ARCHIVÉE – Chapitre 1 : Introduction générale

Informations archivées

Cette information est archivée et remplacée par le Manuel de la sécurité des contrats.

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage.

Archivée

Cette page Web a été archivée dans le Web.

Sur cette page

100. Manuel de la sécurité industrielle

1. Généralités

Le Manuel de la sécurité industrielle (MSI) est publié à l'intention de l'industrie par le Secteur de la Sécurité Industrielle (SSI) de Services publics et Approvisionnement Canada (SPAC).

2. Portée

Le présent manuel est un ouvrage de référence simple qui renseigne les agents de sécurité d'entreprise (ASE) sur les normes et les mesures de sécurité adoptées par le gouvernement canadien et sur la manière de s'assurer que leur organisation se conforme à ces normes et mesures.

3. Application

Le présent manuel prescrit les mesures que doivent prendre les organisations établies au Canada pour la protection des renseignements et des biens du gouvernement, qui leur sont fournis ou qui sont produits par des organisations privées, et dans les cas où la sécurité est administrée par le Programme de sécurité des contrats (PSC) de SPAC. Les procédures s'appliquent également aux activités semblables des ministères ou organismes de gouvernements étrangers alliés concluant des marchés par l'intermédiaire de SPAC, comme c'est le cas des initiatives multinationales où le Canada est un partenaire.

4. Contenu

Le présent manuel est constitué de 12 chapitres, chacun étant immédiatement suivi, s'il y a lieu, des annexes qui s'y rapportent. Après le chapitre 12, une section intitulée ARCHIVÉE - ressources a été ajoutée pour améliorer la compréhension du manuel. La section contient un glossaire des termes de même qu'une courte liste d'abréviations et d'acronymes.

5. Présentation

Dans la mesure du possible, chaque chapitre traite distinctement des renseignements et des biens protégés et classifiés. En conséquence, le lecteur n'a à se préoccuper que de l'information qui relève clairement de la catégorie de sécurité qui l'intéresse.

101. Politique sur la sécurité du gouvernement

Généralités

  1. La Politique sur la sécurité du gouvernement est publiée par le Conseil du Trésor en application d'une décision prise par le gouvernement et de l'article 7 de la Loi sur la gestion des finances publiques.

    Cette politique vise à « veiller à ce que les administrateurs généraux gèrent efficacement les activités de sécurité au sein des ministères et contribuent à la gestion efficace de la sécurité à l'échelle du gouvernement ».

    Les contrats fédéraux sont assujettis à cette politique. SPAC est le ministère chef de file désigné pour donner des conseils et des indications sur les exigences en matière de sécurité applicables aux contrats fédéraux de biens et de services.

    Le PSC de SPAC permet d'appliquer dans le secteur privé les exigences de sécurité à respecter. De façon plus précise, le PSC de SPAC est chargé de la mise en œuvre et de l'examen ultérieur de toutes les mesures de sécurité qui intéressent les entreprises établies au Canada (ou les autres organisations ne faisant pas partie du gouvernement fédéral), dans les cas où des renseignements ou des biens de nature délicate, qu'ils soient d'origine canadienne ou étrangère, sont transmis à une entreprise privée, que ce soit aux termes d'un contrat, d'un accord ou d'une exigence précontractuelle d'un marché auquel participe SPAC.

  2. Le PSC de SPAC est secondé dans cette tâche par de nombreux organismes fédéraux, et notamment par le Service canadien du renseignement de sécurité (SCRS), par la Gendarmerie royale du Canada (GRC), par le ministère de la Défense nationale (MDN) et par les organismes homologues dans les pays étrangers, ainsi que par le Centre de la sécurité des télécommunications (CST du MDN).

102. Programme de sécurité des contrats

But

  1. Le but d'un programme de sécurité est de prévenir la diffusion, la destruction, l'enlèvement, la modification ou l'arrêt de production, sans autorisation appropriée, de renseignements ou de biens protégés et classifiés. Pour atteindre ce but, il faut disposer d'une structure organisationnelle et de méthodes administratives appuyant 4 sous-systèmes, à savoir celui :
    • de la sécurité matérielle (emplacement et conception des lieux et des moyens physiques destinés à prévenir, à déceler et à réprimer l'accès non autorisé)
    • de la sécurité de la technologie de l'information (contrôle de l'accès aux renseignements de nature délicate utilisés dans les systèmes informatiques ou faisant l'objet de communications électroniques)
    • de la sécurité du personnel (enquêtes de sécurité, formation et mesures disciplinaires)
    • de la divulgation à l'étranger de renseignements ou de biens prescrits dans les protocoles d'ententes et les accords bilatéraux
  2. L'enquête de sécurité permet de déterminer la loyauté ou la fiabilité d'une personne aux fins de l'accès autorisé. Les sous-systèmes sont interdépendants, de sorte que l'efficacité d'un programme de sécurité dépend de la bonne marche de tous ses éléments
  3. PSC de SPAC est structuré pour fournir de manière coordonnée les détails de tous les éléments d'un programme de sécurité. Les organisations munies d'une vérification d'organisation désignée (VOD) ou d'une attestation de sécurité d'installations (ASI) dans le cadre du PSC de SPAC sont tenues de mettre en œuvre des programmes de sécurité dont l'envergure correspond à leur importance

Application

PSC de SPAC permet de renseigner l'industrie et d'autres organisations canadiennes sur la manière de protéger des renseignements et des biens protégés et classifiés confiés à la garde ou au contrôle d'entrepreneurs ou de particuliers du secteur privé, afin de prévenir :

  1. une atteinte à la sécurité ou une compromission se rapportant à ces renseignements et ces biens
  2. l'interruption ou l'élimination de services
  3. le vol, le détournement ou l'abus de biens, situations susceptibles d'entraver l'exécution d'un contrat et de diminuer l'intégrité de l'information

Portée

En ce qui concerne les entrepreneurs, PSC de SPAC prévoit des mesures de sécurité pour :

  1. leur organisation
  2. les renseignements et biens protégés et classifiés qui leur sont transmis
  3. les biens ou les objets qu'ils produisent aux termes d'un contrat
  4. les renseignements et biens protégés et classifiés pendant leur transmission
  5. les renseignements protégés et classifiés traités par moyen électronique dans leurs installations
  6. l'équivalent au sein d'organisations non commerciales comme les universités

103. Nomination d'agents de sécurité d'entreprise et de remplaçants

Toutes les organisations qui ont besoin d'une VOD ou d'une ASI doivent nommer un agent de sécurité d'entreprise (ASE).

Exigences minimales pour la nomination d'un agent de sécurité d'entreprise

Un ASE doit au moins :

  1. être un citoyen canadien ou un résident permanent ainsi qu'un employé de l'organisation
  2. avoir subi l'enquête de sécurité pour l'obtention d'une cote de fiabilité approfondie dans le cadre d'une VOD
  3. avoir subi une enquête de sécurité pour l'obtention de l'ASI. Cette exigence comporte des exceptions pour certaines ASI de niveau Très secret et installations de type Organisation du traité de l'Atlantique nord (OTAN). Veuillez consulter votre agent régional de la sécurité industrielle pour obtenir de plus amples informations
  4. relever de cadres supérieurs clés (CSC) désignés pour toutes les questions ayant trait à la sécurité et son bureau doit se trouver au siège social canadien de cette organisation, pour qu'il puisse communiquer en personne avec les CSC relativement aux questions de sécurité

Nomination d'un agent de sécurité d'entreprise

Le chef de la direction ou un CSC désigné de l'organisation procède à la nomination. Pour nominer un ASE, l'ARCHIVÉE – Annexe 1-A : Formulaire de nomination d'un agent général ou d'un agent de sécurité d'entreprise - accusé de réception et engagement de SPAC doit être soumis au PSC de SPAC pour approbation. PSC de SPAC ne discute pas des questions de sécurité ni ne remet quoi que ce soit à un ASE tant qu'elle n'a pas reçu et approuvé la nomination consignée sur le formulaire susmentionné. La nomination ne devient officielle que lorsqu'une copie remplie en bonne et due forme du formulaire a été retournée à l'organisation.

Agent de sécurité d'entreprise remplaçant (chargé d'exécuter les fonctions de l'agent de sécurité d'entreprise en son absence)

L'ASE doit désigner, parmi ses agents de sécurité d'entreprise remplaçants (ASER), un responsable qui sera chargé d'exercer ses fonctions en son absence, et en informer en conséquence le PSC de SPAC. Ce remplaçant doit être un citoyen canadien ainsi qu'un employé de l'organisation, et détenir une attestation de sécurité correspondant au niveau d'accès de l'ASE.

Dans l'éventualité où l'ASE cesserait d'être un employé de l'organisation, son remplaçant désigné assumerait toutes les responsabilités liées à la sécurité industrielle. L'organisation doit ensuite nommer un nouvel ASE dès que possible en remplissant l'ARCHIVÉE – Annexe 1-A : Formulaire de nomination d'un agent général ou d'un agent de sécurité d'entreprise - accusé de réception et engagement. Une organisation qui néglige de nommer un nouvel ASE détenant la cote de sécurité appropriée risque la suspension de sa VOD ou de son ASI.

Exigences minimales pour la nomination de remplaçants supplémentaires

À l'exception des organisations composées d'une seule personne, il est impératif de nommer au moins un remplaçant à l'installation de l'organisation où se trouve le bureau de l'ASE, et au moins 2 ASERs pour chaque installation supplémentaire de l'organisation où sont conservés des renseignements et des biens de nature délicate.

Un ASER doit au moins :

  1. être un citoyen canadien ou un résident permanent ainsi qu'un employé de l'organisation
  2. avoir subi l'enquête de sécurité pour l'obtention d'une cote de fiabilité approfondie dans le cadre d'une VOD
  3. avoir subi une enquête de sécurité pour l'obtention d'une cote de fiabilité approfondie dans le cadre d'une attestation de sécurité d'installation, sans autorisation de détenir des renseignements (ADR) classifiés
  4. avoir subi l'enquête de sécurité pour l'obtention d'une ASI, sans ADRs. Cette exigence comporte des exceptions pour certaines ASIs de niveau Très secret et installations de type OTAN. Veuillez consulter votre agent local de la sécurité industrielle (ALSI) pour de plus amples informations
  5. relever de l'ASE pour toutes les questions ayant trait à la sécurité

Nomination d'agents de sécurité d'entreprise remplaçants

L'ASE procède à la nomination des remplaçants de l'organisation. Pour nominer un ASER, l'ARCHIVÉE – Annexe 1-B : Formulaire de nomination d'un agent de sécurité d'entreprise remplaçant et accusé de réception et engagement de SPAC doit être soumis pour approbation. PSC de SPAC ne discute pas des questions de sécurité ni ne remet quoi que ce soit à un remplaçant tant qu'elle n'a pas reçu et approuvé la nomination consignée sur le formulaire susmentionné. La nomination ne devient officielle que lorsqu'une copie remplie en bonne et due forme du formulaire a été retournée à l'organisation.

104. Attributions de l'agent de sécurité d'entreprise

  1. Relativement à la VOD ou à de l'ASI, l'ASE est chargé :
    1. de réviser les exigences de sécurité définies dans la liste de vérification des exigences relatives à la sécurité (LVERS) ou dans les clauses de sécurité des contrats, et de s'assurer que toutes ces exigences sont respectées
    2. d'obtenir l'approbation du PSC de SPAC avant d'attribuer en sous-traitance des contrats comportant des exigences en matière de sécurité
    3. effectuer des mises à jour et des relèvements des attestations de sécurité conformément au format requis et aux délais établis
    4. de nommer tous ses remplaçants, de leur donner leurs instructions et d'assurer leur formation
    5. de nommer, parmi ses remplaçants nommés, celui qui exercera ses fonctions en son absence
    6. de déterminer les employés qui doivent avoir accès à des renseignements et à des biens classifiés et protégés ou à des établissements de travail protégés et classifiés et à veiller à ce qu'ils reçoivent de la documentation précise et complète sur l'enquête de sécurité
    7. pour les VOD, de s'assurer que tous les ASEs et les ASERs sont munis d'une attestation de sécurité au niveau de la fiabilité
    8. dans le cas des ASIs, de s'assurer que tous les CSCs de l'organisation, les ASE et les remplaçants sont munis de l'attestation de sécurité du plus haut niveau d'accès requis
    9. s'il y a lieu, de faire subir des entrevues préventives aux employés
    10. de s'assurer que le personnel assiste à une séance d'information sur la sécurité dès qu'il a été avisé de son habilitation sécuritaire ou de sa cote de fiabilité en remplissant le certificat d'enquête de sécurité et profil de sécurité
    11. de s'assurer que seul le personnel ayant fait l'objet d'une enquête de sécurité au niveau approprié et ayant des motifs valables d'en prendre connaissance (besoin de connaître) a accès à des renseignements et à des biens protégés et classifiés ou à des établissements de travail dont l'accès est contrôlé conformément aux exigences des contrats
    12. de tenir une liste à jour des employés titulaires d'une attestation de sécurité conformément au ARCHIVÉE - chapitre 2 du présent manuel
    13. de veiller à ce que les dossiers d'enquête de sécurité du personnel soient protégés comme il se doit
    14. de veiller à ce que le certificat d'enquête de sécurité et profil de sécurité, soit déposé pour mettre fin à la cote de fiabilité ou l'attestation de sécurité des employés qui n'ont plus besoin d'avoir accès à des renseignements et à des biens classifiés ou protégés ou à des établissements de travail dont l'accès est contrôlé conformément aux exigences des contrats
    15. de concert avec les représentants de la sécurité du client, s'assurer que le client donne, aux employés travaillant dans les établissements de ce client, de l'information sur toutes les exigences pertinentes en matière de sécurité
    16. de s'assurer que les formulaires de demande de visite sont remplis en bonne et due forme et présentés à qui de droit
    17. d'informer le PSC de SPAC de tout changement dans la situation juridique ou la propriété de l'organisation, et, dans le cas des ASI, de toute modification apportée à la liste des CSCs
    18. d'informer au préalable le PSC de SPAC de tout déplacement physique ou de toute nouvelle construction susceptible d'avoir des répercussions sur la protection des renseignements et des biens protégés et classifiés
    19. documenter et signaler les changements de la situation ou de comportement du personnel en ce qui a trait à l'état des attestations de sécurité selon les modalités exposées dans ce manuel
    20. documenter et signaler les contacts persistants ou inhabituels d'une autre personne, ou tentés par une autre personne, pour obtenir l'accès à des renseignements et à des biens de nature délicate, ou à des lieux de travail sécurisés sans autorisation
  2. Par rapport à une VOD ou à une ASI assortie d'une cote de protection de documents, l'ASE est également chargé :
    1. de rédiger des consignes de sécurité (consultez l'ARCHIVÉE – Annexe 1-C : Consignes de sécurité) et de s'assurer que tout le personnel ayant accès à des renseignements et à des biens protégés et classifiés a été renseigné sur ses responsabilités en matière de sécurité dans le cadre d'un programme de sensibilisation efficace
    2. de nommer, s'il y a lieu, un coordonnateur de la sécurité informatique d'entreprise et des remplaçants au besoin
    3. de nommer, s'il y a lieu, des responsables des ressources à la sécurité des communications (COMSEC – Communications security) et leurs remplaçants conformément aux dispositions du Manuel de contrôle du matériel industriel COMSEC
    4. de s'assurer que tous les renseignements et biens protégés et classifiés sont protégés et manipulés conformément aux dispositions du présent manuel
    5. de s'assurer que les ASEs procèdent à au moins une inspection annuelle de toutes les installations de l'organisation où sont gardés des renseignements et des biens protégés et classifiés et que les rapports consécutifs à ces inspections sont conservés pendant au moins 3 ans
    6. de produire au moins un répertoire annuel des renseignements et des biens classifiés et protégés
    7. de s'assurer que toutes les violations de la sécurité sont consignées et font l'objet d'une enquête ultérieure
    8. de s'assurer que le PSC de SPAC est immédiatement averti de toute atteinte à la sécurité ou de toute compromission de l'information et qu'un rapport écrit lui est présenté dans les meilleurs délais. Les enquêtes sur les atteintes à la sécurité ou sur les cas de compromission de l'information sont coordonnées par le PSC de SPAC
  3. Pour garantir que les questions de sécurité sont abordées de la bonne façon et font l'objet d'une coordination adéquate, il est nécessaire que l'ASE soit le contact officiel avec le PSC de SPAC. Dans la plupart des cas, celui-là communiquera avec celle-ci par l'entremise du gestionnaire de la Division des opérations de sécurité industrielle. Qu'elles soient écrites ou orales, les communications avec PSC de SPAC ne devraient être faites que par l'entremise de l'ASE, de son ou ses remplaçants ou du chef de la direction de l'organisation

105. Agent général de sécurité d'entreprise

  1. Lorsqu'une organisation mère canadienne dont les installations ont fait l'objet d'une attestation de sécurité possède une ou plusieurs filiales au Canada ayant également fait l'objet d'une attestation de sécurité, elle devrait nommer un agent général de sécurité d'entreprise (AGSE) qui sera chargé globalement des questions de sécurité industrielle propres à l'administration fédérale au nom de l'ensemble de l'organisation. L'agent général est un citoyen canadien et fait rapport à un CSC désigné de l'organisation relativement à toutes les questions de sécurité. La nomination d'un agent général ne remplace pas l'obligation de disposer d'un ASE à chaque filiale ayant fait l'objet d'une attestation de sécurité et qui détient des renseignements ou des biens protégés et classifiés, mais elle renforce la capacité de l'organisation mère de surveiller et d'uniformiser les mesures de sécurité dans l'ensemble de l'organisation
  2. L'AGSE est nommé par le chef de la direction ou le CSC désigné de l'organisation mère. Pour nominer un AGSE, l'ARCHIVÉE – Annexe 1-A : Formulaire de nomination d'un agent général ou d'un agent de sécurité d'entreprise - accusé de réception et engagement de SPAC doit être soumis pour approbation. Elle ne devient officielle que lorsqu'une copie remplie en bonne et due forme du formulaire a été retournée à l'organisation
  3. Sauf indication contraire de PSC de SPAC, pour le remplacer et exercer ses fonctions en cas d'absence, l'AGSE désigne un de ses collègues comme remplaçant officiel et en informe le PSC de SPAC

Annexes

Signaler un problème sur cette page
Date de modification :