Annulée [2017-04-01] - Directive sur l'authentification et l'autorisation électroniques des opérations financières
Cette page a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Archives
Cette directive est remplacée par :
Cette directive remplace :
Voir tous les instruments inactifs1 Date d'entrée en vigueur
1.1 La présente directive entre en vigueur le 1er mars 2012.
1.2 Elle remplace la Politique sur l'autorisation et l'authentification électroniques (datée du 15 juillet 1996).
2 Application
2.1 La présente directive s'applique aux ministères répondant à la définition donnée à l'article 2 de la Loi sur la gestion des finances publiques.
2.2 Le paragraphe 6.5.2 de la présente directive, qui autorise le contrôleur général à assurer la surveillance de la conformité au sein des ministères et à demander à ceux-ci de prendre des mesures correctives, ne s'applique pas à l'égard du Bureau du vérificateur général, du Commissariat à la protection de la vie privée du Canada, du Commissariat à l'information du Canada, du Bureau du directeur général des élections, du Commissariat au lobbying, du Commissariat aux langues officielles ni du Commissariat à l'intégrité du secteur public. Les administrateurs généraux de ces organismes sont les uniques responsables de la surveillance et de la conformité à la présente directive dans leur organisme respectif et des mesures à prendre en cas de non-conformité, en vertu des instruments du Conseil du Trésor servant à gérer la conformité.
2.3 La présente directive ne s'applique pas aux demandes électroniques envoyées au receveur général (RG) visant des paiements et des règlements à partir du Trésor parce qu'elles sont régies par les exigences du Règlement de 1997 sur les demandes de paiement et de règlement.
2.4 Les ministères peuvent choisir à appliquer le principe de la présente directive aux opérations non financières.
3 Contexte
3.1 La présente directive appuie la Politique sur le contrôle interne en exposant les responsabilités des Dirigeants principaux des finances et d'autres personnes en matière de maintien de l'intégrité des opérations financières électroniques et des authentifications et autorisations électroniques connexes.
3.2 Compte tenu des progrès incessants de la technologie et de l'importance de veiller à ce que les activités soient aussi efficaces et efficientes que possible, les systèmes administratifs gouvernementaux s'orientent vers des systèmes en ligne qui supportent le traitement des opérations financières par l'intermédiaire de processus d'authentification et d'autorisation électroniques et permettent l'élimination des signatures manuscrites.
3.3 Des contrôles appropriés, qu'ils soient manuels ou électroniques, sont essentiels aux opérations financières. L'intégrité des contrôles qui régissent le pouvoir de verser des paiements au nom du gouvernement est primordiale au maintien de la confiance du public. C'est pourquoi la Loi sur la gestion des finances publiques (LGFP) (y compris les articles 34 et 33) précise les genres d'approbation et de certification requis avant que tout paiement ne soit effectué à partir du Trésor. Les personnes qui exercent le pouvoir de faire des paiements à partir du Trésor sont responsables de l'utilisation des crédits et, par conséquent, elles doivent avoir confiance dans la validité de l'opération avant d'accorder toute approbation ou certification. Des contrôles semblables doivent être en place pour les revenus et les dépôts faits au Trésor et pour toute opération comptable et rajustement qui affectent le Système central de comptabilité. Les systèmes de technologies de l'information et les contrôles internes qui s'y rattachent doivent pouvoir fournir les assurances nécessaires.
3.4 Les ministères doivent, par conséquent, veiller à ce que des contrôles efficaces soient en place pour préserver l'intégrité de leurs opérations financières électroniques. Cette mesure comprend les processus d'authentification et d'autorisation électroniques fournis par le groupe de Technologie de l'information (TI) qui peuvent être appliqués conjointement avec des contrôles non liés à la TI.
3.5 L'intégrité des opérations financières électroniques implique que les opérations ainsi que les authentifications et autorisations électroniques connexes sont protégées contre l'accès, l'exercice de pouvoirs ou la divulgation non autorisés, la répudiation, la destruction, la suppression, la modification, l'utilisation malveillante, l'incomplétude et l'inexactitude. Il s'agit notamment de veiller à ce que l'autorisation électronique soit unique pour chaque personne, à ce que la personne qui accorde l'autorisation puisse être identifiée, à ce que l'intégrité de l'autorisation soit maintenue pour assurer la responsabilisation et la protection de la personne qui assume la responsabilité et à ce que, le cas échéant, l'intégrité des matrices de délégation électroniques soit préservée.
3.6 Conformément à la Politique sur le contrôle interne et à la Politique sur la sécurité du gouvernement, on s'attend à ce que les ministères établissent des contrôles efficaces sont équilibrés et proportionnels aux risques qu'ils visent à atténuer, et qui tiennent compte du type d'opérations financières et des risques qui y sont associés.
3.7 Pour ce faire, on s'attend à ce que les ministères évaluent et déterminent le degré approprié d'assurance ou le degré acceptable d'exigences en matière de sécurité en fonction des risques que présente chaque type d'opération financière utilisant des authentifications et des autorisations électroniques. Il s'agit notamment d'identifier et de documenter les risques clés associés à chaque étape du processus d'autorisation et d'identification, de déterminer le degré d'assurance applicable à leur égard, de confirmer que les contrôles sont en place comme prévu et qu'ils donnent le degré d'assurance nécessaire, et de surveiller et réévaluer périodiquement les contrôles clés pour confirmer qu'ils fonctionnent bien au fil du temps et qu'ils demeurent efficaces. Ces risques et ces contrôles clés s'inscrivent dans le système plus vaste de contrôles internes en matière de rapports financiers. Ils comprennent des contrôles à l'échelle de l'organisation ou de l'entité, à l'échelle des processus opérationnels et à l'échelle générale de la TI ou du réseau.
3.8 Tout au long de ce processus de diligence raisonnable, les Dirigeants principaux des finances avec d'autres cadres supérieurs des ministères ont des rôles clés à jouer. Les responsabilités sont également partagées avec les Dirigeants principaux de l'information ou les titulaires de postes équivalents, les cadres supérieurs responsables de la gestion de l'information (GI) dans les ministères et les agents de sécurité des ministères (ASM), qui ont tous des responsabilités précises et une expertise particulière concernant les contrôles reposant sur des systèmes.
3.9 La présente directive est émise en vertu de l'article 7 de la Loi sur la gestion des finances publiques.
3.10 La présente directive soutient la Politique sur le contrôle interne. En outre, la Politique sur la sécurité du gouvernement requiert que l'information, les actifs et les services du gouvernement soient protégés, qu'ils fassent l'objet d'une évaluation continue du risque et qu'il y ait un suivi et un maintien continus des contrôles internes dans ce contexte. La directive doit également être lue de concert avec les documents suivants :
- Directive sur la gestion de la sécurité ministérielle
- Ligne directrice sur la définition des exigences d'authentification
4 Définitions
Les définitions à utiliser pour l'interprétation de la présente directive figurent à l'annexe.
5 Énoncé de la directive
5.1 Objectif
L'intégrité des opérations financières électroniques est maintenue par des authentifications et des autorisations appropriées, et les contrôles internes sont proportionnelles aux risques.
5.2 Résultats attendus
- Les risques se rapportant à l'authentification et l'autorisation électroniques sont atténués efficacement grâce à l'utilisation de contrôles internes efficaces qui tiennent compte du type d'opérations financières et des risques qui y sont associés.
- L'intégrité des opérations financières électroniques et des authentifications et autorisations connexes atténue efficacement l'accès, l'exercice de pouvoirs ou la divulgation non autorisés, la répudiation, la destruction, la suppression, la modification, l'utilisation malveillante, l'incomplétude et l'inexactitude.
6 Exigences
6.1 Les Dirigeants principaux des finances ont la responsabilité :
6.1.1 de diriger et de coordonner la mise sur pied et la tenue à jour de systèmes ministériels efficaces de contrôle interne pour préserver l'intégrité des opérations financières par l'intermédiaire d'authentifications et d'autorisations électroniques;
6.1.2 d'obtenir un niveau d'assurance approprié que les risques à l'intégrité des opérations financières ont été adéquatement évalués et que les contrôles clés visant à atténuer ces risques sont documentés, en place comme prévu et fonctionnent efficacement de manière continue. Des contrôles efficaces permettent de veiller :
- à ce que l'accès aux systèmes électroniques servant à stocker ou à traiter des opérations financières ou des opérations liées aux finances soit limité aux personnes qui en ont besoin pour exécuter leurs tâches;
- à ce que l'information d'authentification de l'utilisateur, comme les identificateurs et les mots de passe, soit correctement protégée et gérée, et à ce que les utilisateurs comprennent leurs responsabilités;
- à ce qu'au moment de l'autorisation, l'identité de la personne qui autorise l'opération soit authentifiée et à ce que la preuve d'autorisation soit liée à chaque opération qui a été autorisée;
- à ce que les personnes autorisées qui approuvent les opérations, y compris celles qui assurent la vérification des comptes, surveillent l'exactitude et le bien-fondé des opérations et à ce qu'elles soient informées de leurs responsabilités;
- à ce que l'autorisation soit conforme aux matrices de délégation des pouvoirs approuvées du ministère qui sont en place au moment de l'autorisation et au principe de séparation des responsabilités;
- à ce qu'une piste de vérification soit maintenue et à ce que la conservation et la disposition des dossiers soient gérées conformément aux lois, aux règlements et aux instruments de politique applicables, de façon à ce que la séquence des événements et les opérations traitées puissent être reconstruites aux fins d'une vérification, d'une enquête ou d'un examen.
6.1.3 de recommander à l'administrateur général que des capacités d'authentification et d'autorisation électroniques des opérations financières soient instaurées s'il y a lieu, et de quelle façon et à quel moment elles peuvent l'être, compte tenu du type d'opérations financières, des risques qui y sont associés et des contrôles clés déjà en place ou devant être mis en œuvre.
6.2 Les dirigeants principaux de l'information ou les titulaires de postes équivalents ont la responsabilité de :
6.2.1 fournir au Dirigeant principal des finances des assurances attestant que les contrôles relatifs aux technologies de l'information et à la gestion de l'information, qui relève de leur secteur de responsabilité, sont en place et fonctionnent efficacement pour soutenir l'intégrité continue des opérations financières électroniques et des authentifications et autorisations connexes.
6.3 Les agents de sécurité du ministère (ASM) ont la responsabilité de ;
6.3.1 fournir au Dirigeant principal des finances des assurances attestant que les contrôles relatifs à la gestion de la sécurité, qui relève de leur secteur de responsabilité, sont en place et fonctionnent efficacement pour soutenir l'intégrité continue des opérations financières électroniques et des authentifications et autorisations connexes.
6.4 Les cadres supérieurs ont la responsabilité de :
6.4.1 fournir au Dirigeant principal des finances des assurances attestant que les contrôles clés qui relèvent de leur secteur de responsabilité sont en place et fonctionnent efficacement pour soutenir l'intégrité continue des opérations financières électroniques et des authentifications et autorisations connexes.
6.5 Exigences en matière de suivi et de rapport
6.5.1 Les Dirigeant principaux des finances ont la responsabilité d'appuyer leur administrateur général en supervisant la mise en œuvre et la surveillance de la présente directive dans son ministère, en portant à l'attention de l'administrateur général toute difficulté importante, les lacunes en matière de rendement ou les problèmes de conformité, en élaborant des propositions pour régler ces problèmes, et également en faisant rapport au Bureau du contrôleur général des problèmes importants en matière de rendement ou de conformité.
6.5.2 Le contrôleur général a la responsabilité de surveiller la conformité des ministères aux exigences de la présente directive et de mener un examen dans un délai de cinq à huit ans.
7 Conséquences
7.1 En cas de non-conformité, il incombe à l'administrateur général de prendre des mesures correctives dans son organisation, de concert avec les personnes responsables de la mise en œuvre des exigences de la présente directive.
7.2 En appui à la responsabilité qui incombe aux administrateurs généraux de mettre en œuvre la Politique sur le contrôle interne, la Politique sur la gérance des systèmes de gestion financière et les instruments connexes, le dirigeant principal des finances veille à ce que des mesures correctives soient prises afin de régler les cas de non-conformité aux exigences de la présente directive. Ces mesures correctives peuvent comprendre une formation supplémentaire, des changements aux procédures et aux systèmes, la suspension ou le retrait des pouvoirs délégués, des mesures disciplinaires et toutes autres mesures appropriées.
7.3 Il faut rappeler à toute personne que les articles 76 à 81 de la Loi sur la gestion des finances publiques (Responsabilité civile et infractions) peuvent s'appliquer, de même que les articles 121 (Fraudes envers le gouvernement), 122 (Abus de confiance), 322 (Vol) et 380 (Fraude) du Code criminel.
8 Rôles et responsabilités des organisations gouvernementales
Cette section identifie les autres intervenants importants qui ont un rôle à jouer relativement à la présente directive. Elle ne confère en soi aucun pouvoir.
8.1 Le Bureau du contrôleur général du Secrétariat du Conseil du Trésor a la responsabilité de l'élaboration, de la surveillance et de la mise à jour de la présente directive, et de fournir des conseils concernant son interprétation.
8.2 La Direction du dirigeant principal de l'information du Secrétariat du Conseil du Trésor a la responsabilité :
- d'élaborer et de communiquer des politiques en matière de sécurité, de TI et de GI;
- d'élaborer et de communiquer des politiques, des directives, des normes et des lignes directrices concernant l'authentification et l'autorisation électroniques.
8.3 Le Receveur général du Canada a la responsabilité :
- de traiter, de surveiller et de contrôler les fonds publics au nom du gouvernement du Canada;
- de contrôler l'octroi, le remboursement et la validation des instruments de paiement à partir du Trésor;
- de gérer les systèmes à l'échelle du gouvernement relatifs aux paiements, aux dépôts, à la comptabilité centrale et aux rapports;
- de fournir des conseils et des directives sur des questions relatives aux paiements et aux dépôts ainsi que sur des questions de comptabilité et de rapports.
8.4 Travaux publics et services gouvernementaux du Canada (TPSGC) a la responsabilité :
- d'administrer les systèmes de rémunération et de pension à l'échelle du gouvernement;
- de fournir des services partagés de TI, y compris des services de gestion et d'authentification des justifications qui prennent en charge la prestation des programmes et des services ministériels en ligne.
8.5 La Bibliothèque et Archives Canada (BAC) a la responsabilité d'administrer la Loi sur la Bibliothèque et les Archives du Canada. En particulier :
- de fournir des directives et de l'aide concernant la tenue des livres pour le gouvernement du Canada;
- de déterminer, sélectionner, acquérir et conserver les documents gouvernementaux ayant une valeur durable pour le Canada, conformément à la Loi sur la Bibliothèque et les Archives du Canada, à titre de patrimoine documentaire, quel que soit leur support;
- d'émettre des autorisations de disposition des documents, conformément à l'article 12 de la Loi sur la Bibliothèque et les Archives du Canada, pour permettre aux ministères d'exécuter leurs plans de conservation et d'élimination des documents;
- de gérer et protéger les documents essentiels et les documents consultés moins souvent des ministères fédéraux;
- d'aider les ministères fédéraux à faire en sorte que l'information qu'ils publient soit facilement accessible aux décideurs.
9 Références
9.1 Autres lois et règlements pertinents
9.2 Instruments de politique et publications connexes
- Politique sur le contrôle interne
- Politique sur la gérance des systèmes de gestion financière
- Politique sur la sécurité du gouvernement
- Cadre de politique stratégique sur l'information et la technologie
- Politique sur la gestion de l'information
- Politique sur la gestion des technologies de l'information
- Directive sur la vérification des comptes
- Directive sur la délégation des pouvoirs financiers pour les dépenses
- Directive sur les demandes de paiement et le contrôle des chèques
- Directive sur la gestion de la sécurité ministérielle
- Directive sur les rôles et responsabilités en matière de gestion de l'information
- Directive sur la tenue des documents
- Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI)
- Ligne directrice sur la définition des exigences d'authentification
- Enregistrements électroniques – Preuve documentaire, Office des normes générales du Canada (CAN/CGSB-72.34-2005)
- Microfilms et images électroniques – Preuve documentaire, Office des normes générales du Canada (CAN/CGSB-72.11-93)
10 Demandes de renseignements
Veuillez adresser les demandes de renseignements concernant la présente directive à l'administration centrale de votre ministère. Pour l'interprétation de la présente directive, les responsables de l'administration centrale des ministères devraient communiquer avec :
Division de la politique de gestion financière
Secteur de la gestion financière
Bureau du contrôleur général
Secrétariat du Conseil du Trésor du Canada
L'Esplanade Laurier, 8e étage, tour Ouest
300, avenue Laurier Ouest
Ottawa (Ontario) K1A 0R5
Courriel : fin-www@tbs-sct.gc.ca
Téléphone : 613-957-7233
Télécopieur : 613-952-9613
Annexe – Définitions
- authentification électronique (electronic authentication)
- Processus par lequel on vérifie qu'un individu (une personne, une organisation ou un dispositif) est l'utilisateur unique et légitime.
- autorisation électronique (electronic authorization)
- Processus par lequel un utilisateur authentifié se voit accorder la capacité de rendre des approbations par voie électronique et d'exercer ces pouvoirs à l'égard d'opérations financières électroniques.
- information d'authentification de l'utilisateur (user authentication information)
- Information servant notamment à appuyer l'authentification électronique d'un utilisateur, tels que mots de passe, identificateurs, attributs biométriques, secrets partagés, tendances d'utilisation, etc.
- intégrité des opérations financières électroniques (integrity of electronic financial transactions)
- Opérations qui sont adéquatement protégées contre l'accès, l'exercice de pouvoirs ou la divulgation non autorisés, la destruction, la suppression, la modification, la répudiation, l'incomplétude et l'inexactitude.
- opération financière (financial transaction)
- Événement, demande, mesure ou engagement qui a des répercussions pécuniaires, comme l'acquisition, la disposition ou l'utilisation de biens ou de ressources; l'augmentation ou la réduction d'un passif; ou la réception, le paiement ou le décaissement de fonds.
- piste de vérification (audit trail)
- Ensemble des éléments et des preuves qui permettent de retracer un processus, incluant l'authentification ou l'autorisation, du début à la fin. Les éléments et les preuves comprennent les matrices de délégation de pouvoirs, les profils d'utilisateurs et les données et fichiers qui sont nécessaires pour reconstruire la séquence des événements et les opérations traitées.