DOAD 6003-1, Programme de sécurité des technologies de l’information

1. Introduction

Date de publication : 2012-04-18

Date de la dernière modification : 2015-09-30

Application : La présente DOAD est une directive qui s’applique aux employés du ministère de la Défense nationale, ci-après nommés « employés du MDN », et une ordonnance qui s’applique aux officiers et aux militaires du rang des Forces armées canadiennes (FAC), ci-après nommés « militaires ».

Autorité approbatrice : Sous-ministre adjoint (Gestion de l'information) (SMA[GI]) / Dirigeant principal de l’information (DPI)

Demandes de renseignements : Directeur – Sécurité (Gestion de l'information) (Dir Sécur GI)

2. Définitions

autorité de sécurité (security authority)

Personne qui a l’autorité d’identifier des risques, de fournir des conseils et des normes de sécurité en vue d’une approbation par les autorités opérationnelle et technique, et de veiller à la conformité de ces normes dans son domaine de responsabilité. (Banque de terminologie de la défense, fiche numéro 43436)

personnel opérationnel des technologies de l'information (information technology operational personnel)

Personnes travaillant à titre d’administrateurs ou de gestionnaires de réseau ou de système, de gestionnaires de compte ou comme membre du personnel du centre d’assistance, ou fournissant un autre appui aux technologies de l’information. (Banque de terminologie de la défense, fiche numéro 47901)

praticien de la sécurité des technologies de l'information (information security practitioner)

Personne qui exerce une fonction d’ingénierie, de mise en œuvre ou de maintenance, ou toute autre fonction relative à la sécurité des technologies de l’information, dans le but de protéger la confidentialité, l’intégrité et la disponibilité des systèmes et des biens de technologie de l’information. (Banque de terminologie de la défense, fiche numéro 47902)

sécurité des technologies de l'information (information technology security)

Mesures de protection visant à préserver la confidentialité, l’intégrité, la disponibilité, l’utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique. (Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information [GSTI], Conseil du Trésor)

technologies de l'information (information technology)

Concernent à la fois l’infrastructure technologique et les applications de TI. L’infrastructure technologique comprend tout matériel ou système utilisé pour l’acquisition, le stockage, la manipulation, la gestion, le déplacement, le contrôle, l’affichage, la commutation, les échanges, la transmission ou la réception automatique de données ou de renseignements. Les applications de TI comprennent la conception, le développement, l’installation et la mise en œuvre de systèmes et d’applications informatiques visant à satisfaire à des exigences opérationnelles. (Directive sur la gestion des technologies de l’information, Conseil du Trésor)

3. Aperçu

Contexte

3.1 La sécurité des technologies de l’information (TI) est un outil clé pour réaliser la saine gestion de l’information à l’appui des programmes, des priorités organisationnelles et des opérations. Le fait d’assurer la confidentialité, l’intégrité et la disponibilité de l’information est essentiel au processus décisionnel du gouvernement et à la prestation de services. Une sécurité des TI efficace exige une approche systématique qui identifie et catégorise l’information et les biens connexes, qui évalue les risques, qui met en œuvre des mesures de protection appropriées et qui établit des responsabilités claires en matière de sécurité des TI.

3.2 Le Programme de sécurité des TI au sein du MDN et des FAC a été établi pour gérer la sécurité de l’information, des biens connexes de TI et des services pour éviter toute compromission. Le Programme de sécurité des TI gère de façon continue les risques à la sécurité pour appuyer la prestation efficace et efficiente de services et de processus de TI et est conforme aux politiques, aux directives et aux normes du gouvernement du Canada (GC).

3.3 Le Programme de sécurité des TI exige que les employés du MDN et les militaires travaillent de concert, en utilisant les processus et les technologies nécessaires, afin d’atteindre un niveau élevé de sécurité des TI au sein du MDN et des FAC.

3.4 En tant que coordonnateur de la sécurité des TI, le Dir Sécur GI est l’autorité de sécurité des TI pour le MDN et les FAC, et a un rapport hiérarchique fonctionnel à la fois avec le SMA(GI), à titre de dirigeant principal de l’information, et avec l’agent de sécurité du ministère, conformément à la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) du Conseil du Trésor (CT).

3.5 La présente DOAD devrait être lue conjointement avec le Cadre stratégique de la GI et de la TI du MDN et des FC et les autres politiques, instructions, directives, normes et lignes directrices pertinentes du SMA(GI).

Objectif

3.6 La présente DOAD a pour objectif d’établir les rôles et les responsabilités des employés du MDN et des militaires en matière de sécurité des TI.

Résultats prévus

3.7 Les résultats prévus de la présente DOAD sont :

  1. une sensibilisation accrue des employés du MDN et des militaires en matière de sécurité des TI;
  2. une responsabilité démontrée en ce qui concerne les capacités en matière de sécurité des TI qui sont livrées, en appui au MDN et aux FAC, au pays et à l’étranger;
  3. l’intégration, par les gestionnaires de programmes et de la prestation de services, des exigences en matière de sécurité des TI aux plans, aux programmes, aux activités et aux services;
  4. une gestion des risques innovante et améliorée pour appuyer et rendre possibles les programmes et les services de TI.

4. Conséquences

Conséquences d’une non-conformité

4.1 La non-conformité à la présente DOAD peut entraîner des conséquences tant pour le MDN et les FAC, en tant qu’institutions, que pour les employés du MDN et les militaires, en tant qu’individus. Tout cas de non-conformité soupçonnée pourrait faire l’objet d’une enquête. La nature et la gravité des conséquences découlant d’une non-conformité seront proportionnelles aux circonstances entourant celle-ci.

Nota En ce qui concerne la conformité des employés du MDN, voir le Cadre stratégique sur la gestion de la conformité du CT pour de plus amples informations.

5. Responsabilités

Tableau des responsabilités

5.1 Le tableau suivant énonce les responsabilités relatives à la présente DOAD :

Le ou les... est chargé ou sont chargés de ou d'...

conseillers de niveau un et les commandants de commandements

  • tenir compte des exigences en matière de sécurité des TI dans leurs domaines de responsabilités au moment d’établir les priorités, les orientations stratégiques, les objectifs de programmes, les allocations budgétaires et la dotation en personnel du MDN et des FAC;
  • veiller à ce que les praticiens de la sécurité des TI soient formés conformément aux normes du MDN et des FAC;
  • maintenir la sécurité des TI dans les projets de TI conformément aux politiques, aux instructions, aux directives et aux normes du GC, du MDN et des FAC.

Dir Sécur GI

  • élaborer, d’examiner et de recommander l’approbation des politiques, des instructions, des directives et des normes du MDN et des FAC en matière de sécurité des TI;
  • surveiller la conformité aux politiques, aux instructions, aux directives et aux normes du GC, du MDN et des FAC en matière de sécurité des TI;
  • veiller à l’application de mesures appropriées de sécurité des TI à l’égard de la gestion de l’information, des TI et des biens, activités et processus de TI du MDN et des FAC;
  • élaborer, d’examiner et de recommander l’approbation des politiques, des instructions, des directives et des normes du MDN et des FAC relatives à la sécurité des communications (SECOM) qui s’harmonisent aux directives, aux normes et aux guides de la SECOM du Centre de la sécurité des télécommunications;
  • examiner et de recommander l’approbation des marchés pour les services en matière de sécurité des TI;
  • examiner les sections relatives à la sécurité des TI des demandes de propositions et des autres documents relatifs aux marchés, y compris la Liste de vérification des exigences relatives à la sécurité du CT;
  • collaborer étroitement avec les gestionnaires de programmes et de la prestation de services du MDN et des FAC pour :
    • veiller à ce que les besoins en matière de sécurité des TI soient satisfaits;
    • fournir des conseils sur les mesures de protection, sur l’incidence possible des menaces existantes et nouvelles et sur les risques résiduels liés aux programmes et aux services;
    • surveiller la conformité continue avec l’évaluation et l’autorisation de sécurité des TI des systèmes, des programmes et des services de TI;
  • collaborer étroitement avec le GC, l’Organisation du Traité de l’Atlantique Nord et les alliés pour veiller à ce que les politiques, les instructions, les directives et les normes du MDN et des FAC en matière de sécurité des TI soient compatibles, cohérentes et harmonisées;
  • mettre en place et de coordonner des programmes de formation, d’instruction et de sensibilisation en matière de sécurité des TI pour le MDN et les FAC;
  • promouvoir la sécurité des TI au sein du MDN et des FAC;
  • mettre en œuvre un processus efficace pour gérer les incidents en matière de sécurité des TI.

praticiens de la sécurité des TI

  • veiller au respect du Programme de sécurité des TI dans leurs domaines de responsabilité;
  • recommander des améliorations aux politiques, aux instructions, aux directives et aux normes du MDN et des FAC en matière de sécurité des TI;
  • examiner les sections relatives à la sécurité des TI des demandes de propositions, et d’en évaluer les risques, dans leurs domaines de responsabilité;
  • collaborer étroitement avec les gestionnaires de programmes et de la prestation de services dans leurs domaines de responsabilité pour :
    • veiller à ce que les besoins en matière de sécurité des TI soient satisfaits;
    • fournir des conseils sur les mesures de protection, sur l’incidence possible des menaces existantes et nouvelles et sur les risques résiduels liés aux programmes et aux services;
    • surveiller la conformité continue avec l’évaluation et l’autorisation de sécurité des TI des systèmes, des programmes et des services de TI;
  • promouvoir la sensibilisation à la sécurité des TI dans leurs domaines de responsabilité.

personnel opérationnel des TI

  • se conformer aux politiques, aux instructions, aux procédures et aux priorités du MDN et des FAC en matière de sécurité des TI et de recommander des améliorations au besoin;
  • répondre aux incidents en matière de sécurité des TI;
  • vérifier et d’appliquer les correctifs de sécurité;
  • entretenir ou de mettre à niveau le matériel et les logiciels de sécurité;
  • surveiller les systèmes et les journaux;
  • gérer la sauvegarde et la récupération de l’information;
  • gérer les privilèges et les droits d’accès.

gestionnaires de projets de TI

  • veiller à ce que les exigences en matière de sécurité des TI des projets soient satisfaites par la mise en œuvre de spécifications techniques en matière de sécurité tout au long du cycle de vie du système.

coordonnateurs de la planification de la continuité des activités

  • prendre en compte la sécurité des TI pour assurer une approche globale de la prestation continue des services.

gestionnaires de programmes et de la prestation de services

  • veiller à ce qu’il y ait un niveau de sécurité des TI approprié pour leurs programmes et leurs services;
  • collaborer avec les praticiens de la sécurité des TI pour gérer les risques liés à leurs programmes et à leurs services tout au long du cycle de vie de la prestation de services;
  • établir les exigences en matière de sécurité des TI de leurs programmes et de leurs services avec les conseils et l’appui des praticiens de la sécurité des TI et du Dir Sécur GI;
  • obtenir l’autorisation d’exploiter les systèmes, les programmes et les services de TI;
  • maintenir l’autorisation d’exploiter les systèmes, les programmes et les services de TI;
  • veiller à ce que les exigences énoncées dans la présente DOAD, dans la Politique sur la sécurité du gouvernement du CT et dans d’autres politiques, instructions, directives et normes connexes approuvées par le SMA(GI) soient satisfaites dans leurs domaines de responsabilité.

gardiens de la SECOM

  • rendre compte du matériel et des publications cryptographiques classifiés conformément aux politiques, aux directives, aux normes et aux guides de la SECOM.

employés du MDN et les militaires

  • se conformer aux politiques, aux instructions, aux directives et aux normes du GC, du MDN et des FAC en matière de sécurité des TI;
  • veiller à ce que les entrepreneurs autorisés et le personnel dont ils sont responsables se conforment aux politiques, aux instructions, aux directives et aux normes du GC, du MDN et des FAC en matière de sécurité des TI;
  • rapporter tout incident en matière de sécurité, réel ou soupçonné, aux agents de sécurité désignés.

6. Références

Lois, règlements, politiques des organismes centraux et DOAD - politique

Autres références

Détails de la page

Date de modification :