concerne les jugements, les décisions ou
les règlements pris contre eux en raison de l'utilisation de ces certificats de
clé publique;
2. en tant que membres de l'Infrastructure à clé publique du gouvernement
du Canada, se conformer aux directives et aux règles établies, quand besoin
est, afin d'établir la répartition de la responsabilité financière et autre
dans le cas des jugements, des décisions ou des règlements parmi les membres.
Le Secrétariat du Conseil du Trésor du Canada procédera à des
vérifications du respect de cette politique en se basant sur les rapports
rédigés par les autorités opérationnelles à l'intention de l'Autorité de
gestion des politiques.
Sous réserve d'autres références dans le texte de la présente politique,
la section suivante fait état des responsabilités qui incombent aux instances
gouvernementales chargées de gérer, en général, les tâches
d'authentification à l'aide des certificats de clé publique et, en
particulier, l'Infrastructure à clé publique du gouvernement du Canada.
7.1.1 Président du Conseil du Trésor
En vertu des pouvoirs qui lui sont accordés par décret, il incombe au
président, sur les conseils du secrétaire,
de conclure ou de résilier les ententes écrites de cocertification avec les
autorités de certification extérieures au gouvernement, ou de reconnaître ces
ententes.
7.1.2 Secrétaire du Conseil du Trésor du Canada
Le secrétaire est responsable de la coordination et de l'établissement de
l'orientation et des politiques liées à la gestion de l'authentification à
l'aide des certificats de clé publique au gouvernement du Canada.
En ce qui concerne la gestion de l'authentification à l'aide des certificats
de clé publique, le secrétaire s'acquitte de ses responsabilités en engageant
les mesures suivantes :
1. il recommande au président les modalités des ententes de cocertification
et de reconnaissance, ainsi que du retrait de ces ententes ou de leur cessation;
2. il identifie les exigences et formule des recommandations quant aux
politiques que le Conseil du Trésor du Canada devrait adopter;
3. il prodigue des conseils au Conseil du Trésor du Canada et aux
ministères;
4. il établit et maintient l'Autorité de gestion des politiques pour
l'Infrastructure à clé publique du gouvernement du Canada.
7.1.3 Dirigeant principal de l'information du gouvernement du Canada
Le dirigeant
principal de l'information :
1. agit à titre de président de l'Autorité de gestion des politiques;
2. nomme le vice-président de l'Autorité de gestion des politiques et
détermine quels ministères seront représentés par des membres sans fonction
déterminée;
3. est responsable de l'accréditation de la Charnière fédérale canadienne
de l'Infrastructure à clé publique et des autorités de certification
communes;
4. appuie les responsabilités respectives du secrétaire et de l'Autorité
de gestion des politiques relativement à l'orientation et à la gestion de
l'Infrastructure à clé publique du gouvernement du Canada.
L'Autorité de gestion des politiques est responsable devant le secrétaire
pour ce qui est de l'orientation et de la gestion de l'Infrastructure à clé
publique du gouvernement du Canada. Elle formule des recommandations au
secrétaire touchant l'adhésion à l'Infrastructure à clé publique du
gouvernement du Canada et la cocertification ou de la reconnaissance des
autorités de certification.
Pour s'acquitter de cette responsabilité, l'Autorité de gestion des
politiques :
1. avise le secrétaire au sujet des recommandations au président pour ce
qui est des modalités touchant les ententes de cocertification, y compris le
retrait ou l'annulation d'une telle entente de cocertification;
2. demande à un ou à plusieurs ministères d'agir à titre d'autorités de
certification communes;
3. établit les politiques, les procédures (y compris les procédures
d'enregistrement) et les normes opérationnelles que doit observer une autorité
de certification commune;
4. établit et approuve les mécanismes, les contrôles et les structures de
rapport requis, y compris les normes opérationnelles et les lignes directrices,
nécessaires à la saine gestion de la Charnière fédérale canadienne de
l'Infrastructure à clé publique et des autorités de certification dans le
contexte de l'Infrastructure à clé publique du gouvernement du Canada;
5. demande à la Charnière fédérale canadienne de l'Infrastructure à clé
publique d'émettre, de déclasser ou de révoquer les cocertificats, au besoin;
6. représente le gouvernement auprès d'organismes externes dans tous les
dossiers en vue de faire connaître le rôle de l'authentification à l'aide des
certifications à clé publique, et d'améliorer le fonctionnement de
l'Infrastructure à clé publique du gouvernement du Canada, y compris la
participation à d'autres autorités de vérification des charnières gérées
avec des entités externes au gouvernement ou en collaboration avec ces
entités;
7. établit et approuve les politiques de certification pour la Charnière
fédérale canadienne de l'Infrastructure à clé publique ou pour toute
autorité de certification commune et les met à la disposition des autorités
de certification ministérielles;
8. gère la Politique
d'authentification électronique et d'autorisation, ou toute politique
remplaçante, dans la mesure où cette dernière s'applique à la gestion et à
l'utilisation des certificats de clé publique et des clés par les ministères;
9. nomme des décideurs en cas de différends entre des autorités de
certification et établit des directives sur le règlement des différends;
10. favorise l'interopérabilité au plan de l'authentification grâce aux
certificats de clé publique dans l'ensemble de l'administration publique;
11. tient le gouvernement au courant des progrès dans les domaines de
l'authentification à l'aide des certificats de clé publique, ainsi que de la
technologie et des infrastructures à clé publique, y compris les normes et
pratiques en vigueur dans l'industrie;
12. fait connaître le rôle de l'authentification dans l'Infrastructure à
clé publique du gouvernement du Canada, de manière à la garantir la
sécurité des activités de prestation des services, d'administration publique
et de communications.
Le Centre de la sécurité des télécommunications gère et exploite la
Charnière fédérale canadienne de l'Infrastructure à clé publique. En ce
sens, il lui revient de signer et de gérer les cocertificats des autorités de
certification externes, ministérielles et communes qui engagent des activités
de cocertification avec la Charnière fédérale canadienne de l'Infrastructure
à clé publique.
À titre d'autorité technique en cryptographie et en technologies de
l'information pour l'Infrastructure à clé publique du gouvernement du Canada,
le Centre de la sécurité des télécommunications doit s'acquitter des
responsabilités suivantes :
1. met au point les normes opérationnelles et la documentation technique du
système de certification et d'accréditation, analyse les risques et la
vulnérabilité, évalue les produits, analyse la sécurité des systèmes et
des réseaux en consultation avec l'Autorité de gestion des politiques et les
ministères, dans la mesure où ces activités touchent l'Infrastructure à clé
publique du gouvernement du Canada et ses applications connexes;
2. fournit des conseils et de l'aide à l'Autorité de gestion des politiques
et aux ministères concernant les normes opérationnelles et la documentation
technique;
3. fournit des services stratégiques d'ingénierie de sécurité et des
conseils techniques spécialisés pour appuyer la conception, la mise en oeuvre
et le fonctionnement de l'Infrastructure à clé publique du gouvernement du
Canada et des éléments essentiels de l'Infrastructure connexes;
4. met au point et offre une formation spécialisée, surtout au niveau du
réseau de vulnérabilités et des stratégies d'atténuation applicables, et
s'adonne à des activités de recherche et de développement connexes;
5. Sous l'égide de l'Autorité de gestion des politiques :
a) entretient l'ensemble du système d'architecture de l'Infrastructure à
clé publique du gouvernement du Canada et formule des avis en ce sens;
b) représente le gouvernement du Canada au sein de comités techniques
nationaux et internationaux dédiés aux infrastructures à clé publique.
Il incombe également au Centre de la sécurité des télécommunications
d'assurer la gestion et le fonctionnement du banc d'essai sur les nouvelles
technologies sécurisées qui encadre les essais d'interopérabilité entre les
nouvelles applications technologiques sécurisées et l'Infrastructure à clé
publique du gouvernement du Canada.
La présente politique est émise conformément au paragraphe 7(1) de la Loi
sur la gestion des finances publiques.
Il importe de lire la présente politique en tenant compte des politiques
suivantes du Conseil du Trésor :
Ces politiques sont accessibles à l'adresse http://www.tbs-sct.gc.ca/.
Veuillez consulter le site Web du dirigeant principal de l'information du
Secrétariat du Conseil du Trésor du Canada à l'adresse http://www.tbs-sct.gc.ca/cio-dpi/
pour obtenir des renseignements à jour sur la certification des clés publiques.
Prière d'adresser les demandes de renseignements au sujet des objectifs et
de la mise en oeuvre de cette politique à la :
Direction du dirigeant principal de l'information
Secrétariat du Conseil du Trésor du Canada
Télécopieur : (613) 946-9893
Courriel : pki-icp@tbs-sct.gc.ca
|