Sélection de la langue

Government of Canada / Gouvernement du Canada

Avant-propos, vue d'ensemble, introduction

Précédent
Suivant

Sur cette page

Avant-propos

Le Catalogue des activités d’assurance et des contrôles de sécurité et de protection de la vie privée est un document NON CLASSIFIÉ publié avec l’autorisation du dirigeant principal, Centre canadien pour la cybersécurité (Centre pour la cybersécurité).

La présente publication remplace l’ITSG-33, Gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie, Annexe 3A – Catalogue des contrôles de sécurité.

Pour obtenir de plus amples renseignements ou suggérer des modifications, veuillez communiquer avec le Centre d’appel :

Date d’entrée en vigueur

Le présent document entre en vigueur le ## 2026

Revision history

  1. Première version : ## 2026
 

Vue d’ensemble

Pour assurer une approche commune de référence à l’égard de la gestion des risques avec les États-Unis, les contrôles et les activités d’assurance décrits dans la présente publication reflètent le contenu du document National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations (en anglais seulement). Il nous est ainsi possible d’adopter des normes comme le profil du Comité canadien chargé des systèmes de sécurité nationale (CCSSN) sur des systèmes canadiens de sécurité nationale. Cette publication est une version adaptée du document NIST SP 800-53, qui reflète les exigences législatives et opérationnelles particulières canadiennes. Les sections 1 et 2 mettent en évidence les principales différences entre les deux publications.

La présente publication fait partie d’une série de lignes directrices publiées par le Centre pour la cybersécurité, conformément à La gestion des risques liés à la cybersécurité et à la vie privée : Une méthode axée sur le cycle de vie. Elle comporte des activités d’assurance et des contrôles pour les systèmes et les organisations sur lesquels peuvent se fonder les praticiennes et praticiens pour adapter et attribuer des contrôles et des activités d’assurance pour gérer des risques liés à la cybersécurité et des risques d’atteinte à la vie privée. La mise en œuvre d’un ensemble complet de contrôles de sécurité et de protection de la vie privée et d’activités d’assurance de la sécurité et de la protection de la vie privée peut aider les organisations à réaliser leurs activités opérationnelles.

La présente publication a été créée comme outil pour faciliter le travail des praticiennes et praticiens de la sécurité et de la protection de la vie privée chargés de la protection des systèmes, conformément aux lois et aux politiques, directives et normes applicables.

Les publications Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036) et Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037) donnent des conseils sur l’utilisation de ce catalogue afin de correctement sélectionner, adapter et mettre en œuvre les contrôles et les activités d’assurance au niveau organisationnel et des systèmes, respectivement.

 

Modifications apportées

Les éléments suivants décrivent les principales modifications apportées à la série Gestion des risques liés à la sécurité et à la vie privée : Une méthode axée sur le cycle de vie.

  • Ajout d’éléments liés à la protection de la vie privée : en raison de permutations dans le lien entre les objectifs liés au programme de cybersécurité et de protection de la vie privée et la gestion des risques, une collaboration étroite est nécessaire entre ces programmes.
  • Portée du public cible : aborder maintenant les infrastructures essentielles en plus du gouvernement du Canada (GC).

Plus précisément, dans l’ITSP.10.033, les modifications sont les suivantes :

  • La conformité se fait avec le document NIST SP 800-53 Rev. 5 (anciennement Rev. 4);
  • Ajout de contrôles et d’activités d’assurance portant sur la protection de la vie privée, ainsi que d’autres contrôles et activités connexes;
  • Ajout de nouvelles familles :
    • PM : Gestion des programmes;
    • PT : Renseignements personnels et transparence;
    • SR : Gestion des risques liés à la chaîne d’approvisionnement;
  • La section de discussion est divisée en discussion générale et en discussion au sein du GC, le cas échéant; La discussion au sein du GC s’adresse spécifiquement à un public du GC, car elle aborde les exigences tirées des lois, des politiques, des directives et des normes auxquelles les ministères et organismes du GC doivent se conformer;
  • • Tous les contrôles, les activités ou les améliorations portant sur la sécurité et la protection de la vie privée propres au Canada dont le numéro commençait auparavant à la valeur 100, commencent maintenant à la valeur 400 (par exemple, SA-400, IA-04(400)); Cette modification a été apportée pour éviter d’entraver des améliorations du NIST, car certaines de celles-ci s’approchaient de la valeur 100;
  • Nous désignons les « contrôles » liés à l’assurance comme étant des activités, plutôt que des contrôles.
 

Mentions

Le Centre pour la cybersécurité souhaite remercier Victoria Pillitteri et Ron Ross (PhD) de la division de sécurité informatique du NIST d’avoir permis à l’équipe des Conseils en matière de cybersécurité (CSG) d’utiliser le catalogue des contrôles de sécurité du document NIST 800-53 Rev 5 (en anglais seulement) et de les modifier afin de les adapter au contexte canadien.

Nous tenons également à saluer le soutien continu fourni par l’équipe chargée de l’évaluation de la confidentialité de la gestion de la sécurité et de la gouvernance (SMGPA pour Security Management and Governance Privacy Assessment) chez Services partagés Canada, principalement pour son importante contribution sur le plan du respect de la vie privée, ce qui s’est avéré un facteur déterminant dans la réalisation de ce projet.

De plus, nous tenons à remercier celles et ceux qui ont contribué à l’élaboration de ce projet dans divers domaines : le Secrétariat du Conseil du Trésor du Canada et plusieurs équipes du Centre pour la cybersécurité.

 
Haut de la page 

Introduction

Un contrôle de sécurité, que l’on appelle aussi une protection, est un élément juridique, administratif, opérationnel ou technique d’un système. Il protège la confidentialité, l’intégrité ou la disponibilité d’une activité ou d’un bien opérationnel et des renseignements dont il dépend pour satisfaire aux exigences en matière de sécurité et pour atténuer les risques liés à la cybersécurité. Un contrôle de protection de la vie privée est un élément juridique, administratif, opérationnel ou technique d’un système déployé au niveau de l’organisation ou du système afin d’atténuer les risques d’atteinte à la vie privée et d’assurer le respect des exigences applicables en matière de protection de la vie privée.

Une activité d’assuranceNote de bas de page 1 est un groupe de tâches qui assure qu’un contrôle de sécurité ou de protection de la vie privée est adéquatement conçu et mis en œuvre, et qu’il fonctionne comme prévu. Les activités d’assurance comprennent des tâches dont le but est de confirmer que tous les contrôles de sécurité et de protection de la vie privée dans la conception, la mise en œuvre et l’exploitation d’un système sont en mesure de répondre aux besoins opérationnels en matière de sécurité.

Les activités et contrôles de sécurité et de protection de la vie privée sont sélectionnés pour répondre aux exigences de sécurité et de protection de la vie privée imposées à un système ou à une organisation. Les exigences de sécurité et de protection de la vie privée sont issues de lois applicables, de décrets, de directives, de règlements, de politiques, de normes et de besoins opérationnels pour assurer la protection de la vie privée, l’intégrité et la disponibilité de l’information traitée, stockée ou transmise et pour gérer les risques liés à la vie privée.

La sélection, la répartition, la conception et la mise en œuvre d’activités et de contrôles de sécurité et de protection de la vie privée sont des tâches importantes ayant des implications considérables sur les opérations et les biens des organisations, ainsi que sur le bien-être des gens et du Canada. Les organisations devraient pouvoir répondre aux questions clés suivantes lorsqu’il est question des activités et des contrôles de sécurité et de protection de la vie privée de l’information :

  • Quels sont les activités et les contrôles de sécurité et de protection de la vie privée nécessaires pour répondre aux exigences de sécurité et de protection de la vie privée et pour gérer adéquatement les risques liés à la mission ou aux opérations, ou les risques liés aux personnes?
  • Les activités et les contrôles sélectionnés ont-ils été mis en œuvre ou y a-t-il un plan en place pour le faire?
  • Quel est le niveau d’assurance (par exemple, niveau de confiance adéquat) auquel les contrôles sélectionnés, conformément à leur conception ou mise en œuvre, sont efficacesNote de bas de page 2?

Les activités de gestion des risques pour la cybersécurité et la vie privée décrites dans la publication Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036) donnent le contexte permettant de répondre adéquatement à ces questions.

Le Centre pour la cybersécurité recommande aux organisations d’utiliser les contrôles et les activités d’assurance de la sécurité et de la protection de la vie privée indiqués dans cette publication pour répondre à leurs exigences de cybersécurité et de protection de la vie privée. Le catalogue des activités et des contrôles est accessible sous forme de boîte à outils contenant un regroupement de protections, de contre-mesures, de techniques et de processus visant à intervenir face aux risques de sécurité et d’atteinte à la vie privée. Les activités et les contrôles sont employés dans le cadre d’un processus de gestion des risques bien défini qui soutient les programmes de cybersécurité et de protection de la vie privée de l’organisation. En contrepartie, ces programmes de cybersécurité et de protection de la vie privée contribuent à jeter les bases de la réussite des fonctions de la mission et des opérations de l’organisation.

Il est important que les responsables ou les cadres comprennent bien les risques de cybersécurité et de protection de la vie privée pouvant compromettre les activités et les biens de l’organisation, les personnes, les autres organisations ou le Canada. Ces personnes doivent également comprendre l’état actuel de leurs programmes de cybersécurité et de protection de la vie privée, ainsi que les activités et contrôles planifiés ou en place pour permettre de protéger les renseignements, les systèmes d’information et les organisations afin de porter des jugements éclairés et d’effectuer des investissements judicieux qui répondent aux risques identifiés, et ce, de manière acceptable. L’objectif est de gérer ces risques en sélectionnant et en mettant en œuvre des activités et des contrôles d’assurance de sécurité et de protection de la vie privée.

 
Haut de la page 

Objet

La présente publication fait partie d’une série de lignes directrices publiées par le Centre canadien pour la cybersécurité (Centre pour la cybersécurité), conformément à la série La gestion des risques liés à la cybersécurité et à la vie privée : une méthode axée sur le cycle de vie. Elle comporte des activités d’assurance et des contrôles pour les systèmes et les organisations sur lesquels peuvent se fonder les praticiennes et praticiens pour adapter et attribuer des contrôles et des activités pour gérer ides risques liés à la cybersécurité et des risques d’atteinte à la vie privée. La mise en œuvre d’un ensemble complet d’activités et de contrôles de sécurité et de protection de la vie privée peut aider les organisations à réaliser leurs activités opérationnelles.

Le catalogue d’activités et de contrôles de sécurité et de protection de la vie privée :

  • aide les organisations à identifier les activités et les contrôles nécessaires à la gestion des risques de cybersécurité et d’atteinte à la vie privée, et à répondre aux exigences de cybersécurité et de confidentialité;
  • fournit un ensemble d’activités et de contrôles de sécurité et de confidentialité pour répondre aux besoins actuels de protection de l’organisation, tout en s’adaptant aux besoins opérationnels et techniques ainsi qu’au savoir-faire des auteurs de menace en pleine évolution;
  • permet d’avoir une approche plus uniforme et reproductible pour préciser et adapter les activités et les contrôles d’assurance;
  • permet de créer une base pour l’élaboration de méthodes et de procédures d’évaluation visant à déterminer l’efficacité des contrôles de sécurité et de confidentialité;
  • fournit une série d’activités d’assurance servant à préciser les niveaux d’assurance de la sécurité (NAS) dans la publication Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037);
  • améliore la communication entre les organisations et les parties prenantes en proposant un lexique commun qui facilite la discussion relative à la gestion des risques liés à la cybersécurité et à la confidentialité.

Dans le contexte du GC, ce catalogue permet aux responsables et aux cadres compétentes et compétents de protéger les systèmes d’information du GC et de gérer les risques de cybersécurité et de protection de la vie privée. La présente publication, ainsi que d’autres de la série, facilite la conformité aux lois du GC et aux politiques du Secrétariat du Conseil du Trésor du Canada (SCT), aux directives et aux normes liées à la protection des systèmes d’information et aux renseignements personnels.

 
Haut de la page 

Portée et applicabilité

Le Catalogue des activités d’assurance et des contrôles de sécurité et de protection de la vie privée (ITSP.10.033) peut aider les praticiennes et praticiens de la cybersécurité et de la protection de la vie privée dans le cadre de la définition et de la mise en œuvre des fonctions de cybersécurité et de protection de la vie privée des organisations, et lors du processus de mise en œuvre des systèmes d’information au moment de choisir les contrôles de sécurité pour des systèmes d’information spécifiques. Le catalogue peut également servir de base au développement des profils d’activités et de contrôles de sécurité et de protection de la vie privée propres à des organisations et à des domaines spécifiques.

Les activités et les contrôles sont indépendants du processus employé pour la sélection de ces contrôles et activités d’assurance. Le processus de sélection peut se faire dans le cadre du processus de gestion des risques de l’organisation, d’un processus de conception des systèmes ou de tout autre cadre adéquat abordant le risque lié à la protection de la vie privée et à la cybersécurité. Les publications Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036) et Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037) sont des processus recommandés afin de correctement sélectionner, adapter et mettre en œuvre les contrôles et les activités d’assurance au niveau organisationnel et des systèmes, respectivement.

Dans le contexte du GC, la présente publication comprend des contrôles de sécurité et de protection de la vie privée et des activités d’assurance que les ministères et les organismes peuvent retenir pour protéger leurs activités opérationnelles aux niveaux sensibilité et criticité allant de très faible à très élevé dans des domaines non classifiés, protégés et classifiés.

 
Haut de la page 

Public cible

Cette publication vise à aider un public varié, notamment :

  • les personnes ayant des responsabilités liées au développement de systèmes, y compris les propriétaires de la mission ou des activités, les gestionnaires de programmes, les ingénieures et ingénieurs de systèmes, les ingénieures et ingénieurs de la sécurité des systèmes, les praticiennes et praticiens de la protection de la vie privée, les développeuses et développeurs de matériel et de logiciels, les intégratrices et intégrateurs de systèmes, et les responsables et les cadres chargés de l’acquisition et de l’approvisionnement;
  • les personnes ayant des responsabilités liées à la logistique et à la disposition, y compris les gestionnaires de programmes, les responsables ou les cadres chargées et chargés de l’approvisionnement, les intégratrices et intégrateurs de systèmes, et les gestionnaires immobilières ou immobiliers;
  • les personnes ayant des responsabilités liées aux opérations et à la mise en œuvre de la sécurité et de la protection de la vie privée, y compris les propriétaires de la mission ou des activités, les propriétaires de systèmes, les gardiennes et gardiens de l’information, les administratrices et administrateurs de systèmes, les planificatrices et planificateurs de la continuité et les agentes et agents de la protection des systèmes et de la vie privée;
  • les personnes ayant des responsabilités liées à la surveillance et à l’évaluation de la sécurité, y compris les vérificatrices et vérificateurs, les évaluatrices et évaluateurs de systèmes, les évaluatrices et évaluateurs des contrôles, les vérificatrices et vérificateurs indépendants, les responsables de la validation et les analystes;
  • les entités commerciales, y compris les partenaires de l’industrie, qui produisent des produits et des systèmes de composants, élaborent des technologies liées à la sécurité et à la protection de la vie privée, ou fournissent des services ou des capacités qui soutiennent la cybersécurité ou la protection de la vie privée.

Dans le GC, la présente publication s’adresse au public cité ci-dessus, ainsi qu’aux personnes qui soutiennent les activités de gestion des risques liés à la cybersécurité et à l’atteinte à la vie privée, comme :

  • les personnes ayant des responsabilités associées à la gestion et à la surveillance des systèmes, de la sécurité de l’information, de la protection de la vie privée ou des risques, y compris les dirigeantes principales et dirigeants principaux de l’information (DPI), les dirigeantes principales ou dirigeants principaux de la sécurité (DPS), les cadres supérieures et supérieurs de la gouvernance en matière de sécurité du ministère, les agentes désignées et agents désignés pour la cybersécurité et les hauts fonctionnaires ou cadres supérieures et supérieurs en matière de protection de la vie privée;
  • les personnes qui participent à la définition, à la conception, au développement, à l’installation et à l’exploitation des systèmes d’information et plus particulièrement les autorisatrices et autorisateurs, les gestionnaires de projet, les architectes de cybersécurité, les ingénieures et ingénieurs de la cybersécurité, les évaluatrices et évaluateurs de la cybersécurité et les membres des groupes responsables des opérations de cybersécurité.
 
Haut de la page 

Hiérarchie de la publication

La présente publication fait partie d’une série de lignes directrices conforme au document La gestion des risques liés à la cybersécurité et à la vie privée : une méthode axée sur le cycle de vie. Les documents de la série se présentent comme suit :

  • Aperçu de la gestion des risques liés à la cybersécurité et des risques d’atteinte à la vie privée : Une méthode axée sur le cycle de vie (ITSP.10.035)
  • Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036)
  • Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037)
  • Catalogue des activités d’assurance et des contrôles de sécurité et de protection de la vie privée (ITSP.10.033)
  • Proposition de profil d’activités et de contrôles organisationnels de sécurité et de protection de la vie privée – Incidence moyenne (ITSP.10.033-01)
  • Évaluation des contrôles et des activités d’assurance de la sécurité et de la protection de la vie privée (ITSP.10.033-02)
 
Haut de la page 

Structure de la publication

La suite de cette publication sera structurée comme suit :

  • La section 2 Concepts et structure traite des concepts fondamentaux associés aux contrôles et aux activités d’assurance, notamment la structure des activités et des contrôles, leur regroupement dans le catalogue, les approches de mise en œuvre, la relation entre les contrôles, les activités et la robustesse;
  • La Section 3 Les contrôles et les activités d’assurance fournit un catalogue d’activités d’assurance et de contrôles, y compris une section de discussion pour expliquer l’objectif de chaque activité d’assurance et contrôle, et pour fournir des renseignements utiles concernant la mise en œuvre et l’évaluation. La discussion est divisée en discussion générale et en discussion au sein du GC, le cas échéant. La discussion au sein du GC s’adresse spécifiquement à un public du GC, car elle aborde les exigences tirées des lois, des politiques, des directives et des normes auxquelles les ministères et organismes du GC doivent se conformer. Une liste d’activités et de contrôles connexes est fournie pour illustrer les relations et les dépendances parmi ces activités, et la section présente également une liste de références qui viennent compléter les publications et qui peuvent être utiles pour les organisations;
  • Les références, le glossaire de termes et la liste d’abréviations donnent un complément d’information sur l’utilisation des activités d’assurance et des contrôles.
Précédent
Suivant
Date de modification :