DOAD 6003-3, Surveillance et vérification de la sécurité des technologies de l’information


1. Introduction

Date de publication : 2015-11-26

Application : La présente DOAD est une directive qui s’applique aux employés du ministère de la Défense nationale, ci-après nommés « employés du MDN », et une ordonnance qui s’applique aux officiers et aux militaires du rang des Forces armées canadiennes (FAC), ci-après nommés « militaires ».

Autorité approbatrice : Sous-ministre adjoint (Gestion de l’information) (SMA[GI])

Demandes de renseignements : Directeur – Sécurité (Gestion de l’information) (Dir Sécur GI)

2. Définitions

autorité de sécurité (security authority)

Personne qui a l’autorité d’identifier des risques, de fournir des conseils et des normes de sécurité en vue d’une approbation par les autorités opérationnelle et technique, et de veiller à la conformité de ces normes dans son domaine de responsabilité. (Banque de terminologie de la défense, fiche numéro 43436)

autorité opérationnelle (operational authority)

Personne qui a l’autorité de définir des besoins et des principes directeurs, de fixer des normes et d’accepter des risques dans son domaine de responsabilité. (Banque de terminologie de la défense, fiche numéro 43435)

autorité technique (technical authority)

Personne qui a l’autorité d’établir des spécifications et des normes techniques, de gérer des configurations, de fournir des conseils techniques et de veiller à la conformité des normes dans son domaine de responsabilité. (Banque de terminologie de la défense, fiche numéro 43437)

surveillance (monitoring)

Processus continu d’observation des opérations des systèmes d’information dans le but de détecter tout écart par rapport à la conduite planifiée ou prévue. (ITSG-33, La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie, Centre de la sécurité des télécommunications Canada)

technologies de l’information (information technology)

Concernent à la fois l’infrastructure technologique et les applications de TI. L’infrastructure technologique comprend tout matériel ou système utilisé pour l’acquisition, le stockage, la manipulation, la gestion, le déplacement, le contrôle, l’affichage, la commutation, les échanges, la transmission ou la réception automatique de données ou de renseignements. Les applications de TI comprennent la conception, le développement, l’installation et la mise en œuvre de systèmes et d’applications informatiques visant à satisfaire à des exigences opérationnelles. (Directive sur la gestion des technologies de l’information, Conseil du Trésor)

vérification (audit)

Analyse et examen indépendants des dossiers et des activités afin de s’assurer du caractère adéquat des contrôles du système et de la conformité aux politiques et procédures opérationnelles établies, et de recommander toute modification pertinente des mécanismes de contrôle, des politiques ou des procédures. (Banque de terminologie de la défense, fiche numéro 27493)

3. Aperçu

Contexte

3.1 La surveillance et la vérification sont nécessaires au maintien et à la protection des infrastructures, des systèmes et des services de technologie de l’information (TI) essentiels. Conformément à la Directive sur la gestion de la sécurité ministérielle et à la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI), du Conseil du Trésor, le MDN et les FAC doivent veiller à ce que :

  1. les fonctions de journal de vérification soient intégrées dans tous les systèmes de TI;
  2. les journaux de vérification fassent l’objet d’une surveillance continue en vue de détecter tout accès ou tentative d’accès non autorisés aux ressources des systèmes de TI;
  3. des outils automatisés permettant de détecter les incidents en temps réel soient intégrés dans les systèmes de TI à risque élevé;
  4. la mise en œuvre et l’efficacité des contrôles de sécurité des TI fassent l’objet d’une surveillance.

3.2 La présente DOAD devrait être lue conjointement avec le Cadre stratégique de la GI et des TI du MDN et des FC, et les autres politiques, instructions, directives, normes et conseils pertinentes du SMA(GI).

Objectifs

3.3 La présente DOAD a pour objectifs :

  1. d’établir une stratégie efficace de surveillance et de vérification en matière de sécurité des TI pour le Programme de sécurité des TI;
  2. de mettre en œuvre une approche systématique et uniforme en matière de surveillance et de vérification de la sécurité des TI;
  3. d’indiquer les rôles et responsabilités associés à la coordination et à la gestion de la surveillance et de la vérification de la sécurité des TI.

Résultats prévus

3.4 Les résultats prévus de la présente DOAD sont :

  1. une collecte accrue des renseignements que contiennent les journaux de vérification, sur les systèmes de TI;
  2. une amélioration de la qualité des dossiers de vérification qui seront utilisés pour les enquêtes et les vérifications;
  3. une amélioration quant à la détection des incidents liés à la sécurité des TI dans les systèmes de TI.

4. Exigences

Surveillance

4.1 La surveillance des systèmes de TI est assurée grâce à un ensemble d’outils techniques et de processus administratifs. Les autorités opérationnelles (AO) doivent veiller à ce que :

  1. les journaux de vérification des événements affectant la sécurité des TI et les avis automatisés fassent l’objet d’un examen en temps opportun;
  2. toute entrée de journal de vérification suspecte ou tout avis suspect soit signalé aux fins d’analyse ultérieure;
  3. les processus de gestion des incidents soient mis en marche lorsqu’un incident lié à la sécurité des TI est détecté ou soupçonnée.

4.2 De plus, il faut mettre en œuvre dans tous les systèmes à risque élevé, des outils automatisés permettant de détecter les incidents en temps réel et de façon continue. Les systèmes à risques élevés sont ceux dont la compromission met directement en danger des activités opérationnelles essentielles du MDN ou des opérations essentielles des FAC.

Journaux de vérification

4.3 Les événements inhabituels qui surviennent au cours de l’exploitation d’un système de TI, doivent être consignés dans un journal de vérification en vue d’une analyse ultérieure.

4.4 Les journaux de vérification sont essentiels pour relever et résoudre les incidents liés à la sécurité des TI et pour tenir les utilisateurs responsables de leurs actes. Les entrées dans ces journaux doivent être :

  1. exactes et horodatées;
  2. protégées contre les altérations et les accès non autorisés lors de leur stockage et de leur transmission.

4.5 Les journaux de vérification peuvent constituer d’importantes sources de preuves dans le cadre de poursuites judiciaires. Afin de veiller à ce que leur valeur, en tant que preuve, ne soit pas compromise, les employés du MDN et les militaires ne doivent pas les modifier, une fois ces journaux de vérification créés.

4.6 Puisque les journaux de vérification constituent des ressources documentaires à valeur opérationnelle, ils sont assujettis aux exigences de conservation énoncées dans la DOAD 6001-1, Tenue de documents. Pour de plus amples informations sur les exigences de conservation des journaux de vérification, voir le document primaire 2102 (sécurité – systèmes d’information) dans le Système de classification par sujet, de conservation et d’élimination des documents de la Défense (SCSCEDD).

Surveillance des contrôles de sécurité des TI

4.7 La surveillance des contrôles de sécurité des TI est nécessaire pour veiller à ce que ces contrôles fonctionnent correctement afin de protéger efficacement les biens qu’ils ont pour but de protéger. Pour obtenir de plus amples informations, voir la DOAD 6003-2, Gestion du risque lié à la sécurité des technologies de l’information.

Autoévaluation de la sécurité des systèmes de TI

4.8 Les AO doivent, en soutien à la sécurité continue des systèmes de TI, faire en sorte que soient effectués un examen et une autoévaluation réguliers de la sécurité de tous les systèmes compris dans leur domaine de responsabilité, puis qu’il soit fait rapport des résultats au Dir Sécur GI.

4.9 Les AO doivent communiquer avec le Dir Sécur GI afin d’obtenir des détails sur la méthode à employer pour effectuer l’autoévaluation.

Surveillance et conformité

4.10 Outre les exigences de surveillance et de vérification indiquées ci-dessus, il est possible, pour le Dir Sécur GI, de mener des activités de surveillance et de conformité sur des systèmes de TI sélectionnés. Ces activités peuvent comprendre l’examen et l’évaluation des rapports de vérification si cela s’avère justifié à la suite d’événements affectant la sécurité des TI ou d’incidents liés à la sécurité des TI, ou en réponse à des inquiétudes de l’AO.

Protection des renseignements personnels

4.11 La surveillance et la vérification de la sécurité des TI sont assujetties aux dispositions de la Loi sur la protection des renseignements personnels. Dans le cadre de ces activités, les employés du MDN et les militaires doivent également se conformer à toutes les politiques, instructions, directives et normes du gouvernement du Canada (GC), du MDN et des FAC en lien avec la protection des renseignements personnels des employés du MDN et des militaires.

5. Conséquences

Conséquences d’une non-conformité

5.1 La non-conformité à la présente DOAD peut entraîner des conséquences tant pour le MDN et les FAC, en tant qu’institutions, que pour les employés du MDN et les militaires, en tant qu’individus. Tout cas de non-conformité soupçonnée pourrait faire l’objet d’une enquête. La nature et la gravité des conséquences découlant d’une non-conformité seront proportionnelles aux circonstances entourant celle-ci.

Nota En ce qui concerne la conformité des employés du MDN, voir le Cadre stratégique sur la gestion de la conformité du Conseil du Trésor pour de plus amples informations.

6. Responsabilités

Tableau des responsabilités

6.1 Le tableau suivant énonce les responsabilités relatives à la présente DOAD :

Le ou les... est chargé ou sont chargés ou chargées de ou d’...
Dir Sécur GI
  • la coordination des activités de surveillance et de vérification de la sécurité des TI du MDN et des FAC;
  • établir les exigences de base liées à la surveillance et à la vérification des systèmes de TI du MDN et des FAC;
  • établir les processus et les outils normalisés qui aident à la mise en œuvre des exigences liées à la surveillance et à la vérification de la sécurité des TI;
  • évaluer l’efficacité et l’efficience des activités de surveillance et de vérification de la sécurité des TI du MDN et des FAC.
commandant, Centre d’opérations des réseaux des Forces canadiennes (CORFC)
  • effectuer les tâches assignées de surveillance de la sécurité des TI pour les systèmes de TI du MDN et des FAC;
  • aviser les autorités appropriées lorsqu’un accès ou une tentative d’accès non autorisés aux ressources des systèmes de TI est détecté ou soupçonné.
AO
  • au sein de leur domaine de responsabilité :
    • assurer un niveau de surveillance et de vérification adéquat de la sécurité des TI pour les systèmes et services de TI;
    • veiller à ce que toutes les responsabilités liées à la surveillance des TI soient assignées à l’autorité de sécurité (AS) appropriée ou au CORFC;
    • veiller à ce que les résultats des activités de surveillance et de vérification de la sécurité des TI, en appui aux enquêtes autorisées, soient transmis au Dir Sécur GI, Groupe des opérations d’information des Forces canadiennes ainsi qu’aux praticiens de la sécurité des TI concernés;
    • veiller à ce que la mise en œuvre et l’efficacité des contrôles de sécurité des TI, en appui de leurs activités opérationnelles et de leurs opérations, fassent l’objet d’une surveillance, et à ce qu’il soit fait rapport de leurs résultats aux AS appropriées;
    • veiller à ce que les autoévaluations de la sécurité des TI soient effectuées quant aux systèmes de TI, et à ce qu’il soit fait rapport des résultats connexes au Dir Sécur GI.
autorités techniques
  • au sein de leur domaine de responsabilité :
    • mettre en œuvre et de maintenir les activités de surveillance et de vérification des systèmes de TI conformément aux exigences opérationnelles, liées aux opérations, techniques et liées à la sécurité des TI;
    • conserver les fichiers des journaux de vérification conformément aux normes sur la tenue de dossiers;
    • aviser les AS appropriées lorsqu’un accès ou une tentative d’accès non autorisés aux ressources des systèmes de TI est détectée ou soupçonnée.
AS
  • au sein de leur domaine de responsabilité :
    • établir les exigences de sécurité propre à un système de TI donné en ce qui a trait à la surveillance et à la vérification;
    • examiner régulièrement la sécurité des fichiers des journaux de vérification;
    • effectuer les tâches de surveillance de la sécurité des TI assignées;
    • aviser les autorités appropriées, conformément aux processus de gestion des incidents de TI approuvées, lorsqu’un accès ou une tentative d’accès non autorisés aux ressources des systèmes de TI est détecté ou soupçonné.
employés du MDN et les militaires
  • aviser les AS appropriées, conformément aux processus de gestion des incidents de TI approuvées, lorsqu’un accès ou une tentative d’accès non autorisés aux ressources des systèmes de TI est détecté ou soupçonné;
  • se conformer aux politiques, aux instructions, aux directives et aux normes du GC, du MDN et des FAC en matière de surveillance et de vérification de la sécurité des TI.

7. Références

Autres références

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :