Orientations sur l'utilisation ou la fourniture de solutions infonuagiques pour les données techniques associées aux marchandises contrôlées

Communiqué : le 28 novembre 2022

À la suite du communiqué du 9 avril 2021 intitulé « Obligation des fournisseurs de services infonuagiques d’être inscrits au Programme des marchandises contrôlées (PMC) », voici des orientations à l’intention des inscrits au Programme et des fournisseurs de services infonuagiques inscrits au PMC concernant la sauvegarde des données techniques associées à des marchandises contrôlées à l’aide d’une solution infonuagique.

Sur cette page

Responsabilité partagée

Les personnes et les organisations qui examinent, possèdent ou transfèrent des marchandises contrôlées, y compris toutes les données techniques associées, sont tenues de s’inscrire au PMC.

Lorsqu’un fournisseur de services infonuagiques permet le stockage et le traitement des données techniques associées à des marchandises contrôlées à l’aide de ses solutions, comme des logiciels, des plateformes ou des infrastructures, ce fournisseur est considéré comme possédant réellement ou de droit les données techniques associées aux marchandises contrôlées. À cette fin, ces fournisseurs de services infonuagiques sont tenus d’obtenir et de maintenir une inscription valide au PMC.

Les fournisseurs de services infonuagiques et leurs clients inscrits au Programme partagent la responsabilité dans leurs domaines de contrôle respectifs de protéger adéquatement les données techniques associées à des marchandises contrôlées, indépendamment des solutions infonuagiques utilisées.

Pour obtenir de plus amples renseignements sur les modèles de déploiement et de service en nuage, veuillez consulter la publication en ligne du Centre canadien pour la cybersécurité (CCC) sur les modèles de l’infonuagique (ITSAP.50.111).

Orientations pour les inscrits au Programme

Il incombe aux inscrits au Programme de déterminer si les solutions infonuagiques conviennent à leurs activités commerciales particulières, y compris celles relatives au stockage et au traitement des données techniques associées à des marchandises contrôlées. Ils doivent examiner régulièrement les contrôles de sécurité de leurs propres services et systèmes d’information, et surveiller et gérer en permanence les risques liés à la sécurité de leurs propres informations et actifs de technologie de l'information (TI).

Pour obtenir des renseignements sur la manière de mener les processus de gestion des risques, d’évaluation et d’autorisation de sécurité infonuagique dans les contextes des secteurs public et privé, veuillez consulter le document Guide sur l’évaluation et l’autorisation de la sécurité infonuagiques (ITSP.50.105). Ces évaluations et processus aident les inscrits à comprendre l’efficacité globale de leurs propres contrôles de sécurité, ainsi que ceux mis en œuvre par un fournisseur de services infonuagiques.

Sélection d’un fournisseur de services infonuagiques

Pour stocker les données techniques associées aux marchandises contrôlées, les inscrits au Programme doivent utiliser uniquement les solutions infonuagiques proposées par les fournisseurs qui sont inscrits au PMC. Une liste partielle des inscrits au Programme des marchandises contrôlées, y compris les fournisseurs de services infonuagiques, est disponible en ligne.

Lors de la sélection d’un fournisseur de services infonuagique inscrit, les inscrits au Programme doivent divulguer au fournisseur leur intention d’utiliser des solutions infonuagiques pour stocker ou traiter des données techniques associées à des marchandises contrôlées. Ils devraient s’informer sur les contrôles de sécurité de la solution infonuagique qui peuvent être utilisés pour atténuer les risques liés à l’accès non autorisé à ces données. Les inscrits au Programme sont responsables du choix et de la mise en œuvre de leurs propres contrôles de sécurité et d’autres mesures visant à gérer les risques résiduels.

Les inscrits au PMC doivent également demander d’examiner toutes les certifications et évaluations de sécurité officielles, indépendantes et de tiers, afin de s’assurer que le fournisseur de services infonuagiques respecte les normes du secteur, telles que celles de l’Organisation internationale de normalisation (ISO) et du Contrôle des systèmes et de l’organisation (COS).

Le CCC évalue les fournisseurs de services infonuagiques, dans le cadre du Processus d’évaluation de la sécurité des technologies de l’information s’appliquant aux fournisseurs de services infonuagiques (ITSM.50.100). La liste des fournisseurs de services infonuagiques actuellement approuvés par le gouvernement du Canada est disponible en ligne. Veuillez noter que tous les fournisseurs répertoriés ne sont pas également inscrits au PMC. De plus, d’autres fournisseurs de services infonuagiques inscrits au PMC qui ne figurent pas sur cette liste peuvent être utilisés pour le stockage des données techniques associées à des marchandises contrôlées.

Emplacement des données

Les inscrits au Programme devraient prendre note des options pour l’emplacement des données afin de s’assurer que leurs données techniques associées à des marchandises contrôlées soient stockées uniquement sur les serveurs situés au Canada. Pour les données stockées sur des serveurs situés à l’extérieur du Canada, Affaires mondiales Canada doit être consultée pour des orientations supplémentaires sur les exigences applicables en matière de licences d’exportation.

Accès restreint

Les inscrits au Programme doivent appliquer le principe du moindre privilège en surveillant et en restreignant l’accès à leurs données techniques associées à des marchandises contrôlées dans le nuage. L’accès ne peut être accordé qu’aux employés qui ont fait l’objet d’une évaluation de sécurité, conformément à l’article 15 du Règlement sur les marchandises contrôlées (le Règlement).

Les inscrits au PMC doivent s’assurer que l’accès à leur solution infonuagique n’est obtenu que par une connexion sécurisée utilisant, par exemple, un réseau privé virtuel ou le protocole de sécurité de la couche de transport (TLS) avec des profils de connexion d’utilisateur. Des politiques d’authentification multifactorielle et de mot de passe avec des capacités d’audit et de journalisation sont également recommandés.

Pour d’autres mesures visant à protéger les données techniques associées à des marchandises contrôlées, les petites et moyennes entreprises devraient consulter la publication du CCC sur Les meilleures mesures pour renforcer la cybersécurité des petites et moyennes entreprises (ITSAP.10.035).

Assistances technique

Lorsqu’ils demandent une assistance technique, les inscrits au Programme doivent informer leur fournisseur de services infonuagique si les données techniques associées à des marchandises contrôlées sont vulnérables. Les inscrits au Programme devraient également :

Chiffrement

Les inscrits au Programme devraient s’assurer que les données techniques associées à des marchandises contrôlées sont chiffrées lors du téléchargement ou du transfert de ces données vers le nuage. Par exemple, la Federal Information Processing Standard (FIPS) 140-2 des États-Unis est une norme de chiffrement utilisée par les ministères et organismes fédéraux pour protéger les données sensibles du gouvernement du Canada dans leurs déploiements en nuage. Il est également utilisé pour protéger les données non classifiées, chiffrées de bout en bout et contrôlées par l’International Traffic in Arms Regulations (ITAR) aux États-Unis. Les clients inscrits au PMC pourraient aussi envisager d’utiliser des mécanismes d’authentification résistants à l’hameçonnage.

Déclaration

Les inscrits au Programme doivent respecter les obligations de déclaration en vertu de l’article 10 du Règlement. Les dossiers tenus doivent porter sur les données techniques associées à des marchandises contrôlées téléchargées, stockées ou traitées dans une solution infonuagique, y compris la description et la date des données reçues, transférées ou éliminées, conformément à l’article 10(a) du Règlement.

Plan de sécurité

Les inscrits au Programme doivent établir et mettre en œuvre un plan de sécurité en vertu de l’article 10(e) du Règlement. Ce plan devrait indiquer en détail ce qui suit :

Plus de plus amples renseignements sur les plans de sécurité.

Atteintes à la sécurité

Les inscrits au Programme doivent signaler au PMC toute atteinte à la sécurité portant sur les données techniques associées à leurs marchandises contrôlées stockées sur une solution infonuagique, comme l’exige l’article 10(h) du Règlement. Les fournisseurs de services infonuagiques peuvent signaler les incidents de sécurité liés à l’environnement infonuagique eux-mêmes, mais les inscrits sont tenus de déterminer si l’incident affectera spécifiquement leurs données

Conseils pour les fournisseurs de services infonuagiques inscrits

Tout fournisseur de services infonuagiques qui permet l’utilisation de ses solutions infonuagiques pour le stockage de données techniques associées à des marchandises contrôlées est considéré comme en possession réelle et/ou constructive de ces données. Ces fournisseurs de services infonuagiques sont tenus d’obtenir et de conserver une inscription valide au PMC. Bien que le fournisseur ne puisse pas lire ou examiner autrement les données stockées, ces données ont été transférées sous le contrôle du fournisseur de services infonuagiques. Ainsi, ils partagent avec leurs clients la responsabilité de protéger les données techniques associées à des marchandises contrôlées sur leurs solutions infonuagiques.

Les fournisseurs de services infonuagiques devraient fournir aux inscrits au Programme des renseignements décrivant leurs solutions infonuagiques, y compris des conseils sur les divers contrôles et fonctions de sécurité qui peuvent être utilisées pour protéger les données techniques associées à des marchandises contrôlées. Les fournisseurs devraient faire l’objet d’audits et de vérifications de conformité par des tiers, comme au moyen de la norme ISO/Commission électrotechnique internationale (CEI) 27001, ISO/CEI 27017 ou COS 2 Type II.

Les fournisseurs devraient être prêts à fournir de telles certifications et de tels rapports d’audit valides aux clients éventuels afin de démontrer leur conformité aux normes de l’industrie.

Soutien technique

Lorsque l’accès aux données techniques associées aux marchandises contrôlées d’un client est inévitable, le fournisseur de services infonuagiques doit s’assurer que seuls les employés qui font l’objet d’une évaluation de sécurité en vertu de l’article 15 du Règlement ont accès à ces données. Lorsqu’il fournit une assistance technique, le fournisseur doit :

Tenue des dossiers

Les fournisseurs de services infonuagiques peuvent ne pas avoir la capacité de suivre et de déclarer les données techniques associées aux marchandises contrôlées stockées ou traitées dans leurs solutions infonuagiques, tel qu’il est exigé par :

Toutefois, les fournisseurs devraient tenir des dossiers des clients qui utilisent ou qui ont l’intention d’utiliser leurs solutions infonuagiques pour stocker ou traiter des données techniques associées à des marchandises contrôlées. Ils peuvent le faire en demandant aux clients potentiels de divulguer cette intention lorsqu’ils s’inscrivent à une solution infonuagique ou établir autrement les obligations contractuelles pour la location de ce client.

Grâce à ces dossiers, les fournisseurs de services infonuagiques resteront largement au courant des données techniques associées aux marchandises contrôlées qui peuvent être stockées sur leurs solutions infonuagiques, et respecteront partiellement les conditions d’inscription prévues aux articles 10a) et i) jusqu’à ce que le Règlement soit officiellement mis à jour.

Plan de sécurité

Les fournisseurs inscrits sont tenus d’établir et de mettre en œuvre un plan de sécurité, tel qu’indiqué à l’article 10(e) du Règlement. Au minimum, le plan doit porter sur les divers contrôles de sécurité physiques, techniques et administratifs utilisés pour protéger les biens matériels de leurs solutions infonuagiques et ceux utilisés pour assurer l’intégrité de l’environnement infonuagique lui-même.

Le plan devrait reconnaître que les données doivent rester au Canada pendant le transit ou pendant le repos et noter toute exception possible. Le plan devrait également comprendre des procédures de protection des données techniques sur les marchandises contrôlées en cas de maintenance d’urgence.

Incidents de sécurité

Les fournisseurs de services infonuagiques demeurent responsables d’informer leurs clients de tout incident de sécurité touchant l’environnement infonuagique. Toutefois, il se peut que ces fournisseurs ne connaissent pas les données précises qui pourraient être touchées. Seul un inscrit au programme peut déterminer si un incident particulier implique les données techniques associées aux marchandises contrôlées stockées dans le nuage.

Les inscrits au Programme sont tenus de signaler les atteintes à la sécurité au PMC, comme l’exige l’article 10(h) du Règlement.

Contactez-nous

Si vous avez des questions concernant le présent communiqué, veuillez communiquer avec le personnel du Programme des marchandises contrôlées.

Date de modification :