Gestion de l’identité et de l’accès, phase 3

Résumé de l'évaluation des facteurs relatifs à la vie privée (ÉFVP) multi-institutionnelle - Direction de la sécurité et des affaires internes, Direction générale des finances et de l’administration

Aperçu et amorce d’une EFVP

Institution fédérale

• Agence du revenu du Canada (ARC)
• Agence des services frontaliers du Canada (ASFC)

Il s’agit d’une EFVP multi-institutionnelle visant les deux agences sous la direction de l’ARC.

Fonctionnaire responsable de l’ÉFVP

Roch Huppé
Administrateur supérieur des affaires financières et sous-commissaire, Direction générale des finances et de l'administration - ARC

et

Caroline Weber
Chef de la protection des renseignements personnels et vice-présidente, Services intégrés – ASFC

Responsable de l’institution fédérale ou délégué en vertu de l’article 10 de la Loi sur la protection des renseignements personnels

Marie-Claude Juneau
Coordonnatrice de l’AIPRP - ARC

et

Dan Proulx
Coordonnateur de l’AIPRP - ASFC

Nom et description du programme ou de l’activité de l’institution fédérale

Services de voyages et autres services administratifs :

• Ces services comprennent les services de voyages du gouvernement du Canada, ainsi que les autres services internes qui ne correspondent à aucune autre catégorie de services internes.

Les services internes de l'AAP de l’Agence du revenu du Canada (ARC) comprennent l'activité de sous‑sous‑programme 7.6.9.2 – Sécurité et affaires internes.

Description de la catégorie de document et du fichier de renseignements personnels

Catégories de documents spécifiques à l'institution ou ordinaire :
Sécurité (site Web Info Source)

Proposition de mise en place de Fichier de renseignements personnels (FRP) ordinaire :
Gestion de l'identité et de l'accès (interne)

Autorisation légale pour le programme ou l’activité :

Les renseignements personnels sont recueillis en vertu de l’alinéa 30(1)a) de la Loi sur l’Agence du revenu du Canada, qui accorde à l'ARC la responsabilité de gérer « ses grandes orientations administratives ». La Loi sur l'Agence du revenu du Canada est complétée par la Politique sur la sécurité du gouvernement et la Directive sur la gestion de l’identité du Secrétariat du Conseil du Trésor.

L’autorisation légale de l’ARC de recueillir des renseignements des employés de l'ASFC :

Pour l’administration des comptes utilisateurs par l’Agence du revenu du Canada au nom de l’Agence des services frontaliers du Canada. L’ARC est responsable en vertu de l’alinéa 5(1)c) de la Loi sur l’Agence du revenu du Canada de mettre en œuvre toute entente ou tout accord conclu entre elle et un ministère ou un organisme fédéral et portant sur l’exercice d’une activité ou l’application d’un programme.

L’autorisation légale de l’ARC de recueillir des renseignements des employés de SPC :

L’ARC a conclu une entente de collaboration écrite avec SPC conformément à l’article 61 de la Loi sur l’ARC et corroborée par l’alinéa 5(1)c) de la disposition sur le mandat au sens de la Loi sur l’ARC. Une entente de collaboration écrite pour en assurer la gouvernance est définie dans le « Cadre de gouvernance de la TI de SPC et de l’ARC pour la fourniture de services de technologie de l’information », et le « Protocole de fonctionnement » entre SPC et l’ARC. Les autorisations susmentionnées et le PE rendent l’apport de soutien de l’ARC et la gestion des comptes utilisateurs de SPC une activité ou un programme de l’ARC autorisé. La collecte des renseignements personnels de SPC est une partie de cette activité ou de ce programme de l’ARC.

Résumé du projet, de l'initiative, des modifications

La Direction de la sécurité et des affaires internes de l’ARC établit actuellement un programme de Gestion de l’identité et de l’accès (GIA) et gère simultanément un projet pluriannuel, comportant plusieurs étapes, afin d’optimiser les processus opérationnels de la GIA.

La Gestion de l'identité et de l'accès normalisera et automatisera l'exécution des règles et des processus opérationnels utilisés dans la gestion de l'accès interne aux données de l'ARC. Cela permettra d'améliorer les activités de surveillance, de vérification et d'établissement de rapports relatives à l’identité et à l’attribution des accès pour garantir l'observation des lois pertinentes, des politiques, des normes et des pratiques exemplaires en matière de sécurité. La solution de GIA aidera l'Agence à traiter les risques d’entreprise liés à la protection des renseignements et à satisfaire plus facilement aux exigences en matière de vérification et d'observation et aux exigences prévues par la loi relativement à la gestion des données.

Le projet de GIA prévoit actuellement quatre phases : (1) [Exploration des ressources] d’information : achevé; (2) Synchronisation des identités : achevé; (3) Gestion des mots de passe : en cours d’exécution; et (4) Gestion de l’accès : en cours de planification détaillée.

Phase 3 – Gestion des mots de passe

La Gestion des mots de passe est exécutée dans cette phase du projet de GIA. Les deux produits principaux livrables de cette phase sont la synchronisation des mots de passe et la réinitialisation des mots de passe du libre-service. Cette phase permettra d’élaborer et d’appliquer des normes et des politiques de sécurité pour la gestion des mots de passe dans cinq environnements informatiques. Les utilisateurs de l’Agence des services frontaliers du Canada (ASFC) et de Services partagés Canada (SPC) qui ont besoin d’un accès aux systèmes de l’ARC sont visés par cette phase.

L’ASFC a accepté de participer au projet de GIA parce qu’elle partage l’infrastructure de technologie de l'information (TI) avec l’ARC; tous les comptes d’utilisateurs de l'ASFC sont dans les environnements informatiques administrés par l’ARC.De plus, une grande partie du soutien de l’infrastructure est maintenant effectuée par le personnel de Services partagés Canada (SPC), une agence mise sur pied en août 2011. Le personnel de soutien de SPC titulaire de compte dans les environnements informatiques et assurant l’entretien et le soutien est également concerné par le projet de GIA.

La mise en œuvre devrait avoir lieu en même temps pour toutes les agences, c'est-à-dire au cours du quatrième trimestre de l’exercice 2015-2016.

Détermination et classement des risques

A) Type de programme ou d’activité

Administration des programmes, des activités et des services

L’exploitation de la Mémoire officielle des identités (MOI) dans la phase 2 de la GIA – Synchronisation des identités qui associe cinq grands environnements informatiques internes de la phase 3 de la GIA – Gestion des mots de passe, permettra de centraliser la gestion des mots de passe sur ces environnements informatiques. Le champ d’application fonctionnelle du libre-service sera élargi aux utilisateurs de l’ARC et de l’ASFC de ces environnements et les utilisateurs du RL de Services partagés Canada (SPC) qui ont besoin d’un accès à ces environnements.

Une fois déployé, l'outil misera sur la phase 2 de la GIA en cours – La MOI sera utilisée pour effectuer des réinitialisations de mots de passe en libre-service et/ou déverrouiller des comptes.

Niveau de risque pour la vie privée : 2

B) Type de renseignements personnels en jeu et contexte

Seuls les renseignements personnels, qui ne sont pas de nature délicate dans le contexte, recueillis directement auprès de la personne, ou fournis avec son consentement, aux fins de divulgation en vertu d'un programme autorisé.

Les renseignements qui seront utilisés ont été recueillis directement auprès du particulier par l’ARC et décrits dans le Fichier de renseignements personnels ordinaire Dossier personnel d'un employé – POE 901. Ceci inclut les individus de l’ASFC ainsi que les individus de SPC dans le champ d’application. L’utilisation des renseignements personnels dans le but de confirmer l’identité des personnes pour l’accès aux bases de données gouvernementales est considérée comme une utilisation cohérente de l’information. Il n’y a pas de facteurs contextuels de nature délicate liés aux renseignements personnels. La phase 3 comprendra également de nouveaux renseignements, tels que le mot de passe, les questions d’identification de sécurité sélectionnées par l'utilisateur et des réponses pour l’authentification de l'utilisateur.

Niveau de risque pour la vie privée : 2

C) Partenaires de programme ou d’activité et participation du secteur privé

Autres institutions fédérales

Le personnel du Bureau d’aide de l’ARC et de l’ASFC aura un accès administrateur pour aider les utilisateurs de l’application. Les deux agences, l’ARC et l’ASFC, ont chacun leur propre personnel de Bureau d’aide. Cependant, le personnel du Bureau d’aide de l’ARC est responsable du soutien du personnel de l’ASFC dans les régions. Le personnel de SPC est responsable du soutien de troisième niveau et de l’entretien de l’infrastructure qui comprend les serveurs du système.

Niveau de risque pour la vie privée : 2

D) Durée du programme ou de l’activité

Programme à long terme

L’ARC procède actuellement à la mise en place d’un Programme de gestion de l’accès pour accroître l’efficacité et mieux uniformiser la gestion globale des identités et des accès aux systèmes de l’ARC. Les projets sont en cours pour apporter des améliorations aux processus et aux technologies actuelles afin de permettre au programme de réaliser ses objectifs.

Niveau de risque pour la vie privée : 3

E) Population du programme

Le programme concerne tous les employés à des fins administratives internes.

La portée de la gestion des mots de passe englobe tous les utilisateurs finaux avec un ID utilisateur standard (3 caractères alpha + 3 caractères numériques) qui ont accès au réseau interne. Elle englobe également les utilisateurs de l’ASFC et les utilisateurs de SPC assurant le soutien des systèmes de l’ARC, tel que nous l’avons indiqué précédemment. La portée n’englobe pas toutefois les comptes administrateurs, comptes génériques, les comptes système, les comptes d’essai, les contribuables et les vendeurs.

Niveau de risque pour la vie privée : 2

F) Technologie et vie privée

Est-ce que le programme (nouveau ou modifié) ou l’activité consiste à mettre en œuvre un nouveau système électronique, un logiciel ou un programme d’application, y compris un collecticiel (ou logiciel de groupe) afin d’appuyer le programme ou l’activité en ce qui concerne la création, la collecte ou la manipulation de renseignements personnels?

Risque pour la vie privée : Oui

Des modifications aux anciens systèmes et/ou services de TI sont-elles nécessaires pour l’activité ou le programme nouveau ou modifié?

Risque pour la vie privée : Oui

Le programme (nouveau ou modifié) ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Utilisation d’un mécanisme de surveillance – Dans le système, la synchronisation des mots de passe – ouverture de sessions des agents peut contenir ce qui suit : Les messages d’erreur et de diagnostic (flux de processus, traces) sont enregistrés dans le journal.

Journal du serveur d’applications :
Affiche des renseignements sur toutes les composantes d’une installation du Gestionnaire d’identité et fournit des détails sur toutes les opérations dans le Gestionnaire.

Fichier journal du serveur de répertoires :
Il contient des renseignements sur l’activité qui se produit dans le répertoire utilisateur.
Les authentifications réussies ou échouées, les blocages d’intrusions, les demandes et les approbations de modifications de sécurité pour les utilisateurs et les administrateurs sont enregistrées par la solution.
Toutes les données du journal sont transférées à une table interne de base de données (un journal des sessions), qui enregistre le temps, la date, le type d’événement, l’ID du système cible, l’ID utilisateur du demandeur, l’ID utilisateur du destinataire, l’ID administrateur (le cas échéant), les résultats et les messages d’erreur. Les mots de passe ne sont pas stocké dans les registres ou afficher par le système.

En cas d’allégations d’inconduite d’employé de l’ASFC ou de SPC, le personnel de l’ARC autorisé fournira les fichiers journaux aux Affaires internes des différentes agences aux fins d’enquête.

Utilisation de techniques automatisées d’analyse de renseignements personnels, de recoupement de renseignements personnels et de découverte de connaissances – Dans la phase 3, il n’y a pas d’analyse automatisée de renseignements personnels supplémentaires, les journaux du système d'exploitation sur les serveurs de l’IIAE et les serveurs Windows saisissent les données des opérations dans les journaux. Ces opérations comportent plusieurs éléments d'information, y compris l’ID utilisateur et l’adresse IP de l’appareil de l'utilisateur. Les journaux sont ensuite envoyés au système ArcSight pour analyse, au besoin.

G) Transmission des renseignements personnels

Les renseignements personnels sont transférés à un dispositif portatif ou sont imprimés.

À l’heure actuelle, seul le groupe de soutien de la MOI de l’ARC a accès à la base de données MOI. Cependant, il est prévu que quelques membres du personnel de sécurité de l'ASFC auront accès à la phase 3 fonctions de rapports. Des permissions système seront éventuellement utilisées pour faciliter leurs conditions d'accès. Les données seront séparées de sorte que chaque agence ne voie que ses propres données.

À l’heure actuelle, il n’est pas nécessaire de transférer ces rapports sur un support amovible.

Niveau de risque pour la vie privée : 3

H) Risque possible pour le particulier ou l’employé

Atteinte à la réputation, gêne.

Les données sur les employés, y compris les questions et les mots de passe de sécurité sont classés Protégé « B ».

I) Risque possible pour l’institution

Atteinte à la réputation, gêne et perte de crédibilité.

Dans l’éventualité d’une atteinte à la vie privée ou à la sécurité, il pourrait y avoir des répercussions importantes en raison de la violation de la confidentialité des données traitées sur la plate-forme de GIA en raison des données « protégées » stockées sur les serveurs. Les mesures de protection et les contrôles en place atténuent les risques.