Sélection de la langue

Government of Canada / Gouvernement du Canada

Évaluation des risques

Précédent

Sur cette page

 

Les contrôles et les activités de la famille Évaluation des risques (RA pour Risk Assessment) appuient la conduite périodique d’évaluations des risques, y compris les EFVP, qui peuvent découler de l’exploitation des systèmes organisationnels ou du traitement, du stockage ou de la transmission de données et d’information.

RA-01 Politique et procédures d’évaluation des risques

Activité

  1. Développer, documenter et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
    1. une politique d’évaluation des risques [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
    2. des procédures pour faciliter la mise en œuvre de la politique d’évaluation des risques et des contrôles d’évaluation des risques connexes
  2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures liées à l’évaluation des risques
  3. Passer en revue et mettre à jour, par rapport à l’évaluation des risques,
    1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
    2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

La politique et les procédures d’évaluation des risques abordent les contrôles de la famille RA qui ont été mis en œuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à l’élaboration de la politique et des procédures d’évaluation des risques.

Les politiques et les procédures liées au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin de politiques et des procédures propres à la mission ou au système. La politique peut être intégrée à la politique générale sur la sécurité et la protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations.

Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission ou aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts.

Les événements qui peuvent précipiter une mise à jour de la politique et des procédures d’évaluation des risques comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.

Contrôles et activités connexes

PM-09, PS-08, SA-400, SI-02 et SI-12.

Améliorations

  • (400) Stratégie et procédures d’évaluation des risques : Évaluations des facteurs relatifs à la vie privée
    • Développer un processus d’EFVP avec procédures connexes, qui
      1. est établi par les responsables des institutions du GC
      2. tient compte de la responsabilité de l’institution en ce qui a trait à l’établissement des FRP
      3. est proportionnel à la gravité des préjudices potentiels associés au niveau de risque d’entrave à la vie privée lié aux programmes et aux activités de l’institution
      4. s’assure que l’EFVP est effectuée par la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée qui est responsable des programmes ou des activités qui sont ajoutés ou considérablement modifiés au sein de l’institution
    • Discussion : Aucune.
    • Discussion au sein du GC : Après la mise en place de l’EFVP par la ou le chef de l’institution, la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée désigné est responsable d’assurer la conformité au processus défini dans le contrôle RA-08 pour la réalisation de l’EFVP.
    • Contrôles et activités connexes : RA-08.

Références

Haut de la page 
 

RA-02 Catégorisation de la sécurité

Activité

  1. Catégoriser le système et l’information qu’il traite, stocke et transmet
  2. Documenter les résultats de la catégorisation de la sécurité, y compris les justifications, dans le plan de sécurité du système
  3. S’assurer que l’autorité responsable ou sa représentante ou son représentant désigné examine et approuve la décision relative à la catégorisation de la sécurité

Discussion

Les catégories de sécurité décrivent les incidences négatives ou les conséquences négatives potentielles sur les activités et les biens organisationnels, de même que sur les individus dans les cas où l’information organisationnelle ou les systèmes sont compromis à la suite d’une entorse à la confidentialité, à l’intégrité ou à la disponibilité. La catégorisation de la sécurité est aussi un type de caractérisation associé à la perte de biens dans les processus d’ingénierie de la sécurité des systèmes mis en œuvre tout au long du cycle de développement des systèmes. Les organisations peuvent avoir recours à des évaluations des risques d’atteinte à la vie privée ou à des EFVP pour mieux comprendre les effets néfastes possibles sur les individus.

Les processus de catégorisation de la sécurité permettent de réaliser les inventaires des ressources informationnelles et, de concert avec le contrôle CM-08, facilitent le mappage à certains composants des systèmes où l’information est traitée, stockée ou transmise. Le processus de catégorisation de la sécurité est revu tout au long du cycle de développement des systèmes pour s’assurer que les catégories de sécurité demeurent précises et pertinentes. Le document Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036) offre des directives en matière de catégorisation de la sécurité.

Discussion au sein du GC

Les organisations devraient engager le processus de catégorisation de la sécurité comme une activité globale à laquelle participent directement les dirigeantes principales et dirigeants principaux de l’information, les cadres supérieures et supérieurs de la gouvernance en matière de sécurité du ministère, les cadres supérieures et supérieurs appropriés en matière de protection de la vie privée, les propriétaires des systèmes, les propriétaires de la mission et des activités, de même que les propriétaires ou les gardiennes et gardiens de l’information. Les organisations devraient tenir compte des conséquences négatives potentielles sur d’autres organisations et de l’atteinte qui serait portée à l’intérêt national.

Contrôles et activités connexes

CM-08, MP-04, PL-02, PL-10, PL-11, PM-07, RA-03, RA-05, RA-07, RA-08, SA-08, SA-400, SC-07, SC-38 et SI-12.

Améliorations

  • (01) Catégorisation de la sécurité : Hiérarchisation des répercussions
    • Procéder à la hiérarchisation des répercussions liées aux systèmes de l’organisation pour obtenir une plus grande granularité des niveaux d’incidence sur les systèmes.
    • Discussion : Les organisations devraient attribuer les valeurs déterminées les plus élevées pour chaque système catégorisé selon le document Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036) de manière à attribuer une incidence très faible, faible, moyenne, élevée ou très élevé aux systèmes. La hiérarchisation des répercussions du système permet aux organisations de concentrer leurs efforts sur la sélection des contrôles de sécurité et la personnalisation des bases de référence des contrôles lorsqu’elles répondent aux risques identifiés.
    • Discussion au sein du GC : La hiérarchisation des répercussions peut également être utilisée pour déterminer quels systèmes sont susceptibles de soulever un intérêt accru ou une plus grande valeur pour les adversaires ou de représenter une perte critique pour le GC. De tels systèmes sont parfois décrits comme étant des biens de grande valeur. Pour ces derniers, les organisations peuvent accorder plus d’attention à la complexité, à l’agrégation et à l’échange d’information.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

RA-03 Évaluation des risques

Activité

  1. Mener une évaluation des risques, y compris
    1. identifier les menaces et les vulnérabilités dans le système
    2. déterminer la probabilité et l’ampleur estimée des préjudices qui pourraient être associés à l’utilisation, à la divulgation, à l’interruption, à la modification et à l’accès non autorisés ou encore à la destruction du système, de l’information qu’il traite, stocke ou transmet, ou toute information connexe
    3. déterminer la probabilité et l’incidence de répercussions négatives sur les individus qui peuvent découler du traitement des renseignements personnels
  2. Intégrer les résultats de l’évaluation des risques et les décisions liées à la gestion des risques du point de vue de l’organisation et du processus lié à la mission et aux activités aux évaluations des risques au niveau du système
  3. Documenter les résultats de l’évaluation des risques dans [Sélection (un choix) : des plans de sécurité et de protection de la vie privée; un rapport d’évaluation des risques; [Affectation : document défini par l’organisation]]
  4. Examiner les résultats de l’évaluation des risques [Affectation : fréquence définie par l’organisation]
  5. Communiquer les résultats de l’évaluation des risques aux [Affectation : personnel ou rôles définis par l’organisation]
  6. Mettre à jour l’évaluation des risques [Affectation : fréquence définie par l’organisation] ou chaque fois que des changements importants sont apportés au système ou à l’environnement d’exploitation, ou encore lorsque d’autres conditions sont susceptibles d’influer sur l’état de sécurité et de protection de la vie privée du système

Discussion

Les évaluations des risques devraient prendre en compte les menaces, les vulnérabilités, les probabilités et les répercussions sur les activités et les biens organisationnels, les individus, d’autres organisations et le Canada. Les évaluations des risques devraient également considérer les risques provenant des parties externes, ce qui comprend les entrepreneures et entrepreneurs exploitant les systèmes au nom de l’organisation, les personnes accédant aux systèmes de l’organisation, les fournisseurs de services et les sous-traitantes et sous-traitants.

Les organisations peuvent effectuer des évaluations des risques à chacun des trois niveaux hiérarchiques de la gestion des risques (c’est-à-dire le niveau organisationnel, le niveau du processus lié à la mission et aux activités ou le niveau du système d’information) ainsi qu’à chacune des phases du cycle de développement des systèmes. Les évaluations peuvent également être effectuées à divers stades du processus de gestion des risques, comme les Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036), ce qui comprend la préparation, la catégorisation, la sélection, la répartition, la mise en œuvre, l’évaluation, l’autorisation et la surveillance des contrôles. L’évaluation des risques est une activité continue réalisée tout au long du cycle de développement des systèmes.

Elle peut également aborder l’information liée au système, y compris la conception du système, l’utilisation prévue du système, les résultats des tests et les artéfacts ou l’information liée à la chaîne d’approvisionnement. Les évaluations des risques peuvent jouer un rôle important dans les processus de sélection des contrôles, particulièrement pendant la mise en application des directives de personnalisation et les premières phases de la détermination des capacités.

Contrôles et activités connexes

CA-03, CA-06, CM-04, CM-13, CP-06, CP-07, IA-08, MA-05, PE-03, PE-08, PE-18, PL-02, PL-10, PL-11, PM-08, PM-09, PM-28, PT-02, PT-07, RA-02, RA-05, RA-07, SA-08, SA-09, SA-400, SC-38 et SI-12.

Améliorations

  • (01) Évaluation des risques : Évaluation des risques liés à la chaîne d’approvisionnement
      1. Évaluer les risques liés à la chaîne d’approvisionnement associés à [Affectation : systèmes, composants de systèmes et services qui s’y rapportent désignés par l’organisation]
      2. Mettre à jour l’évaluation des risques liés à la chaîne d’approvisionnement [Affectation : fréquence définie par l’organisation], lorsque des changements importants sont apportés à la chaîne d’approvisionnement pertinente ou lorsque des changements sont apportés au système ou aux environnements d’exploitation ou d’autres conditions nécessitent qu’un changement soit apporté à la chaîne d’approvisionnement
    • Discussion : Les événements liés à la chaîne d’approvisionnement comprennent les pannes, l’utilisation de composants défectueux, l’insertion de contrefaçons, le vol, des pratiques de développement malveillantes, des pratiques d’exécution inappropriées et l’insertion de code malveillant. Ces événements peuvent avoir une incidence considérable sur la confidentialité, l’intégrité et la disponibilité d’un système et de son information et, par conséquent, avoir des conséquences néfastes sur les activités de l’organisation (y compris sa mission, ses fonctions, son image ou sa réputation), les biens organisationnels, les individus, les autres organisations et le Canada. Les événements liés à la chaîne d’approvisionnement peuvent être accidentels ou malveillants, et survenir à n’importe quelle étape du cycle de vie des systèmes. Une analyse des risques liés à la chaîne d’approvisionnement peut aider une organisation à identifier les systèmes ou les composants pour lesquels il est nécessaire de prendre de plus amples mesures d’atténuation de tels risques.
    • Contrôles et activités connexes : RA-02, RA-09, PM-17, PM-30 et SR-02.
  • (02) Évaluation des risques : Utilisation du renseignement de toutes sources
    • Utiliser du renseignement de toutes sources pour faciliter l’analyse du risque.
    • Discussion : Les organisations devraient utiliser du renseignement de toutes sources pour prendre des décisions éclairées en matière d’ingénierie, d’acquisition et de gestion des risques.
      Le renseignement de toutes sources consiste en de l’information dérivée de toutes les sources disponibles, y compris l’information accessible au public ou de source ouverte, ou toute autre source de renseignement organisationnel disponible. Le renseignement de toutes sources est utilisé pour analyser les risques de vulnérabilités (intentionnelles ou accidentelles) pouvant découler d’interventions humaines, de l’environnement ou de processus pendant les étapes du développement, de la fabrication ou de l’expédition. Ces analyses des risques visent les fournisseurs à divers niveaux de la chaîne d’approvisionnement. Menées en nombre suffisant, elles ont pour objet d’assurer une gestion adéquate des risques. Les organisations peuvent mettre en place des accords pour échanger le renseignement de toutes sources ou les décisions qui en découlent avec leurs homologues, le cas échéant.
    • Discussion au sein du GC : Au GC, les sources de renseignement de toutes sources comprennent celles mentionnées précédemment, ainsi que le renseignement d’origine humaine, le renseignement électromagnétique et le renseignement par imagerie.
    • Contrôles et activités connexes : Aucun.
  • (03) Évaluation des risques : Sensibilisation aux menaces dynamiques
    • Déterminer l’environnement de cybermenaces actuel sur une base régulière au moyen de [Affectation : moyens définis par l’organisation].
    • Discussion : L’information de sensibilisation aux menaces qui est recueillie s’intègre aux activités de sécurité de l’information de l’organisation pour s’assurer que les procédures sont mises à jour en réponse à un environnement de menace en constante évolution. Par exemple, à des niveaux de menace plus élevés, les organisations peuvent modifier les seuils d’autorisation ou d’authentification nécessaires pour exécuter certaines opérations.
    • Contrôles et activités connexes : AT-02.
  • (04) Évaluation des risques : Cyberanalyse prédictive
    • Faire appel aux capacités d’automatisation et d’analyse avancées suivantes pour prédire et identifier les risques qui pèsent sur [Affectation : systèmes ou composants de systèmes désignés par l’organisation] : [Affectation : capacités d’automatisation et d’analyse avancées définies par l’organisation].
    • Discussion : Un COS doté des ressources appropriées ou une équipe d’intervention en cas d’incidents informatiques (CIRT pour Computer Incident Response Team) pourrait être dépassé par le volume d’information généré par la prolifération des outils et des appliances de sécurité, à moins qu’il n’ait recours à l’automatisation et à l’analyse évoluées pour analyser les données. Les capacités d’automatisation et d’analyse évoluées sont généralement prises en charge par les concepts d’intelligence artificielle (IA), dont l’apprentissage automatique (AA). Les exemples comprennent la découverte de menaces et l’intervention automatisées (ce qui inclut les capacités de collecte à grande échelle, d’analyse basée sur le contexte et d’intervention adaptative), les opérations de flux de travail automatisées et les outils de prise de décision assistée par ordinateur.
      Il convient de remarquer que les adversaires dotés de moyens sophistiqués pourraient être en mesure d’extraire l’information relative aux paramètres d’analyse et d’entraîner l’AA de nouveau pour classifier une activité malveillante comme étant anodine. Par conséquent, l’AA devrait faire l’objet d’une surveillance humaine pour veiller à ce que ces adversaires dotés de moyens sophistiqués ne puissent pas camoufler leurs activités.
    • Contrôles et activités connexes : Aucun.

Références

 

RA-04 Mise à jour de l’évaluation des risques

Annulé : Intégré au contrôle RA-03.

Haut de la page 
 

RA-05 Surveillance et analyse des vulnérabilités

Activité

  1. Surveiller et analyser les vulnérabilités dans le système et les applications hébergées [Affectation : fréquence définie par l’organisation ou de manière aléatoire conformément au processus défini par l’organisation] et lorsque de nouvelles vulnérabilités susceptibles d’influer sur le système sont identifiées et signalées
  2. Utiliser des outils et des techniques de surveillance des vulnérabilités qui facilitent l’interopérabilité et automatisent les composantes du processus de gestion des vulnérabilités en appliquant des normes sur
    1. les relevés des plateformes, des lacunes logicielles et des configurations inappropriées
    2. le formatage des listes de vérification et des procédures de test
    3. la mesure de l’incidence des vulnérabilités
  3. Analyser les rapports d’analyse des vulnérabilités et les résultats de la surveillance des vulnérabilités
  4. Corriger les vulnérabilités légitimes [Affectation : temps de réponse défini par l’organisation] conformément à l’évaluation des risques de l’organisation
  5. Communiquer l’information découlant du processus de surveillance des vulnérabilités et des évaluations des contrôles à [Affectation : personnel ou rôles définis par l’organisation] pour faciliter l’élimination de vulnérabilités semblables dans les autres systèmes
  6. Employer des outils de surveillance des vulnérabilités qui sont dotés de la capacité de mettre à jour rapidement les vulnérabilités à analyser

Discussion

La catégorisation de la sécurité de l’information et des systèmes aide à définir la fréquence et le niveau d’exhaustivité de la surveillance des vulnérabilités (y compris des analyses). Les organisations devraient déterminer la surveillance des vulnérabilités requise pour les composants des systèmes et s’assurer que les sources potentielles de vulnérabilités, comme les composants des infrastructures (par exemple, les commutateurs, les routeurs, les mécanismes de protection, les capteurs), les imprimantes, les numériseurs et les photocopieurs en réseau, ne sont pas ignorées.

La capacité permettant d’actualiser aisément les outils de surveillance des vulnérabilités à mesure que de nouvelles vulnérabilités sont découvertes, annoncées, et que de nouvelles méthodes d’analyse sont établies, aide à s’assurer que les nouvelles vulnérabilités sont prises en compte par les outils de surveillance des vulnérabilités employés. Le processus de mise à jour de la surveillance des vulnérabilités permet d’identifier les éventuelles vulnérabilités auxquelles s’exposent les systèmes et d’intervenir dans les plus brefs délais. Les analyses et la surveillance des vulnérabilités visant les logiciels sur mesure pourraient nécessiter des mesures additionnelles, comme des analyses statiques, des analyses dynamiques, des analyses binaires ou encore des analyses recourant à une combinaison de ces trois approches. Les organisations peuvent utiliser ces analyses dans les examens de code source et dans divers outils, notamment dans les outils d’analyse statique, les analyseurs d’application Web et des analyseurs binaires.

La surveillance des vulnérabilités comprend l’analyse des niveaux de correctifs; l’analyse des fonctions, des ports, des protocoles et des services qui ne doivent pas être accessibles aux utilisatrices et utilisateurs ou aux dispositifs; et l’analyse des mécanismes de contrôle de flux qui sont mal configurés ou défectueux.

Cette surveillance peut également comprendre les outils de surveillance continue des vulnérabilités qui se servent de l’instrumentation pour analyser sans cesse les composants. Les outils axés sur l’instrumentation peuvent améliorer la précision et fonctionner dans l’ensemble de l’organisation sans avoir recours à l’analyse. Parmi les outils de surveillance des vulnérabilités qui facilitent l’interopérabilité, on retrouve ceux qui sont validés par le protocole SCAP (Security Content Automated Protocol). Ainsi, les organisations devraient considérer l’utilisation d’outils d’analyse qui expriment les vulnérabilités selon la convention d’appellation des vulnérabilités et expositions courantes (CVE pour Common Vulnerabilities and Exposures) et qui emploient l’analyse OVAL (Open Vulnerability Assessment Language) pour déceler la présence de vulnérabilités.

Les sources d’information sur les vulnérabilités comprennent la liste des lacunes courantes (CWE pour Common Weakness Enumeration) et la base de données nationale sur les vulnérabilités (NVD pour National Vulnerability Database). Des évaluations des contrôles, comme les exercices effectués par l’équipe de testeuses et testeurs, donnent des sources additionnelles de vulnérabilités possibles à analyser. Les organisations devraient aussi envisager le recours à des outils d’analyse qui expriment l’incidence des vulnérabilités par l’entremise du système de notation des vulnérabilités courantes (CVSS pour Common Vulnerability Scoring System).

La surveillance des vulnérabilités comprend un canal et un processus permettant d’obtenir des rapports des vulnérabilités informatiques provenant du grand public. Les programmes de divulgation des vulnérabilités peuvent être aussi simples que la publication d’une adresse courriel surveillée. Il pourrait aussi s’agir d’un formulaire Web permettant de recevoir des rapports, dont des notifications qui autorisent une recherche ou une divulgation de vulnérabilités informatiques faite de bonne foi. Les organisations s’attendent en général à ce qu’une telle recherche se fasse avec ou sans leur autorisation et qu’elles soient en mesure de se servir des canaux de divulgation des vulnérabilités pour accroître la probabilité que les vulnérabilités relevées soient signalées directement à l’organisation concernée pour lui permettre de les corriger.

Les organisations peuvent également avoir recours à des incitatifs financiers (aussi appelés primes de bogues) pour inciter davantage les chercheuses et chercheurs en sécurité à signaler les vulnérabilités relevées. Des programmes de prime de bogues peuvent être adaptés en fonction des besoins de l’organisation. Les primes peuvent être en vigueur indéfiniment ou pour une période déterminée, et elles peuvent être offertes au grand public ou à un groupe prédéterminé. Les organisations peuvent exécuter des programmes de prime de bogues privés ou ouverts au public simultanément et pourraient choisir d’offrir un accès avec justificatifs d’identité à des participantes et participants afin d’évaluer les vulnérabilités informatiques de points de vue privilégiés.

Contrôles et activités connexes

CA-02, CA-07, CA-08, CM-02, CM-04, CM-06, CM-08, RA-02, RA-03, SA-11, SA-15, SC-38, SI-02, SI-03, SI-04, SI-07 et SR-11.

Améliorations

  • (01) Surveillance et analyse des vulnérabilités : Mise à jour de la capacité des outils
    • Annulé : Intégré au contrôle RA-05.
  • (02) Surveillance et analyse des vulnérabilités : Mise à jour de la liste de vulnérabilités à analyser
    • Mettre à jour le registre des vulnérabilités des systèmes [Sélection (un choix ou plus) : [Affectation : fréquence définie par l’organisation]; avant une nouvelle analyse; lorsque de nouvelles vulnérabilités sont identifiées et signalées].
    • Discussion : En raison de la complexité des logiciels, des systèmes et d’autres facteurs modernes, de nouvelles vulnérabilités sont régulièrement découvertes. Il est important d’ajouter les vulnérabilités nouvellement découvertes à la liste des vulnérabilités à analyser pour s’assurer que l’organisation peut prendre les mesures nécessaires pour les atténuer en temps opportun.
    • Contrôles et activités connexes : SI-05.
  • (03) Surveillance et analyse des vulnérabilités : Étendue et profondeur de la couverture
    • Définir l’étendue et la profondeur de la couverture de l’analyse des vulnérabilités.
    • Discussion : L’étendue de la couverture de l’analyse des vulnérabilités peut être exprimée sous forme de pourcentage des composants dans le système, selon les types particuliers de systèmes, selon la criticité des systèmes ou selon le nombre de vulnérabilités à vérifier. Inversement, la profondeur de la couverture de l’analyse des vulnérabilités peut être exprimée comme le niveau de conception du système que l’organisation entend surveiller (par exemple, un composant, un module, un sous-système ou un élément).
      Les organisations peuvent déterminer que la couverture de l’analyse des vulnérabilités est suffisante pour satisfaire sa tolérance aux risques et d’autres facteurs. Les outils d’analyse et la façon dont ils sont configurés peuvent avoir une incidence sur la profondeur et la couverture. Plusieurs outils d’analyse pourraient être nécessaires pour offrir la profondeur et la couverture voulues.
    • Contrôles et activités connexes : Aucun.
  • (04) Surveillance et analyse des vulnérabilités : Information découvrable
    • Déterminer l’information relative au système qui est découvrable et prendre [Affectation : mesures correctives définies par l’organisation].
    • Discussion : L’information découvrable comprend notamment celle que les adversaires pourraient obtenir sans compromettre le système ou s’y introduire – par exemple, en collectant de l’information exposée par le système ou en menant des recherches extensives sur le Web. Les mesures correctives peuvent comprendre, par exemple, la notification du personnel approprié dans l’organisation, le retrait de certaines informations ou l’introduction de modifications du système visant à rendre l’information en question moins pertinente ou attrayante pour les adversaires. Cette amélioration ne tient pas compte de l’information intentionnellement découvrable qui peut faire partie d’une fonction de leurre (par exemple des pièges à pirates, des réseaux leurres ou des réseaux de déception) déployée par l’organisation.
    • Contrôles et activités connexes : AU-13 et SC-26.
  • (05) Surveillance et analyse des vulnérabilités : Accès privilégiés
    • Mettre en œuvre l’autorisation des accès privilégiés aux [Affectation : composants de systèmes désignés par l’organisation] pour [Affectation : activités d’analyse des vulnérabilités définies par l’organisation].
    • Discussion : Dans certains cas, les analyses des vulnérabilités pourraient s’avérer plus intrusives ou les systèmes faisant l’objet d’une analyse pourraient contenir de l’information protégée, dont des renseignements personnels. L’accès privilégié accordé à certains composants du système permet de procéder à une analyse plus approfondie des vulnérabilités et de protéger la nature sensible d’une telle analyse.
    • Contrôles et activités connexes : Aucun.
  • (06) Surveillance et analyse des vulnérabilités : Automatisation des analyses de tendances
    • Comparer les résultats de multiples analyses des vulnérabilités au moyen de [Affectation : mécanismes automatisés désignés par l’organisation].
    • Discussion : Utiliser des mécanismes automatisés pour analyser de multiples analyses des vulnérabilités au fil du temps peut aider à déterminer les tendances dans les vulnérabilités du système et à relever les modèles d’attaque.
    • Contrôles et activités connexes : Aucun.
  • (07) Surveillance et analyse des vulnérabilités : Automatisation de la détection et du signalement des composants non autorisés
    • Annulé : Intégré au contrôle CM-08.
  • (08) Surveillance et analyse des vulnérabilités : Examiner les journaux de vérification historiques
    • Examiner les journaux de vérification historiques pour déterminer si une vulnérabilité identifiée dans [Affectation : système désigné par l’organisation] a été exploitée précédemment au cours de [Affectation : période définie par l’organisation].
    • Discussion : Examiner les journaux de vérification historiques pour déterminer si une vulnérabilité détectée récemment dans un système qui a été précédemment exploitée par une ou un adversaire peut fournir de l’information importante pour les analyses criminalistiques. De telles analyses peuvent aider à établir, par exemple, l’ampleur d’une intrusion précédente, le savoir-faire employé durant l’attaque, l’information organisationnelle ayant été exfiltrée ou modifiée, les capacités liées à la mission et aux activités ayant été touchées et la durée de l’attaque.
    • Contrôles et activités connexes : AU-06 et AU-11.
  • (09) Surveillance et analyse des vulnérabilités : Tests d’intrusion et analyses
    • Annulé : Intégré au contrôle CA-08.
  • (10) Surveillance et analyse des vulnérabilités : Corrélation de l’information tirée des analyses
    • Établir une corrélation entre les résultats produits par les outils d’analyse des vulnérabilités dans le but de déceler la présence de vecteurs d’attaque visant plusieurs vulnérabilités ou se déplaçant sur plusieurs bonds.
    • Discussion : Un vecteur d’attaque est une voie ou des moyens qui permettent à une ou un adversaire d’obtenir accès à un système pour injecter du code malveillant ou exfiltrer de l’information. Les organisations peuvent utiliser des arbres d’attaque pour illustrer comment les activités hostiles des adversaires interagissent et se regroupent pour produire des incidences ou des conséquences négatives pour les systèmes et les organisations. Lorsqu’elle est associée aux données corrélées des outils d’analyse des vulnérabilités, une telle information peut apporter plus de clarté sur les vecteurs d’attaque à vulnérabilité et à bonds multiples.
      La corrélation de l’information sur l’analyse des vulnérabilités est particulièrement importante lorsque les organisations passent des anciennes aux nouvelles technologies (par exemple, le passage des protocoles réseau IPv4 à IPv6). Au cours de telles transitions, certains composants de systèmes peuvent être mal gérés par mégarde et pourraient créer des occasions d’exploitation pour les adversaires.
    • Contrôles et activités connexes : Aucun.
  • (11) Surveillance et analyse des vulnérabilités : Programme de divulgation publique
    • Mettre en place un canal de signalement public pour la soumission de rapports de vulnérabilités touchant les systèmes et les composants de systèmes de l’organisation.
    • Discussion : Le canal de signalement devrait être découvrable par le public et contenir un langage clair autorisant une recherche et une divulgation de vulnérabilités faites de bonne foi à l’organisation. L’organisation ne devrait pas soumettre son autorisation à des conditions et exiger que l’entité à l’origine du signalement assure une non-divulgation indéfinie au public. Elle pourrait toutefois exiger le respect d’un délai particulier pour atténuer la vulnérabilité de façon appropriée.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

RA-06 Dépistage des contre-mesures de surveillance technique

Contrôle

Avoir recours à un dépistage des contre-mesures de surveillance technique aux [Affectation : lieux définis par l’organisation] [Sélection (un choix ou plus) : [Affectation : fréquence définie par l’organisation]; lorsque les événements suivants se produisent : [Affectation : événements ou indicateurs définis par l’organisation]].

Discussion

Le dépistage des contre-mesures de surveillance technique est un service exécuté par du personnel qualifié dans le but de détecter la présence de dispositifs et de méthodes de surveillance technique et de relever les lacunes de sécurité technique qui pourraient servir à mener des tentatives de pénétration technique des installations en cause. Le dépistage des contre-mesures de surveillance technique permet également d’évaluer la posture de sécurité technique de l’organisation et des installations et d’inclure des examens visuels, électroniques et physiques internes et externes de ces installations. Les mesures de dépistage fournissent de l’information pouvant servir aux évaluations des risques et permettant de signaler les brèches susceptibles d’être exploitées par des adversaires.

Contrôles et activités connexes

Aucune.

Améliorations

Aucune.

Références

Aucune.

Haut de la page 
 

RA-07 Réponse aux risques

Activité

Répondre aux conclusions tirées des évaluations de la sécurité et de la protection de la vie privée, de la surveillance et des vérifications conformément à la tolérance aux risques de l’organisation.

Discussion

Plusieurs options s’offrent aux organisations pour répondre aux risques, notamment atténuer le risque par la mise en œuvre de nouveaux contrôles ou renforcer les contrôles existants, accepter le risque avec une justification ou une explication adéquate, partager ou transférer le risque, ou éviter le risque. La tolérance aux risques de l’organisation a une incidence sur les décisions et les mesures appropriées de réponse aux risques. La réponse aux risques traite de la nécessité de déterminer une réaction appropriée aux risques avant de générer une entrée dans le plan d’action et d’établir les jalons. Par exemple, la réponse peut être l’acceptation du risque ou son rejet, ou il pourrait être possible d’atténuer le risque immédiatement pour que le recours à un plan d’action et à des jalons ne soit pas nécessaire. Toutefois, si la réponse aux risques est d’atténuer le risque, et que l’atténuation ne peut pas être effectuée immédiatement, un plan d’action et des jalons sont alors générés.

Contrôles et activités connexes

CA-05, IR-09, PM-04, PM-28, RA-02, RA-03 et SR-02.

Améliorations

Aucune.

Références

Haut de la page 
 

RA-08 Évaluations des facteurs relatifs à la vie privée

Activité

Effectuer des EFVP pour les systèmes, les programmes et les autres activités au moment de

  1. concevoir, développer ou livrer des moyens de traiter les renseignements personnels
  2. procéder à une nouvelle collecte des renseignements personnels
  1. apporter des modifications importantes aux systèmes, aux programmes ou aux activités lorsque des renseignements personnels sont traités

Discussion

Pour gérer le risque lié à la sécurité, il convient d’effectuer une évaluation des préjudices. Plusieurs systèmes traiteront des renseignements personnels susceptibles de donner lieu à un préjudice advenant une atteinte à la vie privée (contrairement aux données financières ou à la propriété intellectuelle, par exemple). En plus du préjudice potentiel dont pourraient faire l’objet les individus concernés, il pourrait également y avoir des répercussions à considérer sur le plan juridique et réglementaire ou la situation pourrait porter atteinte à la réputation ou aux activités de l’organisation. Par conséquent, une évaluation des préjudices potentiels propres à la protection de la vie privée est nécessaire pour déterminer la catégorisation de la sécurité du système prévu.

Une EFVP est une analyse qui démontre comment les renseignements personnels sont traités pour assurer que ce traitement est conforme aux exigences applicables en matière de protection de la vie privée et qu’il est possible de déterminer les préjudices possibles au respect de la vie privée qui sont associés à un système d’information ou à une activité. Une EFVP est à la fois une analyse et un document officiel qui donne en détail le processus et les résultats de l’analyse.

Les organisations effectuent et élaborent une EFVP suffisamment claire et précise pour démontrer que l’organisation a pleinement pris en compte le respect de la vie privée et a incorporé les menaces liées à la vie privée dès les premières étapes de l’activité de l’organisation et tout au long du cycle de vie de l’information.

Afin d’effectuer une EFVP significative, la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée peut collaborer étroitement avec les gestionnaires du programme, les gardiennes et gardiens de l’information, les praticiennes et praticiens de la gestion de l’information, les expertes et experts des TI, les architectes de la sécurité, les conseillères et conseillers juridiques, et autres membres du personnel de l’organisation. Une EFVP ne se veut pas une activité limitée dans le temps qui est réservée à un jalon ou à un stade particulier du cycle de vie des systèmes d’information ou des renseignements personnels. Elle est plutôt une analyse relative à la vie privée qui se poursuit tout au long du cycle de vie du système et des renseignements personnels. Par conséquent, une EFVP est un document qui doit constamment faire l’objet d’un examen et être mis à jour chaque fois que des changements sont apportés aux TI ou aux pratiques de l’organisation, ou que d’autres facteurs modifient les préjudices possibles au respect de la vie privée qui sont associés à l’emploi de ces technologies.

Après avoir effectué l’EFVP, les organisations peuvent se servir de cette information pour communiquer les évaluations des risques relatifs à la sécurité et à la protection de la vie privée. Les organisations peuvent également avoir recours à d’autres processus connexes pouvant porter des noms différents, notamment les évaluations de l’incidence algorithmique. Une EFVP peut aussi informer le public de la posture de l’organisation sur le plan de la protection de la vie privée.

Discussion au sein du GC

Pour les ministères et organismes du GC, les EFVP sont déclenchées en vertu de la Directive sur les pratiques relatives à la protection de la vie privée du SCT. Les ministères fédéraux doivent suivre les étapes mentionnées dans cette directive. Les ministères et organismes devraient consulter la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée et la conseillère ou le conseiller juridique désignés pour discuter de cette exigence et devraient être au courant de toute exception prévue par la loi et de l’orientation du SCT en matière d’approvisionnement. Avant de procéder à l’analyse des facteurs relatifs à la vie privée, les organismes doivent remplir une liste de vérification de la protection de la vie privée, conformément à tout modèle existant du SCT, afin de déterminer si un protocole de protection de la vie privée ou une EFVP est nécessaire.

Les organismes du GC doivent procéder à des EFVP pour les programmes ou les autres activités lorsqu’on utilise ou envisage d’utiliser des renseignements personnels dans le cadre d’un processus de prise de décision qui touche directement les individus et lorsque des modifications importantes sont apportées aux activités et aux programmes existants dans la mesure où on utilise ou envisage d’utiliser des renseignements personnels à des fins administratives. Les organismes du GC devraient toutefois continuer de tenir compte du préjudice potentiel envers les individus et considérer d’effectuer une EFVP même si les renseignements qu’ils détiennent ne sont pas utilisés pour la prise de décisions ou à des fins administratives.

L’approbation de l’EFVP doit être obtenue de la ou du haut fonctionnaire ou cadre supérieur qui assure la gestion du programme ou de l’activité, et de la ou du responsable officiel selon l’article 10 de la LPRP. Une fois l’approbation obtenue, l’EFVP doit être transmise au SCT et au CPVP. Les organismes doivent élaborer un plan d’atténuation pour relever les lacunes sur le plan de la conformité ou les risques d’atteinte à la vie privée au cours du processus d’EFVP.

En ce qui concerne les EFVP multi-institutions, les organismes participants devraient se rapporter à la directive pour des exigences particulières. Les organismes du GC doivent échanger des copies de l’évaluation des facteurs relatifs à la vie privée approuvée et tout autre document pertinent avec les partenaires ou d’autres institutions gouvernementales d’une manière pouvant respecter les exigences relatives à la sécurité ainsi que toute considération juridique ou en matière de confidentialité.

Contrôles et activités connexes

CM-04, CM-09, CM-13, PT-02, PT-03, PT-05, RA-01, RA-02, RA-03 et RA-07.

Améliorations

Aucune.

Références

Haut de la page 
 

RA-09 Analyse de criticité

Activité

Déterminer les composants et les fonctions des systèmes en procédant à une analyse de criticité de [Affectation : systèmes, composants de systèmes ou services qui s’y rapportent désignés par l’organisation] à [Affectation : points de décision du cycle de développement des systèmes définis par l’organisation].

Discussion

Ce ne sont pas tous les composants des systèmes, les services ou toutes les fonctions qui ont besoin de protections importantes. Par exemple, l’analyse de criticité est un principe clé en gestion des chaînes d’approvisionnement, puisqu’elle permet d’optimiser la hiérarchisation des activités de protection. L’identification de fonctions et de composants des systèmes essentiels tient compte des lois, des décrets, de la réglementation, des directives, des politiques, des normes, des exigences de fonctionnalité du système, des interfaces des systèmes et des composants, et des dépendances des systèmes et des composants applicables.

Les ingénieures et ingénieurs des systèmes procèdent à une décomposition fonctionnelle d’un système dans le but d’identifier les fonctions et les composants essentiels à la mission. La décomposition fonctionnelle comprend l’identification des missions organisationnelles qui jouissent du soutien des systèmes, la décomposition en fonctions précises permettant l’exercice des missions, ainsi que la traçabilité vers les composants matériels, logiciels et micrologiciels qui sert à mettre les fonctions en œuvre, et ce, même lorsque ces fonctions sont partagées parmi de multiples composants pouvant se trouver à l’extérieur comme à l’intérieur du système.

L’environnement opérationnel d’un système ou d’un composant sur système peut avoir une incidence sur la criticité, y compris les dépendances ou les connexions aux systèmes cyberphysiques, aux dispositifs, au système de systèmes, et aux services de TI externalisés. Les composants de systèmes qui permettent un accès direct aux fonctions ou aux composants essentiels des systèmes sont considérés comme étant essentiels en raison de la vulnérabilité qu’ils engendrent. La criticité des composants et des fonctions est évaluée selon l’incidence de leurs défaillances sur les missions organisationnelles qui sont prises en charge par le système contenant les composants et les fonctions en question.

Une analyse de criticité est effectuée lorsqu’une architecture ou une conception est en cours de développement, de modification ou de mise à niveau. Si une telle analyse est effectuée tôt dans le cycle de développement du système, les organisations peuvent être en mesure de modifier la conception du système pour réduire la nature critique de ces composants et de ces fonctions en ajoutant, notamment, de la redondance ou des chemins alternatifs dans la conception du système.

L’analyse de criticité peut également avoir une influence sur les mesures de protection exigées par les entrepreneures et entrepreneurs chargés du développement. En plus de l’analyse de criticité des systèmes, des composants de systèmes et les services qui s’y rapportent, il est important de tenir compte de l’analyse de criticité de l’information. Une telle analyse est réalisée dans le cadre du processus de catégorisation de la sécurité du contrôle RA-02.

Contrôles et activités connexes

CP-02, PL-02, PL-08, PL-11, PM-01, PM-11, RA-02, SA-08, SA-15, SA-20 et SR-05.

Améliorations

Aucune.

Références

Haut de la page 
 

RA-10 Chasse aux cybermenaces

Contrôle

  1. Établir et maintenir une capacité de chasse aux cybermenaces de manière à
    1. relever les indicateurs de compromission dans les systèmes organisationnels
    2. détecter, suivre et contrer les menaces qui visent les contrôles existants
  2. Avoir recours à la capacité de chasse aux cybermenaces [Affectation : fréquence définie par l’organisation]

Discussion

La chasse aux cybermenaces est un moyen de cyberdéfense actif contrairement aux mesures de protection passives traditionnelles, comme les pare-feu, les systèmes de détection et de prévention des incidents, la mise en quarantaine du code malveillant dans des bacs à sable et les technologies et systèmes de GIES.

La chasse aux cybermenaces porte sur la recherche proactive des systèmes, des réseaux et de l’infrastructure d’une organisation pour des menaces avancées. L’objectif consiste à suivre les cyberadversaires et à contrer leurs activités le plus tôt possible dans la séquence d’attaque afin d’accroître de façon mesurable la vitesse et l’exactitude des réponses de l’organisation. Les indicateurs de compromission comprennent le trafic réseau inhabituel, les changements inhabituels apportés aux fichiers et la présence de code malveillant.

Les équipes de chasse aux cybermenaces tirent avantage du renseignement sur les menaces existant et peuvent en créer du nouveau, qu’elles échangent ensuite avec des organisations homologues, des organisations d’échange et d’analyse de l’information (ISAO pour Information Sharing and Analysis Organizations), des Centres d’échange et d’analyse de l’information (ISAC pour Information Sharing and Analysis Centres) et les ministères et organismes concernés du gouvernement.

Contrôles et activités connexes

CA-02, CA-07, CA-08, RA-03, RA-05, RA-06 et SI-04.

Améliorations

Aucune.

Références

 
Précédent
Date de modification :