DOAD 6003-2, Gestion du risque lié à la sécurité des technologies de l’information


1. Introduction

Date de publication : 2014-01-14

Application : La présente DOAD est une directive qui s'applique aux employés du ministère de la Défense nationale, ci-après nommés « employés du MDN », et une ordonnance qui s'applique aux officiers et aux militaires du rang des Forces canadiennes (FC), ci-après nommés « militaires ».

Autorité approbatrice : Sous-ministre adjoint (Gestion de l'information) (SMA[GI])

Demandes de renseignements : Directeur – Sécurité (Gestion de l'information) (Dir Sécur GI)

2. Définitions

autorisation (authorization)

Processus continu qui consiste à obtenir et à maintenir une décision de gestion officielle, prise par un cadre supérieur, qui autorise à exploiter un système d'information et à accepter explicitement le risque inhérent à son utilisation pour mener un ensemble d'activités opérationnelles en s'appuyant sur l'application d'un ensemble convenu de contrôles de sécurité et sur les résultats d'une évaluation de sécurité continue. (La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie [ITSG-33], Centre de la sécurité des télécommunications Canada)

autorité de sécurité (security authority)

Personne qui a l'autorité d'identifier des risques, de fournir des conseils et des normes de sécurité en vue d'une approbation par les autorités opérationnelle et technique, et de veiller à la conformité de ces normes dans son domaine de responsabilité. (Banque de terminologie de la défense, fiche numéro 43436)

autorité opérationnelle (operational authority)

Personne qui a l'autorité de définir des besoins et des principes directeurs, de fixer des normes et d'accepter des risques dans son domaine de responsabilité. (Banque de terminologie de la défense, fiche numéro 43435)

autorité technique (technical authority)

Personne qui a l'autorité d'établir des spécifications et des normes techniques, de gérer des configurations, de fournir des conseils techniques et de veiller à la conformité des normes dans son domaine de responsabilité. (Banque de terminologie de la défense, fiche numéro 43437)

contrôle de sécurité des technologies de l'information (information technology security control))

Exigence de haut-niveau technique, opérationnelle ou de gestion relative à la sécurité et prescrite pour un système d'information afin de protéger la confidentialité, l'intégrité et la disponibilité de ses biens de TI. Les contrôles de sécurité sont mis en œuvre par l'application de différents types de solutions de sécurité qui incluent les produits, les politiques, les pratiques et les procédures de sécurité. (La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie [ITSG-33], Centre de la sécurité des télécommunications Canada)

gestion du risque (risk management)

Est une démarche systématique visant à établir la meilleure façon de procéder dans des circonstances incertaines par la détermination, l'évaluation, la compréhension, le règlement et la communication des questions liées aux risques. (Cadre stratégique de gestion du risque, Conseil du Trésor)

gestion du risque de sécurité (security risk management)

Composante d'un processus global de gestion du risque comprenant l'organisation et la coordination d'activités et de processus permettant de contrôler le risque au chapitre de la sécurité. (Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information [GSTI], Conseil du Trésor)

personnel opérationnel des technologies de l'information (information technology operational personnel)

Personnes travaillant à titre d'administrateurs ou de gestionnaires de réseau ou de système, de gestionnaires de compte ou comme membre du personnel du centre d'assistance, ou fournissant un autre appui aux technologies de l'information. (Banque de terminologie de la défense, fiche numéro 47901)

praticien de la sécurité des technologies de l'information (information technology security practitioner)

Personne qui exerce une fonction d'ingénierie, de mise en œuvre ou de maintenance, ou toute autre fonction relative à la sécurité des technologies de l'information, dans le but de protéger la confidentialité, l'intégrité et la disponibilité des systèmes et des biens de technologie de l'information. (Banque de terminologie de la défense, fiche numéro 47902)

profil de contrôle de sécurité des technologies de l'information (information technology security control profile)

Ensemble des contrôles de sécurité qui constituent les exigences minimales d'une fonction de sécurité des technologies de l'information ou d'un système d'information.

Nota Un profil doit répondre aux besoins opérationnels et aux contrôles de sécurité de base du Conseil du Trésor, tout en tenant compte du contexte technique et de la menace. (Banque de terminologie de la défense, fiche numéro 47575)

3. Aperçu

Contexte

3.1 Selon le Cadre stratégique de gestion du risque du Conseil du Trésor, les ministères et organismes doivent assurer l'intégration de la gestion du risque aux activités de leurs organisations respectives.

3.2 Il est prévu dans la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI) du Conseil du Trésor que les ministères doivent gérer, de façon continue, les risques liés à la sécurité de l'information et des biens de technologie de l'information (TI) tout au long du cycle de vie de leurs programmes et services.

3.3 Les risques liés à la sécurité des TI découlent de l'exposition des systèmes de TI et des biens de TI à la compromission de leur confidentialité, de leur intégrité, de leur disponibilité, de leur utilité prévue et de la valeur de leurs actifs par des menaces accidentelles ou délibérées et par des dangers naturels. La gestion du risque lié à la sécurité (GRS) des TI est le processus utilisé pour gérer ces risques.

Nota Le terme « gestion du risque lié à la sécurité » ou « GRS », utilisé dans la présente DOAD, a le même sens que le terme « gestion du risque de sécurité », utilisé par le Conseil du Trésor.

3.4 La GRS des TI figure parmi plusieurs éléments du Programme de sécurité des TI et du Programme de sécurité du Ministère que doivent appliquer le MDN et les FC de façon routinière dans le cadre des activités et des opérations courantes. La GRS des TI est un processus clé dans la prestation de services de TI sûrs et fiables en appui à la mission et au mandat du MDN et des FC.

3.5 La présente DOAD fait partie du Cadre stratégique de la GI et de la TI du MDN et des FC et devrait être lue conjointement avec les autres politiques, instructions, directives, normes et conseils pertinents du SMA(GI).

Objectifs

3.6 Les objectifs de la présente DOAD sont :

  1. d'établir la GRS des TI pour les programmes, les systèmes et les services;
  2. de faire de la GRS des TI un important facilitateur d'affaires dans le cadre du processus décisionnel;
  3. d'établir les responsabilités pour :
    1. repérer, gérer, documenter et surveiller les risques liés à la sécurité des TI;
    2. donner des directives et des conseils sur les pratiques de GRS des TI.

Résultats prévus

3.7 Les résultats prévus de la présente DOAD sont :

  1. d'augmenter l'efficacité et la transparence des processus de GRS des TI;
  2. d'améliorer la GRS des systèmes de TI et des biens de TI tout au long du cycle de vie des systèmes et des biens;
  3. d'accroître la sensibilisation et la responsabilisation lors de la prise de décisions portant sur les risques liés à la sécurité des TI;
  4. d'améliorer la cohérence dans la GRS des TI.

4. Gestion du risque

Généralités

4.1 La GRS des TI est un engagement multidimensionnel qui nécessite la participation des employés du MDN et des militaires afin d'établir les objectifs du MDN et des FC, de définir les exigences en matière de sécurité des TI, d'élaborer des contrôles de sécurité des TI et d'exploiter des systèmes de TI sécurisés en appui aux activités du MDN et aux opérations des FC.

4.2 Les processus et les activités de GRS des TI du MDN et des FC ont remplacé le processus de certification et d'accréditation (C & A) par un processus d'évaluation et d'autorisation (E & A) pour les projets basés sur les TI et les systèmes de TI.

4.3 Les processus et les activités de GRS des TI du MDN et des FC :

  1. sont alignés sur les processus et les activités décrits dans le document La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33), du Centre de la sécurité des télécommunications Canada, et sont intégrés à tous les projets basés sur les TI, les systèmes de TI et les biens de TI tout au long du cycle de vie de développement;
  2. assurent la réalisation continue des étapes-clé tout au long du cycle de vie des systèmes de TI et des biens de TI, et assurent que la GRS des TI est effectuée du point de vue du MDN et des FC.

4.4 La GRS des TI permet :

  1. à l'autorité de sécurité des TI de relever les risques à la sécurité des TI associés aux biens de TI;
  2. à l'autorité opérationnelle de prendre des décisions sur les questions liées aux risques au sein de son domaine de responsabilité délégué.

4.5 Au sein du MDN et des FC, la GRS des TI relève du Dir Sécur GI qui, à titre d'autorité de sécurité des TI du MDN et des FC, et avec l'appui de l'autorité technique du système de TI concernée :

  1. évalue les exigences de sécurité des systèmes de TI;
  2. choisit et met en œuvre des profils de contrôle de sécurité des systèmes de TI;
  3. surveille et évalue les contrôles de sécurité des TI;
  4. relève toute mise à jour devant être faite aux contrôles de sécurité des TI.

Définition des exigences propres à la GRS des TI

4.6 Les gestionnaires de tous les niveaux doivent définir leurs exigences propres à la GRS des TI afin de faire en sorte que leurs systèmes de TI et leurs biens de TI soient adéquatement protégés de toute compromission.

Choix et déploiement des profils de contrôle de sécurité des TI

4.7 L'autorité de sécurité choisit le profil de contrôle de sécurité des TI approprié qui respecte les exigences du système de TI ou du bien de TI visé. L'autorité opérationnelle, le gestionnaire de projet ou le gestionnaire responsable de la prestation des programmes et des services doit alors consulter le Dir Sécur GI pour rajuster certains contrôles de sécurité des TI particuliers afin de respecter les exigences de sécurité des TI du système de TI ou du bien de TI. L'autorité opérationnelle, le gestionnaire de projet ou le gestionnaire responsable de la prestation des programmes et des services doit ensuite mettre en œuvre le profil de contrôle de sécurité des TI personnalisé dans son système de TI et son bien de TI.

Surveillance et évaluation des contrôles de sécurité des TI

4.8 L'autorité de sécurité, les praticiens de la sécurité des TI et le personnel opérationnel des TI doivent surveiller et évaluer, de façon continue, le rendement des contrôles de sécurité des TI mis en œuvre dans les systèmes de TI et les biens de TI, au moyen de la collecte, de la synthèse et de l'analyse continues des mesures sur le rendement de ces contrôles. La surveillance des contrôles de sécurité des TI permet de faire en sorte que les contrôles de sécurité des TI choisis demeurent pertinents et appropriés au gré de l'évolution constante du contexte de menace.

4.9 L'autorité de sécurité, les praticiens de la sécurité des TI et le personnel opérationnel des TI doivent veiller à ce que l'autorité opérationnelle, le gestionnaire de projet ou le gestionnaire responsable de la prestation des programmes et des services, selon le cas, soit mis au courant de tout changement d'un niveau de risque accepté précédemment.

Sélection des mises à jour des contrôles de sécurité des TI

4.10 À la suite de l'analyse du rendement des contrôles de sécurité des TI, l'autorité opérationnelle peut devoir mettre à jour les contrôles de sécurité des TI mis en œuvre. L'autorité opérationnelle, en consultation avec l'autorité de sécurité et avec l'autorité technique, peut demander la réévaluation et le rajustement des contrôles de sécurité des TI jusqu'à l'atteinte d'un niveau acceptable de risque résiduel. Par la suite, l'autorité opérationnelle accepte le risque résiduel, et les contrôles de sécurité des TI rajustés sont mis en œuvre. Des changements à un des éléments suivants peuvent entraîner une mise à jour des contrôles de sécurité des TI :

  1. les objectifs opérationnels ou de mission;
  2. le degré de sensibilité des renseignements;
  3. les exigences de sécurité des TI;
  4. l'évaluation des menaces ou les agents de menace;
  5. le rendement des systèmes de TI ou des biens de TI.

Risques liés à la sécurité des TI dans un théâtre d'opérations

4.11 La nature des menaces dans un théâtre d'opérations est parfois très différente de la perspective plutôt statique d'une vision limitée à un seul système. Bien que les commandants jouissent de la discrétion voulue pour gérer les risques opérationnels et tactiques, la décision d'accepter d'importants risques en matière de sécurité des TI pour des raisons d'efficacité opérationnelle doit être mise en balance avec l'incidence de cette décision sur la confidentialité, l'intégrité et la disponibilité de l'information contenue dans les systèmes de TI. Lorsque la décision est prise d'accepter un risque qui a une incidence sur la sécurité d'un système de TI, le commandant doit faire rapport au Dir Sécur GI des facteurs l'ayant poussé à accepter ce risque.

4.12 Le document B-GJ-005-502/FP-000, Gestion des risques aux fins des opérations des FC, donne des instructions sur le processus décisionnel afin d'aider les commandants et leur personnel à repérer, analyser, évaluer et contrôler tous les types de risques.

5. Conséquences

Conséquences d'une non-conformité

5.1 La non-conformité à la présente DOAD peut entraîner des conséquences tant pour le MDN et les FC, en tant qu'institutions, que pour les employés du MDN et les militaires, en tant qu'individus. Tout cas de non-conformité soupçonnée fera l'objet d'une enquête. La nature et la gravité des conséquences découlant d'une non-conformité seront proportionnelles aux circonstances entourant celle-ci.

Nota En ce qui concerne la conformité des employés du MDN, voir le Cadre stratégique sur la gestion de la conformité du Conseil du Trésor pour de plus amples informations.

6. Responsabilités

Tableau des responsabilités

6.1 Le tableau suivant énonce les responsabilités relatives à la présente DOAD :

Le ou les… est chargé ou sont chargés de ou d'…

SMA(GI)

  • approuver et de publier les profils de contrôle de sécurité des TI pour les systèmes de TI du MDN et des FC.

Dir Sécur GI (à titre d'autorité de sécurité)

  • fournir et de gérer un registre des risques en matière de sécurité des TI aux fins de stockage des renseignements obtenus dans le cadre des activités de GRS des TI et des décisions concernant les risques;
  • élaborer des instructions, des normes et des lignes directrices pour la GRS des TI alignées sur les pratiques exemplaires du gouvernement du Canada;
  • élaborer les profils de contrôle de sécurité des TI pour les systèmes de TI du MDN et des FC, et de recommander leur approbation;
  • fournir des conseils sur les contrôles de sécurité des TI et sur leur mise en œuvre;
  • fournir les profils de contrôle de sécurité des TI et les rapports d'évaluation de la menace au personnel responsable du déploiement et de l'exploitation des systèmes de TI et des biens de TI;
  • exercer une surveillance afin de veiller à ce que les risques en matière de sécurité des TI et les décisions concernant les risques fassent l'objet d'un suivi dans le registre des risques en matière de sécurité des TI;
  • examiner les rapports sur les menaces et les vulnérabilités en matière de sécurité des TI;
  • relever les risques associés aux systèmes de TI et aux biens de TI;
  • effectuer des évaluations du risque et de formuler des recommandations de mesures de protection dont la portée reflète le caractère délicat, critique et complexe des biens de TI évalués;
  • fournir des évaluations du risque et de recommander des mesures de protection à l'appui de processus décisionnels éclairés, pratiques et rentables en matière de gestion du risque;
  • exercer une surveillance continue pour repérer les changements au contexte de menace et de recommander les rajustements requis afin de préserver l'autorité nécessaire pour exploiter les systèmes de TI et des biens de TI;
  • surveiller et d'évaluer le rendement des contrôles de sécurité des TI mis en œuvre;
  • informer les autorités opérationnelles, les autorités techniques et les praticiens de la sécurité des TI concernés des changements aux menaces ou aux vulnérabilités qui peuvent avoir une incidence sur les risques que courent leurs systèmes de TI et leurs biens de TI;
  • surveiller la conformité à la présente DOAD et aux autres politiques et instructions pertinentes;
  • signaler au SMA(GI) tout cas de non-conformité à la présente DOAD.

autorités opérationnelles

  • établir le niveau de risque le plus élevé que peut tolérer une fonction opérationnelle ou une mission;
  • veiller à ce que les risques que courent leurs programmes, leurs systèmes et leurs services soient adéquatement gérés;
  • consulter les spécialistes des plans de continuité des activités, de la protection des renseignements personnels et de la gestion de l'information, ainsi que d'autres spécialistes fonctionnels, pour veiller à l'établissement et à la gestion du risque dans ces domaines de responsabilité;
  • surveiller leur information et leurs biens de TI afin de relever tout changement à leur valeur;
  • veiller à ce que les évaluations de risques de leurs biens de TI soient refaites compte tenu de changements à la valeur de ceux-ci, aux menaces ou aux vulnérabilités;
  • approuver les rajustements aux contrôles de sécurité des TI mis en œuvre afin de préserver l'autorité nécessaire pour exploiter les systèmes de TI;
  • faire rapport au Dir Sécur GI des décisions prises en matière de risque à la sécurité des TI en vue de leur saisie ultérieure dans le registre des risques en matière de sécurité des TI.

autorités techniques

  • veiller à ce que les systèmes de TI soient mis en œuvre et exploités conformément aux contrôles de sécurité des TI approuvés;
  • élaborer et de déployer, au besoin, des contrôles de sécurité des TI pour les systèmes de TI utilisés par le MDN et les FC;
  • installer, de mettre à l'essai, de corriger et de surveiller les mesures de protection techniques des biens de TI dans leur domaine de responsabilité;
  • veiller à ce que les mesures de protection techniques fonctionnent efficacement.

commandant, Groupe des opérations d'information des FC

  • surveiller les vulnérabilités et les menaces à la sécurité des TI applicables aux systèmes de TI et aux biens de TI du MDN et des FC, et de mener des recherches à leur sujet;
  • signaler à l'autorité de sécurité tout changement aux vulnérabilités ou aux menaces à la sécurité des TI.

praticiens de la sécurité des TI

  • surveiller et d'évaluer, de façon continue, le rendement des contrôles de sécurité des TI mis en œuvre pour les systèmes de TI et les biens de TI;
  • signaler à l'autorité de sécurité tout changement ou toute mise à jour requis aux contrôles de sécurité des TI;
  • relever les risques associés aux systèmes de TI et aux biens de TI dans leur domaine de responsabilité;
  • effectuer des évaluations du risque et de formuler des recommandations de mesures de protection, dans leur domaine de responsabilité, dont la portée reflète le caractère délicat, critique et complexe des biens de TI évalués;
  • fournir des évaluations du risque et de recommander des mesures de protection, dans leur domaine de responsabilité, à l'appui de décisions éclairées, pratiques et rentables en matière de gestion du risque;
  • exercer une surveillance continue pour repérer les changements au contexte de menace et de recommander les rajustements nécessaires afin de préserver l'autorité nécessaire pour exploiter les systèmes de TI;
  • surveiller et d'évaluer le rendement des contrôles de sécurité des TI qui ont été mis en œuvre;
  • signaler à l'autorité de sécurité, et à l'autorité opérationnelle et à l'autorité technique concernées, tout changement aux menaces ou aux vulnérabilités pouvant avoir une incidence sur les risques que courent leurs biens de TI.

personnel opérationnel des TI

  • surveiller et d'évaluer le rendement des contrôles de sécurité des TI mis en œuvre pour les systèmes de TI et les biens de TI dans leur domaine de responsabilité;
  • signaler à l'autorité de sécurité et à l'autorité opérationnelle concernée, ainsi qu'au gestionnaire de projet ou au gestionnaire responsable de la prestation des programmes et des services concerné, tout changement au niveau de risque accepté.

gestionnaire responsable de la prestation des programmes et des services

  • définir les exigences en matière de GRS des TI;
  • consulter le Dir Sécur GI pour veiller à ce que le profil de contrôle de sécurité des TI approprié ait été choisi pour l'exploitation du système de TI;
  • mettre en œuvre le profil de contrôle de sécurité des TI approprié et approuvé pour le système de TI applicable.

employés du MDN et les militaires

  • se conformer à toutes les politiques, instructions, directives et normes du gouvernement du Canada, du MDN et des FC qui ont trait à la GRS des TI.

7. Références

Autres références

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :