La migration vers la cryptographie post-quantique au sein du gouvernement du Canada : Avis de mise en œuvre de la Politique sur la sécurité

Sur cette page

1. Date d’entrée en vigueur
2. Objectif
3. Portée
4. Application
5. Contexte
6. Direction
7. Surveillance de la conformité
8. Demandes de renseignements

1. Date d’entrée en vigueur

Le présent avis de mise en œuvre de la Politique sur la sécurité (AMOPS) entre en vigueur le 9 octobre 2025.

2. Objectif

Le présent AMOPS vise à renforcer les exigences énoncées dans la Politique sur la sécurité du gouvernement et la Politique sur les services et le numérique afin :

d’atténuer les risques que les ordinateurs quantiques représentent pour la sécurité de la cryptographie utilisée dans les services, les systèmes et les dispositifs du gouvernement du Canada (GC);
de réaliser des progrès mesurables de la migration vers la cryptographie post-quantique au sein du GC.

3. Portée

Le présent AMOPS s’applique à tous les systèmes d’information du GC (organisationnels ou intégrés) qui utilisent la cryptographie. Les systèmes qui font appel à la cryptographie comprennent les services réseau, les systèmes d’exploitation, les applications, les filières de développement de code et tous les biens physiques de la technologie de l’information (TI).

4. Application

Le présent AMOPS s’applique aux organisations énumérées à la section 6 de la Politique sur la sécurité du gouvernement.

5. Contexte

Le GC, comme toutes les autres organisations gouvernementales et privées dans le monde, est confronté à la menace qu’un futur ordinateur quantique (souvent appelé ordinateur quantique cryptographiquement pertinent) soit suffisamment puissant pour casser les algorithmes cryptographiques modernes. Si des acteurs malveillants utilisent un ordinateur quantique cryptographiquement pertinent, ils seront en mesure de casser de nombreux algorithmes cryptographiques sur lesquels repose l’infrastructure de TI du GC.

Pour contrer ce risque, on a conçu et normalisé des algorithmes cryptographiques qui ne sont pas vulnérables aux attaques quantiques. Ces algorithmes constituent ce que l’on appelle la cryptographie post-quantique (CPQ). Comme il est indiqué dans le document Feuille de route pour la migration vers la cryptographie post-quantique au sein du gouvernement du Canada (ITSM.40.001) du Centre canadien de cybersécurité (Centre pour la cybersécurité), tous les organismes qui gèrent des systèmes de TI doivent procéder à la migration des composants de cybersécurité afin de résister aux attaques quantiques et de se protéger contre la menace cryptographique d’un futur ordinateur quantique.

Il est donc essentiel de procéder à la migration vers la CPQ afin de protéger les systèmes du GC contre les menaces futures posées par l’informatique quantique. La migration de la cryptographie actuelle vers la CPQ à l’échelle du GC afin de protéger les communications et les données de ce dernier représente un changement technologique important. Pour mettre en œuvre ce changement, il faudra préparer minutieusement les phases de planification et d’exécution sur une période de plusieurs années. Tout retard dans le processus pourrait entraîner le non-respect du calendrier de migration, ce qui augmenterait le risque d’exposition des données sensibles confiées au GC.

Tous les ministères et organismes jouent un rôle de premier plan afin d’assurer la confidentialité, l’intégrité et la disponibilité de l’information et des réseaux du GC. Selon la Directive sur la gestion de la sécurité, il incombe aux administrateurs généraux de mettre en œuvre des mesures de sécurité afin de protéger les systèmes d’information qui sont sous la garde ou le contrôle de leur organisation. Ces responsabilités comprennent notamment :

protéger la confidentialité, l’intégrité et la disponibilité de l’information et des biens de TI du GC;
prendre des mesures visant à protéger les renseignements personnels.

Les ministères et les organismes doivent comprendre leur utilisation de la cryptographie et analyser leurs systèmes de TI et les composants de leurs systèmes, y compris le matériel et les logiciels de soutien, dans l’ensemble de l’organisation. Étant donné que Services partagés Canada (SPC) gère l’infrastructure et les services de TI pour le compte de nombreux ministères et organismes, il joue un rôle clé pour mener à bien la migration vers la CPQ. Dans le cadre de ce modèle de responsabilité partagée, il existe des interdépendances entre l’infrastructure de SPC et les applications fournies par les programmes et les services ministériels. Par conséquent, il est primordial que les ministères et les organismes collaborent pour contribuer à la réussite de la transition vers la CPQ.

6. Direction

Dans cette section

6.1 Phase 1 : Préparation
6.2 Phase 2 : Détermination
6.3 Phase 3 : Transition

Pour que le GC demeure résilient malgré les menaces quantiques émergentes, il doit protéger de manière proactive son infrastructure numérique en migrant vers une cryptographie à sécurité quantique. Afin de se conformer à l’annexe B de la Directive sur la gestion de la sécurité, et de réduire les risques liés à la cybersécurité du GC conformément à la section 4.4.17 de la Politique sur les services et le numérique, les ministères et les organismes doivent :

mettre en œuvre des mesures pour protéger les systèmes d’information et leurs composants, ainsi que l’information qu’ils traitent et transmettent (section B.2.3.6 de la Directive sur la gestion de la sécurité);
maintenir une confiance raisonnable envers la chaîne d’approvisionnement en matière de TI (section B.2.5 de la Directive sur la gestion de la sécurité), notamment en veillant à la mise en œuvre de mesures de sécurité visant à protéger les systèmes d’information qui servent à traiter ou à transmettre électroniquement de l’information de nature délicate ou sur lesquels on compte pour produire ou livrer les biens ou les services achetés (section F.2.3 de la Directive sur la gestion de la sécurité).

Il est primordial d’établir un plan de migration pour faciliter la transition vers la CPQ. Les trois phases du plan de migration sont décrites ci-dessous :

Phase 1 – Préparation : cette phase consiste à établir un plan initial pour aider à clarifier les rôles et les responsabilités liés au développement et à la migration des systèmes de manière à utiliser la CPQ au sein d’un ministère, en tenant compte des exigences financières et des mises à jour des clauses contractuelles pour que la CPQ fasse partie des activités d’approvisionnement du ministère.
Phase 2 – Détermination : cette phase comprend la découverte des produits cryptographiques afin de déterminer où la cryptographie est utilisée dans les systèmes de TI et la création d’un inventaire des systèmes devant faire l’objet de la migration, y compris la détermination des systèmes hautement prioritaires à migrer vers la CPQ.
Phase 3 – Transition : cette phase comprend les activités de mise en œuvre nécessaires à la migration des systèmes de TI vers la CPQ, selon les priorités établies.

Le plan de migration s’applique aux systèmes d’information qui stockent et traitent de l’information jusqu’au niveau Protégé B. En ce qui concerne les systèmes classifiés et les systèmes traitant l’information Protégé C, les ministères doivent communiquer avec le Centre pour la cybersécurité.

Les sous-sections suivantes décrivent les principales étapes et les activités dans le cadre du présent AMOPS.

6.1 Phase 1 : Préparation

D’ici le 1er avril 2026, les ministères et les organismes devront :

6.1.1 élaborer un plan de migration ministériel de haut niveau qui orientera la phase 1 de la migration des systèmes sous leur responsabilité de manière à utiliser le CPQ;
6.1.2 produire un rapport annuel sur les progrès réalisés relativement à la migration vers la CPQ, avec des mises à jour progressives de leur plan de migration ministériel, conformément à la section 4.1.7 de la Politique sur les services et le numérique.

D’ici le 1er avril 2026, SPC devra :

6.1.3 élaborer un plan de migration de haut niveau qui orientera la phase 1 de la migration des systèmes sous sa responsabilité de manière à utiliser le CPQ. SPC devra communiquer son plan de migration aux ministères et aux organismes pour les aider à établir leur plan de migration et à tenir compte de l’interopérabilité et des dépendances potentielles;
6.1.4 produire un rapport annuel sur les progrès réalisés relativement à la migration vers la CPQ, avec des mises à jour progressives du plan de migration ministériel, conformément à la section 4.1.7 de la Politique sur les services et le numérique.

6.2 Phase 2 : Détermination

D’ici le 1er avril 2027, les ministères et les organismes devront :

6.2.1 mettre à jour leur plan de migration ministériel de haut niveau qui orientera la phase 2 de la migration des systèmes sous leur responsabilité de manière à utiliser le CPQ.

D’ici le 1er avril 2027, SPC devra :

6.2.2 mettre à jour son plan de migration de haut niveau qui orientera la phase 2 de la migration des systèmes sous sa responsabilité de manière à utiliser le CPQ.

D’ici le 1er avril 2028, les ministères et les organismes, y compris SPC, devront :

6.2.3 mettre à jour les dossiers ministériels des systèmes de TI consignés dans l’outil de gestion du portefeuille des applications (GPA) du Bureau du dirigeant principal de l’information du Secrétariat du Conseil du Trésor du Canada (SCT) (accessible uniquement sur le réseau du GC), ou dans un outil comparable, afin de s’assurer que l’information sur les systèmes comprend, au minimum :

Architecture du système et détails cryptographiques
- Les composants de systèmes faisant appel à la cryptographie.
- L’emplacement des composants de systèmes (par exemple, externe ou interne).
- Les algorithmes et les protocoles cryptographiques actuellement utilisés.
- La plateforme hôte.
- Les dépendances du système.
Information sur les fournisseurs et le cycle de vie
- Le fournisseur et la version du produit de chacun des composants.
- Les marchés de service pertinents et les dates d’expiration.
- L’année d’actualisation prévue du système ou de ses composants.
Planification et surveillance de la migration
- La personne-ressource responsable au sein du ministère.
- La priorité accordée à la migration.
- L’état de la migration.
6.2.4 déterminer les systèmes hautement prioritaires à migrer vers la CPQ, tels que ceux qui sont susceptibles d’être exposés à la menace « récolter maintenant, déchiffrer plus tard » (par exemple, les systèmes qui assurent la confidentialité de l’information acheminée par l’intermédiaire de zones de réseaux publics) ou les applications personnalisées;
6.2.5 collaborer avec SPC, par l’intermédiaire du responsable des relations avec les clients de SPC, afin d’examiner les plans (par exemple, mises à niveau ou remplacements) visant à mettre en œuvre la CPQ pour les services fournis par SPC pour le compte du ministère.

6.3 Phase 3 : Transition

D’ici le 1er avril 2026, les ministères et les organismes, y compris SPC, devront :

6.3.1 s’assurer que tous les contrats ayant une composante numérique qui sont conclus après cette date comprennent des clauses liées à l’approvisionnement des systèmes de TI, conformément aux recommandations du Centre pour la cybersécurité sur les clauses liées à l’approvisionnement de la CPQ, qui prennent en charge :
- la CPQ, conformément aux recommandations du Centre pour la cybersécurité énoncée dans l’ITSP.40.111 Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A ET PROTÉGÉ B;
- les modules cryptographiques certifiés dans le cadre du Programme de validation des modules cryptographiques;
- l’agilité cryptographique pour permettre d’éventuels changements de configuration

D’ici le 1er avril 2028, les ministères et les organismes devront :

6.3.2 mettre à jour leur plan de migration ministériel de haut niveau qui orientera la phase 3 de la migration vers la CPQ, y compris établir la priorité des systèmes à migrer;
6.3.3 commencer la migration des systèmes sous leur responsabilité vers une cryptographie à sécurité quantique.

D’ici le 1er avril 2028, SPC devra :

6.3.4 mettre à jour son plan de migration de haut niveau qui orientera la phase 3 de la migration vers la CPQ, y compris établir la priorité des systèmes à migrer;
6.3.5 commencer la migration des systèmes sous sa responsabilité vers une cryptographie à sécurité quantique.

D’ici la fin de 2031, les ministères et les organismes, y compris SPC, devront :

6.3.6 terminer la migration des systèmes hautement prioritaires vers la CPQ.

D’ici la fin de 2035, les ministères et les organismes, y compris SPC, devront :

6.3.7 terminer la migration des autres systèmes vers la CPQ.

7. Surveillance de la conformité

Pour en savoir plus sur les conséquences de la non-conformité, veuillez vous reporter au Cadre stratégique sur la gestion de la conformité (à l’appendice C : Tableau des conséquences pour les institutions et à l’appendice D : Tableau des conséquences pour les personnes).

Le SCT suivra les progrès réalisés et communiquera, au besoin, avec la haute direction des ministères, notamment les dirigeants principaux de l’information, les dirigeants principaux de la sécurité, les agents désignés de la cybersécurité et les agents désignés de l’approvisionnement, si les ministères n’ont pas pris les mesures nécessaires dans les délais impartis susmentionnés.

SPC informera régulièrement le Comité tripartite sur la sécurité de la TI des progrès réalisés à l’égard du plan de migration vers la CPQ en ce qui concerne les composants de l’infrastructure et du réseau gérés par SPC.

8. Demandes de renseignements

Pour obtenir des précisions ou de plus amples renseignements sur le présent avis, veuillez envoyer un courriel à l’adresse suivante : zztbscybers@tbs-sct.gc.ca.

Détails de la page

2025-10-09

Sélection de la langue

Recherche