Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC)

De : Secrétariat du Conseil du Trésor du Canada

Dans cette page

1. Introduction

Dans cette section

1.1 Contexte

Les événements de cybersécurité liés aux systèmes d’information du gouvernement du Canada (GC) peuvent avoir une incidence considérable sur la qualité des programmes et des services qui sont offerts aux Canadiens et aux Canadiennes et, par conséquent, sur la confiance qu’ils éprouvent à l’égard du gouvernement. La sécurité du gouvernement et la continuité des programmes et des services du GC dépendent de la capacité des ministères et des organismes, ainsi que de celle du gouvernement dans son ensemble, à gérer les événements de cybersécurité. Il est essentiel d’être en mesure d’intervenir rapidement et de manière cohérente et concertée en cas d’événement de cybersécurité à l’échelle du GC afin d’assurer la sécurité et la résilience  lors de la prestation des programmes et des services gouvernementaux.

1.2 Objet

Le but du présent document est de fournir :

  • un cadre opérationnel pour la gestion des événements de cybersécurité (y compris les cybermenaces, les vulnérabilités et les incidents de sécurité) qui influent ou sont susceptibles d’influer sur la capacité du GC d’offrir des programmes et des services aux Canadiens et aux Canadiennes;
  • un contexte pour les plans et les procédures que les ministères et organismes ont mis en place pour gérer les événements de cybersécurité liés aux programmes et services dont ils sont responsables, conformément à ce planNote de bas de page 1.

1.3 Portée

La portée de ce plan s’applique aux événements de cybersécurité touchant les systèmes d’information du gouvernement du CanadaNote de bas de page 2, qu’elle que soit leur classification, qui :

  • influent ou risquent d’influer sur la prestation des programmes ou des services offerts aux Canadiens et aux Canadiennes ou encore sur le fonctionnement du gouvernement, la sécurité ou la confidentialité des renseignements ou la confiance à l’endroit du gouvernement;
  • nécessitent une solution intégrée à l’échelle du gouvernement afin d’en réduire au minimum les effets et de permettre une atténuation rapide et le prompt rétablissement des programmes et des services.

Ce plan s’applique également aux systèmes d’information du GC considérés comme des systèmes de sécurité nationale (SSN), de toutes classifications, dans le contexte de CCSSN_380, Norme sur la gestion des incidents pour les systèmes de sécurité nationale du Comité canadien chargé des systèmes de sécurité nationale (accessibles uniquement sur le réseau du GC), et ayant trait au besoin de savoir de ces systèmes de renseignements de nature délicate.

De plus, des éléments de ce plan peuvent être mis à profit pour fournir une approche coordonnée à l’échelle du GC pour les événements qui peuvent survenir, notamment :

  • Les événements de sécurité où des renseignements ou des données du GC hébergés sur des systèmes d’information autres que ceux du GC sont ou peuvent être touchés (du point de vue de la confidentialité, de l’intégrité ou de la disponibilité), comme une violation par un tiers.
  • Les incidents de menace interne où il y a un lien cybernétique;
  • Les interruptions importantes des services de la TI touchant l’organisation du GC.

Ce plan ne traite pas de la coordination de la réponse aux événements de cybersécurité pangouvernementaux (p. ex., avec les provinces et territoires, les municipalités, d’autres pays ou des organisations non gouvernementales comme le secteur privé).

1.4 Harmonisation avec d’autres plans et protocoles

Le présent document vient compléter d’autres plans et protocoles du GC, notamment :

1.5 Termes clés

Voici les principales définitions à l’appui du présent plan :

Compromission

Une atteinte à la sécurité du gouvernement. Cela comprend notamment :

  • l’accès, la divulgation, la modification, l’utilisation, l’interruption, la suppression ou la destruction non autorisés de biens ou de renseignements de nature délicate qui entraînent une perte de confidentialité, d’intégrité, de disponibilité ou de valeur;
  • un événements qui se traduisent par une perte d’intégrité ou de disponibilité des services ou des activités du gouvernement.
Cybercrime

Un crime dans lequel un cyberélément (c’est-à-dire des technologies Web et de l’information comme un ordinateur, une tablette ou un téléphone intelligent) joue un rôle substantiel dans la commission du crime Référence R4.

Cybersécurité

L’ensemble des technologies, des processus, des pratiques, des réponses et des mesures d’atténuation ayant été conçus pour protéger l’information électronique et l’infrastructure de l’information contre toute utilisation malveillante ou non autorisée ou toute interruption.

Événement de cybersécurité
Figure 1-1: Types d’événements de cybersécurité, version textuelle ci-dessous :
Figure 1-1 : Types d’événements de cybersécurité
Figure 1-1 - version textuelle

La figure 1-1 présente, à l’aide de quatre cercles, la différence entre les événements de cybersécurité, les incidents de cybersécurité, les vulnérabilités et les cybermenaces, tels qu’ils sont définis dans le PGEC. Le premier grand cercle représente les événements de cybersécurité, et les cercles beaucoup plus petits au sein du premier montrent que les incidents de cybersécurité, les cybermenaces et les vulnérabilités sont un sous-ensemble des événements de cybersécurité.

Un événement, un acte, une omission ou une situation pouvant nuire à la sécurité du gouvernement, y compris les menaces, les vulnérabilités et les incidents (voir la figure 1-1).

Exemples d’événements de cybersécurité

  • la divulgation d’une nouvelle vulnérabilité;
  • un renseignement laissant entendre qu’un auteur de menace planifie des activités cybernétiques malveillantes contre un système d’information du GC;
  • des tentatives de violation du périmètre réseau;
  • des courriels suspects ou ciblés avec liens ou pièces jointes que n’ont pu détecter les systèmes de contrôle en place;
  • une activité sur le réseau suspecte ou non autorisée qui s’écarte de la norme.
Incident de cybersécurité

Tout événement ou série d’événements, tout acte, toute omission ou toute situation qui a entraîné une compromission. Exemples d’incidents de cybersécurité :

  • la violation de données ou la compromission ou corruption de renseignements;
  • des attaques par bourrage d’identifiants;
  • des tentatives d’hameçonnage;
  • l’introduction intentionnelle ou accidentelle d’un logiciel malveillant dans un réseau;
  • des attaques par déni de service;
  • la défiguration ou la compromission de pages Web ou d’une présence en ligne, y compris l’utilisation non autorisée de comptes de médias sociaux du gouvernement du Canada;
  • les tentatives réussies de rançongiciel.

Tous les incidents de cybersécurité sont considérés comme des événements de cybersécurité, mais les événements de cybersécurité ne sont pas tous considérés comme des incidents de cybersécurité (voir la figure 1-1).

Cybermenace
Une activité visant à compromettre la sécurité d’un système d’information en altérant la confidentialité, l’intégrité ou la disponibilité d’un système ou des renseignements qu’il contient Référence R5.
Atteinte à la vie privée
L’accès, la création, la collecte, l’utilisation, la divulgation, la conservation ou la destruction inappropriée ou non autorisée de renseignements personnels.
Vulnérabilité
Une faiblesse dans un système d’information, des procédures de sécurité, des mesures de contrôle internes ou la mise en œuvre d’un système qui pourrait être exploitée ou déclenchée par une source de menace Référence R6.
Exploit de jour zéro
Une attaque à l’encontre d’une vulnérabilité de jour zéro Référence R7.
Vulnérabilités de jour zéro
Une vulnérabilité logicielle qui n’est pas encore connue du fournisseur et qui n’a donc pas été atténuée Référence R7.

1.6 Application

Le plan est préparé dans le cadre des responsabilités conférées au Secrétariat du Conseil du Trésor du Canada (SCT) en vertu de la Politique sur la sécurité du gouvernement (PSG) Référence R8 et s’adresse à tous les ministères et organismes assujettis à la PSG.

1.7 Date d’entrée en vigueur

Le plan entrera en vigueur le 27 octobre 2023. Il remplace la version datée du 10 novembre 2022.

2. Concept des opérations

Dans cette section

La présente section du Plan de gestion des événements de cybersécurité du GC (PGEC GC) décrit le processus de gestion des événements de cybersécurité, détermine les intervenants concernés, définit les niveaux d’intervention en cas d’événement de cybersécurité et les recours aux niveaux supérieurs dans le but de :

  • améliorer la connaissance de la situation des cybermenaces et des vulnérabilités probables, ainsi que des incidents de cybersécurité confirmés, dans l’ensemble du GC;
  • atténuer les menaces et les vulnérabilités avant qu’une compromission ne puisse se produire;
  • réduire au minimum les incidences des cyberévénements sur la confidentialité, l’intégrité ou la disponibilité des programmes et services, des renseignements (y compris les renseignements personnels) et des opérations du gouvernement;
  • améliorer la coordination et la gestion des cyberévénements au sein du GC, y compris la mise en commun des connaissances et de l’expertise du GC;
  • appuyer les pratiques d’évaluation des risques cybernétiques à l’échelle du GC ainsi que les efforts de priorisation des mesures correctives;
  • éclairer la prise de décisions à tous les niveaux nécessaires;
  • renforcer la confiance du public dans la capacité du GC à gérer les cyberévénements de manière cohérente, coordonnée et opportune à l’échelle du GC.

Le plan sera révisé et testé chaque année, et mis à jour si des modifications s’imposent, afin de garantir son efficacité.

2.1 Vue d’ensemble du processus

Le processus global de gestion des événements de cybersécurité comporte plusieurs phases, comme l’indique la figure 2-1.

Figure 2-1 : Processus de gestion des événements de cybersécurité
Figure 2-1 : Graphique représentant le PGEC, version textuelle ci-dessous :
Figure 2-1 - version textuelle

La figure 2-1 représente le processus global de gestion des événements de cybersécurité et ses multiples phases, comme défini dans le présent document. Les quatre phases (Préparation, Détection et évaluation, Atténuation et reprise, et Activité après l’événement) sont illustrées au milieu, avec une flèche pointant de la phase finale (Activité après l’événement) vers la première (Préparation) pour indiquer une boucle de rétroaction continue. Chaque phase clé est décrite brièvement. Les descriptions sont les suivantes :

  1. Préparation
    1. Établir les rôles et les responsabilités
    2. Documenter et tester les procédures
    3. Former le personnel
    4. Appliquer des mesures de protection
  2. Détection et évaluation
    1. Surveiller les sources d’information
    2. Détecter et reconnaître les événements de cybersécurité
    3. Trier et établir les priorités
  3. Atténuation et reprise
    1. Effectuer des analyses judiciaires
    2. Atténuation (par le confinement et l’éradication)
    3. Rétablir les activités normales
  4. Activité après l’événement
    1. Effectuer une analyse après l’événement
    2. Tirer des leçons
    3. Amélioration continue

Au-dessus des phases 2 à 4 se trouve une boîte qui contient les mots « Établissement de rapports et communication ». Cela indique que l’établissement de rapports est une activité continue tout au long de ces phases. Cette case comporte des flèches pointant vers une boîte qui contient les mots « Connaissance situationnelle dans l’ensemble du GC » pour représenter le concept central de la connaissance continue de la situation à l’échelle du GC à chaque point du cycle de vie de gestion des événements.

  1. Préparation : La première phase se compose d’activités de préparation que les ministères et l’ensemble du GC devraient entreprendre pour veiller à ce qu’ils soient prêts à répondre à un large éventail d’événements de cybersécurité possibles, afin de minimiser l’incidence qui en résulte.
  2. Détection et Évaluation : La deuxième phase consiste à détecter les événements de cybersécurité potentiels, y compris les menaces émergentes, les vulnérabilités ou les incidents de cybersécurité confirmés, et une évaluation initiale des niveaux d’intervention du GC appropriés.
  3. Atténuation et reprise : La troisième phase se compose de toutes les interventions requises des divers intervenants pour réduire au minimum l’incidence et pour conduire à la reprise des activités normales.
  4. Activité poste-événement : La dernière phase joue un rôle crucial dans l’amélioration continue du processus global de gestion des événements de cybersécurité et, à ce titre, elle permet de tirer des leçons desquelles on tiendra compte dans le cadre de la prochaine phase de préparation, bouclant ainsi le cycle de gestion de l’événement.

Les paragraphes qui suivent donnent une vue d’ensemble des attentes des intervenants pour chaque phase du cycle de gestion des événements de cybersécurité du GC, et décrivent ce qui suit :

  • la façon dont le PGEC GC est mis en œuvre à l’appui des exigences fondamentales de la Politique sur la sécurité du gouvernement Référence R8 et de la fonction de gestion de la cybersécurité décrite dans la Politique sur les services et le numérique Référence R9;
  • les principaux intrants et extrants de chaque phase. Veuillez prendre note qu’en pratique, les phases peuvent se chevaucher, certaines activités d’une phase pouvant se poursuivre pendant que la phase suivante est lancée.

Tous les intervenants doivent élaborer leurs propres procédures normalisées d’exploitation ou leurs propres processus internes menant à l’obtention des produits attendus.

2.2 Préparation

Figure 2-2 : Phase de préparation
Figure 2-2 : Phase de préparation, version textuelle ci-dessous :
Figure 2-2 - version textuelle

Il s’agit d’une reproduction de la figure 2-1, avec une flèche en gris indiquant la phase de Préparation. La flèche de Préparation est surlignée en bleu et cette image est une représentation visuelle de la phase décrite pour le lecteur dans cette section.

La phase de préparation est une phase permanente au cours de laquelle les organisations du gouvernement exécutent une série de processus continus afin de se préparer à des événements précis ou inattendus. Cette phase comprend l’élaboration d’une compréhension organisationnelle pour gérer les risques liés à la cybersécurité pour les systèmes, les personnes, les ressources, les données et les capacités. Cela exige la tenue à jour et l’amélioration des capacités existantes et la création de nouveaux mécanismes qui permettent de définir les priorités, d’intégrer plusieurs organisations et plusieurs fonctions, et de veiller à ce que des moyens efficaces soient disponibles pour répondre à l’ensemble des exigences qu’entraîne la gestion des événements de cybersécurité.

La mise en œuvre de mesures de protection et préventives avant l’arrivée d’un cyberévénement représente l’élément clé de cette phase. L’élaboration et la mise en œuvre de mesures de protection appropriées pour assurer la prestation de services critiquesNote de bas de page 3, notamment l’établissement de processus répétitifs et normalisés pour des activités comme la gestion de la vulnérabilité et la gestion des rustines, sont critiques pour assurer la sécurité des systèmes et des services. Il est important de mener des exercices réguliers pour mettre à l’épreuve tant le PGEC GC que les PGEC ministériels afin de veiller à ce que les divers intervenants (particulièrement en cas de changements dans le personnel) comprennent leurs rôles, pour valider les plans et pour réviser ces derniers en fonction des leçons tirées des exercices.

L’annexe C décrit les rôles et les responsabilités des intervenants du PGEC GC pour chaque phase du processus du PGEC GC.

Voici les intrants et les extrants de cette phase :

Intrants Extrants
  • Application de mesures de protection et de prévention pour assurer la sécurité des systèmes.
  • Mise en pratique des leçons apprises.
  • Révision des plans, processus, directives et outils de gestion des événements de cybersécurité à l’échelle du GC.
  • Exercices, scénarios et tests afin de valider régulièrement l’efficacité du PGEC GC et des PGEC ministériels.
  • Formation de sensibilisation du personnel à la sécurité.
  • Révision des plans (y compris les PGEC ministériels), des processus et des procédures des ministères, afin qu’ils concordent avec le PGEC GC.
  • Connaissance des systèmes de l’ensemble du GC qui sont jugés critiques.
  • Des rôles et des responsabilités clairs et documentés, y compris pour la gestion des cyberévénements et la mise en œuvre de mesures de sécurité documentées dans les contrats avec des tiers, les ententes internes (selon le cas) et les ententes d’interconnexion du gouvernement du Canada.

2.3 Détection et évaluation

Figure 2-3 : Phase de détection et d’évaluation
Figure 2-3 : Phase de détection et d’évaluation, version textuelle ci-dessous :
Figure 2-3 - version textuelle

Il s’agit d’une reproduction de la figure 2-3, avec toutes les flèches en gris, sauf celle qui représente la phase de Détection et d’évaluation. La flèche Détection et évaluation est surlignée en bleu et cette image est une représentation visuelle de la phase décrite pour le lecteur dans cette section.

La phase détection et évaluation consiste en un contrôle continu des sources d’information afin de repérer les signes avant-coureurs des événements de cybersécurité, y compris les vulnérabilités ou les incidents de cybersécurité confirmés, et d’évaluer initialement leurs incidences (réelles ou éventuelles) sur la prestation des services offerts aux Canadienset aux Canadiennes, sur le fonctionnement du gouvernement ou sur la confiance que l’on a envers le gouvernement.

Voici les intrants et les extrants de la phase Détection et évaluation :

Intrants Extrants
  • Rapports de menaces et de renseignements obtenus des intervenants de la gestion des événements du GC ou de sources externes (fournisseurs, code source libre, entre autres).
  • Rapports d’incidents obtenus des intervenants de la gestion des événements du GC, des ministères ou de sources externes.
  • Rapports ministériels et pangouvernementaux d’évaluation de l’incidence, et communications publiques possibles.
  • Établissement d’un niveau d’intervention global.
  • Recensement des événements qui nécessitent une intervention coordonnée dans l’ensemble du gouvernement.
  • Recours aux organes de gouvernance du PGEC GC ou du PFIU, s’il y a lieu.

2.3.1 Détection

Le volet de détection de cette phase reste le même quel que soit le type d’événement de cybersécurité, et il comprend aussi la notification initiale des intervenants appropriés. La détection étant un produit direct de l’activité de contrôle et d’intrants suffisants pour la surveillance, si la composante de contrôle est inadéquate ou incomplète, le processus de détection peut passer à côté d’anomalies ou d’événements qui pourraient nuire au GC.

2.3.1.1 Surveillance

Afin de veiller à ce que les événements de cybersécurité soient traités de manière cohérente, coordonnée et opportune à l’échelle du gouvernement du Canada, il est essentiel que le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) et le Bureau de la dirigeante principale de l’information du Secrétariat du Conseil du Trésor du Canada (BDPI du SCT) disposent de coordonnées ministérielles à jour sur les cyberincidents afin de garantir la réception des communications critiques, notamment les produits de connaissance de la situation du Centre pour la cybersécurité et les messages de la dirigeante principale de l’information du Canada (DPI du GC).

Les organisations du gouvernement du Canada sont tenues de mettre en place des boîtes aux lettres génériques pour leur DPI, leur agent désigné pour la cybersécurité (ADCS) et leurs équipes de sécurité de la TI, et doivent les surveiller régulièrement. Veuillez communiquer avec les personnes-ressources de la Ligne directrice sur la gestion des cyberincidents pour obtenir plus d’information (accessibles uniquement sur le réseau du GC).

En plus de surveiller les avis du Centre pour la cybersécurité, les organisations du GC doivent surveiller les avis des fournisseurs dans le cadre de leurs programmes de gestion des vulnérabilités. Il est également important de prendre note que, bien qu’il soit important de tirer parti des indicateurs de compromission (p. ex., les mauvaises adresses IP connues, les domaines, les hachages de fichiers, etc.) obtenus à partir des produits du Centre pour la cybersécurité et d’autres sources de renseignements sur les menaces pour faciliter la détection (et la prévention) des activités malveillantes, il y a des limites, car les auteurs de menace changent souvent d’adresses IP, de domaines, réencodent les fichiers, etc. pour contourner ces mesures défenses. Par conséquent, la mise en place d’un solide régime de surveillance et la compréhension de l’activité de base ou normale permettront de faciliter la détection des comportements anormaux et de repérer les tactiques, techniques et procédures (TTP) des adversaires.

Produits de connaissance de la situation du Centre Canadien pour la cybersécurité

Avis – Publiés par l’entremise du site Web du Centre pour la cybersécurité. Les avis mettent en évidence les rustines des fournisseurs pour les vulnérabilités qui ne répondent pas aux critères d’urgence ou d’incidence pour la publication d’un bulletin cybernétique ou le déclenchement d’une alerte.

Alerte – Publiée par l’intermédiaire du site Web du Centre pour la cybersécurité et diffusée par courriel. Les alertes fournissent un résumé du sujet (incident, vulnérabilité, avis conjoint, etc.) et des conseils techniques. Peut contenir des détails supplémentaires tels que des indicateurs de compromission.

Bulletin cybernétique – Rapport technique non public et assujetti à des contraintes de temps. Fournit des descriptions détaillées et des conseils en matière de détection et d’atténuation. Diffusé par courriel à des listes de distribution spécifiques à TLP:AMBER pour garantir un traitement approprié et une communication continue des renseignements sur les cybermenaces aux ministères.

De plus amples renseignements sur le protocole TLP (pour Traffic Light Protocol) sont accessibles auprès du Forum des équipes d’intervention et de sécurité en cas d’incident (FIRST) (en anglais seulement).

2.3.1.2 Établissement de rapports

Les organisations du gouvernement du Canada doivent signaler tous les incidents de cybersécurité au Centre pour la cybersécurité, qui fait office de point de contact central pour le signalement des incidents de cybersécurité pour le gouvernement du Canada. En cas de doute, il est préférable de surdéclarer que de sous-déclarer. Le signalement de tous les événements permettra au Centre pour la cybersécurité de cerner les tendances ou les modèles d’activité suspects et de déterminer les incidences potentielles sur d’autres organisations du gouvernement du Canada qui pourraient utiliser le même service ou système qu’un ministère touché.

Le Centre pour la cybersécurité assurera le stockage et le traitement appropriés de ces rapports d’incidents. Les renseignements peuvent être communiqués au BDPI du SCT et à d’autres principaux organismes chargés de la sécurité (POCS), au besoin. Pour renforcer les protections de cyberdéfense, des renseignements techniques tels que les contrôleurs de périphériques et les positions de vérification de circuits (PVC) peuvent être communiqués plus largement. Les renseignements de nature délicate propres à un ministère ne seront pas transmis au-delà des POCS sans l’approbation du ministère en question.

Dans le cas des cyberévénements touchant les SSN, il est important que les bons outils, proportionnels à la catégorie de sécurité du système d’information touché, soient utilisés pour communiquer avec le Centre pour la cybersécurité de façon sécuritaire.

Les ministères doivent signaler les incidents dans les délais indiqués au tableau 2-1 Échéancier de l’établissement des rapports.

Tableau 2-1 : Échéancier de l’établissement des rapports
Type de rapport Délai
Rapport d’incident initial

Immédiatement et pas plus de 1 heure après la détection initiale

Rapport d’incident détaillé

Dans les 24 heures après la détection

Voir l’annexe D : Procédures d’établissement de rapports pour obtenir des renseignements sur la façon de communiquer avec le Centre pour la cybersécurité, y compris les attentes en matière d’établissement de rapports initiaux et détaillés.

2.3.1.3 Établissement de rapports sur l’application de la loi

Dan la plupart des cas, les cyberincidents sont des cybercrimes. En plus du signalement au Centre pour la cybersécurité, les ministères et organismes devraient signaler les cyberincidents directement au service de police compétent (c.-à-d. la GRC ou la police militaire). Il incombe au service de police de mener une enquête pour déterminer s’il existe des preuves raisonnables d’une activité criminelle, ce qui pourrait mener à des inculpations, des arrestations, des perquisitions et saisies, et autres résultats perturbateurs qui contribuent à prévenir de futurs cyberincidents.

Voir l’annexe D : Procédures d’établissement de rapports pour obtenir des renseignements sur la façon de communiquer avec la GRC.

2.3.1.4 Les renseignements personnels et l’atteinte à la vie privée
Figure 2-4 : Incidents liés à la cybersécurité comportant des renseignements personnels
Figure 2-4 : Incidents liés à la cybersécurité comportant des renseignements personnels, version textuelle ci-dessous :
Figure 2-4 - version textuelle

La figure 2-4 représente le chevauchement entre un incident de cybersécurité et une atteinte à la vie privée dans le cas où des renseignements personnels pourraient être touchés. La figure utilise deux cercles, le cercle de gauche représentant les incidents de cybersécurité et celui de droite, les atteintes à la vie privée. L’élément de renseignements personnels représente l’intersection des deux cercles.

Les organisations du GC sont responsables de la protection et de la gestion des renseignements personnels et font preuve de transparence à cet égard. S’il est possible que des renseignements personnels soient touchés par un incident de cybersécurité, les autorités compétentes devraient être avisées. Dans le cas des organisations du GC assujetties à la Loi sur la protection des renseignements personnels Référence R12 et à la Politique sur la protection de la vie privée Référence R13, les bureaux ministériels de l’accès à l’information et de la protection des renseignements personnels (AIPRP) doivent être avisés immédiatement afin de déterminer si une atteinte à la vie privée a eu lieu. Le cas échéant, les ministères et organismes réagiront conformément à leurs plans et procédures en matière d’atteinte à la vie privée, conformément à la Directive sur les pratiques relatives à la protection de la vie privée Référence R14.

Ce processus devrait comprendre les mesures suivantes :

  • Une évaluation pour déterminer l’incidence potentielle sur le GC lorsque des vulnérabilités matérielles ou logicielles sont divulguées.
  • Une évaluation pour déterminer si des renseignements personnels peuvent être touchés dans le cadre de l’événement ou de l’incident, signalant qu’une atteinte à la vie privée a peut-être eu lieu.
  • S’il est possible que l’événement ou l’incident de cybersécurité concerne des renseignements personnels, les ministères et organismes en informeront le bureau ministériel de l’accès à l’information et de protection des renseignements personnels (AIPRP) et assureront la liaison avec lui. Le bureau ministériel de l’AIPRP est chargé de déterminer si une atteinte à la vie privée s’est produite et, le cas échéant, de veiller à ce que les plans et les procédures ministériels de gestion des atteintes à la vie privée soient activés.

Les ministères et organismes doivent aussi se renseigner sur les Directive sur les pratiques relatives à la protection de la vie privée Référence R14 et la Trousse d’outils pour la gestion des atteintes à la vie privée Référence R15. Ces instruments en matière de protection des renseignements personnels déterminent les causes des cas d’atteinte, et prodiguent des conseils sur la façon d’intervenir et de circonscrire et de gérer les cas d’atteinte à la vie privée, en plus de définir les rôles et responsabilités et de fournir des liens à des documents de référence pertinents. Les ministères et organismes doivent consulter les conseillers juridiques au besoin.

2.3.2 Évaluation

Le volet évaluation a pour objectif d’établir un niveau d’intervention du GC et de déterminer s’il faut recourir aux organes de gouvernance du PGEC GC ou peut-être du PFIU. Dès la détection d’un événement de cybersécurité, le BDPI du SCT et le Centre pour la cybersécurité effectueront une évaluation initiale et détermineront l’intervention appropriée du GC en déclarant le niveau d’intervention du GC. Les intervenants requis seront alors informés du niveau d’intervention et les activités d’atténuation et de récupération suivront.

2.3.2.1 Niveaux d’intervention du GC
Figure 2-5 : Niveaux d’intervention du GC
Figure 2-5 : Niveaux d’intervention du GC, version textuelle ci-dessous :
Figure 2-5 - version textuelle

La figure 2-5 représente les quatre niveaux d’intervention du GC qui régissent les activités de gestion des événements de cybersécurité du GC et dictent la nécessité et le degré d’intervention ministériel requis. La figure utilise quatre boîtes empilées en indiquant à gauche le niveau de coordination requis.

  1. Niveau 1 – Intervention ministérielle
    1. Nécessite une coordination normalisée
  2. Niveau 2 – Intervention limitée à l’échelle du GC
    1. Nécessite la coordination du PGEC GC
  3. Niveau 3 – Intervention globale à l’échelle du GC
    1. Nécessite la coordination du PGEC GC
  4. Niveau 4 – Intervention d’urgence (crise)
    1. Nécessite une coordination combinée du PFIU et du PGEC GC

Tel qu’il est indiqué à la figure 2-5, il existe quatre niveaux d’intervention qui déterminent les activités de gestion des événements de cybersécurité. Ces niveaux d’intervention déterminent le niveau de coordination nécessaire à la bonne gestion de l’événement de cybersécurité, y compris le niveau hiérarchique, la participation des intervenants et l’établissement de rapports qui sont requis.

Tableau 2-2 fournit de plus amples renseignements sur chacun des niveaux.

Tableau 2-2 : Niveaux d’intervention du GC
Niveau Étendue Description Responsable de la coordination
1

Intervention ministérielle

Les interventions de niveau 1 sont limitées à une intervention ministérielle.

Par conséquent, les ministères et les organismes doivent s’appuyer sur leurs procédures réglementaires ministérielles, continuer à appliquer les mesures préventives habituelles et rester en communication avec le Centre pour la cybersécurité pour obtenir des conseils et des orientations.

Ministère

2

Intervention limitée à l’échelle du GC

Le niveau 2 indique qu’une coordination limitée à l’échelle du gouvernement du Canada s’impose, ce qui déclenche la mise sur pied de l’équipe de coordination des événements (ECE) (voir la section 3.2). À ce niveau, tous les principaux intervenants du PGEC GC (et les intervenants spécialisés, au besoin) sont sur le pied d’alerte, et ils surveillent la cyberactivité par le contrôle des niveaux de risque dans l’ensemble du GC et par le confinement et l’atténuation des incidences potentielles. Il est possible que des conseils supplémentaires soient donnés à certains ministères ou organismes quant à leur façon d’intervenir, ce qui pourrait inclure le recours à des procédés de gestion des rustines d’urgence. Les événements qui se produisent à ce niveau déclencheront le recours au cadre des communications relatives à la cybersécurité du Secteur des communications stratégiques et des affaires ministérielles (CSAM) du SCT Référence R16. Des séances d’information seront menées par la DPI du GC à l’échelle du GC si les besoins le justifient.

ECE

3

Intervention globale à l’échelle du GC

Le niveau 3 indique que l’ensemble du gouvernement du Canada doit se mobiliser, ce qui déclenche la mise sur pied de l’équipe de gestion des événements (EGE) (voir la section 3.2). À ce niveau, les interventions sont entièrement coordonnées par l’intermédiaire de l’ECE et de l’EGE, et les ministères et les organismes reçoivent des conseils et des consignes sur la façon d’intervenir. En tant qu’intervention, il peut s’agit de faire appel à des processus de gestion des rustines d’urgence ou du débranchement des systèmes des réseaux du GC. Les événements à ce niveau déclencheront le recours au cadre des communications relatives à la cybersécurité des CSAM du SCT Référence R16. Des séances d’information seront menées par la DPI à l’échelle du GC si les besoins le justifient.

EGE

4

Intervention en cas d’urgence (crises)

Le niveau 4 est réservé aux événements graves ou catastrophiques qui concernent plusieurs institutions du gouvernement, qui minent la confiance dans le gouvernement ou qui concernent d’autres aspects d’intérêt national. Le BDPI du SCT et le Centre pour la cybersécurité peuvent recommander à la Sécurité publique de déclarer un événement de niveau 4, le cas échéant. Les événements qui atteignent ce niveau relèveront immédiatement d’une structure de gouvernance du PFIU, coordonnée par le Centre des opérations du gouvernement (COG) et conformément au PFIU Référence R3, afin d’assurer l’harmonisation des efforts déployés par le fédéral en matière d’intervention. Les aspects cybernétiques des interventions au niveau 4 s’appuieront sur les structures de gouvernance du PGEC GC.

COG FP

2.3.2.2 Évaluation du niveau d’intervention

La détermination du niveau d’intervention approprié du PGEC GC (niveaux 2 à 3) pour un cyberévénement se fera conjointement par le BDPI du SCT et le Centre pour la cybersécurité, avec l’appui des ministères touchés, le cas échéant. L’approche d’évaluation diffère selon que l’événement est un incident ou qu’il est lié à une cybermenace ou à une vulnérabilité (voir annexe E : Évaluation de l’incidence des événements sur les ministères pour obtenir de plus amples détails). Le niveau d’intervention est déterminé en fonction du préjudice subi par le gouvernement du Canada (pour les incidents) ou du préjudice potentiel (pour les menaces ou les vulnérabilités). Dans cette évaluation, plusieurs facteurs sont pris en compte, tels que :

  • la probabilité d’occurrence;
  • l’exploitabilité ou l’exposition de systèmes vulnérables;
  • l’étendue de l’incidence;
  • l’efficacité des mesures de sécurité.

D’autres facteurs peuvent également devoir être pris en compte, en fonction du contexte de l’événement en question, comme le montre la figure 2-6 Critères de niveau d’intervention du PGEC GC. Alors que le résultat de cette évaluation permet de déterminer le niveau d’intervention approprié, d’autres facteurs, tels que l’incidence sur les affaires et les facteurs géopolitiques, peuvent être pris en compte par le BDPI du SCT et le Centre pour la cybersécurité en vue de déterminer l’intervention appropriée.

Figure 2-6 : Critères de niveau d’intervention du PGEC GC
  Menaces/Vulnérabilités Incidents

Niveau 4
Intervention d’urgence

  • Menace imminente d’une incidence très élevée sur plusieurs ministères.
  • Exposition très élevée à de nombreux systèmes vulnérables.
  • Incidence très élevée compromettant la prestation de programmes ou de services et entraînant des blessures graves.
  • Propagation généralisée/mutation latérale au sein du GC.

Niveau 3
Intervention globale à l’échelle du GC

  • Menace imminente d’une incidence élevée+ sur plusieurs ministères.
  • Exposition élevée+ des systèmes vulnérables.
  • Compromission ayant une incidence élevée+ sur la prestation des programmes et services publics du GC ou sur le fonctionnement d’un ou de plusieurs systèmes.
  • Forte probabilité de propagation plus large/mutation latérale au sein du GC.

Niveau 2
Intervention limitée à l’échelle du GC

  • Probabilité accrue d’une incidence moyenne+ sur plusieurs ministères.
  • Exposition moyenne+ des systèmes vulnérables ou exploitabilité accrue des systèmes vulnérables.
  • Compromission à incidence moyenne+ touchant la prestation d’un ou plusieurs programmes/services publics du GC.
  • Indicateurs d’une propagation plus large/mutation latérale au sein d’un ou de plusieurs ministères touchés.

Niveau 1
Réponse du ministère

  • Incidence faible sur un seul ministère.
  • Exposition faible des systèmes vulnérables.
  • Compromission à incidence faible d’un programme/service privé du GC dans un seul ministère.
  • Aucun indicateur d’une propagation plus large ou d’une mutation latérale.

Tout recours ultérieur à un niveau de gouvernance supérieur ou inférieur, en cas de besoin, est déterminé conjointement de la même manière (voir annexe F : Procédures de renvoi à un niveau supérieur ou inférieur pour obtenir de plus amples détails).

2.4 Atténuation et reprise

Figure 2-7 : Phase d’atténuation et de reprise
Figure 2-7 : Phase d’atténuation et de reprise, version textuelle ci-dessous :
Figure 2-7 - version textuelle

Il s’agit d’une reproduction de la figure 2-1, avec toutes les flèches en gris, sauf celle qui représente la phase d’Atténuation et de reprise. La flèche Atténuation et reprise est surlignée en bleu et cette image est une représentation visuelle de la phase décrite pour le lecteur dans cette section.

La phase d’atténuation et de reprise a pour but de circonscrire et d’atténuer les préjudices réels ou potentiels découlant d’un événement de cybersécurité. Si les activités de cette phase varient en fonction de la nature de l’événement, elles pourraient comprendre, entre autres choses, l’installation de rustines, la mise en place de mesures préventives, le confinement et l’éradication d’un incident confirmé, le recours au plan de continuité des activités et au plan de reprise après sinistre ou encore l’interruption temporaire des services vulnérables. Quel que soit le type d’événement, le but ultime de cette phase est de réduire au minimum les incidences et d’assurer la reprise rapide des activités normales.

Pour les incidents, le confinement et l’éradication sont des éléments clés de cette phase, qui comprend, entre autres, des actions telles que l’arrêt des systèmes, la déconnexion des réseaux ou la désactivation des fonctionnalités, y compris des comptes, la correction des vulnérabilités exploitées par l’installation de rustines, etc. Ces mesures peuvent être prises par les propriétaires des biens touchés au sein des ministères, ou selon les instructions de leur chaîne de commandement pouvant aller jusqu’à l’administrateur général d’un ministère. Les organisations du GC devraient consigner par écrit les rôles et les responsabilités quant à la prise de telles décisions afin d’accélérer le processus décisionnel. De plus, la DPI du GC a le pouvoir de demander à un administrateur général de prendre des mesures en réponse à un cyberévénementNote de bas de page 4.

L’annexe C décrit les rôles et les responsabilités des intervenants du PGEC GC pour chaque phase du processus du PGEC GC.

Voici les intrants et les extrants de cette phase :

Intrants Extrants
  • Rapports d’incidents
  • Renseignement
  • Résultats de l’analyse judiciaire
  • Autres éléments (politiques, légaux, etc.)
  • Rapports d’évaluation de l’incidence
  • Plans de continuité des activités et plans de reprise après sinistre
  • Rapports de situation (RAPSIT)
  • Registre des changements
  • Plan d’intervention
  • Atténuation de la menace ou de la vulnérabilité (s’il y a lieu)
  • Confinement et éradication de l’incident (s’il y a lieu)
  • Reprise continue des activités normales

2.5 Activité post-événement

Figure 2-8 : Phase d’activité post-événement
Figure 2-8 : Phase d’activité post-événement, version textuelle ci-dessous :
Figure 2-8 - version textuelle

Il s’agit d’une reproduction de la figure 2-1, avec toutes les flèches en gris, sauf celle qui représente la phase d’Activité après l’événement et rétroaction. Les flèches d’Activité après l’événement et de rétroaction sont surlignées en bleu et cette image est une représentation visuelle de la phase décrite pour le lecteur dans cette section.

La phase d’activité post-événement consiste à tirer parti des leçons tirées de chaque événement de cybersécurité afin d’améliorer continuellement le processus et, par extension, le niveau de sécurité de l’infrastructure du GC dans son ensemble. Cette phase a pour but de clore officiellement la gestion de l’événement de cybersécurité en procédant à une analyse après l’événement, en recensant les leçons apprises et en préconisant des améliorations dans la politique, dans l’architecture de sécurité, ou d’autres mesures, au besoin.

L’importance des efforts et des ressources à consacrer à cette phase varie d’un événement à l’autre. Les événements plus complexes et graves nécessitent une analyse après l’événement plus approfondie que ceux d’une gravité moindre. Les événements répétitifs peuvent faire l’objet d’une analyse d’ensemble.

L’annexe C décrit les rôles et les responsabilités des intervenants du PGEC GC pour chaque phase du processus du PGEC GC.

Voici les intrants et les extrants de cette phase :

Intrants Extrants
  • Examen de la chronologie des événements
  • Registre des changements
  • Examen des procédures d’établissement de rapports et de communication, et de la possibilité qu’offrent les produits.
  • Analyse de la cause première
  • Autres intrants importants obtenus des intervenants concernés du PGEC
  • Rapport des leçons apprises produit par les ministères
  • Rapports du GC donnant suite à un événement
  • Leçons apprises et plan d’action à l’échelle du GC (s’il y a lieu)
  • Recommandations visant à améliorer des instruments de politique, le processus de gestion des événements de cybersécurité, la formation ou l’architecture de sécurité de l’organisation.

3. Gouvernance

Dans cette section

3.1 Intervenants

Outre les ministères et organismes, qui jouent un rôle clé dans l’information et la prise de mesures concernant les activités de gestion des événements de cybersécurité du GC, un certain nombre d’autres intervenants participent également au PGEC GC. Vous trouverez ci-dessous un résumé des intervenants organisé en trois grandes catégories.

Les rôles et responsabilités détaillés de chaque intervenant se trouvent à l’annexe C : Rôles et responsabilités détaillés.

Tableau 3-1 :  Intervenants du PGEC GC
Catégorie Description Organisation
Intervenants des principaux organismes chargés de la sécurité (POCS)

Les intervenants qui sont les principaux responsables de la coordination de tous les événements qui répondent aux critères d’une intervention du PGEC du gouvernement du Canada de niveau 2 et supérieur Ceci tient compte des menaces possibles, des vulnérabilités, et des incidents confirmés.

  • Secrétariat du Conseil du Trésor du Canada (SCT)
    • Bureau de la dirigeante principale de l’information (BDPI)
    • Communications stratégiques et affaires ministérielles (CSAM)
  • Centre canadien pour la cybersécurité (Centre pour la cybersécurité), qui fait partie du Centre de la sécurité des télécommunications (CST).
Intervenants spécialisés du POCS

Intervenants qui participent au processus du PGEC GC en cas d’incidents de cybersécurité confirmés ou de cybermenaces qui relèvent de leur mandat particulier. Note de bas de page 5

  • Bureau du Conseil privé (BCP)
    • Sécurité et renseignements (S et R)
  • GRC
    • Groupe national de coordination contre la cybercriminalité (GNC3)
    • Police fédérale
  • Service canadien du renseignement de sécurité (SCRS) – Cyber
  • Ministère de la Défense nationale/Forces armées canadiennes (MDN/FAC) – Opérations de gestion de l’information
  • Sécurité publique Canada – Direction générale de la cybersécurité nationale (DGCN)
  • Affaires mondiales Canada (AMC)
Autres intervenants

Intervenants qui participent au processus de gestion des événements de cybersécurité du GC et à qui on peut faire appel pour des cybermenaces ou des incidents confirmés.

  • Centre des opérations du gouvernement (COG) de Sécurité publique Canada
  • Bureau du Conseil privé (BCP)
    • Communications stratégiques (CS)
  • Comité canadien chargé des systèmes nationaux de sécurité (CCSNS)
  • Comité des directeurs généraux sur la gestion des urgences (CDGGU)
  • Ministères
    • Services juridiques
    • Équipe de gestion des événements
    • Équipe de l’accès à l’information et de la protection de la vie privée (gestion des atteintes à la vie privée)
    • Équipe de communications (comm.)
  • Organisations de services internes intégrés (comme Services partagés Canada)
  • Partenaires externes
  • Fournisseurs tiers

3.2 Organes de gouvernance

Lors d’un événement de cybersécurité, la mobilisation des organes de gouvernance appropriés en temps opportun permettra à la direction et aux opérations de prévenir, de détecter, de répondre et de se remettre des événements de cybersécurité d’une manière prioritaire. Le niveau d’intervention du PGEC GC détermine les organes de gouvernance qui doivent être établis. Ceux-ci servent à diriger et à faciliter les activités d’atténuation et de reprise.

Figure 3-1 décrit les intervenants pertinents pour chaque niveau de réponse et les organes de gouvernance correspondants, y compris ce qui suit :

  • pour les événements de niveau 2 et plus, une équipe de coordination des événements (ECE) est mise en place;
  • pour les événements de niveau 3 et plus, une équipe de gestion des événements (EGE) est mise en place pour assurer la direction au niveau exécutif (c’est-à-dire au niveau du directeur général [DG]).

Les réunions ponctuelles de l’ECE ou de l’EGT peuvent être organisées de façon préventive avant toute escalade des niveaux du PGEC GC à titre de mesure préventive proactive et à des fins de connaissance de la situation. L’escalade peut ou non suivre, selon l’évolution d’un événement.

Advenant qu’un événement soit évalué au niveau 3 dès le départ, on entreprendra la gouvernance immédiatement au niveau du DG auprès des équipes d’ECE et d’EGE ayant été mises en place simultanément.

Ces deux équipes, coprésidées par le BDPI du SCT et le Centre pour la cybersécurité, fournissent des conseils et des orientations à la DPI du GC. La DPI du GC est chargée d’exécuter les décisions relatives à la gestion des risques liés à la cybersécurité au nom du GC et d’ordonner aux administrateurs généraux de mettre en œuvre une ou des réponses propres aux événements de cybersécurité. Ceci comprend l’évaluation pour déterminer s’il y a eu une atteinte à la vie privée, de mettre en œuvre des mesures de sécurité et de veiller à ce que les systèmes qui mettent le gouvernement du Canada en danger soient déconnectés ou supprimés, lorsque cela est justifiéNote de bas de page 6. La DPI du GC est appuyée par la dirigeante principale de la sécurité de l’information du gouvernement du Canada (DPSI GC) et le du Canada et le chef du Centre pour la cybersécurité. 

Le ministre responsable de l’intervention sera déterminé au cas par cas, en fonction du contexte de l’événement, en s’appuyant sur les recommandations de l’ECE, de l’EGE et de la DPI du GC.

En fonction de la taille et de la portée du cyberévénement, les ministères directement touchés par des menaces ou des vulnérabilités spécifiques peuvent également être invités à participer à l’ECE ou à l’EGE. Les ministères concernés seront toujours invités à l’ECE ou à l’EGE s’ils sont confrontés à un incident. La participation sera déterminée par les coprésidents afin d’assurer un fonctionnement optimal des organes de gouvernance.

Les rôles et responsabilités détaillés de chaque intervenant, au sein de l’ECE et de l’EGE, sont résumés dans les tableaux 3-2 et 3-3 ci-dessous.

Figure 3-1 : Équipes de coordination du PGEC GC
Figure 3-1 : Équipes de coordination du PGEC GC, version textuelle ci-dessous :
Figure 3-1 - version textuelle

La figure 3-1 indique les parties prenantes concernées pour chacun des niveaux d’intervention du GC, comme indiqué dans la figure 2-5. La figure 3-1 ne traite pas explicitement des parties prenantes au niveau 4 (intervention d’urgence ou de crise), car le niveau 4 invoque la gouvernance du PFIU qui ne s’inscrit pas dans le cadre de ce document. Cependant, pour les événements de niveau 4, l’ECE (de niveau 2) et l’EGE (de niveau 3) restent en jeu pour traiter tous les éléments liés aux événements de cybersécurité dans le GC.

  1. Niveau 1 – Intervention ministérielle
    1. Intervenants :
      1. DPI du ministère (ou personne désignée), soutenu par l’agent désigné pour la cybersécurité
      2. Ministères et organismes
      3. GRC
      4. Centre de la cybersécurité
      5. SCT/BDPI
  2. Niveau 2 (et supérieur) – Intervention limitée à l’échelle du GC

    L’équipe de coordination des événements (ECE) est établie; elle est composée des intervenants suivants :
    1. Principaux intervenants :
      1. DPI du GC (appuyé par le DPSI du GC, le chef adjoint du CCCS, d’autres intervenants du PGEC du GC, s’il y a lieu)
      2. SCT/BDPI (coprésident)
      3. Centre de la cybersécurité (coprésident)
      4. SCT/CSAM
    2. Intervenants spécialisés :
      1. BCP/Sécurité et
        renseignement
      2. SCRS
      3. MDN/FAC
      4. SP
      5. GRC
    3. Autres intervenants :
      1. SPC/DGSRS
      2. Ministère(s) concerné(s)
  3. Niveau 3 (et supérieur) – Intervention globale à l’échelle du GC

    L’équipe de gestion des événements (EGE) est établie pour fournir un leadership au niveau de la direction (c.-à-d. au niveau du directeur général). L’EGE est composé des mêmes intervenants que l’ECE :
    1. Principaux intervenants :
      1. DPI du GC (appuyé par le DPSI du GC, le chef adjoint du CCCS, d’autres intervenants du PGEC du GC, s’il y a lieu)
      2. SCT/BDPI (coprésident)
      3. Centre de la cybersécurité (coprésident)
      4. SCT/CSAM
    2. Intervenants spécialisés :
      1. BCP/Sécurité et
        renseignement
      2. SCRS
      3. MDN/FAC
      4. SP
      5. GRC
    3. Autres intervenants :
      1. SPC/DGSRS
      2. Ministère(s) concerné(s)
Tableau 3-2 : Équipe de coordination des événements
Niveau 2 (et niveaux supérieurs) – Équipe de coordination des événements (ECE)
Composition
Intervenants de niveau de directeur (ou supérieur) des ministères suivants

Principaux intervenants des POCS

  • BDPI du SCT (Directeur)
  • Centre pour la cybersécurité (Directeur)
  • CSAM du SCT (Directeur)

Mobilisation (en fonction de l’événement)

  • Intervenants spécialisés des POCS
  • Autres intervenants
    • OSI de la DGSRS de SPC (Directeur)
    • Ministères concernés (ADCS)
Responsabilités
Menaces/vulnérabilités Incidents

Activés par les événements de niveau 2 ou d’un niveau supérieur du PGEC GC

  • Appuyer la coordination centrale pour la gestion et la réponse à toutes les menaces et vulnérabilités.
  • Établir et participer à des centres de crise cybernétiques pour cerner, évaluer et atténuer la menace ou la vulnérabilité (les coprésidents de l’ECE désignent l’intervenant chargé d’établir le centre de crise cybernétique).
  • Collaborer avec les principaux intervenants pour proposer conjointement des plans d’atténuation recommandés.
  • Faire appel à des fournisseurs tiers, au besoin.
  • Au niveau 3 ou au-delà, veiller à ce que la connaissance de la situation soit maintenue au niveau des DG en informant activement les membres du comité de gestion des incidents (EGE) de l’évolution du PGEC.

Activés par les événements de niveau 2 ou d’un niveau supérieur du PGEC GC

  • Appuyer la coordination centrale et l’échange de renseignements pour la gestion et la réponse à tous les événements.
  • Établir et participer à des centres de crise cybernétiques pour cerner, évaluer et atténuer l’incident (les coprésidents de l’ECE désignent l’intervenant chargé d’établir le centre de crise cybernétique).
  • Collaborer avec les principaux intervenants pour proposer conjointement des plans d’atténuation recommandés.
  • Faire appel à des fournisseurs tiers, le cas échéant.
  • Au niveau 3 ou au-delà, veiller à ce que la connaissance de la situation soit maintenue au niveau des DG en informant activement les membres du comité de gestion des incidents (EGE) de l’évolution du PGEC.
Tableau 3-3 : Équipe de gestion des événements
Niveau 3 (et niveaux supérieurs) – Équipe de gestion des événements (EGE)
Composition
Intervenants de niveau de DG (ou supérieur) des ministères suivants

Principaux intervenants

  • DPSI GC
  • CSAM du SCT (Directeur(-trice) général(e) (DG))
  • Centre pour la cybersécurité (DG)

Mobilisation (en fonction de l’événement)

  • Intervenants spécialisés des POCS
  • Autres intervenants
    • OSI de la DGSRS de SPC (Directeur)
    • Ministères concernés (DPI, ADCS ou son (sa) délégué(e).)
Responsabilités
Menaces/vulnérabilités Incidents

Activés par les événements de niveau 3 ou d’un niveau supérieur du PGEC GC

  • Informer les hauts fonctionnaires du GC (p.ex., les mémoires de décision, les RAPSIT et les plans d’atténuation qui nécessitent l’approbation du SMA), de façon continue, selon les besoins.
  • Fournir une connaissance de la situation, une direction exécutive et des conseils à l’ECE.
  • Établir et participer à des centres de crise cybernétiques pour cerner, évaluer et atténuer la menace ou la vulnérabilité.
  • Faire appel à des fournisseurs tiers, le cas échéant.

Activés par les événements de niveau 3 ou d’un niveau supérieur du PGEC GC

  • Informer les hauts fonctionnaires du GC (p.ex., les mémoires de décision, les RAPSIT et les plans d’atténuation qui nécessitent l’approbation du SMA), de façon continue, selon les besoins.
  • Fournir une connaissance de la situation, une direction exécutive et des conseils à l’ECE.
  • Établir et participer à des centres de crise cybernétiques pour cerner, évaluer, atténuer et se rétablir de l’incident.
  • Faire appel à des fournisseurs tiers, au besoin.
  • En tant que sous-comité de l’EGE, mettre en place un centre de commandement de l’incident au niveau du DG comprenant les principaux intervenants (y compris les ministères touchés), afin de permettre des décisions rapides liées à l’incident et d’assurer une approche coordonnée pour le rétablissement en cas de compromissions et les mesures correctives, en soutien à la reprise des activités.

4. Établissement de rapports et communication

Dans cette section
Figure 4-1 : Établissement de rapports et communication
Figure 4-1 : Établissement de rapports et communication, version textuelle ci-dessous :
Figure 4-1 - version textuelle

Il s’agit d’une reproduction de la figure 2-1, avec toutes les flèches en gris, sauf celle qui représente la boîte « Connaissance situationnelle dans l’ensemble du GC » et « Établissement de rapports et communication ». Les boîtes « Connaissance situationnelle dans l’ensemble du GC » et « Établissement de rapports et communication » sont surlignées en bleu et cette image est une représentation visuelle de la phase décrite pour le lecteur dans cette section.

Afin de maintenir une connaissance de la situation à l’échelle du gouvernement, des rapports et une communication continus entre les intervenants doivent être maintenus tout au long du cycle de vie d’un événement. Cela nécessitera la mobilisation de participants supplémentaires des ministères et organismes aux organes de l’EGE ou de l’ECE, ainsi que des flux de communication bidirectionnels pour s’assurer que les mesures d’atténuation sont coordonnées et documentées afin de minimiser le chevauchement des efforts et de rationaliser les activités d’intervention.

Conformément à la Directive sur la gestion de la sécurité – annexe I : Norme sur le signalement des événements liés à la sécuritéRéférence R17, il est impératif de mettre en place des pratiques de communication continue, depuis la détection jusqu’à la conclusion des activités post-événement,  afin de garantir que les conseils en matière d’atténuation et les mises à jour de l’état d’avancement soient communiqués en temps utile avec les parties concernées et non concernées appropriées.

Du point de vue de l’attribution, s’il est important de déterminer l’auteur de menace responsable d’un ensemble particulier d’activités pour assurer la cyberdéfense, des erreurs sont toujours possibles. Par exemple, de nombreux auteurs tentent d’échapper à l’attribution en masquant leurs activités. On s’attend donc à ce que les ministères et organismes évitent de faire toute déclaration publique concernant l’attribution sans avoir d’abord consulté les principaux intervenants du PGEC GC tels qu’Affaires mondiales Canada ou la GRC, selon le cas.

4.1 Structure hiérarchique et communications

La figure 4-2 Établissement de rapports et communication dans l’ensemble du gouvernement du PGEC GC résume la manière dont l’établissement des rapports et la communication seront traités au niveau du gouvernement.

Figure 4-2 : Établissement de rapports et communication dans l’ensemble du gouvernement du PGEC GC
Établissement de rapports et communication dans l’ensemble du gouvernement du PGEC GC, version textuelle ci-dessous :
Figure 4-2 - version textuelle

La figure 4-2 indique les rapports et les communications à l’échelle du gouvernement du PGEC, séparés par les différents niveaux d’intervention du GC décrits dans la figure 2-5. La figure 4-2 ne décrit pas les rapports et les communications à l’échelle du gouvernement au niveau 4 (intervention d’urgence ou de crise) invoqué aux termes du PFIU.

  1. Niveau 1 – Intervention ministérielle
    1. Le centre de la cybersécurité est l’agent central de collecte d’information
    2. Le centre de la cybersécurité échangera de l’information avec les sources suivantes :
      1. SCT/BDPI
      2. Équipes ministérielles de la sécurité de la TI
      3. Autres sources d’information technique
    3. Le SCT-BDPI recevra de l’information du centre de la cybersécurité
  2. Niveau 2 – Intervention limitée à l’échelle du GC
    1. Deux organes de gouvernance sont déterminés comme sources centrales de rapports et de communication
    2. Le premier est l’ECE, qui est composée des agents suivants :
      1. SCT-BDPI
      2. SCT/CSAM
      3. Centre de la cybersécurité
      4. Autres intervenants du PGEC
    3. L’ECE échangera de l’information avec les intervenants suivants :
      1. Équipes ministérielles de la sécurité de la TI (par l’intermédiaire du centre de la cybersécurité)
      2. BCP-S et R (par l’intermédiaire du centre de la cybersécurité)
      3. Autres intervenants du PGEC
    4. L’EGE (par l’intermédiaire du SCT-BDPI) informera le deuxième niveau de gouvernance
    5. Le deuxième niveau de gouvernance comprend :
      1. DPI du GC 
      2. DPI/DPS ministériels
    6. Le DPI du GC fournira de l’information aux DPI/DPS ministériels
  3. Niveau 3 – Intervention globale à l’échelle du GC
    1. Deux organes de gouvernance sont déterminés comme sources centrales de rapports et de communication
    2. Le premier est l’équipe de la haute direction composée des agents suivants :
      1. SCT-BDPI
      2. SCT-CSAM
      3. Centre de la cybersécurité
      4. Autres intervenants du PGEC
    3. L’équipe de la haute direction (par l’intermédiaire du SCT-BDPI) fournira de l’information aux agents désignés pour la cybersécurité (ADCS)
    4. L’EGE échangera de l’information avec le CCSNS en tant que comité ainsi que le BCP-S et R
    5. L’EGE (par l’intermédiaire du SCT-CSAM) échangera de l’information avec les communications ministérielles, le BCP/Communications et le CST/Communications
    6. L’EGE (par l’intermédiaire du SCT-BDPI) informera le deuxième niveau de gouvernance 
    7. Le deuxième niveau de gouvernance comprend :
      1. DPI du GC
      2. DPI/DPS ministériels
    8. Le DPI du GC fournira de l’information aux DPI/DPS ministériels

Au niveau du gouvernement, les rapports et la communication doivent respecter les lignes directrices suivantes :

  • L’équipe des CSAM du SCT coordonnera l’élaboration de produits de communication et de la voie à suivre conformément au cadre des communications relatives à la cybersécurité des CSAM du SCT Référence R16, en collaboration avec les communications du Centre pour la cybersécurité et la communication stratégique du Bureau du Conseil privé (CS du BCP) (pour tous les événements nécessitant des communications externes ou des messages coordonnés (p. ex., des événements du PGEC GC de 3e niveau ou lorsqu’ils sont justifiés par des événements du PGEC GC de 2e niveau).
  • Les ministères et organismes concernés élaboreront leurs propres produits de communication avec les intervenants, les clients et le public, conformément au Cadre de communication en matière de cybersécurité des CSAM du SCT. En particulier, l’approbation des CSAM du SCT et des CS du BCP est requise pour les produits de communication liés aux événements de niveaux 2 et 3.
  • Le BDPI du SCT coordonnera les messages destinés aux collectivités des DPI, d’ADCS et de dirigeants principaux de la sécurité (DPS), et diffusera les mises à jour de la haute direction au besoin.
  • Le Centre pour la cybersécurité coordonnera les messages destinés à la collectivité opérationnelle (sécurité de la TI) et diffusera des produits d’information technique (bulletin cybernétique, avis, alertes, etc.), y compris des rapports d’état et de situation (RAPSIT) du niveau d’intervention du PGEC GC aux intervenants concernés, au besoin, en collaboration avec le SCT et d’autres partenaires concernés.
  • Le Centre pour la cybersécurité diffusera des rapports de situation auprès du COG et du service de sécurité et de renseignement (S et R) du Bureau du Conseil privé pendant ou au moment d’envisager un renvoi vers un PGEC GC de niveau 4 impliquant un PFIU.

Annexe A : Acronymes et abréviations

SMA Sous-ministre adjoint
Centre pour la cybersécurité

Centre canadien pour la cybersécurité, partie intégrante du Centre de la sécurité des télécommunications.

CCSNS

Comité canadien sur les systèmes nationaux de sécurité

ERIC

Équipe de réponse aux incidents cybernétiques

DPSI

Dirigeante principale de la sécurité de l’information

Comm.

Communications

CST

Centre de la sécurité des télécommunications

PGEC

Plan de gestion des événements de cybersécurité

EIISI

Équipe d’intervention en cas d’incidents de sécurité informatique

SCRS

Service canadien du renseignement de sécurité

DPS

Dirigeant principal de la sécurité

DG

Directeur général

CDGGU

Comité des directeurs généraux sur la gestion des urgences

MDN-FAC

Ministère de la Défense nationale/Forces armées canadiennes

ADCS

Agent désigné pour la cybersécurité

ECE

Équipe de coordination des événements

CGU

Comité de gestion des urgences

EGE

Équipe de gestion des événements

PFIU

Plan fédéral d’intervention d’urgence

AMC

Affaires mondiales Canada

GC

Gouvernement du Canada

GOC

Centre des opérations du gouvernement

OSII

Organisations de services internes intégrés

TI

Technologie de l’information

Sec TI

Sécurité de la technologie de l’information

POCS

Principal organisme chargé de la sécurité

FSG

Fournisseurs de services gérés

OSI-SPC

Opérations de sécurité des infrastructures, partie intégrante de Services partagés Canada.

DGSRS Direction générale des services de sécurité des réseaux
NC3

Groupe national de coordination contre la cybercriminalité (GRC)

SNS

Systèmes nationaux de sécurité

BDPI

Bureau de la dirigeante principale de l’information, partie intégrante du Secrétariat du Conseil du Trésor du Canada.

BCP

Bureau du Conseil privé

SP

Sécurité publique Canada

GRC

Gendarmerie royale du Canada

DI

Demande d’intervention

S et R

Sécurité et renseignement

CS

Communications stratégiques

CSAM

Communications stratégiques et affaires ministérielles, partie intégrante du Secrétariat du Conseil du Trésor du Canada.

PEIIM

Protocole pour l’échange d’information liée à un incident marquant

RAPSIT

Rapport de situation

SPC

Services partagés Canada

Annexe B : Références

Annexe C : Rôles et responsabilités détaillés

Dans cette section

La présente annexe décrit les rôles et les responsabilités des intervenants du PGEC GC qui varieront selon le type d’événement (p. ex., menace, vulnérabilité ou incident de sécurité) et son niveau de priorité, à l’appui et dans le contexte du présent plan.

C-1 Rôles et responsabilités par organisation

Tableau C-1.1 : Principaux intervenants du PGEC GC
Organisation Responsabilités
Secrétariat du Conseil du Trésor du Canada (SCT)

Le SCT assure la surveillance et l’orientation stratégiques du processus de gestion des événements de cybersécuritéNote de bas de page 7, veillant à la bonne coordination des événements pour faciliter la prise de décisions et de réduire au minimum l’incidence sur le gouvernement et les pertes pour le GC.

Dans le cadre de ce plan, la dirigeante principale de l’information du Canada (la DPI du GC) défend les intérêts de l’ensemble du gouvernement durant les événements de cybersécurité qui touchent, ou peuvent toucher, l’exécution des programmes et la prestation des services, en abordant des sujets qui comprennent la réponse globale du GC aux événements de cybersécurité et les mesures prises à l’échelle de l’organisation en vue de protéger les systèmes d’information du GC. Cela comprend les responsabilités suivantes :

  • donner suite aux décisions de gestion des risques de cybersécurité en émettant des directives obligatoires aux ministères en réponse aux événements de cybersécuritéNote de bas de page 8 (p. ex., appliquer des mesures de sécurité ou de déconnecter des systèmes du réseau ayant mis le GC à risque, au besoin);
  • renseigner le bureau du sous-ministre délégué et les niveaux supérieurs, au besoin, en plus de conseiller les CSMA sur les questions liées aux événements, comme la sécurité et les opérations des systèmes et réseaux de la TI du GC, la prestation des services et la confiance dans le gouvernement;
  • présider un comité composé des DPI des ministères, le CDPI; par l’entremise de ce dernier, la DPI du DC peut émettre des directives à l’intention des DPI des ministères en ce qui concerne les activités de gestion des événements de cybersécurité, en particulier les activités qui favorisent l’atténuation des événements ou la reprise des activités.

Le Bureau de la dirigeante principale de l’information (BDPI) du SCT appuie la DPI du GC et assume des responsabilités de surveillance stratégique, notamment :

  • établir, tenir à jour et mettre à l’essai le PGEC GC et les procédures connexes, conformément à la Politique sur la sécurité du gouvernement Référence R8 et à la Politique sur les services et le numérique Référence R9;
  • assurer la coordination stratégique des interventions du GC en réponse aux événements de cybersécurité prioritaires (habituellement les événements de niveau 3, ou lorsque des événements de niveau 2 le nécessitent), ce qui comprend :
    • le rôle de coprésident et de secrétariat de toutes les équipes de gouvernance du PGEC GC aux côtés du Centre pour la cybersécurité (y compris les décisions de renvoi à un niveau supérieur ou inférieur en coordination avec le Centre pour la cybersécurité);
    • l’évaluation, en collaboration avec le Centre pour la cybersécurité et d’autres partenaires, de l’incidence des cybermenaces, des vulnérabilités et des incidents de sécurité sur l’ensemble des programmes et services du GC, afin de faciliter l’établissement de rapports et l’établissement des priorités à l’échelle du gouvernement;
    • la prestation de conseils aux ministères et organismes (par l’entremise de la DPI du GC) sur l’adoption de mesures permettant de réduire au minimum l’incidence des événements de cybersécurité importants sur l’ensemble du gouvernement;
    • la mise en place d’un centre de commandement de l’incident au niveau des DG et d’un sous-comité de l’EGE, afin de permettre des décisions rapides en cas d’incident et d’assurer une approche coordonnée pour le rétablissement en cas de compromissions et les mesures correctives, en vue de la reprise des activités.
  • fournir des conseils au Comité de gestion des urgences (CGU) des directeurs généraux (DG) au cours des événements de cybersécurité de niveau 4;
  • veiller à ce que l’équipe des CSAM du SCT reçoive en temps opportun les renseignements nécessaires pour élaborer des produits de communication et veiller à ce que l’approche coordonnée et harmonisée soit en place pour les communications publiques parmi les intervenants, selon le Cadre de communication en matière de cybersécurité des CSAM du SCT Référence R16;
  • analyser les rapports après événement, et recenser les leçons apprises dans l’ensemble du gouvernement, s’il y a lieu, afin d’améliorer la Politique sur la sécurité, la Politique sur la protection de la vie privée ou l’architecture s’y rapportant;
  • recevoir des rapports d’atteintes importantes à la vie privée de la part des institutions;
  • fournir des conseils à l’échelle du gouvernement sur la gestion des atteintes à la vie privée.

De plus, les responsabilités du SCT en matière de communications stratégiques, au moyen de sa division des Communications stratégiques et affaires ministérielles (CSAM), comprennent :

  • agir comme porte-parole désigné au nom du gouvernement du Canada pour tout événement de cybersécurité ayant une incidence sur la prestation des programmes et des services du gouvernement, généralement pour les événements de niveau 3 ou plus (ou lorsque cela est justifié par des événements à d’autres niveaux);
  • pour les événements de niveau 4, les CSAM du SCT appuieront les Communications de Sécurité publique Canada, qui assument les responsabilités de communication stratégique pour les événements qui relèvent de leur compétence (c’est-à-dire les événements de niveau 4) conformément au PFIU.
  • appuyer les organisations concernées en élaborant ou en partageant, tant à l’interne (à l’échelle du GC) qu’à l’externe, du matériel de communication qui vise toutes les étapes de la gestion des événements de cybersécurité, en collaboration avec le Centre pour la cybersécurité et les Communications stratégiques du Bureau du Conseil privé (CS du BCP), et en consultation avec les équipes de communication provenant des intervenants concernés du PGEC;
  • de déterminer s’il est nécessaire de faire des déclarations publiques (proactives et réactives), et le cas échéant, de choisir le moment;
  • d’approuver tous les plans de communication (communication interne ou destinée aux clients/intervenants ou au grand public), en collaboration avec les organisations concernées et les Communications stratégiques du BCP.
Centre canadien pour la cybersécurité (Centre pour la cybersécurité), qui fait partie du Centre de la sécurité des télécommunications (CST)

Le Centre pour la cybersécurité est hébergé dans le Centre de la sécurité des télécommunications (CST). Dans le cadre du PGEC GC, le Centre pour la cybersécurité est le centre national de coordination du Canada pour prévenir, atténuer, et se remettre des événements de cybersécuritéNote de bas de page 9 touchant le gouvernement du Canada, se préparer, et intervenir, au besoin.

Dans le cadre de ce plan, le Centre pour la cybersécurité est chargé de :

  • collaborer avec le BDPI du SCT en tant qu’un des principaux intervenants du POCS;
  • assurer la coordination opérationnelle, ce qui comprend l’envoi de conseils techniques et d’avis aux ministères et organismes qui préconisent l’adoption de mesures permettant d’atténuer ou de circonscrire l’incidence sur les systèmes des ministères et le suivi de ces mesures et l’établissement de rapports connexes (tous les événements);
  • mobiliser les organisations internationales de contrepartie, comme les équipes d’intervention internationales en cas d’incident lié à la sécurité de la TI et les cybercentres nationaux dans le cadre des activités de coordination, au besoin.
Tableau C-1.2 : Intervenants spécialisés du POCS dans le PGEC GC
Organisation Responsabilités
Gendarmerie royale du Canada (GRC)

La GRC est le principal organisme de sécurité responsable de remplir les fonctions liées aux enquêtes criminelles à l’échelle du gouvernementNote de bas de page 10.

Dans le contexte de ce plan, la GRC est chargée de :

  • diriger les enquêtes criminelles dans le cas d’incidents de cybersécurité liés à une activité criminelle, y compris une activité terroriste;
  • participer aux équipes de gouvernance du PGEC GC à titre de guide et de conseiller, lorsque l’incident de cybersécurité ou la cybermenace le nécessite;
  • coordonner et appuyer les enquêtes multijuridictionnelles sur la cybercriminalité en collaboration avec les forces de l’ordre, le gouvernement fédéral et d’autres partenaires. Participer aux équipes de gouvernance du PGEC GC à titre de guide et de conseiller, lorsque l’incident de cybersécurité ou la cybermenace le nécessite.
Service canadien du renseignement de sécurité (SCRS)

Le SCRS a pour mandat d’enquêter sur les menaces à la sécurité nationaleNote de bas de page 11, y compris le cyber-espionnage, le cybersabotage, le cyberterrorisme et les activités cybernétiques influencées par l’étranger, et de conseiller le gouvernement en conséquence.

Dans le cadre de ce plan, le SCRS est responsable de :

  • diriger l’enquête sur les incidents de cybersécurité qui constituent une menace pour la sécurité du Canada, comme défini par la Loi sur le SCRS (y compris l’espionnage, le sabotage, le terrorisme, les activités influencées par l’étranger et la subversion).
  • Au besoin, s’il y a des motifs raisonnables de croire qu’une cyberactivité particulière constitue une menace pour la sécurité du Canada ou des Canadiens, le SCRS est autorisé à prendre des mesures pour réduire la menace.
  • Participer aux équipes de gouvernance du PGEC à titre de guide et de conseiller, lorsque l’incident de cybersécurité ou la cybermenace le nécessite.
Ministère de la Défense nationale/Forces armées canadiennes (MDN/FAC)

Le MDN-CAF est chargé d’intervenir en cas de cybermenaces, de vulnérabilités ou d’incidents de sécurité visant les systèmes militairesNote de bas de page 12.

Dans le cadre de ce plan, le MDN-CAF est responsable de :

  • diriger les enquêtes dans le cas de tous les incidents de cybersécurité liés à des activités menaçant l’intégrité des systèmes militaires (soit les systèmes qui appuient directement les opérations, de même que les systèmes d’armes);
  • apporter de l’aide et de l’assistance à d’autres ministères publics, sur demande;
  • participer aux équipes de gouvernance du PGEC à titre de guide et de conseiller, lorsque l’incident de cybersécurité ou la cybermenace le nécessite.
Sécurité publique Canada 

Sécurité publique Canada, par l’intermédiaire de sa Direction nationale de la cybersécurité (DNC), qui relève de la Direction générale de la sécurité nationale et de la cybersécurité, dirige et coordonne la politique et la stratégie nationales de cybersécurité du Canada, et fournit des conseils au ministre sur les incidents et les événements de cybersécurité touchant les systèmes gouvernementaux et non gouvernementaux.

Sécurité publique coordonne l’intervention globale en cas d’événements importants qui pourraient avoir une incidence sur la sécurité et la sûreté des Canadiens et des Canadiennes. Le Centre des opérations du gouvernement (COG), décrit dans le tableau C-1.3, fait partie de la Direction générale de la gestion des urgences de Sécurité publique.

Dans le cadre de ce plan, la Direction nationale de la cybersécurité de Sécurité publique Canada est chargée de participer aux équipes de gouvernance du PGEC à titre de guide et de conseiller.

Affaires mondiales Canada (AMC)

AMC est responsable de la conduite des relations internationales du Canada, y compris de la collaboration avec ses partenaires et ses alliés pour contrer les cybermenaces internationales.

Dans le cadre de ce plan, AMC est responsable de :

  • préparer des messages internationaux liés à la gestion des événements de cybersécurité, en collaboration avec la division des CSAM du SCT, les Communications du Centre pour la cybersécurité, et la division CS du BCP, et en consultation avec les équipes des Communications des intervenants concernés du PGEC;
  • coordonner avec les partenaires internationaux (d’un État à l’autre), les alliés et les autres homologues du ministère des Affaires étrangères et communiquer avec eux dans le cadre d’un cyberévénement qui se déroule au Canada, même s’il n’y a pas de coordination interterritoriale en cause;
  • fournir des conseils en matière de politique étrangère et une coordination internationale dans le cadre d’un cyberévénement ayant des ramifications internationales;
  • diriger les efforts de coordination du gouvernement du Canada en vue d’élaborer des déclarations publiques d’attribution d’une cyberactivité malveillante à un acteur étranger ou à ses mandataires.
Tableau C- 1.3 : Autres intervenants
Organisation Responsabilités
Services partagés Canada (SPC)

SPC est chargé de la planification, de la conception, de l’élaboration, de l’exploitation, du soutien et de la tenue à jour de services d’infrastructure organisationnelle de sécurité de la TI efficaces, efficients et réceptifs afin de protéger les données et les systèmes du gouvernement du Canada sous sa responsabilitéNote de bas de page 19. Cela comprend la gestion d’outils à l’appui de la surveillance des réseaux et des appareils électroniques du ministèreNote de bas de page 20.

Dans le cadre de ce plan, SPC est responsable de :

  • surveiller la santé des infrastructures de sécurité et des activités inhabituelles sur les réseaux gérés par SPC;
  • bloquer et atténuer les cybermenaces visant les réseaux ou les données gérés par SPC;
  • signaler un événement de sécurité intéressant au Centre pour la cybersécurité et aux ministères clients au moyen du Centre pour la cybersécurité, au besoin;
  • répondre aux recommandations du Centre pour la cybersécurité et du SCT, et veiller à ce que les mises à jour et les mesures d’atténuation soient appliquées en temps opportun;
  • participer à l’identification des événements de cybersécurité et à leur atténuation, à l’évaluation des risques, à la reprise des activités et aux analyses après événement dans le GC;
  • évaluer l’incidence des cybermenaces, des vulnérabilités et des incidents de sécurité sur l’ensemble des programmes et services du GC, afin de faciliter l’établissement de rapports à l’échelle du gouvernement à remettre au Centre pour la cybersécurité et au SCT;
  • mettre en œuvre des efforts en matière de prévention, d’atténuation et de reprise des activités, et la livraison opportune de rapports aux principaux intervenants du PGEC GC pour les tenir au fait de la situation;
  • en cas d’événement de cybersécurité, coordonner avec les partenaires afin de déterminer si une infrastructure qu’il gère doit être fermée ou isolée du réseau en établissant et en mettant en œuvre un plan de gestion des rustines, y compris un processus de correction d’urgence, pour la portée des services et des systèmes relevant de sa responsabilité;
  • établir des rapports et concevoir d’autres produits d’information à l’intention des principaux intervenants du PGEC GC, y compris :
    • état de la vulnérabilité et de l’atténuation pour les organisations touchées;
    • les journaux de sécurité de l’infrastructure vers le Centre pour la cybersécurité.
    • établir des rapports après événement, y compris la chronologie des événements et une analyse de la cause première et les soumettre au Centre pour la cybersécurité, au SCT et à d’autres organisations concernées, au besoin (p. ex., BCP).
Sécurité publique Canada – Centre des opérations du gouvernement (COG)

Le COG dirige et appuie la coordination des interventions en réponse à tout type d’événement qui menace les intérêts nationaux. En tout temps, il assure la surveillance, établit des rapports, offre une connaissance de la situation à l’échelle nationale, élabore des évaluations intégrées du risque et de produits d’avertissement, effectue la planification à l’échelle nationale et coordonne une gestion pangouvernementale des interventions. Pendant les périodes d’intervention accrue, le COG bénéficie de l’appui du personnel d’autres organisations.

Dans le cadre de ce plan, le GOC est responsable de :

  • surveiller des événements de niveau 3 et de cybersécurité plus élevés pour la signalisation progressive, comme :
    • préparer, à l’intention des centres des opérations de l’ensemble du gouvernement, des produits d’avertissement et de sensibilisation;
    • établir des plans et procéder à des évaluations des risques;
    • informer les organes de gouvernance du PFIU;
  • assurer le maintien d’un lien entre le PGEC et le  Protocole d’échange d’information sur les incidents marquants (PEIIM);
  • recommander l’activation du PGEC, s’il prend connaissance d’un incident marquant avec un lien cybernétique;
  • recommander la signalisation progressive du PEIIM si un incident cybernétique soulève des préoccupations dans le cadre du PEIIM;
  • coordonner l’intervention globale du GC aux événements qui relèvent du PFIU (niveau 4) et assurer la coordination entre les aspects cybernétiques et non cybernétiques ;
  • veiller à ce que l’équipe des communications de la SP reçoive en temps opportun les renseignements nécessaires pour élaborer des produits de communication et veiller à ce que l’approche coordonnée et harmonisée soit en place pour les communications publiques parmi les intervenants de niveau 4.
Bureau du Conseil privé (BCP)

En sa qualité de principal prestataire de conseils impartiaux au premier ministre et au Cabinet, le BCP, participe à la formulation et à la mise en œuvre du programme politique du GC et à la coordination des solutions opportunes aux problèmes d’importance nationale, internationale ou intergouvernementale auxquels le GC est confronté. À ce titre, l’équipe S et R du BCP joue un rôle de premier plan dans la coordination des interventions pangouvernementales en réponse aux urgences sécuritaires nationales.

Dans le cadre de ce plan, l’équipe S et R est chargée :

  • d’appuyer le processus décisionnel en veillant à ce que les hauts fonctionnaires soient rapidement informés des incidents de cybersécurité pouvant avoir une importance nationale ou des implications sur la sécurité nationale;
  • de contribuer aux équipes de gouvernance du PGEC GC à titre de guide et de conseiller, lorsque l’incident ou la menace national particulier le nécessite.

De plus, l’équipe des communications stratégique (CS) du BCP joue un rôle au cours d’incidents cybernétiques marquants, notamment :

  • fournir des conseils en matière de communication au Cabinet et aux cadres supérieurs du BCP;
  • coordonner les communications à l’échelle du gouvernement (en collaboration avec les équipes des Communications de SP et du CST [Centre pour la cybersécurité]), y compris la gestion de crise, pendant un événement de cybersécurité.
Comité canadien chargé des systèmes nationaux de sécurité (CCSNS)

Le CCSNS, présidé par le sous-ministre du Centre pour la cybersécurité et la DPI du GC (ou son/sa délégué(e)), élabore et assure la gouvernance d’une approche globale des systèmes de sécurité nationale, y compris l’établissement d’un plan de gestion des incidents qui s’applique à tous les systèmes de sécurité nationale du GC.

Dans le contexte de ce plan, les responsabilités du CCNSS comprennent :

  • offrir de la visibilité aux organes de gouvernance du PGEC GC dans des situations qui peuvent aussi avoir des incidences sur les systèmes qui ne font pas partie des systèmes nationaux de sécurité;
  • collaborer avec le BDPI du SCT et le Centre pour la cybersécurité lorsqu’il y a des incidences sur les services et les systèmes qui relèvent du PGEC GC et qui sont responsables de la gouvernance du CCSNS (p. ex., Infrastructure secrète du GC).
Comité des directeurs généraux sur la gestion des urgences (CDGGU)

Le CDGGU est composé d’institutions fédérales dont les mandats statutaires sont essentiels pour faire progresser un Canada résilient aux catastrophes, ainsi que d’un large éventail d’institutions fédérales dont les mandats de gestion des urgences peuvent être pertinents. Le Comité est chargé de promouvoir une perspective de l’ensemble de la société sur les questions horizontales de gestion des urgences.

Dans le contexte du PGEC GC, le CDGGU est l’interface entre les organes de gouvernance du PFIU durant les événements de niveau 4, assurant au besoin la liaison avec les comités du SMA, du SM et du Cabinet.

Ministères et organismes

Les ministères et organismes jouent un rôle clé dans la gestion des événements de cybersécurité dans l’ensemble du gouvernement, qu’ils soient ou non directement concernés par l’événement. La gouvernance, les plans et les procédures ministériels doivent être élaborés pour appuyer les rôles et les responsabilités ministériels liés à la gestion des événements de sécurité et aux plans de continuité des activités en place conformément à la Politique sur la sécurité du gouvernement Référence R8 et aux directives et normes connexes.

Dans le cadre de ce plan, les ministères et organismes, en collaboration avec le représentant chargé de diriger la fonction de gestion de la cybersécurité du Ministère (p. ex., ADCS, sont chargés de :

  • veiller à ce que les exigences en matière de cybersécurité et les mesures appropriées fondées sur le risque soient appliquées en permanence selon une approche de détermination, de protection, de détection, d’intervention et de récupération pour protéger, conformément à la Directive sur la gestion de la sécurité, annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’informationNote de bas de page 15;
  • établir un plan ministériel de gestion des cyberévénements, y compris des rôles et des responsabilités clairs lorsqu’il peut y avoir divers intervenants jouant un rôle dans la réponse aux activités du PGEC GCNote de bas de page 16 (p. ex., équipe de gestion des incidents, équipe de l’accès à l’information et protection des renseignements personnels [pour la gestion des atteintes à la vie privée], représentants des Communications ministérielles, et organisations de services internes intégrés [telles que SPC]);
  • veiller à ce que les exigences de la direction et les exigences relatives à l’établissement de rapports liés aux événements de cybersécurité soient clairement stipulées dans les contrats, les protocoles d’entente et les autres accords officiels conclus avec des partenaires externes (p. ex., des fournisseurs du secteur privé et d’autres ordres de gouvernements) et à ce que ces contrats, protocoles et accords tiennent compte des exigences établies dans les instruments de politique applicables du GC et des ministères, ainsi que dans le PGEC GC, entre autres instruments;
  • tenir à jour un répertoire des services critiques et assurer une compréhension continue de l’ensemble des renseignements, afin de faciliter les interventions ou l’établissement des priorités;
  • veiller à ce qu’un plan ministériel de gestion des rustines, y compris des rôles et des responsabilités clairs et des procédures de gestion des rustines en cas d’urgence, soit établi et maintenu;
  • veiller à ce que la consignation des événements soit configurée dans les systèmes informatiques gérés par les ministères et que les registres soient transmis au système centralisé de consignation des événements et des renseignements de sécurité;
  • assurer une surveillance continue de la sécurité de l’information pour les services et les systèmes relevant de la compétence du ministère (p. ex., applications et services de la TI gérés par le ministère, comme les postes de travail, les environnements d’informatique en nuage, entre autres);
  • contrôler les produits d’information technique du Centre pour la cybersécurité et d’évaluer leur applicabilité aux systèmes d’information que gèrent et possèdent les ministères;
  • tenir à jour des boîtes aux lettres génériques pour le DPI, l’ADCS et les équipes de la sécurité de la TI du ministère qui sont compatibles avec l’ICP pour prendre en charge des communications sécurisées;
  • analyser l’incidence des cybermenaces, des vulnérabilités et des incidents de sécurité sur leurs programmes et leurs services;
  • signaler les événements et les incidents de cybersécurité, conformément aux articles 2.3.1.2 à 2.3.1.4 du présent plan, notamment :
    • suivre les protocoles appropriés en cas d’atteinte à la vie privée, y compris la communication de renseignements importants sur la vie privée au Commissariat à la protection de la vie privée du Canada et au Secrétariat du Conseil du Trésor du Canada (conformément à la Directive sur les pratiques relatives à la protection de la vie privée);
    • aviser le Centre pour la cybersécurité lorsqu’on a besoin d’aide supplémentaire pour exécuter des activités d’intervention;
    • aviser l’autorité compétente chargée de l’application de la loi ou de la sécurité nationale lorsqu’un événement est de son ressort;
    • prendre des mesures immédiates au sein du ministère pour évaluer les incidences, y compris s’il y a atteinte à la vie privée, et mettre en œuvre des mesures d’atténuation en réponse à des événements de cybersécuritéNote de bas de page 15;
  • répondre aux DI dans les délais impartis;
  • mettre en œuvre des mesures d’atténuation et d’appuyer les activités de reprise sur la base des directives et de l’orientation émises par les POCS ou les organismes centraux;
  • participer aux équipes de gouvernance du PGEC GC sur demande (habituellement lorsqu’un événement de cybersécurité les concerne);
  • élaborer et de publier des produits de communication appropriés de gestion pour les intervenants et clients (en consultation avec CSAM/SCT et CS/BCP ou sous leur direction, au besoin);
  • réaliser des analyses après événement et de préparer des rapports sur les leçons qu’ils ont apprises (valable pour les événements concernés), et en présenter les résultats au Centre pour la cybersécurité;
  • tenir à jour et améliorer continuellement leur capacité d’intervention, y compris, notamment, la mise en application des leçons apprises (dans le ministère et dans l’ensemble du gouvernement), la mise en pratique périodique de leurs plans et procédures, la tenue à jour de listes de personnes-ressources internes, et la formation du personnel responsable d’intervenir en cas d’événement de cybersécurité.
Organisation de services intégrés internes (OSII)

L’OSII, comme définie dans la Politique sur la sécurité du gouvernement Référence R8, est un ministère ou un organisme qui fournit des services intégrés internes à d’autres ministères du gouvernement du Canada. Les OSII doivent établir des mécanismes afin d’informer leurs bénéficiaires des événements de cybersécurité qui ont une incidence sur leurs systèmes ou leurs données. Il s’agit notamment de fournir aux bénéficiaires les données dont ils ont besoin pour préparer, en temps opportun, des rapports d’incident et des réponses aux demandes d’intervention, ainsi que toute autre preuve numérique requise afin d’appuyer les activités d’atténuation, de rétablissement et post-événement des ministères.

Partenaires externes

Les ministères et organismes comptent souvent sur divers partenaires externes au GC pour appuyer la prestation des programmes et des services, y compris d’autres ordres de gouvernement et des partenaires universitaires ou scientifiques, entre autres. Les partenaires externes sont tenus de gérer les événements de cybersécurité et d’en rendre compte conformément aux stipulations des accords respectifs des propriétaires des services des ministères.

Fournisseurs tiers

Les fournisseurs tiers comprennent des organismes du secteur privé comme les fournisseurs de services d’informatique en nuage (FSIN) et les fournisseurs de services gérés (FSG). Alors qu’un FSG est une entreprise qui gère à distance l’infrastructure informatique et les systèmes de l’utilisateur pour le compte d’un client, un FSIN dicte à la fois la technologie et les procédures opérationnelles disponibles pour le consommateur (p. ex., les ministères et organismes). Les fournisseurs tiers sont tenus de gérer les événements de cybersécurité et d’en rendre compte conformément aux stipulations des accords contractuels respectifs prévus par les responsables des services du ministère, dans le cadre de l’approche ministérielle de gestion des risques liés à la chaîne d’approvisionnement.

Dans le cadre de ce plan, les fournisseurs tiers sont censés :

  • intervenir rapidement en cas d’un incident qui a une incidence sur l’information et les biens du GC afin de minimiser les dommages qui en résultent. Le GC ou le fournisseur tiers peut identifier des cyberévénements (p. ex., des problèmes d’utilisation d’un service);
  • gérer et rendre compte des cyberévénements conformément aux stipulations des accords contractuels respectifs fournis par les propriétaires de services du Ministère;
  • travailler en collaboration avec le Centre pour la cybersécurité et les ministères concernés pour obtenir les informations nécessaires, y compris les journaux d’événements, afin de mener des enquêtes et d’appuyer les activités de confinement, d’éradication et de reprise.

C-2 Rôles et responsabilités par phase

La présente section décrit les rôles et les responsabilités des intervenants du PGEC GC par phase.

C-2.1 Préparation

Tableau C-2.1 : Activités des intervenants au cours de la phase d’atténuation et de reprise
Intervenant Activités
Tous les intervenants du PGEC GC (y compris les ministères et organismes)
  • veillent à ce que les exigences en matière de cybersécurité et les mesures de protection et de prévention appropriées, fondées sur les risques, soient appliquées en permanence selon une approche d’identification, de protection, de détection, d’intervention et de reprise pour protéger les systèmes et services d’information dans leurs domaines de responsabilité respectifs, conformément aux conseils et orientations émis par les principaux organismes chargés de la sécurité (POCS);
  • fournissent une formation de sensibilisation à la sécurité à tous les employés ainsi qu’une formation spécialisée aux spécialistes fonctionnels de la sécurité s’il y a lieu;
  • élaborent des plans, des processus et des procédures ministériels pour répondre aux événements de cybersécurité et signaler les incidents aux autorités compétentes, conformément au PGEC GC, mettent à l’essai et en pratique leur réponse à un cyberévénement, participent à des exercices à l’échelle du GC au besoin et veillent à ce que les leçons apprises soient mises en œuvre au niveau ministériel;
  • tiennent continuellement à jour un répertoire des actifs de son système d’information, y compris une liste de ses services critiques;
  • surveillent en permanence les systèmes d’information et les actifs afin de repérer les événements de cybersécurité, de gérer les vulnérabilités et de mettre en œuvre des actions correctives telles que l’application rapide de rustines et de mises à jour liés à la sécurité;
  • tiennent à jour les coordonnées de personnes-ressources, y compris les boîtes aux lettres génériques pour le DPI, l’ADCS et les équipes de la sécurité informatique de leur ministère;
  • établissent un processus de surveillance des boîtes aux lettres génériques pendant et à l’extérieur des heures normales de travail;
  • veillent à ce que les menaces et les vulnérabilités de la chaîne d’approvisionnement pour les services de la TI obtenus par l’intermédiaire de fournisseurs tiers soient atténuées et gérées par l’établissement d’ententes contractuelles qui définissent clairement les rôles et les responsabilités des organisations du GC, à ce que les fournisseurs tiers assurent leur cybersécurité par rapport aux mesures de cybersécurité de base approuvés par le GC et aux exigences de sécurité contractuelles, et à ce que les ententes contractuelles incluent l’exigence de collaborer avec les intervenants du PGEC GC en cas de cyberévénement touchant le fournisseur tiers;
  • dans le cas des cyberévénements qui affectent les SSN, veiller à ce que le DPI, l’ADCS et les équipes de la sécurité de la TI des ministères aient les outils appropriés, proportionnels à la catégorie de sécurité du système d’information concerné, afin de communiquer de façon sécuritaire avec le Centre pour la cybersécurité.
Secrétariat du Conseil du Trésor du Canada – Bureau de la dirigeante principale de l’information
  • élabore et tient à jour le PGEC GC, coordonne les exercices réguliers avec tous les intervenants concernés et veille à ce que les leçons apprises soient mises en œuvre;
  • examine les rapports post-mortem et les leçons tirées des événements passés et apporte des changements aux instruments de politique du Conseil du Trésor, à l’orientation de la sécurité de l’organisation, aux architectures de référence, etc. selon les besoins.
Centre pour la cybersécurité
  • tient à jour des listes de distribution opérationnelles à l’échelle du GC et veille à ce que les ministères et organismes reçoivent continuellement les conseils et l’orientation nécessaires pour atténuer les cybermenaces et les vulnérabilités pour éviter que ne surviennent des événements de cybersécurité;
  • produit des évaluations stratégiques des cybermenaces aux fins de consommation et de sensibilisation au sein du gouvernement du Canada.

C-2.2 Détection et évaluation

Tableau C-2.2a :  Activités des intervenants au cours de la phase de détection
Intervenant Activités
Tous les intervenants du PGEC GC (y compris les ministères et organismes)
  • contrôlent leurs sources d’information respectives afin de détecter des signes précurseurs de cybermenaces ou de vulnérabilité ou des indicateurs d’incidents de cybersécurité confirmés ou éventuels, et informent immédiatement le Centre pour la cybersécurité de cyberévénements possibles pouvant compromettre l’intégrité des systèmes d’information du GC.
Centre pour la cybersécurité
  • surveille les renseignements provenant de son programme de capteurs, des sources de renseignement et opérationnelles, ainsi que des partenaires internationaux et de confiance.
Intervenants spécialisés du POCS
  • la GRC surveillera les renseignements provenant de sources ouvertes, de renseignements et de sources opérationnelles.
  • le SCRS contrôlera les renseignements provenant de sources de renseignement.
  • les MDN-FAC contrôleront tous les réseaux du MDN, de même que les réseaux des sources alliées (comme l’OTAN), déployés dans le cadre des activités, et fourniront des renseignements et des indicateurs cernés par des partenaires militaires externes et par le biais d’activités du MDN et des FAC.
Ministères et organismes
  • facilitent la détection par la configuration de la fonction de consignation des événements, conformément au Guide sur la consignation d'événements du GC  Référence R11, sur les actifs de la TI pour que les registres soient transmis ultérieurement à un système centralisé de consignation des événements et des renseignements de sécurité;
  • surveillent les avis et les notifications aux fournisseurs du Centre pour la cybersécurité.
Organisations de services internes intégrés (comme SPC)
  • lorsqu’une organisation de services internes intégrés (OSII) comme SPC qui gère les services de partenaires, l’OSII signale l’événement pour le compte du partenaire;
  • veillent à ce que les fournisseurs tiers, au moyen d’accords contractuels, rendent compte au GC des cyberévénements ayant une incidence auprès des intervenants principaux du POCS, le cas échéant;
  • identifient les systèmes touchés ou vulnérables, ou les événements de sécurité d’intérêt, et en rendre compte au Centre pour la cybersécurité, au besoin.
Tableau C-2.2b :  Activités des intervenants au cours de la phase d’évaluation
Intervenant Activités
Centre pour la cybersécurité
  • établit le niveau initial de réponse cybernétique, en consultation avec le BDPI du SCT et d’autres partenaires concernés, en se fondant sur les renseignements disponibles, y compris les renseignements ministériels, et fait appel aux organismes de gouvernance du PGEC GC appropriés;
  • collabore avec le BDPI du SCT afin de déterminer les attentes en matière de demande d’intervention (DI).
Dirigeante principale de l’information du Secrétariat du Conseil du Trésor du Canada
  • peut ordonner à un administrateur général de mettre en œuvre une intervention propre aux événements de cybersécuritéNote de bas de page 16, y compris une DI aux ministères et organismes en réponse à un avis du Centre pour la cybersécurité;
  • détermine les détails de la demande et les mesures applicables, en consultation avec le Centre pour la cybersécurité;
  • recueille les réponses ministérielles aux DI et les communique au Centre pour la cybersécurité.
Organisation de services internes intégrés (comme SPC)
  • aider à effectuer un test de blessure (incident) ou une évaluation des risques (menace/vulnérabilité), au besoin;
  • surveiller la santé des infrastructures de sécurité et regarder les activités inhabituelles sur les réseaux du GC;
  • fournir des mises à jour opportunes sur la connaissance de la situation aux principaux intervenants du PGEC GC.
Ministères et organismes
  • effectuent une évaluation de l’incidence ministérielle, y compris pour évaluer les incidences sur l’organisation, notamment les personnes, les entreprises et les tiers;
  • s’appuient sur toutes les sources d’information disponibles, y compris les outils automatisés, dans la mesure du possible, pour recueillir les renseignements requis pour appuyer l’évaluation de l’incidence;
  • déterminent si une atteinte à la vie privée a eu lieu et si l’incident met potentiellement en cause des renseignements personnels, avisent les autorités compétentes comme le bureau ministériel de l’AIPRP pour déterminer si une atteinte à la vie privée a eu lieu et, le cas échéant, met en œuvre le protocole en cas d’atteinte à la vie privée de l’organisation;
  • remplissent les exigences en matière d’établissement de rapports décrites à l’article 2.3.1.2 du présent plan dès qu’un événement de cybersécurité est détecté, notamment en soumettant les résultats de l’évaluation ministérielle au Centre pour la cybersécurité dans les délais communiqués;
  • collaborent avec les services d’application de la loi ou les responsables de la sécurité nationale compétents si un événement relève de l’un de ces domaines.

C-2.3 Atténuation et reprise

Tableau C-2.3 : Activités des intervenants au cours de la phase d’atténuation et de reprise
Intervenant Activités
Secrétariat du Conseil du Trésor du Canada – Bureau de la dirigeante principale de l’information
  • assure la coordination stratégique, ce qui peut comprendre l’envoi de conseils stratégiques aux ministères et organismes afin de réduire au minimum l’incidence des événements de cybersécurité sur l’ensemble du gouvernement (p. ex., mise hors service des systèmes d’information vulnérables accessibles au grand public, le recours aux plans de continuité des activités) (dans le cas des événements de niveau 3 du PGEC GC ou lorsque des événements de niveau 2 du PGEC GC le nécessitent);
  • pour les événements de niveau 3 ou, lorsque cela est justifié, par des événements de niveau 2, met en place un centre de commandement de l’incident au niveau des DG et d’un sous-comité de l’EGE, afin de permettre des décisions rapides en cas d’incident et d’assurer une approche coordonnée pour le rétablissement en cas de compromissions et les mesures correctives, en vue de la reprise des activités.
Centre pour la cybersécurité
  • assure la coordination opérationnelle, ce qui comprend l’envoi de conseils techniques et d’avis aux ministères et organismes qui préconisent l’adoption de mesures permettant d’atténuer ou de circonscrire l’incidence sur les systèmes des ministères (p. ex., installation de rustines, blocage des adresses IP) et le suivi de ces mesures et l’établissement de rapports connexes (tous les événements);
  • dirige les activités de coordination des interventions en cas d’incident, pour les événements de niveau 2 à 3 du PGEC GC;
  • pour le niveau 4, travaille avec le GC, qui active le PFIU afin de veiller à ce qu’une approche coordonnée soit établie entre les organisations gouvernementales et non gouvernementales;
  • pour les incidents confirmés (tous les PGEC GC de niveau 3+ GC et PGEC GC de niveau 2 applicables), le Centre pour la cybersécurité :
    • dirigera l’élaboration d’un plan de confinement dans l’ensemble du gouvernement, en collaboration avec les intervenants du PGEC GC;
    • tirera parti de ses capacités techniques pour faciliter une intervention ciblée;
    • aidera à mettre en œuvre le plan de prévention ou de confinement dans leurs domaines de compétence respectifs;
    • dirigera les activités d’investigation et d’analyse judiciaires (y compris la collecte des preuves) sur les systèmes de la TI.
Intervenants spécialisés du POCS
  • prodiguent des conseils et des avis à la lumière des informations obtenues de leurs sources respectives.
Sécurité publique – Centre des opérations du gouvernement
  • dans le cas des événements toujours gérés au moyen du PFIU, assure la coordination stratégique, ce qui peut comprendre l’envoi (au moyen du BDPI du SCT) de conseils stratégiques aux ministères et organismes afin de réduire au minimum l’incidence sur l’ensemble du gouvernement (événements de niveau 4 du PGEC GC seulement).
Ministères et organismes
  • prennent des mesures immédiatesNote de bas de page 17, au sein du ministère, pour mettre en œuvre des mesures d’atténuation en réponse aux événements de cybersécurité, en se fondant sur les conseils et l’orientation fournie par le Centre pour la cybersécurité et le BDPI du SCT, ou selon les directives de la DPI du GC, dans les délais établis (sur les appareils et l’infrastructure dont ils sont responsables);
  • collaborent avec leur organisation de services internes intégrés, selon les besoins, pour mettre en œuvre le plan de prévention ou de confinement dans leur secteur de responsabilité respectif;
  • veillent à ce qu’un processus de chaîne de gardeNote de bas de page 18 soit défini et mis en œuvre, au besoin.
Organisation de services internes intégrés (comme SPC)
  • prend des mesures immédiates dans le ministère, conformément aux directives de la DPI du GC, y compris la mise en œuvre de mesures d’atténuation en réponse aux événements de cybersécurité, en se fondant sur les conseils et l’orientation fournie par le Centre pour la cybersécurité et le BDPI du SCT dans les délais établis (sur les appareils et l’infrastructure dont ils sont responsables);
  • détermine les systèmes touchés ou vulnérables relevant de la responsabilité de l’OSII et fait rapport à ce sujet;
  • assure la liaison avec leurs partenaires ou leurs ministères clients pour mettre en œuvre des mesures d’atténuation des cyberévénements, comme la coordination des rustines d’infrastructure.
  • fournit des rapports aux principaux intervenants du PGEC GC sur l’état de la gestion de la vulnérabilité ou des activités d’atténuation ou de rétablissement.

C-2.4 Activité post-événement

Tableau C-2.4 : Activités des intervenants au cours de la phase d’activité post-événement
Intervenant Activités
Secrétariat du Conseil du Trésor du Canada – Bureau de la dirigeante principale de l’information
  • produit un rapport sur les leçons apprises et un plan d’action au nom du GC, axé sur les rapports après l’événement élaborés à partir du Centre pour la cybersécurité (événements de niveau 3 ou lorsque des événements de niveau 2 le justifient);
  • suit la mise en œuvre des recommandations issues des rapports sur les leçons apprises de l’expérience et des plans d’action connexes.
Centre pour la cybersécurité
  • recueille toutes les constatations ministérielles;
  • établit un rapport après événement, qui comprend la chronologie des événements et une analyse de la cause première.
Organisation de services internes intégrés (comme SPC)
  • effectue des évaluations de la vulnérabilité et des tests de pénétration proactifs et à la demande;
  • établit des rapports après événement, y compris la chronologie des événements et une analyse de la cause première et les soumettre au Centre pour la cybersécurité, au SCT et à d’autres organisations concernées, au besoin.
Sécurité publique – Centre des opérations du gouvernement
  • produit un rapport sur les leçons apprises pour les événements de niveau 4;
  • contrôle la mise en œuvre des recommandations (événements de niveau 4 uniquement).
Ministères et organismes
  • produisent leur propre rapport ministériel sur les leçons apprises et leur plan d’action lorsqu’ils sont touchés par un cyberévénement;
  • contribuent aux activités après l’événement à l’échelle du GC, au besoin.
Tous les autres intervenants du PGEC GC
  • fournissent des renseignements nécessaires pour appuyer l’élaboration de rapports sur les leçons apprises à l’échelle du GC;
  • contribuent à la mise en œuvre des mesures de suivi connexes relevant de leurs domaines de responsabilité particuliers.

Annexe D : Procédures d’établissement de rapports

Dans cette section

La section qui suit décrit les procédures à suivre pour rendre compte au Centre pour la cybersécurité ou à la GRC. Exemples non exhaustifs de types d’événements qui devraient être signalés :

  • la compromission suspectée ou réelle de tout identifiant administratif;
  • les activités suspectes sur des appareils ayant été apportés dans des pays étrangers ou ayant été connectés à des réseaux ou des appareils non fiables (p. ex., clé USB cadeau);
  • des courriels suspects ou ciblés contenant des liens ou des pièces jointes que n’ont pu détecter les systèmes de contrôle en place;
  • une activité du réseau suspecte ou non autorisée qui s’écarte de la norme;
  • la violation de données ou la compromission ou corruption de renseignements;
  • l’introduction intentionnelle ou accidentelle d’un logiciel malveillant dans un réseau;
  • des attaques par déni de service;
  • les tentatives réussies de rançongiciel;
  • la défiguration ou la compromission de pages Web ou d’une présence en ligne, y compris l’utilisation non autorisée de comptes de médias sociaux du GC.

Pour les incidents de cybersécurité touchant le système de sécurité nationale, ne donner que de l’information générale au moment de communiquer avec le Centre pour la cybersécurité ou le service de police compétent (p. ex., la GRC ou la police militaire), et fournir ensuite les détails par le biais des canaux sécurisés appropriés.

D-1 Renseignements sur les rapports d’incident

Le tableau D-1 présente les renseignements qui doivent être fournis au moment de signaler un incident au Centre pour la cybersécurité ou à la GRC.

Pour assurer l’établissement en temps opportun de rapports exhaustifs, les ministères doivent :

  • fournir un rapport initial le plus tôt possible, sans excéder une heure, après la détection initiale, contenant le plus d’information possible;
  • fournir un rapport détaillé plus complet dans les 24 heures suivant la détection, contenant tous les renseignements décrits dans le tableau D-1 (dans la mesure du possible).
Tableau D-1 : Renseignements sur les rapports d’incident
ID Type Description
1

Coordonnées

Nom, numéro de téléphone, adresse de courriel, organisme/ministère, et rôle.

2

Type de demande

Demande d’aide (Urgente/Non urgente) ou renseignements seulement.

3

Description/résumé de l’incident

Description de l’incident cybernétique en répondant au plus grand nombre possible des questions suivantes :

  • Quand l’activité a-t-elle eu lieu?
  • Quand l’activité a-t-elle été découverte?
  • L’activité malveillante est-elle toujours en cours?
  • Quels types d’actifs sont touchés (p. ex., téléphone, site Web, ordinateur, compte/services, autre)?
  • Quelle est l’incidence de l’incident sur votre organisation ou vos services (p. ex., étendue et gravité)?
  • La situation est-elle maîtrisée?
  • Des artefacts ont-ils été conservés? (p. ex., adresses de courriel, adresses IP, fichiers suspects, note de rançon, fichiers journaux, etc.)
4

Renseignements supplémentaires

Tous autres renseignements, y compris les références, les détails sur le périphérique, les indicateurs comme les adresses URL, les adresses IP, les mesures d’atténuation prises, et autres.

D-2 Comment communiquer avec le Centre pour la cybersécurité

Il faut utiliser des moyens de communication habituels pour communiquer avec le Centre pour la cybersécurité en cas d’incident. S’il n’y en a pas, les organisations du gouvernement du Canada peuvent utiliser le Portail de signalement des incidents au Centre pour la cybersécurité. Dès réception du courriel, le Centre pour la cybersécurité examinera la demande et fournira une réponse en temps opportun.

D-3 Comment communiquer avec la GRC

Pour signaler un incident de cybercriminalité à la GRC, les représentants ministériels doivent communiquer avec le NC3 à l’adresse NC3Cyber-CyberGNC3@rcmp-grc.gc.ca ou avec le Centre de coordination des opérations de la GRC et demander à parler à quelqu’un au NC3.

Dès réception du rapport sur l’incident, la GRC l’examinera et fournira une réponse en temps opportun. Les réponses de la GRC peuvent comprendre un courriel avisant de la réception du rapport, une demande de renseignements supplémentaires ou une demande d’entrevue virtuelle ou en personne.

Annexe E : Évaluation de l’incidence des événements sur les ministères

Dans cette section

Cette annexe décrit un processus de haut niveau qui pourrait servir à évaluer l’incidence d’un événement de cybersécurité. Le processus suivant peut être adopté et utilisé par les ministères, au besoin, pour orienter leur plan d’intervention en cas d’incident.

Étape 1 : Test de préjudice

Quel que soit le type d’événements de cybersécurité (menaces, vulnérabilités ou incidents confirmés), l’évaluation de leur incidence commence par un test de préjudice permettant de mesurer le degré de préjudice qui pourrait vraisemblablement découler d’une compromission.

Étape 2 : Évaluation des risques

Dans le cas de cybermenaces ou de vulnérabilités, il faut déterminer la probabilité d’occurrence d’un préjudice afin d’obtenir une idée précise de l’éventuelle incidence sur un ministère.

E-1 Étape 1 : Test de préjudice – pour tous les types d’événements de cybersécurité

Le test de préjudice, qui s’effectue d’après le tableau E-1, est fonction de la gravité et de l’étendue du préjudice qui pourrait vraisemblablement survenir.

Gravité

Les niveaux de gravité peuvent être caractérisés comme suit :

  • Limité : un événement qui, s’il survenait, causerait un préjudice limité.
  • Grave : un événement qui, s’il survenait, causerait un préjudice grave.
  • Considérable : un événement qui, s’il survenait, causerait un préjudice considérable.

La gravité du préjudice se rapporte au niveau de dommage ou de perte pour les types de préjudice suivants :

  • nuisible à la santé et à la sécurité des personnes;
  • pertes financières ou difficultés économiques;
  • incidences sur les programmes et services publics;
  • menace pour l’ordre public ou pour la souveraineté nationale;
  • nuisible à la réputation ou aux relations;
  • portant préjudice à la nation ou à la sécurité nationale.

D’autres facteurs propres à un mandat ou à un contexte opérationnel d’un ministère ou d’un organisme peuvent également être pris en considération, ainsi que la catégorisation de sécurité du système d’information comme défini par la Directive sur la gestion de la sécurité, appendice J : Norme sur la catégorisation de sécurité Référence R18.

Étendue

L’étendue du préjudice réfère au nombre de personnes, d’organisations, d’installations ou de systèmes touchés, à la région géographique concernée (p. ex., préjudice localisé ou répandu) ou encore à la durée du préjudice (p. ex., de court ou de long terme). L’étendue peut être caractérisée de :

  • Grande : Le préjudice est répandu; est national ou international; s’étale à plusieurs pays ou juridictions; affecte d’importants programmes ou secteurs publics.
  • Moyenne : Le préjudice concerne une administration, un secteur d’activité, un programme public; un groupe ou une collectivité.
  • Faible : Le préjudice concerne un particulier, une petite entreprise.
Tableau E-1 : Test de préjudice
  Étendue
Faible Moyenne Grande
Gravité Considérable Moyenne Élevée Très élevée
Grave Faible Moyenne Élevée
Limitée Faible Faible Moyenne
Résultat Niveau d’incidence sur le ministère

Le tableau E-2 permet d’analyser les conséquences possibles d’une compromission et de valider les résultats du test de préjudice initial. Une fois confirmée, cette valeur peut être inscrite dans le rapport d’incident et soumise au Centre pour la cybersécurité.

Tableau E-2 : Conséquences prévues d’une compromission
Incidence Conséquences d’une compromission

Très élevée

  • Nombreuses pertes de vie.
  • Lourde perte à long terme pour l’économie canadienne.
  • Atteinte majeure à la sécurité nationale (p. ex., compromet la capacité d’intervention des FAC ou les activités de renseignement nationales).
  • Préjudice grave aux relations diplomatiques ou internationales.
  • Perte de confiance à long terme de la population dans le GC, ce qui nuit à la stabilité du gouvernement.

Élevée

  • Blessés très graves ou décès parmi un groupe de personnes, ou nombreux blessés graves.
  • Perte financière grave qui nuit à l’économie canadienne, qui compromet la viabilité d’un programme public ou qui réduit la compétitivité à l’échelle internationale.
  • Entrave majeure à un ou plusieurs services critiques, ou entrave à la sécurité nationale.
  • Préjudice grave aux relations internationales qui pourrait entraîner une protestation ou une sanction officielle.
  • Perte de confiance à long terme de la population dans le GC, ce qui nuit à la réalisation d’un objectif prioritaire du gouvernement.

Moyenne

  • Menace pour la sécurité ou la vie d’une personne, ou blessés graves parmi un groupe de personnes.
  • Perte financière qui nuit au rendement de tout un secteur de l’économie, qui compromet la réalisation des objectifs d’un programme public ou qui nuit au bien-être d’un grand nombre de Canadiens et de Canadiennes.
  • Entrave majeure à la réalisation de programmes et de services accessibles au grand public, ou au bon fonctionnement d’un ministère, ce qui compromet la réalisation des objectifs.
  • Préjudice aux relations diplomatiques ou internationales.
  • Importante perte de confiance de la population dans le GC ou embarras pour le GC.

Faible

  • Dommage physique ou psychologique subi par une personne.
  • Stress financier ou difficultés financières subis par une personne.
  • Entrave au bon fonctionnement d’un ministère qui pourrait avoir une faible incidence sur l’efficacité d’un programme.
  • Nuisance à la réputation d’un particulier ou d’une entreprise.
  • Légère perte de confiance de la population dans le GC.

E-2 Étape 2 : Évaluation des risques – seulement dans le cas des cybermenaces ou des vulnérabilités

À la différence des incidents de sécurité, dont le préjudice a été constaté, les autres cyberévénements que sont les cybermenaces et les vulnérabilités représentent un préjudice qui est encore à l’état de potentialité. Lorsque l’on souhaite établir avec précision le niveau de l’incidence potentielle, il faut procéder à une évaluation du risque (à l’aide du tableau E-3) afin de déterminer la probabilité d’occurrence du préjudice. En se fondant sur les résultats du test de préjudice réalisé à l’étape 1, on détermine le niveau de l’incidence sur le ministère, après correction du risque, en fonction de facteurs tels que des indicateurs (probabilité de compromission), l’exploitabilité, l’exposition des systèmes d’information concernés et la mise en œuvre de mesures compensatoires.

Tableau E-3 : Évaluation des risques
  Exposure
Faible Moyenne Élevée Très élevée
  • Faible probabilité que la menace frappe le GC.
  • Vulnérabilité très difficile à exploiter.
  • Les systèmes vulnérables ne sont pas directement exposés (p. ex., systèmes autonomes).
  • Les mesures de sécurité en place offrent une protection efficace contre la menace ou la vulnérabilité.
  • Probabilité moyenne que la menace frappe le GC.
  • Vulnérabilité exploitable avec d’importantes ressources.
  • Les systèmes vulnérables sont accessibles par un seul ministère (p. ex., au moyen de son intranet).
  • Les mesures de sécurité en place offrent une protection partielle contre la menace ou la vulnérabilité.
  • Forte probabilité que la menace frappe le GC.
  • Vulnérabilité exploitable avec des ressources en quantité modérée.
  • Les systèmes vulnérables sont accessibles par de nombreux ministères (p. ex., extranet du GC).
  • Les mesures de sécurité en place offrent peu de protection contre la menace ou la vulnérabilité.
  • Menace ou compromission imminente
  • Vulnérabilité facilement exploitable avec peu de ressources.
  • Les systèmes vulnérables sont fortement exposés (p. ex., par Internet).
  • Les mesures de sécurité en place n’offrent aucune protection contre la menace ou la vulnérabilité.
Exposition Importance de l’incidence (selon le test de préjudice à l’étape 1) Très élevée Élevée Élevée Élevée Très élevée
Élevée Moyenne Moyenne Élevée Élevée
Moyenne Faible Moyenne Moyenne Moyenne
Faible Faible Faible Faible Faible
Résultat Niveau d’incidence sur le ministère, après correction du risque

Ce niveau d’incidence sur le ministère, après correction du risque, doit être signalé au Centre pour la cybersécurité (sur demande dans une DI) pour consommation à l’échelle du GC.

Les cybermenaces ou les vulnérabilités doivent être considérées comme des incidents de cybersécurité dès la constatation du préjudice. Lorsqu’un préjudice passe de l’état de potentialité à celui de réalité, le test de préjudice évoqué précédemment devra faire l’objet d’une réévaluation, et ses résultats communiqués de nouveau au Centre pour la cybersécurité, qui devra déterminer s’il y a lieu d’intervenir autrement ou de s’en référer à l’autorité supérieure.

Annexe F : Procédures de renvoi à un niveau d’intervention supérieur ou inférieur

Dans cette section

F-1 Procédures de renvoi à un niveau d’intervention supérieur

Le tableau F-1 décrit les activités liées aux procédures de renvoi à un niveau d’intervention supérieur du PGEC GC.

Tableau F-1 : Procédures de renvoi à un niveau d’intervention supérieur du PGEC GC
Procédures de renvoi à un niveau d’intervention supérieur Activités
Renvoi d’un événement de niveau 1 à un événement de niveau 2 du PGEC GC
  • La déclaration d’un événement de niveau 2 du PGEC GC est déterminée conjointement par les cadres au niveau des directeurs du Centre pour la cybersécurité et du BDPI du SCT.
  • Une mise à jour est diffusée aux intervenants opérationnels par le Centre pour la cybersécurité.
  • Par la suite, le Centre pour la cybersécurité mettra sur pied une ECE en tant qu’organe central de coordination. L’ECE se réunira à une fréquence convenue pour faciliter l’échange de renseignements et la résolution, les représentants d’ECE fournissant les mises à jour opérationnelles de leur ministère respectif.
  • Les organisations participantes du PGEC GC sont responsables de désigner les chefs de l’opération (principaux et secondaires) et les experts qui doivent assister à chaque réunion.
  • Au cours de ces réunions, les ministères fourniront au Centre pour la cybersécurité des mises à jour approfondies sur tous les types d’intervention et de coordination en cas d’incident, aux fins de la création d’un rapport de situation (RAPSIT) officiel.
  • Un renvoi à un niveau d’intervention supérieur peut se produire si des efforts accrus d’atténuation sont nécessaires, si l’incidence d’un événement est plus importante ou si la situation exige une intervention accrue du GC.
  • On fera également appel au Cadre de communication en matière de cybersécurité des CSAM du SCT.
Renvoi d’un événement de niveau 2 à un événement de niveau 3 du PGEC GC
  • La déclaration d’un événement de niveau 3 du PGEC GC est déterminée conjointement par les cadres au niveau des directeurs du Centre pour la cybersécurité et du BDPI du SCT (p. ex. la DPSI GC).
  • Le Centre pour la cybersécurité diffusera une mise à jour aux intervenants opérationnels.
  • Le Centre pour la cybersécurité mettra en place une EGE et peut inclure des ministères touchés, selon la taille et l’étendue de la compromission. En plus de l’ECE, l’EGE se réunira régulièrement.
  • En tant que sous-comité de l’EGE, le BDPI du SCT mettra en place un centre de commandement de l’incident au niveau du DG comprenant les principaux intervenants (y compris les ministères touchés), afin de permettre des décisions rapides liées à l’incident et d’assurer une approche coordonnée pour le rétablissement en cas de compromissions et les mesures correctives, en soutien à la reprise des activités.
  • L’ECE continuera de se réunir et de coordonner régulièrement les activités en cours. Le Centre pour la cybersécurité continuera de publier les rapports centraux du RAPSIT. Des représentants des ministères touchés, de Services partagés Canada (s’il y a lieu), du BDPI du SCT et des POCS participeront à la réunion et fourniront le mémoire de leur ministère sur les importantes mises à jour opérationnelles.
  • On fera également appel au Cadre de communication en matière de cybersécurité des CSAM du SCT.
Renvoi d’un événement de niveau 3 à un événement de niveau 4 du PGEC GC
  • Lorsqu’un événement du PFIU est déclaré par la Sécurité publique, les cadres au niveau des directeurs généraux du Centre pour la cybersécurité, du BDPI du SCT (p. ex. la DPSI GC) et du COG, en consultation avec l’EGE, recommanderont à la DPI du GC si un événement de niveau 4 du PGEC GC doit être déclaré, conformément au cadre de coordination de l’intervention du PFIU.
  • Si la DPI du GC approuve le renvoi d’un événement au niveau 4 du PGEC GC, le COG activera le PFIU.
  • Les intervenants du PGEC GC continueront de remplir leurs mandats respectifs au GC et continueront de coordonner les activités en cours aux côtés des équipes d’événements du PFIU.
  • L’ECE et l’EGE continueront de se réunir et de coordonner régulièrement les activités en cours. Le Centre pour la cybersécurité continuera de publier les rapports centraux du RAPSIT. Des représentants des ministères touchés, de Services partagés Canada (s’il y a lieu), du BDPI du SCT et des POCS participeront à la réunion et fourniront le mémoire de leur ministère sur les importantes mises à jour opérationnelles.
  • On fera appel au Cadre de communication en matière de cybersécurité des CSAM du SCT, en coordination avec le PFIU.

F-2 Procédures de renvoi au niveau d’intervention inférieur

Les niveaux d’intervention du GC peuvent être réduits à mesure qu’un cyberévénement se déroule. Plusieurs facteurs de diminution du niveau d’intervention devront être pris en compte, par exemple, si un incident est jugé suffisamment contenu, moins grave qu’initialement déterminé, ou si la menace est réduite ou si la vulnérabilité est atténuée. Le tableau F-2 décrit les activités liées aux procédures de diminution du niveau d’intervention du PGEC GC.

Tableau F-2 : Procédures de renvoi au niveau d’intervention inférieur du PGEC GC
Procédures de renvoi à un niveau d’intervention inférieur Activités
Diminution du niveau d’intervention d’un événement de niveau 4 à niveau 3 du PGEC GC
  • Lorsque la Sécurité publique abandonne un événement du PFIU qui a déclenché un événement de niveau 4 du PGEC GC, le niveau du PGEC GC passe automatiquement au niveau 3.
  • Une mise à jour sera diffusée à tous les intervenants opérationnels, au besoin.
  • Les réunions de l’EGE et de l’ECE continueront d’avoir lieu, de même que l’établissement de rapports central et continue du RAPSIT du Centre pour la cybersécurité en lien avec l’événement de niveau 3 du PGEC GC.
  • Le Cadre de communication en matière de cybersécurité des CSAM du SCT sera invoqué.
Diminution du niveau d’intervention d’un événement de niveau 3 à un événement de niveau 2 du PGEC GC
  • La diminution du niveau d’intervention sera déterminée conjointement par les cadres au niveau des directeurs généraux du Centre pour la cybersécurité et du BDPI du SCT (p. ex. la DPSI GC), qui organiseront une conférence pour déterminer la gravité actuelle du cyberévénement.
  • Une mise à jour sera diffusée à tous les intervenants opérationnels, le cas échéant.
  • Le Centre pour la cybersécurité mettra fin à l’EGE.
  • Les réunions de l’ECE continueront d’avoir lieu, de même que l’établissement de rapports centrale et continue du RAPSIT du Centre pour la cybersécurité.
  • Le Cadre de communication en matière de cybersécurité des CSAM du SCT sera invoqué.
Diminution du niveau d’intervention d’un événement de niveau 2 à niveau 1 du PGEC GC
  • La diminution du niveau d’intervention sera déterminée conjointement par les cadres au niveau des directeurs généraux du Centre pour la cybersécurité et du BDPI du SCT, selon la gravité actuelle du cyberévénement.
  • Une mise à jour sera diffusée à tous les intervenants opérationnels, le cas échéant.
  • Le Centre pour la cybersécurité va mettre fin à l’ECE.
  • Des activités après événement seront menées, conformément à la section 4.4.
  • Les CSAM du SCT appuieront les organisations dans la transition vers les communications de niveau 1.

Annexe G : Tableaux de bord des intervenants

Cette ressource n’est accessible que par l’entremise du réseau interne du GC. Une copie du napperon est accessible à partir de la page de la  collectivité GCÉchange de la Cybersécurité du GC, sous  Ressources de gestion des événements de cybersécurité.

Détails de la page

Date de modification :