Directive sur la gestion de l'identité - Annexe A : Norme sur l'assurance de l'identité et des justificatifs

Modification : 2019-07-01

Renseignements supplémentaires

Directive :

Lignes directrices :

Terminologie :

Hiérarchie

Archives

Cette norme remplace :

Voir tous les instruments inactifs
Version imprimable XML

Glossaire

Administrateur général (Deputy Head)
Administrateur général tel que défini à l'article 11 de la Loi sur la gestion des finances publiques et, dans le cas des Forces canadiennes, le chef d'état-major de la Défense.
assurance

Une mesure de certitude que l'énoncé ou le fait est juste.

assurance de l'identité

Une mesure d'assurance que la personne, l'organisation ou l'appareil est bien celui qu'il affirme être.

assurance des justificatifs

L'assurance qu'une personne, une organisation ou un appareil a conservé le contrôle de ce qui lui a été confié (p. ex., clé, jeton, document, identificateur) et que le justificatif n'a pas été compromis (p. ex., falsifié, corrompu, modifié).

cadre supérieur (executive)
Employé nommé au niveau du groupe de la direction (niveaux EX-01 à EX-05), c.-à-d. un directeur, un directeur général, un sous-ministre adjoint ou l'équivalent.
compromission (compromise)
Accès, divulgation, destruction, suppression, modification, utilisation ou interruption non autorisés de biens ou de renseignements.
confidentialité (confidentiality)
Qualité conférée à des renseignements pour signifier qu'ils ne peuvent être divulgués qu'à des personnes autorisées, afin de prévenir tout préjudice à l'intérêt national ou à d'autres intérêts.
confirmation basée sur les connaissances

Un processus qui permet de comparer de l'information personnelle ou privée (p. ex., secrets partagés) pour de confirmer l'identité d'une personne. Des exemples d'information pouvant être utilisée pour la confirmation basée sur les connaissances comprennent les mots de passe, les numéros d'identification personnelle, les questions personnelles, l'information propre à un programme et l'information financière ou sur le crédit.

confirmation de la possession physique

Un processus qui nécessite la possession physique ou la présentation de preuves pour établir l'identité d'une personne.

confirmation des caractéristiques biologiques ou comportementales

Un processus qui permet de comparer les caractéristiques biologiques (anatomiques et physiologiques) afin d'établir un lien vers une personne, par exemple, la comparaison d'une photo et d'une personne.

confirmation d'un arbitre de confiance

Un processus qui permet de se fier à un arbitre de confiance pour établir un lien avec la personne. L'arbitre de confiance est déterminé selon les critères propres au programme. Des exemples d'arbitres de confiance comprennent les répondants, les notaires et les agents agréés.

connaissance de la situation (situational awareness)
Avoir une compréhension de son environnement et de ce qui se passe pour comprendre comment les événements et les mesures influeront sur les objectifs opérationnels, maintenant et dans un proche avenir. Il est essentiel de bien connaître la situation, de manière précise, actualisée et complète dans tout domaine où la complexité technologique, le processus décisionnel et le bien-être du public interagissent. Comme la gestion des incidents fait intervenir des prédictions et des prévisions, il est essentiel, pour connaître la situation d'un domaine de la TI, de saisir les relations qui existent entre les services et les renseignements essentiels, les mécanismes de protection de l'infrastructure et des processus de TI, de même que l'évolution des menaces.
contrôle de sécurité (security control)
Mesure administrative, opérationnelle, technique, physique ou juridique visant à gérer les risques pour la sécurité. Cette expression est synonyme de protection.
cote de fiabilité (reliability status)
Indique que l'évaluation de fiabilité a été complétée avec succès et donne à la personne visée un accès régulier aux biens gouvernementaux et un accès à des renseignements PROTÉGÉS en fonction du besoin de connaître.
cote de sécurité (security clearance)
Indique que l'évaluation de sécurité a été complétée avec succès; avec un besoin de connaître, permet d'avoir accès à des renseignements classifiés. Il y a trois niveaux : confidentiel, secret et très secret.
disponibilité (availability)
Condition d'être accessible et utilisable de manière fiable et en temps opportun.
enquête de sécurité (security screening)
Toute mesure permettant d'obtenir un degré élevé d'assurance qu'une personne peut se voir accorder des privilèges d'accès spécifiques au sein du gouvernement fédéral.
fédération

Une entente de coopération entre des entités autonomes qui ont accepté de travailler ensemble. Une fédération repose sur des relations de confiance et des normes pour faciliter l'interopérabilité.

gestion de l'identité (identity management)
Ensemble des principes, pratiques, politiques, processus et procédures utilisés pour réaliser le mandat de l'organisation et ses objectifs liés à l'identité.
gestion des urgences (emergency management)
La prévention et l'atténuation des situations d'urgence, la préparation et de la réaction à ces situations ainsi que le rétablissement des activités.
identité (identity)
Référence ou désignation utilisée pour distinguer une personne, une organisation ou un appareil unique et particulier.
incident complexe de sécurité des TI (sophisticated IT security incident)
Événement habituellement déclenché par les auteurs d'une menace complexe qui est compliqué à détecter, dont il est difficile de se remettre, qui cause un préjudice aux réseaux et systèmes du gouvernement du Canada et qui porte atteinte à la confidentialité, à l'intégrité et à la disponibilité de l'information.
incident de sécurité (security incident)
Tout acte de violence en milieu de travail manifestée à l'endroit d'un employé ou tout acte, événement ou omission pouvant entraîner la compromission d'informations, de biens ou de services.
intérêt national (national interest)
La sécurité du Canada ainsi que sa stabilité sociale, politique et économique.
interopérabilité (interoperability)
Capacité des ministères fédéraux de fonctionner en synergie au moyen de pratiques cohérentes de gestion de la sécurité et de l'identité.
justificatif

Un objet physique ou électronique unique (ou identificateur) émis à une personne, une organisation ou un appareil ou en lien avec celui-ci.

menace (threat)
Événement ou acte délibéré ou accidentel qui pourrait porter préjudice aux personnes, à l'information, aux biens ou aux services.
menace complexe à la sécurité des TI (sophisticated IT security threat)
Entité qui recourt à des technologies de pointe et à des procédés perfectionnés pour pénétrer ou contourner des systèmes de protection et des technologies de sécurité sans être décelée.
ministère (department)
Les ministères mentionnés à l'annexe I, les divisions ou directions de l'administration publique fédérale mentionnées à la colonne I de l'annexe I, et les secteurs de l'administration publique fédérale mentionnés aux annexes IV et V de la Loi sur la gestion des finances publiques (LGFP), sauf s'ils en sont exclus en vertu d'une loi, d'un règlement ou d'un décret particulier.
niveau d'assurance

Un niveau d'assurance sur lequel d'autres peuvent se fier.

niveau d'assurance de l'identité

Le niveau d'assurance que la personne, l'organisation ou l'appareil est bien celui qu'il affirme être.

niveau d'assurance du justificatif

Le niveau d'assurance qu'une personne, une organisation ou un appareil a conservé le contrôle de ce qui lui a été confié (p. ex., clé, jeton, document, identificateur) et que le justificatif n'a pas été compromis (p. ex., falsifié, corrompu, modifié).

organisme de remise (remittance agency)
Organisation de l'extérieur de la fonction publique fédérale à laquelle les institutions gouvernementales fédérales remettent des sommes d'argent pour le compte des employés (p. ex. des organismes de bienfaisance, des institutions financières et des administrateurs d'assurance).
partie ayant autorité

Un membre de la fédération qui offre des assurances (de justificatifs ou d'identité) à d'autres membres (parties utilisatrices).

partie en confiance

Un membre de la fédération qui reçoit des assurances (de justificatifs ou d'identité) d'un autre membre (la partie ayant autorité).

planification de la continuité des activités (business continuity planning)
Élaboration et exécution en temps opportun de plans, de mesures, de procédures et de dispositions afin d'éviter ou de minimiser toute interruption de la disponibilité des services et des biens essentiels.
preuve à l'appui de l'identité

La preuve de l'identité qui corrobore la preuve essentielle et permet d'établir un lien entre l'information d'identification et la personne concernée. Elle peut comprendre également de l'information supplémentaire, comme une photo, une signature ou une adresse. Des exemples comprennent le dossier d'assurance sociale; le dossier de droit de se déplacer, de conduire ou d'obtenir de l'assurance maladie; le dossier de mariage, de décès ou de changement de nom provenant d'une autorité compétente.

preuve de l'identité

Un document provenant d'une source qui fait autorité et qui confirme l'identité d'une personne. Il existe deux catégories de preuves de l'identité: essentielles et à l'appui.

preuve de l'identité essentielle

La preuve de l'identité qui comprend de l'information de base, comme le nom de famille, le prénom, la date de naissance, le sexe et le lieu de naissance. Des exemples comprennent les dossiers de naissance, d'immigration ou de citoyenneté provenant d'une autorité au sein de la compétence pertinente.

renseignement électromagnétique (SIGINT) (Signals intelligence (SIGINT))

Information technique ou renseignement comportant (seul ou en combinaison) du renseignement sur les communications (COMINT), du renseignement électronique (ELINT) et du renseignement tiré de signaux d'instrumentation étrangers (FISINT).

renseignement électronique (ELINT)
Information technique ou renseignement tiré de la collecte, du traitement et de l'analyse d'émissions électromagnétiques autres que de communications.
renseignement tiré de signaux d'instrumentation étrangers (FISINT)
Information technique ou renseignement tiré de la collecte, du traitement et de l'analyse de signaux d'instrumentation étrangers par une personne autre que le destinataire prévu.
renseignement sur les communications (COMINT)
Information technique ou renseignement tiré de l'exploitation, par une personne autre que le destinataire prévu, de systèmes de télécommunications, de systèmes et de réseaux de technologie de l'information, ainsi que de toute donnée ou information technique véhiculée par ceux-ci, contenue dans ceux-ci ou s'y rapportant.
risque (risk)
Incertitude que peut engendrer l'exposition à des événements ou résultats non désirés. Il s'agit de l'expression de la probabilité et de l'incidence d'un événement susceptible de nuire à la réalisation des objectifs d'une organisation.
risque en lien avec l'identité

Le risque qu'une personne, une organisation ou un appareil ne soit pas celui qu'il affirme être.

sécurité des communications (COMSEC) (Communications Security (COMSEC))
Application de mesures de sécurité cryptographique, de sécurité des transmissions et des émissions et de sécurité matérielle ainsi que de pratiques et de mécanismes de contrôle opérationnels pour empêcher tout accès non autorisé à l'information issue de télécommunications et pour garantir l'authenticité de ces télécommunications.
service critique (critical service)
Service dont la compromission, du point de vue de la disponibilité ou de l'intégrité, porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada.
source autorisée

Une collection ou un registre de dossiers entretenu par une autorité qui respecte les critères établis.

urgence (emergency)
Événement présent ou imminent, y compris les incidents liés aux technologies de l'information, nécessitant des actions rapides et coordonnées pour protéger la santé, la sécurité ou le bien-être de personnes ou encore pour limiter les dommages à des biens ou à l'environnement.
violence en milieu de travail (workplace violence)
Agissement, conduite, menace ou geste qui pourrait vraisemblablement causer un dommage, des blessures ou une maladie à un employé en milieu de travail.
vulnérabilité (vulnerability)
Insuffisance liée à la sécurité qui pourrait accroître la susceptibilité à la compromission ou au préjudice.
Date de modification :