Sur cette page
Cette section présente les concepts fondamentaux associés aux contrôles et aux activités d’assurance de la sécurité et de la protection de la vie privée, y compris la relation entre les exigences, les contrôles et les activités, ainsi que leur structure, leurs approches de mise en œuvre pour les systèmes et les organisations, la relation entre les contrôles et les activités de sécurité et de protection de la vie privée, l’importance du concept de robustesse et les effets des contrôles et des activités sur l’atteinte d’une solution robuste et sécurisée.
Exigences, contrôles et activités
Les exigences de sécurité et de protection de la vie privée découlent généralement des obligations imposées aux organisations. En effet, les organisations doivent se conformer aux lois et aux règlements applicables, et habituellement aux normes acceptées dans l’industrie. Les contrôles sont des façons normalisées d’exprimer des exigences de sécurité et de protection de la vie privée pour les organisations et les systèmes.
Le terme « exigence » peut aussi servir dans un sens plus large pour faire référence au besoin opérationnel en matière de sécurité et de respect de la vie privée de parties prenantes pour un système ou une organisation en particulier. Ces besoins opérationnels en matière de sécurité et de respect de la vie privée et les exigences de sécurité et de protection de la vie privée connexes peuvent découler de plusieurs sources (par exemple, des lois, des décrets, de la réglementation, des politiques, des directives, des normes, des besoins nécessaires à la mission ou aux activités, ou des évaluations des risques) et peuvent mener à la sélection des contrôles et des activités appropriés.
Dans le présent document, le terme « exigence » comprend des exigences sur le plan juridique et des politiques, et il peut aussi servir dans un sens plus large pour faire référence au besoin opérationnel en matière de sécurité et de respect de la vie privée de parties prenantes qui peut découler d’autres sources.
Toutes ces exigences, lorsqu’elles sont appliquées à un système, aident à déterminer les caractéristiques nécessaires pour le système, englobant la cybersécurité, le respect de la vie privée et l’assurance.
Contrôles
Les contrôles se veulent une description de mesures de protection et de capacités adéquates sur le plan de la protection visant à atteindre les objectifs précis de l’organisation pour ce qui est de la sécurité et du respect de la vie privée, et à tenir compte des besoins opérationnels en matière de sécurité et de protection de la vie privée des parties prenantes organisationnelles. Ils sont sélectionnés, attribués, conçus et mis en œuvre par l’organisation afin de répondre aux exigences système. Les contrôles peuvent toucher aux aspects administratifs, juridiques, politiques, opérationnels, techniques et physiques.
Dans certains cas, la sélection et la mise en œuvre d’un contrôle peuvent nécessiter de la part de l’organisation des spécifications additionnelles sous la forme d’exigences dérivées ou de valeurs de paramètres de contrôle exemplifiées. Les exigences dérivées et les valeurs de paramètres de contrôle peuvent s’avérer nécessaires pour fournir le niveau approprié de détail de mise en œuvre selon des contrôles particuliers pendant le cycle de développement des systèmes.
Activités d’assurance
Les activités d’assurance se veulent une description de tâches, comme les tâches d’ingénierie, les exigences de contenu de documentation et les tâches d’évaluation, à effectuer dans le cadre d’un projet qui assure que les contrôles sont correctement mis en œuvre. Des ensembles présélectionnés d’exigences d’assurance de sécurité et de protection de la vie privée sont groupés en niveaux d’assurance de la sécurité (NAS), qui offrent un niveau accru de rigueur associé à la création d’une preuve d’assurance. Prière de consulter le document Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037) pour discuter plus en détail des niveaux d’assurance.
Contrôles et activités d’assurance, structure et organisation
Les contrôles et les activités d’assurance de la sécurité et de la protection de la vie privée contenus dans la présente publication ont un regroupement et une structure bien définis. Ils sont regroupés en 20 familles pour permettre de sélectionner et de préciser plus facilement les contrôles et les activités de sécurité et de protection de la vie privée. Chaque famille comporte des contrôles et des activités associés au sujet spécifique de la famille. Un identifiant unique à deux caractères permet d’identifier chaque famille (par exemple, PS pour sécurité du personnel (Personnel Security)). Les contrôles et les activités peuvent impliquer des aspects liés aux processus stratégiques, de surveillance, de supervision et manuels, ainsi qu’aux mécanismes automatisés qui sont mis en œuvre par les systèmes ou les actions de personnes.
La liste suivante présente les familles de contrôles et d’activités d’assurance de la sécurité et de la protection de la vie privée, ainsi que leurs identifiants correspondants :
- AC : Contrôle d’accès
- AT : Sensibilisation et formation
- AU : Vérification et responsabilisation
- CA : Évaluation, autorisation et survei lance
- CM : Gestion des configurations
- CP : Planification d’urgence
- IA : Identification et authentification
- IR : Intervention en cas d’incident
- MA : Maintenance
- MP : Protection des supports
- PE : Protection physique et environnementale
- PL : Planification
- PM : Gestion des programmes
- PS : Sécurité du personnel
- PT : Traitement des renseignements personnels et transparence
- RA : Évaluation des risques
- SA : Acquisition des systèmes et des services
- SC : Protection des systèmes et des communications
- SI : Intégrité de l’information et des systèmes
- SR : Gestion des risques liés à la chaîne d’approvisionnement
Les familles comportent des contrôles ou des activités de base et des améliorations. Les améliorations sont directement liées à leurs contrôles ou activités de base. Les améliorations ajoutent de la fonctionnalité ou de la spécificité à une activité ou un contrôle de base ou augmentent la force d’un contrôle de base ou l’exhaustivité de l’activité. Les améliorations sont utilisées dans les systèmes et environnements opérationnels qui nécessitent plus de protection que ce qu’offre l’activité ou le contrôle de base. La sélection d’améliorations nécessite toujours de choisir l’activité ou le contrôle de base.
Les familles sont groupées en ordre alphabétique, alors que les contrôles et activités ainsi que leurs améliorations au sein de chaque famille sont groupés en ordre numérique. L’ordre des familles, des contrôles et des activités, ainsi que des améliorations n’implique pas une progression logique, un niveau de priorité ou d’importance, ou un ordre à suivre pour leur mise en œuvre. C’est plutôt l’ordre dans lequel ils ont été inclus dans le catalogue qui est reflété. Les désignations de contrôle et d’activité ne sont pas réutilisées lorsqu’il y en a une qui est annulée. Les contrôles de sécurité et de protection de la vie privée comportent les sections suivantes : activité ou contrôle de base, discussion, discussion au sein du GC, le cas échéant, contrôles et activités connexes, améliorations et références.
Tous les contrôles de sécurité et de protection de la vie privée, toutes les activités ou améliorations commençant à la valeur 400 (par exemple, SA-400, IA-04(400)) sont des contrôles et des activités propres au Canada. La figure 1 illustre la structure d’un contrôle ou d’une activité type.
Figure 1 : Structure de contrôle ou d’activité
CP-09identificateur du C/A Sauvegarde du systèmeNom du C/A
Contrôle :C/A de base
- Effectuer des sauvegardes des données utilisateur contenues dans le système [Affectation : composants de système définis par l’organisationParamètre défini par l'organisation] [Affectation : fréquence définie par l’organisation et conforme aux objectifs de temps et de point de reprise]
- Effectuer des sauvegardes des données système contenues dans le système [Affectation : fréquence définie par l’organisation et conforme aux objectifs de temps et de point de reprise]
- Effectuer des sauvegardes de la documentation liée au système d’information, y compris la documentation sur la sécurité et la confidentialité [Affectation : fréquence définie par l’organisation et conforme aux objectifs de temps et de point de reprise]
- Protéger la confidentialité, l’intégrité et la disponibilité de l’information de sauvegarde
- Spécification canadienne L’organisation détermine les périodes de conservation de l’information opérationnelle essentielle et des sauvegardes archivées
Discussion : L’information système comprend l’information d’état, les logiciels du système d’exploitation, les intergiciels, les logiciels d’application, de même que les licences. L’information utilisatrice ou utilisateur comprend l’information qui n’est pas de l’information système. Les mécanismes utilisés pour la protection de l’intégrité des sauvegardes des systèmes comprennent les signatures numériques et le hachage cryptographique. La protection de l’information sur les sauvegardes système en transit est abordée dans les contrôles MP-05 et SC-08.
Les sauvegardes de systèmes répondent aux exigences établies dans les plans d’urgence ainsi qu’aux exigences organisationnelles concernant la sauvegarde d’information. Les organisations peuvent être assujetties aux lois, aux décrets, aux directives, aux règlements ou aux politiques applicables concernant des catégories particulières de renseignements (par exemple, les renseignements médicaux). Le personnel de l’organisation consulte la haute ou le haut fonctionnaire ou cadre supérieure ou supérieur et la conseillère ou le conseiller juridique en matière de protection de la vie privée concernant de telles exigences.
Contrôles et activités connexes : CP-02, CP-06, CP-10, MP-04, MP-05, SA-400C/A du Canada, SC-08, SC-12, SC-13, SI-04, SI-13.
Améliorations:
- (01)Améliorations Sauvegarde du système : Tests de fiabilité et d’intégrité
- Effectuer des tests de l’information de sauvegarde [Affectation : fréquence définie par l’organisation] pour vérifier la fiabilité des supports et l’intégrité de l’information.
- Discussion : Les organisations doivent avoir l’assurance que l’information de sauvegarde peut être récupérée de manière fiable. La fiabilité concerne les systèmes et les composants des systèmes dans lesquels l’information de sauvegarde est stockée, les opérations utilisées pour récupérer l’information, et l’intégrité de l’information faisant l’objet de la récupération. Des tests indépendants et spécialisés peuvent être utilisés pour chacun des aspects de la fiabilité. Par exemple, décrypter et transporter (ou transmettre) un échantillon aléatoire de fichiers de sauvegarde du site de sauvegarde ou de stockage de secours et comparer l’information à la même information au site de traitement principal peut procurer une telle assurance.
- Contrôles et activités connexes : CP-04.
- (02) Sauvegarde du système : Stockage distinct pour l’information essentielle
[...]
Références :Information additionnelle sur le C/A
- SCT , Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
- SCT , Directive sur la gestion de la sécurité – Annexe C : Procédures obligatoires relatives aux mesures de sécurité matérielle
- Sauvegarder et récupérer vos données (ITSAP.40.002)
- GRC, Guide d’équipement de sécurité (GSMGC-001) (réservé au GC)
La section Contrôle ou activité (C/A) fournit une description du contrôle ou de l’activité de sécurité ou de protection de la vie privée à mettre en œuvre formulée à l’aide d’un ou de plusieurs énoncés concis portant sur la capacité de sécurité ou de protection de la vie privée spécifique requise pour protéger un aspect d’un système. Ils sont réalisés par les mesures, automatisées ou non automatisées, effectuées par les systèmes d’information et les organisations. On attribue une désignation alphabétique distincte (A, B, etc.) à chaque énoncé; l’énoncé doit être respecté pour que le contrôle de sécurité ou de protection de la vie privée ou l’activité connexe soit appliqué. Tous les énoncés qui commencent par AA (par exemple, CP-09 AA) sont propres au Canada. Les organisations sont assez souples pour mettre en œuvre les contrôles ou les activités sélectionnés de façon à satisfaire la mission organisationnelle ou les besoins opérationnels conformes aux lois, à la réglementation et aux politiques.
La section Discussion facultative donne plus d’information pour faciliter la mise en œuvre d’un contrôle ou d’une activité de sécurité ou de protection de la vie privée, ce qui comprend d’autres contrôles et activités connexes. La section Discussion ne comporte pas d’énoncés auxquels les organisations doivent se conformer pour mettre en œuvre le contrôle ou l’activité. Les organisations peuvent se servir de cette information, au besoin, dans le cadre de l’élaboration, de l’adaptation, de la mise en œuvre, de l’évaluation ou de la surveillance des contrôles ou des activités. En outre, la discussion est divisée en discussion générale et en discussion au sein du GC, le cas échéant. La discussion au sein du GC s’adresse spécifiquement à un public du GC, car elle aborde les exigences tirées des lois, des politiques, des directives et des normes auxquelles les ministères et organismes du GC doivent se conformer.
La section Contrôles et activités connexes offre une liste des contrôles ou des activités de sécurité tirée du catalogue qui a une incidence ou soutient la mise en œuvre d’un contrôle, d’une activité ou d’une amélioration en particulier; aborde une capacité de sécurité et de protection de la vie privée connexe, ou figure à titre de référence dans la section de discussion. Les améliorations sont par nature liées à leur contrôle ou activité de base. Ainsi, les contrôles et activités connexes auxquels on fait référence dans le contrôle de base ou l’activité ne sont pas répétés dans les améliorations. Il peut y avoir des contrôles et activités connexes qui ne sont associés qu’à une amélioration en particulier et, par conséquent, ne figurent pas dans les contrôles et activités de base.
La section facultative des améliorations définit à l’aide d’énoncés concis, des capacités de sécurité ou de protection de la vie privée supplémentaires qui permettent d’accroître la robustesse d’un contrôle de sécurité ou l’exhaustivité d’une activité. On attribue à chaque amélioration une désignation numérique distincte ((01), (02), etc.). Toutes les améliorations qui commencent par 400 (par exemple, AC-17(400)) sont propres au Canada. Les améliorations sont numérotées de façon séquentielle dans chaque contrôle ou activité de façon à pouvoir être facilement identifiées lorsqu’elles sont sélectionnées pour compléter le contrôle ou l’activité de base. Chaque amélioration comporte un court sous-titre pour indiquer la fonction prévue ou la capacité qu’elle fournit. Dans l’exemple de la famille CP-09 ci-dessus, si une amélioration est sélectionnée, la désignation du contrôle devient CP-09(01). La désignation numérique d’une amélioration sert uniquement à des fins d’identification; elle n’indique pas l’exhaustivité de l’amélioration, le niveau de protection, l’importance ou tout lien hiérarchique parmi les améliorations. Les améliorations ne sont pas censées être sélectionnées séparément; si une est sélectionnée, le contrôle ou l’activité de base qui y correspond sont aussi sélectionnés et mis en œuvre.
La section Références comprend une liste de lois, de politiques, de directives, de normes, de lignes directrices, de publications applicables et d’autres références utiles qui sont pertinentes pour un contrôle, une activité ou une amélioration en particulier. Cette section vise à fournir de l’information supplémentaire ou un contexte que la lectrice ou le lecteur peut juger utiles pour sélectionner et mettre en œuvre le contrôle ou l’activité. La portée de la référence peut être de nature générale ou spécifique, selon le type de contrôle ou d’activité (par exemple, lignes directrices du GC sur l’authentification ou norme technique de configuration de la sécurité).
Certains contrôles et certaines activités offrent davantage de souplesse en permettant aux organisations de définir des valeurs précises pour des paramètres désignés. La souplesse est obtenue dans le cadre d’un processus d’adaptation faisant appel à des opérations d’affectations et de sélections intégrées dans les contrôles et les activités et définies entre crochets. Ces opérations d’affectations et de sélections donnent aux organisations la capacité de personnaliser les contrôles et les activités en fonction d’exigences organisationnelles en matière de sécurité et de protection de la vie privée. Contrairement aux opérations d’affectations, qui laissent une entière souplesse quant à la désignation des valeurs des paramètres, les opérations de sélections restreignent la gamme des valeurs possibles en fournissant une liste précise d’éléments à partir de laquelle les organisations peuvent faire des choix.
Ces paramètres peuvent découler d’autres sources, notamment de lois, de décrets, de politiques, de directives, de la réglementation, de la jurisprudence, de normes, de conseils, et de besoins nécessaires à la mission ou aux activités. Les évaluations des risques et la tolérance aux risques de l’organisation sont aussi des facteurs importants pour déterminer les valeurs des paramètres. Lorsqu’elles sont précisées par l’organisation, les valeurs pour les opérations d’affectations et de sélections deviennent partie intégrante du contrôle ou de l’activité. Les paramètres définis par l’organisation (ODP pour Organization-Defined Parameters) utilisés dans le contrôle ou l’activité de base s’appliquent également aux améliorations associées de ceux-ci. La mise en œuvre du contrôle ou de l’activité est évaluée pour vérifier son efficacité par rapport à l’énoncé de contrôle ou d’activité rempli. Des crochets qui se trouvent dans un énoncé de contrôle ou d’activité indiquent que la lectrice ou le lecteur doit insérer une valeur d’ODP afin de permettre à l’organisation d’adapter le contrôle à son contexte particulier.
Outre les opérations d’affectations et de sélections intégrées dans un contrôle ou une activité, une plus grande souplesse est possible par des mesures d’itération et d’amélioration. L’itération permet aux organisations d’utiliser à maintes reprises un contrôle ou une activité ayant diverses valeurs d’affectation et de sélection; les organisations peuvent l’appliquer dans différentes situations ou lors de la mise en œuvre de multiples stratégies. Par exemple, une organisation peut disposer de plusieurs systèmes qui mettent en œuvre un contrôle ou une activité, mais avec différents paramètres établis de manière à contrer différents risques pour chaque système et environnement opérationnel. L’opération d’amélioration est le processus visant à fournir des détails de mise en œuvre additionnels concernant un contrôle ou une activité. L’opération d’amélioration peut aussi servir à restreindre la portée d’un contrôle ou d’une activité parallèlement à l’itération pour couvrir toutes les portées applicables (par exemple, l’application de différents mécanismes d’authentification à différentes interfaces de systèmes). Le fait de combiner des opérations d’affectations et de sélections à des mesures d’itération et d’amélioration lorsqu’elles sont appliquées à des contrôles et à des activités offre la souplesse nécessaire pour permettre aux organisations de répondre à un vaste éventail d’exigences de sécurité et de protection de la vie privée au niveau organisationnel, au niveau du processus lié à la mission et aux activités ainsi qu’au niveau du système de mise en œuvre.
Les contrôles de sécurité et de protection de la vie privée dans le catalogue sont susceptibles de changer au fil du temps, dans la mesure où ils seront annulés, révisés ou ajoutés. Les contrôles, les activités et les améliorations ne seront pas renumérotés chaque fois que des plans de sécurité et de protection de la vie privée sont annulés; cela permet de maintenir la stabilité des plans de sécurité et de protection de la vie privée et des outils automatisés qui prennent en charge la mise en œuvre. Les numéros de contrôles, d’activités et d’améliorations annulés seront conservés dans le catalogue à des fins historiques.
Approches de mise en œuvre
Trois approches peuvent être mises en œuvre pour les contrôles et les activités dans la section 3 : une approche commune de mise en œuvre (héritable), une approche de mise en œuvre propre au système et une approche de mise en œuvre hybride. Les approches de mise en œuvre définissent la portée de l’applicabilité pour le contrôle ou l’activité, sa nature partagée ou sa transmissibilité, et la responsabilité à l’égard du développement, de la mise en œuvre et de l’autorisation liés au contrôle ou à l’activité. Chaque approche de mise en œuvre est associée à une orientation et à un objectif précis pouvant aider les organisations à sélectionner les contrôles et les activités appropriées, à les appliquer de manière efficace et à répondre aux exigences de sécurité et de protection de la vie privée. Une approche de mise en œuvre spécifique peut permettre de réaliser des avantages en termes de coûts en tirant parti des capacités liées à la sécurité et à la protection de la vie privée dans divers systèmes et environnements opérationnels.
Une activité et un contrôle communs sont déployés sous forme de service partagé pour l’organisation. La mise en œuvre d’activités et de contrôles communs engendre une capacité dont plusieurs systèmes ou programmes peuvent hériter. Une activité et un contrôle sont considérés comme héritables lorsque le système ou le programme bénéficie d’une protection contre sa mise en œuvre, mais le contrôle et l’activité sont développés, mis en œuvre, évalués, autorisés et surveillés par une entité interne ou externe autre que l’entité responsable du système ou du programme. Les capacités de sécurité et de protection de la vie privée fournies par des activités et des contrôles communs peuvent être héritées de beaucoup de sources, notamment des activités liées à la mission ou aux secteurs, des organisations, des enclaves, des environnements opérationnels, des sites ou d’autres systèmes ou programmes. Toutefois, le fait de mettre en œuvre des activités et des contrôles communs peut introduire le risque d’un point de défaillance unique.
Beaucoup des contrôles et des activités nécessaires à la protection de systèmes d’information organisationnels – y compris plusieurs contrôles de protection physique et environnementale, contrôles de sécurité du personnel et contrôles d’intervention en cas d’incident – peuvent être hérités et, par conséquent, sont de bons candidats pour l’état de contrôle commun. Les activités et contrôles communs peuvent aussi être fondés sur la technologie, comme c’est le cas pour l’identification et l’authentification, la protection de périmètre, la vérification et la responsabilisation, et le contrôle d’accès. Les coûts associés au développement, à la mise en œuvre, à l’évaluation, à l’autorisation et à la surveillance peuvent être amortis pour plusieurs systèmes, éléments organisationnels et programmes à l’aide de l’approche de mise en œuvre des activités et des contrôles communs.
La responsabilité principale des contrôles et des activités propres au système incombe à la ou au propriétaire du système et à la ou au responsable de l’autorisation pour un système donné. La mise en œuvre de contrôles et d’activités propres au système peut introduire un risque si les mises en œuvre ne sont pas interopérables avec des activités et contrôles communs. Les organisations peuvent mettre en œuvre un contrôle ou une activité en mode hybride si une partie des activités ou des contrôles sont communs (héritables) et l’autre partie est propre au système. Par exemple, une organisation peut mettre en œuvre le contrôle CP-02 à l’aide d’un modèle prédéfini pour son plan d’urgence, et ce, pour tous les systèmes organisationnels alors que chacun des propriétaires du système d’information adapte le plan pour des usages propres au système, lorsque cela est approprié.
La division d’un contrôle ou d’une activité hybride en éléments communs (héritables) et propres au système peut varier d’une organisation à l’autre, selon les types de technologies de l’information employés, l’approche utilisée par l’organisation pour gérer ses contrôles et activités, et l’affectation des responsabilités. Lorsqu’une activité ou un contrôle sont mis en œuvre et sont hybrides, le fournisseur de l’activité ou du contrôle communs doit assurer la mise en œuvre, l’évaluation et la surveillance de l’élément commun du contrôle ou de l’activité hybride. La ou le propriétaire du système doit s’assurer de la mise en œuvre, de l’évaluation et de la surveillance de l’élément propre au système du contrôle ou de l’activité hybride. Mettre en œuvre des contrôles et des activités en tant que contrôles hybrides peut introduire un risque si la responsabilité liée à la mise en œuvre et à la gestion continue des éléments communs et propres au système des contrôles et des activités n’est pas claire.
Le contexte est important au moment de déterminer l’approche de mise en œuvre (par exemple, commune, hybride ou propre au système) la plus adéquate. Il ne peut être déterminé que l’approche de mise en œuvre est commune, hybride ou propre au système simplement en fonction de la langue associée à l’activité ou au contrôle. Déterminer l’approche de mise en œuvre peut permettre aux organisations de réaliser des économies importantes sur le plan des coûts de mise en œuvre et d’évaluation, et de garantir une application plus cohérente des activités et des contrôles dans l’ensemble de l’organisation. En général, il est facile de déterminer l’approche de mise en œuvre. Toutefois, la mise en œuvre en soi nécessite une planification et une coordination importantes.
Il vaut mieux planifier l’approche de mise en œuvre d’une activité ou d’un contrôle (commune, hybride ou propre au système) tôt dans le cycle de développement de systèmes, et d’en assurer la coordination avec les entités fournissant le contrôle. En d’autres termes, cela fait partie de la façon de procéder à l’architecture de sécurité d’entreprise. De même, si l’on considère comme hérités une activité et un contrôle, la coordination avec l’entité héritée est nécessaire pour assurer que l’activité ou le contrôle réponde aux besoins de l’entité. Ceci est particulièrement important compte tenu de la nature des paramètres de l’activité ou du contrôle.
Une entité qui hérite ne peut pas présumer que les activités et les contrôles sont les mêmes, et atténuer le risque en question qui pèse sur le système simplement parce que les identifiants (par exemple, AC-01) sont les mêmes. Il est impératif d’examiner les paramètres (par exemple, d’affectation ou de sélection) au moment de déterminer si une activité et un contrôle communs sont appropriés pour atténuer des risques propres au système.
Activités d’assurance et contrôles de sécurité et de protection de la vie privée
La sélection et la mise en œuvre d’activités et de contrôles de sécurité et de protection de la vie privée reflètent les programmes de cybersécurité et de protection de la vie privée, et démontrent comment ces programmes gèrent leurs risques respectifs. Selon les circonstances, ces objectifs et risques peuvent être indépendants ou se chevaucher.
En raison de permutations dans le lien entre les objectifs liés au programme de cybersécurité et de protection de la vie privée et la gestion des risques, une collaboration étroite est nécessaire entre ces programmes pour sélectionner et mettre en œuvre les activités et contrôles appropriés pour les systèmes d’information qui traitent les renseignements personnels. Les organisations devraient étudier comment favoriser et institutionnaliser la collaboration entre les deux programmes afin d’assurer que les objectifs des deux disciplines sont respectés et que les risques sont gérés adéquatement.
Les programmes de cybersécurité du gouvernement du Canada sont responsables de protéger l’information et les systèmes d’information contre des préjudices associés à un accès non autorisé, à l’utilisation, à la divulgation, à l’interruption, à la modification ou à la destruction de ceux-ci (par exemple, une activité non autorisée ou un changement de comportement du système) pour assurer la confidentialité, l’intégrité et la disponibilité. Ces programmes sont aussi responsables de la gestion des risques liés à la sécurité, et ils veillent également à assurer le respect des exigences de sécurité applicables. Les programmes de protection de la vie privée du GC ont pour responsabilité de gérer les risques qui pèsent sur les personnes et qui sont associés à la création, à la collecte, à la correction, à la modification, à l’usage, à la conservation ou au retrait (collectivement appelés « traitement ») des renseignements personnels, et ils doivent s’assurer du respect des exigences de protection de la vie privée applicables. Lorsqu’un système traite des renseignements personnels, le programme de cybersécurité et le programme de protection de la vie privée ont une responsabilité partagée quant à la gestion des risques liés à la sécurité des renseignements personnels contenus dans le système. En raison de ce chevauchement de responsabilités, les activités et les contrôles que les organisations choisissent pour gérer ces risques seront habituellement les mêmes, indépendamment de leur désignation (sécurité ou protection de la vie privée dans les bases de référence de contrôles et d’activités ou les plans des programmes ou des systèmes.
Pour de plus amples renseignements sur le sujet, prière de consulter le document Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036).
Robustesse
La robustesse est une caractérisation de l’assurance et de la force de la sécurité d’un contrôle de sécurité. La force de la sécurité est associée à la capacité potentielle du contrôle de protéger la confidentialité, l’intégrité ou la disponibilité des systèmes. L’assurance de la sécurité d’un contrôle est, quant à elle, liée à la confiance en la conception et la mise en œuvre adéquates du contrôle et à sa capacité de fonctionner de la manière prévue. Ces deux aspects définissent les exigences qu’il faut respecter au moment de mettre en œuvre un contrôle pour répondre à son objectif en matière de sécurité.
Par exemple, un contrôle de sécurité qui est fort sur le plan conceptuel (comme un algorithme de chiffrement utilisant l’algorithme de chiffrement avancé AES (Advanced Encryption Standard), mais qui ne comprend pas d’assurance (par exemple, rien ne prouve que l’algorithme a été correctement codé) aura une robustesse réelle inférieure à un contrôle similaire ayant une assurance de niveau plus élevé (par exemple, le logiciel a été validé).
Les contrôles de sécurité utilisés pour protéger des systèmes plus sensibles ou essentiels, ou qui sont exposés à des menaces plus sérieuses, exigent généralement des solutions de sécurité plus robustes et une mise en œuvre offrant une plus grande assurance. Par conséquent, cela se traduit aussi par le recours à des niveaux de robustesse plus élevés. Le modèle de robustesse établit une hiérarchie basée sur les niveaux de préjudice prévus, ainsi que sur les capacités ou l’ampleur des menaces. Une discussion approfondie est présentée dans la publication Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037).