Choses à savoir
Le cadre de sécurité du gouvernement du Canada est énoncé dans la Politique sur la sécurité du gouvernement.
Les lignes directrices du gouvernement fédéral établies à l’intention des organisations et portant sur les normes et procédures de sécurité sont publiées dans le Manuel de la sécurité industrielle. Les organisations inscrites au Programme de la sécurité des contrats doivent se conformer aux critères de sécurité prescrits dans ce manuel.
Les exigences en matière de sécurité des contrats sont précisées dans la liste de vérification relative à la sécurité (LVRS) qui accompagne les documents d’appel d’offres et le contrat subséquent, et sont intégrées dans une ou plusieurs dispositions du contrat.
Les exigences en matière de sécurité varient en fonction de la classification des données. Le gouvernement du Canada a adopté un système de classification des données à huit niveaux de sécurité : Protégé, Protégé A, Protégé B, Protégé C, Classifié, Confidentiel, Secret et Très Secret.
Les attestations de sécurité se divisent en deux catégories générales : (i) les attestations des organisations; et (ii) les attestations des membres du personnel. Les documents d’approvisionnement du gouvernement et les contrats qui en découlent précisent les attestations de sécurité qu’un fournisseur (et ses sous-traitants autorisés) doit détenir.
Le Secrétariat du Conseil du Trésor a publié une Orientation relative à la résidence des données électroniques, aux termes de laquelle toutes les données électroniques de nature délicate sous contrôle gouvernemental, qui ont été classées dans la catégorie « Protégé B », « Protégé C » ou « Classifiées », doivent être stockées dans une installation informatique approuvée par le gouvernement située dans les frontières géographiques du Canada ou dans les locaux d’un ministère du gouvernement situé à l’étranger, comme une mission diplomatique ou consulaire. Cela ne signifie pas que le pays d’origine des fournisseurs de services de TI doit être le Canada, mais signifie plutôt que ces fournisseurs de services doivent assurer le stockage des données à l’intérieur des limites ou des locaux décrits ci-dessus.
Toutes les données électroniques du gouvernement des catégories « Protégé B », « Protégé C » et « Classifiées » en transit doivent être chiffrées lorsqu’elles sont transmises hors des zones de travail et des zones de sécurité contrôlées par le gouvernement du Canada ou à l’étranger.
D’autres exigences de la politique sont énoncées dans l’Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS).