Archivée [2009-07-06] - Politique sur la Sécurité
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
1. Date d'entrée en vigueur
Le 1er février 2002
2. Préambule
Le Gouvernement du Canada dépend de son personnel et de ses biens afin de fournir les services qui protègent la santé, la sécurité et le bien-être économique des Canadiens et des Canadiennes. Il doit gérer ces ressources avec une diligence raisonnable et prendre les mesures appropriées pour les sauvegarder de tout préjudice.
Les menaces qui peuvent causer préjudice au personnel et aux biens du gouvernement, au Canada et à l'étranger, comprennent la violence envers les employés, l'accès non autorisé, le vol, la fraude, le vandalisme, les incendies, les catastrophes naturelles, les défaillances techniques et les dommages fortuits. Les menaces de « cyberattaques » et les actes malveillants par Internet sont courants et peuvent beaucoup nuire aux services électroniques et aux infrastructures essentielles. Les menaces à l'intérêt national dont les activités criminelles transnationales, de terrorisme et de services étrangers du renseignement continuent à évoluer selon les changements à l'échelle internationale.
La Politique du gouvernement sur la sécurité prescrit l'application de mesures de sauvegarde pour réduire le risque de préjudice. Elle est conçue pour protéger les employés, préserver la confidentialité, la disponibilité, l'intégrité et la valeur des biens, et assurer la prestation continue de services. Puisque le Gouvernement du Canada se fie beaucoup aux technologies de l'information (TI) pour sa prestation de services, cette politique souligne l'importance pour les ministères de surveiller leurs opérations électroniques.
Cette politique est complémentaire aux autres politiques du Conseil du Trésor pour la gestion des ressources humaines (p. ex. harcèlement, santé et sécurité au travail), des langues officielles, des renseignements, du matériel, des biens immobiliers et des ressources financières.
3. Objectif de la politique
Soutenir l'intérêt national et les objectifs opérationnels du Gouvernement du Canada en assurant la sauvegarde des employés et des biens, ainsi que la prestation continue des services.
4. Énoncé de la politique
On doit sauvegarder les employés sous menace de violence selon des exigences sécuritaires de base et une gestion continue des risques pour la sécurité.
On doit sauvegarder les biens selon des exigences sécuritaires de base et une gestion continue des risques pour la sécurité.
On doit assurer la prestation continue des services selon des exigences sécuritaires de base dont la planification de la continuité opérationnelle, et une gestion continue des risques pour la sécurité.
5. Application
La présente politique s'applique à tous les ministères énumérés aux annexes I, I.1 et II de la Loi sur la gestion des finances publiques (LGFP).
Elle s'applique également aux institutions suivantes :
- toute commission crée en vertu de la Loi sur les enquêtes et nommée par décret du gouverneur en conseil comme ministère aux fins de la LGFP;
- les Forces canadiennes avec la condition que toute référence aux employés dans cette politique ne comprend pas les membres des Forces canadiennes.
Certains organismes et sociétés d'État peuvent conclure des ententes avec le Secrétariat du Conseil du Trésor du Canada afin d'adopter les exigences de cette politique et les appliquer à leur organisation.
6. Responsabilisation
Les administrateurs généraux ont l'obligation de rendre compte de la sauvegarde des employés et des biens relevant de leur secteur de responsabilité, et de la mise en œuvre de la présente politique. Dans le contexte du Ministère de la défense nationale, les administrateurs généraux comprennent le Sous-ministre de la Défense nationale et le Chef d'état-major des forces canadiennes, selon le cas.
7. Responsabilités et cadre de gestion
Voir l'annexe A.
8. Définitions
Voir l'annexe B.
9. Documents à l'appui de la politique
Cette politique est appuyée par :
- Des normes opérationnelles de sécurité approuvées par le Secrétaire du Conseil du Trésor. Ces normes contiennent des mesures obligatoires et recommandées pour diriger et guider la mise en œuvre de la politique.
- De la documentation technique complémentaire aux normes opérationnelles, produite sous la direction et la coordination du Secrétariat du Conseil du Trésor du Canada. Elle inclut des normes techniques de sécurité, des spécifications, des pratiques exemplaires et des lignes directrices développées et émises par les ministères responsables en matière de sécurité.
10. Exigences
Les ministères doivent satisfaire aux exigences de base de cette politique, des normes opérationnelles de sécurité et de la documentation technique. Ces exigences se fondent sur des évaluations intégrées des menaces et des risques concernant l'intérêt national, les employés et les biens du gouvernement. Selon leurs propres évaluations des menaces et des risques, les ministères doivent déterminer la nécessité de mesures au-delà des exigences de base.
Les exigences de cette politique supportent d'autres mesures gouvernementales sur la gestion des situations d'urgence (p. ex. incendies, alertes à la bombe, matières dangereuses, pannes d'électricité, évacuations, urgences civiles).
Le Gouvernement du Canada peut donner instruction aux ministères de resserrer les mesures de sécurité en cas d'urgence et de menace accrue.
10.1 Programme de sécurité
Les ministères doivent nommer un agent de sécurité du ministère (ASM) chargé d'établir et de diriger un programme de sécurité qui assure la coordination de toutes les fonctions de la politique et la mise en œuvre de ses exigences. Ces fonctions comprennent l'administration générale (p. ex. procédures du ministère, formation et sensibilisation, identification des biens, gestion des risques pour la sécurité, partage des renseignements et des biens), le contrôle de l'accès, les vérifications de fiabilité et de sécurité, la sécurité matérielle, la protection des employés, la sécurité des technologies de l'information, la sécurité en cas d'urgence et de menace accrue, la planification de la continuité opérationnelle, la sécurité des marchés et les enquêtes sur les incidents de sécurité.
Étant donné l'importance de ce rôle, il faudrait que l'agent de sécurité du ministère ait suffisamment d'expérience en matière de sécurité et qu'il occupe un poste stratégique au sein de l'organisation de sorte à pouvoir fournir des conseils et une orientation stratégique aux cadres supérieurs de celle-ci.
10.2 Partage de renseignements et d'autres biens
Les ministères doivent appliquer cette politique lors du partage de renseignements et d'autres biens du Gouvernement du Canada avec d'autres gouvernements (p. ex. étrangers, provinciaux, territoriaux et municipaux), des organismes internationaux, des établissements d'enseignement et des organismes du secteur privé. Ils doivent à cet effet établir des arrangements qui exposent les grandes lignes des responsabilités en matière de sécurité, les mesures de sauvegarde à prendre et les modalités de la participation continue.
Les ministères doivent prendre soin des renseignements et autres biens reçus d'autres gouvernements (p. ex. étrangers, provinciaux, territoriaux et municipaux), des organismes internationaux (p. ex. l'OTAN), des établissements d'enseignement et des organismes du secteur privé, conformément aux accords ou arrangements conclus avec eux.
Les ministères qui partagent l'infrastructure commune de gestion de l'information et des technologies de l'information pour la prestation de services en ligne ou pour d'autres besoins doivent respecter toutes les normes de sécurité établies pour cette infrastructure.
10.3 Sécurité à l'extérieur du Canada
Dans des endroits particuliers à l'extérieur du Canada, il peut être difficile d'appliquer certaines exigences de cette politique. En de tels cas, des dispositions spéciales peuvent être formulées, de concert avec le ministère des Affaires étrangères et du Commerce international.
Dans les endroits particulièrement dangereux, il peut y avoir des restrictions sur les activités personnelles. Tous les employés, à moins d'occuper un poste diplomatique et d'être sous les conventions de Vienne, sont automatiquement assujettis aux lois et aux règlements de l'endroit où ils se trouvent. Les employés peuvent obtenir des avis de voyage et des renseignements spécifiques quant à la sécurité et aux restrictions en communiquant avec le ministère des Affaires étrangères et du Commerce international ou avec l'ambassade canadienne la plus proche. Les diplomates doivent être conscients que les infractions sérieuses aux lois étrangères peuvent, selon la loi canadienne, être traitées en justice au Canada.
10.4 Gestion des marchés
La présente politique s'applique autant au processus de gestion des marchés qu'aux opérations internes du gouvernement. L'autorité contractante, qu'il s'agisse du ministère des Travaux publics et des Services gouvernementaux ou d'un autre ministère, doit satisfaire aux exigences de la politique, des normes sur la sécurité des marchés et de la documentation technique.
L'autorité contractante doit :
- assujettir les entrepreneurs qui ont accès à l'information et aux biens protégés et classifiés aux vérifications de fiabilité et de sécurité, tel que spécifié dans les normes de sécurité;
- sauvegarder les biens du gouvernement, y compris les systèmes des TI;
- préciser dans les documents relatifs aux marchés les dispositions nécessaires en matière de sécurité.
10.5 Formation et sensibilisation
Les ministères doivent :
- assurer la formation de manière appropriée et actualisée des personnes chargées de tâches précises en matière de sécurité;
- avoir un programme de sensibilisation en matière de sécurité pour informer les personnes de leurs responsabilités en matière de sécurité et pour leur faire des rappels périodiques à cet égard;
- informer les personnes des privilèges d'accès et des limites reliées à leur cote de sécurité avant qu'elles assument leurs fonctions et lors du renouvellement de leur cote.
10.6 Identification des biens
Confidentialité
Les ministères doivent identifier les renseignements et autres biens dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice, au sens des dispositions particulières de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels,
- à l'intérêt national. De tels renseignements sont classifiés. On doit les catégoriser et les marquer selon le degré de préjudice potentiel (préjudice : « Confidentiel », préjudice sérieux : « Secret », préjudice exceptionnellement grave : « Très Secret »);
- à des intérêts privés ou non reliés à l'intérêt national. De tels renseignements sont protégés et doivent être catégorisés et marqués selon le degré de préjudice potentiel (bas : « Protégé A »; moyen : « Protégé B », élevé : « Protégé C »).
Disponibilité, intégrité et valeur
Les ministères doivent identifier et catégoriser les biens, notamment les services essentiels, selon le degré de préjudice (bas, moyen ou élevé) qui pourrait vraisemblablement résulter d'un compromis à leur disponibilité ou à leur intégrité. Ils doivent considérer la valeur (p. ex. monétaire, reliée au patrimoine) des biens pour déterminer le degré de préjudice. Afin d'indiquer le niveau de protection requis, les ministères devraient envisager de marquer les biens en fonction de leur disponibilité et de leur intégrité.
10.7 Gestion des risques pour la sécurité
Les ministères doivent effectuer des évaluations des menaces et des risques pour déterminer la nécessité d'aller au-delà des mesures sécuritaires de base. Ils doivent continuellement être aux aguets de tout changement aux menaces et faire les ajustements nécessaires au maintien d'un niveau de risque acceptable et d'un équilibre entre les besoins opérationnels et la sécurité.
Les évaluations des menaces et des risques comprennent les activités suivantes :
- déterminer le champ d'application de l'évaluation et identifier les employés et les biens à sauvegarder (voir sections 10.6 et 10.10);
- identifier les menaces envers les employés et les biens au Canada et à l'étranger, et évaluer la probabilité qu'elles se concrétisent et leur incidence;
- évaluer les risques en fonction de la pertinence des mesures de sauvegarde existantes et des vulnérabilités;
- mettre en œuvre toute mesure supplémentaire qui réduira les risques à un niveau acceptable.
10.8 Limites à l'accès
Les ministères doivent limiter l'accès aux renseignements classifiés et protégés et autres biens aux seules personnes qui ont besoin de les connaître et qui ont la cote de fiabilité ou de sécurité appropriée. Ils doivent, dans la mesure nécessaire, limiter l'accès à d'autres biens exigeant des mesures de sauvegarde supplémentaires pour des raisons de disponibilité, d'intégrité ou de valeur. Ceci inclue l'assurance qu'aucune personne a le contrôle unique de tous les aspects d'un processus ou d'un système.
10.9 Vérifications de fiabilité et de sécurité
Le Gouvernement du Canada doit s'assurer que les individus qui ont accès à ses renseignements et biens sont fiables et dignes de confiance. Pour ce qui touche à la sécurité nationale, le gouvernement doit vérifier la loyauté de ces personnes envers le Canada afin de se protéger du terrorisme et de la collecte de renseignements par des puissances étrangères. On doit tout particulièrement veiller à assurer la fiabilité et la loyauté continuelles de ces personnes et à prévenir tout acte malveillant et toute divulgation non autorisée de renseignements classifiés et protégés causés par le mécontentement de personnes en poste de confiance.
Les ministères doivent s'assurer qu'avant leur entrée en fonction, les personnes qui ont besoin d'avoir :
- accès aux biens du gouvernement (sauf les personnes nommées par le gouverneur en conseil) font l'objet d'une vérification de la fiabilité et obtiennent une cote de fiabilité;
- accès à des renseignements et biens classifiés ont une cote valide de fiabilité, font l'objet d'une vérification de sécurité et obtiennent une cote de sécurité au niveau approprié. Ceci comprend les ressortissants étrangers qui visitent ou travaillent dans un ministère. On peut imposer certaines restrictions à une cote de sécurité selon la norme relative à cette section.
- accès aux installations essentielles à l'intérêt national ou aux zones à accès restreint des événements majeurs, font l'objet des vérifications appropriées et obtiennent une cote spéciale d'accès. Les ministères doivent obtenir l'approbation du Secrétariat du Conseil du Trésor du Canada pour mettre en place des programmes de cotes spéciales d'accès.
Les ministères doivent aussi :
- obtenir le consentement écrit de la personne visée avant de commencer toute vérification;
- la traiter de façon juste et équitable, et lui donner l'occasion d'expliquer tout point défavorable avant qu'une décision soit prise;
- l'informer de ses droits touchant le réexamen et le recours en cas de refus, de suspension ou de révocation d'une cote;
- assurer que les gestionnaires restent vigilants, une fois une cote accordée, et donnent suite à tout renseignement qui éveillerait des doutes quant à la fiabilité et à la loyauté de la personne visée;
- refaire régulièrement les vérifications appropriées et renouveler les cotes;
- revoir, révoquer, suspendre ou déclasser pour un motif valable une cote précédemment accordée.
Un gestionnaire délégataire a le pouvoir d'accorder ou de refuser une cote de fiabilité. L'ASM peut octroyer une cote de sécurité au nom de l'administrateur général. Seul ce dernier peut refuser, révoquer ou suspendre une cote de sécurité. Il doit consulter le Bureau du Conseil privé concernant tout désaccord avec une recommandation du Comité de surveillance des activités de renseignements de sécurité quant à la cote de sécurité. L'administrateur général doit également consulter le Bureau du Conseil privé concernant toute décision de recommander au gouverneur en conseil la suspension ou le congédiement d'une personne suite au refus, à la révocation ou à la suspension d'une cote de sécurité.
Les ministères doivent obtenir l'approbation du Secrétariat du Conseil du Trésor du Canada concernant toute proposition de faire des vérifications impliquant un recouvrement des coûts.
10.10 Protection des employés
Les ministères sont responsables de la santé et de la sécurité des employés au travail en vertu de la partie II du Code canadien du travail et des politiques du Conseil du Trésor. Cette responsabilité s'étend aux cas où des employés sont menacés de violence en raison des fonctions qu'ils exercent ou de situations auxquelles ils sont exposés, comme les appels ou les lettres de menace, la réception de matières dangereuses, le harcèlement criminel ou les agressions.
Les ministères doivent avoir des mécanismes pour :
- identifier les employés menacés ou victimes de violence, les protéger et les soutenir selon une évaluation des menaces et des risques applicables aux situations précises. Dans certains cas, la protection et le soutien s'étendront aux membres de la famille et à d'autres personnes;
- signaler tout incident à la direction, aux services des ressources humaines, aux services de sécurité et à la police selon le cas;
- informer et conseiller les employés visés, et leur donner accès à de la formation et à des services de consultation;
- tenir de façon approfondie des registres et des déclarations sur les incidents signalés.
10.11 Sécurité matérielle
La sécurité matérielle repose sur l'aménagement et la conception adéquates des installations, ainsi que sur l'usage de mesures pour éviter ou retarder l'accès non autorisé aux biens du gouvernement. Elle inclut des mesures pour détecter l'accès non autorisé, recherché ou obtenu, et pour déclencher une intervention appropriée. La sécurité matérielle prévoit également des mesures pour protéger les employés de la violence.
Les ministères sont tenus d'assurer l'intégration totale des aspects sécuritaires aux processus de planification, de sélection, de conception et de modification des installations, et ce, dès les premières étapes.
Ils doivent :
- sélectionner, concevoir et modifier leurs installations de manière à faciliter le contrôle de l'accès;
- délimiter les aires à accès restreint et installer les barrières, les systèmes de sécurité et le matériel nécessaires selon une évaluation des menaces et des risques;
- intégrer les spécifications imposées en matière de sécurité à la planification, aux demandes de proposition et aux dossiers de soumission;
- incorporer les coûts connexes aux exigences de financement.
Les ministères doivent veiller à l'entreposage, la transmission et la destruction sécuritaires des renseignements classifiés et protégés, peu importe le support sur lequel ils se trouvent, conformément aux normes de sécurité matérielle. Selon une évaluation des menaces et des risques, ils doivent aussi veiller à l'entreposage, la transmission et la destruction sécuritaires de tout autre bien.
Il est essentiel de revoir continuellement les mesures de sécurité matérielle pour tenir compte de changements aux menaces et de bénéficier de nouvelles technologies qui sont moins dispendieuses.
10.12 Sécurité des technologies de l'information
On doit sauvegarder les systèmes électroniques d'information contre les menaces qui changent rapidement et ont le potentiel d'affecter la confidentialité, l'intégrité, la disponibilité, l'usage prévu et la valeur de ces systèmes. Comme défense, une stratégie pour la sécurité des technologies de l'information (STI) est requise. Cette stratégie doit tenir compte des changements aux menaces qui peuvent être soudains et doit soutenir la prestation continue de services. Cela exige que les ministères aient des contrôles sécuritaires de base, surveillent continuellement leurs niveaux de prestation de services, identifient et analysent les menaces à leurs propres systèmes et établissent des mécanismes efficaces de réponse aux incidents et de continuité opérationnelle.
Les ministères doivent s'assurer que la STI est intégrée à chaque étape du cycle de développement de systèmes. Ils doivent identifier les exigences de sécurité et leur coût et les énoncer dans les documents relatifs à la planification, aux appels d'offre, aux soumissions et aux contrats pour les projets des TI.
En se conformant aux normes opérationnelles et techniques de la STI, les ministères pourront mieux prévenir et détecter les incidents, y réagir et revenir aux opérations normales.
10.12.1 Prévention
Pour prévenir les incidents aux systèmes électroniques de l'information, les ministères doivent mettre en place des contrôles sécuritaires de base et tout autre contrôle jugé nécessaire selon une évaluation des menaces et des risques. Ils doivent définir et documenter ces contrôles, ainsi que les rôles et les responsabilités du personnel, et les communiquer à leur personnel y incluant les membres des services opérationnels, légaux, administratifs et techniques.
Pour observer la politique, les ministères doivent :
- certifier et accréditer les systèmes des TI avant qu'ils ne soient mis en état de fonctionnement, et bien gérer la configuration de ces systèmes et de leurs mesures de sécurité;
- effectuer périodiquement des évaluations de sécurité des systèmes, y incluant des routines d'évaluation des changements apportés à la configuration;
- faire réaliser par des tiers des examens indépendants de conformité.
10.12.2 Détection
Un incident peut causer une dégradation rapide des services allant d'un ralentissement à un arrêt complet. Les ministères doivent surveiller continuellement les opérations de leurs systèmes pour dépister les anomalies aux niveaux de prestation de services.
10.12.3 Réponse
Les ministères doivent :
- dans le cadre des enquêtes sur les incidents de sécurité (section 10.15), établir des mécanismes pour bien répondre aux incidents reliés aux TI et pour partager rapidement les détails de l'incident avec les ministères responsables;
- nommer une personne chargée de la sécurité des TI responsable de la communication en cas d'incident touchant l'ensemble du gouvernement;
- effectuer leurs activités de sécurité, y incluant la réponse aux incidents, de façon à ne pas dégrader la sécurité d'autres ministères et à reconnaître que le gouvernement, grâce aux connexions, fonctionne comme une entité distincte.
10.12.4 Reprise
Pour assurer la prestation continue des services essentiels, les ministères doivent préparer des plans de continuité pour les TI dans le cadre de leur planification de la continuité opérationnelle, et de leurs activités de recouvrement suite à un incident.
10.13 Sécurité en cas d'urgence et de menace accrue
Les ministères doivent élaborer des plans et des procédures pour mettre en place des niveaux de sécurité plus élevés en cas d'urgence ou de menace accrue. Selon l'urgence ou la menace, le Gouvernement du Canada peut obliger les ministères à mettre en place de tels niveaux.
Ils doivent coordonner ces plans et procédures avec ceux concernant la prévention et la réponse en cas d'urgence (p. ex. feux, alertes à la bombe, matières dangereuses, pannes d'électricité, évacuations, urgences civiles).
10.14 Planification de la continuité opérationnelle
Les services essentiels et les biens afférents doivent toujours être disponibles pour assurer la santé, la sûreté, la sécurité et le bien-être économique des Canadiens et des Canadiennes ainsi que l'efficacité du gouvernement. Les ministères doivent établir un programme de planification de la continuité opérationnelle pour permettre la disponibilité continue des services et des biens essentiels, et de tout autre service ou bien dont la disponibilité est jugée importante selon une évaluation des menaces et des risques. Le programme doit comprendre les éléments suivants :
- dans le cadre du programme et de l'organisation ministérielle de sécurité (section 10.1), une structure de régie définissant les autorités et les responsabilités pour le programme et pour le développement et l'approbation de plans de continuité opérationnelle;
- dans le cadre de l'identification des biens (section 10.6), une analyse d'impact pour inventorier par ordre de priorité les services et les biens essentiels;
- des plans, des mesures et des préparatifs pour assurer la disponibilité continue des services et des biens essentiels, et de tout autre service ou bien tel qu'indiqué par une évaluation des menaces et des risques;
- des activités pour surveiller le niveau de préparation du ministère;
- des activités de revue, de mise à l'essai et de vérifications des plans de continuité opérationnelle.
10.15 Enquêtes sur les incidents de sécurité
Des comptes rendus et des enquêtes efficaces sur les incidents de sécurité permettent de déterminer les points faibles et de réduire le risque d'un nouvel incident de même nature.
Les ministères doivent mettre en place des procédures de compte rendu et d'enquête relativement aux incidents de sécurité et prendre des mesures correctives pour y donner suite.
Ils doivent informer :
- les services de police compétents des incidents qui pourraient constituer des infractions pénales;
- le Bureau du Conseil privé de tout incident concernant une confidence du Cabinet;
- le Service canadien du renseignement de sécurité de tout incident comprenant des menaces à l'intérêt national;
- le Bureau de la protection des infrastructures essentielles et de la protection civile de toute menace et de tout incident influant sur la disponibilité de biens et de services essentiels;
- les comités de la santé et de la sécurité et les agents de santé et de sécurité nommés en vertu du Code canadien du travail de tout incident qui peut être considéré comme dangereux ou susceptible de causer des blessures aux employés;
- le Secrétariat du Conseil du Trésor du Canada de tout incident ayant une incidence sur les opérations gouvernementales ou qui pourraient susciter une révision aux normes opérationnelles de sécurité ou à la documentation technique.
10.16 Sanctions
Les ministères sont tenus d'imposer des sanctions à la suite d'incidents de sécurité lorsque, de l'avis de l'administrateur général, il y a eu inconduite ou négligence.
11. Surveillance
Les ministères sont tenus d'effectuer la surveillance active de leur programme de sécurité et d'effectuer des vérifications internes. Ils doivent informer le Secrétariat du Conseil du Trésor du Canada des résultats de leurs vérifications internes.
Le Secrétariat du Conseil du Trésor du Canada, avec l'appui des ministères, produira un rapport à mi-terme pour le Conseil du Trésor sur l'efficacité de la politique.
12. Examen
La présente politique sera réexaminée d'ici cinq ans.
13. Références
Les pouvoirs conférés pour la présente politique sont de l'article 7 de la Loi sur la gestion des finances publiques. La présente politique remplace la version du 9 juin 1994 et les révisions de novembre 1994 et de juin 1995.
Voici les lois ayant trait à la présente politique :
- Charte des droits et libertés
- Code criminel
- Code du travail du Canada
- Loi d'interprétation
- Loi sur la défense nationale
- Loi sur la gestion des finances publiques
- Loi sur la production de défense
- Loi sur la protection civile
- Loi sur la protection des renseignements personnels
- Loi sur la protection des renseignements personnels et les documents électroniques
- Loi sur l'accès à l'information
- Loi sur le Service canadien du renseignement de sécurité
- Loi sur l'emploi dans la fonction publique
- Loi sur les casiers judiciaires
- Loi sur les jeunes contrevenants
- Loi sur les relations de travail dans la fonction publique
- Loi sur les secrets officiels
- Règlements royaux
Les documents se rattachant à la présente sont accessibles sur le site Web du Conseil du Trésor.
14. Demandes de renseignements
Toute demande de renseignements relative à la présente devrait être acheminée à l'agent de sécurité ministériel. Pour toute interprétation de la politique, l'agent de sécurité ministériel doit s'adresser à la fonction suivante :
Groupe de la Politique sur la sécurité
Division des politiques de l'information et de la sécurité
Secteur des opérations gouvernementales
Secrétariat du Conseil du Trésor du Canada du Canada
8e étage, tour est, L'Esplanade Laurier
Ottawa (Ontario) K1A 0R5
Téléphone : (613) 946-5046 ou 957-2534
Télécopieur : (613) 952-7287
Appendice A – Responsabilités
1. Conseil du Trésor
Le Conseil du Trésor approuve la Politique du gouvernement sur la sécurité.
2. Secrétariat du Conseil du Trésor du Canada
Le Secrétariat du Conseil du Trésor du Canada, à titre d'organisme central chargé de la sécurité et de la prestation de services au gouvernement, a les responsabilités suivantes :
- élaborer et mettre à jour la Politique du gouvernement sur la sécurité;
- fournir la direction stratégique, le leadership, les conseils et l'aide en matière de sécurité et de prestation de services;
- en consultation avec les ministères, élaborer les normes opérationnelles de sécurité et la documentation technique pour l'administration de la politique, les vérifications de fiabilité et de sécurité, la protection des employés, la sécurité en cas d'urgence ou de menace accrue, la planification de la continuité opérationnelle, les enquêtes sur les incidents de sécurité et pour d'autres sujets selon le cas;
- diriger et coordonner l'élaboration de normes opérationnelles de sécurité et de documentation technique pour la sécurité matérielle, la sécurité des technologies de l'information et la sécurité des marchés;
- coordonner les activités de formation et de sensibilisation dans le domaine de la sécurité;
- coordonner les activités de recherche et de développement dans le domaine de la sécurité;
- gérer la politique pour l'infrastructure stratégique de gestion de l'information et des technologies de l'information. Cette responsabilité soutient les objectifs opérationnels et de prestation de services du Gouvernement du Canada, y incluant les services communs des technologies de l'information et l'accréditation de l'infrastructure commune;
- avec l'aide des ministères, surveiller la mise en œuvre de la politique et l'état de la sécurité au sein du Gouvernement du Canada et en rendre compte au Conseil du Trésor;
- élaborer et suivre une stratégie permettant au Gouvernement du Canada l'identification, le recrutement, la rétention et l'apprentissage continu de professionnels dans le domaine de la sécurité;
- émettre les avis de mise en œuvre de la politique sur la sécurité;
- représenter le Gouvernement du Canada aux comités nationaux et internationaux en matière de politique de sécurité.
3. Comités
Plusieurs comités relatifs à la sécurité conseillent et orientent le Secrétariat du Conseil du Trésor du Canada sur la mise en œuvre de la politique, sur son efficacité et sur l'état de la sécurité au sein du Gouvernement du Canada.
Ces comités examinent également les normes opérationnelles de sécurité et la documentation technique et en recommandent l'approbation à l'autorité compétente.
4. Ministères responsables en matière de sécurité
Certains ministères ont, en vertu de la présente, des responsabilités particulières à l'échelle du gouvernement, qui sont énumérées ci-après.
4.1 Service canadien du renseignement de sécurité
Le Service canadien du renseignement de sécurité (SCRS), dans son rôle de gestion du renseignement de sécurité, est responsable :
- d'enquêter et d'analyser les menaces matérielles et électroniques à la sécurité nationale, selon la Loi sur le SCRS, et de fournir des conseils en ce sens. Ces menaces comprennent l'espionnage, le sabotage, l'influence étrangère et les activités violentes à but politique;
- de conseiller les ministères et de leur fournir des renseignements aux fins d'évaluations des menaces et des risques;
- d'enquêter et de fournir des évaluations de sécurité dans le contexte des vérifications de sécurité initiées par les ministères;
- de tenir un fichier central informatisé des évaluations de sécurité réalisées et des recommandations qui en sont issues.
4.2 Centre de la sécurité des télécommunications
Le Centre de la sécurité des télécommunications (CST), en tant qu'autorité technique sur la cryptologie et la sécurité des technologies de l'information (STI), est responsable:
- en consultation avec le Secrétariat du Conseil du Trésor du Canada et les autres ministères, d'élaborer les normes opérationnelles et la documentation technique concernant le renseignement électromagnétique (SIGINT), la sécurité des télécommunications (COMSEC), et la sécurité des technologies de l'information en termes de certification et d'accréditation de systèmes, d'analyse des risques et des vulnérabilités, d'évaluation de produits, et d'analyse de la sécurité de systèmes et de réseaux;
- de diriger, conseiller et d'aider les ministères quant aux normes opérationnelles et aux documents techniques élaborés par le CST;
- d'offrir des services d'ingénierie de sécurité et d'aide technique et opérationnelle pour contribuer à la conception, à la mise en œuvre et à l'exploitation des éléments d'infrastructure et des systèmes gouvernementaux et nationaux des TI;
- d'élaborer et d'offrir de la formation spécialisée pour la SIGINT et la STI, notamment en ce qui a trait à la COMSEC, aux vulnérabilités des réseaux et aux mesures techniques de la STI;
- de mettre à l'essai, d'inspecter et d'évaluer les produits et systèmes des TI pour définir les risques, les vulnérabilités et les mesures appropriées de sauvegarde; de faire de la recherche et du développement du point de vue technique;
- d'accréditer les installations d'essai et d'évaluation du secteur privé;
- d'évaluer et de rendre compte de l'application des mesures techniques de la COMSEC et de la STI aux secteurs publics et privés, sur demande ou exigence d'une norme de sécurité;
- de gérer la distribution du SIGINT, de l'équipement cryptographique, des documents comptables et du matériel reliés aux clés cryptographiques; d'exploiter les systèmes de clés; de maintenir un répertoire du personnel autorisé à avoir accès au SIGINT;
- de représenter le Gouvernement du Canada aux comités nationaux et internationaux du SIGINT et de la STI, et de négocier des ententes avec les puissances alliées.
4.3 Affaires étrangères et Commerce international
Le ministère des Affaires étrangères et du Commerce international (AECI), dans son rôle de relations étrangères, est responsable :
- de fournir un milieu sûr et sécuritaire pour les employés et les biens du Gouvernement du Canada situés aux missions diplomatiques et consulaires du Canada à l'étranger. Ceci en guidant tous les aspects de la sécurité matérielle à ces endroits;
- d'arranger et de coordonner la sécurité des visiteurs officiels à ses installations;
- à titre de transporteur officiel des communications entre les ministères gouvernementaux et les missions diplomatiques canadiennes à l'étranger, assurer la confidentialité, l'intégrité et la disponibilité des services communs des technologies de l'information sous son contrôle.
- de prendre les mesures pour sauvegarder les biens sous son contrôle au Canada et à l'étranger, et d'inspecter ou de faire inspecter ces mesures à l'inclusion des transmissions électroniques;
- de conseiller et de guider les ministères sur la transmission et le transport de biens à l'étranger pour assurer une sauvegarde continue et uniforme; et de leur fournir les moyens de le faire;
- de consulter avec les autres ministères pour qu'ils sauvegardent adéquatement les documents de l'Organisation du Traité de l'Atlantique Nord (OTAN) qui relèvent d'eux;
- de traiter les vérifications de fiabilité et de sécurité des employés d'organismes non gouvernementaux et d'autres niveaux de gouvernement situés aux installations du ministère à l'étranger.
- de fournir des avis aux ministères en matière d'initiatives de sécurité avec des gouvernements étrangers et des organismes internationaux.
4.4 Archives nationales
Le ministère des Archives nationales gère les dossiers du gouvernement et est responsable :
- d'identifier les aspects sécuritaires de l'identification, l'organisation, l'entreposage, la préservation, la rétention et de l'élimination des fonds de renseignements du gouvernement;
- d'élaborer et de distribuer des avis et conseils sur le maintien des dossiers.
4.5 Défense nationale
Dans le cadre de leurs rôles, le sous-ministre de la Défense nationale et le chef de l'État-major de la Défense sont responsables conjointement ou individuellement :
- de conseiller les ministères sur le renseignement militaire aux fins d'évaluations des menaces et des risques;
- de prévoir et de coordonner les mesures de sécurité des membres de forces armées en visite au Canada ou séjournant dans une installation de défense;
- de vérifier le respect par les ministères des accords concernant la sauvegarde du renseignement atomique de l'OTAN.
4.6 Bureau de la protection des infrastructures essentielles et de la protection civile
Le bureau de la Protection des infrastructures essentielles et de la protection civile, comme conseiller principal en ces domaines au niveau national, est responsable :
- en consultation avec le Secrétariat du Conseil du Trésor du Canada et les autres ministères, d'élaborer des normes opérationnelles et de la documentation technique soutenant la protection et l'assurance d'une opération continue des réseaux, des systèmes d'information, et des autres biens essentiels du Gouvernement du Canada;
- d'aider le Secrétariat du Conseil du Trésor du Canada à l'élaboration des normes de planification de la continuité opérationnelle et de concert avec ce dernier, donner des conseils aux ministères sur l'élaboration et le maintien de plans de continuité opérationnelle;
- de conseiller les ministères concernant les aspects « cyber » de la protection des réseaux, systèmes d'information et autres biens essentiels du Gouvernement du Canada.
- d'aider les ministères quant à l'identification de leurs biens essentiels, en effectuant des évaluations de vulnérabilité de ces biens et en fournissant une analyse de leur vulnérabilité et de leur dépendance.
- d'être le centre d'opérations du Gouvernement du Canada, 24 heures par jour et 7 jours par semaine, pour :
- recevoir les comptes rendus des ministères sur les menaces réelles ou imminentes et sur les incidents susceptibles de nuire aux réseaux, systèmes d'information, infrastructures et biens essentiels du Gouvernement du Canada;
- surveiller et analyser les cyberattaques et les menaces contre les réseaux du Gouvernement du Canada;
- envoyer des alertes, des avis et d'autres renseignements aux ministères sur ces menaces et ces incidents;
- coordonner la réponse fédérale aux menaces ou aux incidents électroniques et matériels ayant une incidence sur le fonctionnement du Gouvernement du Canada;
- répondre aux demandes, provenant des ministères, de conseils et de renseignements techniques sur les incidents reliés aux TI en termes de prévention, de détection, de réponse et de reprise des opérations.
- en collaboration avec d'autres ministères, d'élaborer et de promouvoir des programmes de formation, d'apprentissage et de sensibilisation;
- en collaboration avec d'autres ministères, de faire de la recherche et du développement pour contribuer à la sécurité des réseaux, des systèmes d'information et des autres biens essentiels du Gouvernement de Canada;
- de représenter le Gouvernement du Canada aux niveaux national et international en ce qui concerne la protection des infrastructures essentielles et la protection civile.
4.7 Bureau du Conseil privé
Le Bureau du Conseil privé, dans son rôle de soutien au Cabinet et de politique stratégique pour la sécurité et le renseignement, est responsable :
- d'établir des procédures pour assurer la sécurité des documents du Conseil privé de la Reine pour le Canada et des registres faisant partie du système des dossiers du Cabinet;
- de conseiller, sur demande, les administrateurs généraux sur l'opportunité d'ordonner une enquête formelle sur la divulgation non autorisée présumée de confidences du Cabinet;
- de conseiller, sur demande, les administrateurs généraux sur l'opportunité de refuser, de révoquer ou de suspendre une cote de sécurité;
- de conseiller les administrateurs généraux sur tout désaccord avec une décision du Comité de surveillance des activités de renseignement de sécurité quant à une cote de sécurité, et sur l'opportunité de recommander au gouverneur en conseil la suspension ou le congédiement d'une personne suite au refus, à la révocation ou à la suspension d'une cote de sécurité.
- d'enjoindre les ministères à resserrer les mesures de sécurité en cas d'urgence et de menace accrue.
4.8 Travaux publics et Services gouvernementaux Canada
Le ministère des Travaux publics et des Services gouvernementaux (TPGSC) fournit des services communs pour la gestion des marchés et des biens immobiliers, ainsi que pour les technologies de l'information et les télécommunications. En ce sens, il est responsable
- en consultation avec le Secrétariat du Conseil du Trésor du Canada et les autres ministères, d'élaborer des normes et de la documentation technique pour la sécurité des marchés;
- d'administrer le programme de sécurité industrielle en fonction de la présente politique et les programmes d'enregistrement des marchandises soumises à un contrôle selon la Loi sur la production de défense;
- de conseiller les ministères sur l'application des normes et de la documentation technique pour la sécurité des marchés;
- d'élaborer et d'offrir de la formation sur la sécurité des marchés;
- de tenir une base de données des organismes du secteur privé et des entrepreneurs ayant une cote de fiabilité ou de sécurité valide leur permettant l'accès à des biens du gouvernement;
- d'assurer la conformité avec la politique dans les contrats hors de la compétence des ministères qui permettent l'accès à des biens du gouvernement;
- sur demande, d'assurer la conformité avec la politique dans les contrats sous la compétence des ministères qui permettent l'accès à des biens du gouvernement;
- en consultation avec le ministère des Affaires extérieures et du Commerce international, de négocier des ententes internationales de sécurité industrielle, des arrangements et des protocoles d'entente au nom du Gouvernement du Canada;
- d'assurer la conformité avec ces ententes, arrangements et protocoles d'entente dans les contrats donnant accès à des renseignements étrangers qui sont classifiés et dans les contrats donnant aux entrepreneurs étrangers accès aux biens du Gouvernement du Canada;
- de contrôler les biens COMSEC du gouvernement qui sont dans le secteur privé;
- de veiller à ce que les entrepreneurs rencontrent les exigences sécuritaires des contrats visant des biens relatifs à la sécurité des technologies de l'information;
- lorsque TPSGC est le ministère gardien, d'assurer la prestation de services de sécurité de base pour les immeubles;
- d'assurer la confidentialité, l'intégrité et la disponibilité des services communs des TI fournis aux ministères;
- de représenter le Gouvernement du Canada au niveau national et international en ce qui concerne la sécurité industrielle et les marchandises soumises à un contrôle.
4.9 Gendarmerie royale du Canada
La Gendarmerie royale du Canada, comme organisme d'application de la Loi fédérale et de prévention du crime, est responsable :
pour la sécurité des technologies de l'information (STI)
- en consultation avec le Secrétariat du Conseil du Trésor du Canada et les autres ministères, d'élaborer les normes opérationnelles et les documents techniques concernant la STI en termes de contrôles d'accès et de biométrie, d'examen judiciaire de données, de destruction de supports électroniques de données, de surveillance des systèmes, de logiciel à effet malveillant, d'événements majeurs, de revues, d'inspections et de vérifications internes;
- de conseiller les ministères sur :
- les normes opérationnelles et les documents techniques de la GRC,
- le processus d'évaluation des menaces et des risques,
- l'exécution de revues, d'inspections et de vérifications internes de la STI;
- d'élaborer et d'offrir de la formation et des activités de sensibilisation pour les utilisateurs, le personnel de soutien des systèmes et les agents de la STI;
- de fournir de l'aide technique lors d'enquêtes reliées aux TI;
- de faire de la recherche et du développement sur les innovations en STI et les mesures pour contrer les activités criminelles;
- d'évaluer et de rendre compte des menaces d'activités criminelles et des contre-mesures du cyber-crime;
- de représenter le Gouvernement du Canada au niveaux national et international en ce qui concerne l'application de la loi et la prévention d'activités criminelles reliées aux TI.
pour la sécurité matérielle
- en consultation avec le Secrétariat du Conseil du Trésor du Canada et les autres ministères, d'élaborer des normes opérationnelles de sécurité et des documents techniques sur la conception des installations du point de vue de la sécurité, sur le contrôle et la surveillance de l'accès aux installations et aux biens, ainsi que sur l'entreposage, la transmission, le transport et l'élimination des biens;
- de conseiller les ministères sur les normes opérationnelles de sécurité et les documents techniques, la conception des installations en matière de sécurité ainsi que sur l'équipement, les systèmes et les procédures de sécurité matérielle;
- d'élaborer et d'offrir des initiatives de formation et de sensibilisation sur la sécurité matérielle;
- d'examiner et de conseiller sur les mesures pour assurer et contrer les intrusions techniques;
- de faire de la recherche et du développement sur les contre-mesures aux menaces matérielles;
- de représenter le Gouvernement du Canada aux niveaux national et international en ce qui concerne l'application de la Loi et la prévention du crime.
pour les vérifications de fiabilité et de sécurité
- de conseiller les ministères et de leur fournir les résultats des vérifications de dossiers criminels, sous forme électronique et sur papier, selon la banque de données du Centre d'information de la Police canadienne;
- de conseiller les ministères et de leur fournir les résultats de vérifications d'empreintes digitales selon la banque de donnée afférente;
- d'élaborer des procédures, des améliorations techniques et de consulter les autres ministères pour améliorer le processus de vérifications de dossiers criminels et d'empreintes digitales;
- de donner aux ministères des évaluations criminelles concernant la fiabilité de certains individus;
- de faire ses propres enquêtes et évaluations de sécurité pour son personnel.
4.10 Transports Canada
En tant que ministère chargé de la sécurité maritime, terrestre et aérienne et de l'administration de la Loi sur l'aéronautique, Transport Canada est responsable d'administrer le programme de cote spéciale d'accès aux zones restreintes des aéroports.
5. Ministères ayant la garde de biens immobiliers
À moins d'une entente contraire avec les locataires, les ministères ayant la garde de biens immobiliers sont chargés, entre autres choses, des aspects suivants de la sécurité matérielle des installations qu'ils administrent :
- appliquer et financer les mesures qu'ils jugent nécessaires pour protéger les installations, à la suite d'une évaluation des menaces et des risques qu'ils ont effectuées eux-mêmes ou qu'ils ont commandé;
- sous réserve d'une évaluation des menaces et des risques, assurer, à certains endroits, les services de gardiens pour protéger les installations au niveau qu'ils jugent nécessaire, et financer ces services;
- prendre des mesures de protection supplémentaires, lorsque celles-ci s'avèrent nécessaires et sont financées par les locataires;
- aviser les locataires des changements qu'il est proposé d'apporter aux installations et qui pourraient avoir une incidence sur la sécurité et consulter les locataires au sujet des changements qu'il est proposé d'apporter aux mesures de protection des installations;
- aviser les locataires dans les immeubles à locataires multiples des changements d'occupation ou d'utilisation susceptible d'influer sur la sécurité.
Appendice B - Glossaire
Accréditation (accreditation) - autorisation officielle par la direction d'exploiter un système des TI et acceptation par la direction du risque résiduel s'y rattachant. L'accréditation dépend des résultats de la certification ainsi que d'autres considérations de nature administrative.
Aire à accès restreint (restricted access area) - aire de travail où l'accès est restreint aux individus autorisés.
Besoin de connaître (need-to-know) - besoin éprouvé par une personne d'accéder à des renseignements et de les connaître pour accomplir les tâches qui lui incombent.
Biens (Assets) - éléments d'actifs corporels ou incorporels du Gouvernement du Canada. Ce terme s'applique, sans toutefois s'y limiter, aux renseignements, sous toutes leurs formes et quel que soit leur support, aux réseaux, aux systèmes, au matériel, aux biens immobiliers, aux ressources financières, à la confiance des employés et du public, et à la réputation internationale. (Les renseignements ont été inclus à cette définition exclusivement aux fins de la présente politique. On ne peut en conclure que les conséquences juridiques applicables aux biens dans le sens légal s'appliquent aussi aux renseignements).
Biens classifiés (classified assets) - biens dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à l'intérêt national.
Biens essentiels (critical assets) - biens supportant un service essentiel.
Biens protégés (protected assets) - biens dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à des intérêts privés ou non reliés à l'intérêt national.
Certification (certification) - évaluation complète des dispositifs de sécurité techniques et non techniques d'un système des TI et d'autres mesures de sauvegarde connexes, effectuée à l'appui de l'accréditation, pour déterminer le degré selon lequel un modèle de conception et de mise en œuvre précis satisfait à un ensemble donné d'exigences en matière de sécurité.
Compromission (compromise) - divulgation, destruction, suppression, modification, interruption d'accès ou utilisation de biens qui est non autorisée.
COMSEC - sécurité des télécommunications : mesures sécuritaires de crytographie, de transmission et d'émission que l'on applique aux renseignements conservés, traités ou transmis électroniquement; une composante de la sécurité des technologies de l'information.
Confidentialité (confidentiality) - caractéristique selon laquelle les renseignements ne doivent pas être divulgués à des personnes non autorisées, cela pouvant porter préjudice à l'intérêt national ou à d'autres intérêts, comme l'indiquent des dispositions précises de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.
Cote spéciale d'accès (site access clearance) - cote requise pour accéder à des installations vitales pour l'intérêt national ou aux zones à accès restreint des événements majeurs.
Cote de fiabilité (reliability status) - indique que l'évaluation de la fiabilité a été achevée avec succès et donne à la personne visée un accès régulier à des biens du gouvernement et un accès à des renseignements protégés en fonction du besoin de connaître.
Cote de sécurité (security clearance) - indique que l'évaluation de sécurité a été achevée avec succès; avec un besoin de connaître, permet d'avoir accès à des renseignements classifiés. Il y a trois niveaux : Confidentiel, Secret et Très secret.
Disponibilité (availability) - condition d'être disponible sur demande afin de soutenir les opérations, les programmes et les services.
Exigences sécuritaires de base (baseline security requirements) - dispositions obligatoires de la Politique du gouvernement sur la sécurité, de ses normes opérationnelles et de sa documentation technique.
Incident de sécurité (security incident) - compromission d'un bien ou tout acte ou omission qui pourrait se traduire par une compromission; menaces ou actes de violence à l'encontre des employés.
Installation (facility) - désigne un aménagement physique qui sert à une fin précise. On entend par installation une partie ou la totalité d'un immeuble, soit un immeuble, son emplacement et ses alentours, ou encore une construction qui n'est pas un immeuble. Le terme désigne non seulement l'objet même mais aussi son usage.
Intégrité (integrity) - exactitude et intégralité des biens, et authenticité des transactions.
Intérêt national (national interest) - concerne la défense et le maintien de la stabilité sociopolitique et économique du Canada.
Menace (threat) - tout événement ou acte éventuel, délibéré ou accidentel, qui pourrait porter préjudice aux employés ou aux biens.
Planification de la continuité opérationnelle (business continuity planning) - terme global s'appliquant notamment à l'élaboration et à l'exécution opportune de plans, de mesures, de procédures et de préparatifs afin d'éviter ou de minimiser tout arrêt de la disponibilité des services et des biens essentiels.
Pour un motif valable (for cause) - terme indiquant qu'il y a un motif raisonnable de revoir, suspendre, abaisser ou révoquer une cote de fiabilité ou de sécurité. Dans le contexte d'une évaluation de sécurité, terme indiquant la nécessité d'effectuer des vérifications plus approfondies.
Processus de passation des marchés (contracting process) - désigne l'invitation à soumissionner, les négociations, la passation, l'exécution et la résiliation des marchés.
Renseignements classifiés (classified information) - renseignements d'intérêt national susceptibles d'être visés par une exclusion ou une exception en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, et dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à l'intérêt national.
Renseignements protégés (protected information) - renseignements autres que d'intérêt national susceptibles d'être visés par une exclusion ou une exception en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, et dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à des intérêts privés ou non reliés à l'intérêt national.
Risque (risk) - possibilité qu'une vulnérabilité soit exploitée.
Sécurité des technologies de l'information (information technology security) - mesures de sauvegarde visant à préserver la confidentialité, l'intégrité, la disponibilité, l'utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique.
Sécurité matérielle (physical security) - mesures de sauvegarde matérielle pour empêcher et retarder l'accès non autorisé aux biens, pour détecter l'accès non autorisé recherché et obtenu et pour déclencher une intervention appropriée.
Service essentiel (critical service) - service dont la compromission en termes de disponibilité ou d'intégrité résulterait en un préjudice élevé à la santé, la sûreté, la sécurité et le bien-être économique des Canadiens et des Canadiennes ou encore à l'efficacité du Gouvernement du Canada.
Valeur (value) - coût approximatif soit monétaire, culturel ou autre.
Vulnérabilité (vulnerability) - faiblesse quant à la sécurité qui pourrait permettre à une menace de causer préjudice.