DOAD 6002-8, Authentification et autorisation électroniques


1. Introduction

Date de publication : 2013-08-15

Application : La présente DOAD est une directive qui s'applique aux employés du ministère de la Défense nationale, ci-après nommés « employés du MDN », et une ordonnance qui s'applique aux officiers et aux militaires du rang des Forces armées canadiennes (FAC), ci-après nommés « militaires ».

Autorités approbatrices :

  • Sous-ministre adjoint (Finances et services du Ministère) (SMA[Fin SM])
  • Sous-ministre adjoint (Gestion de l'information) (SMA[GI])

Demandes de renseignements :

  • Directeur – Politiques financières (DPF) pour l'interprétation des exigences aux termes des politiques sur les opérations financières effectuées au moyen de l'authentification et de l'autorisation électroniques (AAE);
  • Directeur – Planification de la défense (Gestion de l'information) (DPDGI) pour les exigences relatives au système d'AAE.

2. Définitions

authentification électronique (electronic authentication)

Processus par lequel on vérifie qu'un individu (une personne, une organisation ou un dispositif) est l'utilisateur unique et légitime. (Directive sur l'authentification et l'autorisation électroniques des opérations financières, Conseil du Trésor)

autorisation électronique (electronic authorization)

Processus par lequel un utilisateur authentifié se voit accorder la capacité de rendre des approbations par voie électronique et d'exercer ces pouvoirs à l'égard d'opérations financières électroniques. (Directive sur l'authentification et l'autorisation électroniques des opérations financières, Conseil du Trésor)

gestion de l'identité (identity management)

Ensemble des principes, pratiques, politiques, processus et procédures utilisés pour réaliser le mandat de l'organisation et ses objectifs liés à l'identité. (Directive sur la gestion de l'identité, Conseil du Trésor)

information d'authentification de l'utilisateur (user authentication information)

Information servant notamment à appuyer l'authentification électronique d'un utilisateur, tels que mots de passe, identificateurs, attributs biométriques, secrets partagés, tendances d'utilisation, etc. (Directive sur l'authentification et l'autorisation électroniques des opérations financières, Conseil du Trésor)

intégrité des opérations financières électroniques (integrity of electronic financial transactions)

Opérations qui sont adéquatement protégées contre l'accès, l'exercice de pouvoirs ou la divulgation non autorisés, la destruction, la suppression, la modification, la répudiation, l'incomplétude et l'inexactitude. (Directive sur l'authentification et l'autorisation électroniques des opérations financières, Conseil du Trésor)

opération financière (financial transaction)

Événement, demande, mesure ou engagement qui a des répercussions pécuniaires, comme l'acquisition, la disposition ou l'utilisation de biens ou de ressources; l'augmentation ou la réduction d'un passif; ou la réception, le paiement ou le décaissement de fonds. (Directive sur l'authentification et l'autorisation électroniques des opérations financières, Conseil du Trésor)

piste de vérification (audit trail)

Ensemble des éléments et des preuves qui permettent de retracer un processus, incluant l'authentification ou l'autorisation, du début à la fin. Les éléments et les preuves comprennent les matrices de délégation de pouvoirs, les profils d'utilisateurs et les données et fichiers qui sont nécessaires pour reconstruire la séquence des événements et les opérations traitées. (Directive sur l'authentification et l'autorisation électroniques des opérations financières, Conseil du Trésor)

signature électronique (electronic signature)

Signature constituée d'une ou de plusieurs lettres, ou d'un ou de plusieurs caractères, nombres ou autres symboles sous forme numérique incorporée, jointe ou associée à un document électronique. (Paragraphe 31(1) de la Loi sur la protection des renseignements personnels et les documents électroniques)

signature électronique sécurisée (secure electronic signature)

Signature électronique qui résulte de l'application de toute technologie ou de tout procédé prévu par règlement pris en vertu du paragraphe 48(1) de la Loi sur la protection des renseignements personnels et les documents électroniques. (Paragraphe 31(1) de la Loi sur la protection des renseignements personnels et les documents électroniques)

3. Aperçu

Contexte

3.1 Compte tenu des progrès incessants de la technologie et de l'importance de rendre les activités aussi efficaces et efficientes que possible, il est essentiel de pouvoir établir l'identité des personnes, des systèmes et des institutions afin d'instaurer un climat de confiance quant aux interactions électroniques au sein du gouvernement et avec les partenaires externes et les alliés. L'AAE est le processus électronique qui :

  1. appose une preuve d'autorisation aux opérations financières et non financières;
  2. contribue à la protection de l'intégrité des données;
  3. fait en sorte que les autorisateurs puissent être identifiés.

3.2 La validité de l'AAE est fondée sur des pratiques saines en gestion de l'identité qui sont conformes à la Directive sur la gestion de l'identité du Conseil du Trésor.

3.3 La Partie 2 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et le Règlement sur les signatures électroniques sécurisées (RSES) procurent l'autorité légale nécessaire pour la définition, l'utilisation et l'application des signatures électroniques (SE) et des signatures électroniques sécurisées (SES) à titre de substituts acceptables aux signatures manuscrites au sein du gouvernement du Canada (GC).

3.4 Le Conseil du Trésor a établi des règles relatives à l'AAE dans le cadre de la Directive sur l'authentification et l'autorisation électroniques des opérations financières.

3.5 Conformément à la Politique sur la gouvernance en matière de gestion financière du Conseil du Trésor, le sous-ministre a nommé le SMA(Fin SM) à titre de chef des finances (C Fin) pour le MDN et les FAC.

3.6 L'application de l'AAE aux opérations financières est assujettie aux directives, aux normes et aux lignes directrices du SMA(Fin SM).

3.7 La présente DOAD fait partie du Cadre stratégique de la GI et de la TI du MDN et des FC et devrait être lue conjointement avec les autres politiques, instructions, directives, normes et conseils pertinents du SMA(GI).

Objectifs

3.8 Les objectifs de la présente DOAD sont de :

  1. veiller à ce que les pratiques d'AAE du MDN et des FAC soient conformes aux exigences pertinentes du GC;
  2. déterminer les fonctions opérationnelles communes à l'application des SE et des SES;
  3. veiller à l'intégrité des opérations financières électroniques.

Résultats prévus

3.9 Les résultats prévus de la présente DOAD sont les suivants :

  1. atténuer les risques liés à la mise en œuvre de l'AAE;
  2. améliorer l'efficience du traitement des opérations financières utilisant l'AAE à l'appui des efforts du gouvernement en matière de durabilité environnementale;
  3. accroître la mise en œuvre de l'AAE dans les processus administratifs et opérationnels du MDN et des FAC.

4. Exigences

Renseignements ayant une valeur opérationnelle

4.1 Toutes les opérations électroniques qui nécessitent une AAE, par SE ou SES, sont considérées comme des ressources documentaires ayant une valeur opérationnelle et sont par conséquent assujetties à la DOAD 6001-0, Gestion de l'information, ainsi qu'aux normes et aux lignes directrices applicables en matière de tenue de dossiers.

Utilisations de la SE

4.2 Une SE qui n'est pas une SES, par exemple une SE utilisée dans un courriel envoyé sur l'intranet de la défense ou au moyen de n'importe quel dispositif en réseau, peut être utilisée conformément aux directives des autorités d'exploitation des systèmes du MDN et des FAC s'il n'est pas nécessaire de recourir au niveau d'assurance accru de la SES.

4.3 Sous réserve du pouvoir délégué à la personne qui signe le courriel ou qui autorise une demande, les SE peuvent être utilisées notamment pour :

  1. des redressements au système financier dans le Système d'information de la gestion des ressources de la Défense (SIGRD);
  2. des changements aux montants de dépenses engagées dans des demandes d'approvisionnement électroniques lorsque le total est supérieur à celui estimé dans la demande d'approvisionnement électronique originale;
  3. des preuves d'engagement de dépenses (par exemple pour certaines opérations effectuées avec une carte d'achat ou pour des commandes d'achat sur place);
  4. des demandes d'engagement ou de désengagement conformément au Manuel d'administration financière (MAF) chapitre 1016-2, Planification et engagement des dépenses, article 32 de la LGFP;
  5. des virements budgétaires;
  6. des congés, des déplacements et des dépenses de fonctionnement dans les limites du domaine de responsabilité de la personne.

Utilisations de la SES

4.4 Une SES doit répondre aux exigences énoncées dans la LPRPDE et le RSES. Une SES est :

  1. jugée équivalente à une signature manuscrite pour toute autorisation liée aux exigences d'une loi fédérale;
  2. admissible en preuve;
  3. reconnaissable et peut être acceptée par des tiers qui ne font pas partie du MDN et des FAC.

Opérations financières électroniques

4.5 Les employés du MDN et les militaires qui effectuent des opérations financières au moyen d'une AAE, ou qui emploient des systèmes financiers électroniques utilisant les AAE, doivent se conformer :

  1. aux articles 76 à 81 de la Loi sur la gestion des finances publiques (LGFP);
  2. à la Directive sur les pertes de fonds et de biens du Conseil du Trésor;
  3. aux politiques financières pertinentes publiées par le SMA(Fin SM).

Autres utilisations de l'AAE

4.6 Un conseiller de niveau un (N1) qui implante l'utilisation de l'AAE pour une fonction opérationnelle non financière soit dans le domaine fonctionnel qui lui est attribué, soit pour des opérations des FAC :

  1. doit respecter les domaines fonctionnels attribués aux autres conseillers de N1;
  2. devrait obtenir un avis juridique avant de recourir aux SE ou aux SES pour cette utilisation.

5. Conséquences

Conséquences de non-conformité

5.1 La non-conformité à la présente DOAD peut entraîner des conséquences tant pour le MDN et les FAC, en tant qu'institutions, que pour les employés du MDN et les militaires, en tant qu'individus. Tout cas de non-conformité soupçonnée fera l'objet d'une enquête. La nature et la gravité des conséquences découlant d'une non-conformité seront proportionnelles aux circonstances entourant celui-ci. Une non-conformité pourrait entraîner une ou plusieurs des conséquences suivantes :

  1. l'ordre de suivre l'apprentissage, l'instruction ou le perfectionnement professionnel approprié;
  2. l'inscription d'observations dans l'évaluation du rendement individuel;
  3. le renforcement des mesures de suivi et de contrôle du rendement;
  4. la révocation de tout ou partie de l'autorité qu'accorde la présente DOAD à un employé du MDN ou à un militaire;
  5. le signalement des infractions soupçonnées aux autorités chargées de l'application de la loi;
  6. l'engagement de la responsabilité de Sa Majesté du chef du Canada;
  7. l'imposition des conséquences particulières énoncées dans les lois et des codes de conduite applicables ainsi que les politiques et directives du MDN ou des FAC;
  8. l'application de toute autre mesure administratives ou disciplinaires, ou les deux.

Nota En ce qui concerne la conformité des employés du MDN, voir le Cadre stratégique sur la gestion de la conformité du Conseil du Trésor pour de plus amples informations.

5.2 L'omission délibérée par un employé du MDN ou un militaire de se conformer à la LGFP peut donner lieu à des accusations portées aux termes de cette loi ou des articles 121, 122, 322 ou 380 du Code criminel.

5.3 Toute personne responsable de la perte de fonds ou de biens publics qui résulte de son utilisation inappropriée de l'AAE peut être tenue de rembourser cette perte.

5.4 L'omission par un organisme du MDN ou des FAC de se conformer à la présente DOAD peut donner lieu à la restriction ou à l'annulation de son autorisation de gérer des fonds ou des biens publics.

6. Responsabilités

Tableau des responsabilités

6.1 Le tableau suivant énonce les responsabilités relatives à la présente DOAD :

Le ou les... est chargé ou sont chargés de ou d'...
C Fin
  • diriger et de coordonner la mise en œuvre et la tenue à jour de systèmes efficaces de contrôle interne pour préserver l'intégrité des opérations financières électroniques utilisant l'AAE;
  • obtenir l'assurance suffisante que :
    • les risques liés à l'intégrité des opérations financières électroniques utilisant l'AAE sont adéquatement évalués;
    • les contrôles clés adéquats utilisés pour atténuer ces risques sont documentés, mis en œuvre tels qu'ils ont été conçus et fonctionnent efficacement de manière continue;
  • veiller à limiter l'accès aux systèmes électroniques où sont stockées ou traitées les opérations financières ou liées aux finances aux personnes qui en ont besoin dans l'exercice de leurs fonctions;
  • veiller à ce que l'identité de l'autorisateur soit authentifiée au moment de l'autorisation de toute opération financière utilisant l'AAE, et que la preuve d'autorisation soit liée à chaque opération autorisée;
  • veiller à ce que l'information d'authentification de l'utilisateur pour les systèmes financiers électroniques, comme les identificateurs et les mots de passe, soit adéquatement protégée et gérée;
  • veiller à ce que les pistes de vérification des opérations financières utilisant l'AAE soient tenues à jour et que les mesures de conservation et de disposition des dossiers soient appliquées conformément aux politiques, aux instructions et aux directives appropriées afin que la séquence des événements et les opérations effectuées puissent être reconstituées pour des fins de vérification, d'enquête ou d'examen;
  • veiller à ce que les personnes autorisées à approuver des opérations financières utilisant l'AAE, incluant celles qui effectuent la vérification des comptes, surveillent l'exactitude et le bien-fondé des opérations et informent les utilisateurs autorisés de leurs responsabilités;
  • veiller à ce que l'autorisation de toute opération financière utilisant l'AAE soit conforme aux matrices approuvées de délégation des pouvoirs du MDN et des FAC en place au moment de l'autorisation et au principe de la séparation des responsabilités.
SMA(GI)
  • veiller à ce que les SE et les SES répondent aux exigences de la LPRPDE, du RSES et des politiques, directives, normes et lignes directrices gouvernementales connexes;
  • veiller à la mise en place de contrôles clés internes de gestion de l'information et des technologies de l'information afin d'appuyer l'intégrité des opérations financières électroniques et les authentifications et autorisations électroniques connexes.
DPF et le DGTPSGI
  • aviser leur conseiller de N1 des cas de non-conformité à la présente DOAD.
conseillers de N1
  • veiller à la protection et à la gestion adéquates de l'information d'authentification de l'utilisateur pour les systèmes électroniques de leur organisation, comme les identificateurs et les mots de passe.
employés du MDN et les militaires
  • gérer et protéger les renseignements d'identification de manière à atténuer les risques touchant la sécurité personnelle, organisationnelle et nationale et à protéger l'intégrité du programme;
  • signaler aux autorités compétentes, conformément à la LGFP, toute perte de fonds ou de biens publics au moyen d'opérations électroniques utilisant l'AAE et par suite de négligence, de manque de contrôles ou d'actes criminels;
  • se conformer à toutes les politiques, instructions, directives et normes du GC, du MDN et des FAC liées à l'AAE.

7. Références

Lois, règlements, politiques des organismes centraux et DOAD – politique

Autres références

  • DOAD 5005-2, Délégation de pouvoirs pour la gestion des ressources humaines civiles
  • DOAD 6000-0, Gestion de l'information et technologies de l'information
  • DOAD 6001-0, Gestion de l'information
  • DOAD 6002-2, Utilisation légitime d'Internet, de l'intranet de la défense, d'ordinateurs et d'autres systèmes d'information
  • DOAD 6003-0, Sécurité des technologies de l'information
  • MAF chapitre 1016-2, Planification et engagement des dépenses, article 32 de la LGFP
Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :