Exigences de sécurité relatives à la technologie de l’information

Les exigences de sécurité relatives à la technologie de l’information (TI) ont été conçues dans le but de garantir la confidentialité, l’intégrité et la disponibilité des renseignements protégés et classifiés. Les organisations qui produisent, traitent ou stockent électroniquement des renseignements protégés ou classifiés dans le cadre de contrats conclus avec le gouvernement sont tenues de voir à la sécurité de la TI. Prenez connaissance de la façon dont le personnel du Programme de sécurité des contrats peut aider votre organisation à obtenir la désignation « Autorisation de traiter les technologies de l’information », de même que de la manière dont se déroulent les inspections de la TI.

Sur cette page

Exigences de sécurité relatives à la technologie de l’information : autorisation de traiter les technologies de l’information

Les exigences de sécurité relatives à la TI sont propres à chaque contrat. Le niveau de sécurité requis dépend de la nature des renseignements en cause.

Pour obtenir une désignation « Autorisation de traiter les technologies de l’information », l’organisation doit :

D’autres attestations d’organisation pourraient être exigées, par exemple :

Votre organisation devra :

Inspections de la sécurité de la technologie de l’information

L’inspection de la sécurité de la TI est axée sur les systèmes de TI qu’utilise votre organisation pour produire, traiter et stocker des renseignements protégés et classifiés se rattachant aux contrats. L’inspection a lieu après que le contrat a été octroyé et que l’on a confirmé le respect des exigences relatives à la sécurité matérielle, mais avant que l’organisation entreprenne la production, le traitement ou le stockage électronique de renseignements de nature délicate.

Inspection de la sécurité de la technologie de l’information : à quoi s’attendre

Votre agent de sécurité d’entreprise devra remplir une liste de vérification de la sécurité de la TI et donner un portrait détaillé de l’environnement de la TI de votre organisation à l’inspecteur de la sécurité de la TI.

L’inspecteur se servira de cette liste de vérification pour évaluer la capacité de votre organisation de produire, de traiter et de stocker des composantes de TI de nature délicate du gouvernement à votre lieu de travail. Vous devrez remplir une nouvelle liste de vérification pour chaque nouveau contrat comportant des exigences de sécurité relatives à la TI.

L’inspecteur de la sécurité de la TI examinera également les documents techniques fournis par le ministère ou l’organisme client. Dans ces documents, on précise les exigences propres au contrat en ce qui a trait à la TI et aux mesures de protection que votre organisation doit mettre en place.

Pendant l’inspection de la sécurité de la technologie de l’information : à quoi s’attendre

L’inspecteur de la sécurité de la TI examinera votre système de TI afin de s’assurer que les mesures de protection nécessaires sont en place. Le jour de l’inspection, vous devez être en mesure de démontrer votre capacité de produire, de traiter et de stocker de façon sécuritaire des renseignements de nature délicate du gouvernement.

Tous les employés participant à l’exécution du contrat doivent détenir une attestation de sécurité appropriée et satisfaire en tout temps à l’exigence du besoin de connaître. Dans le contexte du principe du besoin de connaître on restreint l’accès aux biens et aux renseignements de nature délicate selon les fonctions des employés.

Tout employé participant à l’exécution du contrat peut être interrogé lors de l’inspection de la sécurité de la TI.

Après l’inspection : à quoi s’attendre

L’inspecteur de la sécurité de la TI formulera ses recommandations dans une lettre de déclaration qu’il rédigera lorsque l’inspection sera terminée. Vous devrez retourner cette lettre, une fois y avoir confirmé que vous avez mis en œuvre les recommandations.

Après que l’inspecteur de la sécurité de la TI a reçu et approuvé la lettre de déclaration, votre organisation recevra une lettre d’approbation confirmant l’octroi de la désignation « Autorisation de traiter les technologies de l’information ».

Votre organisation pourra commencer à traiter les TI dans le cadre du contrat en question une fois que le personnel du Programme de sécurité des contrats vous aura envoyé la lettre d’approbation.

Les autorisations requises en ce qui touche la TI sont propres à chaque contrat et sont valides pendant toute la durée du contrat en cause.

Incidents de sécurité

Votre agent de sécurité d’entreprise doit signaler sans délai au personnel du Programme de sécurité des contrats tout incident de sécurité soupçonné ou confirmé qui concerne des renseignements ou des biens associés à la TI, plus précisément en ce qui concerne les tâches de production, de traitement et de stockage de renseignements se rattachant à un contrat de nature délicate du gouvernement.

Renseignements supplémentaires sur le signalement des incidents de sécurité

Fiche de référence : Sécurité des technologies de l’information

Fiche de référence : Sécurité des technologies de l’information - longue description ci-dessous
Description de la fiche de référence : Sécurité des technologies de l’information

Le titre de l’image est « Programme de sécurité des contrats : Sécurité des technologies de l’information – Fiche de référence. » La signature de Services publics et Approvisionnement Canada apparaît en haut de l'image. Un avis mentionnant « Remarque : Le présent document peut faire l’objet de modifications en fonction des mises à jour du programme » apparaît en haut de l'image.

Autorisation de traitement

Pour obtenir la désignation d’autorisation de traiter la technologie de l’information (TI), une organisation doit détenir l’une des attestations suivantes (valides) :

Votre organisation devra :

Processus d’inspection

L’inspection de la sécurité des TI est axée sur les systèmes de TI que l’organisation utilisera pour produire, traiter et stocker des renseignements protégés ou classifiés du gouvernement du Canada.

Elle est effectuée une fois que le contrat a été attribué et que les exigences de sécurité matérielle sont respectées.

Avant l’inspection

Pendant l’inspection

L’inspecteur de la sécurité des TI évalue les systèmes de TI de l’organisation afin de veiller à ce que les mesures de protection adéquates soient en place. L’organisation doit démontrer sa capacité de produire, de traiter et de stocker de façon sécuritaire des renseignements de nature délicate du gouvernement du Canada.

Tous les membres du personnel participant à l’exécution du contrat, y compris le personnel des TI, doivent détenir une attestation de sécurité de niveau approprié.

Seuls les employés qui ont un besoin de connaître pour exercer leurs fonctions sont autorisées à accéder aux renseignements et aux biens de nature délicate du gouvernement du Canada.

Tout membre du personnel participant à l’exécution du contrat peut être interrogé au cours de l’inspection de la sécurité des TI.

Après l’inspection

Les recommandations de l’inspecteur de la sécurité des TI doivent être validées dans une lettre de déclaration une fois l’inspection terminée.

Dès que l’inspecteur de la sécurité des TI de SPAC a reçu et approuvé la lettre de déclaration, une lettre d’approbation concernant l’autorisation de traiter les TI est envoyée à l’organisation.

L’organisation peut commencer les travaux seulement lorsque SPAC a transmis la lettre d’approbation.

Les approbations relatives aux TI sont propres à chaque contrat et sont valides pour la durée du contrat.

Pour nous joindre

Région de la capitale nationale : 613-948-4176

Numéro sans frais : 1-866-368-4646

Courriel : ssi-iss@tpsgc-pwgsc.gc.ca

Site Web : Exigences de sécurité des contrats du gouvernement du Canada

Au bas de l'image, il y a un lien qui indique « Retourner à la feuille de route du Programme de sécurité des contrats. »

Renseignements supplémentaires

Les organisations inscrites au Programme trouveront de plus amples renseignements sur la façon de se conformer aux normes de sécurité de la TI dans le cadre de contrats conclus avec le gouvernement en consultant les ressources suivantes :

Date de modification :