Sélection de la langue

Government of Canada / Gouvernement du Canada

Évaluations des risques liés à l’intégrité de la chaîne d’approvisionnement : Critères d’évaluation (ITSAP.10.071)

Les évaluations des risques liés à l'intégrité de la chaîne d'approvisionnement (ICA) sont menées sur les produits et les services des technologies de l'information et des communications qui sont déployés dans l'infrastructure du gouvernement du Canada (GC) dans le cadre d'un examen de l'ICA. L'examen permet de protéger la confidentialité, l'intégrité et la disponibilité des communications et des données du GC en favorisant la résilience par rapport aux vulnérabilités et aux compromissions associées à la chaîne d'approvisionnement numérique.

Les évaluations des risques liés à l'ICA considèrent les sources de menaces potentielles, relèvent les vulnérabilités des produits et déterminent les répercussions possibles des compromissions. Elles font partie intégrante du cadre organisationnel global de gestion des risques qui vise à tenir compte des risques vastes et de grande portée qui pèsent sur les systèmesNotes de bas de page 1.

La présente publication fournit une vue d'ensemble générale des critères utilisés par le GC dans les évaluations des risques liés à l'ICA. Elle peut constituer une base de référence utile pour toute organisation qui veut évaluer les risques liés à la chaîne d'approvisionnement.

Sur cette page

Critères d'évaluation des risques liés à l'intégrité de la chaîne d'approvisionnement

Les sections ci-dessous fournissent des détails sur les critères associés à la réalisation d'une évaluation des risques liés à l'ICA. Vous devriez examiner soigneusement chaque facteur et peser les risques en fonction du cadre de gestion des risques de votre organisation.

Contexte géopolitique

Le lieu où une entreprise se situe ou mène ses activités est un facteur important. Les bureaux principaux d'une entreprise, ses filiales, ses installations de recherche, de développement et de fabrication et ses centres des opérations peuvent être situés dans des pays où les gouvernements et les cadres juridiques sont très différents de ceux du Canada. Ces pays pourraient ne pas défendre des valeurs et des principes démocratiques, ne pas se conformer à l'État de droit, ne pas maintenir une indépendance judiciaire, ne pas respecter les droits et libertés de leur population et posséder d'autres caractéristiques de pays partageant les mêmes valeurs. Par conséquent, les activités menées par une entreprise dans ces pays pourraient être exposées à des risques géopolitiques, juridiques et opérationnels susceptibles de mettre en péril les biens, la réputation et les activités commerciales de l'entreprise.

Votre organisation devrait tenir compte des facteurs ci-dessous lorsqu'elle évalue le contexte géopolitique d'un pays.

  • Climat politique : Le climat politique d'un pays (par exemple, instabilité, réglementation gouvernementale, politiques commerciales, relations diplomatiques, etc.) peut avoir une incidence considérable sur les fournisseurs et donner lieu à des interruptions opérationnelles et au non-respect des exigences juridiques et réglementaires. Dans le cas du GC, cela pourrait soulever de plus amples préoccupations en matière de sécurité nationale.
  • Lois en matière de données, de renseignement et de surveillance : Certains pays sont régis par de nombreuses lois en matière de données, de renseignement et de surveillance exigeant une coopération avec les services de renseignement du pays hôte.
    • Dans certains cas, ces pays peuvent exiger la résidence des données.
    • Les lois en matière de résidence des données peuvent soulever des préoccupations pour ce qui est de la confidentialité, de l'intégrité et de la disponibilité des données canadiennes.
  • Lieux de fabrication : Dans certains pays, les fournisseurs et leurs filiales (fabrication, recherche et développement [R et D], etc.) sont étroitement liés à l'appareil militaire et de renseignement, ou exposés aux pressions exercées par ces derniers. Dans certains cas, des installations commerciales pourraient être utilisées pour produire des biens à double usage susceptibles de servir à des fins militaires, à la collecte de données ou à un espionnage potentiel.
  • Institutions démocratiques : Travailler avec des fournisseurs dont les pays hôtes partagent les mêmes valeurs permet de renforcer la collaboration et d’inspirer une confiance mutuelle. Les valeurs communes pourraient comprendre les suivantes :
    • la tenue d'élections libres et justes;
    • la séparation des pouvoirs;
    • l'indépendance de l'appareil judiciaire;
    • la protection des droits de la personne;
    • la protection de l'environnement;
    • la protection de la vie privée et des données.
  • Pays adversaires : Les pays qui manifestent des intentions hostiles envers le Canada et sa population posent des risques accrus en matière de sécurité nationale, de sûreté et de bien-être économique. Les pays hostiles peuvent chercher à obtenir un avantage commercial ou technologique, à occuper une position dominante dans la chaîne d'approvisionnement, à imposer leurs idéologies politiques ou à se livrer à des activités d'espionnage. Ces objectifs peuvent être atteints par divers moyens, notamment en menant des activités d'ingérence et en faisant appel à la cyberexploitation. On estime que les programmes de cybersécurité parrainés par des pays figurant dans les évaluations des cybermenaces nationales du Centre canadien pour la cybersécurité posent la cybermenace la plus sophistiquée et active envers le Canada.

Propriété, contrôle et influence de l'étranger

Le facteur de propriété, de contrôle et d'influence de l'étranger (PCIE) entre en jeu lorsqu'un gouvernement ou un auteur de menace étranger peut influencer ou orienter la haute direction ou les activités d'une entreprise. Cela peut donner lieu à la compromission d'une technologie de l'entreprise ou à un accès non autorisé à ses systèmes ou à ses données.

On peut diviser la PCIE en trois parties :

  1. Propriété - investissements étrangers et/ou parts dans une entreprise, ses filiales et ses sociétés affiliées (y compris le capital de risque);
  2. Contrôle - sur le processus de prise de décisions par la nomination de membres clés du personnel ou de la haute direction, etc.;
  3. Influence - avantage économique et financier, partenariats stratégiques, trop grande dépendance envers un petit nombre de partenaires de R et D, de clients, de fournisseurs, etc.

Votre organisation devrait tenir compte des facteurs ci-dessous, puisqu’ils peuvent contribuer à l’augmentation des risques liés à la PCIE.

  • Relations entre les membres de la haute direction et les cadres supérieures et supérieurs : Les membres de la haute direction et les cadres supérieures et supérieurs peuvent être des vecteurs d'influence et de contrôle pour une entreprise s'ils entretiennent des relations avec des forces militaires, des services de renseignement et des gouvernements étrangers dans des pays qui manifestent des intentions hostiles envers le Canada.
  • Propriété strong>: Les entreprises qui appartiennent (en totalité ou en partie) à des entreprises d'État ou qui sont financées par des entités de gouvernements étrangers peuvent être vulnérables au contrôle et à l'influence. Des structures de propriété inconnues ou opaques peuvent indiquer des efforts de cacher de telles relations.
  • Partenaires et investisseurs étrangers : Des partenaires étrangers peuvent exercer une influence indue sur les entreprises dans lesquelles ils ont investi ou avec lesquelles ils entretiennent des engagements stratégiques.

Pratiques commerciales

Par pratiques commerciales, on entend les méthodes, les procédures et les comportements adoptés par une entreprise dans le cadre de ses activités quotidiennes. Les pratiques commerciales passées et actuelles donnent une bonne idée des principes d’éthique qui régissent les activités commerciales d’une entreprise. Des pratiques commerciales contraires à l’éthique peuvent accroître les risques liés à la réputation et à la sécurité, ainsi que les risques d’ordre financier et juridique.

Votre organisation devrait tenir compte des facteurs ci-dessous, puisqu’ils peuvent indiquer des pratiques commerciales risquées ou contraires à l’éthique.

  • Sanctions : Partenariats ou engagements stratégiques avec des entités étrangères sujettes aux sanctions imposées par la collectivité des cinq ou l’Union européenne (UE).
  • Poursuites et violations : Entreprises qui ont été reconnues coupables dans le cadre de litiges judiciaires ou qui ont enfreint les règles et les règlements des pays de la collectivité des cinq et/ou de l'UE.
  • Corruption : Preuve de corruption, changement d'image trompeur (par exemple, masquer délibérément un changement d'identité) ou pratiques commerciales frauduleuses.
  • Pratiques commerciales : Recours à des pratiques commerciales déloyales comprenant, sans s'y limiter, le trafic d'influence, la fraude et le blanchiment d'argent.
  • Transparence : Manque de transparence ou d'ouverture par rapport à la propriété, aux activités, aux politiques et aux processus.

Maturité de la cybersécurité

Par maturité de la cybersécurité, on entend la mesure dans laquelle une organisation a développé et mis en œuvre des pratiques efficaces en matière de cybersécurité pour protéger ses systèmes d'information et ses données.

Votre organisation devrait tenir compte des facteurs ci-dessous, puisqu'ils permettent de mieux comprendre la maturité de la cybersécurité.

  • Normes et certifications : Le respect des normes technologiques et des certifications internationales lors de la conception, de la production et de la maintenance des produits et services permet d'établir un climat de confiance.
  • Intervention en cas d'incident et communications : Les organisations devraient mettre en place des politiques exhaustives en matière de cybersécurité et maintenir des plans d'intervention en cas d'incident appropriés afin de gérer efficacement les cyberincidents et de faciliter la reprise. Les risques sont plus grands si les organisations ne sont pas en mesure de gérer les problèmes et les événements de cybersécurité et de prendre les mesures nécessaires pour intervenir.
  • Protection des données : Les organisations devraient démontrer leur capacité à protéger les données contre l'accès non autorisé tout au long du cycle de vie des données.

Vulnérabilité des produits

Par vulnérabilité des produits, on entend une défectuosité ou une faiblesse dans la conception, la fabrication ou la mise en œuvre d'un produit ou d'un service, qui est susceptible d'être exploitée afin de nuire à la sécurité, à l'intégrité ou aux fonctionnalités de ce dernier.

Votre organisation devrait tenir compte des facteurs ci-dessous, puisqu'ils permettent de mieux comprendre les vulnérabilités des produits.

  • Historique des vulnérabilités : La recherche de l'historique d'une vulnérabilité consiste à déterminer comment et quand une vulnérabilité a été découverte, à faire le suivi du nombre d'occurrences au fil du temps et à évaluer dans quelle mesure elle nuit au bon fonctionnement d'un produit.
  • Volume, portée et gravité : Un nombre plus élevé d'incidents ou des vulnérabilités plus sérieuses peuvent indiquer de mauvaises pratiques de sécurité, l'absence d'un cycle de développement sécurisé ou l'utilisation d'un produit complexe comportant plusieurs lacunes potentielles.

Exploitation des vulnérabilités

L'exploitation des vulnérabilités est un acte qui consiste à tirer avantage des faiblesses d'un logiciel, du matériel ou des systèmes en vue d'obtenir un accès non autorisé, de perturber les activités ou de voler des données. Il s'agit d'une des principales tactiques employées par les auteurs de cybermenace, y compris les groupes cybercriminels, les États-nations et les hacktivistes.

L'historique des exploitations comprend l'évaluation visant à déterminer si un produit a été activement ciblé ou exploité par des auteurs de menace. L'évaluation aide à comprendre et à caractériser le risque qui pèse sur un produit dans le monde réel.

Sensibilité des produits

La sensibilité des produits permet de caractériser le produit ou le service en fonction de plusieurs facteurs, notamment sa fonctionnalité, son emplacement dans l'infrastructure réseau de l'organisation de même que le type et le volume des données qu'il devra traiter. Cette partie de l'évaluation aide à établir l'incidence potentielle sur les activités et l'infrastructure d'une organisation advenant la compromission d'une chaîne d'approvisionnement.

Votre organisation devrait tenir compte des facteurs ci-dessous, puisqu'ils permettent de mieux comprendre la sensibilité d'un produit.

  • Fonctionnalité : Il est important de considérer le rôle que joue un produit ou un service, et son incidence sur la confidentialité, la disponibilité et l'intégrité des données en cas de compromission ou d'interruption.
    • Les produits qui effectuent des fonctions clés ou essentielles à la mission, comme l'authentification ou le contrôle des systèmes, sont considérés comme plus sensibles.
    • Leur compromission pourrait avoir un effet domino dans tous les systèmes.
  • Emplacement : Où un produit est déployé dans un système ainsi que l'architecture avoisinante peut avoir une incidence sur le risque. Par exemple, les appareils périphériques et les dispositifs connectés à Internet sont plus exposés aux risques liés à la sécurité que les réseaux isolés, puisque leur connexion directe à Internet fait en sorte qu'on peut facilement les découvrir et y accéder.
  • Type et volume des données traitées : Le type de données traitées par un produit ou un service peut rendre un système plus intéressant pour les auteurs de cybermenace.La sensibilité d'un produit peut être, par nature, plus grande selon que les données sont classifiées ou non classifiées, ou qu'il s'agit du volume total ou de l'ensemble des données traitées.
Date de modification :