Choses à savoir
Le cadre de sécurité du gouvernement du Canada est énoncé dans la Politique sur la sécurité du gouvernement.
Les lignes directrices du gouvernement fédéral établies à l’intention des organisations et portant sur les normes et procédures de sécurité sont publiées dans le Manuel de la sécurité des contrats. Les organisations inscrites au Programme de la sécurité des contrats doivent se conformer aux critères de sécurité prescrits dans ce manuel.
Les exigences en matière de sécurité des contrats sont précisées dans la liste de vérification relative à la sécurité (LVRS) qui accompagne les documents d’appel d’offres et le contrat subséquent, et sont intégrées dans une ou plusieurs dispositions du contrat.
Les exigences en matière de sécurité varient en fonction de la classification des données. Le gouvernement du Canada a adopté un système de classification des données à huit niveaux de sécurité : Protégé, Protégé A, Protégé B, Protégé C, Classifié, Confidentiel, Secret et Très Secret.
Les attestations de sécurité se divisent en deux catégories générales : (i) les attestations des organisations; et (ii) les attestations des membres du personnel. Les documents d’approvisionnement du gouvernement et les contrats qui en découlent précisent les attestations de sécurité qu’un fournisseur (et ses sous-traitants autorisés) doit détenir.
Le Secrétariat du Conseil du Trésor a publié la Directive sur les services et le numérique qui traite de l’emplacement des données gouvernementales. Dans le cas des services infonuagiques, les ministères sont tenus de veiller à que les installations informatiques situées à l’intérieur des frontières géographiques du Canada ou dans des locaux à l’étranger appartenant à un ministère du gouvernement du Canada soient considérées et évaluées en tant qu’option principale pour la prestation de services impliquant toute l’information et toutes les données électroniques délicates sous le contrôle du gouvernement qui est classée Protégé B, C ou Classifié. La Ligne directrice sur les services et le numérique indique que le DPI ministériel est chargé d’approuver les décisions ministérielles de stocker des données à l’extérieur du Canada.
Toutes les données électroniques du gouvernement des catégories « Protégé B », « Protégé C » et « Classifiées » en transit doivent être chiffrées lorsqu’elles sont transmises hors des zones de travail et des zones de sécurité contrôlées par le gouvernement du Canada ou à l’étranger.
D’autres exigences de la politique sont énoncées dans l’Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS).
Choses à faire
- Prendre des mesures administratives de manière à bien saisir la portée des exigences du gouvernement du Canada en matière de sécurité et à s’y préparer et s’y conformer, y compris en ce qui concerne les attestations requises pour l’exécution des travaux envisagés.
- Examiner attentivement les documents d’approvisionnement pour connaître la classification de l’information devant être traitée, afin de s’assurer que les exigences techniques en matière de sécurité, de résidence des données et d’attestation sont en place ou peuvent l’être avant de recevoir toute information du gouvernement du Canada aux termes du contrat.