Directive en matière de sécurité des TI sur le signalement et l’évaluation des incidents COMSEC (ITSD-05A)

Avant-propos

La Directive en matière de sécurité des TI sur le signalement et l’évaluation des incidents COMSEC (ITSD-05A) est un document NON CLASSIFIÉ publié avec l’autorisation du chef du Centre de la sécurité des télécommunications, conformément à la Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor du Canada.

La présente directive remplace toutes les versions antérieures de l’ITSD-05. Par conséquent, ces versions précédentes sont considérées comme périmées et doivent être détruites conformément aux procédures ministérielles en matière de disposition de l’information du gouvernement.

Les demandes de renseignements généraux et les suggestions de modification doivent être transmises aux Services à la clientèle en matière de COMSEC, du Centre de la sécurité des télécommunications, par l’entremise des responsables de la COMSEC du ministère.

Le cas échéant, le Centre de la sécurité des télécommunications informera les utilisateurs des changements apportés au présent document.

Table des matières

Annexe A

Liste des figures

Résumé des changements apportés à l’ITSD-05 aux fins de l’ITSD-05A
Référence Modification
Dans l’ensemble du document
  • L’agent de sécurité du ministère (ASM) a été remplacé par le dirigeant principal de la sécurité (DPS) conformément à la nouvelle Politique sur la sécurité du gouvernement publiée le 1er juillet 2019.
  • L’agent de sécurité de l’organisation de services intégrés (OSI) et l’autorité COMSEC de l’OSI ont été ajoutés suivant l’introduction du modèle de service d’entreprise en 2015;
  • La définition d’un incident compromettant a été révisée de manière à exclure « accès [...] visuel non autorisé au MCC »;
  • L’acronyme d’incident compromettant (IC) a été ajouté et est maintenant utilisé.
Section 2.3
  • Ajout d’une section traitant du rôle d’agent de sécurité de l’entreprise du secteur privé et de ses responsabilités en ce qui concerne le signalement d’incidents COMSEC.
Section 4.2
  • Un rapport initial d’incident COMSEC (RIIC) doit être rempli pour toutes les pratiques dangereuses pour la sécurité (PDS) et conservé localement au dossier.
Section 4.4
  • Les PDS qui surviennent à répétition peuvent être transformées en incident compromettant (IC).
Section 4.4.1
  • Les RIIC des PDS, ou une feuille de calcul résumant les PDS, doivent être soumis chaque année au Bureau national des incidents COMSEC (BNIC) et fournis à l’équipe de vérification COMSEC à l’échelle nationale (EVCN) avant chacune des vérifications cycliques.
Section 4.5
  • Les exigences relatives à la classification des rapports d’incident ont été clarifiées.
Annexe A
  • Une liste des incidents compromettants (IC) et des PDS (par type) a été fournie, avec des exemples.
 

REMARQUE : Il incombe à l’utilisateur de mettre en œuvre toutes les exigences de sécurité décrites dans la présente ITSD.

La présente doctrine entre en vigueur au moment de sa signature.

Document original en anglais signé par
Scott Jones
Dirigeant principal, Centre canadien pour la cybersécurité
le 22 avril 2021

Il est permis de faire des copies physiques ou électroniques de certaines parties ou de la totalité de la présente publication à des fins officielles du gouvernement du Canada uniquement.

Idéalement, tout le personnel de la COMSEC devrait lire l’intégralité de la présente doctrine. Toutefois, les sections suivantes sont mises en évidence puisqu’elles font état de changements majeurs.

La Politique sur la sécurité du gouvernement (PSG) du Secrétariat du Conseil du Trésor (SCT) fait mention des principaux organismes responsables de la sécurité et des responsabilités qu’il leur incombe de fournir du leadership, des conseils, des services et une orientation en vue de soutenir le gouvernement du Canada (GC) pour ce qui est de maintenir des niveaux de sécurité acceptables, d’atteindre ses objectifs stratégiques et de satisfaire aux impératifs en matière de prestation de services. Tel qu’il est indiqué dans la PSG, le Centre de la sécurité des télécommunications (CST) a pour rôle d’aider à assurer la protection de l’information électronique et des infrastructures d’information importantes pour le GC, et d’agir à titre d’organisme responsable de la sécurité des communications (COMSEC pour Communications Security).

La COMSEC est l’application de mesures de sécurité cryptographique, de sécurité des transmissions et des émissions, et de sécurité matérielle, ainsi que de pratiques et de mécanismes de contrôle opérationnels, visant à empêcher tout accès non autorisé à l’information issue de télécommunications et à garantir l’authenticité de ces télécommunications.

1.1 Autorité

Cette directive est diffusée conformément à la PSG, en vertu de laquelle le CST est l’autorité nationale en matière de COMSEC. Le CST élabore, approuve et diffuse des instruments de politique liés à la COMSEC, des lignes directrices et des outils s’appliquant à la sécurité des technologies de l’information (TI).

1.2 Objet

Cette directive énonce les exigences minimales en matière de signalement et d’évaluation des incidents COMSEC touchant le matériel COMSEC (tel qu’il est indiqué à la section 1.3), qui sont applicables aux ministères du GC, aux organisations de services intégrés, aux organisations d’autres ordres du gouvernement parrainées par le GC et aux entreprises du secteur privé canadien parrainées par le GC.

Se reporter à la section 3.1 pour la définition d’un incident COMSEC.

1.3 Portée

La présente directive s’applique aux incidents COMSEC suivants :

  • au matériel COMSEC comptable (MCC) national;
  • au matériel de l’Organisation du Traité de l’Atlantique Nord (OTAN, ou NATO pour North Atlantic Treaty Organization), du Combined Communications Electronics Board (CCEB) et des pays alliés qui a été confié au Canada dans le cadre d’ententes de partenariat internationales;
  • au matériel COMSEC géré par un compte COMSEC en cours de réalisation (IP pour In-Process);
  • à tout autre matériel COMSEC qui peut ou non être classifié, et qui n’est pas comptabilisé dans le Système national de contrôle du matériel COMSEC (SNCMC), mais dont le contrôle doit être effectué par l’intermédiaire d’un système de registres local.

REMARQUE : Sauf indication contraire, le terme « matériel COMSEC » désignera ci-après tout le matériel mentionné précédemment.

1.4 Contexte

Le SCT exige que les ministères respectent les contrôles de sécurité définis à l’annexe A de la PSG, notamment ceux qui concernent les exigences en matière de sécurité des TI, les pratiques et les contrôles nécessaires pour « fournir une assurance raisonnable que les systèmes d’information sont en mesure de protéger adéquatement l’information, sont utilisés d’une façon acceptable, et appuient les programmes, les activités et les services gouvernementaux ». Cette initiative vise à soutenir le CST dans le cadre du mandat qui lui a été confié en matière de sécurité des TI, tel qu’il est indiqué dans la PSG et la Directive sur la gestion de la sécurité (DGS).

1.5 Application

La présente directive s’applique aux ministères du GC, aux organisations de services intégrés, aux organisations d’autres ordres du gouvernement parrainées par le GC et aux entreprises du secteur privé canadien parrainées par le GC, qui sont autorisés à manutentionner, contrôler et protéger le matériel COMSEC approuvé par le CST qui est conçu pour assurer la protection de l’information et des données classifiées et protégées du GC.

Dans le contexte de la présente directive, le terme :

  • « ministère du GC » comprend toute institution fédérale (p. ex. un ministère, un organisme, une organisation) mentionnée à l’article 2 de la Loi sur la gestion des finances publiques (LGFP) ou toute entité mentionnée aux annexes IV et V du même document, à moins d’avoir été exclues en vertu d’une loi, d’une réglementation ou d’un décret en particulier;

REMARQUE : Sauf indication contraire, le terme « ministère du GC » comprend les organisations de services intégrés (OSI).

  • « organisations d’un autre ordre du gouvernement » comprend les organisations gouvernementales à l’échelle provinciale, municipale et locale (p. ex. organisme d’application de la loi);
  • « entreprises du secteur privé canadien », ci-après désignées « entreprises du secteur privé », comprend les entreprises, les organisations ou les citoyens canadiens qui ne sont pas assujettis à la LGFP ou ne relèvent pas d’un gouvernement provincial ou municipal. Il comprend également les industries basées au Canada (ou d’autres organisations non gouvernementales) où la sécurité est gérée dans le cadre du programme de sécurité industrielle (PSI) de Services publics et Approvisionnement Canada (SPAC).

1.6 Conformité

Les ministères du GC, les organisations d’autres ordres du gouvernement et les entreprises du secteur privé (tels que mentionnés à la section 1.5) qui manutentionnent le matériel COMSEC doivent se conformer aux exigences de base en matière de signalement et d’évaluation des incidents COMSEC décrites dans la présente directive.

Bien que le respect de ces exigences minimales relève de chaque ministère du GC, organisation d’autres ordres du gouvernement et entreprise du secteur privé, rien n’empêche ceux-ci d’appliquer des exigences plus rigoureuses. Les directives ministérielles qui imposent des exigences minimales plus strictes que celles qui sont énoncées dans la présente directive ont préséance au sein du ministère en question.

1.6.1 Conséquence de la non-conformité

La non-conformité à la présente directive peut donner lieu à l’application de contrôles administratifs accrus sur un compte COMSEC. Dans des circonstances extrêmes, un compte COMSEC sera suspendu ou fermé jusqu’à ce qu’une vérification soit effectuée par le CST et que les lacunes relevées pour le compte COMSEC soient corrigées.

1.6.2 Mesure disciplinaire

Toute mesure disciplinaire jugée appropriée suivant les circonstances relève entièrement de la compétence des autorités ministérielles du GC (p. ex. le dirigeant principal de la sécurité [DPS] ou l’agent de sécurité de l’OSI [ASO]). Le fait d’omettre de signaler un incident COMSEC est considéré comme « une négligence volontaire ou grossière » et doit être évalué en conséquence.

1.7 Résolution de conflits

Tout écart entre la présente directive en matière de sécurité des technologies de l’information (ITSD pour Information Technology Security Directive) et toute autre publication faisant autorité à l’échelle nationale (p. ex. une autre ITSD, la PSG ou la DGS) doit être porté à l’attention des Services à la clientèle en matière de COMSEC (SCC) aux fins de résolution.

1.8 Demandes d’exception ou d’exemption

Les demandes d’exception (substitution) ou de dispense (exemption temporaire à une exigence donnée) doivent être formulées par écrit, accompagnées d’un justificatif et soumises aux SCC par l’autorité COMSEC du ministère (ACM) ou l’autorité COMSEC de l’OSI (ACO) aux fins d’approbation.

 

2.1 Centre de la sécurité des télécommunications

Le directeur, Services à la clientèle et opérations en matière de cryptographie (CCSO pour Cryptographic Client Services and Operations), auquel le pouvoir a été délégué par le dirigeant principal du Centre canadien pour la cybersécurité (CCC), est l’arbitre de dernière instance de l’évaluation définitive et de la clôture de tous les incidents compromettants (IC).

2.1.1 Bureau national des incidents COMSEC

Sous la direction du dirigeant principal du CCC, le Bureau national des incidents COMSEC (BNIC) est responsable de ce qui suit :

  • tenir à jour un registre national de tous les incidents COMSEC;

    Se reporter à la section 3.1 pour la définition d’un incident COMSEC.

  • coordonner la résolution d’incidents COMSEC transfrontaliers avec des partenaires internationaux;
  • vérifier et documenter les incidents compromettants (IC);
  • coordonner le signalement d’incidents touchant plusieurs ministères;
  • déterminer la nécessité et la pertinence des mesures relatives à la reprise après un incident compromettant (IC);
  • aviser les autorités applicables des mesures prises aux fins de reprise;
  • fournir les rapports d’évaluation définitive et de clôture pour les incidents compromettants (IC) au DPS/à l’ASO et à l’ACM/ACO responsables.

2.2 Autorités ministérielles et de l’entreprise

Conformément à ce qui est énoncé dans la DGS, le DPS/l’ASO doit assurer la gestion générale du programme de sécurité du ministère ou de l’OSI, dont celle du programme COMSEC.

2.2.1 Autorité COMSEC du ministère ou de l’OSI

L’ACM/ACO doit assurer le développement, la mise en œuvre, la maintenance, la coordination et la surveillance du programme COMSEC du ministère de manière à se conformer à la PSG et à ses normes opérationnelles. Par ailleurs, il incombe à l’ACM de veiller au contrôle général du matériel COMSEC porté au compte COMSEC du ministère.

L’ACM/ACO est responsable de ce qui suit :

  • établir un programme de sensibilisation qui permettra d’assurer que chaque personne ayant accès au MCC est au courant de ce qui constitue un incident COMSEC et est conscient de l’importance de signaler les incidents en temps opportun et de manière complète et exacte;
  • mettre en place des procédures internes d’identification des incidents COMSEC et d’intervention qui assureront le signalement rapide et exact des incidents COMSEC et qui réduiront au minimum la perte ou la compromission réelle ou potentielle du matériel COMSEC;
  • établir les processus de surveillance des incidents COMSEC du ministère/de l’entreprise, dont ceux associés aux organisations d’autres ordres du gouvernement et aux entreprises du secteur privé qu’il parraine et qui manutentionne du matériel COMSEC;
  • procéder à une enquête initiale immédiate et remplir un rapport initial d’incident COMSEC (RIIC) pour tous les incidents COMSEC confirmés ou soupçonnés;

REMARQUE : Advenant le cas où l’ACM/ACO serait absent ou indisponible, il peut confier l’enquête initiale au gardien COMSEC dans la mesure où ce dernier n’est pas été impliqué dans l’incident.

  • soumettre un RIIC des incidents compromettants (IC) confirmés ou soupçonnés au BNIC dans les 24 heures suivant le moment où il a été informé de l’incident;
  • mener l’enquête de l’incident compromettant (IC) jusqu’à sa conclusion et remettre un rapport d’évaluation d’incident COMSEC (REIC) au BNIC s’il en fait la demande;
  • éliminer localement les pratiques dangereuses pour la sécurité (PDS) et conserver un rapport de toutes les PDS du ministère/de l’OSI;
  • fournir chaque année les dossiers de PDS au BNIC et à l’équipe de vérification COMSEC à l’échelle nationale (EVCN) avant les vérifications prévues du compte COMSEC;
  • s’assurer que le DPS/l’ASO est au courant de tous les incidents COMSEC survenus à l’intérieur de son secteur de responsabilité.

2.3 Agent de sécurité d’une entreprise du secteur privé

Les entreprises du secteur privé qui sont tenues de détenir du matériel COMSEC doivent être parrainées par un ministère du GC et être prises en charge par le compte COMSEC industriel du CST (CCIC), tel qu’il est indiqué dans la version actuelle de l’ITSD-06, Directive en matière de sécurité des TI sur le contrôle du matériel COMSEC au sein des entreprises du secteur privé canadien.

L’agent de sécurité de l’entreprise est responsable de l’ensemble de la posture de sécurité COMSEC de l’entreprise, dont l’établissement des procédures internes d’intervention en cas d’incident COMSEC et le signalement rapide et précis des incidents COMSEC à l’ACM du CCIC, tel qu’il est énoncé dans la présente et dans la version actuelle de l’ITSD-06.

2.4 Autorités de contrôle et de commande COMSEC

L’autorité de contrôle (ConAuth pour Controlling Authority) ou l’autorité de commandement (CmdAuth pour Command Authority) doit veiller à ce que les membres du réseau cryptographique soient au courant des procédures liées au signalement et à l’évaluation des incidents COMSEC. En ce qui concerne les incidents COMSEC, la ConAuth/CmdAuth est responsable de ce qui suit :

  • signaler les incidents COMSEC à l’ACM/ACO ou au gardien COMSEC responsable;
  • s’assurer que les procédures de signalement de l’incident COMSEC ont été respectées;
  • mettre en œuvre les mesures de reprise à la suite d’une compromission d’une clé cryptographique, tel qu’il est indiqué dans la version actuelle de l’ITSD‑04;
  • offrir de l’aide, sur demande, dans le cadre d’une enquête sur des incidents COMSEC ou de la rédaction d’un RIIC.

REMARQUE : Dans le contexte de la présente directive, le terme « clé » désigne toutes les formes possibles de clés cryptographiques électroniques ou physiques.

2.5 Gardien COMSEC

Le gardien COMSEC est responsable de ce qui suit :

  • faire en sorte que chaque personne qui utilise le matériel COMSEC, ou qui y a accès, soit en mesure de reconnaître un incident COMSEC et comprenne l’importance de le signaler dans les plus brefs délais;
  • informer immédiatement l’ACM/ACO dès que survient un incident COMSEC;
  • procéder à une enquête initiale si l’ACM/ACO lui en fait la demande;

REMARQUE : Cette tâche peut être confiée au gardien COMSEC lorsque l’ACM/ACO est absent ou indisponible, dans la mesure où il n’est pas impliqué dans l’incident.

  • mettre le matériel COMSEC touché en quarantaine, le cas échéant, et ajouter la mention « Enquête en cours » au matériel dans le fichier d’inventaire;
  • assurer la comptabilité du matériel COMSEC touché, le cas échéant, jusqu’à ce que l’enquête sur l’incident COMSEC soit terminée et que des instructions relatives à la disposition soient obtenues du BNIC par l’entremise d’un rapport d’évaluation définitive et de clôture.
 

3.1 Définition

Par « incident COMSEC, on entend toute occurrence qui met en péril ou pourrait mettre en péril la sécurité du matériel COMSEC ou la sécurité de l’information et des données protégées ou classifiées du GC alors qu’elles sont stockées, traitées, transmises ou reçues dans le cadre du processus de télécommunications.

Il y a deux types d’incidents COMSEC :

  • les incidents compromettants (IC);
  • les pratiques dangereuses pour la sécurité (PDS).

Se reporter à l’Annexe A pour des exemples. On peut trouver les incidents COMSEC liés à de l’équipement dans la doctrine canadienne en matière de cryptographie (CCD pour Canadian Cryptographic Doctrine) correspondante.

3.2 Incidents compromettants

Un incident compromettant (IC) est un incident COMSEC susceptible de donner lieu à la perte de contrôle, à l’accès non autorisé au MCC ou à la compromission de l’information qu’il contient, de ses actifs, ou de ses fonctionnalités, et d’avoir des répercussions négatives graves sur la sécurité opérationnelle.

3.3 Pratiques dangereuses pour la sécurité

Une PDS est un incident COMSEC qui est considéré comme étant une infraction mineure aux exigences de nature administrative, mais qui ne donne pas lieu à une perte de contrôle ou à un accès non autorisé au matériel COMSEC. Même si une PDS ne mène pas à la compromission de l’information, des actifs ou des fonctionnalités, elle pourrait rendre possible leur exploitation ou leur compromission si aucune mesure n’est prise pour corriger la situation.

Toute PDS qui survient à répétition dans un compte pourrait, à la discrétion du BNIC (et en collaboration avec l’EVCN), ¸être transformée en incident compromettant (IC).

 

4.1 Le processus de signalement des incidents COMSEC

Le signalement rapide et précis des incidents COMSEC permet de prendre des mesures correctives de façon opportune pour en atténuer ou en éliminer les répercussions à l’égard de la COMSEC.

REMARQUE : Les mesures correctives varient et ne sont pas prises en compte dans la présente directive.

Quiconque manutentionne du matériel COMSEC ou y a accès doit signaler sans délai tout incident COMSEC confirmé ou soupçonné au gardien COMSEC, peu importe le pays d’origine du matériel et même si l’incident peut sembler anodin à première vue. Tous les incidents COMSEC confirmés ou soupçonnés doivent être signalés à l’ACM/ACO aux fins d’enquête.

Une fois l’incident COMSEC détecté, le processus de signalement comporte les trois étapes suivantes : l’enquête initiale, le signalement et d’autres mesures en fonction du type d’incident (incident compromettant [IC] ou PDS) jusqu’à la résolution de l’incident.

Processus de signalement des incidents COMSEC - La description détaillée suit
Figure 1 – Processus de signalement des incidents COMSEC
Description détaillée - Le processus de signalement des incidents COMSEC

Le diagramme décrit la marche à suivre lorsqu’un incident COMSEC est détecté.

  1. Procéder à une enquête initiale (voir la section 4.2).
  2. Remplir un rapport initial d’incident COMSEC (RIIC) (voir la section 4.2.1).
  3. Déterminer le type d’incident COMSEC auquel vous avez affaire; a. un incident COMSEC(IC) ou b. une pratique dangereuse pour la sécurité (PDS):
    1. S’il s’agit d’un IC (voir la section 4.3 et les sous-sections subséquentes) :
      1. envoyer le RIIC au Bureau national des incidents COMSEC (BNIC) et fournir plus de renseignements s’il en fait la demande;
      2. remplir un rapport d’évaluation d’incident COMSEC (REIC) si on en fait la demande;
      3. collaborer avec le BNIC pour remédier à l’IC;
      4. une fois qu’on aura remédié à l’IC, le BNIC enverra un rapport d’évaluation définitive et de clôture;
      5. conserver les rapports localement dans les dossiers.
    1. S’il s’agit d’une PDS (voir la section 4.4 et les sous-sections subséquentes) :
      1. remédier à la PDS localement;
      2. conserver le RIIC localement dans les dossiers;
      3. fournir les dossiers de PDS au BNIC (chaque année) et à l’équipe de vérification COMSEC à l’échelle nationale (EVCN) (avant les vérifications prévues) s’ils en font la demande.

4.1.1 Incidents COMSEC dans le secteur privé

Les entreprises du secteur privé canadien qui manutentionnent du matériel COMSEC, y compris celles qui manutentionnent du matériel COMSEC en cours de réalisation (IP), doivent signaler sans délai tous les incidents COMSEC au CCIC, tel qu’il est indiqué dans les versions actuelles de l’ITSD-06 et de l’ITSD-08, Directive en matière de sécurité des TI sur le contrôle et la gestion du matériel COMSEC en cours de réalisation, le cas échéant.

4.2 Incidents COMSEC : Enquête initiale

L’ACM/ACO doit lancer une enquête initiale dans les 24 heures suivant le moment où elle a été informée qu’un incident COMSEC est survenu. Lors de l’enquête initiale, il convient de remplir le formulaire ITS-020, Rapport initial d’incident COMSEC (RIIC). Le fait de remplir un RIIC aidera l’ACM/ACO à recueillir les faits et les circonstances entourant l’incident. Un RIIC doit être rempli pour tous les incidents COMSEC, peu importe le type.

À la suite de l’enquête initiale, l’ACM/ACO devrait avoir suffisamment d’information pour déterminer s’il s’agit d’un incident compromettant (IC) ou d’une PDS. S’il est déterminé que l’incident constitue :

  • un incident compromettant (IC) – l’ACM/ACO doit soumettre le RIIC au BNIC par l’entremise d’un téléphone sécurisé ou d’un télécopieur sécurisé. Par la suite, l’ACM/ACO doit, en consultation avec le BNIC, remédier à la situation (voir la section 3);
  • une PDS –l’ACM/ACO doit immédiatement prendre les mesures nécessaires pour remédier localement à la PDS (voir la section 4).

REMARQUE : En cas de doute à savoir si un incident COMSEC constitue un incident compromettant (IC) ou une PDS, prière de communiquer avec le BNIC ou de signaler l’incident en tant qu’incident compromettant (IC).

4.2.1 Rapport initial d’incident COMSEC

Il est impératif de remplir un RIIC pour tous les incidents COMSEC. Le RIIC (formulaire ITS-020) est disponible sur le portail de l’utilisateur COMSEC (PUC; voir la section 5.3) du CST.

Au moment de remplir le RIIC, il convient de fournir les renseignements suivants :

  • le nom de l’ACM/ACO, ou du gardien COMSEC désigné, responsable de mener l’enquête et d’évaluer l’incident;
  • le nom de la CmdAuth ou de la ConAuth responsable, le cas échéant;
  • le nom, la citoyenneté, le poste et le niveau d’habilitation de toutes les personnes concernées;
  • l’identificateur du compte COMSEC à l’origine du signalement et du compte COMSEC où l’incident s’est produit;
  • le type d’incident COMSEC (incident compromettant [IC] ou PDS). S’il est déterminé que l’incident COMSEC constitue :
    • un incident compromettant (IC)– indiquer l’évaluation initiale de la possibilité d’une compromission (voir la section 4.1), ainsi que la catégorie et le type d’incident compromettant (IC), si possible (voir les sections A.4.2 et A.4.3 respectivement pour des définitions et des exemples);
    • une PDS – indiquer le type de PDS, si possible (voir la section 2.1 pour des définitions et des exemples);
  • une description détaillée des circonstances entourant l’événement, dont la date et l’heure auxquelles l’incident COMSEC a d’abord été découvert et la date à laquelle l’incident a été signalé au gardien COMSEC responsable et/ou à l’ACM/ACO;
  • l’identification de tout le matériel COMSEC touché, y compris les titres abrégés, les éditions et les segments des clés chargées dans l’équipement cryptographique, les numéros de comptabilité (p. ex. identificateur de matériel de chiffrement [KMID]), les classifications et la date d’expiration ou de remplacement des clés;
  • les mesures correctives prises ou prévues.

4.3 Incidents compromettants : Évaluation et clôture

Après avoir reçu et examiné le RIIC, le BNIC peut demander de plus amples détails concernant l’incident compromettant (IC) signalé. Cette information additionnelle, qui est tirée du formulaire ITS-038, Rapport d’évaluation d’incident COMSEC (REIC), aidera le BNIC à réaliser l’évaluation des répercussions et à définir les exigences en matière de reprise des activités.

4.3.1 Rapport d’évaluation d’incident COMSEC

Au moment de remplir le REIC, l’ACM/ACO doit ajouter ce qui suit :

  • un compte rendu chronologique détaillé de la nature et des circonstances de l’incident compromettant (IC);
  • des précisions quant aux renseignements fournis dans le RIIC;
  • une description des mesures correctives prises pour limiter les dommages découlant de l’incident et éviter qu’un tel incident ne se reproduise.

Le REIC (formulaire ITS-038) est disponible sur le PUC du CST (voir la section 5.3).

4.3.2 Signalement de changements à apporter à un RIIC ou à un REIC (rapport supplémentaire)

Advenant la découverte d’une nouvelle information susceptible d’influencer ou de changer le contenu d’un RIIC ou d’un REIC préalablement soumis, l’ACM/ACO doit soumettre ces changements par écrit au BNIC. Le RIIC peut être utilisé à cette fin.

4.3.3 Rapport d’évaluation définitive et de clôture

Le BNIC remet un rapport d’évaluation définitive et de clôture à l’ACM/ACO et au gardien COMSEC après avoir obtenu et évalué toute l’information recueillie et tous les dossiers disponibles. Le rapport comprendra des recommandations sur la façon d’éviter qu’un tel incident ne se reproduise et d’empêcher que des incidents similaires se produisent. Le rapport fournira également des instructions relatives à la disposition du matériel COMSEC touché, le cas échéant.

L’EVCN veillera à mettre en œuvre les recommandations du BNIC lors des vérifications prévues.

4.4 PDS : Signalement et prise de mesures correctives (localement)

Toutes les PDS doivent faire l’objet d’une enquête par l’ACM/ACO et un RIIC doit être rempli, tel qu’il est indiqué à la section 4.2.1. L’ACM/ACO doit collaborer avec le personnel du compte COMSEC afin de remédier localement à toutes les PDS conformément aux procédures du ministère. Si l’ACM/ACO croit qu’une PDS pourrait survenir dans d’autres ministères, elle doit en informer le BNIC.

Toute PDS qui survient à répétition dans un compte pourrait, à la discrétion du BNIC (et en collaboration avec l’EVCN), être transformée en incident compromettant (IC) et devra être signalée en conséquence.

4.4.1 Enregistrements de PDS

Tous les enregistrements de PDS (c.-à-d., les RIIC) doivent être conservés (voir la section 4.6). Par ailleurs, l’ACM/ACO peut créer une feuille de calcul résumant chaque PDS. Les dossiers des PDS ou la feuille de calcul résumant les PDS doivent être soumis au BNIC chaque année et à l’EVCN avant chaque vérification du compte COMSEC.

4.5 Classification des rapports

Les rapports d’incidents COMSEC (le RIIC, le REIC, le rapport supplémentaire, le rapport d’évaluation définitive et de clôture) doivent être classifiés au niveau correspondant à la classification la plus élevée du matériel COMSEC exposé, perdu ou compromis, mais ils ne doivent jamais être classifiés à un niveau inférieur à PROTÉGÉ B. Il convient également de tenir compte du contenu du rapport. Par exemple :

  • Si le rapport comprend de l’information relative à l’état d’une clé (p. ex. sa date d’expiration ou la cryptopériode) ou fait référence à une telle information, le rapport doit être classifié au niveau CONFIDENTIEL ou à un niveau supérieur;
  • Si l’incident COMSEC concerne un système de TI qui traite de l’information à un niveau supérieur à celui du matériel COMSEC touché, le rapport pourrait devoir être classifié au niveau de classification du système de TI. Par exemple :
    • Si un incident COMSEC concerne un réseau SECRET, mais que le rapport ne contient que de l’information jusqu’au niveau PROTÉGÉ B, le rapport peut être classifié au niveau PROTÉGÉ B;
    • Si un incident COMSEC concerne un réseau SECRET et que le rapport contient de l’information au sujet de ce réseau, le rapport doit être classifié au niveau SECRET.

REMARQUE : Il conviendra de porter attention à ne pas attribuer une classification trop élevée aux rapports. Les rapports classifiés (CONFIDENTIEL, SECRET ou TRÈS SECRET) exigeront la prise de mesures particulières en ce qui a trait à leur transmission, à leur manutention et à leur entreposage.

4.6 Conservation des rapports

Les rapports d’incidents COMSEC (le RIIC, le REIC, le rapport supplémentaire et le rapport d’évaluation définitive et de clôture) doivent être conservés au moins cinq (5) ans, tel qu’il est indiqué dans la version actuelle de l’ITSD-03.

4.7 Diffusion des rapports

L’information ou les rapports relatifs à un incident COMSEC doivent être diffusés uniquement aux personnes qui ont clairement un besoin de connaître et qui possèdent une habilitation de sécurité correspondant au niveau de classification de l’information ou des rapports fournis. Les renseignements personnels doivent être protégés conformément aux dispositions de la Loi sur la protection des renseignements personnels.

 

5.1 Sigles, acronymes et abréviations

ACM
Autorité COMSEC du ministère
ACO
Autorité COMSEC de l’OSI (Organisation de services intégrés)
AE
Assurance élevée
ASO
Agent de sécurité de l’OSI (Organisation de services intégrés)
BNIC
Bureau national des incidents COMSEC
CAMC
Centre d’assistance en matière de matériel cryptographique
CC
Code de comptabilité
CCC
Centre canadien pour la cybersécurité
CCD
Doctrine canadienne en matière de cryptographie (Canadian Cryptographic Doctrine)
CCEB
Combined Communications-Electronics Board
CCI
Article cryptographique contrôlé (Controlled Cryptographic Item)
CCIC
Compte COMSEC industriel du CST
CCSO
Services à la clientèle et opérations cryptographiques (Cryptographic Client Services and Operations)
CEP
Plan d’urgence COMSEC (COMSEC Emergency Plan)
CIK
Clé de contact cryptographique (Cryptographic Ignition Key)
CmdAuth
Autorité de commandement (Command Authority)
COMSEC
Sécurité des communications (Communications Security)
ConAuth
Autorité de contrôle (Controlling Authority)
Cryptonet
Réseau cryptographique (Cryptographic Network)
CST
Centre de la sécurité des télécommunications
DIAS
Système de comptabilité INFOSEC répartie (Distributed INFOSEC Accounting System)
DPS
Dirigeant principal de la sécurité
DR
Rapport de destruction (Destruction Report)
DSG
Directive sur la gestion de la sécurité
ECMCC
Entente de contrôle du matériel COMSEC comptable
ECU
Unité cryptographique de destination (End Cryptographic Unit)
EKMS
Système électronique de gestion des clés (Electronic Key Management System)
EMR
Évaluation des menaces et des risques
EVCN
Équipe de vérification COMSEC à l’échelle nationale
FC
Fournisseur de confiance
FSU
Mise à niveau logicielle sur le terrain (Field Software Upgrade)
FTR
Reprise après trafiquage sur le terrain (Field Tamper Recovery)
GC
Gouvernement du Canada
GRC
Gendarmerie royale du Canada
HTTPS
Protocole HTTP sécurisé (Hypertext Transfer Protocol Secure)
IC
Incident compromettant
IP
En cours de réalisation (In Process)
ITSD
Directive en matière de sécurité des technologies de l’information (Information Technology Security Directive)
KMID
Identificateur de matériel de chiffrement (Key Material Identifier)
LCMS
Logiciel de gestion COMSEC locale (Local COMSEC Management Software)
LGFP
Loi sur la gestion des finances publiques
MCC
Matériel COMSEC comptable
NCOR
Bureau national des dossiers (National Central Office of Record)
NIP
Numéro d’identification personnel
NLZ
Zone jamais seul (No-Lone Zone)
OLG
Autre ordre de gouvernement (Other Level of Government)
OTAN
Organisation du traité de l’Atlantique Nord
PDS
Pratique dangereuse pour la sécurité
PNE
Procédures normales d’exploitation
PSG
Politique sur la sécurité du gouvernement
PSI
Programme de sécurité industrielle
PSMC
Plan de soutien lié au matériel de chiffrement
PUC
Portail de l’utilisateur COMSEC
REIC
Rapport d’évaluation d’incident COMSEC
RIIC
Rapport initial d’incident COMSEC
RMA
Autorisation de retour de marchandise (Return of Material Authority)
SCC
Services à la clientèle en matière de COMSEC
SCIP
Protocole d’interopérabilité des communications sécurisées (Secure Communications Interoperability Protocol)
SCT
Secrétariat du Conseil du Trésor
SNCMC
Système national de contrôle du matériel COMSEC
SPAC
Services publics et Approvisionnement Canada
SSO
Officier de sécurité du site (Site Security Officer)
T3MD
Dispositif de gestion de palier 3 (Tier 3 Management Device)
TI
Technologies de l’information
TPI
Intégrité par deux personnes (Two Person Integrity)

5.2 Glossaire

Le présent glossaire contient la définition de certains termes ayant trait au matériel COMSEC faisant l’objet de la présente directive.

NON CLASSIFIÉ

Agent de sécurité de l’OSI (ASO)
Personne chargée d’élaborer, de mettre en œuvre, de maintenir, de coordonner et de surveiller un programme de sécurité de l’OSI qui soit conforme à la Politique sur la sécurité du gouvernement et aux normes qui s’y rattachent.
Article cryptographique contrôlé (CCI)
Équipement traitant de l’information ou des télécommunications sécurisées, ou des composants cryptographiques connexes, NON CLASSIFIÉ, mais régi par un ensemble spécial d’exigences en matière de contrôle au sein du SNCMC et portant la mention « article cryptographique contrôlé » (ou « CCI » lorsque l’espace est limité).
Autorité COMSEC de l’OSI (ACO)
Personne désignée par l’ASO et responsable, devant celui-ci, d’élaborer, de mettre en œuvre, de maintenir, de coordonner et de surveiller un programme COMSEC de l’OSI de manière à ce qu’il soit conforme à la Politique sur la sécurité du gouvernement et aux normes qui s’y rattachent. REMARQUE :        Le rôle de l’ACO peut être divisé en deux (opérations et programme) selon la complexité de l’entreprise.
Autorité COMSEC du ministère (ACM)
Personne désignée par le DPS et responsable, devant celui-ci, d’élaborer, de mettre en œuvre, de maintenir, de coordonner et de surveiller un programme COMSEC du ministère de manière à ce qu’il soit conforme à la Politique sur la sécurité du gouvernement et aux normes qui s’y rattachent.
Autres ordres de gouvernement (OLG)
Organisations gouvernementales à l’échelle provinciale, municipale et locale (p. ex. organisme d’application de la loi).
Bureau national des dossiers (NCOR)
Entité du CST chargée de superviser la gestion et la comptabilisation de tout le MCC produit au Canada ou confié à celui-ci.
Bureau national des incidents COMSEC (BNIC)
Entité du CST chargée de gérer les incidents COMSEC, par l’enregistrement, la validation, l’évaluation et la fermeture des dossiers, et d’assurer la liaison et la coordination directes avec les autres bureaux d’incidents COMSEC nationaux et internationaux.
Compte COMSEC
Entité administrative, identifiée par un numéro unique, servant à assurer la comptabilité, la garde et le contrôle de matériel COMSEC produit par l’entité ou confié à celle-ci.
CRYPTO
Marque apposée sur un article cryptographique pour indiquer qu’il est assujetti à des contrôles particuliers régissant l’accès, la distribution, le stockage, la comptabilité, la disposition et la destruction.
Dirigeant principal de la sécurité (DPS)
Personne chargée d’élaborer, de mettre en œuvre, de maintenir, de coordonner et de surveiller un programme de sécurité du ministère qui soit conforme à la Politique sur la sécurité du gouvernement et aux normes qui s’y rattachent.
Doctrine canadienne en matière de cryptographie (CCD)
Normes de sécurité minimales permettant de protéger, de contrôler et d’utiliser l’équipement et les systèmes cryptographiques approuvés par le CST.
Équipe de vérification COMSEC à l’échelle nationale (EVCN)
Entité du CST responsable de la réalisation des vérifications COMSEC des comptes COMSEC au sein du SNCMC.
Gardien COMSEC
Personne désignée par l’autorité COMSEC d’un ministère ou d’une organisation de services intégrés comme responsable de la réception, de l’entreposage, de la distribution, de la comptabilité, de la disposition et de la destruction de tout le matériel COMSEC porté au compte COMSEC, ainsi que de l’accès à ce matériel.
Incident compromettant (IC)
Incident COMSEC pouvant donner lieu à la perte de contrôle, à l’accès non autorisé au MCC ou à la compromission de l’information qu’il contient, de ses actifs ou de ses fonctionnalités, et avoir des répercussions négatives graves sur la sécurité opérationnelle.
Incident COMSEC
Toute occurrence qui met en péril ou pourrait mettre en péril la sécurité du matériel COMSEC ou la transmission sécurisée de l’information ayant trait à la sécurité nationale alors qu’elle est stockée, traitée, transmise ou reçue dans le cadre du processus de télécommunications.
Matériel COMSEC
Articles conçus pour sécuriser ou authentifier les télécommunications. Le matériel COMSEC comprend, sans s’y limiter, les clés, l’équipement, les modules, les dispositifs, les documents, le matériel informatique et les micrologiciels ou logiciels qui comportent ou décrivent une logique cryptographique et d’autres articles qui exécutent des fonctions COMSEC. Le matériel COMSEC comprend tous les articles qui peuvent ou non être classifiés, mais qui doivent être comptabilités dans le SNCMC ou dont le contrôle doit être effectué par l’intermédiaire d’un système de registres (c.-à-d., faire l’objet d’un suivi local).
Matériel COMSEC comptable (MCC)
Matériel COMSEC qui nécessite un contrôle et une comptabilisation au sein du SNCMC conformément à son code de comptabilité (CC) et dont le transfert ou la divulgation risquerait de porter préjudice à la sécurité nationale du Canada.
Ministère du gouvernement du Canada (GC)
Tout ministère, organisme, agence ou institution fédéral assujetti à la Politique sur la sécurité du gouvernement .
Organisation de services intégrés (OSI)
Ministère du GC à qui on a confié le mandat d’offrir des services de gestion de la COMSEC à d’autres ministères et organismes du GC qui sont exclus de la chaîne de responsabilités traditionnelle de l’organisation.
Pratique dangereuse pour la sécurité (PDS)
Incident COMSEC qui ne donne pas lieu à une perte de contrôle ou à un accès non autorisé au matériel COMSEC, et qui est considéré comme étant une infraction mineure aux exigences de nature administrative. REMARQUE :        Même si une PDS ne mène pas à la compromission de l’information, des actifs ou des fonctionnalités, elle pourrait rendre possible leur exploitation ou leur compromission si aucune mesure n’est prise pour corriger la situation.
Secteur privé
Organisations, entreprises ou citoyens du Canada qui ne sont pas assujettis à la LGFP et qui ne relèvent pas d’un gouvernement provincial ou municipal.
Sécurité des communications (COMSEC)
Application de mesures de sécurité cryptographique, de sécurité des transmissions et des émissions, et de sécurité matérielle, ainsi que de pratiques et de mécanismes de contrôle opérationnels, visant à empêcher tout accès non autorisé à l’information issue de télécommunications et à garantir l’authenticité de ces télécommunications.

5.3 Portail de l’utilisateur COMSEC (PUC)

Les utilisateurs autorisés peuvent accéder au PUC du CST à l’adresse suivante : https://portailcomsec.cse-cst.gc.ca. Le PUC du CST fournit de l’information et des formulaires NON CLASSIFIÉ et PROTÉGÉ A liés à la COMSEC ainsi que des mises à niveau logicielles sur le terrain (FSU pour Field Software Upgrade) pour les produits, systèmes et services d’assurance élevée (AE) et les fournisseurs de confiance (FC) approuvés par le CST.

Pour devenir un utilisateur autorisé du PUC, prière de communiquer avec le Centre d’assistance en matière de matériel cryptographique (CAMC).

5.4 Site Web du Centre canadien pour la cybersécurité

D’autres directives en matière de COMSEC et de l’information (au niveau NON CLASSIFIÉ seulement) ayant trait aux produits, systèmes et services d’AE approuvés par le CST sont disponibles à l’adresse suivante : https://www.cyber.gc.ca/fr/comsec.

5.5 Coordonnées

Le tableau suivant contient les coordonnées des bureaux qui offrent un soutien en matière de COMSEC aux utilisateurs.

Coordonnées des bureaux COMSEC

Services à la clientèle en matière de COMSEC (SCC)
Téléphone : 613-991-8495
Télécopieur sécurisé : 613-991-8565
Courriel : comsec@cyber.gc.ca

Centre d’assistance en matière de matériel cryptographique (CAMC) et Bureau national des dossiers (NCOR)
Téléphone : 613-991-8600
Télécopieur : 613-991-7440
Télécopieur sécurisé : 613-998-5686
Courriel : cmac-camc@cyber.gc.ca

Bureau national des incidents COMSEC (BNIC)
Téléphone : 613-991-8175
Télécopieur non classifié  : 613-990-2737
Télécopieur sécurisé  : 613-991-7581 (composer le 613-991-8175 pour établir la communication)
Courriel : ncio@cyber.gc.ca

Compte COMSEC industriel du CST (CCIC)
Téléphone : 613-991-8162
Courriel : cica-ccic_comsec@cyber.gc.ca

REMARQUE : Sauf indication contraire, les bureaux du CST reçoivent les appels téléphoniques et les transmissions sécurisées par télécopieur du lundi au vendredi, entre 8 h et 16 h (heure de l’Est).

5.6 Bibliographie

Les documents suivants ont servi à l’élaboration de la présente directive :

Centre de la sécurité des télécommunications

  • Directive en matière de sécurité des TI sur la commande de clés cryptographiques (ITSD‑09), décembre 2016.
  • Directive en matière de sécurité des TI sur l’application de la sécurité des communications à l’aide de solutions approuvées par le CST (ITSD-01A), janvier 2014.
  • Directive en matière de sécurité des TI sur le contrôle du matériel COMSEC au sein des entreprises du secteur privé canadien (ITSD‑06A), juin 2016.
  • Directive en matière de sécurité des TI sur le contrôle du matériel COMSEC au sein du gouvernement du Canada (ITSD‑03A), mars 2014.
  • Directive en matière de sécurité des TI sur le contrôle et la gestion du matériel COMSEC en cours de réalisation (ITSD-08), avril 2016.
  • Directive en matière de sécurité des TI sur la gestion de l’équipement et des clés cryptographiques approuvés par le CST pour sécuriser un réseau de télécommunications (ITSD-04A), janvier 2017.

Ministère de la Justice du Canada

  • Loi sur l’accès à l’information (L.R.C., 1985, ch. A-1).
  • Loi sur la gestion des finances publiques (L.R.C., 1985, ch. F-11).
  • Loi sur la protection des renseignements personnels (L.R.C., 1985, ch. P-21).
  • Loi sur la protection de l’information (L.R.C., 1985, ch. O-5).

Gendarmerie royale du Canada

  • Guide pour l’établissement des zones de sécurité matérielle (G1-026), septembre 2005.

Secrétariat du Conseil du Trésor du Canada

  • Directive sur la gestion de la sécurité (DGS), juillet 2019.
  • Politique sur la sécurité du gouvernement (PSG), juillet 2019.
 

A.1 Incidents compromettants

Un incident compromettant (IC) est un incident COMSEC susceptible de donner lieu à la perte de contrôle, à l’accès non autorisé au MCC ou à la compromission de l’information qu’il contient, de ses actifs ou de ses fonctionnalités, et d’avoir des répercussions négatives graves sur la sécurité opérationnelle.

A.1.1 Évaluation des incidents compromettants

Le fait de signaler un incident compromettant (IC) permet de consigner la possibilité qu’un événement ait mené à une compromission réelle. Seule une enquête complète permettra de déterminer si un incident compromettant (IC) a entraîné la compromission, possible ou certaine, du matériel COMSEC. Les incidents compromettants (IC) sont évalués comme suit :

  • Compromission certaine – les éléments de preuve et les faits démontrent clairement qu’une compromission a eu lieu;
  • Compromission possible – Les preuves et les faits ne démontrent pas clairement qu’il y a eu compromission;
  • Aucune compromission – les éléments de preuve et les faits démontrent qu’aucune compromission n’a eu lieu.

A.1.2 Incidents compromettants par catégorie

Les incidents compromettants (IC) se divisent en trois catégories :

  • Incidents cryptographiques – toute défaillance ou erreur du personnel ou de l’opérateur COMSEC entraînant des répercussions négatives sur la sécurité du matériel COMSEC;
  • Incidents liés au personnel – toute tentative, par une personne non autorisée ou au nom de celle-ci, d’obtenir l’accès au matériel COMSEC, y compris la modification de registres COMSEC à l’appui de cet accès non autorisé;
  • Incidents physiques – tout événement (perte de contrôle, vol, capture, récupération, trafiquage, modification non autorisée, accès non autorisé ou photographie non autorisée) risquant de compromettre le matériel COMSEC.

A.1.2.1 Catégorie d’incidents compromettants : Incidents cryptographiques

Par incident compromettant (IC), on entend toute défaillance ou erreur du personnel ou de l’opérateur COMSEC entraînant des répercussions négatives sur la sécurité du matériel COMSEC. Les incidents compromettants (IC) de nature cryptographique sont directement liés à l’emploi incorrect ou non autorisé d’une clé ou encore d’un équipement ou système cryptographique. Cette catégorie d’incidents comprend les exemples suivants :

  • L’emploi d’une clé compromise, remplacée, défectueuse, déjà utilisée (dont la réutilisation n’a pas été autorisée) ou mal utilisée. Par exemple :
    • l’emploi non autorisé d’une clé à une autre fin que celle prévue;
    • le prolongement non autorisé d’une cryptopériode;
    • l’utilisation prématurée d’une clé.
  • L’emploi de pratiques opérationnelles ou de pratiques de maintenance qui ne sont pas approuvées par le CST, mais qui concernent des systèmes, de l’équipement ou des logiciels approuvés par le CST. Par exemple :
    • la maintenance d’un équipement cryptographique par des personnes non autorisées ou non qualifiées;
    • le trafiquage ou la modification non autorisée d’un composant, équipement ou système cryptographique.
  • L’utilisation opérationnelle d’un équipement cryptographique dont les circuits logiques de cryptographie sont défectueux, ou l’utilisation d’une procédure d’exploitation non approuvée. Par exemple :
    • la transmission en clair résultant d’une panne ou de la défaillance d’un équipement cryptographique;
    • toute transmission pendant ou après une panne qui n’a pas été corrigée et qui est susceptible d’entraîner le fonctionnement inapproprié de l’équipement cryptographique;
    • l’émission de rayonnements compromettants par un équipement ou système cryptographique pendant le traitement de renseignements classifiés.
  • une discussion, par des moyens de communication non sécurisés, portant sur les détails d’une panne ou de la défaillance d’un équipement cryptographique;
  • l’activation d’un mécanisme d’inviolabilité ou la mise à zéro inexpliquée d’un processeur de clés;
  • toute autre utilisation non autorisée d’une clé ou d’un équipement cryptographique approuvé par le CST.

A.1.2.2 Catégorie d’incidents compromettants : Incidents liés au personnel

Par incident lié au personnel, on entend toute tentative, par une personne non autorisée ou au nom de celle-ci, d’obtenir l’accès au matériel COMSEC, y compris la modification de registres COMSEC à l’appui de cet accès non autorisé. Cette catégorie d’incidents comprend les exemples suivants :

  • la falsification délibérée des registres ou rapports COMSEC;
  • l’omission connue ou délibérée de signaler un incident COMSEC confirmé ou soupçonné (incident compromettant [IC] ou PDS);
  • la divulgation non autorisée ou une tentative de divulgation non autorisée de renseignements concernant du MCC ou du matériel COMSEC sensible;
  • le traitement, le stockage ou la transmission accidentel ou délibéré d’information classifiée ou PROTÉGÉ C sur un système ou un équipement cryptographique non adéquat;
  • le vol;
  • les actes de défection, de subversion, d’espionnage, de sabotage ou de trahison commis ou soupçonnés.

A.1.2.3 Catégorie d’incidents compromettants : Incidents physiques

Par incident physique, on entend tout événement (perte de contrôle, vol, capture, récupération, trafiquage, modification non autorisée, accès non autorisé ou photographie non autorisée) risquant de compromettre le matériel COMSEC. Cette catégorie d’incidents comprend les exemples suivants :

  • la perte d’un MCC ou de matériel COMSEC sensible;
  • un accès non autorisé au MCC ou au matériel COMSEC sensible;
  • la découverte d’un MCC échappant aux contrôles comptables ou physiques requis, y compris :
    • le MCC dont la destruction a été documentée dans un rapport de destruction signé par un témoin, mais qui a été découvert non complètement détruit;
    • le MCC non sécurisé laissé sans surveillance à un endroit auquel des personnes non autorisées auraient pu avoir accès;
  • un manquement aux contrôles d’intégrité par deux personnes (TPI pour Two Person Integrity) ou des zones jamais seul (NLZ pour No-Lone Zone) pour des clés TRÈS SECRET;
  • l’expédition ou la manutention inappropriée de matériel COMSEC;
  • la réception d’un équipement classifié, d’un article cryptographique contrôlé (CCI pour Controlled Cryptographic Item) ou d’une clé portant la mention CRYPTO dans un colis dont l’emballage intérieur a été endommagé;
  • la destruction de matériel COMSEC par des moyens non autorisés;
  • la maintenance ou une tentative de maintenance non autorisée d’un équipement cryptographique (y compris la maintenance par des personnes non qualifiées) ou l’utilisation d’une procédure de maintenance qui s’écarte des directives établies;
  • le trafiquage ou la pénétration connu ou soupçonné de matériel COMSEC;
  • la copie, la reproduction ou la photographie non autorisée du MCC ou du matériel COMSEC sensible.

A.1.3 Incidents compromettants par type

Les incidents compromettants (IC) peuvent être regroupés par type. Les neuf types différents sont décrits, avec des exemples, dans les sections suivantes.

A.1.3.1 Type d’incidents compromettants : Comptabilisation

Les incidents compromettants (IC) liés à la comptabilisation sont le résultat d’un catalogage et d’un suivi inappropriés du matériel COMSEC. En voici des exemples :

  • des écarts en matière de comptabilité (p. ex. des titres abrégés mal identifiés ou des numéros de série, des KMID ou des quantités erronés);
  • le retrait du MCC de la comptabilité alors qu’il est en attente de destruction ou d’approbation aux fins de destruction;
  • le matériel COMSEC n’est pas répertorié dans l’inventaire actuel (p. ex. matériel COMSEC trouvé).

A.1.3.2 Type d’incidents compromettants : Dommage

Les incidents compromettants (IC) liés à des dommages sont le résultat d’un bris, d’un dommage ou d’un trafiquage subi par du matériel COMSEC. En voici des exemples :

  • un dommage accidentel subi par le matériel COMSEC à la suite d’une chute sur le plancher ou à partir d’un véhicule;
  • un dommage malveillant subi par le matériel COMSEC à la suite d’une ouverture non autorisée ou d’un trafiquage;
  • un dommage causé sur l’emballage protecteur interne d’un colis contenant du matériel COMSEC;
  • un dommage subi par le matériel COMSEC en raison d’une pénétration non autorisée connue ou suspecte.

A.1.3.3 Type d’incidents compromettants : Destruction

Les incidents compromettants (IC) liés à la destruction sont le résultat d’une destruction non autorisée ou inappropriée d’une unité cryptographique de destination (ECU pour End Cryptographic Unit) ou d’une clé. En voici des exemples :

  • la destruction incomplète du matériel COMSEC répertorié sur un rapport de destruction GC-223 dûment traité devant témoin;
  • la destruction involontaire du MCC ou son retrait de la comptabilité en raison d’une erreur administrative sur le rapport de destruction GC-223 (p. ex. une édition, un titre abrégé de clé ou un numéro de série erroné);
  • la destruction d’une clé avant sa date de remplacement et son retrait subséquent de la comptabilité au sein du SNCMC;
  • la conservation d’une clé remplacée, y compris son stockage non autorisé;
  • la destruction sans témoin;
  • la destruction résultant d’une catastrophe naturelle (p. ex. un incendie, un ouragan, une éruption volcanique, un séisme, un tsunami);
  • toute destruction de matériel COMSEC lors d’une situation d’urgence, même si celle-ci a été autorisée et effectuée correctement.

A.1.3.4 Type d’incidents compromettants : Équipement

Les incidents compromettants (IC) liés à l’équipement sont le résultat d’erreurs sur l’équipement ou d’une opération problématique. En voici des exemples :

  • l’utilisation d’un équipement défectueux (p. ex. dont les circuits logiques de cryptographie sont défectueux) et des transmissions effectuées pendant une panne d’équipement (ou après la défaillance de l’équipement);
  • l’incapacité d’exécuter des mises à jour logicielles ou micrologicielles obligatoires sur les ECU opérationnelles du compte dans les délais impartis;
  • une mise à zéro inexpliquée;
  • une maintenance inappropriée, dont une utilisation ou une tentative d’utilisation des procédures de maintenance non conformes aux directives en place, la maintenance de l’équipement cryptographique par des personnes non autorisées ou non compétentes et la modification non autorisée de l’équipement cryptographique.

A.1.3.5 Type d’incidents compromettants : Perte (permanente)

Les incidents compromettants (IC) liés à une perte permanente surviennent lorsqu’il est impossible de trouver ou de comptabiliser physiquement le matériel COMSEC ou suivant la perte de contrôle du matériel COMSEC. En voici des exemples :

  • une perte de contrôle lors de l’impression, la copie, la reproduction ou la photographie non autorisée du matériel COMSEC;
  • la perte du matériel COMSEC alors que l’article ne peut être trouvé ou comptabilisé adéquatement lors de la vérification de l’inventaire;
  • le vol du matériel COMSEC lorsque l’article ne peut être récupéré par la suite.

A.1.3.6 Type d’incidents compromettants : Perte (temporaire)

Les incidents compromettants (IC) liés à la une perte temporaire surviennent lorsque le matériel COMSEC est égaré temporairement, que ce soit physiquement ou lors d’une perte de contrôle. En voici des exemples :

  • la perte de contrôle temporaire du matériel COMSEC est constatée en dehors de la comptabilité requise du contrôle physique, mais la comptabilité ou le contrôle est ensuite rétabli (p. ex. une chambre forte COMSEC laissée sans surveillance ou un contenant sécurisé verrouillé quelques minutes après qu’on l’ait trouvé ouvert);
  • un accès non autorisé par une personne qui ne peut démontrer un besoin de connaître, qui n’a pas l’habilitation de sécurité appropriée et qui ne possède ni un formulaire d’attestation d’initiation COMSEC, ni un formulaire de responsabilités du détenteur de prêt dûment signés;
  • une divulgation non autorisée de l’information relative à l’état des clés ou de détails concernant la défaillance ou le dysfonctionnement de l’équipement cryptographique par l’intermédiaire d’un système qui n’est pas suffisamment protégé (p. ex. un courriel non classifié).

A.1.3.7 Type d’incidents compromettants : Déplacement

Les incidents compromettants (IC) liés au déplacement surviennent lorsque le matériel COMSEC est transféré d’un compte COMSEC à un autre ou à un utilisateur final distant. En voici des exemples :

  • l’incapacité d’un transporteur commercial de fournir un suivi continu du matériel COMSEC entre son lieu d’origine et sa destination finale;
  • l’expédition inappropriée du matériel COMSEC (p. ex. l’expédition d’une unité cryptographique de destination [ECU] à l’état Mis à la clé par des moyens non autorisés ou l’inclusion, dans le même colis, des clés de contact cryptographiques [CIK pour Cryptographic Ignition Key], des numéros d’identification personnels [NIP] ou des mots de passe associés au matériel en question);
  • la transmission, le stockage ou le traitement d’information classifiée ou PROTÉGÉ C par l’intermédiaire d’un système, d’un équipement ou d’un réseau cryptographique inapproprié ou inadéquatement protégé;
  • l’emballage inapproprié (p. ex. mal emballé, insuffisamment matelassé) du matériel COMSEC;
  • un dommage subi par l’emballage durant le transit (p. ex. l’emballage extérieur ou intérieur pourrait avoir été pénétré).

A.1.3.8 Type d’incidents compromettants : Processus

Les incidents compromettants (IC) liés aux processus surviennent advenant le non-respect de la politique nationale en matière de COMSEC, de la doctrine ou des procédures normales d’exploitation (PNE). En voici des exemples :

  • le non-respect de la doctrine établie en matière de COMSEC et des procédures liées à la configuration ou à l’utilisation opérationnelle de systèmes, d’équipement ou de logiciels cryptographiques approuvés par le CST;
  • l’incapacité de consigner les pistes de vérification et d’en faire l’examen conformément aux consignes;
  • l’incapacité d’assurer les contrôles TPI ou NLZ pour les clés TRÈS SECRET;
  • le prolongement non autorisé d’une cryptopériode;
  • l’utilisation non autorisée d’une clé (p. ex. une utilisation à d’autres fins que celles prévues, une utilisation prématurée, l’utilisation d’une clé compromise, remplacée ou défectueuse, ou d’une clé déjà utilisée dont la réutilisation n’a pas été autorisée).

A.1.3.9 Type d’incidents compromettants : Autres

Cette catégorie comprend tout autre incident compromettant (IC) qui ne correspond pas à l’un des huit types mentionnés précédemment. En voici des exemples :

  • une erreur liée à la fabrication de l’équipement ou à la production de clé;
  • une absence non autorisée ou l’incapacité d’assumer ses fonctions conformément à l’horaire établi;
  • une négligence (p. ex. ne pas suivre les instructions de façon délibérée).

A.2 Pratiques dangereuses pour la sécurité

Une PDS est un incident COMSEC qui est considéré comme étant une infraction mineure aux exigences de nature administrative, mais qui ne donne pas lieu à une perte de contrôle ou à un accès non autorisé au matériel COMSEC. Même si une PDS ne mène pas à la compromission de l’information, des actifs ou des fonctionnalités, elle pourrait rendre possible leur exploitation ou leur compromission si aucune mesure n’est prise pour corriger la situation.

A.2.1 PDS par type

On compte six types de PDS. Les sections suivantes décrivent chaque type et fournissent des exemples.

A.2.1.1 Type de PDS : De nature administrative

Par PDS de nature administrative, on entend toute lacune dans la comptabilité ou le suivi du matériel COMSEC. En voici des exemples :

  • des dossiers manquants, incomplets, périmés ou non signés, notamment :
    • les formulaires d’inscription ou les justificatifs électroniques de comptes COMSEC ou d’éléments locaux;
    • les formulaires de nomination ou de cessation de fonction à un rôle COMSEC;
    • les ententes de contrôle du matériel COMSEC comptable (ECMCC);
    • les plans d’urgence COMSEC (CEP pour COMSEC Emergency Plan);
    • les rapports de matériel COMSEC GC-223 pour toutes les transactions applicables;
    • les formulaires de pouvoir de signature des courriels COMSEC;
    • les PNE;
    • les dispenses et les exceptions;
  • l’absence de plan de soutien lié au matériel de chiffrement (PSMC);
  • l’incapacité de procéder aux mises à jour de fichiers et aux sauvegardes au besoin;
  • une classification, une désignation ou un marquage inadéquats des documents;
  • l’incapacité de mettre les politiques, les directives, la doctrine et tout autre document nécessaire au fonctionnement du compte COMSEC à la disposition de tout le personnel COMSEC (par l’entremise du PUC).

A.2.1.2 Type de PDS : Équipement

Par PDS liée à l’équipement, on entend toute pratique qui pourrait donner lieu à un accès non autorisé à l’équipement (p. ex. un CCI, une ECU ou un téléphone sécurisé) ou à son exposition. En voici des exemples :

  • l’omission de stocker les ECU de façon appropriée (p. ex. séparément des CIK qui lui sont associées);
  • l’omission de procéder à des mises à niveau logicielles et micrologicielles obligatoires sur les ECU qui sont en stock (c.‑à-d., non opérationnelles) dans les délais impartis;
  • l’omission de remettre à la clé les ECU non utilisées ou de sauvegarde de manière régulière et opportune (p. ex. avant qu’elles ne soient opérationnelles);
  • l’omission de surveiller les journaux d’activités des ECU, le cas échéant;
  • l’omission de maintenir les processus de gestion des piles;
  • l’omission de régler l’heure exacte sur les dispositifs de gestion de palier 3 (T3MD pour Tier 3 Management Device);
  • la possession de matériel COMSEC supplémentaire dans l’inventaire;
  • l’entreposage d’ECU non fonctionnelles, à l’exception de celles pour lesquelles l’autorisation des SCC est attendue aux fins de destruction ou le numéro d’autorisation de retour (RMA) est attendu du fabricant aux fins de réparation.

A.2.1.3 Type de PDS : Inventaire

Une PDS liée à l’inventaire survient lorsque les exigences liées à la gestion de l’inventaire ne sont pas respectées. En voici des exemples :

  • l’utilisation de procédures de comptabilité de matériel COMSEC qui n’ont pas été approuvées;
  • l’utilisation d’une version du Système de comptabilité INFOSEC répartie (DIAS pour Distributed INFOSEC Accounting Software) qui est périmée ou dont l’utilisation n’est plus approuvée;
  • des formulaires de responsabilités du détenteur de prêt manquants, incomplets ou périmés;
  • toute omission pour ce qui est de renouveler et de vérifier annuellement les accusés de réception;
  • l’incapacité de voir le matériel COMSEC lors de la vérification de l’inventaire COMSEC;
  • l’omission de vérifier les pages des publications de MCC avant le transfert, le retour ou la vérification de l’inventaire COMSEC;
  • l’omission de rassembler ou de vérifier les CIK (ECU, T3MD ou FTR) tel qu’il est indiqué dans la doctrine correspondante (p. ex. annuellement ou semestriellement);
  • l’absence de signatures de membres du personnel de garde COMSEC, de détenteurs de prêt ou de témoins sur les rapports d’inventaire COMSEC;
  • l’incapacité de rapprocher l’inventaire COMSEC avec les données du NCOR.

A.2.1.4 Type de PDS : Processus et procédure

Une PDS liée à un processus ou à une procédure est le résultat du non-respect des processus et procédures COMSEC établis dans les directives COMSEC nationales, les doctrines et les PNE. En voici des exemples :

  • l’omission de nommer au moins un gardien COMSEC suppléant;
  • ne pas avoir suivi la formation COMSEC requise ou les cours sur la manutention du matériel cryptographique recommandé, le cas échéant;
  • l’omission ou l’incapacité d’assumer les responsabilités du gardien COMSEC lorsque nécessaire (s’applique au gardien COMSEC suppléant);
  • l’omission d’informer le destinataire de l’envoi de matériel COMSEC;
  • la gestion inappropriée ou inadéquate du matériel COMSEC sous les soins et le contrôle du compte COMSEC ou des utilisateurs finaux autorisés;
  • la réalisation inappropriée de l’archivage du logiciel de gestion COMSEC locale (LCMS pour Local COMSEC Management Software) sur le Système de gestion électronique des clés (EKSM pour Electronic Key Management System);
  • la réception d’un colis contenant du matériel COMSEC dont l’emballage extérieur est endommagé (emballage intérieur intact, c.-à-d., sans déchirure ou signe de dommage), sans autres signes de trafiquage;
  • la possession d’une clé non autorisée (p. ex. un titre abrégé inapproprié ou la clé étant associée à une ECU n’appartenant pas au compte);
  • l’activation d’un mécanisme d’inviolabilité ou une mise à zéro inexpliquée alors qu’il n’y a aucun autre signe de trafiquage, d’accès non autorisé ou de pénétration du matériel COMSEC;
  • l’utilisation prématurée ou hors séquence d’une clé sans l’approbation préalable de la ConAuth ou CmdAuth, le cas échéant;
  • la destruction accidentelle d’une clé sans autorisation (à condition que la destruction ait été effectuée correctement et qu’elle ait été documentée);
  • le retrait d’une clé de son emballage protecteur avant son utilisation opérationnelle ou sans autorisation (à condition que le retrait ait été documenté, que toutes les clés exposées faisaient l’objet d’un contrôle intégral et qu’il n’y ait aucune raison de croire que la clé a été compromise);
  • l’omission de détruire l’équipement et les publications comptables de manière opportune, dans la mesure où l’article a été rangé adéquatement et qu’il a été comptabilisé dans le SNCMC;
  • l’omission de remettre à la clé les dispositifs prenant en charge le protocole d’interopérabilité des communications sécurisées (SCIP pour Secure Communications Interoperability Protocol) de manière régulière;
  • l’omission de détruire la clé d’un T3MD à la suite du remplissage de l’ECU dans les délais indiqués dans la politique COMSEC et la doctrine correspondante.

A.2.1.5 Type de PDS : Sécurité

Une PDS liée à la sécurité survient lorsque les mesures de sécurité physique recommandées par la Gendarmerie royale du Canada (GRC) en ce qui a trait aux soins et au contrôle du matériel COMSEC ne sont pas mises en œuvre adéquatement. En voici des exemples :

  • des évaluations des menaces et des risques (EMR) manquantes, incomplètes ou périmées pour les installations COMSEC;
  • le fait d’apposer des étiquettes non autorisées sur de l’équipement COMSEC;
  • des étiquettes d’inviolabilité manquantes ou endommagées;
  • l’omission de vérifier le besoin de connaître, la citoyenneté canadienne, le niveau d’habilitation et les exigences d’accès d’un individu avant de lui remettre du matériel COMSEC;
  • l’omission de s’assurer que l’ensemble du personnel COMSEC et des utilisateurs autorisés a participé à une séance d’initiation COMSEC;
  • l’omission de ranger le matériel COMSEC au moyen de contenants et de verrous approuvés par la GRC;
  • l’omission de changer les combinaisons des verrous de manière régulière conformément aux consignes;
  • l’omission de séparer adéquatement le matériel COMSEC dans les stocks selon leur classification;
  • l’omission de changer les mots de passe des officiers de sécurité du site (SSO pour Site Security Officer) ou les NIP des superviseurs, conformément aux consignes;
  • un accès non autorisé ou l’utilisation des mots de passe des SSO ou des NIP des superviseurs durant l’exploitation du matériel;
  • la perte des données des pistes de vérification des T3MD dans des circonstances particulières (p. ex. ACM/ACO ayant autorisé l’utilisation d’un dispositif T3MD avec une piste de vérification saturée).

A.2.1.6 Type de PDS : Autres

Cette catégorie comprend toute autre PDS qui ne correspond pas à l’un des cinq autres types mentionnés précédemment.

 
Dernière mise à jour: