DOAD 6002-8, Authentification et autorisation électroniques
Table des matières
1. Introduction
Date de publication : 2013-08-15
Date de la dernière modification : 2023-05-23
Application : La présente DOAD est une directive qui s’applique aux employés du ministère de la Défense nationale, ci-après nommés « employés du MDN », et une ordonnance qui s’applique aux officiers et aux militaires du rang des Forces armées canadiennes (FAC), ci-après nommés « militaires ».
Autorités approbatrices :
- Sous-ministre adjoint (Finances) / Dirigeant principal des finances (SMA[Fin]/DPF)
- Dirigeant principal de l’information (DPI)
Demandes de renseignements :
- Directeur – Politique financière (DP Fin) pour l'interprétation de la politique financière et des conseils sur l'exercice des pouvoirs financiers délégués lors de l'utilisation de l’authentification et autorisation électroniques (AAE)
- Directeur – Ingénierie et Intégration (Gestion de l'Information) (DIIGI) pour les exigences de l'AAE en matière de technologie de l'information (TI)
- Directeur – Stratégie et surveillance du programme (DSSP) pour toutes les autres demandes
2. Définitions
authentification électronique (electronic authentication)
Processus par lequel on vérifie qu'un individu (une personne, une organisation ou un dispositif) est l'utilisateur unique et légitime. (Banque de terminologie de la défense, fiche numéro 48283)
autorisation électronique (electronic authorization)
Processus par lequel un utilisateur authentifié se voit accorder la capacité de rendre des approbations par voie électronique et d'exercer ces pouvoirs à l'égard d'opérations financières électroniques. (Banque de terminologie de la défense, fiche numéro 48284)
autorité de certification (certification authority)
Entité responsable de l'utilisation d'un ou de plusieurs serveurs dont on se sert pour délivrer et gérer des certificats de clé publique et des listes de certificats révoqués. (Banque de terminologie de la défense, fiche numéro 47945)
gestion de l'identité (identity management)
Ensemble des principes, pratiques, politiques, processus et procédures utilisés pour réaliser le mandat de l'organisation et ses objectifs liés à l'identité. (Banque de terminologie de la défense, fiche numéro 41457)
identité (identity)
Référence ou désignation utilisée pour distinguer une personne, une organisation ou un appareil unique. (Politique sur la sécurité du gouvernement, Conseil du Trésor)
information d'authentification de l'utilisateur (user authentication information)
Information servant notamment à appuyer l'authentification électronique d'un utilisateur, tels que mots de passe, identificateurs, attributs biométriques, secrets partagés, tendances d'utilisation, etc. (Banque de terminologie de la défense, fiche numéro 693848)
intégrité des opérations financières électroniques (integrity of electronic financial transactions)
Opérations qui sont adéquatement protégées contre l'accès, l'exercice de pouvoirs ou la divulgation non autorisés, la destruction, la suppression, la modification, la répudiation, l'incomplétude et l'inexactitude. (Banque de terminologie de la défense, fiche numéro 48255)
opération financière (financial transaction)
Événement, demande, mesure ou engagement qui a des répercussions pécuniaires, comme l'acquisition, la disposition ou l'utilisation de biens ou de ressources; l'augmentation ou la réduction d'un passif; ou la réception, le paiement ou le décaissement de fonds. (Banque de terminologie de la défense, fiche numéro 48288)
piste de vérification (audit trail)
Ensemble des éléments et des preuves qui permettent de retracer un processus, incluant l'authentification ou l'autorisation, du début à la fin. Les éléments et les preuves comprennent les matrices de délégation de pouvoirs, les profils d'utilisateurs et les données et fichiers qui sont nécessaires pour reconstruire la séquence des événements et les opérations traitées. (Banque de terminologie de la défense, fiche numéro 35638)
signature électronique (electronic signature)
Signature constituée d’une ou de plusieurs lettres, ou d’un ou de plusieurs caractères, nombres ou autres symboles sous forme numérique incorporée, jointe ou associée à un document électronique. (Paragraphe 31(1) de la Loi sur la protection des renseignements personnels et les documents électroniques)
signature électronique sécurisée (secure electronic signature)
Signature électronique qui résulte de l'application de toute technologie ou de tout procédé prévu par règlement pris en vertu du paragraphe 48(1) de la Loi sur la protection des renseignements personnels et les documents électroniques. (Paragraphe 31(1) de la Loi sur la protection des renseignements personnels et les documents électroniques)
Contexte
3.1 L’automatisation et la numérisation accrues des services de technologie de l’information (TI) contribuent considérablement à l’avancement des efforts de gestion de l’information (GI) du MDN et des FAC en éliminant les signatures manuscrites et la tâche associée de balayage des documents signés versés dans les systèmes de gestion des dossiers, assurant ainsi des opérations efficaces. La nécessité d’établir l’identité des individus, des systèmes et des entités est cruciale pour établir la confiance dans les interactions électroniques au sein du gouvernement et avec les partenaires externes et les alliés. L’AAE est le processus électronique qui :
- appose une preuve d’authentification et d’autorisation sur les processus d’affaires et les opérations financières;
- contribue à la protection de l'intégrité des données et de l’information;
- s’assure que l’autorisateur puisse être identifié de façon unique.
3.2 La validité de l'AAE est fondée sur des pratiques sûres de gestion de l'identité qui sont conformes à la Directive sur la gestion de l'identité et à la Norme sur l’assurance de l’identité et des justificatifs du Conseil du Trésor (CT).
3.3 Bien que la présente DOAD encourage l’utilisation des signatures électroniques (SE) et des signatures électroniques sécurisées (SES) lorsque cela est approprié, elle ne remplace pas les cas où la législation ou la réglementation exige spécifiquement une signature manuscrite. La décision d’utiliser une SE ou une SES doit être fondé sur le niveau de risque établit par le responsable du processus d’affaires.
3.4 Le MDN et les FAC doivent s’assurer que des contrôles efficaces sont en place pour préserver l’intégrité de leurs processus d’affaires électroniques, de leurs opérations financières et de leurs identités électroniques. Cela comprend les processus AAE fournis par les TI qui peuvent être appliqués en conjonction avec des contrôles non liés aux TI. Cela permet au MDN et aux FAC d’éliminer les signatures manuscrites.
3.5 La Partie 2 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et le Règlement sur les signatures électroniques sécurisées (RSES) procurent l'autorité légale nécessaire pour la définition d’une SE et d’une SES, et leur utilisation et leur application comme substituts acceptables aux signatures manuscrites au sein du gouvernement du Canada (GC).
3.6 Les SE et les SES du MDN et des FAC dépendent de deux éléments clés :
- la finalisation des documents d’affaires au format de document portable (PDF);
- la disponibilité d’une infrastructure à clé publique pour soutenir les SES.
3.7 Conformément à la Politique sur la gestion financière du CT et à la DOAD 1000-5, Cadre stratégique de la gestion financière, le SMA(Fin) a été nommé par le sous-ministre (SM) et le chef d’état-major de la Défense (CEMD) en tant que DPF du MDN et des FAC.
3.8 L’application de l’AAE aux fins des opérations financières est assujettie aux politiques, aux directives, aux instructions, aux normes, aux lignes directrices, aux manuels, aux procédures et aux outils en matière de gestion financière du SMA(Fin).
3.9 L’application de l’AAE aux fins des processus d’affaires est assujettie aux politiques, aux directives, aux instructions, aux normes et aux lignes directrices du responsable du processus d’affaires applicable.
3.10 La présente DOAD décrit les exigences pour maintenir l’intégrité des opérations électroniques et des authentifications et autorisations électroniques connexes et devrait être lue conjointement avec :
- le Cadre stratégique de la GI et de la TI du MDN et des FAC;
- le Cadre stratégique de la gestion financière;
- les autres politiques, directives, instructions, normes et lignes directrices pertinentes.
Objectifs
3.11 Les objectifs de la présente DOAD sont les suivants :
- s'assurer que les pratiques d'AAE du MDN et des FAC sont conformes aux exigences applicables du GC;
- établir les processus d’affaires communes pour lesquelles des SE et des SES peuvent être appliqués;
- assurer l'intégrité des processus d’affaires et des opérations financières électroniques.
Résultats prévus
3.12 Les résultats prévus de la présente DOAD sont les suivants :
- l’atténuation des risques liés à la mise en œuvre de l'AAE;
- l’amélioration de l'efficacité du traitement des opérations utilisant l'AAE à l'appui des efforts fédéraux en matière de durabilité environnementale;
- la mise en œuvre accrue de l'AAE dans les processus d’activités du MDN et d’opérations des FAC.
Signatures
4.1 La principale fonction d’une signature est de fournir la preuve de ce qui suit :
- l’identité du signataire;
- l’intention du signataire d’apposer sa signature;
- l’intention du signataire d’être lié par le contenu du document.
4.2 L’article 2 du RSES prévoit qu’une SES relative à des données contenues dans un document électronique est une signature numérique qui résulte de la réalisation d’opérations spécifiques. Par conséquent, d’un point de vue technique, une signature numérique et une SES sont essentiellement les mêmes. Voir la Loi sur la preuve au Canada et le RSES pour de plus amples informations.
Signatures électroniques
4.3 Une SE est un moyen de confirmer l’identité de l’auteur et l’intégrité du document contre la modification et la non-répudiation. Des exemples de SE comprennent :
- une signature manuscrite balayée sur un document ou un formulaire;
- l’authentification par nom d’utilisateur et par mot de passe à l’aide d’une application interne;
- l’utilisation d’un stylet sur l’écran tactile d’une tablette ou d’un ordinateur portable pour « écrire » une signature;
- l’authentification par nom d’utilisateur et mot de passe pour accéder à un site Web qui sont jumelés à un clic de souris agissant comme un bouton de reconnaissance de l’intention.
4.4 La décision de mettre en œuvre une SE ou une SES pour un processus d’affaires doit également envisager d’autoriser l’utilisation d’une signature manuscrite jusqu’à ce que d’autres projets en cours soutenant l’utilisation d’une SE et d’une SES arrivent à terme.
4.5 Les conseillers de niveau un (N1), les commandants d’un commandement ou d’une formation, et les responsables de processus d’affaires sont tenus d’examiner chaque processus et de permettre l’utilisation de SE et de SES dans la mesure du possible. L’autorisation appropriée du responsable du processus d’affaires doit être obtenue avant de mettre en œuvre l’utilisation de SE, de SES ou les deux pour le processus d’affaires applicable.
Signatures électroniques sécurisées
4.6 Une SES est un moyen fiable de confirmer l’identité de l’auteur et l’intégrité du document contre la modification et la non-répudiation à un niveau d’assurance plus élevé qu’une SE. Une SES doit être :
- unique à la personne;
- sous le contrôle exclusif de la personne;
- utilisée pour identifier la personne;
- liée au document électronique de manière à pouvoir être utilisée pour déterminer si le document a été modifié depuis que la signature a été apposée;
- conforme au RSES et à la LPRPDE.
Niveaux d’assurance et de confiance
4.7 Un niveau d’assurance traduit un niveau de confiance entre au moins deux entités, lorsqu’une entité a convenu de se fier à une autre entité pour réaliser des activités ou exécuter des processus en son nom. Un niveau d’assurance est exprimé sous la forme d’un niveau générique normalisé sur une échelle de un à quatre. Chaque niveau d’assurance décrit le degré de certitude de l’identité de la personne à une autre entité.
4.8 L’assurance de l’identité et l’assurance des justificatifs d’identité sont des composantes essentielles de la SE et de la SES et leurs niveaux d’assurance doivent être conformes à la Directive sur la gestion de l’identité et à la Norme sur l’assurance de l’identité et des justificatifs.
4.9 L’évaluation du niveau d’assurance doit tenir compte de l’incidence des menaces, telles que :
- l’usurpation d’identité, p. ex. le signataire n’est pas celui qu’il prétend être;
- la répudiation, p. ex. le signataire tente de nier l’authenticité de sa SE ou de sa SES sur un document;
- l’intégrité, p.ex. les données d’un document ont été modifiées depuis l’application de la SE ou de la SES;
- l’autorité, p. ex. le signataire n’a pas le pouvoir de signer pour un niveau d’autorisation spécifique.
4.10 Une SE ou une SES recommandée pour un niveau d’assurance donné peut convenir à tout niveau d’assurance inférieur, c.-à-d. qu’une SES qui convient au niveau d’assurance trois peut également être utilisée aux niveaux d’assurance un et deux. Voir la Norme sur l’assurance de l’identité et des justificatifs, la Ligne directrice sur la définition des exigences en matière d’authentification et la Ligne directrice sur l’assurance de l’identité du CT pour de plus amples informations sur l’assurance de l’identité et des justificatifs, l’authentification et les exigences de niveau d’assurance.
4.11 En reconnaissant les autorités de certification, le président du CT a vérifié et reconnu que les autorités de certification d’infrastructure à clé publique désignées du MDN et des FAC ont la capacité de publier des certificats de signature numérique d’assurance moyenne, c.-à-d. de niveau trois, de manière sécurisée et fiable. Voir la Signature électronique sécurisée et autorité de certification reconnues, la Norme sur l’assurance de l’identité et des justificatifs, la Ligne directrice sur la définition des exigences en matière d’authentification du CT et la Norme de gestion de l’information (NGI) 6002-1-2, Gestion de l’infrastructure à clés publiques d’entreprise, pour de plus amples informations.
Conseils juridiques
4.12 Avant la mise en œuvre d’une SE ou d’une SES, le responsable d’un processus d’affaires doit obtenir des conseils juridiques auprès du conseiller juridique du ministère de la Défense nationale et des Forces canadiennes (CJ MDN/FC) ou du juge-avocat général (JAG) quant à toute contrainte juridique sur leur utilisation d’une SE ou d’une SES et sur les types de signature qui peuvent être utilisés.
Utilisations de SE
4.13 Une SE peut être utilisée conformément aux directives des autorités opérationnelles du système du MDN et des FAC si le niveau d’assurance accru fourni par une SES n’est pas requis.
4.14 Voir la NGI 6002-8-1, Méthodes d’autorisation électroniques et le Manuel d’administration financière (MAF), pour de plus amples informations sur les utilisations des SE.
4.15 Une SES doit répondre aux exigences énoncées dans la LPRPDE et le RSES. Une SES est :
- considérée comme équivalente à une signature manuscrite pour toute autorisation liée aux exigences en vertu d’une disposition d’une loi fédérale;
- admissible en preuve;
- reconnaissable et peut être acceptée par des tiers qui ne font pas partie du MDN et des FAC.
Opérations financières électroniques
4.16 En conformité avec les politiques financières publiées par le DPF, la mise en œuvre des autorisations électroniques dans les systèmes du MDN et des FAC dans lesquels les pouvoirs financiers délégués seront exercés doit être approuvée par le DPF.
4.17 Avant de recommander au DPF de mettre en œuvre une autorisation électronique, le N1, le commandant d’un commandement ou d’une formation ou le responsable d’un processus d’affaires applicable doit obtenir un niveau d’assurance approprié que :
- les risques liés à l’intégrité des opérations financières ont été adéquatement évalués;
- les contrôles internes du processus d’affaires fonctionnent efficacement et comme prévu, ou que des plans d’action sont en place pour atténuer les risques liés aux contrôles internes;
- les personnes auxquelles des pouvoirs de dépenser et financiers ont été délégués peuvent être authentifiées avant et après le traitement des opérations aux fins de décisions de dépenses.
4.18 Le DPF a approuvé l’utilisation d’une SES pour les approbations électroniques pour l’exercice :
- du pouvoir d’engager des dépenses;
- de pouvoirs en vertu des articles 32, 33 et 34 de la Loi sur la gestion des finances publiques (LGFP);
- d’autres pouvoirs inclus dans les politiques financières publiées par le DPF, p. ex. la radiation d’une dette, la présomption que des montants de faible valeur sont nuls, et l’exonération ou la réduction de frais d’administration et d’intérêt (voir A-FN-100-002/AG-006 Délégation des pouvoirs en matière d’administration financière pour le ministère de la Défense nationale [MDN] et les Forces armées canadiennes [FAC], pour de plus amples informations).
4.19 Les personnes disposant des pouvoirs délégués appropriés peuvent désormais exercer les pouvoirs susmentionnés en utilisant des SES fournies par l’infrastructure à clé publique désignée.
4.20 Les employés du MDN et les militaires qui exercent des pouvoirs financiers qui leur sont délégués au moyen de l’AAE, ou qui utilisent des systèmes financiers électroniques utilisant l’AAE, doivent se conformer à ce qui suit :
- les articles 76 à 81 de la LGFP;
- les politiques, les directives et les lignes directrices applicables du CT;
- les politiques financières pertinentes publiées par le DPF.
Autres utilisations des AAE
4.21 Un N1 ou un commandant d’un commandement ou d’une formation établissant l’utilisation de l’AAE pour un processus d’affaires dans le domaine fonctionnel qui lui est assigné ou pour les opérations des FAC doit :
- respecter les domaines fonctionnels assignés aux autres N1 et commandants d’un commandement ou d’une formation;
- demander des conseils juridiques avant d’appliquer une SE ou une SES pour cette utilisation.
4.22 Voir la NGI 6002-8-1 pour de plus amples informations sur les exigences et les processus de mise en œuvre de l’AAE.
Ressources documentaires ayant une valeur opérationnelle
4.23 Les opérations électroniques qui nécessitent une AAE, que ce soit par SE ou par SES, sont considérées comme des actifs informationnels ou comme des ressources documentaires à valeur opérationnelle et sont donc assujetties à la DOAD 6001-1, Programme de gestion de l’information, ainsi qu’aux normes, aux lignes directrices et aux instruments de politique supplémentaires de GI pertinents.
Conformité
5.1 Les employés du MDN et les militaires doivent se conformer à la présente DOAD. Si des éclaircissements aux politiques ou aux instructions énoncées dans la présente DOAD sont nécessaires, les employés du MDN et les militaires peuvent demander des directives par l’entremise de leur voie de communication ou leur chaîne de commandement, selon le cas. Les gestionnaires et les supérieurs militaires sont les principaux responsables, et détiennent les principaux moyens, d’assurer que les employés du MDN et les militaires qui relèvent d’eux se conforment à la présente DOAD.
Conséquences d'une non-conformité
5.2 Les employés du MDN et les militaires sont tenus de rendre compte respectivement à leur gestionnaire ou à leur supérieur militaire de tout cas de non-conformité aux directives énoncées dans la présente DOAD. La non-conformité à la présente DOAD peut entraîner des conséquences tant pour le MDN et les FAC, en tant qu’institutions, que pour les employés du MDN et les militaires, en tant qu’individus. Tout cas de non-conformité soupçonnée pourrait faire l’objet d’une enquête. Les gestionnaires et les supérieurs militaires doivent prendre ou imposer les mesures correctives appropriées dans le cas où la non-conformité à la présente DOAD entraîne des conséquences pour le MDN ou les FAC. La décision d’un N1 ou d’un autre haut fonctionnaire de prendre des mesures ou d’intervenir dans un cas de non-conformité, sauf en ce qui concerne une décision faite en vertu du Code de discipline militaire à l’égard d’un militaire, dépendra du niveau de risque découlant du cas de non-conformité et des autres circonstances entourant ce cas
5.3 La nature et la gravité des conséquences découlant d'une non-conformité devraient être proportionnelles aux circonstances entourant le cas de non-conformité et aux autres circonstances pertinentes. Une non-conformité pourrait entraîner une ou plusieurs des conséquences suivantes :
- l’ordre de suivre l’apprentissage, la formation, l’instruction ou le perfectionnement professionnel approprié;
- l’inscription d’observations dans l’évaluation du rendement individuel;
- le renforcement des mesures de suivi et de contrôle du rendement;
- la révocation, en partie ou en totalité, de l’autorité qu’accorde la présente DOAD à un employé du MDN ou à un militaire;
- le signalement des infractions soupçonnées aux autorités chargées de l’application de la loi;
- l’imposition des conséquences particulières énoncées dans les lois et les codes de conduite applicables ainsi que les politiques et directives du MDN ou des FAC;
- l’application de toute autre mesure administrative, incluant l’imposition de mesures disciplinaires, à l’endroit d’un employé du MDN;
- l’application de toute autre mesure administrative ou disciplinaire, ou les deux, à l’endroit d’un militaire;
- l’imposition de la responsabilité de Sa Majesté du chef du Canada, des employés du MDN ou des militaires.
Nota – En ce qui concerne la conformité des employés du MDN, voir le Cadre stratégique sur la gestion de la conformité du CT pour de plus amples informations.
5.4 L'omission délibérée par un employé du MDN ou un militaire de se conformer à la LGFP peut entraîner des accusations portées en vertu de cette loi ou des articles 121, 122, 322 ou 380 du Code criminel.
5.5 Une perte de fonds ou de biens publics résultant de l'utilisation abusive d’une AAE par une personne peut entraîner sa responsabilité pour le paiement de la perte.
5.6. Le non-respect de la présente DOAD par un organisme du MDN ou des FAC peut entraîner la limitation ou le retrait de son autorisation de gérer des fonds ou des biens publics.
Tableau des responsabilités
6.1 Le tableau suivant énonce les responsabilités relatives à la présente DOAD :
Le ou les... | est chargé ou sont chargés de ou d'... |
---|---|
SMA(Fin) / DPF |
|
DPI |
|
N1 et les commandants d’un commandement ou d’une formation |
|
responsables des processus d’affaires et les gestionnaires de la prestation de programmes et de services |
|
employés du MDN et les militaires |
|
Lois, règlements, politiques des organismes centraux et DOAD – politique
- Code criminel
- Loi sur l'accès à l'information
- Loi sur la Bibliothèque et les Archives du Canada
- Loi sur la gestion des finances publiques
- Loi sur la preuve au Canada
- Loi sur la protection des renseignements personnels et les documents électroniques
- Règlement sur l'utilisation de moyens électroniques pour l'application de la Loi sur les immeubles fédéraux et les biens réels fédéraux
- Règlement sur les signatures électroniques sécurisées
- Cadre stratégique sur la gestion de la conformité, Conseil du Trésor
- Politique sur l’audit interne, Conseil du Trésor
- Politique sur la gestion financière, Conseil du Trésor
- Politique sur la sécurité du gouvernement, Conseil du Trésor
- Politique sur les résultats, Conseil du Trésor
- Politique sur les services et le numérique, Conseil du Trésor
- Directive sur la gestion de l'identité, Conseil du Trésor
- Directive sur la gestion des fonds publics et des comptes débiteurs, Conseil du Trésor
- Directive sur les services et le numérique, Conseil du Trésor
- Orientation du gouvernement du Canada sur l’utilisation des signatures électroniques, Conseil du Trésor
- Ligne directrice sur la définition des exigences en matière d’authentification, Conseil du Trésor
- Ligne directrice sur l’assurance de l’identité, Conseil du Trésor
- Signature électronique sécurisée et autorité de certification reconnues, Conseil du Trésor
- Norme sur l'assurance de l'identité et des justificatifs, Conseil du Trésor
- Code de valeurs et d'éthique de la fonction publique, Conseil du Trésor
- DOAD 1000-5, Cadre stratégique de la gestion financière
- DOAD 6002-0, Technologies de l'information
Autre références
- DOAD 5005-2, Délégation de pouvoirs pour la gestion des ressources humaines civiles
- DOAD 6001-1, Programme de gestion de l'information
- DOAD 6002-2, Utilisation légitime d'Internet, de l'intranet de la défense, d'ordinateurs et d'autres systèmes d'information
- Délégation des pouvoirs de signature en matière financière pour le ministère de la Défense nationale (MDN) et les Forces armées canadiennes (FAC)
- Cadre des politiques de gestion financière
- Cadre stratégique de la GI et de la TI du MDN et des FAC
- Manuel d’administration financière (MAF)
- Chapitre 1016-2, Engagement des dépenses et contrôle des engagements – Article 32 de la LGFP
- NGI 6002-1-2, Gestion de l’infrastructure à clés publiques d’entreprise
- NGI 6002-8-1, Méthodes d'autorisation électroniques
- Développement d’instruments de politiques de GI et de TI, site intranet du SMA(GI)
- Directives, instructions et d’autres articles de correspondance intérimaire, site intranet du SMA(GI)
- DOAD, normes et guides de GI et de TI, site intranet du SMA(GI)
Détails de la page
- Date de modification :