Chapitre 7 : Sécurité des technologies de l’information
Utilisez ce chapitre conjointement avec l’Annexe D : Processus d’inspection de sécurité des technologies de l’information.
Sur cette page
7.1 Aperçu
Lorsque des organisations se voient attribuer des contrats du gouvernement du Canada (contrats principaux et contrats de sous-traitance) qui les obligent à utiliser leurs propres systèmes informatiques pour conserver/traiter/créer des renseignements protégés ou classifiés comme indiqué dans la liste de vérification des exigences relatives à la sécurité des contrats (LVERS) (section C.11.D et section C.11.E), elles doivent d’abord obtenir l’autorisation dans le cadre du Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC).
L’organisation ne peut pas utiliser son système informatique pour conserver/traiter/créer des renseignements protégés ou classifiés tant que le processus d’inspection de la sécurité informatique, mené par un inspecteur de la sécurité informatique du PSC, n’est pas terminé et officialisé dans une lettre d’approbation écrite de la technologie de l’information (TI) du PSC de SPAC.
Les organisations ne doivent pas utiliser un système informatique à l’appui d’un contrat pour conserver/traiter/créer des renseignements protégés ou classifiés avant d’avoir reçu l’autorisation dans le cadre du PSC de SPAC; cela constituera une violation d’une ou de plusieurs des clauses contractuelles.
7.2 Planification
Un plan de sécurité informatique est une étape importante pour la protection et le contrôle du système d’information d’une organisation.
7.2.1 Sécurité physique
Les renseignements protégés et classifiés en format électronique, ainsi que les biens technologiques protégés et classifiés, doivent être physiquement protégés d’une manière équivalente aux renseignements sur papier, comme il est indiqué au chapitre 5 : Protection des installations, et chapitre 6 : Manipulation et protection de renseignements et de biens.
7.2.2 Sécurité des renseignements électroniques
Les organisations doivent planifier la sécurité informatique pour le cycle de vie complet des renseignements protégés ou classifiés qui sont conservés/traités/créés et du matériel informatique utilisé à l’appui d’un contrat
Les organisations doivent maintenir une posture de sécurité informatique qui respecte et maintient la confidentialité, l’intégrité et la disponibilité des renseignements électroniques protégés ou classifiés pendant toute la durée de leur détention.
Les inspections de sécurité informatique du PSC de SPAC sont basées sur les politiques et les lignes directrices de la Politique sur la sécurité du gouvernement, la Politique sur les services et le numérique, la Directive sur les services et le numérique, la Politique de sécurité de l’Organisation du traité de l’Atlantique Nord (PDF) (en anglais seulement), le cas échéant, et d’autres lignes directrices publiées par le gouvernement du Canada, ainsi que sur les concepts de meilleures pratiques commerciales.
7.3 Inspections
Les inspections de sécurité informatique du PSC de SPAC ont lieu après l’attribution d’un contrat comportant une exigence informatique. L’organisation doit d’abord répondre aux exigences de sécurité physique (chapitre 5 : Protection des installations) et avoir reçu une Autorisation de détenir des renseignements au niveau du contrat ou à un niveau supérieur.
Les organisations ne doivent pas conserver, traiter ni créer des renseignements protégés ou classifiés sur leurs systèmes informatiques avant que les représentants du PSC de SPAC n’aient délivré une lettre d’approbation écrite de la TI.
Les inspections de sécurité informatique du PSC de SPAC sont effectuées pour s’assurer que le risque résiduel pour les renseignements protégés ou classifiés du gouvernement du Canada est faible. Les ministères et organisations gouvernementaux ont autorisé les représentants du PSC de SPAC, par des protocoles d’entente et d’autres moyens, à approuver des systèmes informatiques pour la conservation, le traitement et la création de renseignements protégés ou classifiés lorsque le risque résiduel, tel qu’évalué par l’inspecteur de la sécurité informatique, est faible.
Les inspections de sécurité informatique sont propres à un contrat particulier, et uniquement pour les niveaux définis dans la LVERS du contrat. La lettre d’approbation écrite de la TI n’est valable que pour le ou les contrats inspectés et uniquement pour la durée du ou des contrats en question.
Dans le cadre du processus d’inspection, les organisations peuvent recevoir des recommandations et des suggestions pour améliorer leur attitude globale en matière de sécurité informatique qui, une fois mises en œuvre, donneront aux inspecteurs de la sécurité informatique un niveau de confiance dans le fait que le risque résiduel est faible.
Pour plus de renseignements sur la manière dont une inspection de sécurité informatique est effectuée, consultez l’annexe D : Processus d’inspection de sécurité des technologies de l’information.
De plus amples renseignements sur la sécurité de la technologie de l’information sont disponibles sur la page web consacrée aux Exigences de sécurité relatives à la technologie de l’information.