Modifications apportées aux instruments de politique liés à la Politique sur les services et le numérique – trois nouvelles exigences obligatoires
De : Dirigeante principale de l’information du gouvernement du Canada
Aux : Administrateurs généraux, dirigeants principaux de l’information ministériels et dirigeants principaux de la sécurité
Objet : Modifications apportées aux instruments de politique liés à la Politique sur les services et le numérique
Message :
Chers collègues,
J’aimerais profiter de cette occasion pour vous remercier de votre appui constant à assurer la mise en place d’approches intégrées en matière de gouvernance, de planification et de gestion de la cybersécurité au gouvernement du Canada (GC). Les administrateurs généraux sont responsables de s’assurer que « les exigences en matière de cybersécurité et les mesures axées sur le risque qui sont appropriées soient gérées en permanence au moyen d’une approche d’identification, de protection, de détection, d’intervention et de reprise des systèmes et des services d’information ». De plus, la préparation et la soumission de votre Plan ministériel sur les services et le numérique annuel prévoient :
- une approche axée sur les données pour mesurer la conformité aux configurations de sécurité de base minimales énoncées dans la Politique sur les services et le numérique;
- une évaluation de la cybermaturité ministérielle;
- facilite l’identification des risques ministériels en matière de cybersécurité.
Dans ce contexte, le Bureau de la dirigeante principale de l’information (BDPI) ajuste régulièrement l’ensemble de ses politiques en vertu de la Politique sur les services et le numérique, afin de mieux répondre aux besoins émergents en matière de cybersécurité. L’Évaluation des cybermenaces nationales 2023-2024 du Centre canadien pour la cybersécurité souligne l’augmentation significative du nombre et de la sophistication des acteurs de la cybermenace qui profitent de la dépendance à l’égard des technologies connectées à Internet pour mener des activités malveillantes. Compte tenu de la sophistication et de la fréquence croissantes des cyberattaques, le GC doit demeurer vigilant et continuer à renforcer ses défenses, au besoin.
À cette fin, j’ai le plaisir d’annoncer 3 nouvelles exigences obligatoires en matière de configuration dans le cadre de l’annexe G : Norme sur les configurations courantes des services de la TI intégrée de la Directive sur les services et le numérique. Ces nouvelles exigences servent à faire évoluer la base minimale de la cybersécurité du GC, comme suit :
- Les exigences relatives à la configuration des imprimantes définissent la base de sécurité minimale pour les imprimantes en tant qu’équipements spécialisés qui stockent et traitent des données.
- Les exigences de configuration de l’infrastructure à clé publique (ICP) établissent une approche cohérente pour la technologie de l’ICP, en remplacement de la Ligne directrice sur la gestion de l’infrastructure à clé publique au gouvernement du Canada, qui n’est plus d’actualité.
- Les exigences de configuration relatives aux signatures électroniques facilitent une approche numérique des signatures à l’appui des activités commerciales quotidiennes du GC.
En plus de ces nouvelles exigences, des mises à jour ont été apportées à la Ligne directrice sur les services et le numérique afin d’aider les ministères et les organismes à veiller à ce que les mesures appropriées en matière de cybersécurité soient appliquées.
Ces nouveaux instruments de politique en matière de cybersécurité devraient être mis en œuvre d’ici le 16 août 2023. La conformité continuera d’être assurée dans le cadre du Plan ministériel sur les services et le numérique. Une période de transition plus longue peut être justifiée pour certaines organisations, le cas échéant, j’empresse vos fonctionnaires à communiquer avec mon équipe, à ZZTBSCYBERS@tbs-sct.gc.ca, pour définir la marche à suivre.
Je vous encourage à partager ces mises à jour avec les responsables désignés et les collègues de votre organisation. Mon équipe continuera à travailler avec les ministères et les organismes afin d’appuyer la mise en œuvre de la Politique sur les services et le numérique.
Pour toute question, veuillez communiquer avec nous, à ServiceDigital-ServicesNumerique@tbs-sct.gc.ca.
Catherine Luelo (She / Her / Elle)
Sous-ministre et dirigeante principale de l’information du Canada
Gouvernement du Canada