Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC)

• Exigences stratégiques du Conseil du Trésor sous la Politique sur la sécurité du gouvernement ^{Référence R8} et la Politique sur les services et le numérique ^{Référence R9}, et des directives comme l’Orientation sur la gestion des rustines ^{Référence R10} et le Guide sur la consignation d’événements ^{Référence R11} du GC.
• Leçons tirées d’événements passés, stratégies d’atténuation, exercices, scénarios de tests.
• Recommandations périodiques des principaux organismes chargés de la sécurité (POCS).
• Pratiques exemplaires dans l’industrie.
• Coordonnées à jour et attribution de boîtes aux lettres génériques qui sont régulièrement surveillées.
• Répertoires ministériels à jour des services critiques et de leurs applications, renseignements et systèmes/technologies de soutien.

• Application de mesures de protection et de prévention pour assurer la sécurité des systèmes.
• Mise en pratique des leçons apprises.
• Révision des plans, processus, directives et outils de gestion des événements de cybersécurité à l’échelle du GC.
• Exercices, scénarios et tests afin de valider régulièrement l’efficacité du PGEC GC et des PGEC ministériels.
• Formation de sensibilisation du personnel à la sécurité.
• Révision des plans (y compris les PGEC ministériels), des processus et des procédures des ministères, afin qu’ils concordent avec le PGEC GC.
• Connaissance des systèmes de l’ensemble du GC qui sont jugés critiques.
• Des rôles et des responsabilités clairs et documentés, y compris pour la gestion des cyberévénements et la mise en œuvre de mesures de sécurité documentées dans les contrats avec des tiers, les ententes internes (selon le cas) et les ententes d’interconnexion du gouvernement du Canada.

• Rapports de menaces et de renseignements obtenus des intervenants de la gestion des événements du GC ou de sources externes (fournisseurs, code source libre, entre autres).
• Rapports d’incidents obtenus des intervenants de la gestion des événements du GC, des ministères ou de sources externes.

• Rapports ministériels et pangouvernementaux d’évaluation de l’incidence, et communications publiques possibles.
• Établissement d’un niveau d’intervention global.
• Recensement des événements qui nécessitent une intervention coordonnée dans l’ensemble du gouvernement.
• Recours aux organes de gouvernance du PGEC GC ou du PFIU, s’il y a lieu.

• Rapports d’incidents
• Renseignement
• Résultats de l’analyse judiciaire
• Autres éléments (politiques, légaux, etc.)
• Rapports d’évaluation de l’incidence
• Plans de continuité des activités et plans de reprise après sinistre

• Rapports de situation (RAPSIT)
• Registre des changements
• Plan d’intervention
• Atténuation de la menace ou de la vulnérabilité (s’il y a lieu)
• Confinement et éradication de l’incident (s’il y a lieu)
• Reprise continue des activités normales

• Examen de la chronologie des événements
• Registre des changements
• Examen des procédures d’établissement de rapports et de communication, et de la possibilité qu’offrent les produits.
• Analyse de la cause première
• Autres intrants importants obtenus des intervenants concernés du PGEC

• Rapport des leçons apprises produit par les ministères
• Rapports du GC donnant suite à un événement
• Leçons apprises et plan d’action à l’échelle du GC (s’il y a lieu)
• Recommandations visant à améliorer des instruments de politique, le processus de gestion des événements de cybersécurité, la formation ou l’architecture de sécurité de l’organisation.

Les intervenants qui sont les principaux responsables de la coordination de tous les événements qui répondent aux critères d’une intervention du PGEC du gouvernement du Canada de niveau 2 et supérieur Ceci tient compte des menaces possibles, des vulnérabilités, et des incidents confirmés.

• Secrétariat du Conseil du Trésor du Canada (SCT)
  • Bureau de la dirigeante principale de l’information (BDPI)
  • Communications stratégiques et affaires ministérielles (CSAM)
• Centre canadien pour la cybersécurité (Centre pour la cybersécurité), qui fait partie du Centre de la sécurité des télécommunications (CST).

Intervenants qui participent au processus du PGEC GC en cas d’incidents de cybersécurité confirmés ou de cybermenaces qui relèvent de leur mandat particulier. ^{Note de bas de page 5}

• Bureau du Conseil privé (BCP)
  • Sécurité et renseignements (S et R)
• GRC
  • Groupe national de coordination contre la cybercriminalité (GNC3)
  • Police fédérale
• Service canadien du renseignement de sécurité (SCRS) – Cyber
• Ministère de la Défense nationale/Forces armées canadiennes (MDN/FAC) – Opérations de gestion de l’information
• Sécurité publique Canada – Direction générale de la cybersécurité nationale (DGCN)
• Affaires mondiales Canada (AMC)

Intervenants qui participent au processus de gestion des événements de cybersécurité du GC et à qui on peut faire appel pour des cybermenaces ou des incidents confirmés.

• Centre des opérations du gouvernement (COG) de Sécurité publique Canada
• Bureau du Conseil privé (BCP)
  • Communications stratégiques (CS)
• Comité canadien chargé des systèmes nationaux de sécurité (CCSNS)
• Comité des directeurs généraux sur la gestion des urgences (CDGGU)
• Ministères
  • Services juridiques
  • Équipe de gestion des événements
  • Équipe de l’accès à l’information et de la protection de la vie privée (gestion des atteintes à la vie privée)
  • Équipe de communications (comm.)
• Organisations de services internes intégrés (comme Services partagés Canada)
• Partenaires externes
• Fournisseurs tiers

Principaux intervenants des POCS

• BDPI du SCT (Directeur)
• Centre pour la cybersécurité (Directeur)
• CSAM du SCT (Directeur)

Mobilisation (en fonction de l’événement)

• Intervenants spécialisés des POCS
• Autres intervenants
  • OSI de la DGSRS de SPC (Directeur)
  • Ministères concernés (ADCS)

Activés par les événements de niveau 2 ou d’un niveau supérieur du PGEC GC

• Appuyer la coordination centrale pour la gestion et la réponse à toutes les menaces et vulnérabilités.
• Établir et participer à des centres de crise cybernétiques pour cerner, évaluer et atténuer la menace ou la vulnérabilité (les coprésidents de l’ECE désignent l’intervenant chargé d’établir le centre de crise cybernétique).
• Collaborer avec les principaux intervenants pour proposer conjointement des plans d’atténuation recommandés.
• Faire appel à des fournisseurs tiers, au besoin.
• Au niveau 3 ou au-delà, veiller à ce que la connaissance de la situation soit maintenue au niveau des DG en informant activement les membres du comité de gestion des incidents (EGE) de l’évolution du PGEC.

Activés par les événements de niveau 2 ou d’un niveau supérieur du PGEC GC

• Appuyer la coordination centrale et l’échange de renseignements pour la gestion et la réponse à tous les événements.
• Établir et participer à des centres de crise cybernétiques pour cerner, évaluer et atténuer l’incident (les coprésidents de l’ECE désignent l’intervenant chargé d’établir le centre de crise cybernétique).
• Collaborer avec les principaux intervenants pour proposer conjointement des plans d’atténuation recommandés.
• Faire appel à des fournisseurs tiers, le cas échéant.
• Au niveau 3 ou au-delà, veiller à ce que la connaissance de la situation soit maintenue au niveau des DG en informant activement les membres du comité de gestion des incidents (EGE) de l’évolution du PGEC.

Principaux intervenants

• DPSI GC
• CSAM du SCT (Directeur(-trice) général(e) (DG))
• Centre pour la cybersécurité (DG)

Mobilisation (en fonction de l’événement)

• Intervenants spécialisés des POCS
• Autres intervenants
  • OSI de la DGSRS de SPC (Directeur)
  • Ministères concernés (DPI, ADCS ou son (sa) délégué(e).)

Activés par les événements de niveau 3 ou d’un niveau supérieur du PGEC GC

• Informer les hauts fonctionnaires du GC (p.ex., les mémoires de décision, les RAPSIT et les plans d’atténuation qui nécessitent l’approbation du SMA), de façon continue, selon les besoins.
• Fournir une connaissance de la situation, une direction exécutive et des conseils à l’ECE.
• Établir et participer à des centres de crise cybernétiques pour cerner, évaluer et atténuer la menace ou la vulnérabilité.
• Faire appel à des fournisseurs tiers, le cas échéant.

Activés par les événements de niveau 3 ou d’un niveau supérieur du PGEC GC

• Informer les hauts fonctionnaires du GC (p.ex., les mémoires de décision, les RAPSIT et les plans d’atténuation qui nécessitent l’approbation du SMA), de façon continue, selon les besoins.
• Fournir une connaissance de la situation, une direction exécutive et des conseils à l’ECE.
• Établir et participer à des centres de crise cybernétiques pour cerner, évaluer, atténuer et se rétablir de l’incident.
• Faire appel à des fournisseurs tiers, au besoin.
• En tant que sous-comité de l’EGE, mettre en place un centre de commandement de l’incident au niveau du DG comprenant les principaux intervenants (y compris les ministères touchés), afin de permettre des décisions rapides liées à l’incident et d’assurer une approche coordonnée pour le rétablissement en cas de compromissions et les mesures correctives, en soutien à la reprise des activités.

Le SCT assure la surveillance et l’orientation stratégiques du processus de gestion des événements de cybersécurité^{Note de bas de page 7}, veillant à la bonne coordination des événements pour faciliter la prise de décisions et de réduire au minimum l’incidence sur le gouvernement et les pertes pour le GC.

Dans le cadre de ce plan, la dirigeante principale de l’information du Canada (la DPI du GC) défend les intérêts de l’ensemble du gouvernement durant les événements de cybersécurité qui touchent, ou peuvent toucher, l’exécution des programmes et la prestation des services, en abordant des sujets qui comprennent la réponse globale du GC aux événements de cybersécurité et les mesures prises à l’échelle de l’organisation en vue de protéger les systèmes d’information du GC. Cela comprend les responsabilités suivantes :

• donner suite aux décisions de gestion des risques de cybersécurité en émettant des directives obligatoires aux ministères en réponse aux événements de cybersécurité^{Note de bas de page 8} (p. ex., appliquer des mesures de sécurité ou de déconnecter des systèmes du réseau ayant mis le GC à risque, au besoin);
• renseigner le bureau du sous-ministre délégué et les niveaux supérieurs, au besoin, en plus de conseiller les CSMA sur les questions liées aux événements, comme la sécurité et les opérations des systèmes et réseaux de la TI du GC, la prestation des services et la confiance dans le gouvernement;
• présider un comité composé des DPI des ministères, le CDPI; par l’entremise de ce dernier, la DPI du DC peut émettre des directives à l’intention des DPI des ministères en ce qui concerne les activités de gestion des événements de cybersécurité, en particulier les activités qui favorisent l’atténuation des événements ou la reprise des activités.

Le Bureau de la dirigeante principale de l’information (BDPI) du SCT appuie la DPI du GC et assume des responsabilités de surveillance stratégique, notamment :

• établir, tenir à jour et mettre à l’essai le PGEC GC et les procédures connexes, conformément à la Politique sur la sécurité du gouvernement ^{Référence R8} et à la Politique sur les services et le numérique ^{Référence R9};
• assurer la coordination stratégique des interventions du GC en réponse aux événements de cybersécurité prioritaires (habituellement les événements de niveau 3, ou lorsque des événements de niveau 2 le nécessitent), ce qui comprend :
  • le rôle de coprésident et de secrétariat de toutes les équipes de gouvernance du PGEC GC aux côtés du Centre pour la cybersécurité (y compris les décisions de renvoi à un niveau supérieur ou inférieur en coordination avec le Centre pour la cybersécurité);
  • l’évaluation, en collaboration avec le Centre pour la cybersécurité et d’autres partenaires, de l’incidence des cybermenaces, des vulnérabilités et des incidents de sécurité sur l’ensemble des programmes et services du GC, afin de faciliter l’établissement de rapports et l’établissement des priorités à l’échelle du gouvernement;
  • la prestation de conseils aux ministères et organismes (par l’entremise de la DPI du GC) sur l’adoption de mesures permettant de réduire au minimum l’incidence des événements de cybersécurité importants sur l’ensemble du gouvernement;
  • la mise en place d’un centre de commandement de l’incident au niveau des DG et d’un sous-comité de l’EGE, afin de permettre des décisions rapides en cas d’incident et d’assurer une approche coordonnée pour le rétablissement en cas de compromissions et les mesures correctives, en vue de la reprise des activités.
• fournir des conseils au Comité de gestion des urgences (CGU) des directeurs généraux (DG) au cours des événements de cybersécurité de niveau 4;
• veiller à ce que l’équipe des CSAM du SCT reçoive en temps opportun les renseignements nécessaires pour élaborer des produits de communication et veiller à ce que l’approche coordonnée et harmonisée soit en place pour les communications publiques parmi les intervenants, selon le Cadre de communication en matière de cybersécurité des CSAM du SCT ^{Référence R16};
• analyser les rapports après événement, et recenser les leçons apprises dans l’ensemble du gouvernement, s’il y a lieu, afin d’améliorer la Politique sur la sécurité, la Politique sur la protection de la vie privée ou l’architecture s’y rapportant;
• recevoir des rapports d’atteintes importantes à la vie privée de la part des institutions;
• fournir des conseils à l’échelle du gouvernement sur la gestion des atteintes à la vie privée.

De plus, les responsabilités du SCT en matière de communications stratégiques, au moyen de sa division des Communications stratégiques et affaires ministérielles (CSAM), comprennent :

• agir comme porte-parole désigné au nom du gouvernement du Canada pour tout événement de cybersécurité ayant une incidence sur la prestation des programmes et des services du gouvernement, généralement pour les événements de niveau 3 ou plus (ou lorsque cela est justifié par des événements à d’autres niveaux);
• pour les événements de niveau 4, les CSAM du SCT appuieront les Communications de Sécurité publique Canada, qui assument les responsabilités de communication stratégique pour les événements qui relèvent de leur compétence (c’est-à-dire les événements de niveau 4) conformément au PFIU.
• appuyer les organisations concernées en élaborant ou en partageant, tant à l’interne (à l’échelle du GC) qu’à l’externe, du matériel de communication qui vise toutes les étapes de la gestion des événements de cybersécurité, en collaboration avec le Centre pour la cybersécurité et les Communications stratégiques du Bureau du Conseil privé (CS du BCP), et en consultation avec les équipes de communication provenant des intervenants concernés du PGEC;
• de déterminer s’il est nécessaire de faire des déclarations publiques (proactives et réactives), et le cas échéant, de choisir le moment;
• d’approuver tous les plans de communication (communication interne ou destinée aux clients/intervenants ou au grand public), en collaboration avec les organisations concernées et les Communications stratégiques du BCP.

Le Centre pour la cybersécurité est hébergé dans le Centre de la sécurité des télécommunications (CST). Dans le cadre du PGEC GC, le Centre pour la cybersécurité est le centre national de coordination du Canada pour prévenir, atténuer, et se remettre des événements de cybersécurité^{Note de bas de page 9} touchant le gouvernement du Canada, se préparer, et intervenir, au besoin.

Dans le cadre de ce plan, le Centre pour la cybersécurité est chargé de :

• collaborer avec le BDPI du SCT en tant qu’un des principaux intervenants du POCS;
• assurer la coordination opérationnelle, ce qui comprend l’envoi de conseils techniques et d’avis aux ministères et organismes qui préconisent l’adoption de mesures permettant d’atténuer ou de circonscrire l’incidence sur les systèmes des ministères et le suivi de ces mesures et l’établissement de rapports connexes (tous les événements);
• mobiliser les organisations internationales de contrepartie, comme les équipes d’intervention internationales en cas d’incident lié à la sécurité de la TI et les cybercentres nationaux dans le cadre des activités de coordination, au besoin.

La GRC est le principal organisme de sécurité responsable de remplir les fonctions liées aux enquêtes criminelles à l’échelle du gouvernement^{Note de bas de page 10}.

Dans le contexte de ce plan, la GRC est chargée de :

• diriger les enquêtes criminelles dans le cas d’incidents de cybersécurité liés à une activité criminelle, y compris une activité terroriste;
• participer aux équipes de gouvernance du PGEC GC à titre de guide et de conseiller, lorsque l’incident de cybersécurité ou la cybermenace le nécessite;
• coordonner et appuyer les enquêtes multijuridictionnelles sur la cybercriminalité en collaboration avec les forces de l’ordre, le gouvernement fédéral et d’autres partenaires. Participer aux équipes de gouvernance du PGEC GC à titre de guide et de conseiller, lorsque l’incident de cybersécurité ou la cybermenace le nécessite.

Le SCRS a pour mandat d’enquêter sur les menaces à la sécurité nationale^{Note de bas de page 11}, y compris le cyber-espionnage, le cybersabotage, le cyberterrorisme et les activités cybernétiques influencées par l’étranger, et de conseiller le gouvernement en conséquence.

Dans le cadre de ce plan, le SCRS est responsable de :

• diriger l’enquête sur les incidents de cybersécurité qui constituent une menace pour la sécurité du Canada, comme défini par la Loi sur le SCRS (y compris l’espionnage, le sabotage, le terrorisme, les activités influencées par l’étranger et la subversion).
• Au besoin, s’il y a des motifs raisonnables de croire qu’une cyberactivité particulière constitue une menace pour la sécurité du Canada ou des Canadiens, le SCRS est autorisé à prendre des mesures pour réduire la menace.
• Participer aux équipes de gouvernance du PGEC à titre de guide et de conseiller, lorsque l’incident de cybersécurité ou la cybermenace le nécessite.

Le MDN-CAF est chargé d’intervenir en cas de cybermenaces, de vulnérabilités ou d’incidents de sécurité visant les systèmes militaires^{Note de bas de page 12}.

Dans le cadre de ce plan, le MDN-CAF est responsable de :

• diriger les enquêtes dans le cas de tous les incidents de cybersécurité liés à des activités menaçant l’intégrité des systèmes militaires (soit les systèmes qui appuient directement les opérations, de même que les systèmes d’armes);
• apporter de l’aide et de l’assistance à d’autres ministères publics, sur demande;
• participer aux équipes de gouvernance du PGEC à titre de guide et de conseiller, lorsque l’incident de cybersécurité ou la cybermenace le nécessite.

Sécurité publique Canada, par l’intermédiaire de sa Direction nationale de la cybersécurité (DNC), qui relève de la Direction générale de la sécurité nationale et de la cybersécurité, dirige et coordonne la politique et la stratégie nationales de cybersécurité du Canada, et fournit des conseils au ministre sur les incidents et les événements de cybersécurité touchant les systèmes gouvernementaux et non gouvernementaux.

Sécurité publique coordonne l’intervention globale en cas d’événements importants qui pourraient avoir une incidence sur la sécurité et la sûreté des Canadiens et des Canadiennes. Le Centre des opérations du gouvernement (COG), décrit dans le tableau C-1.3, fait partie de la Direction générale de la gestion des urgences de Sécurité publique.

Dans le cadre de ce plan, la Direction nationale de la cybersécurité de Sécurité publique Canada est chargée de participer aux équipes de gouvernance du PGEC à titre de guide et de conseiller.

AMC est responsable de la conduite des relations internationales du Canada, y compris de la collaboration avec ses partenaires et ses alliés pour contrer les cybermenaces internationales.

Dans le cadre de ce plan, AMC est responsable de :

• préparer des messages internationaux liés à la gestion des événements de cybersécurité, en collaboration avec la division des CSAM du SCT, les Communications du Centre pour la cybersécurité, et la division CS du BCP, et en consultation avec les équipes des Communications des intervenants concernés du PGEC;
• coordonner avec les partenaires internationaux (d’un État à l’autre), les alliés et les autres homologues du ministère des Affaires étrangères et communiquer avec eux dans le cadre d’un cyberévénement qui se déroule au Canada, même s’il n’y a pas de coordination interterritoriale en cause;
• fournir des conseils en matière de politique étrangère et une coordination internationale dans le cadre d’un cyberévénement ayant des ramifications internationales;
• diriger les efforts de coordination du gouvernement du Canada en vue d’élaborer des déclarations publiques d’attribution d’une cyberactivité malveillante à un acteur étranger ou à ses mandataires.

SPC est chargé de la planification, de la conception, de l’élaboration, de l’exploitation, du soutien et de la tenue à jour de services d’infrastructure organisationnelle de sécurité de la TI efficaces, efficients et réceptifs afin de protéger les données et les systèmes du gouvernement du Canada sous sa responsabilité^{Note de bas de page 19}. Cela comprend la gestion d’outils à l’appui de la surveillance des réseaux et des appareils électroniques du ministère^{Note de bas de page 20}.

Dans le cadre de ce plan, SPC est responsable de :

• surveiller la santé des infrastructures de sécurité et des activités inhabituelles sur les réseaux gérés par SPC;
• bloquer et atténuer les cybermenaces visant les réseaux ou les données gérés par SPC;
• signaler un événement de sécurité intéressant au Centre pour la cybersécurité et aux ministères clients au moyen du Centre pour la cybersécurité, au besoin;
• répondre aux recommandations du Centre pour la cybersécurité et du SCT, et veiller à ce que les mises à jour et les mesures d’atténuation soient appliquées en temps opportun;
• participer à l’identification des événements de cybersécurité et à leur atténuation, à l’évaluation des risques, à la reprise des activités et aux analyses après événement dans le GC;
• évaluer l’incidence des cybermenaces, des vulnérabilités et des incidents de sécurité sur l’ensemble des programmes et services du GC, afin de faciliter l’établissement de rapports à l’échelle du gouvernement à remettre au Centre pour la cybersécurité et au SCT;
• mettre en œuvre des efforts en matière de prévention, d’atténuation et de reprise des activités, et la livraison opportune de rapports aux principaux intervenants du PGEC GC pour les tenir au fait de la situation;
• en cas d’événement de cybersécurité, coordonner avec les partenaires afin de déterminer si une infrastructure qu’il gère doit être fermée ou isolée du réseau en établissant et en mettant en œuvre un plan de gestion des rustines, y compris un processus de correction d’urgence, pour la portée des services et des systèmes relevant de sa responsabilité;
• établir des rapports et concevoir d’autres produits d’information à l’intention des principaux intervenants du PGEC GC, y compris :
  • état de la vulnérabilité et de l’atténuation pour les organisations touchées;
  • les journaux de sécurité de l’infrastructure vers le Centre pour la cybersécurité.
  • établir des rapports après événement, y compris la chronologie des événements et une analyse de la cause première et les soumettre au Centre pour la cybersécurité, au SCT et à d’autres organisations concernées, au besoin (p. ex., BCP).

Le COG dirige et appuie la coordination des interventions en réponse à tout type d’événement qui menace les intérêts nationaux. En tout temps, il assure la surveillance, établit des rapports, offre une connaissance de la situation à l’échelle nationale, élabore des évaluations intégrées du risque et de produits d’avertissement, effectue la planification à l’échelle nationale et coordonne une gestion pangouvernementale des interventions. Pendant les périodes d’intervention accrue, le COG bénéficie de l’appui du personnel d’autres organisations.

Dans le cadre de ce plan, le GOC est responsable de :

• surveiller des événements de niveau 3 et de cybersécurité plus élevés pour la signalisation progressive, comme :
  • préparer, à l’intention des centres des opérations de l’ensemble du gouvernement, des produits d’avertissement et de sensibilisation;
  • établir des plans et procéder à des évaluations des risques;
  • informer les organes de gouvernance du PFIU;
• assurer le maintien d’un lien entre le PGEC et le  Protocole d’échange d’information sur les incidents marquants (PEIIM);
• recommander l’activation du PGEC, s’il prend connaissance d’un incident marquant avec un lien cybernétique;
• recommander la signalisation progressive du PEIIM si un incident cybernétique soulève des préoccupations dans le cadre du PEIIM;
• coordonner l’intervention globale du GC aux événements qui relèvent du PFIU (niveau 4) et assurer la coordination entre les aspects cybernétiques et non cybernétiques ;
• veiller à ce que l’équipe des communications de la SP reçoive en temps opportun les renseignements nécessaires pour élaborer des produits de communication et veiller à ce que l’approche coordonnée et harmonisée soit en place pour les communications publiques parmi les intervenants de niveau 4.

En sa qualité de principal prestataire de conseils impartiaux au premier ministre et au Cabinet, le BCP, participe à la formulation et à la mise en œuvre du programme politique du GC et à la coordination des solutions opportunes aux problèmes d’importance nationale, internationale ou intergouvernementale auxquels le GC est confronté. À ce titre, l’équipe S et R du BCP joue un rôle de premier plan dans la coordination des interventions pangouvernementales en réponse aux urgences sécuritaires nationales.

Dans le cadre de ce plan, l’équipe S et R est chargée :

• d’appuyer le processus décisionnel en veillant à ce que les hauts fonctionnaires soient rapidement informés des incidents de cybersécurité pouvant avoir une importance nationale ou des implications sur la sécurité nationale;
• de contribuer aux équipes de gouvernance du PGEC GC à titre de guide et de conseiller, lorsque l’incident ou la menace national particulier le nécessite.

De plus, l’équipe des communications stratégique (CS) du BCP joue un rôle au cours d’incidents cybernétiques marquants, notamment :

• fournir des conseils en matière de communication au Cabinet et aux cadres supérieurs du BCP;
• coordonner les communications à l’échelle du gouvernement (en collaboration avec les équipes des Communications de SP et du CST [Centre pour la cybersécurité]), y compris la gestion de crise, pendant un événement de cybersécurité.

Le CCSNS, présidé par le sous-ministre du Centre pour la cybersécurité et la DPI du GC (ou son/sa délégué(e)), élabore et assure la gouvernance d’une approche globale des systèmes de sécurité nationale, y compris l’établissement d’un plan de gestion des incidents qui s’applique à tous les systèmes de sécurité nationale du GC.

Dans le contexte de ce plan, les responsabilités du CCNSS comprennent :

• offrir de la visibilité aux organes de gouvernance du PGEC GC dans des situations qui peuvent aussi avoir des incidences sur les systèmes qui ne font pas partie des systèmes nationaux de sécurité;
• collaborer avec le BDPI du SCT et le Centre pour la cybersécurité lorsqu’il y a des incidences sur les services et les systèmes qui relèvent du PGEC GC et qui sont responsables de la gouvernance du CCSNS (p. ex., Infrastructure secrète du GC).

Le CDGGU est composé d’institutions fédérales dont les mandats statutaires sont essentiels pour faire progresser un Canada résilient aux catastrophes, ainsi que d’un large éventail d’institutions fédérales dont les mandats de gestion des urgences peuvent être pertinents. Le Comité est chargé de promouvoir une perspective de l’ensemble de la société sur les questions horizontales de gestion des urgences.

Dans le contexte du PGEC GC, le CDGGU est l’interface entre les organes de gouvernance du PFIU durant les événements de niveau 4, assurant au besoin la liaison avec les comités du SMA, du SM et du Cabinet.

Les ministères et organismes jouent un rôle clé dans la gestion des événements de cybersécurité dans l’ensemble du gouvernement, qu’ils soient ou non directement concernés par l’événement. La gouvernance, les plans et les procédures ministériels doivent être élaborés pour appuyer les rôles et les responsabilités ministériels liés à la gestion des événements de sécurité et aux plans de continuité des activités en place conformément à la Politique sur la sécurité du gouvernement ^{Référence R8} et aux directives et normes connexes.

Dans le cadre de ce plan, les ministères et organismes, en collaboration avec le représentant chargé de diriger la fonction de gestion de la cybersécurité du Ministère (p. ex., ADCS, sont chargés de :

• veiller à ce que les exigences en matière de cybersécurité et les mesures appropriées fondées sur le risque soient appliquées en permanence selon une approche de détermination, de protection, de détection, d’intervention et de récupération pour protéger, conformément à la Directive sur la gestion de la sécurité, annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information^{Note de bas de page 15};
• établir un plan ministériel de gestion des cyberévénements, y compris des rôles et des responsabilités clairs lorsqu’il peut y avoir divers intervenants jouant un rôle dans la réponse aux activités du PGEC GC^{Note de bas de page 16} (p. ex., équipe de gestion des incidents, équipe de l’accès à l’information et protection des renseignements personnels [pour la gestion des atteintes à la vie privée], représentants des Communications ministérielles, et organisations de services internes intégrés [telles que SPC]);
• veiller à ce que les exigences de la direction et les exigences relatives à l’établissement de rapports liés aux événements de cybersécurité soient clairement stipulées dans les contrats, les protocoles d’entente et les autres accords officiels conclus avec des partenaires externes (p. ex., des fournisseurs du secteur privé et d’autres ordres de gouvernements) et à ce que ces contrats, protocoles et accords tiennent compte des exigences établies dans les instruments de politique applicables du GC et des ministères, ainsi que dans le PGEC GC, entre autres instruments;
• tenir à jour un répertoire des services critiques et assurer une compréhension continue de l’ensemble des renseignements, afin de faciliter les interventions ou l’établissement des priorités;
• veiller à ce qu’un plan ministériel de gestion des rustines, y compris des rôles et des responsabilités clairs et des procédures de gestion des rustines en cas d’urgence, soit établi et maintenu;
• veiller à ce que la consignation des événements soit configurée dans les systèmes informatiques gérés par les ministères et que les registres soient transmis au système centralisé de consignation des événements et des renseignements de sécurité;
• assurer une surveillance continue de la sécurité de l’information pour les services et les systèmes relevant de la compétence du ministère (p. ex., applications et services de la TI gérés par le ministère, comme les postes de travail, les environnements d’informatique en nuage, entre autres);
• contrôler les produits d’information technique du Centre pour la cybersécurité et d’évaluer leur applicabilité aux systèmes d’information que gèrent et possèdent les ministères;
• tenir à jour des boîtes aux lettres génériques pour le DPI, l’ADCS et les équipes de la sécurité de la TI du ministère qui sont compatibles avec l’ICP pour prendre en charge des communications sécurisées;
• analyser l’incidence des cybermenaces, des vulnérabilités et des incidents de sécurité sur leurs programmes et leurs services;
• signaler les événements et les incidents de cybersécurité, conformément aux articles 2.3.1.2 à 2.3.1.4 du présent plan, notamment :
  • suivre les protocoles appropriés en cas d’atteinte à la vie privée, y compris la communication de renseignements importants sur la vie privée au Commissariat à la protection de la vie privée du Canada et au Secrétariat du Conseil du Trésor du Canada (conformément à la Directive sur les pratiques relatives à la protection de la vie privée);
  • aviser le Centre pour la cybersécurité lorsqu’on a besoin d’aide supplémentaire pour exécuter des activités d’intervention;
  • aviser l’autorité compétente chargée de l’application de la loi ou de la sécurité nationale lorsqu’un événement est de son ressort;
  • prendre des mesures immédiates au sein du ministère pour évaluer les incidences, y compris s’il y a atteinte à la vie privée, et mettre en œuvre des mesures d’atténuation en réponse à des événements de cybersécurité^{Note de bas de page 15};
• répondre aux DI dans les délais impartis;
• mettre en œuvre des mesures d’atténuation et d’appuyer les activités de reprise sur la base des directives et de l’orientation émises par les POCS ou les organismes centraux;
• participer aux équipes de gouvernance du PGEC GC sur demande (habituellement lorsqu’un événement de cybersécurité les concerne);
• élaborer et de publier des produits de communication appropriés de gestion pour les intervenants et clients (en consultation avec CSAM/SCT et CS/BCP ou sous leur direction, au besoin);
• réaliser des analyses après événement et de préparer des rapports sur les leçons qu’ils ont apprises (valable pour les événements concernés), et en présenter les résultats au Centre pour la cybersécurité;
• tenir à jour et améliorer continuellement leur capacité d’intervention, y compris, notamment, la mise en application des leçons apprises (dans le ministère et dans l’ensemble du gouvernement), la mise en pratique périodique de leurs plans et procédures, la tenue à jour de listes de personnes-ressources internes, et la formation du personnel responsable d’intervenir en cas d’événement de cybersécurité.

L’OSII, comme définie dans la Politique sur la sécurité du gouvernement ^{Référence R8}, est un ministère ou un organisme qui fournit des services intégrés internes à d’autres ministères du gouvernement du Canada. Les OSII doivent établir des mécanismes afin d’informer leurs bénéficiaires des événements de cybersécurité qui ont une incidence sur leurs systèmes ou leurs données. Il s’agit notamment de fournir aux bénéficiaires les données dont ils ont besoin pour préparer, en temps opportun, des rapports d’incident et des réponses aux demandes d’intervention, ainsi que toute autre preuve numérique requise afin d’appuyer les activités d’atténuation, de rétablissement et post-événement des ministères.

Les ministères et organismes comptent souvent sur divers partenaires externes au GC pour appuyer la prestation des programmes et des services, y compris d’autres ordres de gouvernement et des partenaires universitaires ou scientifiques, entre autres. Les partenaires externes sont tenus de gérer les événements de cybersécurité et d’en rendre compte conformément aux stipulations des accords respectifs des propriétaires des services des ministères.

Les fournisseurs tiers comprennent des organismes du secteur privé comme les fournisseurs de services d’informatique en nuage (FSIN) et les fournisseurs de services gérés (FSG). Alors qu’un FSG est une entreprise qui gère à distance l’infrastructure informatique et les systèmes de l’utilisateur pour le compte d’un client, un FSIN dicte à la fois la technologie et les procédures opérationnelles disponibles pour le consommateur (p. ex., les ministères et organismes). Les fournisseurs tiers sont tenus de gérer les événements de cybersécurité et d’en rendre compte conformément aux stipulations des accords contractuels respectifs prévus par les responsables des services du ministère, dans le cadre de l’approche ministérielle de gestion des risques liés à la chaîne d’approvisionnement.

Dans le cadre de ce plan, les fournisseurs tiers sont censés :

• intervenir rapidement en cas d’un incident qui a une incidence sur l’information et les biens du GC afin de minimiser les dommages qui en résultent. Le GC ou le fournisseur tiers peut identifier des cyberévénements (p. ex., des problèmes d’utilisation d’un service);
• gérer et rendre compte des cyberévénements conformément aux stipulations des accords contractuels respectifs fournis par les propriétaires de services du Ministère;
• travailler en collaboration avec le Centre pour la cybersécurité et les ministères concernés pour obtenir les informations nécessaires, y compris les journaux d’événements, afin de mener des enquêtes et d’appuyer les activités de confinement, d’éradication et de reprise.

Coordonnées

Nom, numéro de téléphone, adresse de courriel, organisme/ministère, et rôle.

Type de demande

Demande d’aide (Urgente/Non urgente) ou renseignements seulement.

Description/résumé de l’incident

Description de l’incident cybernétique en répondant au plus grand nombre possible des questions suivantes :

• Quand l’activité a-t-elle eu lieu?
• Quand l’activité a-t-elle été découverte?
• L’activité malveillante est-elle toujours en cours?
• Quels types d’actifs sont touchés (p. ex., téléphone, site Web, ordinateur, compte/services, autre)?
• Quelle est l’incidence de l’incident sur votre organisation ou vos services (p. ex., étendue et gravité)?
• La situation est-elle maîtrisée?
• Des artefacts ont-ils été conservés? (p. ex., adresses de courriel, adresses IP, fichiers suspects, note de rançon, fichiers journaux, etc.)

Renseignements supplémentaires

Tous autres renseignements, y compris les références, les détails sur le périphérique, les indicateurs comme les adresses URL, les adresses IP, les mesures d’atténuation prises, et autres.

• La déclaration d’un événement de niveau 2 du PGEC GC est déterminée conjointement par les cadres au niveau des directeurs du Centre pour la cybersécurité et du BDPI du SCT.
• Une mise à jour est diffusée aux intervenants opérationnels par le Centre pour la cybersécurité.
• Par la suite, le Centre pour la cybersécurité mettra sur pied une ECE en tant qu’organe central de coordination. L’ECE se réunira à une fréquence convenue pour faciliter l’échange de renseignements et la résolution, les représentants d’ECE fournissant les mises à jour opérationnelles de leur ministère respectif.
• Les organisations participantes du PGEC GC sont responsables de désigner les chefs de l’opération (principaux et secondaires) et les experts qui doivent assister à chaque réunion.
• Au cours de ces réunions, les ministères fourniront au Centre pour la cybersécurité des mises à jour approfondies sur tous les types d’intervention et de coordination en cas d’incident, aux fins de la création d’un rapport de situation (RAPSIT) officiel.
• Un renvoi à un niveau d’intervention supérieur peut se produire si des efforts accrus d’atténuation sont nécessaires, si l’incidence d’un événement est plus importante ou si la situation exige une intervention accrue du GC.
• On fera également appel au Cadre de communication en matière de cybersécurité des CSAM du SCT.

• La déclaration d’un événement de niveau 3 du PGEC GC est déterminée conjointement par les cadres au niveau des directeurs du Centre pour la cybersécurité et du BDPI du SCT (p. ex. la DPSI GC).
• Le Centre pour la cybersécurité diffusera une mise à jour aux intervenants opérationnels.
• Le Centre pour la cybersécurité mettra en place une EGE et peut inclure des ministères touchés, selon la taille et l’étendue de la compromission. En plus de l’ECE, l’EGE se réunira régulièrement.
• En tant que sous-comité de l’EGE, le BDPI du SCT mettra en place un centre de commandement de l’incident au niveau du DG comprenant les principaux intervenants (y compris les ministères touchés), afin de permettre des décisions rapides liées à l’incident et d’assurer une approche coordonnée pour le rétablissement en cas de compromissions et les mesures correctives, en soutien à la reprise des activités.
• L’ECE continuera de se réunir et de coordonner régulièrement les activités en cours. Le Centre pour la cybersécurité continuera de publier les rapports centraux du RAPSIT. Des représentants des ministères touchés, de Services partagés Canada (s’il y a lieu), du BDPI du SCT et des POCS participeront à la réunion et fourniront le mémoire de leur ministère sur les importantes mises à jour opérationnelles.
• On fera également appel au Cadre de communication en matière de cybersécurité des CSAM du SCT.

• Lorsqu’un événement du PFIU est déclaré par la Sécurité publique, les cadres au niveau des directeurs généraux du Centre pour la cybersécurité, du BDPI du SCT (p. ex. la DPSI GC) et du COG, en consultation avec l’EGE, recommanderont à la DPI du GC si un événement de niveau 4 du PGEC GC doit être déclaré, conformément au cadre de coordination de l’intervention du PFIU.
• Si la DPI du GC approuve le renvoi d’un événement au niveau 4 du PGEC GC, le COG activera le PFIU.
• Les intervenants du PGEC GC continueront de remplir leurs mandats respectifs au GC et continueront de coordonner les activités en cours aux côtés des équipes d’événements du PFIU.
• L’ECE et l’EGE continueront de se réunir et de coordonner régulièrement les activités en cours. Le Centre pour la cybersécurité continuera de publier les rapports centraux du RAPSIT. Des représentants des ministères touchés, de Services partagés Canada (s’il y a lieu), du BDPI du SCT et des POCS participeront à la réunion et fourniront le mémoire de leur ministère sur les importantes mises à jour opérationnelles.
• On fera appel au Cadre de communication en matière de cybersécurité des CSAM du SCT, en coordination avec le PFIU.

• Lorsque la Sécurité publique abandonne un événement du PFIU qui a déclenché un événement de niveau 4 du PGEC GC, le niveau du PGEC GC passe automatiquement au niveau 3.
• Une mise à jour sera diffusée à tous les intervenants opérationnels, au besoin.
• Les réunions de l’EGE et de l’ECE continueront d’avoir lieu, de même que l’établissement de rapports central et continue du RAPSIT du Centre pour la cybersécurité en lien avec l’événement de niveau 3 du PGEC GC.
• Le Cadre de communication en matière de cybersécurité des CSAM du SCT sera invoqué.

• La diminution du niveau d’intervention sera déterminée conjointement par les cadres au niveau des directeurs généraux du Centre pour la cybersécurité et du BDPI du SCT (p. ex. la DPSI GC), qui organiseront une conférence pour déterminer la gravité actuelle du cyberévénement.
• Une mise à jour sera diffusée à tous les intervenants opérationnels, le cas échéant.
• Le Centre pour la cybersécurité mettra fin à l’EGE.
• Les réunions de l’ECE continueront d’avoir lieu, de même que l’établissement de rapports centrale et continue du RAPSIT du Centre pour la cybersécurité.
• Le Cadre de communication en matière de cybersécurité des CSAM du SCT sera invoqué.

• La diminution du niveau d’intervention sera déterminée conjointement par les cadres au niveau des directeurs généraux du Centre pour la cybersécurité et du BDPI du SCT, selon la gravité actuelle du cyberévénement.
• Une mise à jour sera diffusée à tous les intervenants opérationnels, le cas échéant.
• Le Centre pour la cybersécurité va mettre fin à l’ECE.
• Des activités après événement seront menées, conformément à la section 4.4.
• Les CSAM du SCT appuieront les organisations dans la transition vers les communications de niveau 1.