Politique sur la sécurité du gouvernement
Fournit une orientation sur la gestion de la sécurité du gouvernement à l’appui de l’exécution des programmes et de la prestation des services fiables du gouvernement du Canada ainsi que de la protection des renseignements, des particuliers et des biens, et donne à la population canadienne, aux partenaires, aux organismes de surveillance et aux autres intervenants une assurance au regard de la gestion de la sécurité au sein du gouvernement du Canada.
Modification : 2019-07-01
Outils sous-jacents
Directive :
Renseignements supplémentaires
Terminologie :
Sujet :
Hiérarchie
Archives
Cette politique remplace :
- Sécurité, Politique sur la [2009-07-06]
- sécurité du gouvernement, Politique sur la [2012-03-31]
- Sécurité du gouvernement, Politique sur la [2019-06-28]
Note aux lecteurs
La Politique sur la sécurité du gouvernement est entrée en vigueur le 1er juillet 2019, remplaçant la précédente Politique sur la sécurité du gouvernement qui était en vigueur du 1er juillet 2009 au 30 juin 2019.1. Date d’entrée en vigueur
- 1.1La présente Politique entre en vigueur le 1er juillet 2019.
- 1.2La présente Politique remplace la Politique sur la sécurité du gouvernement du 1er juillet 2009.
- 1.3Considérations transitoires :
- 1.3.1La sous-section 4.1.5 de la présente Politique entrera en vigueur le 1er juillet 2019, ou à la date fixée pour le renouvellement du plan de sécurité ministériel, selon la dernière échéance.
2. Autorisations
- 2.1La présente Politique est établie en vertu de l’article 7 de la Loi sur la gestion des finances publiques.
- 2.2Le Conseil du Trésor a délégué au président du Conseil du Trésor le pouvoir de modifier ou d’abroger les directives relatives à la présente Politique, y compris les normes, les procédures obligatoires et les autres annexes.
3. Objectifs et résultats escomptés
- 3.1Les objectifs de la présente Politique sont les suivants :
- 3.1.1Gérer de manière efficace les mesures de sécurité gouvernementales à l’appui de la prestation fiable des programmes et des services du gouvernement du Canada ainsi qu’à l’appui de la protection des renseignements, des personnes et des biens.
- 3.1.2Donner à la population canadienne, aux partenaires, aux organismes de surveillance et aux autres intervenants, une assurance à l’égard de la gestion de la sécurité au sein du gouvernement du Canada.
- 3.2Les résultats escomptés de la présente Politique sont les suivants :
- 3.2.1La gouvernance des mesures de sécurité du gouvernement au sein des ministères, avec les partenaires et partout au gouvernement sera efficace, en remplissant des fonctions précises et en réalisant avec succès les résultats escomptés.
- 3.2.2Des conseils, des avis et des services, y compris des services internes intégrés sécurisés, seront accessibles.
- 3.2.3Les administrateurs généraux et les organismes centraux détiendront et communiqueront les renseignements nécessaires à la prise de décisions éclairées sur les ressources et les priorités en matière de sécurité du gouvernement.
- 3.2.4Des pratiques et des mesures de sécurité normalisées et fondées sur les risques seront mises en œuvre, feront l’objet d’une surveillance et seront tenues à jour.
- 3.2.5La gestion des événements de sécurité sera organisée afin de permettre l’adaptation à un environnement de menace dynamique.
4. Exigences
- 4.1Les administrateurs généraux sont responsables de ce qui suit :
- 4.1.1Désigner un dirigeant principal de la sécurité devant rendre des comptes à l’administrateur général ou au comité de direction ministériel, chargé d’assurer le leadership, la coordination et la surveillance des activités de gestion de la sécurité ministérielle.
- 4.1.2Établir la gouvernance de la sécurité ministérielle pour les mesures de sécurité, y compris les responsabilités relatives aux mesures de sécurité et les pouvoirs décisionnels en matière de gestion des risques pour la sécurité.
- 4.1.3Veiller à ce que leur pouvoir de refuser, de révoquer ou de suspendre les habilitations de sécurité ne soit pas délégué.
- 4.1.4Déterminer les exigences en matière de sécurité et de gestion de l’identité pour tous les programmes et services ministériels, en tenant compte des incidences possibles sur les intervenants internes et externes.
- 4.1.5Approuver et passer en revue chaque année un plan de sécurité ministériel triennal décrit comment le ministère sera en mesure de satisfaire aux exigences en matière de sécurité, de même que d’appuyer les priorités pangouvernementales en matière de sécurité qui traitent des mesures de sécurité décrites à l’annexe A.
- 4.1.6Passer en revue tout risque résiduel pour la sécurité dépassant la portée des pouvoirs décisionnels établis en matière de gestion des risques pour la sécurité.
- 4.1.7Veiller à ce que les incidents de sécurité et autres événements liés à la sécurité fassent l’objet d’une évaluation et d’une enquête, et qu’ils soient documentés, traités et signalés à l’autorité adéquate ainsi qu’aux intervenants touchés.
- 4.1.8Répondre aux directives, aux conseils et aux demandes d’information provenant du Secrétariat du Conseil du Trésor du Canada et du Bureau du Conseil privé concernant les événements liés à la sécurité qui nécessitent une intervention immédiate ou des mesures coordonnées dans l’ensemble du gouvernement.
- 4.1.9Établir une entente écrite lorsque le ministère fait appel ou vient en aide à un autre ministère ou une autre organisation en vue d’atteindre les objectifs en matière de sécurité du gouvernement (voir la section 6.3 de la présente Politique pour obtenir de l’information sur l’application de cette exigence).
- 4.1.10Enquêter et intervenir lorsque des questions importantes de conformité aux politiques surviennent, et veiller à ce que des mesures correctives appropriées soient prises afin de traiter de ces questions.
- 4.2Les administrateurs généraux des organisations de services internes intégrés, qui sont des ministères ou des organisations assurant la prestation de services internes intégrés aux autres ministères du gouvernement du Canada, sont responsables de ce qui suit :
- 4.2.1Établir une gouvernance, y compris la désignation d’un ou de plusieurs hauts fonctionnaires, pour superviser les questions liées à la sécurité dans la prestation des services internes intégrés.
- 4.2.2Assurer la liaison avec les ministères clients et le Secrétariat du Conseil du Trésor du Canada lors de la détermination des exigences en matière de sécurité concernant les services internes intégrés.
- 4.2.3Examiner et traiter les problèmes liés à la satisfaction des exigences de sécurité avec les intervenants touchés.
- 4.2.4Effectuer des examens périodiques (au moins tous les trois ans) pour déterminer dans quelle mesure les services fournis répondent aux besoins pangouvernementaux en matière de sécurité.
- 4.2.5Enquêter et intervenir lorsque des questions importantes de conformité aux politiques surviennent, et veiller à ce que des mesures correctives appropriées soient prises afin de traiter de ces questions.
- 4.3Les administrateurs généraux des principaux organismes chargés de la sécurité (énoncés à la section 5.2 de la présente Politique) sont responsables de ce qui suit :
- 4.3.1Désigner un ou plusieurs hauts fonctionnaires afin de superviser les activités de leur principal organisme responsable de la sécurité au titre de la présente Politique.
- 4.3.2Consulter l’instance de gouvernance de la Politique sur la sécurité au moment d’établir des priorités relativement aux activités de leur principal organisme responsable de la sécurité.
- 4.3.3Exercer un rôle de leadership et offrir aux ministères des conseils et des orientations en matière de sécurité gouvernementale, conformément à la section 5 de la présente Politique et aux responsabilités générales suivantes :
- 4.3.3.1Participer à la gouvernance de la Politique sur la sécurité pour aider à établir les orientations stratégiques et les priorités qui cadrent avec les objectifs en matière de sécurité nationale et les autres priorités du gouvernement.
- 4.3.3.2Offrir des conseils aux ministères et mettre au point une orientation technique et opérationnelle qui appuiera les ministères dans la mise en œuvre de la Politique, conformément à leur mandat, et en consultation avec le Secrétariat du Conseil du Trésor du Canada et la gouvernance pangouvernementale de la Politique sur la sécurité.
- 4.3.3.3Consulter le Secrétariat du Conseil du Trésor du Canada, Affaires mondiales Canada et d’autres principaux organismes chargés de la sécurité et intervenants pertinents au moment d’établir des accords internationaux, traités ou d’autres instruments qui pourraient avoir des incidences sur les pratiques en matière de gestion de la sécurité à l’échelle du gouvernement.
- 4.3.3.4Participer à l’analyse des menaces, des vulnérabilités, des risques et des événements liés à la sécurité, et transmettre les conclusions aux intervenants pertinents.
- 4.3.3.5Offrir de l’expertise pour appuyer la création des programmes de sensibilisation et de formation sur la sécurité du gouvernement du Canada.
- 4.4La secrétaire du Conseil du Trésor est responsable de ce qui suit :
- 4.4.1Établir la gouvernance pangouvernementale de la Politique sur la sécurité pour déterminer l’orientation et les priorités stratégiques et assurer la coordination pangouvernementale des priorités, des plans et des activités en matière de sécurité.
- 4.4.2Agir à titre de représentant en ce qui a trait aux besoins pangouvernementaux en matière de sécurité dans la gouvernance de la sécurité des services internes intégrés.
- 4.4.3Assurer la liaison avec les administrateurs généraux et les autres hauts fonctionnaires au sujet des questions relatives à la sécurité, y compris les événements liés à la sécurité pouvant avoir des incidences sur l’ensemble du gouvernement.
- 4.4.4Assurer la liaison avec d’autres principaux organismes chargés de la sécurité au sujet des questions relatives à la sécurité nationale et à la gestion des situations d’urgence.
- 4.4.5Établir des mesures de soutien à la capacité et au perfectionnement de la collectivité fonctionnelle de la sécurité.
5. Rôles des autres organisations gouvernementales
- 5.1En soi, elle ne confère aucun pouvoir.
- 5.2La présente section désigne les principaux organismes chargés de la sécurité ou organismes de services intégrés internes qui ont un rôle de leadership et de soutien relativement à la présente Politique et qui contribuent à l’atteinte des objectifs de la Politique sur la sécurité du gouvernement. La présente section identifie les responsabilités de chacun des organismes, conformément à leurs mandats respectifs, y compris les principaux services internes intégrés qu’ils fournissent.
- 5.3Le Service canadien du renseignement de sécurité est responsable de ce qui suit :
- 5.3.1Fournir des services de filtrage de sécurité à l’échelle du gouvernement.
- 5.3.2S’acquitter de fonctions pangouvernementales en procédant à des enquêtes et à des analyses des menaces envers la sécurité du Canada, en fournissant des rapports et conseils connexes au gouvernement du Canada.
- 5.3.3Tenir à jour un registre central pour conserver les formulaires désignant les personnes astreintes au secret à perpétuité en vertu de la Loi sur la protection de l’information.
- 5.4Le Centre de la sécurité des télécommunications Canada est responsable de ce qui suit :
- 5.4.1Agir à titre de principale autorité technique en matière de sécurité de la technologie de l’information (TI), y compris exercer un leadership et offrir des conseils, des services et une orientation pour les questions techniques en matière de sécurité de la TI.
- 5.4.2Contribuer à assurer la protection de l’information électronique et des infrastructures de l’information d’importance pour le gouvernement du Canada.
- 5.4.3Remplir les fonctions suivantes à l’échelle du gouvernement :
- 5.4.3.1Identifier les cybermenaces qui font surface.
- 5.4.3.2Défendre les réseaux et les systèmes du gouvernement.
- 5.4.3.3Protéger des événements en matière de cybersécurité et atténuer toute incidence qui pourrait se concrétiser.
- 5.4.4Diriger la mise en œuvre de sources fiables d’approvisionnement pour les infrastructures du gouvernement et critiques, tout en atténuant les risques reliés aux équipements qui ne sont pas dignes de confiance.
- 5.4.5Agir à titre d’autorité nationale en ce qui a trait à la sécurité des communications (SÉCOM), y compris l’acquisition, la distribution, le contrôle et l’utilisation d’appareils et de matériel cryptographiques destinés aux systèmes de sécurité nationale.
- 5.4.6Agir à titre d’autorité nationale du Canada du renseignement d’origine électromagnétique (SIGINT).
- 5.5La Défense nationale est responsable de ce qui suit :
- 5.5.1S’acquitter de fonctions pangouvernementales liées à la recherche scientifique et technologique touchant la sécurité, au renseignement de défense et aux enquêtes sur les menaces pour la sécurité des systèmes militaires.
- 5.5.2Appuyer les ministères au chapitre de la protection des représentants du gouvernement du Canada à l’étranger, de la cybersécurité et de la prestation d’autres services liés à la sécurité.
- 5.5.3Fournir un soutien à Sécurité publique Canada concernant la continuité du gouvernement constitutionnel et la lutte contre le terrorisme national.
- 5.5.4Servir en tant qu’autorité du Canada de la distribution nationale pour l’OTAN (Organisation du traité de l’Atlantique Nord).
- 5.5.5Servir en tant qu’autorité nationale du Canada pour les renseignements de Talent-Keyhole (TK).
- 5.6Affaires mondiales Canada est responsable de ce qui suit :
- 5.6.1Exercer un rôle de leadership et offrir des conseils et une orientation pour les questions liées à la sécurité des missions à l’étranger, et la conduite des relations internationales du Canada sur des questions relatives à la sécurité du gouvernement.
- 5.6.2S’acquitter de fonctions pangouvernementales liées aux questions de sécurité à l’étranger, et fournir des services aux ministères à l’étranger afin d’assurer la sécurité des missions.
- 5.6.3Agir à titre d’autorité désignée du Canada à l’OTAN pour ce qui est de la sécurité nationale.
- 5.7Le Bureau du Conseil privé est responsable de ce qui suit :
- 5.7.1Établir l’orientation stratégique concernant la sécurité des renseignements confidentiels du Cabinet.
- 5.7.2Remplir les fonctions suivantes à l’échelle du gouvernement :
- 5.7.2.1Veiller à ce que les objectifs en matière de sécurité nationale se reflètent dans la gouvernance pangouvernementale de la Politique de sécurité.
- 5.7.2.2Fournir des conseils et une orientation sur la mise en œuvre des niveaux de sécurité dans les situations d’urgence et de menace accrue.
- 5.7.2.3Fournir un leadership stratégique afin de coordonner les réponses aux enjeux en matière de sécurité opérationnelle du gouvernement ayant une importance nationale, intergouvernementale ou internationale.
- 5.7.3Donner des conseils au sujet des recommandations du Comité de surveillance des activités de renseignement de sécurité ayant trait aux habilitations de sécurité des personnes.
- 5.8Sécurité publique Canada est responsable de ce qui suit :
- 5.8.1Exercer un rôle de leadership et offrir une orientation et des conseils techniques concernant les questions liées à la gestion de la continuité des activités.
- 5.8.2Assurer un leadership opérationnel pour la coordination, l’échange de renseignements et la sensibilisation situationnelle concernant les événements liés à la sécurité relevant de plusieurs ministères ou organismes fédéraux qui peuvent avoir une incidence sur l’ensemble du gouvernement, au niveau intergouvernemental, sur les infrastructures essentielles ou au niveau national.
- 5.8.3Offrir du leadership dans l’établissement des arrangements nécessaires à la continuité du gouvernement constitutionnel en cas d’urgence.
- 5.8.4Diriger la coordination des questions de sécurité nationale et de cybersécurité nationale et l’élaboration de politiques stratégiques connexes.
- 5.9Services publics et Approvisionnement Canada est responsable de ce qui suit :
- 5.9.1Exercer un rôle de leadership et offrir des conseils et une orientation concernant les questions de sécurité des contrats.
- 5.9.2Appuyer et remplir les fonctions dans l’ensemble du gouvernement de l’attribution de codes uniques d’identification de dossier personnel (CIDP) aux ministères et aux organismes et de numéros individuels d’organismes (NIO) aux organismes extérieurs à la fonction publique fédérale; tenir à jour les systèmes de CIDP et de NIO;
- 5.9.3Offrir de l’approvisionnement d’urgence et de l’hébergement d’urgence’ et fournir des services de sécurité pour aider à protéger les renseignements confidentiels confiés aux entreprises canadiennes et étrangères.
- 5.9.4Offrir des services internes intégrés relatifs à la sécurité des contrats, à la sécurité de l’immeuble de base pour les bureaux polyvalents sous sa responsabilité, ainsi qu’à la TI et à la sécurité de la TI à l’appui de la fourniture et de la gestion de certaines applications pangouvernementales.
- 5.9.5Agir à titre d’autorité nationale du gouvernement en matière de sécurité industrielle et, à ce titre, d’autorité désignée en matière de sécurité du Canada à l’OTAN.
- 5.10La Gendarmerie royale du Canada est responsable de ce qui suit :
- 5.10.1Exercer un rôle de leadership et offrir des conseils et une orientation concernant les questions liées à la sécurité matérielle.
- 5.10.2S’acquitter de fonctions pangouvernementales visant les renseignements concernant les menaces criminelles ainsi que les enquêtes criminelles.
- 5.10.3Fournir aux ministères des services liés au filtrage de sécurité, aux contre-mesures de surveillance technique et à la sécurité de personnes désignées.
- 5.11Services partagés Canada est responsable de ce qui suit :
- 5.11.1Planifier, concevoir, construire, exploiter et maintenir des services intégrés d’infrastructure de sécurité informatique efficaces, efficients et adaptés afin de sécuriser les données et les systèmes du gouvernement du Canada dont il est responsable.
- 5.12Le Secrétariat du Conseil du Trésor du Canada est responsable de ce qui suit :
- 5.12.1établir et surveiller une approche de la gestion de la sécurité dans l’ensemble du gouvernement en tant qu’élément-clé de toutes les activités de gestion, en s’assurant de la conduite des examens périodiques de l’efficacité des services de soutien de la sécurité, afin de veiller à ce qu’ils continuent de satisfaire aux besoins du gouvernement dans son ensemble.
- 5.12.2Exercer le rôle de leadership stratégique, offrir des conseils et une orientation sur l’ensemble des questions liées à la sécurité du gouvernement.
- 5.12.3Assurer la surveillance et la coordination stratégiques dans la gestion des événements liés à la sécurité qui peuvent entraîner des incidences sur l’ensemble du gouvernement.
6. Application
- 6.1La Politique sur la sécurité du gouvernement et les instruments d’appui s’appliqueront aux ministères au sens de l’article 2, ainsi qu’aux entités énumérées aux annexes IV et V de la Loi sur la gestion des finances publiques (LGFP), sauf si des lois, règlements ou décrets les en excluent.
- 6.2Les administrateurs généraux des organisations suivantes sont entièrement responsables de la surveillance et d’assurer la conformité avec la présente Politique au sein de leurs organisations :
- Bureau du vérificateur général du Canada
- Bureau du directeur général des élections
- Commissariat au lobbying du Canada
- Commissariat aux langues officielles
- Bureau du Commissariat à l’information du Canada
- Bureau du Commissariat à la protection de la vie privée du Canada
- Commissariat à l’intégrité du secteur public du Canada
- 6.3La section 4.1.9 de la présente Politique s’applique uniquement aux ententes interministérielles qui relèvent du paragraphe 29.2 de la Loi sur la gestion des finances publiques et aux ententes conclues avec des sociétés d’État, d’autres ordres de gouvernements, le secteur privé et d’autres entités non régies par la présente Politique, lorsque le ministère a le pouvoir d’établir de telles ententes.
- 6.4Les ministres de la Couronne, les ministres, et les ministres d’État sont responsables de la sécurité de leurs employés et de leurs bureaux, ainsi que de la sécurité des renseignements et des biens de nature délicate, comme l’exige le premier ministre.
7. Conséquences de la non-conformité
- 7.1Pour obtenir un aperçu des conséquences de la non-conformité, veuillez consulter le Cadre stratégique sur la gestion de la conformité (annexe C : Conséquences pour les institutions et annexe D : Conséquences pour les personnes).
8. Références
- 8.1Instruments législatifs
- Charte canadienne des droits et libertés
- Code canadien du travail
- Code criminel
- Loi sur l’accès à l’information
- Loi sur l’emploi dans la fonction publique
- Loi sur la gestion des urgences
- Loi sur la communication d’information ayant trait à la sécurité du Canada
- Loi sur la gestion des finances publiques
- Loi sur la protection des renseignements personnels
- Loi sur la protection de l’information
- Loi sur les langues officielles
- Règlement canadien sur la santé et la sécurité au travail
- Loi sur la Commission des relations de travail et de l’emploi dans le secteur public fédéral
- 8.2Instruments de politique connexes
- Politique sur les marchés
- Cadre principal des politiques du Conseil du Trésor
- Cadre stratégique de gestion du risque
- Cadre stratégique sur la gestion de la conformité
- Code de valeurs et d’éthique du secteur public
- Politique de planification des investissements – Actifs et services acquis
- Politique sur la gestion des technologies de l’information
- Politique sur la gestion des biens immobiliers
- Politique sur la gestion des projets
- Politique sur la gestion des technologies de l’information
- Politique sur la gestion du matériel
- Politique sur la sécurité et la santé au travail
- Politique sur les services
- Politique sur les résultats
9. Demandes de renseignements
- 9.1Les membres du public peuvent communiquer avec le service des Demandes de renseignements du Secrétariat du Conseil du Trésor du Canada pour toute question en ce qui concerne la présente Politique.
- 9.2Les employés des ministères devraient communiquer avec leur groupe ministériel de la gestion de la sécurité pour toute question en ce qui concerne la présente Politique.
- 9.3Les personnes du groupe de sécurité du ministère peuvent contacter la Division des politiques sur la sécurité au Secrétariat du Conseil du Trésor du Canada par courriel à SEC@tbs-sct.gc.ca pour l’interprétation de tout aspect de la présente Politique.
Annexe A : Mesures de sécurité
La présente annexe décrit les mesures de sécurité qui sont mentionnés à la sous-section 4.1.5 de la présente Politique.
- A.1Le filtrage de sécurité est effectué d’une manière efficace, rigoureuse, uniforme et juste. Il vise à offrir une assurance raisonnable que des personnes dignes de confiance protègent l’information et les actifs du gouvernement, et qu’elles s’acquittent de leurs fonctions avec fiabilité, et à assurer la transférabilité du filtrage de sécurité entre les ministères.
- A.2Les exigences, les pratiques et les mesures relatives à la sécurité de la technologie de l’information sont définies, documentées, mises en œuvre, évaluées, surveillées et tenues à jour à chaque étape du cycle de vie des systèmes d’information, ce qui permet de fournir une assurance raisonnable que les systèmes d’information sont en mesure de protéger adéquatement l’information, sont utilisés d’une façon acceptable, et appuient les programmes, les activités et les services gouvernementaux.
- A.3Les exigences, les pratiques et les mesures liées à la sécurité matérielle sont définies, documentées, mises en œuvre, évaluées, surveillées et tenues à jour à toutes les étapes du cycle de vie de la gestion des biens immobiliers et du matériel, ce qui permet de fournir une assurance raisonnable que les particuliers, l’information et les actifs sont adéquatement protégés, appuyant ainsi la prestation de programmes, de services et d’activités du gouvernement.
- A.4La gestion de la continuité des activités est menée de manière systématique et complète. Elle fournit une assurance raisonnable qu’en cas de perturbation, le ministère pourra garantir un niveau acceptable de prestation des services et des activités critiques, et qu’il sera en mesure de reprendre rapidement les autres services et activités.
- A.5Les exigences, les pratiques et les mesures de sécurité de la gestion des renseignements sont définis, documentés, élaborés, évalués, surveillés et entretenus à chaque étape du cycle de vie de l’information afin de fournir une assurance raisonnable que l’information est adéquatement protégée d’une manière qui respecte les obligations juridiques et autres et pèse le risque de préjudice et de menaces avec le coût d’appliquer des mesures de sauvegarde.
- A.6Les exigences de sécurité liées aux contrats et autres ententes sont déterminées et documentées, et les mesures de sécurité connexes sont mises en œuvre et surveillées à chaque étape du processus d’octroi de contrats ou d’établissement d’ententes, afin de fournir une assurance raisonnable que l’information, les particuliers, les actifs et les services liés au contrat ou à l’entente sont protégés de façon adéquate.
- A.7Les pratiques relative à la gestion des événements liés à la sécurité sont définies, documentées, mises en œuvre et tenues à jour afin d’assurer la surveillance, la réponse et le signalement des menaces, des vulnérabilités, des incidents et d’autres événements liés à la sécurité, et de veiller à ce que de telles activités soient coordonnées de façon efficace au sein du ministère, avec les partenaires et dans l’ensemble du gouvernement, ce qui permet de gérer les incidences possibles, d’appuyer la prise de décisions et de permettre la mettre en œuvre des mesures correctives.
- A.8La sensibilisation et la formation en matière de sécurité sont offertes de façon systématique et complète, et permettent à chaque personne de connaître ses responsabilités en matière de sécurité, de maintenir les connaissances et les compétences nécessaires pour s’acquitter adéquatement de ses fonctions, et offrent une assurance raisonnable que les personnes ne viendront pas mettre sciemment la sécurité en danger et qu’elles comprennent les conséquences potentielles de ne pas s’acquitter de leurs responsabilités en matière de sécurité.
Annexe B : Définitions
- autorisation de sécurité (security authorization)
- Le processus continu d’obtenir et maintenir une décision sur la gestion des risques en matière de sécurité et d’accepter explicitement le risque résiduel fondé sur les résultats de l’évaluation de sécurité.
- cadre de fiabilité (trust framework)
- Dans le contexte de la Directive sur la gestion de l’identité, un ensemble de définitions, de principes, de critères de conformité, de méthode de validation, de normes et de spécifications acceptées.
- >catégorisation de sécurité (security categorization)
- Le processus d’attribuer une catégorie de sécurité aux renseignements, aux actifs et aux services, en fonction du degré de préjudice qui pourrait vraisemblablement résulter de leur compromission.
- compromission (compromise)
- Une violation de la sécurité du gouvernement. Ceci comprend, sans toutefois s’y limiter :
- un accès non autorisé à des renseignements ou des actifs de nature délicate, ou la communication, la modification, l’utilisation, l’élimination ou la destruction de renseignements ou d’actifs de nature délicate, qui pourraient occasionner une perte de confidentialité, d’intégrité, de disponibilité ou de valeur;
- tout agissement, comportement, menace ou geste d’une personne à l’égard d’un employé à son lieu de travail, ou d’une personne au sein d’une installation fédérale qui a causé un dommage ou un préjudice à cet employé ou à cette personne;
- des événements qui engendrent la perte d’intégrité ou de disponibilité des services ou des activités du gouvernement.
- évaluation de sécurité (security assessment)
- Processus continu d’évaluation des pratiques et des mesures de sécurité visant à déterminer dans quelle mesure elles ont été mises en œuvre comme il se doit, à savoir si elles fonctionnent comme prévu et atteignent les résultats escomptés en ce qui a trait au respect des exigences en matière de sécurité.
- événement lié à la sécurité (security event)
- Tout événement, acte, omission ou situation qui pourrait porter atteinte à la sécurité du gouvernement, y compris les menaces, les vulnérabilités et les incidents de sécurité.
- exigence en matière de sécurité (security requirement)
- Une exigence qui doit être satisfaite afin de ramener les risques liés à la sécurité à un niveau acceptable et/ou répondre aux obligations législatives, réglementaires, politiques, contractuelles ou autres, en matière de sécurité.
- fonction de sécurité (security function)
- Activité qui appuie directement la réalisation des objectifs en matière de sécurité du gouvernement, y compris le filtrage de sécurité, la sécurité de la technologie de l’information, la sécurité matérielle, la gestion de la continuité des activités, la sécurité de la gestion de l’information, la sécurité lors de l’octroi de contrats et d’autres ententes, la gestion d’événements liés à la sécurité, et la sensibilisation et la formation en matière de sécurité, et la gestion de l’ensemble de la sécurité (y compris la gouvernance, la planification, la surveillance et l’établissement de rapports).
- haut fonctionnaire (senior official)
- Aux fins de la Politique sur la sécurité du gouvernement, les particuliers désignés par l’administrateur général dans la gouvernance de la sécurité ministérielle comme ayant la responsabilité globale pour les aspects de sécurité d’un programme, d’un service ou d’un secteur d’activités ou pour une fonction de sécurité. Les hauts fonctionnaires peuvent inclure les responsables de programmes, le dirigeant principal des finances, le dirigeant principal de la vérification, le dirigeant principal de l’information, le chef de la protection des renseignements personnels et les divers fonctionnaires désignés en vertu d’une obligation légale, d’une politique du Conseil du Trésor ou de toute autre exigence. Les hauts fonctionnaires comprennent également les particuliers ayant été désignées par les administrateurs généraux des organisations de services internes intégrés afin de superviser leurs activités en matière de services internes intégrés en vertu de la Politique sur la sécurité du gouvernement.
- identité (identity)
- Référence ou désignation utilisée pour distinguer une personne, une organisation ou un appareil unique.
- identité numérique de confiance (trusted digital identity)
- Une représentation électronique d’une personne, utilisée exclusivement par la même personne afin de recevoir des services de valeur et d’exécuter des opérations importantes en toute confiance.
- incident de sécurité (security incident)
- Un événement (ou un ensemble d’événements), un acte, une omission ou une situation qui a entraîné une compromission.
- justificatif (credential)
- Aux fins de la Directive sur la gestion de l’identité, un objet physique ou un identificateur électronique unique est émis à un particulier, une organisation ou un appareil, ou en lien avec un particulier, une organisation ou un appareil.
- menace (threat)
- Tout événement ou acte potentiel, délibéré ou non intentionnel, ou risque naturel susceptible d’entraîner une compromission.
- mesure de sécurité (security control)
- Une mesure juridique, administrative, opérationnelle ou technique pour répondre aux exigences en matière de sécurité. Ce terme est synonyme à mesure de protection.
- organisation de services internes intégrés (internal enterprise service organization)
- Ministère ou organisme qui fournit des services internes intégrés à d’autres ministères du gouvernement du Canada. Ceci comprend les principaux organismes chargés de la sécurité qui fournissent des services de sécurité à l’échelle du gouvernement.
- pratiques de sécurité (security practices)
- Les processus, les procédures et les normes qui gouvernent la mise en œuvre, la surveillance et la tenue à jour des mesures de sécurité.
- preuve de l’identité (evidence of identity)
- Un document provenant d’une source qui fait autorité et qui confirme l’identité d’une personne. Il existe deux catégories de preuves de l’identité : essentielles et à l’appui.
- preuve à l’appui de l’identité (supporting evidence of identity)
- La preuve de l’identité qui corrobore la preuve essentielle et permet d’établir un lien entre l’information d’identification et la personne concernée. Elle peut comprendre également de l’information supplémentaire, comme une photo, une signature ou une adresse.
- preuve de l’identité essentielle (foundational evidence of identity)
- La preuve de l’identité qui comprend de l’information de base, comme le nom de famille, le prénom, la date de naissance et le lieu de naissance. Des exemples comprennent les dossiers de naissance, d’immigration ou de citoyenneté provenant d’une autorité au sein de la compétence pertinente.
- renseignement ou bien de nature délicate (sensitive information or asset)
- Renseignement ou bien dont on peut raisonnablement prévoir que, s’il faisait l’objet d’une compromission, il pourrait causer un préjudice. On entend ici tout renseignement qui peut être admissible à une exemption en vertu de la Loi sur l’accès à l’information ou d’une disposition d’exclusion en vertu de la Loi sur la protection des renseignements personnels. Ceci comprend également les « marchandises contrôlées », de même que toute autre information et biens qui sont assujettis à des interdictions ou à de mesures d’origine législative ou réglementaire.
- risque résiduel (residual risk)
- Aux fins de la Politique sur la sécurité du gouvernement, niveau restant de risque lié à la sécurité après la mise en œuvre de mesures de sécurité et d’autres mesures d’atténuation des risques.
- sécurité de l’immeuble de base (base building security)
- Mesures de sécurité fournies par le responsable d’un immeuble afin de protéger la structure de l’immeuble et son infrastructure.
- sécurité du gouvernement (government security)
- L’assurance de ce qui suit :
- l’information et les actifs qui appuient les programmes du gouvernement sont protégés tout au long de leur cycle de vie contre les menaces à leur confidentialité, leur intégrité et, leur disponibilité ou leur valeur;
- les employés à leur lieu de travail et les personnes qui se trouvent dans des installations fédérales sont protégés contre les agissements, comportements, menaces ou gestes de personnes qui pourraient leur causer un dommage ou un préjudice;
- la continuité des opérations du gouvernement peut être maintenue dans le cadre de situations qui risqueraient de déranger les opérations normales;
- le gouvernement du Canada peut maintenir la prestation des programmes et des services en présence de menaces à leur intégrité ou à leur disponibilité.
- services internes intégrés (internal enterprise services)
- Un service offert par un ministère du gouvernement du Canada à d’autres ministères du gouvernement du Canada, afin d’être distribué à l’échelle du gouvernement.
- service ou activité critique (critical service or activity)
- Un service ou une activité dont la perturbation porterait un préjudice élevé ou très élevé à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens et des Canadiennes, ou encore au fonctionnement efficace du gouvernement du Canada.
- source autorisée (authoritative source)
- Une collection ou un registre de dossiers entretenu par une autorité qui respecte les critères établis.
- vulnérabilité (vulnerability)
- Facteur qui pourrait accroître la susceptibilité à la compromission.
© Sa Majesté le Roi du chef du Canada, représenté par le président du Conseil du Trésor, 2017,
ISBN : 978-0-660-09915-6