Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC) 2018

Sur cette page

1.0 Préambule

1.1 À propos du présent document

Dans le présent document, on décrit le Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC). Ce plan expose les intervenants et les actions à accomplir pour assurer une gestion cohérente, concertée et rapide des événements de cybersécurité dans l’ensemble du gouvernement. Tous les ans, le plan sera mis à l’essai et sera modifié au besoin.

1.2 Date d’entrée en vigueur

Le présent plan entre en vigueur le . Il remplace la version du du PGEC GC.

1.3 Application

Le présent plan a été préparé dans l’exercice des responsabilités conférées au Secrétariat du Conseil du Trésor du Canada (SCT) en vertu de la Politique sur la sécurité du gouvernement (PSG) et est destiné à tous les ministères et organismes assujettis au PSG.

1.4 Définitions

Remarque : Les définitions ci-dessous proviennent de l’ébauche de 2017 de la Politique sur la sécurité du gouvernement. D’autres exemples sont fournis afin de clarifier le sens de certains termes pour la mise en application de ce plan.

Compromission

Une brèche de la sécurité du gouvernement qui comprend, sans toutefois s’y limiter :

  • l’accès, la divulgation, la modification, l’utilisation, l’interruption, la suppression ou la destruction non autorisés de biens ou de renseignements de nature délicate qui entraînent une perte de confidentialité, d’intégrité, de disponibilité ou de valeur;
  • tout agissement, comportement, menace ou geste d’une personne à l’égard d’un employé à son lieu de travail ou d’une personne dans les installations fédérales qui a créé un dommage ou un préjudice à cet employé ou à cette personne;
  • les événements entraînant une perte de l’intégrité ou de la disponibilité des services ou des activités du gouvernement.
Événement de sécurité

Tout événement, toute omission ou toute situation qui peut être néfaste à la sécurité du gouvernement, y compris les menaces, les vulnérabilités et les incidents de sécurité.

  • Voici des exemples d’événements de cybersécurité : La divulgation d’une nouvelle vulnérabilité ou une information indiquant qu’on menace de lancer une attaque contre un système d’information du gouvernement du Canada (GC) (p. ex., une attaque par déni de service distribué), ou tente de déjouer le périmètre du réseau, entre autres. Événements de cybersécurité.
Incident de sécurité

Tout événement (ou série d’événements), tout acte, toute omission ou toute situation qui a entraîné une compromission.

  • Exemples d’incidents de cybersécurité : Exploitation active d’une ou de plusieurs vulnérabilités connues, exfiltration de données, défaillance d’un contrôle de sécurité, atteinte d’un service du GC géré ou hébergé dans le nuage, entre autres.
  • Tous les incidents de cybersécurité sont considérés comme des événements de cybersécurité (ou un ensemble d’événements de cybersécurité), mais les événements de cybersécurité ne sont pas tous considérés comme des incidents de cybersécurité (veuillez consulter la figure 1).
Menace

Tout événement ou acte possible, délibéré ou accidentel, ou danger naturel qui pourrait entraîner une compromission.

Vulnérabilité

Un facteur qui pourrait accroître la susceptibilité à la compromission.

Figure 1 : Événements de cybersécurité et incidents de cybersécurité (dans le contexte du PGEC GC)
Graphique montrant que les incidents de cybersécurité sont considérés comme des événements de cybersécurité, version textuelle ci-dessous.
Figure 1 : Version textuelle

La figure 1 montre la différence entre des événements de cybersécurité et des incidents de cybersécurité conformément à leur définition dans le PGEC GC au moyen de deux cercles, dont l'un se trouvant à l'intérieur de l'autre. Le plus grand cercle représente les événements de cybersécurité tandis que le second cercle, beaucoup plus petit, présente les incidents de cybersécurité comme étant un sous-ensemble des événements de cybersécurité.

1.5 Glossaire des acronymes et des abréviations

ASM Agent de sécurité du ministère
BCP Bureau du Conseil privé
CCRIC Centre canadien de réponse aux incidents cybernétiques
CCSNS Comité canadien sur les systèmes nationaux de sécurité
CDPI Conseil des dirigeants principaux de l’information
CECM Centre d’évaluation des cybermenaces
CIDG Comité d’intervention des directeurs généraux
CRTC Conseil de la radiodiffusion et des télécommunications canadiennes
COG Centre des opérations du gouvernement
Comm. Division des communications
CS Communications stratégiques
CSAM Communications stratégiques et affaires ministérielles
CST Centre de la sécurité des télécommunications
DDPI Direction du dirigeant principal de l’information
DG Directeur général
DI Demande d’intervention
ECE Équipe de coordination des événements
EHD Équipe de la haute direction
ÉRIC GC Équipe de réponse aux incidents cybernétiques du gouvernement du Canada
EGECS Équipe de gestion des événements de cybersécurité
ESGE Équipe supérieure de gestion des événements
GC Gouvernement du Canada
GIES Gestion des informations et des événements de sécurité
GRC Gendarmerie royale du Canada
GSTI Gestion de la sécurité de la technologie de l’information
GT Groupe de travail
MDN/FAC Ministère de la Défense nationale/Forces armées canadiennes
POCS Organisme principal responsable de la sécurité
PCA Plan de continuité des activités
PFIU Plan fédéral d’intervention d’urgence
PGEC Plan de gestion des événements de cybersécurité
PON Procédure opératoire normalisée
PSG Politique sur la sécurité du gouvernement
RS Reprise après sinistre
S et R Sécurité et renseignement
SCRS Service canadien du renseignement de sécurité
SCT Secrétariat du Conseil du Trésor du Canada
SMA Sous-ministre adjoint
SNS Systèmes nationaux de sécurité
SP Sécurité publique Canada
SPC Services partagés Canada
STI Sécurité de la technologie de l’information
TI Technologie de l’information

2.0 Introduction

2.1 Contexte

Les événements de cybersécurité s’appliquant aux systèmes d’information du gouvernement du Canada (GC) peuvent avoir une incidence considérable sur la qualité des programmes et services offerts aux Canadiens et aux Canadiennes, et, par conséquent, sur la confiance qu’ils ont en le gouvernement. Il est essentiel d’être en mesure d’intervenir rapidement et de manière cohérente et concertée en cas d’événement de cybersécurité dans l’ensemble du GC afin d’assurer la sécurité et la résilience des programmes et services gouvernementaux. 

2.2 Objet

Le présent document établit un cadre opérationnel pour la gestion des événements de cybersécurité (y compris les cybermenaces, les vulnérabilités et les incidents de sécurité) qui influent ou sont susceptibles d’influer sur la capacité du GC d’offrir des programmes et des services aux Canadiens et aux Canadiennes. Il crée un contexte pour les plans et les procédures que les ministères et organismes ont mis en place pour gérer les événements de cybersécurité liés aux programmes et aux services dont ils sont responsables.

De plus, le présent document vient compléter le plan « tous risques » et le mécanisme d’intervention du Plan fédéral d’intervention d’urgence (PFIU) afin d’offrir un cadre cohérent pour gérer les conséquences des événements de cybersécurité qui touchent plusieurs organisations gouvernementales ou qui minent la confiance dans le gouvernement.

2.3 Portée des tâches

La portée du Plan se limite aux événements de cybersécurité (y compris les menaces, vulnérabilités et incidents de sécurité) relatifs aux systèmes d’information du GC classés secret ou d’un niveau inférieur, et qui :

  • soit influent ou risquent d’influer sur la qualité des programmes ou des services offerts aux Canadiens et aux Canadiennes, ou encore sur le fonctionnement du gouvernement, la sécurité ou la confidentialité de l’information ou la confiance à l’endroit du gouvernement;
  • soit nécessite une solution intégrée dans l’ensemble du gouvernement afin d’en réduire au minimum les effets et de permettre une atténuation rapide et le rétablissement des programmes et des services.

Le PGEC GC ne traite :

  • ni des événements de cybersécurité qui concernent les systèmes d’information classés très secret;
  • ni de la coordination de la gestion des événements de cybersécurité faisant intervenir plusieurs autorités de compétence, par exemple, les provinces et territoires, les municipalités, ou d’autres pays.

2.4 Objectifs

Le Plan de gestion des événements de cybersécurité a pour but :

  • de sensibiliser l’ensemble du GC à l’existence des cybermenaces et des risques de vulnérabilité ainsi que des incidents de cybersécurité confirmés;
  • d’améliorer la coordination et la gestion des événements de cybersécurité au sein du GC;
  • d’atténuer les menaces et les vulnérabilités avant l’éventualité d’une compromission;
  • d’appuyer les méthodes d’évaluation du cyberrisque et les efforts de priorisation des mesures de redressement du GC;
  • de réduire au minimum les effets des événements de cybersécurité sur la confidentialité, la disponibilité ou l’intégrité des programmes et services du GC ou de son information et/ou de son fonctionnement;
  • d’améliorer la prise de décisions à tous les niveaux nécessaires;
  • de renforcer l’échange des connaissances et le savoir-faire au sein du GC;
  • de renforcer la confiance de la population dans la capacité du GC de gérer les événements de cybersécurité.

2.5 Hypothèses

La construction du Plan repose sur les hypothèses suivantes :

  • tous les ministères et organismes ont mis en place des processus de gestion des événements et des plans de continuité des activités, comme le prévoit la PSG;
  • les responsabilités des divers intervenants du GC responsables de la cybersécurité sont établies conformément aux mandats actuels des ministères;
  • les événements de cybersécurité ayant trait à la divulgation des renseignements personnels ou des communications privées seront traités selon les protocoles privés établis;
  • les événements de cybersécurité qui concernent plusieurs autorités de compétence (au Canada ou à l’étranger) sont coordonnés selon les plans nationaux de Sécurité publique Canada.

3.0 La gestion des événements de cybersécurité du GC

La sécurité au sein du gouvernement et la continuité des programmes et des services du GC dépendent de la capacité des ministères et organismes, et du gouvernement dans son ensemble, à gérer les événements de cybersécurité. Les ministères et organismes connaissent des événements qui influent ou risquent d’influer sur la qualité des programmes et des services publics. Étant donné que le GC recourt de plus en plus à la TI pour dispenser ses services aux Canadiens et aux Canadiennes et réaliser ses activités, il doit être prêt à réagir vite et efficacement lorsqu’un événement est susceptible de nuire à ses activités ou à la qualité des services qu’il offre aux Canadiens et aux Canadiennes, ou de miner la confiance dans le gouvernement.

Le Plan de gestion des événements de cybersécurité (PGEC GC) identifie les intervenants et les actions à accomplir pour assurer une gestion cohérente, concertée et rapide des événements dans l’ensemble du GC. La présente section expose le processus de gestion des événements de cybersécurité, identifie les intervenants concernés, définit les niveaux d’intervention et décrit les éléments déclencheurs de la signalisation progressive.

3.1 Vue d’ensemble du processus

Le processus global de gestion des événements de cybersécurité comporte plusieurs phases, comme l’indique la figure 2.

Figure 2 : Processus de gestion des événements de cybersécurité
Graphique représentant le PGEC, version textuelle ci-dessous :
Figure 2 - Version textuelle

Voir le texte ci-dessous pour la description complète.

La première phase, Préparation, se compose des activités générales de préparation permettant au GC de faire face à un large éventail de cyberévénements. C’est à ce stade-ci que les rôles et responsabilités en la matière sont établis, que les plans et procédures sont consignés (ou revus à la lumière des leçons apprises) et mis à exécution, et que le personnel reçoit de la formation. L’une des principales activités de cette phase consiste à mettre en place des mesures de protection et de prévention au niveau de l’hôte, de l’application et du réseau. Les mesures de protection comprennent aussi la mise en œuvre des processus de gestion des vulnérabilités et des rustines ainsi que d’autres processus.

La deuxième phase, Détection et évaluation, consiste à détecter les événements de cybersécurité potentiels, y compris les incidents de cybersécurité confirmés, par le contrôle des diverses sources d’information (ce qui comprend les solutions logicielles et le matériel des ministères et du reste du GC) et par l’établissement de rapports par les ministères et organismes concernés. Cette phase comporte aussi l’évaluation initiale du niveau d’incidence de l’événement qui influe dans la détermination de l’intervention à apporter appropriée du GC.

La troisième phase, Atténuation et reprise, se compose de toutes les interventions requises pour réduire au minimum l’incidence de l’événement sur la confidentialité, la disponibilité et l’intégrité des programmes et services, et pour conduire à la reprise des activités normales. Le confinement et l’éradication jouent ici un rôle clé et consistent, entre autres choses, à éteindre les systèmes, à débrancher les systèmes des réseaux, à désactiver les fonctionnalités ou à atténuer les vulnérabilités par l’installation de rustines.

Les mesures de reprise peuvent consister notamment à mettre en application le PCA ou le plan RS ou toute autre mesure qui permettra de réduire l’incidence sur les systèmes d’information concernés et de reprendre les activités normales. Cette phase prévoit aussi une analyse de la cause première et une enquête, qui comprennent des activités telles que la collecte de preuves, l’analyse judiciaire, la recherche et d’autres processus pouvant influer sur les mesures de reprise.

La dernière phase, Activité après l’événement, joue un rôle crucial dans l’amélioration continue du processus global de gestion des événements de cybersécurité et, à ce titre, elle permet de tirer des leçons qui seront prises en compte à la prochaine phase de préparation, bouclant ainsi le cycle de gestion de l’événement. Cette phase consiste à effectuer une analyse après l’événement, à faire la synthèse des leçons apprises et à la réviser, et à recommander des modifications à apporter aux processus ou aux procédures afin de constamment peaufiner la capacité de gestion des événements de cybersécurité du GC.

À partir de la détection d’un événement jusqu’à la clôture des activités qui lui sont postérieures, l’établissement de rapports et la communication entre les divers intervenants sont constantes, permettant ainsi de sensibiliser l’ensemble du gouvernement à la situation. Il faut absolument intégrer ces activités dans le cycle de gestion des événements de cybersécurité pour veiller à ce que les conseils d’atténuation et les rapports sur la situation soient promptement communiqués aussi bien aux parties non concernées qu’à celles qui le sont afin d’améliorer la conscience situationnelle et la prise de décisions.

3.2 Intervenants

Outre les ministères et organismes, qui jouent un rôle important dans l’information et la mise à exécution des activités de gestion des événements de cybersécurité du GC, plusieurs autres intervenants dans le cadre du PGEC GC. Voici un résumé des intervenants répartis entre trois grandes catégories. Les rôles et responsabilités de chacun d’entre eux sont détaillés à l’annexe  A.

  1. POCS principaux
    • Secrétariat du Conseil du Trésor du Canada (le SCT)
      • Direction du dirigeant principal de l’information (DDPI)
      • Communications stratégiques et affaires ministérielles (CSAM)
    • Services partagés Canada (SPC)
      • Équipe de réponse aux incidents cybernétiques du GC (ÉRIC-GC)
    • Centre de la sécurité des télécommunications (CST)
      • Centre d’évaluation des cybermenaces (CECM)
    • Sécurité publique Canada (SPC)
      • Centre canadien de réponse aux incidents cybernétiques (CCRIC)
      • Division des communications (Comm.)
  2. POCS spécialisés
    • Gendarmerie royale du Canada (GRC)
    • Service canadien du renseignement de sécurité (SCRS)
    • Ministère de la Défense nationale/Forces armées canadiennes (MDN/FAC)
  3. Autres intervenants
    • Dirigeant principal de l’information du GC (DPI GC)
    • Centre des opérations du gouvernement (COG)
    • Bureau du Conseil privé (BCP)
      • Sécurité et renseignement (S et R)
      • Communications stratégiques (CS)
    • Comité canadien sur les systèmes nationaux de sécurité (CCSNS)
    • Comité d’intervention des directeurs généraux (CIDG)
    • Partenaires externes

3.3 Niveaux d’intervention du GC

Tel qu’il est indiqué à la figure 3 ci-dessous, les niveaux d’intervention qui déterminent les activités de gestion des événements de cybersécurité sont au nombre de quatre (4). Ces niveaux déterminent le niveau de coordination nécessaire à la bonne gestion de l’événement de cybersécurité, y compris le niveau hiérarchique, la participation des intervenants et l’établissement de rapports qui sont requis.

Figure 3: Niveaux d’intervention globaux du GC
Graphique représentant les différents niveaux d'intervention, version textuelle ci-dessous :
Figure 3 - Version textuelle

Voir le texte ci-dessous pour la description complète.

Le premier niveau, le niveau 1, représente, pour l’essentiel, les activités courantes du gouvernement. En raison du dynamisme de l’environnement des cybermenaces, et d’après la divulgation constante des nouvelles vulnérabilités de sécurité, le GC se situe, en moyenne, au niveau 1. À ce niveau, les ministères et organismes doivent coordonner leurs interventions selon leurs propres procédures normales, poursuivre la mise en application des mesures de prévention ordinaires et maintenir la communication avec l’ÉRIC GC pour l’obtention de conseils et de consignes. Au niveau du GC dans son ensemble, aucune coordination supplémentaire n’est requise entre les principaux intervenants et les intervenants spécialisés, sinon le partage habituel d’information entre eux pour se mettre au fait de la situation.

Au niveau suivant, le niveau 2, il faut redoubler d’attention au niveau du GC. L’atteinte de ce niveau déclenche le recours au palier intermédiaire de gouvernance prévu dans le PGEC GC (énoncé à la section 3.4.4) et entraîne éventuellement une coordination limitée dans l’ensemble du gouvernement. À ce niveau, tous les principaux intervenants du PGEC GC (et les intervenants spécialisés, au besoin), sont sur le pied d’alerte, et ils surveillent la cyberactivité par le contrôle des niveaux de risque dans l’ensemble du GC et par le confinement et l’atténuation des incidences, réelles ou éventuelles. Des conseils supplémentaires sont donnés à certains ministères ou organismes sur la façon d’intervenir, ce qui pourrait inclure le recours aux procédés de gestion des rustines d’urgence.

Au troisième niveau, le niveau 3, l’ensemble du GC doit se mobiliser et être sur un pied alerte. L’atteinte de ce niveau déclenche le recours au palier supérieur de gouvernance prévu dans le PGEC GC (énoncé à la section 3.4.4) et entraîne éventuellement une coordination centralisée dans l’ensemble du gouvernement. À ce niveau, les interventions sont entièrement coordonnées selon la structure de gouvernance du PGEC  GC, et les ministères et organismes reçoivent des conseils et des consignes sur la façon d’intervenir, qui peut aller du recours aux procédés de gestion des rustines d’urgence jusqu’au débranchement des systèmes des réseaux du GC. Les événements à ce niveau déclenchent aussi le recours au cadre des communications relatives à la cybersécurité du SCTVoir la note en bas de page 1.

Le dernier niveau, le niveau 4, est réservé aux événements graves ou catastrophiques qui concernent plusieurs ministères ou organismes publics, qui minent la confiance dans le gouvernement ou qui concernent d’autres aspects d’intérêt national. Les événements correspondant à ce niveau entraînent la mise en application immédiate du PFIU et de sa structure de gouvernance, coordonnée par le COG conformément au PFIU, afin d’assurer l’harmonisation des interventions fédérales.

3.3.1 Détermination des niveaux d’intervention globaux

La détermination des niveaux d’intervention globaux repose sur l’analyse de deux facteurs : l’évaluation des incidences sur les ministères et la portée de l’événement de cybersécurité en question.

Les évaluations des incidences sur les ministères se déroulent conformément au processus décrit à l’annexe B. Ce processus, valable pour tous les cyberévénements visés par le PGCGC, s’appuie sur un test de préjudice normalisé qui a pour but d’évaluer le degré de préjudice subi ou que l’on pourrait raisonnablement s’attendre à subir suite à une compromission. Cette évaluation prend en compte la gravité et la portée de l’événement. Une fois évalué le degré de préjudice, on y applique un modificateur pour tenir compte de la probabilité de survenance du préjudice lorsqu’aucun incident ne s’est encore produit (p. ex., les cybermenaces latentes et les vulnérabilités non exploitées).

On cumule ensuite les résultats des évaluations des incidences sur tous les ministères concernés  dans l’ensemble du GC, puis l’ÉRIC GC  (en collaboration avec la Direction du dirigeant principal de l’information du Secrétariat du Conseil du Trésor (DDPI du SCT) et d’autres partenaires applicables), s’appuie sur l’annexe C pour évaluer le degré d’urgence dans l’ensemble du gouvernement et pour établir le niveau d’intervention global appropriée.

Nota : Dans certains cas, comme dans celui de la divulgation d’une nouvelle vulnérabilité de sécurité pour laquelle le préjudice est difficile à établir, il pourrait s’avérer nécessaire de procéder à une évaluation plus approfondie des incidences sur les ministères pour pouvoir déterminer le niveau d’intervention adéquat. Dans ces cas, l’ÉRIC GC demande aux ministères, par l’entremise d’une demande d’intervention (DI), d’effectuer une évaluation approfondie et de lui transmettre les résultats pour qu’il détermine le niveau d’intervention global adéquat.

3.4 Gouvernance

Durant un événement de cybersécurité, la mobilisation rapide des organes de gouvernance compétents fait en sorte que les responsables de la gestion et des opérations sont en mesure de prévenir ou de détecter les événements en fonction des priorités et d’assurer la reprise des activités.

La structure de gouvernance prévue par le PGEC GC comporte trois importants organes de gouvernance qui gèrent la signalisation progression d’un événement de cybersécurité, à savoir l’Équipe de coordination des événements (ECE), l’Équipe de la haute direction (EHD), et le Comité tripartite sur la sécurité de la TI des sous-ministres adjoints (CTSTI SMA).

3.4.1 Équipe de coordination des événements

L’Équipe de coordination des événements (ECE) est un groupe d’intervenants de niveau opérationnel qui se mettent en action lorsque le PGEC GC l’exige (événements de niveau 2) ou lorsque l’Équipe de la haute direction (EHD) (événements de niveau 3) ou le Comité d’intervention des directeurs généraux (CIDG) (événements de niveau 4) fait appel à leurs services. L’ECE a pour objet de collaborer avec les intervenants à la formulation de recommandations sur les mesures à prendre pour l’ensemble du gouvernement. Elle doit aussi veiller à tenir les directeurs généraux au fait de ce qui se passe en informant périodiquement les membres de l’EHD des progrès réalisés dans la gestion des événements de cybersécurité.

L’ECE est coprésidée par la DDPI du SCT et l’ÉRIC GC, et la représentation des parties varie selon la nature de l’événement. Quel que soit le type d’événement de cybersécurité (cybermenace, vulnérabilité ou incident de sécurité), les principaux intervenants suivants participent en plus des coprésidents.

  • la division CSAM du SCT;
  • le CECM du CST;
  • le CCRIC de SP.

Lorsqu’un incident de cybersécurité est confirmé ou lorsqu’une cybermenace entre dans le champ d’autres mandats, l’EGECS s’agrandit et fait appel aux services des intervenants spécialisés suivants, selon les besoins de la situation :

  • le Centre des opérations de sécurité (COS) de SPC;
  • la GRC (Services d’enquêtes techniques, et police fédérale);
  • le SCRS (Cyberactivité);
  • MDN/FAC (Gestion de l’information).

Les ministères directement concernés par des menaces ou des incidents précis sont aussi invités à participer à l’ECE. Les invités sont choisis par les coprésidents, qui peuvent restreindre le nombre d’invités afin d’assurer le fonctionnement optimal de l’ECE.

Durant les événements de niveau 4, les coprésidents de l’ECE veillent à ce que le COG ait à sa disposition un expert technique pour donner des conseils et des consignes et tenir les parties au fait de la situation.

3.4.2 Équipe de la haute direction

L’Équipe de la haute direction (EHD) se compose de directeurs généraux qui se mettent en action lorsque l’exige le PGEC GC (événements de niveau 3). Elle définit l’orientation stratégique de l’ECE et lui donne des conseils et une orientation stratégiques, et elle présente des produits aux hauts fonctionnaires du gouvernement (comme des comptes rendus de décisions ou des projets de plans d’atténuation s’appliquant à l’ensemble du gouvernement qui requièrent l’approbation du SMA ). L’EHD doit aussi veiller à tenir les parties au niveau supérieur au courant de la situation en informant souvent les comités concernés du SMA. Durant les événements de niveau 4, l’EHD est intégrée au CIDG du PFIU.

L’EHD est coprésidée par la DDPI du SCT et la division Opérations de cybersécurité de SPC, et la représentation des intervenants varie selon la nature de l’événement. Quel que soit le type d’événement de cybersécurité (cybermenace, vulnérabilité ou incident de sécurité), les principaux intervenants suivants participent en plus des coprésidents.

  • la division CSAM du SCT;
  • le CST (Cyberdéfense);
  • Sécurité publique (Direction générale de la cybersécurité nationale).

Lorsqu’un incident de cybersécurité est confirmé ou lorsqu’une cybermenace entre dans le champ d’autres mandats, l’EGECS s’agrandit et fait appel aux services des intervenants spécialisés suivants, selon les besoins de la situation :

  • le COG;
  • la GRC (Services d’enquêtes techniques, et police fédérale);
  • le SCRS (Cyberactivité);
  • MDN/FAC (Gestion de l’information).

Les ministères directement concernés par des menaces ou des incidents précis sont aussi invités à participer à l’EHD Les invités sont choisis par les coprésidents, qui peuvent restreindre le nombre d’invités afin d’assurer le fonctionnement optimal de l’EHD.

3.4.3 Comité tripartite sur la sécurité de la TI des SMA

Le Comité tripartite sur la sécurité de la TI des SMA (CTSTI SMA) est un comité au niveau des SMA qui sert d’organe de prise de décisions appuyant la conception, la livraison et la gestion efficaces des initiatives prioritaires de sécurité de la TI touchant les systèmes internes du gouvernement du Canada (GC) et les activités dans l’ensemble du GC. Dans le cadre de la gestion des événements de cybersécurité, son activation peut être déclenchée par le PGEC GC (événements de niveau 3). Le CTSTI SMA fournit des directives et une orientation en matière d’atténuation à l’EHD en réponse à un événement de cybersécurité. Le CTSTI SMA doit aussi veiller à tenir les parties très au courant de la situation en informant souvent les sous-ministres (SM) concernés. Pendant les événements de niveau 4, le CTSTI SMA appuiera le Comité des sous-ministres adjoints du PFIU, au besoin.

Le CTSTI SMA est présidé par le dirigeant principal de l’information du gouvernement du Canada (DPI du GC), et ses principaux membres viennent de Services partagés Canada (SPC) (Cybersécurité et sécurité de la TI des SMA) et du Centre de la sécurité des télécommunications (CST) (chef adjoint des STI). La représentation des autres parties au CTSTI SMA variera selon la nature de l’événement. Quel que soit le type d’événement de cybersécurité (cybermenace, vulnérabilité ou incident de sécurité), les autres intervenants suivants participent en plus des coprésidents :

  • la division CSAM du SCT;
  • Sécurité publique (Direction générale de la cybersécurité nationale).

Lorsqu’un incident de cybersécurité est confirmé ou lorsqu’une cybermenace entre dans le champ d’autres mandats, l’EGECS s’agrandit et fait appel aux services des intervenants spécialisés suivants, selon les besoins de la situation :

  • le COG;
  • la GRC (Services d’enquêtes techniques, et police fédérale);
  • MDN/FAC (Chef du personnel, Groupe de la gestion de l’information);
  • le Service canadien du renseignement de sécurité (SCRS);
  • les ministères ou les organismes touchés.

3.4.4 Modèle de signalisation progressive

Le modèle de signalisation progressive prévu dans le PGEC GC, illustré à la figure 4 identifie les intervenants de niveau opérationnel et les intervenants du niveau supérieur et établit une distinction entre les principaux intervenants et les intervenants spécialisés qui varie selon le type d’événements (illustrée au moyen de carrés rouges et noirs). Après l’analyse des données obtenues des organisations concernées, les intervenants demanderont aux organes de gouvernance compétents (c’est-à-dire, l’ECE et/ou l’EHD) d’intervenir, selon les besoins de la situation. Il conviendrait de noter que ce modèle identifie le sous-ensemble minimum d’intervenants qui doivent intervenir dans le processus de signalisation progressive; les coprésidents de chacun des organes de gouvernance peuvent inviter d’autres organisations du GC s’il y a lieu (p. ex., l’intervenant spécialisé qui a fourni l’information).

En raison des brefs délais au cours desquelles les événements de cybersécurité peuvent provoquer des dommages importants, il est essentiel d’avoir recours rapidement à l’organe de gouvernance compétent. À ce titre, le choix initial de l’organe de gouvernance à contacter dépend du niveau d’intervention global établi pour cet événement particulier. Par exemple, dans le cas d’un événement classé dès le début de niveau 3, la gouvernance est immédiatement assurée par l’EHD.

Figure 4 : Modèle de signalisation progressive prévu par le PGEC GC
Modèle de gouvernance, version textuelle ci-dessous :
Figure 4 - Version textuelle

La figure 4 présente le modèle d'acheminement à l'ordre hiérarchique pertinent énoncé dans le PGEC GC. Cette figure précise la gouvernance requise en fonction du niveau d'intervention déterminé à la figure 3. La figure 4 précise les intervenants opérationnels et les intervenants de la haute direction et établit une distinction entre les acteurs principaux et les acteurs spécialisés selon la nature de l'événement. Les voici :

  1. Niveau 1 – Intervention ministérielle
    1. Ce niveau relève de la gouvernance du PGEC GC.
    2. Les ministères et organismes transmettent l'information à l'ÉRIC-GC de SPC sur tous les événements.
    3. L'ÉRIC-GC de SPC communiquera ensuite cette information à la DDPI du SCT.
  2. Niveau 2 – Intervention limitée à l'échelle du GC
    1. Ce niveau relève de la gouvernance du PGEC GC.
    2. Un événement à ce niveau nécessite de faire appel à l'Équipe de coordination des événements (c'est l'ÉRIC GC de SPC ou la DDPI du SCT qui demandera à cette équipe d'intervenir). Cette équipe comprend les intervenants opérationnels suivants :
      1. DDPI du SCT (coprésidence)
      2. ÉRIC GC de SPC (coprésidence)
      3. Sécurité publique (CCRIC)
      4. CSAM du SCT (communications du SCT)
      5. CEC du CST
    3. Dans les situations où une menace ou un incident a été relevé, les membres des organismes suivants se joindront à l'Équipe de coordination des événements  :
      1. GRC
      2. FAC du MDN
      3. EIIS-TI de SPC
      4. SCRS
      5. Les ministères touchés
  3. Niveau 3 – Intervention complète à l'échelle du GC
    1. Ce niveau relève de la gouvernance du PGEC GC.
    2. Un événement à ce niveau nécessite de faire appel à l'Équipe de la haute direction (EHD), qui se compose des membres suivants (niveau des DG) :
      1. DDPI du SCT (coprésidence)
      2. Centre de sécurité opérationnel de SPC (coprésidence)
      3. Sécurité publique
      4. CSAM du SCT (communications du SCT)
      5. CST
    3. Les membres des organismes suivants se joindront à l'Équipe de la haute direction uniquement lorsqu'une menace ou un incident a été relevé :
      1. GRC
      2. FAC du MDN
      3. COG (qui fait fonction d'agent de liaison entre l'Équipe de la haute direction et les organes de gouvernance du PFIU si l'incident doit être acheminé à un autre ordre hiérarchique)
      4. SCRS
      5. Les ministères touchés
    4. Dans le cadre d'un événement de niveau 3, la DDPI du GC et d'autres comités de SMA (qui sont intentionnellement souples puisque l'engagement variera selon la nature de l'événement) sont désignés comme les intervenants et recevront de l'information de l'Équipe de la haute direction.
  4. Niveau 4 – Intervention en cas d'urgence (crise)
    1. Ce niveau relève de la gouvernance du PFIU.
    2. Ce niveau est activé uniquement en cas de menaces et d'incidents.
    3. À ce niveau, l'information est transmise de façon ascendante aux trois organes de gouvernance dans l'ordre suivant :
      1. Centre des opérations du Gouvernement (niveau opérationnel)
        1. Équipe de coordination des événements
        2. Équipe de gestion de l'événement (PFIU)
        3. Ministères touchés
      2. Comité d'intervention en cas d'incident des DG (niveau des DG)
        1. COG (coprésidence)
        2. DDPI du SCT (coprésidence)
        3. Membres du groupe des DG sur les cyberopérations, groupe des DG sur les communications et d'autres au besoin
      3. Comités du Cabinet/des SM/des SMA

Autres notes à propos du modèle de signalisation progressive :

  • Quel que soit le type d’événements :
    • les intervenants des niveaux inférieurs du modèle sont mobilisés (ou demeurent actifs, s’ils participent déjà) lorsque les niveaux supérieurs sont mobilisés durant un événement;
    • les intervenants des niveaux supérieurs du modèle, même s’ils ne sont pas formellement mobilisés, sont constamment informés de la situation tout au long du cycle de vie de l’événement.
  • En ce qui concerne les événements de niveau 2 :
    • le recours à l’ECE signifie que les intervenants concernés sont simplement en communication entre eux et que les membres ne sont pas forcément tenus de se réunir en personne;
    • l’ECE s’en remet à l’autorité supérieure s’il faut accentuer les mesures d’atténuation, si l’incidence de l’événement est plus grande qu’anticipée ou que les circonstances nécessitent une intervention du GC.
  • En ce qui concerne les événements de niveau 3 :
    • le recours à l’EHD signifie que les intervenants concernés se réunissent formellement en personne;
    • la décision de s’en remettre à l’autorité supérieure et de passer au mode de coordination prévu dans le PFIU est prise par le COG DG, en consultation avec l’EHD.
  • En ce qui concerne les événements de niveau 4 :
    • les intervenants du PGEC GC restent mobilisés auprès des équipes de gestion des événements du PFIU et continuent d’accomplir leurs mandats respectifs au sein du gouvernement, conformément à l’orientation donnée par les organes de gouvernance du PFIU;
    • les mécanismes en place d’échange d’information sont utilisés autant que possible pour des raisons d’efficacité.

3.4.5 Signalisation progressive et niveaux d’intervention

Les intervenants doivent aussi savoir que le niveau d’intervention global du GC peut changer pendant le déroulement d’un événement, si certains critères sont remplis. La figure 5 décrit les éléments qui peuvent être utilisés durant un événement afin de faire intervenir les bons intervenants au moment opportun. La signalisation progressive est prise conjointement par les intervenants concernés, en se fondant sur le préjudice subi par le GC comme élément déclencheur (le préjudice se fonde sur les résultats du test de préjudice exposé à l’annexe B). D’autres facteurs de signalisation progressive peuvent entrer en ligne de compte, selon les circonstances de l’événement en question.

Selon la nature de l’événement, le test de préjudice peut être réévalué afin de pouvoir établir avec précision quel palier d’autorité doit intervenir. Dans le cas des cybermenaces ou des vulnérabilités, la signalisation progressive est enclenchée lorsque le risque de préjudice augmente (p. ex., probabilité accrue d’occurrence, utilisation ou exposition accrue de systèmes vulnérables). Dans le cas d’incidents confirmés, la signalisation progressive est enclenchée lorsqu’il y a aggravation du préjudice ou que son étendue augmente.

Figure 5 : Signalisation progressive et niveaux d’intervention
Grahpique représentant la signalisation progressive et niveaux d'intervention, version textuelle ci-dessous :
Figure 5 - Version textuelle

La figure 5 précise les intervenants pertinents et les déclencheurs connexes pour l'acheminement à l'ordre hiérarchique suivant selon les différents niveaux d'intervention du gouvernement indiqués à la figure 2 au moyen de cercles concentriques et d'un tableau. Voici les éléments déclencheurs pour l'acheminement à l'ordre hiérarchique pertinent :

  1. Niveau 1 – Intervention ministérielle
    1. Intervenants
      1. Activités quotidiennes :
        1. des ministères et organismes
        2. de l'ÉRIC-GC
    2. Éléments déclencheurs pour l'acheminement à l'ordre hiérarchique pertinent
      1. Menaces et vulnérabilités
        1. Probabilité accrue de répercussions de gravité moyenne ou plus élevée pour de nombreux ministères
        2. Exposition accrue des systèmes vulnérables ou exploitabilité accrue des vulnérabilités
      2. Incidents
        1. Répercussions de gravité moyenne touchant la prestation d'un ou de plusieurs programmes et services du GC destinés au public
        2. Indicateurs de propagation
  2. Niveau 2 – Intervention limitée à l'échelle du GC
    1. Intervenants
      1. Équipe de coordination des événements (ECE)
    2. Éléments déclencheurs pour l'acheminement à l'ordre hiérarchique pertinent
      1. Menaces et vulnérabilités
        1. Menace imminente qui aura des répercussions de gravité élevée ou plus élevée pour un ou plusieurs ministères
        2. Exposition élevée des systèmes vulnérables
      2. Incidents
        1. Incidence élevée ou plus élevée d'un compromis touchant la prestation de programmes et services du GC destinés au public ou le fonctionnement d'un ou de plusieurs systèmes essentiels à la réalisation de la mission
        2. Probabilité élevée de propagation
  3. Niveau 3 – Intervention complète à l'échelle du GC
    1. Intervenants
      1. Équipe de la haute direction (EHD)
      2. Comités de SMA (au besoin)
      3. DPI du GC
    2. Éléments déclencheurs pour l'acheminement à l'ordre hiérarchique pertinent
      1. Menaces et vulnérabilités
        1. S.O.
      2. Incidents
        1. Compromis touchant la prestation de nombreux programmes et services essentiels à la réalisation de la mission donnant lieu à des blessures graves (propagation étendue)
  4. Niveau 4 – Intervention en cas d'urgence (crise)
    1. Intervenants
      1. Plan fédéral d'intervention d'urgence (PFIU)
        1. COG
        2. Comités de SM et du Cabinet
    2. Éléments déclencheurs pour l'acheminement à l'ordre hiérarchique pertinent
      1. S.O.

3.4.6 Désescalade

Le niveau d’intervention global peut changer pendant le déroulement d’un événement, en fonction de l’efficacité des mesures d’atténuation, si l’on détermine qu’un incident est moins grave qu’on ne le pensait, si la menace est réduite ou si la vulnérabilité des systèmes du gouvernement est jugée comme amoindrie. La décision de désescalade d’un niveau à un autre est prise par les coprésidents du Comité, en consultation avec les intervenants concernés, en se fondant sur le préjudice subi par le GC comme élément déclencheur (le préjudice se fonde sur les résultats du test de préjudice exposé à l’annexe B). D’autres facteurs de désescalade peuvent entrer en ligne de compte, selon les circonstances de l’événement en question.

Selon la nature de l’événement, le test de préjudice peut être réévalué afin de pouvoir établir avec précision le niveau d’intervention nécessaire. Dans le cas des cybermenaces ou des vulnérabilités, la désescalade sera enclenchée lorsque le risque de préjudice diminue (p. ex., probabilité moindre d’occurrence, utilisation ou exposition réduite de systèmes vulnérables, efficacité accrue des contrôles de sécurité, etc.). Dans le cas d’incidents de cybersécurité confirmés, la désescalade sera enclenchée lorsqu’il y a diminution de la gravité du préjudice ou que son étendue diminue.

4.0 Concept des opérations

Les sections qui suivent donnent une vue d’ensemble des attentes pour chaque phase du cycle de gestion des événements de cybersécurité. Elles décrivent la mise en application du PGEC GC et les principaux éléments d’entrée et de sortie de chaque phase.

Tous les intervenants doivent élaborer leurs propres procédures opérationnelles normales (PON) ou leurs propres processus internes menant à l’obtention des produits attendus.

4.1 Preparation

Graphique représentant la première étape du processus, version textuelle ci-dessous :
Figure Preparation - Version textuelle

Voir le texte ci-dessous pour la description complète.

La phase Préparation est une phase permanente au cours de laquelle le gouvernement exécute une série de processus continus afin de se préparer à des événements précis ou inattendus, ce qui nécessite non seulement la tenue à jour et l’amélioration des mécanismes en place, mais aussi la création de nouveaux mécanismes qui permettent de définir les priorités, d’intégrer plusieurs organisations et plusieurs fonctions, et de veiller à ce que des moyens efficaces soient disponibles pour répondre à l’ensemble des exigences qu’entraîne la gestion des événements de cybersécurité. Cette phase englobe aussi la mise en application anticipée de mesures de protection et de prévention avant un cyberévénement.

Au cours de cette phase :

  • tous les intervenants du PGEC GC (y compris les ministères et organismes) mettent en œuvre les mesures de protection et de prévention dans leurs secteurs de responsabilité respectifs, conformément aux conseils et aux consignes des POCS;
  • le SCT élabore et tient à jour le PGEC GC, coordonne des exercices réguliers auxquels participent tous les intervenants concernés et veille à la mise en application des leçons apprises;
  • le SCT examine les rapports portant sur les analyses prospectives et les leçons tirées d’événements passés et, au besoin, préconise des changements dans la politique de sécurité ou dans les architectures de référence relatives à la sécurité organisationnelle;
  • l’ÉRIC GC tient à jour des listes de diffusion opérationnelle qui s’étendent à l’ensemble du gouvernement, et veille à ce que les ministères et organismes reçoivent les conseils et les consignes dont ils ont besoin pour atténuer les cybermenaces et les vulnérabilités afin de prévenir l’occurrence d’incidents de cybersécurité;
  • les ministères et organismes harmonisent leurs plans, leurs processus et leurs procédures sur le PGEC GC, participent aux exercices au besoin et veillent à la mise en application en interne des leçons apprises;
  • les ministères et organismes tiennent constamment à jour une liste de leurs systèmes d’information qui sont essentiels à la réalisation de la mission.

Voici les éléments d’entrée et de sortie de cette phase :

  • Éléments d’entrée
    • Leçons tirées d’événements passés, stratégies d’atténuation, exercices, scénarios de tests
    • Recommandations périodiques des POCS
    • Pratiques exemplaires dans l’industrie
  • Extrants
    • Mise en pratique des leçons apprises
    • Révision des plans, processus, directives et outils de gestion des événements de cybersécurité dans l’ensemble du gouvernement
    • Exercices, scénarios et tests afin de valider l’efficacité du PGEC GC
    • Révision des plans, des processus et des procédures des ministères, afin qu’ils concordent avec le PGEC GC
    • Connaissance des systèmes de l’ensemble du gouvernement qui sont jugés essentiels

4.2 Détection et évaluation

Graphique représentant la deuxième étape du processus, version textuelle ci-dessous :
Détection et évaluation - Version textuelle

Voir le texte ci-dessous pour la description complète.

La phase Détection et évaluation consiste en un contrôle continu des sources d’information afin de repérer les signes avant-coureurs des événements de cybersécurité et d’évaluer leurs incidences, réelles ou éventuelles, sur la qualité des services offerts aux Canadiens et aux Canadiennes, sur le fonctionnement du gouvernement ou sur la confiance que l’on a envers le gouvernement.

Le volet détection de cette phase reste le même quel que soit le type d’événement de cybersécurité (menace, vulnérabilité ou incident de sécurité), et il comprend aussi la notification des parties concernées. La détection étant un produit direct de l’activité de contrôle, si la composante contrôle est inadéquate ou incomplète, le processus de détection peut passer à côté d’anomalies ou d’événements qui pourraient nuire au GC.

En ce qui concerne le volet détection de cette phase :

  • Les principaux intervenants et les intervenants spécialisés du PGEC GC contrôlent leurs sources d’information respectives afin de détecter des signes précurseurs de cybermenaces ou de vulnérabilité ou des indicateurs d’incidents de cybersécurité confirmés ou éventuels, et ils informent immédiatement l’ÉRIC GC de toute activité malveillante pouvant compromettre l’intégrité des systèmes d’information du GC. Plus particulièrement :
    • l’ÉRIC GC contrôle ses propres sources techniques, ainsi que les données déclarées par d’autres intervenants;
    • le COS de SPC contrôle l’infrastructure exploitée par SPC, ce qui comprend le périmètre réseau de SPC et tous les autres points terminaux ou services sous leur responsabilité;
    • le CECM du CST contrôle les réseaux du gouvernement ainsi que les sources de renseignements et les sources techniques;
    • le CCRIC de SP contrôle l’information provenant de sources nationales ou internationales;
    • la GRC contrôle l’information provenant de sources de surveillance de la criminalité;
    • le SCRS contrôle l’information provenant de sources de renseignement;
    • MDN/FAC contrôlent tous les réseaux du MND, de même que les réseaux des sources alliées (comme l’OTAN), déployés dans le cadre des activités.
  • Les principaux intervenants et les intervenants spécialisés du PGEC GC, lorsqu’ils détectent un événement de cybersécurité, déclarent l’événement aux organismes concernés conformément à la section 5.1 du Plan.
  • Les ministères et organismes mettent en œuvre les contrôles de sécurité généraux établis en vertu de la Politique sur la sécurité du gouvernement (PSG) et ils informent l’ÉRIC GC lorsqu’ils détectent un événement de cybersécurité, conformément aux exigences d’information énoncées à la section 5.2 du Plan.
  • Les ministères et organismes informent les autorités compétentes en matière d’application de la loi ou de sécurité nationale lorsqu’ils reçoivent de l’information indiquant qu’un événement relève de ces domaines particuliers, et ce, conformément à la section 5.2.3 du Plan.

Le volet évaluation de cette phase s’enclenche dès la réception d’une information indiquant l’existence, réelle ou éventuelle, d’un événement de cybersécurité. Cette phase a pour but d’établir le niveau d’intervention global et de déterminer s’il faut recourir aux organes de gouvernance du PGEC GC ou du PFIU.

En ce qui concerne le volet évaluation de cette phase :

  • l’ÉRIC GC établit le niveau initial d’intervention global, en consultation avec la DDPI du SCT et d’autres partenaires, en se fondant sur une compilation de l’information produite par les ministères, et elle a recours aux organes de gouvernance compétents prévus par le PGEC GC pour le niveau d’intervention établi.
    • Lorsqu’il faut plus d’information pour pouvoir apprécier le niveau de risque dans l’ensemble du gouvernement :
      • l’ÉRIC GC envoie une DI aux ministères et organismes afin qu’ils procèdent à une évaluation de l’incidence interne;
      • les ministères et organismes effectuent une évaluation de l’incidence interne et envoient les résultats à l’ÉRIC GC dans le délai imparti.

Voici les éléments d’entrée et de sortie de cette phase :

  • Éléments d’entrée
    • Rapports de menaces et de renseignements obtenus des intervenants de la gestion des événements du GC ou de sources externes (fournisseurs, code source libre, etc.)
    • Rapports d’incidents obtenus des intervenants de la gestion des événements du GC, des ministères ou de sources externes
  • Extrants
    • Rapports d’évaluation de l’incidence sur les ministères et sur le gouvernement dans son ensemble
    • Établissement d’un niveau d’intervention global
    • Recensement des événements qui nécessitent une intervention coordonnée dans l’ensemble du gouvernement
    • Recours aux organes de gouvernance du PGEC GC ou du PFIU, s’il y a lieu

4.3 Atténuation et reprise

Graphique représentant la troisième étape du processus, version textuelle ci-dessous :
Atténuation et reprise - Version textuelle

Voir le texte ci-dessous pour la description complète.

La phase Atténuation et reprise a pour but d’atténuer les menaces et les vulnérabilités avant qu’elles ne provoquent d’incident, ou de circonscrire et d’atténuer les effets des incidents survenus. Si les activités de cette phase varient en fonction de la nature de l’événement, elles pourraient comprendre, entre autres choses, l’installation de rustines, la mise en place de mesures préventives, le confinement et l’éradication d’un incident confirmé (qui peuvent comporter une analyse judiciaire), le recours au plan de continuité des activités et au plan de reprise après sinistre (RS) ou encore l’interruption temporaire des services vulnérables. Quel que soit le type d’événement, le but ultime de cette phase est de réduire au minimum les incidences et d’assurer la reprise rapide des activités normales.

Au cours de cette phase, pour tous les événements concernés (à noter que le degré de participation varie en fonction du niveau d’intervention global établi) :

  • la DDPI du SCT assure la coordination stratégique, ce qui peut comprendre l’envoi de conseils stratégiques aux ministères et organismes afin de réduire au minimum l’incidence des événements de cybersécurité sur l’ensemble du GC (p. ex., mise hors service des systèmes d’information vulnérables accessibles au grand public, le recours aux plans RS) (dans le cas des événements de niveau 3 ou lorsque des événements de niveau 2 le nécessitent);
  • le COG assure la coordination stratégique, ce qui peut comprendre l’envoi (par l’intermédiaire de la DDPI du SCT) de conseils stratégiques aux ministères et organismes qui préconisent l’adoption de mesures permettant de réduire au minimum l’incidence des événements de cybersécurité sur l’ensemble du GC (dans le cas uniquement des événements de niveau 4);
  • l’ÉRIC GC assure la coordination opérationnelle, ce qui comprend l’envoi de conseils techniques et d’avis aux ministères et organismes qui préconisent l’adoption de mesures permettant d’atténuer ou de circonscrire l’incidence sur les systèmes des ministères (p. ex., installation de rustines, blocage des adresses IP, etc.) ainsi que le suivi de ces mesures et l’établissement de rapports connexes (tous les événements);
  • le CST met en place des mesures adéquates d’atténuation sur les appareils dont il a la charge (tous les événements);
  • tous les principaux intervenants et les intervenants spécialisés du PGEC GC prodiguent conseils et avis à la lumière des informations obtenues de leurs sources respectives;
  • les ministères et organismes mettent en application (relativement à l’infrastructure qu’ils possèdent) les conseils que l’ÉRIC GC et la DDPI du SCT leur ont donnés, et ce, dans le délai imparti (tous les événements).

De plus, dans le cas d’incidents confirmés (tous les événements de niveau 3+ et certains événements de niveau 2) :

  • l’ÉRIC GC dirige l’élaboration d’un plan de confinement dans l’ensemble du GC, en collaboration avec les intervenants du PGEC GC;
  • le CST, les fournisseurs de services concernés et les ministères et organismes concernés participent à la mise en œuvre du plan de prévention ou de confinement dans leurs secteurs de responsabilité respectifs;
  • en collaboration avec les ministères et organismes et les POCS concernés, le COS de SPC dirige l’enquête et l’analyse judiciaires (y compris la collecte des preuves) des systèmes informatiques dont elle a la charge.

Voici les éléments d’entrée et de sortie de cette phase :

  • Éléments d’entrée
    • Rapports d’incidents et de situation
    • Renseignements de sécurité
    • Résultats de l’analyse judiciaire
    • Autres éléments (politiques, légaux, etc.)
    • Rapports d’évaluations des incidences
    • PCA et plans RS
  • Extrants
    • Plan d’intervention
    • Atténuation de la menace ou de la vulnérabilité (s’il y a lieu)
    • Confinement et éradication de l’incident (s’il y a lieu)
    • Reprise des activités normales
    • Confirmation de la fin de la menace, de la vulnérabilité ou de la menace

4.4 Activité après l’événement

Graphique représentant la quatrième étape du processus, version textuelle ci-dessous :
Activité après l’événement - Version textuelle

Voir le texte ci-dessous pour la description complète.

La phase Activité après l’événement consiste à tirer parti des leçons tirées de chaque événement de cybersécurité afin d’améliorer continuellement le processus de gestion des événements et, par extension, le niveau de sécurité de l’infrastructure du GC dans son ensemble. Cette phase a pour but de clore officiellement la gestion de l’événement de cybersécurité en procédant à une analyse après l’événement, en recensant les leçons apprises (le cas échéant) et en préconisant des changements dans la politique de sécurité ou des améliorations dans l’architecture de sécurité, selon les besoins.

L’importance des efforts et des ressources à consacrer à cette phase varie d’un événement à l’autre. Les événements graves, y compris les incidents confirmés, nécessitent une analyse plus approfondie que ceux d’une gravité moindre. Les événements répétitifs peuvent faire l’objet d’une analyse d’ensemble.

Durant cette phase, pour tous les événements concernés (ou sur demande) :

  • les ministères et organismes concernés établissent leur propre rapport des leçons apprises et leur propre plan d’action et, au besoin, participent aux activités après événement qui se déroulent dans l’ensemble du GC;
  • l’ÉRIC GC recueille les résultats des ministères et établit un rapport, ce qui comprend la chronologie des événements et une analyse de la cause première;
  • la DDPI du SCT établit un rapport des leçons apprises, de même qu’un plan d’action pour le compte du GC et elle contrôle la mise en œuvre des recommandations (événements de niveau 3, ou lorsque des événements de niveau 2 le nécessitent);
  • le COG établit un rapport des leçons apprises, assure la coordination de la production des plans d’action des ministères et contrôle la mise en œuvre des recommandations (dans le cas uniquement des événements de niveau 4);
  • tous les autres intervenants du PGEC GC produisent l’information nécessaire à l’établissement de rapports sur les leçons apprises dans l’ensemble du GC, et ils participent à la mise en œuvre des mesures à prendre dans leur secteur de responsabilité.

Voici les éléments d’entrée et de sortie de cette phase :

  • Éléments d’entrée
    • Examen de la chronologie des événements
    • Examen des procédures d’établissement de rapports et de communication, et de la possibilité qu’offrent les produits
    • Analyse de la cause première
    • Autres éléments importants obtenus des intervenants concernés du PGEC
  • Extrants
    • Rapport des leçons apprises produit par les ministères
    • Rapports du gouvernement du Canada donnant suite à un événement
    • Leçons apprises et plan d’action pour l’ensemble du gouvernement (s’il y a lieu)
    • Recommandations visant à améliorer des instruments de politique ou l’architecture de sécurité de l’organisation

5.0 Établissement de rapports et communication

Graphique représentant la cinquième étape du processus, version textuelle ci-dessous :
Établissement de rapports et communication - Version textuelle

Voir le texte ci-dessous pour la description complète.

Une fois l’événement de cybersécurité détecté, il faut en informer certains intervenants du GC. Il peut s’agir d’acteurs œuvrant au sein même de la structure de gouvernance du PGEC GC ou bien à l’extérieur de cette structure, mais au sein de l’Administration (ce qui inclut les communications entre ministères ou avec les employés), ou d’interlocuteurs de l’extérieur de l’Administration, notamment les médias et le grand public. L’information et la communication en continu (que ce soit sur une base périodique ou ponctuelle) jouent un rôle crucial dans le processus de gestion des cyberévénements, car elles permettent de tenir au fait de la situation les acteurs concernés afin qu’ils puissent prendre des décisions en toute connaissance de cause et qu’ils soient au courant des incidences éventuelles sur les programmes et services du GC.

Sont décrits ci-après les produits liés à l’établissement de rapports et à la communication à diffuser pendant le cycle de gestion des événements du GC, ainsi que les obligations particulières en matière d’établissement de rapports par les ministères et les organismes.

5.1 Établissement de rapports et communication dans l’ensemble du gouvernement

L’établissement de rapports et la communication dans l’ensemble du gouvernement s’effectuent comme suit :

  • La division CSAM du SCT coordonne la préparation de la stratégie de communication, et elle prépare et publie les documents de communication externe (conformément au cadre des communications relatives à la cybersécurité du SCTVoir la note en bas de page 1) qui sont requis durant le cycle de gestion des événements de cybersécurité, en collaboration avec Comm. de SP et avec la division CS du BCP (pour tous les événements qui exigent des communications externes ou une coordination des messages).
  • Les ministères et organismes concernés élaborent leurs propres produits de communication destinés aux clients et aux intervenants ou au grand public (tous les événements, mais avec l’approbation de CSAM du SCT et de la CS du BCP dans le cas des événements de niveau 3 ou 4, conformément au cadre des communications relatives à la cybersécurité du SCTVoir la note en bas de page 1).
  • La DDPI du SCT coordonne la correspondance publiée à la collectivité des DPI et la collectivité des ASM, et elle publie au besoin les rapports destinés à la haute direction tout au long du processus de gestion des événements de cybersécurité (dans le cas des événements de niveau 3 ou 4 ou lorsqu’il faut tenir les intervenants concernés au fait de la situation durant les événements de niveau 2).
  • La DDPI du SCT communique au COG et à la division S et R du BCP les résultats de l’évaluation des incidences sur les opérations dans l’ensemble du gouvernement (dans le cas des événements de niveau 2 ou 3).
  • Sur demande, tout au long du processus de gestion des événements de cybersécurité, le COG publie les rapports, les documents dressant l’état de la situation ainsi que les notes de breffage produites par les organes de gouvernance du PFIU (dans le cas des événements de niveau 3 ou 4 ou lorsqu’il faut tenir au fait de la situation les intervenants concernés durant les événements de niveau 2).
  • Tout au long du processus de gestion des événements de cybersécurité, l’ÉRIC GC coordonne la correspondance publiée auprès de la collectivité opérationnelle (Sécurité de la TI), et elle publie, au besoin, des produits d’information technique (bulletins sur les incidents de cybersécurité, avis, alertes, etc.) et des rapports de situation aux intervenants concernés (tous les événements).
  • Les principaux intervenants et les intervenants spécialisés du PGEC GC veillent à ce que les organismes compétents soient informés de la détection d’une cyberactivité criminelle, terroriste ou militaire (respectivement la GRC, le SCRS et le MDN).
    • L’ÉRIC GC s’occupe d’informer la GRC, le SCRS ou le MDN si l’activité liée à leur mandat respectif est découverte durant la gestion d’un événement.

La figure 6 illustre le flux d’échange d’information. À noter que l’échange d’information aux niveaux inférieurs se poursuit en parallèle à l’échange d’information au niveau supérieur.

Figure 6: Flux d’échange d’information selon le PGEC GC
Graphique représentant le flux d'échange d'information, version textuelle ci-dessous :
Figure 6: Version textuelle

Voir le texte ci-dessus pour la description complète.

5.1.1 Résumé de l’établissement de rapports et de communication

Voici un résume les types de produits d’information et de communication qui sont diffusés dans l’Administration au cours d’un cyberévénement, selon le PGEC GC. L’échange d’information entre les principaux intervenants et les intervenants spécialisés s’effectue conformément aux PON établies. À noter que ce tableau ne tient pas compte de l’échange d’information qui se poursuit au moyen des processus ou des mécanismes existants.

Tableau 1A : Résumé de l’établissement de rapports et de communication
Entre les principaux intervenants et les intervenants spécialisés du PGEC GC
Type Expéditeur(s) Destinataire(s) Moment de la production
Conscience situationnelle (événements de gravité de niveau 2+) ÉRIC GC
  • DDPI du SCT
  • CECM du CST
  • CCRIC de SP
Au fur et à mesure de la disponibilité de nouvelles informations (depuis la détection jusqu’à la clôture de l’événement, en passant l’atténuation et les rapports sur la situation générale).
Événements généraux (de partenaires nationaux ou internationaux) CCRIC de SP GC Au fur et à mesure de la disponibilité de nouvelles informations.
Établissement de rapports sur les événements de cybersécurité
  • COS de SPC
  • CECM du CST
  • GRC
  • SCRS
  • CCRIC de SP
  • MDN/FAC
GC Dès la détection d’un événement malveillant menaçant la sécurité d’un système du GC.
Établissement de rapports spécifiques au mandat Principaux intervenants et intervenants spécialisés du PGEC GC PSG Dès qu’on soupçonne ou détecte un événement de cybersécurité lié à une activité criminelle.
CS Dès qu’on soupçonne ou détecte un événement de cybersécurité lié à une activité terroriste.
MDN Dès qu’on soupçonne ou détecte un événement de cybersécurité lié à la défense nationale.
Incidences sur la qualité des programmes et des services du GC DDPI du SCT
  • S et R du BCP
Au fur et à mesure de la disponibilité de nouvelles informations.
Conscience situationnelle (événements de gravité de niveau 2 seulement) CCRIC de SP
  • COG
Au fur et à mesure de la disponibilité de nouvelles informations (depuis la détection jusqu’à la clôture de l’événement, en passant l’atténuation et les rapports sur la situation générale).
Tableau 1B : Résumé de l’établissement de rapports et de communication
Des principaux intervenants et intervenants spécialisés du PGEC GC aux ministères
Type Expéditeur(s) Destinataire(s) Moment de la production
Notification d’incident ÉRIC GC Ministère concerné
(Équipe de Sécurité de la TI)
Dès la détection ou la notification d’un événement de cybersécurité malveillant.
Bulletins sur les incidents de cybersécurité, alertes, avis ÉRIC GC Tous les ministères
(Équipe Sécurité de la TI)
  • Gravité élevée+ : Dans les 8 heures de la divulgation
  • Gravité moyenne : Dans les 24 heures de la divulgation
  • Gravité faible : Dans les 72 heures de la divulgation
Demande d’intervention ÉRIC GC Tous les ministères
(Équipe Sécurité de la TI)
Au besoin (habituellement lorsque les vulnérabilités sont importantes+ et que l’exposition à l’ensemble du gouvernement est inconnue).
Rapports de situation techniques ÉRIC GC Tous les ministères
(Équipe Sécurité de la TI)
Événements de niveau 2/3/4 : Au besoin
Rapports à la haute direction DDPI du SCT Tous les ministères
(DPI, ASM)
Événements de niveau 2/3/4 : Au besoin
Orientation stratégique générale visant à réduire au minimum l’incidence d’un événement de cybersécurité DDPI du SCT (par l’intermédiaire du DPI du GC) Tous les ministères
(DPI)
  • Événements de niveau 4 : Sur ordre des organes de gouvernance du PFIU
  • Événements de niveau 2 : Au besoin
Documents de communication externe CSAM du SCT Ministère concerné
(Équipe Comm.)
Au besoin
Tous les produits d’information nécessaires CECM du CST CCSNS Au besoin

5.2 Exigences relatives à l’établissement de rapports ministériels

5.2.1 Menaces et vulnérabilités

Lorsque l’ÉRIC GC émet une demande d’intervention (DI), le ministère visé doit établir un rapport sur la menace ou la vulnérabilité en question (se reporter à la section 4.2). Le délai pour une réponse variera selon la nature de la demande d’intervention. Par conséquent, la demande d’intervention précisera le délai imparti pour une réponse. D’ordinaire, on accorde un délai de 24 à 48 heures, selon la nature de l’événement.

Les DI sont toujours envoyées à la boîte aux lettres générale des Opérations de sécurité. Les ministères doivent veiller à ce qu’une procédure soit en place pour assurer la lecture du courrier afin que l’on réponde aux DI dans les plus brefs délais.

5.2.2 Incidents

Tous les incidents de cybersécurité visés par le PGEC GC (veuillez consulter la section 2.3) doivent être déclarés à l’ÉRIC GC à l’aide du formulaire d’établissement de rapports sur les incidents liés du portail Web, conformément aux exigences du tableau 2 ci-dessous. Les mécanismes et les délais d’établissement de rapports varient en fonction de l’importance de l’incidence sur le ministère, calculée selon le procédé décrit à l’annexe  B. L’Éric veille au stockage sécurisé de ces rapports d’incident et ne communique aux autres ministères et organismes que l’information portant sur les techniques de détection ou d’atténuation (p. ex., indicateurs de compromission, identification de sites malveillants, etc.). L’information sensible qui porte sur un ministère particulier n’est pas partagée à l’ensemble du gouvernement.

Tableau 2 : Exigences relatives à l’établissement de rapports liés aux incidents
Importance de l’incidence Rapport d’incident initial Rapport d’incident détaillé Rapport des leçons apprises Sommaire des incidents
Élevée/Très élevée Immédiatement après la détection < 24 heures après la détection < 30 jours après la résolution Tous les trimestres
Moyenne < 1 heure après la détection < 48 heures après la détection < 30 jours après la résolution Tous les trimestres
Faible Sans objet Sans objet Sans objet Tous les trimestres

5.2.3 Exemples d’événements à déclarer

L’ÉRIC GC gère le registre central pour le signalement des événements de cybersécurité au sein du GC. Bien que les infractions mineures puissent être gérées à l’échelle du ministère, la majorité des événements de cybersécurité doivent être signalés à l’ÉRIC GC sans tarder. Les exemples qui suivent, bien qu’incomplets, donnent une indication des types d’événements à déclarer :

  • des messages de courriel suspects ou ciblés avec liens ou pièces jointes que n’ont pu détecter les systèmes de contrôle en place;
  • une activité réseau suspecte ou non autorisée qui s’écarte de la norme;
  • la violation de données ou la compromission ou corruption de l’information;
  • l’introduction intentionnelle ou accidentelle d’un logiciel malveillant dans un réseau;
  • des attaques par déni de service;
  • la défiguration ou la compromission de pages Web ou en ligne, y compris l’utilisation non autorisée de comptes de médias sociaux du GC.

Il faut aussi s’interroger pour savoir si l’événement peut avoir des incidences sur d’autres organisations du GC. Dans le doute, il vaut mieux le déclarer, à tout prendre.

5.2.4 Autre

Si des éléments de preuve laissent présumer l’existence d’une activité criminelle selon le Code criminel du Canada, les ministères et organismes doivent le faire savoir non seulement à l’ÉRIC du GC, mais aussi directement à la GRC ou à la police militaire, selon le cas.

Les ministères doivent aussi le faire savoir à l’ÉRIC GC dès qu’ils constatent qu’ils ont besoin d’une aide supplémentaire à la phase Atténuation et reprise du fait de l’occurrence d’un événement de cybersécurité (p. ex., l’aide de l’ÉRIC GC, du COS de SPC, du CECM du CST, de la GRC, de fournisseurs de services) ou qu’ils ne sont pas en mesure de mettre à exécution les consignes dans le délai imparti.

Les ministères et organismes qui assurent des services à d’autres organisations du GC doivent informer ces bénéficiaires (en plus de l’établissement de rapports réguliers à l’ÉRIC GC) lorsqu’un événement de cybersécurité compromet la qualité de l’information ou du service qu’il leur dispense.

Les équipes Communications des ministères et organismes concernés coordonnent la préparation des produits de communication destinés aux clients/intervenants ou au grand public en collaboration avec la division CSAM du SCT et la division CS du BCP, conformément au cadre des communications relatives à la cybersécurité du SCTVoir la note en bas de page 1.

Advenant une violation de la vie privée, réelle ou présumée, les ministères et organismes doivent intervenir conformément à la Directive sur les pratiques relatives à la protection de la vie privée. Ils doivent aussi prendre connaissance des Lignes directrices sur les atteintes à la vie privée et the Trousse d’outils pour la gestion des atteintes à la vie privée. Ces instruments en matière de protection des renseignements personnels indiquent les causes des cas de violation et donnent des conseils sur la façon d’intervenir et de circonscrire et de gérer les cas de violation de la vie privée, en plus de définir les rôles et responsabilités et de fournir des liens à des documents de référence.

5.3 Sécurisation des communications

Il arrive souvent que, durant le cycle de gestion des événements de cybersécurité (plus particulièrement, durant les phases Détection et évaluation et Atténuation et reprise), des parties aient à s’échanger des informations. Lorsqu’il s’agit d’informations sensibles, qui concernent, par exemple, la vulnérabilité de systèmes informatiques ou l’exfiltration de données, ces intervenants doivent recourir à des méthodes de communication sûres pour transmettre ces informations.

C’est pourquoi tous les intervenants doivent être prêts à envoyer et à recevoir des informations sensibles. Ils doivent également veiller au bon fonctionnement des outils de communication sécurisés (c’est-à-dire, l’infrastructure de données et de technologies vocales sécurisées) et veiller à ce qu’une procédure soit en place avec laquelle le personnel est familiarisé. Les intervenants qui n’ont pas à leur disposition suffisamment d’outils doivent veiller à ce qu’un procédé manuel soit en place pour envoyer et recevoir ces informations et être conscients que ce procédé peut retarder leur réception.

Annexe A – Rôles et responsabilités

Sont décrits ici les rôles et les responsabilités des intervenants du PGEC GC. Ces rôles et responsabilités varient en fonction du type d’événement (menace, vulnérabilité ou incident de sécurité) et de son niveau de priorité.

i. Principaux intervenants de la gestion des événements de cybersécurité

Voici la liste des POCS intervenant dans le processus de gestion des événements de cybersécurité (y compris les menaces et vulnérabilités et les incidents confirmés) et qui répondent aux critères préétablis. Le degré de participation de chaque intervenant est fonction de l’incidence ou de la gravité de l’événement.

Secrétariat du Conseil du Trésor du Canada

Le Secrétariat du Conseil du Trésor du Canada (SCT) assure la surveillance et l’orientation stratégiques du processus de gestion des événements de cybersécurité, veillant à la bonne coordination des événements afin de faciliter la prise de décisions et de réduire au minimum les incidences sur le gouvernement et les pertes pour le GC.

Dans le contexte du PGEC GC, les responsabilités du SCT en matière de surveillance stratégique, déléguées à la DDPI, consistent à :

  • établir, tenir à jour et tester le PGEC GC et les procédures connexes;
  • assurer la coordination stratégique des interventions du GC face aux événements de cybersécurité prioritaires (habituellement les événements de niveau 3, ou lorsque des événements de niveau 2 le nécessitent), ce qui comprend :
    • les fonctions de coprésident et de secrétaire pour toutes les équipes de gouvernance du PGEC GC (y compris les décisions d’escalade et de désescalade en coordination avec SPC );
    • l’évaluation, en collaboration avec l’ÉRIC GC et d’autres partenaires, de l’incidence des cybermenaces, des vulnérabilités et des incidents de sécurité sur l’ensemble des programmes et services du GC, afin de faciliter l’établissement de rapports et l’établissement des priorités dans l’ensemble du gouvernement,
    • la prestation de conseils aux ministères et organismes (par l’entremise du DPI du GC) qui préconisent l’adoption de mesures permettant de réduire au minimum l’incidence des événements de cybersécurité importants sur l’ensemble du gouvernement;
  • prodiguer des conseils stratégiques au CIDG durant les événements de cybersécurité de niveau 4;
  • veiller à ce que la division CSAM obtienne à temps les informations dont elle a besoin pour élaborer des produits de communication;
  • analyser les rapports après événement que produit l’ÉRIC GC, et recenser les leçons apprises dans l’ensemble du gouvernement, s’il y a lieu, afin d’améliorer la politique de sécurité ou l’architecture s’y rapportant.

La CSAM du SCT joue un rôle dans le PGEC GC en ce qui a trait à la communication stratégique, habituellement dans le cas des événements de niveau 3 (ou dans le cas d’autres événements qui le nécessitent). En sa qualité de porte-parole du GC relativement à tous les événements de cybersécurité qui compromettent l’intégrité des programmes et services publics, la CSAM est chargée :

  • de préparer, en collaboration avec la Direction générale des communications de SP et la division CS du BCP, et en consultation avec les équipes Communications des intervenants concernés du PGEC GC, des documents de communication interne (publiés dans l’ensemble du GC) et externe;
  • de déterminer s’il est nécessaire de faire des déclarations publiques (proactives et réactives), et le cas échéant, de choisir le moment;
  • d’approuver tous les plans de communication (communication interne ou destinée aux clients/intervenants ou au grand public), en collaboration avec les organisations concernées et la division CS du BCP.

Services partagés Canada

Services partagés Canada héberge le Centre des opérations du gouvernement (COG), qui comprend l’Équipe de réponse aux incidents cybernétiques du gouvernement du Canada (ÉRIC GC ).

L’ÉRIC assure la coordination de toutes les phases de la gestion des cyberévénements qui ont eu ou peuvent avoir une incidence sur le GC; pour ce faire, elle doit :

  • contrôler les événements de cybersécurité affectant l’infrastructure de SPC et à y faire face (ce qui comprend le périmètre réseau de SPC) et, au besoin, à mettre en œuvre les mesures de prévention et d’atténuation;
  • servir de point de contact central pour la coordination de la gestion des cyberévénements du GC, qu’il s’agisse de la distribution des produits d’information technique ou de la collecte des rapports que les organisations du GC envoient au sujet des événements;
  • assurer la coordination opérationnelle des réponses du GC face à la totalité des événements de cybersécurité, y compris :
    • le contrôle des sources d’information technique (incluant les POCS, les ministères et organismes concernés, les fournisseurs, etc.) afin de détecter les signes précurseurs de cybermenaces, de vulnérabilités ou d’incidents de cybersécurité confirmés,
    • l’émission courante de produits d’information en matière de sécurité qui renferment des conseils techniques d’atténuation (p. ex., alertes, avis, etc.) et des DI à l’intention des ministères et organismes,
    • la collation, le suivi et l’établissement de rapports sur les événements et les réponses aux événements, et la mise en œuvre des moyens techniques d’atténuation,
    • l’évaluation, en collaboration avec l’ÉRIC GC et d’autres partenaires, de l’incidence des cybermenaces, des vulnérabilités et des incidents de sécurité sur l’ensemble des programmes et services du gouvernement, afin de faciliter l’établissement de rapports et l’établissement des priorités dans l’ensemble du gouvernement (en collaboration avec la DDPI du SCT et autres partenaires pertinents),
    • la coordination des efforts en matière de prévention, d’atténuation et de reprise des activités, et la livraison opportune de rapports aux divers intervenants du PGEC GC pour les tenir au fait de la situation,
    • les fonctions de coprésident pour toutes les équipes de gouvernance du PGEC GC (y  compris les décisions d’escalade et de désescalade en coordination avec le SCT).
  • établir des rapports après événement, y compris la chronologie des événements et une analyse de la cause première (d’après les analyses et les rapports sur les leçons apprises produits par les ministères) et les soumettre à la DDPI du SCT et autres organisations concernées, au besoin (p. ex., CST, BCP);
  • assurer une communication bidirectionnelle avec le CCRIC de SP et avec la DDPI du SCT tout au long du cycle de gestion des événements de cybersécurité;
  • vérifier la clôture des événements et en informer les intervenants du PGEC GC concernés;
  • communiquer le cyberrenseignement lié aux enquêtes et fournir des activités de sensibilisation liées aux cybermenaces, aux vulnérabilités et aux techniques d’attaque.

Voici les autres services offerts par le COS de SPC pour appuyer les ministères et organismes à reprendre les activités normales après un événement de cybersécurité, sans toutefois s’y limiter :

  • l’enquête et l’analyse judiciaires, y compris la collecte des preuves et un soutien aux enquêtes;
  • l’analyse de vulnérabilité et la réponse;
  • l’analyse des logiciels malveillants et la réponse.

D’ordinaire, la prestation de ces services est gérée par le COS de SPC, mais, s’il y a lieu, les priorités peuvent être établies conformément à la structure de gouvernance du PGEC GC.

Centre de la sécurité des télécommunications

Le CST, y compris le CECM , élabore, fournit et exploite des moyens et des outils pour la gestion des événements de cybersécurité, et il prodigue des conseils techniques au sein du PGEC GC. Dans le contexte du PGEC GC, le CST est chargé de :

  • détecter, de bloquer ou d’atténuer les cybermenaces visant les réseaux ou les données du GC;
  • établir des rapports et concevoir d’autres produits d’information à l’intention de l’ÉRIC GC, du CCRIC de SP et d’autres intervenants importants du PGEC GC;
  • participer à l’identification des événements de cybersécurité et à leur atténuation, à l’évaluation des risques, à la reprise des activités et aux analyses après événement du GC;
  • sensibiliser le CCSNS à l’état des événements de cybersécurité (dans les systèmes du GC classés secret ou de niveau inférieur);
  • participer aux équipes de gouvernance du PGEC GC à titre de guide et conseiller.

Sécurité publique Canada

SPC héberge le CCRIC, qui est le centre national de coordination en matière de prévention, d’atténuation, de préparation, d’intervention et de reprise des activités après un événement de cybersécurité. De concert avec des partenaires nationaux ou internationaux, le CCRIC s’emploie à répondre aux graves préoccupations en matière de cybersécurité, qui concernent notamment les organisations et les infrastructures essentielles et les administrations publiques provinciales, territoriales ou municipales.

Tandis que l’ÉRIC GC assure la coordination de la gestion des événements de cybersécurité pour le compte du GC, le CCRIC de SP exerce, au sein du PGEC GC, le rôle de conseiller technique auprès des propriétaires et des exploitants d’infrastructures essentielles, en raison de son mandat de coordination nationale. Dans le contexte du PGEC GC, le CCRIC est chargé :

  • de communiquer à l’ÉRIC GC les renseignements et les avertissements qu’il reçoit de la part de partenaires nationaux ou internationaux au sujet de cybermenaces, de vulnérabilités ou d’incidents ; et le COG (veuillez prendre note que le CCRIC sera uniquement responsable de communiquer avec le COG pour les événements jusqu’au niveau 2);
  • communiquer avec les partenaires nationaux et internationaux les données non classées de partenaires du GC (menaces, vulnérabilités, indicateurs, etc.);
  • communiquer des renseignements sur la portée et l’incidence possibles d’un événement donné du point de vue des propriétaires et des exploitants d’infrastructures essentielles canadiennes afin d’assurer une meilleure compréhension des incidences qui ne sont pas directement liées aux systèmes du GC, mais touchent l’intérêt du GC;
  • de participer aux équipes de gouvernance du PGEC GC à titre de guide et de conseiller et comme agent de sensibilisation.

Sécurité publique Canada est chargée de coordonner l’intervention globale du Canada sur les événements de cybersécurité d’importance qui ont une portée nationale au moyen du CCRIC et du COG.

Du point de vue des communications, l’équipe Communications (Comm.) de SP joue elle aussi un rôle durant les événements de cybersécurité d’importance. Dans le contexte du PGEC GC, cette équipe chargée, durant un événement de cybersécurité, d’assister la CSAM du SCT dans la coordination de l’ensemble des activités de communication publique du GC.

ii. Intervenants spécialisés de la gestion des événements de cybersécurité

Voici la liste des POCS spécialisés intervenant dans le processus de gestion des événements de cybersécurité et à qui on fait appel lorsque des cybermenaces ou des incidents confirmés nécessitent une attention spécialisée liée à leur mandat respectif.

Gendarmerie royale du Canada

La GRC est le principal service d’enquête des incidents de cybersécurité de toutes sortes, s’occupant des cybercrimes, réels ou présumés, d’origine non étatique qui touchent à l’infrastructure informatique du GC.

Dans le contexte du PGEC GC, la GRC est chargée de :

  • diriger les enquêtes criminelles dans le cas d’incidents de cybersécurité liés à une activité criminelle non étatique, y compris une activité terroriste;
  • participer aux équipes de gouvernance du PGEC GC à titre de guide et de conseiller, lorsque l’incident de cybersécurité ou la cybermenace le nécessite.

Service canadien du renseignement de sécurité

Le SCRS est le principal service chargé d’enquêter sur les menaces visant les systèmes d’information et les infrastructures essentielles de la part d’intervenants ou de terroristes vivant à l’étranger.

Dans le contexte du PGEC GC, le SCRS est chargé de :

  • diriger les enquêtes dans le cas d’incidents de cybersécurité qui posent une menace pour la sécurité du Canada, d’après la définition qu’en donne la Loi sur le SCRS (comprend le terrorisme et l’espionnage);
  • participer aux équipes de gouvernance du PGEC GC à titre de guide et de conseiller, lorsque l’incident de cybersécurité ou la cybermenace le nécessite.

Ministère de la Défense nationale / Forces armées canadiennes

MDN/FAC est le principal ministère chargé d’intervenir en cas de cybermenaces, de vulnérabilités ou d’incidents de sécurité visant les systèmes militaires. Dans le contexte du PGEC GC, MDN/FAC est chargé :

  • diriger les enquêtes dans le cas de tous les incidents de cybersécurité (au Canada ou à l’étranger) liés à des activités menaçant l’intégrité des systèmes militaires (soit les systèmes qui appuient directement les opérations, de même que les systèmes d’armes);
  • apporter éventuellement de l’aide et de l’assistance à d’autres ministères publics, sur demande;
  • participer aux équipes de gouvernance du PGEC GC à titre de guide et de conseiller, lorsque l’incident de cybersécurité ou la cybermenace le nécessite.

iii. Autres intervenants

Dirigeant principal de l’information du gouvernement du Canada

Le dirigeant principal de l’information du gouvernement du Canada (DPI du GC) défend les intérêts de l’ensemble du gouvernement durant les événements de cybersécurité qui touchent, ou peuvent toucher, l’exécution des programmes et la prestation des services, en abordant des sujets qui comprennent la réponse globale du GC aux événements de cybersécurité et les mesures prises à l’échelle de l’organisation en vue de protéger les systèmes d’information du GC. Le DPI du GC est chargé d’informer le Bureau du SM délégué et les entités de hiérarchie supérieure, comme demandé, en plus de conseiller les comités du SMA sur des questions en lien avec les événements, telles que la sécurité ou le fonctionnement des systèmes et des réseaux informatiques, la prestation des services, et la confiance dans le gouvernement. De plus, il préside un comité composé des DPI des ministères, le CDPI; par l’entremise de ce dernier, le DPI du DC peut émettre des directives à l’intention des DPI des ministères en ce qui concerne les activités de gestion des événements de cybersécurité, en particulier les activités qui favorisent l’atténuation des événements ou la reprise des activités.

Centre des opérations du Canada

Le Centre des opérations du gouvernement (COG), au nom du GC, dirige et appuie la coordination des interventions face à tout type d’événement (c’est-à-dire, pas uniquement les événements de cybersécurité) qui menace les intérêts nationaux. En tout temps, il assure la surveillance, établit des rapports, offre une connaissance de la situation à l’échelle nationale, élabore des évaluations intégrées du risque et de produits d’avertissement, effectue la planification à l’échelle nationale et coordonne une gestion pangouvernementale des interventions. Lors des périodes nécessitant des interventions accrues, d’autres ministères et organismes du gouvernement et des organisations non gouvernementales travaillent de concert avec le COG, sur place ou à distance.

Dans le contexte du PGEC GC, le COG est chargé de :

  • contrôler le déroulement des événements de cybersécurité de niveau 3 au cas où il faudrait consulter l’autorité supérieure; pour ce faire, il doit notamment :
    • préparer, à l’intention des centres des opérations de l’ensemble du gouvernement, des produits d’avertissement et des documents dressant l’état de la situation,
    • établir des plans et procéder à des évaluations des risques,
    • informer les organes de gouvernance du PFIU;
  • coordonner l’intervention globale du gouvernement du Canada au cours des événements de niveau 4, conformément au PFIU.

Bureau du Conseil privé

En sa qualité de principal prestataire de conseils impartiaux au premier ministre et au Cabinet, le Bureau du Conseil privé (BCP), dans son rôle d’organisme central, participe à la formulation et à la mise en œuvre du programme politique du gouvernement et à la coordination des solutions opportunes aux problèmes d’importance nationale, internationale ou intergouvernementale auxquels le gouvernement fait face. À ce titre, l’équipe S et R du BCP joue un rôle de premier plan dans la coordination des interventions générales du gouvernement face aux urgences sécuritaires nationales. Dans le contexte du PGEC GC, la S et R du BCP :

  • appuie le processus décisionnel en veillant à ce que les hauts fonctionnaires soient rapidement informés des incidents de cybersécurité pouvant avoir une importance nationale ou des implications sécuritaires nationales;
  • participe aux équipes de gouvernance du PGEC GC à titre de guide et de conseiller, lorsque l’incident national ou la menace le nécessite.

Du point de vue des communications, l’équipe des Communications stratégiques (CS) du BCP joue elle aussi un rôle durant les événements de cybersécurité d’importance. Dans le contexte du PGEC GC, elle est chargée, durant un événement de cybersécurité, de conseiller le Cabinet et les hauts fonctionnaires du BCP et de coordonner les activités de communication dans l’ensemble du gouvernement en collaboration avec l’équipe Communications de SP, ce qui comprend la gestion des crises.

Comité canadien sur les systèmes nationaux de sécurité

Le Comité canadien sur les systèmes nationaux de sécurité (CCSNS), dont la présidence est assurée par le chef adjoint de la Sécurité de la TI, élabore et gère un plan de gestion global pour assurer la sécurité de ceux des systèmes du GC dont la fiabilité doit être à toute épreuve, à savoir les systèmes nationaux de sécurité (SNS). Le CCSNS gère en parallèle un plan de gestion des urgences qui s’applique à tous les SNS et il peut offrir de la visibilité aux organes de gouvernance du PGEC GC dans des situations qui peuvent aussi avoir des incidences sur les systèmes qui ne font pas partie des SNS. Ces situations peuvent aussi survenir dans le contexte du PGEC GC; le CCSNS profite donc d’un triage bidirectionnel au niveau de la direction et reçoit certains types d’alertes du PGEC GC.

Comité d’intervention des directeurs généraux

Le Comité d’intervention des directeurs généraux (CIDG) est un comité fédéral composé de directeurs généraux qui gèrent les activités d’intervention opérationnelle et qui dirigent, appuient et améliorent la planification des interventions et la coordination des événements menaçant les intérêts nationaux. Dans le contexte du PGEC GC, le CIDG assure l’interface entre les organes de gouvernance du PFIU durant les événements de niveau 4, assurant au besoin la liaison avec les comités du SMA, du SM et du Cabinet.

Partenaires externes

Les ministères et organismes font souvent appel aux services de partenaires de l’extérieur du GC pour assurer la prestation des programmes et services, et notamment des fournisseurs du secteur privé et d’autres ordres de gouvernements. Les partenaires externes sont tenus de gérer les événements de cybersécurité et d’en rendre compte conformément aux stipulations des accords contractuels respectifs des propriétaires des services des ministères.

iv. Ministères et organismes

Les ministères et organismes jouent un rôle clé dans la gestion des événements de cybersécurité dans l’ensemble du gouvernement, qu’ils soient ou non directement concernés par l’événement. Leurs rôles et leurs responsabilités en la matière sont exposés dans le détail dans leurs plans et leurs procédures de gouvernance, lesquels ont pour but d’appuyer la mise en application de la PSG et de ses directives et de ses normes d’application.

Dans le contexte du PGEC GC, les ministères et organismes sont chargés :

  • de déclarer les événements de cybersécurité conformément à la section 5.2 du Plan;
  • de contrôler les produits d’information technique de l’ÉRIC GC et d’évaluer leur applicabilité aux systèmes d’information que gèrent ou que possèdent les ministères;
  • d’analyser l’incidence des cybermenaces, des vulnérabilités et des incidents de sécurité sur leurs programmes et leurs services;
  • de répondre aux DI de l’ÉRIC GC dans les délais impartis;
  • de mettre en œuvre les moyens d’atténuation selon les directives et les consignes des POCS ou des organismes centraux;
  • d’aviser l’ÉRIC GC lorsqu’on a besoin d’aide supplémentaire pour exécuter des activités d’intervention;
  • d’aviser l’autorité compétente chargée de l’application de la loi ou de la sécurité nationale lorsqu’un événement est de son ressort;
  • de participer aux équipes de gouvernance du PGEC GC lorsqu’un coprésident le leur demande (habituellement lorsqu’un événement de cybersécurité les concerne);
  • de suivre le protocole prévu en cas de violation de la vie privée;
  • de réaliser des analyses après événement et de préparer des rapports sur les leçons qu’ils ont apprises (valable pour les événements concernés), et d’en présenter les résultats de l’ÉRIC GC;
  • d’élaborer et de publier des produits de communication appropriés de gestion des intervenants et des clients (en consultation avec CSAM/SCT et CS/BCP ou sous leur direction, au besoin);
  • de veiller à ce que les exigences de la direction et les exigences relatives à l’établissement de rapports liés aux événements de cybersécurité soient clairement stipulées dans les contrats, les protocoles d’entente et les autres accords officiels conclus avec des partenaires externes (p. ex., des fournisseurs du secteur privé et d’autres ordres de gouvernements) et à ce que ces contrats, protocoles et accords tiennent compte des exigences établies dans les instruments de politique applicables du GC et des ministères, ainsi que dans le PGEC GC, entre autres instruments;
  • d’élaborer, de tenir à jour et de mettre à l’essai des plans et des procédés de gestion des événements de cybersécurité, et d’en assurer l’harmonisation avec les directives, les plans et les procédés en place dans l’ensemble du gouvernement;
  • de tenir à jour un inventaire des systèmes d’information essentiels à la réalisation de la mission ainsi qu’un fonds de données, afin de faciliter les interventions ou l’établissement des priorités;
  • de tenir à jour et d’améliorer continuellement leur capacité d’intervention, y compris, notamment, la mise en application des leçons apprises (dans le ministère et dans l’ensemble du gouvernement), la mise en pratique périodique de leurs plans et procédures, la tenue à jour de listes de personnes-ressources internes, et la formation adéquate du personnel chargé d’intervenir en cas d’événement de cybersécurité.

Les ministères et organismes qui dispensent des services à d’autres organisations du GC doivent établir des mécanismes afin d’informer leurs bénéficiaires des événements de cybersécurité qui ont une incidence sur leurs systèmes ou leurs données Les fournisseurs de service doivent aussi fournir aux bénéficiaires les données dont ils ont besoin pour répondre en temps voulu aux exigences relatives à l’établissement de rapports énoncées à la setion 5.2 du PGEC GC (plus précisément, pour appuyer la réalisation des rapports d’incidents et des réponses aux DI), ainsi que toutes autres données numériques nécessaires à la réalisation des activités d’atténuation ou de reprise ou des activités après événement.

Annex B – Évaluation de l’incidence des événements sur les ministères

Le processus général qui suit sert à évaluer l’incidence d’un événement de cybersécurité sur un ministère, ce qui permettra en fin de compte au GC d’en déterminer l’incidence sur l’ensemble des ministères et ainsi être en mesure d’intervenir de manière adéquate dans l’ensemble du gouvernement.

Quel que soit le type d’événements de cybersécurité (menaces, vulnérabilités ou incidents confirmés), l’évaluation de leur incidence commence par un test de préjudice permettant de mesurer le degré de préjudice qui pourrait vraisemblablement découler d’une compromission (se reporter à l’étape 1 ci -dessous). Dans le cas d’incidents de sécurité confirmés, le résultat de ce test représente l’incidence de l’incident, puisque le préjudice a été confirmé, et le processus s’arrête là.

Dans le cas de cybermenaces ou de vulnérabilités, il faut franchir une autre étape avant de pouvoir déterminer la probabilité d’occurrence d’un préjudice et ainsi obtenir une idée précise de l’éventuelle incidence sur un ministère (veuillez consulter l’étape 2).

Étape 1 (pour tous les types d’événements de cybersécurité) : Test de préjudice

Le test de préjudice, qui s’effectue selon le tableau 3 ci-dessous, est fonction de la gravité et de l’étendue du préjudice qui pourrait vraisemblablement survenir.

Gravité : La gravité du préjudice réfère à l’importance des dommages ou des pertes (p. ex., depuis les dommages corporels jusqu’au décès, depuis les pertes financières négligeables jusqu’à la perte de viabilité, depuis les faibles ennuis jusqu’aux énormes difficultés). Elle peut être caractérisée de mineure, importante ou extrême, selon l’évaluation des types suivants de préjudice :

  • nuisible à la santé ou à la sécurité des personnes;
  • pertes financières ou difficultés économiques;
  • incidences sur les programmes ou les services publics;
  • menace pour l’ordre public ou pour la souveraineté nationale;
  • nuisible à la réputation ou aux relations.

Peuvent aussi entrer en ligne de compte d’autres facteurs particuliers au mandat du ministère ou de l’organisme ou au contexte opérationnel.

Étendue : L’étendue du préjudice réfère au nombre de personnes, d’organisations, d’installations ou de systèmes touchés, à la région géographique concernée (p. ex., préjudice localisé ou répandu) ou encore à la durée du préjudice (p. ex., de court ou de long terme). L’étendue peut être caractérisée de :

  • grande : le préjudice est répandu; est national ou international; s’étale à plusieurs pays ou juridictions; affecte d’importants programmes ou secteurs publics;
  • moyenne : le préjudice concerne une juridiction, un secteur d’activité, un programme public; un groupe ou une collectivité;
  • faible : le préjudice concerne un particulier, une petite entreprise.
Tableau 3 : Test de préjudice
  Étendue
Faible Moyenne Grande
Gravité Extrême Moyen Élevé Très élevé
Importante Faible Moyen Élevé
Mineure Faible Faible Moyen
Niveau de l’incidence sur le ministère [Resultat du test de préjudice]

Le tableau 4 qui suit permet d’analyser les conséquences possibles d’une compromission et de valider les résultats du test de préjudice initial. Une fois confirmée, cette valeur peut être inscrite dans le rapport d’incident et soumise à l’ÉRIC GC.

Tableau 4 : Conséquences prévues d’une compromission
Incidence Conséquences d’une compromission
Très élevé
  • Nombreuses pertes de vie.
  • Lourde perte à long terme pour l’économie canadienne.
  • Brèche majeure dans la sécurité nationale (p. ex., compromet la capacité d’intervention des FAC ou les activités de renseignement nationales).
  • Très graves nuisances aux relations diplomatiques ou internationales.
  • Perte de confiance à long terme de la population dans le GC, ce qui nuit à la stabilité du gouvernement.
Élevé
  • Blessés très graves ou décès parmi un groupe de personnes, ou nombreux blessés graves.
  • Perte financière grave qui nuit à l’économie canadienne, qui compromet la viabilité d’un programme public ou qui réduit la compétitivité à l’échelle internationale.
  • Sérieux obstacle à la réalisation d’un ou de plusieurs programmes et services essentiels à la réalisation de la mission, ou brèche importante dans la sécurité nationale.
  • Graves nuisances aux relations internationales qui pourraient être suivies d’une protestation ou d’une sanction officielle.
  • Perte de confiance à long terme de la population dans le GC, ce qui nuit à la réalisation d’un objectif prioritaire du gouvernement.
Moyenne
  • Menace pour la sécurité ou la vie d’une personne, ou blessés graves parmi un groupe de personnes.
  • Perte financière qui nuit au rendement de tout un secteur de l’économie, qui compromet la réalisation des objectifs d’un programme public ou qui nuit au bien-être d’un grand nombre de Canadiens.
  • Sérieux obstacle à la réalisation de programmes ou de services accessibles au grand public, ou au bon fonctionnement d’un ministère, ce qui compromet gravement la réalisation des objectifs.
  • Nuisances aux relations fédérales-provinciales.
  • Importante perte de confiance de la population dans le GC ou embarras pour le GC.
Faible
  • Dommage physique ou psychologique subi par une personne.
  • Stress financier ou difficultés financières subis par une personne.
  • Obstacle au bon fonctionnement d’un ministère qui pourrait avoir une faible incidence sur l’efficacité d’un programme.
  • Nuisance à la réputation d’un particulier ou d’une entreprise.
  • Légère perte de confiance de la population dans le GC.

Étape 2 (dans le cas uniquement des cybermenaces ou des vulnérabilités) : Évaluation du risque

À la différence des incidents de sécurité confirmés, dont le préjudice a été constaté, les autres cyberévénements que sont les cybermenaces et les vulnérabilités représentent un préjudice qui est encore à l’état de potentialité. C’est pourquoi, lorsque l’on souhaite établir avec précision le niveau d’incidence potentiel, il faut procéder à une évaluation du risque (à l’aide du tableau 5 ci-dessous) afin de déterminer la probabilité d’occurrence du préjudice. En se fondant sur les résultats du test de préjudice réalisé à l’étape 1 (c’est-à-dire, le préjudice prévu), on détermine le niveau de l’incidence sur le ministère, corrigé du risque, en fonction de facteurs tels que des indicateurs (probabilité de compromission), l’exploitabilité, l’exposition des systèmes d’information concernés ou l’implémentation de contrôles compensatoires.

Tableau 5 : Évaluation du risque
  Exposition
Faible Moyenne Élevée Très élevée
  • Faible probabilité que la menace frappe le GC.
  • Vulnérabilité très difficile à exploiter.
  • Les systèmes vulnérables ne sont pas directement exposés (p. ex., systèmes autonomes).
  • Les contrôles de sécurité en place offrent une protection efficace contre la menace ou la vulnérabilité.
  • Probabilité moyenne que la menace frappe le GC.
  • Vulnérabilité exploitable avec d’importantes ressources.
  • Les systèmes vulnérables sont accessibles par un seul ministère (c’est-à-dire, intranet).
  • Les contrôles de sécurité en place offrent une protection partielle contre la menace ou la vulnérabilité.
  • Forte probabilité que la menace frappe le GC.
  • Vulnérabilité exploitable avec des ressources en quantité modérée.
  • Les systèmes vulnérables sont accessibles par de nombreux ministères (p. ex., extranet du GC).
  • Les contrôles de sécurité en place offrent peu de protection contre la menace ou la vulnérabilité.
  • Menace ou compromission imminente.
  • Vulnérabilité facilement exploitable avec peu de ressources.
  • Les systèmes vulnérables sont fortement exposés (p. ex., par Internet).
  • Les contrôles de sécurité en place n’offrent aucune protection contre la menace ou la vulnérabilité.
Importance de l’incidence (selon le test de préjudice réalisé à l’étape 1) Très élevé Élevé Élevé Élevé Très élevé
Élevé Moyen Moyen Élevé Élevé
Moyen Faible Medium Moyen Moyen
Faible Faible Faible Faible Faible
Niveau d’incidence sur le ministère, corrigé du risque [Resultat de l’évaluation du risque]

Le niveau d’incidence sur le ministère, après correction du risque, doit être communiqué à l’ÉRIC GC (lorsque l’on a reçu une DI), qui s’en servira à des fins globales.

Les cybermenaces ou les vulnérabilités doivent être considérées comme des incidents de cybersécurité dès la constatation du préjudice. Lorsqu’un préjudice passe de l’état de potentialité à celui de réalité, le test de préjudice évoqué précédemment devra faire l’objet d’une réévaluation, et ses résultats communiqués de nouveau à l’ÉRIC GC, qui devra déterminer s’il y a lieu d’intervenir autrement ou de s’en référer à l’autorité supérieure.

Annex C – Matrice de calcul du niveau d’intervention (pour l’ensemble du gouvernement)

En se fondant sur la compilation des résultats des évaluations de l’incidence que les ministères font parvenir à l’ÉRIC GC, le calcul du niveau d’intervention tient compte du niveau d’urgence dans l’ensemble du GC face au cyberévénement, selon le tableau  6 ci-dessous.

Tableau 6 : Niveaux d’intervention globaux
  Niveau d’urgence au sein du GC
Faible Moyen Élevé
  • Concerne un programme/service interne du GC
  • Peu probable que l’événement se propage
  • Concerne un programme/service externe du GC ou plusieurs programmes/services internes
  • Possibilité de propagation
  • Concerne un grand nombre de programmes/services internes et externes
  • Propagation imminente/confirmée
Importance de l’incidence
(selon l’ annexe B )
Très élevé Niveau 3 Niveau 3 Niveau 4
Élevé Niveau 2 Niveau 2 Niveau 3
Moyen Niveau 1 Niveau 2 Niveau 2
Faible Niveau 1 Niveau 1 Niveau 1
Niveau d’intervention global [Niveau d’intervention global calculé]

Cette matrice se veut un guide de calculé. Au moment de déterminer le niveau d’intervention global, il faudra aussi considérer les incidences de l’événement et d’autres facteurs. C’est pourquoi la DDPI du SCT se réserve le droit de modifier ce niveau en fonction du contexte du scénario du cyberévénement.

© Sa Majesté la Reine du chef du Canada, représentée par le président du Conseil du Trésor, 2018,
ISBN : 978-0-660-24006-0

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :