Sélection de la langue

Government of Canada / Gouvernement du Canada

Intervention en cas d’incident

Précédent

Sur cette page

 

Les contrôles et les activités dans la famille IR (intervention en cas d’incident) appuient l’établissement de capacités de traitement d’incident opérationnel pour les systèmes organisationnels, y compris la préparation, la surveillance, la détection, l’analyse, le confinement, la reprise et l’intervention. Les incidents sont surveillés, documentés et signalés aux autorités et aux responsables organisationnels appropriés.

IR-01 Politique et procédures d’intervention en cas d’incident

Activité

  1. Développer, documenter et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
    1. une politique d’intervention en cas d’incident [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
    2. des procédures pour faciliter la mise en œuvre des politiques d’intervention en cas d’incident et des contrôles d’intervention en cas d’incident connexes
  2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures liées à l’intervention en cas d’incident
  3. Passer en revue et mettre à jour, par rapport à l’intervention en cas d’incident,
    1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
    2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

La politique et les procédures d’intervention en cas d’incident abordent les contrôles de la famille IR qui ont été mis en œuvre dans les systèmes et les organisations. L’intervention en cas d’incident doit comprendre des mesures particulières lorsque des renseignements personnels sont impliqués. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à l’élaboration de la politique et des procédures d’intervention en cas d’incident.

En règle générale, les politiques et les procédures liées au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin pour des politiques et des procédures propres à la mission ou au système. La politique peut être intégrée à la politique générale de sécurité et de protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations.

Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission ou aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts. Les événements qui peuvent précipiter une mise à jour de la protection de la vie privée et des procédures d’intervention en cas d’incident comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle. Il est recommandé que la politique et les procédures d’intervention en cas d’incident de l’organisation facilitent l’intégration de niveaux relevés de préparation durant les urgences et les situations de cybermenace élevée.

Discussion au sein du GC

La politique et les procédures en matière d’intervention en cas d’incident des ministères et organismes du GC doivent faciliter l’intégration de niveaux relevés de préparation durant les urgences et les situations de cybermenace élevée conformément à : SCT, Directive sur la gestion de la sécurité, Annexe G : Procédures obligatoires relatives aux contrôles de gestion d’événement de sécurité et Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information.

Contrôles et activités connexes

PM-09, PS-08, SI-02 et SI-12.

Améliorations

Aucune.

Références

Haut de la page 
 

IR-02 Formation sur les interventions en cas d’incident

Contrôle

  1. Fournir une formation pour intervenir en cas d’incident aux utilisatrices et utilisateurs du système en fonction des rôles et des responsabilités attribués
    1. dans [Affectation : délais définis par l’organisation] après avoir été affecté à un rôle ou à des responsabilités d’intervention en cas d’incident ou après avoir obtenu l’accès au système
    2. lorsque des changements apportés au système l’exigent
    3. tous les [Affectation : fréquence définie par l’organisation] par la suite
  2. Passer en revue et mettre à jour le contenu de la formation d’intervention en cas d’incident tous les [Affectation : fréquence définie par l’organisation] et à la suite de [Affectation : événements définis par l’organisation]

Discussion

La formation d’intervention en cas d’incident est associée à des responsabilités et à des rôles affectés au personnel de l’organisation afin d’assurer un contenu et un niveau de détails appropriés. Par exemple, les utilisatrices et utilisateurs peuvent avoir seulement besoin de connaître avec qui communiquer ou comment reconnaître un incident; les administratrices et administrateurs de système peuvent nécessiter de la formation supplémentaire sur le traitement des incidents; et les intervenantes et intervenants en cas d’incident pourraient recevoir de la formation sur les techniques d’investigation informatique, de collecte de données, de signalement, de reprise et de restauration des systèmes.

La formation d’intervention en cas d’incident comprend la formation offerte aux utilisatrices et utilisateurs pour reconnaître et signaler les activités suspectes provenant de sources externes ou internes. La formation d’intervention en cas d’incident pour les utilisatrices et utilisateurs peut être fournie dans le cadre des contrôles AT-02 ou AT-03. Les événements qui peuvent précipiter une mise à jour du contenu de la formation sur l’intervention en cas d’incident comprennent la mise à l’essai du plan d’urgence ou l’intervention lors d’une urgence concrète (leçons retenues), les conclusions d’une évaluation ou d’une vérification, des changements apportés aux lois, à la jurisprudence, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables.

Discussion au sein du GC

Les cadres devraient consulter le Bureau de l’accès à l’information et protection des renseignements personnels (AIPRP) de leur institution ou la ou le chef de la protection des renseignements personnels (CPRP) afin de déterminer les occasions de formation en lien à l’évaluation et à l’atténuation des atteintes à la vie privée pouvant être fournies pour répondre à leurs besoins particuliers ou afin d’identifier les services pouvant être offerts pour appuyer leur secteur de programme.

Contrôles et activités connexes

AT-02, AT-03, AT-04, CP-03, IR-03, IR-04, IR-08 et IR-09.

Améliorations

  • (01) (01) Formation sur les interventions en cas d’incident : Événements simulés
    • Intégrer des événements simulés à la formation sur les interventions en cas d’incident pour faciliter l’intervention du personnel en situation de crise.
    • Discussion : Les organisations établissent des exigences pour intervenir face aux incidents dans les plans d’intervention en cas d’incident. Intégrer des événements simulés à la formation sur les interventions en cas d’incident permet de s’assurer que le personnel comprend ses responsabilités et sait quelles sont les interventions particulières à prendre en situation de crise.
    • Contrôles et activités connexes : Aucun.
  • (02) Formation sur les interventions en cas d’incident : Environnements de formation automatisée
    • Fournir un environnement de formation sur les interventions en cas d’incident au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Les mécanismes automatisés peuvent offrir un environnement de formation en mesure d’urgence plus approfondi et réaliste. Cela est possible, par exemple, en fournissant une couverture plus complète des problèmes liés aux interventions en cas d’incident, en choisissant des scénarios de formation et des environnements plus réalistes, et en augmentant la capacité d’intervention.
    • Contrôles et activités connexes : Aucun.
  • (03) Formation sur les interventions en cas d’incident : Atteinte à la vie privée
    • Fournir une formation d’intervention en cas d’incident sur la façon d’identifier et d’intervenir lors d’atteintes à la vie privée, y compris le processus qu’utilise l’organisation pour signaler une atteinte à la vie privée.
    • Discussion : La formation sur les interventions en cas d’incident met l’emphase sur l’obligation qu’ont les individus de signaler les atteintes confirmées et suspectées impliquant des renseignements sous quelque support ou format, y compris papier, oral et électronique. La formation sur les interventions en cas d’incident comprend les exercices de simulation qui simulent une atteinte à la vie privée. Prière de consulter le contrôle IR-02(01).
    • Discussion au sein du GC : Pour les ministères et organismes fédéraux, un incident touchant les renseignements personnels est considéré comme une atteinte à la vie privée. Une atteinte à la vie privée mène à une perte de contrôle, à une compromission, à une divulgation non autorisée, à une utilisation non autorisée, à une collecte illégale, à une conservation ou à une élimination inadéquate, ou à une occurrence similaire où une utilisatrice ou un utilisateur autorisé ou non autorisé accède ou accède potentiellement à une telle information à une fin qui n’est pas autorisée.
      La formation sur les interventions en cas d’incident comprend le processus qu’utilise l’organisation pour signaler au CPVP ou au SCT une atteinte à la vie privée.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

IR-03 Tests d’intervention en cas d’incident

Contrôle

Tester l’efficacité de la capacité d’intervention en cas d’incident pour les systèmes [Affectation : fréquence définie par l’organisation] en utilisant : [Affectation : tests définis par l’organisation].

Discussion

Les organisations doivent tester les capacités d’intervention en cas d’incident afin de déterminer leur efficacité et d’identifier les faiblesses ou les lacunes potentielles. Les tests d’intervention en cas d’incident incluent l’utilisation de listes de vérification, les exercices de revue générale, les exercices de table et les simulations (en parallèle et en état d’arrêt complet). Les tests d’intervention en cas d’incident peuvent aussi inclure la détermination de l’incidence des interventions en cas d’incident sur les opérations organisationnelles et les biens organisationnels et les personnes. L’emploi de données qualitatives et quantitatives peut aider à déterminer l’efficacité des processus d’intervention en cas d’incident.

Contrôles et activités connexes

CP-03, CP-04, IR-02, IR-04, IR-08 et PM-14.

Améliorations

  • (01) Tests d’intervention en cas d’incident : Tests automatisés
    • Tester la capacité d’intervention en cas d’incident au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Les organisations ont recours à des mécanismes automatisés pour mettre à l’essai les capacités d’intervention en cas d’incident de manière plus détaillée et efficace. Cela est possible en fournissant une couverture plus complète des problèmes liés aux interventions en cas d’incident, en choisissant des scénarios de mise à l’essai et des environnements réalistes, et en augmentant la capacité d’intervention.
    • Contrôles et activités connexes : Aucun.
  • (02) Tests d’intervention en cas d’incident : Coordination avec les plans connexes
    • Coordonner la mise à l’essai des interventions en cas d’incident avec les éléments organisationnels responsables des plans connexes.
    • Discussion : Les plans organisationnels connexes aux essais des interventions en cas d’incident comprennent les plans de continuité des activités, les plans de reprise après sinistre, les plans de continuité des opérations, les plans d’urgence, les plans des communications en temps de crise, les plans des infrastructures essentielles et les plans de mesures d’urgence pour les occupants.
    • Contrôles et activités connexes : Aucun.
  • (03) Tests d’intervention en cas d’incident : Amélioration continue
    • Employer des données qualitatives et quantitatives tirées des essais pour
      1. déterminer l’efficacité des processus d’intervention en cas d’incident
      2. améliorer de façon continue les processus d’intervention en cas d’incident
      3. fournir des mesures et des paramètres d’intervention en cas d’incident incident qui sont conformes, pertinents et dans un format reproductible
      4. cerner les tendances pour faciliter l’identification de modèles sous-jacents en ce qui a trait aux pratiques de traitement des renseignements pour ainsi éviter que ne surviennent d’autres atteintes à la vie privée
    • Discussion : Pour permettre aux activités d’intervention en cas d’incident de fonctionner comme prévu, les organisations peuvent faire appel à des paramètres et à des critères d’évaluation pour évaluer les programmes d’intervention en cas d’incident dans le cadre des efforts visant à continuellement améliorer le rendement des interventions. Ces efforts facilitent l’amélioration de l’efficacité des interventions en cas d’incident et diminuent les répercussions de l’incident.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

IR-04 Traitement des incidents

Contrôle

  1. Mettre en œuvre des capacités de traitement pour les incidents alignées sur le plan d’intervention en cas d’incident et y inclure les activités de préparation, de détection, d’analyse, de confinement, d’éradication et de reprise
  2. Coordonner les activités de traitement des incidents avec les activités de planification d’urgence
  3. Intégrer les leçons apprises découlant des activités de traitement aux procédures d’intervention en cas d’incident, à la formation et aux tests, et mettre en œuvre les changements qui en résultent comme il se doit
  4. S’assurer que la rigueur, l’intensité, la portée et les résultats des activités de traitement des incidents sont comparables et prévisibles dans l’ensemble de l’organisation

Discussion

Les organisations reconnaissent que la capacité d’intervention en cas d’incident dépend des capacités des systèmes organisationnels et des processus liés à la mission et aux activités prises en charge par ces systèmes. Les organisations devraient tenir compte de l’intervention en cas d’incident lors de la définition, de la conception et du développement de processus opérationnels et de mission et des systèmes. L’information liée aux incidents peut provenir de différentes sources, y compris la surveillance des vérifications, des accès physiques et des réseaux, les rapports d’utilisatrice ou utilisateur et d’administratrice ou administrateur, et les plaintes du public ou d’organismes de surveillance, et signalés de la chaîne d’approvisionnement.

L’efficacité des capacités de traitement des incidents comprend la coordination entre différentes entités organisationnelles (par exemple, les propriétaires des activités et de la mission, les propriétaires des systèmes, les autorités responsables, les ressources humaines, les bureaux de la sécurité physique et les bureaux de la sécurité du personnel, les services juridiques, le responsable de la gestion des risques, le personnel des opérations et les responsables de l’approvisionnement).

Les incidents de sécurité soupçonnés comprennent la réception de courriels suspects susceptibles de contenir un programme malveillant. Les incidents d’approvisionnement incluent l’insertion de matériel malveillant ou de programme malveillant dans les systèmes organisationnels ou les composants des systèmes.

Discussion au sein du GC

Pour les ministères et organismes fédéraux, un incident touchant les renseignements personnels est considéré comme une atteinte à la vie privée. Une atteinte à la vie privée mène à une perte de contrôle, à une compromission, à une divulgation non autorisée, à une utilisation non autorisée, à une collecte illégale, à une conservation ou à une élimination inadéquate, ou à une occurrence similaire où une utilisatrice ou un utilisateur autorisé ou non autorisé accède ou accède potentiellement à une telle information à une fin qui n’est pas autorisée.

Si l’incident comprend une atteinte à la sécurité des renseignements personnels, les étapes de l’intervention comprennent une évaluation et un confinement préliminaires, une évaluation complète, une notification aux personnes touchées; des mesures d’atténuation et de prévention; une notification au CPVP ou au SCT, et les leçons apprises.

Les atteintes à la protection de renseignements personnels pourraient être considérées comme une violation substantielle si elles impliquaient des renseignements personnels, si elles étaient susceptibles de causer un préjudice grave ou des torts à une personne, ou si elles impliquaient un grand nombre de personnes touchées. Les procédures de notification peuvent être différentes pour les violations substantielles.

Contrôles et activités connexes

AC-19, AU-06, AU-07, CM-06, CP-02, CP-03, CP-04, IR-02, IR-03, IR-05, IR-06, IR-08, PE-06, PL-02, PM-12, SA-08, SA-15, SC-05, SC-07, SI-02, SI-03, SI-04 et SI-07.

Améliorations

  • (01) Traitement des incidents : Processus de traitement des incidents automatisés
    • Prendre en charge le processus de traitement des incidents au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Les mécanismes automatisés qui soutiennent les processus de traitement des incidents comprennent des outils et des systèmes de gestion des incidents en ligne qui prennent en charge la collecte de données sur l’intervention en temps réel, la capture de paquets de réseau complète et l’analyse criminalistique.
    • Contrôles et activités connexes : Aucun.
  • (02) Traitement des incidents : Reconfiguration dynamique
    • Comprendre les types suivants de reconfiguration dynamique [Affectation : composants du système définis par l’organisation] à sa capacité d’intervention en cas d’incident : [Affectation : types de reconfiguration dynamique définis par l’organisation].
    • Discussion : La reconfiguration dynamique comprend les modifications apportées aux règles du routeur, aux listes de contrôle d’accès, aux paramètres de système de détection ou de prévention d’intrusions, et aux règles de filtrage pour les pare-feu et les mécanismes de protection. Les organisations exécutent une reconfiguration dynamique de leurs systèmes pour arrêter les attaques, rediriger les attaquants et isoler les composants de systèmes de sorte à limiter les dommages créés par les atteintes à la sécurité et par les compromissions. Les organisations devraient inclure dans la définition des capacités de reconfiguration, des délais pour la réalisation de la configuration des systèmes qui tiennent compte du besoin possible d’une intervention rapide pour traiter efficacement des cybermenaces.
    • Contrôles et activités connexes : AC-02, AC-04 et CM-02.
  • (03) Traitement des incidents : Continuité des opérations
    • Identifier les [Affectation : classes d’incident définies par l’organisation] et prendre les mesures d’intervention suivantes pour veiller à la continuité de ses missions et fonctions opérationnelles : [Affectation : mesures d’intervention appropriées aux classes d’incident définies par l’organisation].
    • Discussion : Les classes d’incident comprennent les défectuosités dues aux erreurs ou aux omissions liées à la conception ou à la mise en œuvre, de même que les attaques malveillantes ciblées et non ciblées. Les mesures d’intervention en cas d’incident comprennent la dégradation méthodique du système, l’arrêt du système, le passage au mode manuel ou l’activation d’une technologie de secours qui permet de faire fonctionner le système différemment, l’emploi de mesures de déception, l’utilisation de flux d’information différents, ou l’exploitation du système dans un mode réservé aux situations d’attaque.
      Les organisations devraient déterminer si la continuité des exigences opérationnelles durant un incident entre en conflit avec la capacité à désactiver automatiquement le système, conformément au contrôle IR-04(05).
    • Contrôles et activités connexes : Aucun.
  • (04) Traitement des incidents : Corrélation de l’information
    • Établir une corrélation entre l’information sur les incidents et les interventions individuelles pour obtenir une perspective organisationnelle de la sensibilisation et des interventions en matière d’incident.
    • Discussion : Parfois, un événement de menace, comme une cyberattaque hostile, fait en sorte qu’il ne soit possible de le déceler qu’en rassemblant de l’information provenant de différentes sources, y compris divers rapports et procédures de production de rapports déterminés par les organisations.
    • Contrôles et activités connexes : Aucun.
  • (05) Traitement des incidents : Désactivation automatique du système
    • Mettre en œuvre une capacité configurable pour désactiver automatiquement le système dans l’éventualité où [Affectation : atteintes à la sécurité définies par l’organisation] étaient détectées.
    • Discussion : Les organisations devraient déterminer si la capacité à désactiver automatiquement le système entre en conflit avec la continuité des exigences opérationnelles, conformément aux contrôles CP-02 ou IR-04(03). Des infractions de sécurité comprennent les cyberattaques qui ont compromis l’intégrité du système ou exfiltré de l’information organisationnelle et des erreurs graves dans les programmes informatiques pouvant avoir des répercussions négatives sur les fonctions liées à la mission ou aux activités de l’organisation ou mettre en péril la sécurité des individus. La désactivation automatique d’un système peut servir de technique visant à confiner l’atteinte à la vie privée dans l’éventualité que l’incident implique la compromission des renseignements personnels que renferme le système.
    • Contrôles et activités connexes : Aucun.
  • (06) Traitement des incidents : Menace interne
    • Mettre en œuvre une capacité de traitement des incidents pour les incidents impliquant des menaces internes.
    • Discussion : Mettre l’accent explicitement sur le traitement d’incidents impliquant des menaces internes met en évidence la gravité de ce type de menace et la nécessité de faire appel à des capacités spécifiques de traitement des incidents pour intervenir adéquatement et en temps opportun.
    • Contrôles et activités connexes : Aucun.
  • (07) Traitement des incidents : Menace interne – Coordination au sein de l’organisation
    • Coordonner des capacités de traitement des incidents pour des menaces internes qui comprennent les entités organisationnelles suivantes [Affectation : entités définies par l’organisation].
    • Discussion : Le traitement des incidents (par exemple, les activités de préparation, de détection, d’analyse, de confinement, d’éradication et de reprise) nécessite, pour les incidents liés à des menaces internes, une coordination entre différentes entités organisationnelles, y compris les propriétaires des activités et de la mission, les propriétaires des systèmes, les ressources humaines, les responsables de l’approvisionnement, les équipes de sécurité physique et du personnel, l’agente ou agent supérieur de la sécurité de l’information de l’organisme, le personnel des opérations, la fonction de gestion des risques, la haute ou le haut fonctionnaire ou cadre supérieure ou supérieur en matière de protection de la vie privée et la conseillère ou le conseiller juridique désignés. De plus, les organisations pourraient faire appel aux organismes fédéraux, provinciaux, territoriaux, municipaux et des Premières Nations responsables de l’application de la loi afin d’obtenir du soutien. Il y a des exigences particulières touchant la communication des renseignements personnels à des fins liées à l’application de la loi; communiquer avec la déléguée ou le délégué en matière de respect de la vie privée pour obtenir de plus amples renseignements.
    • Contrôles et activités connexes : Aucun.
  • (08) Traitement des incidents : Corrélation avec les organisations externes
    • Coordonner avec [Affectation : organisations externes définies par l’organisation] en vue d’échanger [Affectation : information liée à un incident définie par l’organisation] de sorte à obtenir une représentation interorganisationnelle de la sensibilisation à l’incident et d’intervenir plus efficacement après celui-ci.
    • Discussion : D’importants avantages peuvent découler de l’échange d’information liée à un incident avec des organisations externes, y compris les partenaires opérationnels et de la mission, les partenaires de la coalition et militaires, les clientes et clients et les développeuses et développeurs. La coordination interorganisationnelle peut constituer une capacité de gestion du risque très importante. Cette capacité permet aux organisations de tirer profit d’informations provenant de diverses sources de manière à intervenir efficacement en cas d’incident et d’atteinte à la vie privée pouvant avoir une incidence sur les opérations, les biens et les employées et employés de ces organisations. Des précautions doivent être prises lorsque la collaboration nécessite une communication des renseignements personnels. Communiquer avec la déléguée ou le délégué en matière de respect de la vie privée pour obtenir de plus amples renseignements.
    • Contrôles et activités connexes : AU-16 et PM-16.
  • (09) Traitement des incidents : Capacités d’intervention dynamique
    • Utiliser [Affectation : capacités d’intervention dynamique définies par l’organisation] de sorte à intervenir en cas d’incident.
    • Discussion : La capacité d’intervention dynamique aborde le déploiement en temps opportun de capacités organisationnelles nouvelles ou de remplacement en réponse aux incidents. Cela comprend les capacités mises en œuvre au niveau du processus lié à la mission et aux activités.
    • Contrôles et activités connexes : Aucun.
  • (10) Traitement des incidents : Coordination relative à la chaîne d’approvisionnement
    • Coordonner les activités d’intervention en cas d’incident touchant aux événements d’approvisionnement avec d’autres organisations dans la chaîne d’approvisionnement.
    • Discussion : Les organisations qui participent aux activités d’approvisionnement comprennent les développeurs de produits, les intégrateurs, les fabricants, les emballeurs, les assembleurs, les distributeurs, les fournisseurs et les revendeurs. Les incidents liés à la chaîne d’approvisionnement peuvent se produire n’importe où dans la chaîne d’approvisionnement et comprendre des compromissions ou des atteintes à la vie privée qui impliquent des fournisseurs principaux ou secondaires, des produits informatiques, des composants de systèmes, des processus de développement ou du personnel, et des processus de distribution ou des installations d’entreposage. Les organisations doivent inclure dans leur chaîne d’approvisionnement des ententes d’échange d’information pour la protection et l’échange d’information, et elles doivent tenir compte de leurs obligations quant au signalement des incidents fait aux organes d’examen du gouvernement.
    • Discussion au sein du GC : Les ministères et organismes fédéraux doivent inclure dans leur chaîne d’approvisionnement des ententes d’échange d’information pour la protection et l’échange d’information, et elles doivent tenir compte de leurs obligations quant au signalement des incidents fait aux organes d’examen du gouvernement (par exemple, SCT, CPVP du Canada).
    • Contrôles et activités connexes : CA-03, MA-02, SA-09 et SR-08.
  • (11) Traitement des incidents : Équipe intégrée d’intervention en cas d’incident
    • Établir et maintenir une équipe intégrée d’intervention en cas d’incident qui peut être déployée à tout endroit identifié par l’organisation dans [Affectation : délais définis par l’organisation].
    • Discussion : Une équipe intégrée d’intervention en cas d’incident est une équipe d’expertes et experts qui évalue, documente et intervient en cas d’incidents de manière à ce que les systèmes organisationnels et les réseaux puissent récupérer rapidement et mettre en œuvre les contrôles nécessaires pour éviter d’éventuels incidents. Le personnel de l’équipe d’intervention en cas d’incident comprend des analystes d’informatique judiciaire et de programmes malveillants, des développeuses et développeurs d’outils, les architectes ou ingénieures et ingénieurs de système, les praticiennes et praticiens de la protection de la vie privée et les membres du personnel affectés aux opérations en temps réel. La capacité de traitement des incidents comprend l’exécution rapide de la préservation de la preuve criminalistique et de l’analyse et de l’intervention face aux intrusions. Pour certaines organisations, l’équipe d’intervention en cas d’incident peut être une entité interorganisationnelle.
      Une équipe intégrée d’intervention en cas d’incident facilite l’échange d’information et permet au personnel de l’organisation (par exemple, les développeuses et développeurs, les personnes chargées de la mise en application et les opératrices et opérateurs) de tirer profit des connaissances de l’équipe concernant la menace afin de mettre en œuvre des mesures de défense qui permettront aux organisations de décourager plus efficacement les intrusions. De plus, les équipes intégrées facilitent la détection rapide d’intrusions, l’élaboration de mesures d’atténuation appropriées et le déploiement de mesures de défense efficaces.
      Par exemple, dès qu’une intrusion est détectée, l’équipe intégrée peut rapidement développer des mesures que les opérateurs peuvent mettre en œuvre, corréler le nouvel incident à l’information liée aux intrusions précédentes et élargir le développement du renseignement sur la cybersécurité en cours.
      Les équipes intégrées d’intervention en cas d’incident sont mieux en mesure d’identifier les tactiques, techniques et procédures liées aux opérations ou à des fonctions opérationnelles et de mission et définir les mesures d’intervention à prendre qui ne perturberont pas les fonctions liées à la mission et aux activités de l’organisation. Les équipes d’intervention en cas d’incident peuvent être réparties dans les organisations pour assurer une meilleure résilience.
    • Contrôles et activités connexes : AT-03.
  • (12) Traitement des incidents : Programme malveillant et analyse criminalistique
    • Analyser un programme malveillant ou d’autres artéfacts qui restent dans le système après l’incident.
    • Discussion : Lorsqu’elle est effectuée avec soin dans un environnement isolé, l’analyse d’un programme malveillant et d’autres artéfacts résiduels d’un incident ou d’une brèche de sécurité peut procurer à l’organisation une connaissance approfondie sur les tactiques, les techniques et les procédures utilisées par les adversaires. Elle permet aussi d’indiquer l’identité ou certaines caractéristiques définies de l’adversaire. De plus, l’analyse des programmes malveillants peut aider l’organisation à élaborer des interventions en vue d’éventuels incidents.
    • Contrôles et activités connexes : Aucun.
  • (13) Traitement des incidents : Analyse comportementale
    • Analyser un comportement des adversaires anormal ou suspect en lien à des [Affectation : environnements ou ressources définis par l’organisation].
    • Discussion : Si l’organisation maintient un environnement de déception, une analyse des comportements dans cet environnement précis, y compris des ressources ciblées par l’adversaire et du moment de l’incident ou de l’événement, peut fournir des renseignements à propos des tactiques, techniques et procédures des adversaires. À l’extérieur d’un environnement de déception, l’analyse d’un comportement anormal de la part des adversaires (par exemple, des changements concernant le rendement des systèmes ou les habitudes d’utilisation) ou un comportement suspect (par exemple, des changements dans les recherches d’emplacement de ressources spécifiques) peut donner à l’organisation une connaissance à ce sujet. Par moment, une analyse de l’information comportementale peut révéler de l’information sur une personne identifiable, et une autorité légitime ainsi que des mesures de protection liées aux renseignements personnels devraient être prises en considération.
    • Contrôles et activités connexes : Aucun.
  • (14) Traitement des incidents : Centre des opérations de sécurité
    • Établir et tenir à jour un centre des opérations de sécurité (COS).
    • Discussion : Un centre des opérations de sécurité (COS) est le centre névralgique pour les opérations de sécurité et la défense des réseaux informatiques d’une organisation. L’objectif du centre des opérations de sécurité est de défendre et de surveiller en permanence les systèmes et les réseaux d’une organisation (c’est-à-dire la cyberinfrastructure). Le Centre des opérations de sécurité est aussi chargé de détecter, d’analyser et d’intervenir en temps opportun lors d’incidents de cybersécurité.
      L’organisation dote en personnel technique et opérationnel le centre des opérations de sécurité (par exemple, des analystes de la sécurité, du personnel chargé des interventions en cas d’incident, des ingénieures et ingénieurs en sécurité des systèmes) et met en œuvre une série de contrôles techniques, procéduraux ou opérationnels (y compris ceux qui touchent la surveillance, l’analyse et les outils de criminalistique) pour surveiller, fusionner, mettre en correspondance, analyser et intervenir en fonction de données d’événements de menace et d’événements touchant la sécurité provenant de diverses sources. Ces sources comprennent les défenses du périmètre, les périphériques réseau (par exemple, routeurs et commutateurs) et des sources de données d’agents d’extrémité.
      Le centre des opérations de sécurité offre une capacité globale en matière de connaissance de la situation pour aider les organisations à déterminer la posture de sécurité du système et de l’organisation. Une capacité de centre des opérations de sécurité peut être obtenue de plusieurs façons. Les plus grandes organisations peuvent mettre en place un centre des opérations de sécurité dédié alors que des organisations plus petites peuvent faire appel à des organisations tierces pour fournir une telle capacité. Si un incident de sécurité venait à impliquer la compromission de renseignements personnels, le personnel du centre des opérations de sécurité devrait faire appel à des professionnelles et professionnels de la protection de la vie privée dans des organisations. En ce qui a trait aux organisations détenant un nombre important de renseignements personnels, il convient pour celles-ci d’avoir des représentantes et représentants dotés d’une expertise en matière de protection de la vie privée au sein de leur centre des opérations de sécurité parmi leur personnel technique et opérationnel.
    • Contrôles et activités connexes : Aucun.
  • (15) Traitement des incidents : Relations publiques, réparation de réputation et notification
      1. Gérer les relations publiques associées à un incident
      2. Employer des mesures visant à réparer la réputation d’une organisation
      3. Le cas échéant, aviser les personnes dont les renseignements personnels ont été compromis
    • Discussion : Il est important pour une organisation de mettre en place une stratégie pour aborder les incidents qui ont été portés à l’attention du grand public, qui ont donné une image négative de l’organisation, qui ont affecté les personnes liées à l’organisation (par exemple, les partenaires ou les clientes et clients) ou qui ont touché des personnes dont les renseignements personnels ont été compromis. Une telle publicité peut nuire grandement à l’organisation et affecter sa capacité à effectuer ses fonctions liées à la mission et aux activités. Prendre les mesures nécessaires pour réparer la réputation de l’organisation est un aspect essentiel qui permet de regagner la confiance de ses membres ainsi que des personnes liées à l’organisation. En notifiant les personnes concernées, cela leur permet de prendre les mesures nécessaires pour les empêcher de subir tout autre préjudice en raison de l’information compromise.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

IR-05 Surveillance des incidents

Contrôle

Faire le suivi et documenter les incidents.

Discussion

La documentation des incidents comprend la tenue de dossiers au sujet de chaque incident, l’état de l’incident et toute autre information pertinente aux fins d’investigation informatique, ainsi que l’évaluation des détails, des tendances et du traitement des incidents. L’information relative à un incident peut provenir de diverses sources, y compris la surveillance réseau, les rapports d’incident, les équipes d’intervention en cas d’incident, les plaintes d’utilisatrices et utilisateurs, les partenaires de la chaîne d’approvisionnement, la surveillance des vérifications, la surveillance des accès physiques et les rapports d’utilisateur et d’administrateur. Le contrôle IR-04 fournit de l’information sur les types d’incidents qui sont appropriés pour la surveillance.

Contrôles et activités connexes

AU-06, AU-07, IR-04, IR-06, IR-08, PE-06, PM-05, SC-05, SC-07, SI-03, SI-04 et SI-07.

Améliorations

  • (01) Surveillance des incidents : Suivi, collecte de données et analyses automatisés
    • Faire le suivi des incidents, recueillir et analyser l’information sur l’incident au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Parmi les mécanismes automatisés servant au suivi des incidents, à la collecte et à l’analyse d’information sur les incidents, il est possible de compter sur les centres d’intervention en cas d’incidents informatiques ou autres bases de données électroniques d’incidents et de dispositifs de surveillance de réseau. Si la collecte de données nécessite de recueillir ou de créer des renseignements personnels, l’organisation doit s’assurer de posséder l’autorité légitime pour cette collecte et elle devrait limiter les renseignements personnels uniquement aux renseignements requis pour réaliser une surveillance efficace.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

IR-06 Signalement des incidents

Contrôle

  1. Exiger que les membres du personnel signalent les incidents suspects à l’équipe d’intervention en cas d’incident de l’organisation dans [Affectation : délais définis par l’organisation]
  2. Donner de l’information sur l’incident à [Affectation : autorités désignées par l’organisation]

Discussion

Les types d’incidents signalés, le contenu et la rapidité des signalements, ainsi que les autorités de signalement désignées doivent refléter les lois, les décrets, les directives, la réglementation, les politiques, les normes et les lignes directrices applicables. Les renseignements sur l’incident peuvent informer les évaluations des risques, les évaluations d’efficacité des contrôles, les exigences de sécurité pour l’acquisition et les critères de sélection pour les produits technologiques. Le partage et la divulgation de renseignements personnels devraient être limités, sauf s’ils sont exigés pour assurer un signalement efficace.

Contrôles et activités connexes

CM-06, CP-02, IR-04, IR-05, IR-08, IR-09 et SI-02.

Améliorations

  • (01) Signalement des incidents : Signalement automatisé
    • Signaler les incidents au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Les destinataires des rapports d’incidents sont précisés dans la famille IR-06B. Les mécanismes de signalement automatisés comprennent les courriels, l’affichage sur des sites Web (avec des mises à jour automatisées) et des programmes et outils automatisés d’intervention en cas d’incident.
    • Contrôles et activités connexes : IR-07.
  • (02) Signalement des incidents : Vulnérabilités liées aux incidents
    • Signaler les vulnérabilités du système associées aux incidents signalés à [Affectation : personnel ou rôles définis par l’organisation].
    • Discussion : Les incidents signalés qui permettent de découvrir des vulnérabilités du système sont analysés par le personnel de l’organisation, y compris les propriétaires de systèmes, les propriétaires de la mission et des activités, les cadres supérieures et supérieurs de la gouvernance en matière de sécurité du ministère, les hauts fonctionnaires ou cadres supérieures et supérieurs en matière de protection de la vie privée, les cadres supérieures et supérieurs désignés pour l’autorisation et la fonction de gestion des risques. L’analyse peut servir à accorder la priorité et à entamer des mesures d’atténuation pour aborder la question des vulnérabilités du système découvertes.
    • Contrôles et activités connexes : Aucun.
  • (03) Signalement des incidents : Coordination avec la chaîne d’approvisionnement
    • Fournir de l’information sur les incidents au fournisseur du produit ou du service et aux autres organisations impliquées dans la chaîne d’approvisionnement ou la gouvernance de celle-ci pour les systèmes ou les composants de systèmes liés à l’incident.
    • Discussion : Les organisations qui participent aux activités d’approvisionnement comprennent les développeurs de produits, les intégrateurs, les fabricants, les emballeurs, les assembleurs, les distributeurs, les fournisseurs et les revendeurs. Parmi les entités qui assurent une gouvernance de la chaîne d’approvisionnement se trouve Services publics et Approvisionnement Canada (SPAC). Les incidents liés à la chaîne d’approvisionnement comprennent les compromissions ou les violations qui impliquent des produits informatiques, des composants de systèmes, des processus de développement ou du personnel, des processus de distribution ou des installations d’entreposage. Les organisations devraient déterminer l’information utile à partager, et elles devraient tenir compte de la valeur ajoutée par le signalement aux organisations externes des incidents liés à la chaîne d’approvisionnement, notamment la capacité d’améliorer les processus ou de déterminer la cause fondamentale de l’incident.
    • Contrôles et activités connexes : SR-08.

Références

Haut de la page 
 

IR-07 Assistance en cas d’incident

Contrôle

Fournir une ressource de soutien qui fait partie intégrante de la capacité d’intervention en cas d’incident de l’organisation et qui offre conseils et assistance aux utilisatrices et utilisateurs du système pour ce qui touche le traitement et le signalement des incidents.

Discussion

Les ressources de soutien fournies par les organisations pour l’intervention en cas d’incident comprennent les services de dépannage, les groupes d’assistance, les systèmes automatisés de demandes de service pour l’ouverture et le suivi des demandes d’intervention en cas d’incident, et l’accès aux services d’investigation informatique ou aux services de recours des consommatrices et consommateurs, au besoin.

Contrôles et activités connexes

AT-02, AT-03, IR-04, IR-06, IR-08, PM-22, PM-26, SA-09 et SI-18.

Améliorations

  • (01) Assistance en cas d’incident : Soutien automatisé concernant la disponibilité de l’information et du soutien
    • Accroître la disponibilité du soutien et de l’information sur les interventions en cas d’incident au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Les mécanismes automatisés peuvent offrir aux utilisatrices et utilisateurs une capacité d’assistance réactive ou proactive lors des interventions en cas d’incident. Par exemple, les utilisatrices et utilisateurs peuvent avoir accès à un site Web pour interroger la capacité d’assistance, ou la capacité peut transmettre de l’information sur les interventions en cas d’incident de manière proactive aux utilisatrices et utilisateurs (par diffusion générale ou ciblée) en vue d’accroître leurs connaissances concernant les capacités et le soutien actuels de l’organisation en matière d’intervention.
    • Contrôles et activités connexes : Aucun.
  • (02) Assistance en cas d’incident : Coordination avec les fournisseurs externes
      1. Établir une relation de coopération directe entre la capacité d’intervention en cas d’incident de l’organisation et la capacité de protection des systèmes de fournisseurs externes
      2. Communiquer l’identité des membres de son équipe d’intervention en cas d’incident aux fournisseurs externes
    • Discussion : Les fournisseurs externes d’une capacité de protection des systèmes comprennent les outils et services fournis par le Centre pour la cybersécurité. Les fournisseurs externes participent à la protection, la surveillance, l’analyse et la détection des activités illicites dans les systèmes d’information et les réseaux de l’organisation et interviennent, le cas échéant. Il peut être avantageux d’avoir en place des ententes avec des fournisseurs externes pour clarifier les rôles et responsabilités de chaque partie avant que ne se produise un incident.
    • Discussion au sein du GC : Il est recommandé d’avoir en place des accords d’échange de renseignements, des ententes d’échange de renseignements ou des documents contractuels avec des fournisseurs externes pour clarifier les rôles et responsabilités de chaque partie avant que ne se produise un incident.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

IR-08 Plan d’intervention en cas d’incident

Activité

  1. Élaborer un plan d’intervention en cas d’incident qui
    1. fournit à l’organisation une feuille de route pour la mise en œuvre de ses capacités d’intervention en cas d’incident
    2. décrit la structure et l’organisation des capacités d’intervention en cas d’incident
    3. fournit une approche de haut niveau indiquant comment les capacités d’intervention en cas d’incident s’intègrent à l’organisation en général
    4. répond à ses exigences spécifiques concernant sa mission, sa taille, sa structure et ses fonctions
    5. définit les incidents devant être signalés
    6. définit les paramètres de mesure de sa capacité d’intervention en cas d’incident
    7. définit les ressources et le soutien de la direction nécessaires au maintien et à l’évolution de la capacité d’intervention en cas d’incident
    8. décrit les modalités d’échange d’information en cas d’incident
    9. est examiné et approuvé par [Affectation : personnel ou rôles définis par l’organisation] [Affectation : fréquence définie par l’organisation]
    10. élabore explicitement la responsabilité de l’intervention en cas d’incident à l’intention de [Affectation : entités, personnel ou rôles définis par l’organisation]
  2. Distribuer des copies du plan d’intervention en cas d’incident [Affectation : employées et employés (par nom ou rôle) et éléments organisationnels responsables de l’intervention en cas d’incident définis par l’organisation]
  3. Mettre à jour le plan d’intervention en cas d’incident afin de tenir compte des changements apportés aux systèmes et des changements organisationnels, ou encore des problèmes rencontrés durant la mise en œuvre, l’exécution ou la mise à l’essai du plan d’intervention
  4. Communiquer les changements apportés au plan d’intervention en cas d’incident [Affectation : employées et employés (par nom ou rôle) et éléments organisationnels responsables de l’intervention en cas d’incident définis par l’organisation]
  5. Protéger le plan d’intervention en cas d’incident des divulgations et des modifications non autorisées

Discussion

Il est important que les organisations élaborent et mettent en œuvre une approche d’intervention coordonnée en cas d’incident. La mission et les activités organisationnelles déterminent la structure des capacités d’intervention en cas d’incident. Dans le cadre des capacités d’intervention en cas d’incident, les organisations doivent considérer la coordination et l’échange d’information avec des organisations externes, y compris des fournisseurs de services et d’autres organisations participant à la chaîne d’approvisionnement. Pour ce qui est des incidents qui impliquent des renseignements personnels (par exemple, des atteintes à la vie privée) il convient d’inclure un processus permettant de déterminer si la transmission d’un avis aux organisations de surveillance ou aux personnes touchées est pertinente et de fournir cet avis en conséquence.

Contrôles et activités connexes

AC-02, CP-02, CP-04, IR-04, IR-07, IR-09, PE-06, PL-02, SA-15, SI-02, SI-12 et SR-08.

Améliorations

  • (01) Plan d’intervention en cas d’incident : Atteintes à la vie privée
    • Pour les atteintes à la vie privée touchant des renseignements personnels, il faut inclure ce qui suit dans le plan d’intervention en cas d’incident
      1. un processus permettant de déterminer s’il est nécessaire de faire un signalement à des personnes ou à d’autres organisations, y compris des organisations de surveillance
      2. un processus d’évaluation pour déterminer l’étendue des dommages, de l’embarras, de l’injustice ou des désagréments aux personnes touchées et tout mécanisme pour atténuer des tels dommages
      3. l’identification des exigences en matière de protection de la vie privée applicables
    • Discussion : Les organisations pourraient être exigées par les lois, la réglementation ou les politiques à suivre des procédures spécifiques en lien aux violations, ce qui comprend : des notifications aux personnes, aux organisations touchées et aux organes d’examen; des normes relatives aux dommages; des mesures d’atténuation ou d’autres exigences spécifiques. Les organisations assujetties à la LPRPDE doivent signaler au CPVP toute atteinte à la protection des renseignements personnels qui représente un risque de préjudice grave. Elles doivent également aviser les personnes de ces atteintes et conserver un dossier des atteintes à la protection des renseignements.
    • Discussion au sein du GC : Dans l’éventualité d’une atteinte à la vie privée en vertu de la LPRP, les ministères et les organismes du GC sont chargés de voir au respect des exigences établies dans l’annexe B : Procédures obligatoires pour les atteintes à la vie privée de la Directive sur les pratiques relatives à la protection de la vie privée du SCT. Les ministères et organismes du GC doivent aviser les personnes de ces atteintes et conserver un dossier des atteintes à la protection des renseignements.
    • Contrôles et activités connexes : PT-01, PT-02, PT-03, PT-04, PT-05 et PT-07.

Références

Haut de la page 
 

IR-09 Intervention en cas de fuite d’information

Contrôle

Réagir aux fuites d’information en

  1. désignant [Affectation : personnel ou rôles définis par l’organisation] à titre de personnes responsables de l’intervention cas de fuite d’information
  2. déterminant, de manière précise, quelle information a fait l’objet de la contamination du système
  3. avertissant [Affectation : personnel ou rôles définis par l’organisation] de la fuite d’information au moyen d’un mode de communication n’étant pas lié à la fuite
  4. isolant le système ou le composant du système contaminé
  5. supprimant l’information du système ou le composant du système contaminé
  6. déterminant si d’autres systèmes ou composants de systèmes avaient pu être contaminés subséquemment
  7. effectuant les mesures supplémentaires suivantes : [Affectation : actions définies par l’organisation]

Discussion

Les fuites d’information sont des situations où de l’information est transmise à des systèmes pour lesquels le traitement de ce type d’information n’a pas été autorisé. Les fuites d’information se produisent lorsqu’on croit faussement que la classification de l’information transmise à un système est moins élevée qu’elle ne l’est réellement et que cette correction est apportée après la transmission. À ce stade, il est nécessaire de mettre en place des mesures correctives.

La nature de l’intervention est fondée sur la classification ou le niveau d’incidence de l’information faisant l’objet de la fuite, sur les capacités de sécurité du système, sur la nature précise du support de stockage contaminé et sur les autorisations d’accès des personnes autorisées à accéder au système contaminé.

Les méthodes utilisées pour communiquer l’information relative à la fuite après le coup ne sont pas directement liées à la méthode de transmission de l’information faisant l’objet de la fuite de sorte à réduire le risque d’élargissement de la contamination avant que celle-ci ne soit isolée et l’information supprimée Si les fuites d’information touchent à des renseignements personnels, les responsables devraient passer en revue la situation pour évaluer si une atteinte à la vie privée s’est produite, et les protocoles sur les atteintes à la vie privée de l’organisation doivent être suivis, tel qu’il est précisé dans l’IR-08.

Contrôles et activités connexes

CP-02, IR-06, IR-08, PM-26, PM-27, PT-02, PT-03, PT-07 et RA-07.

Améliorations

  • (01) Intervention en cas de fuite d’information : Personnel responsable
    • Annulé : Intégré au contrôle IR-09.
  • (02) Intervention en cas de fuite d’information : Formation
    • Offrir une formation sur l’intervention en cas de fuite d’information [Affectation : fréquence définie par l’organisation].
    • Discussion : Les organisations établissent des exigences pour intervenir face aux incidents liés aux fuites d’information dans les plans d’intervention en cas d’incident. Une formation sur l’intervention en cas d’incident suivie sur une base régulière aide à s’assurer que les membres du personnel comprennent leurs responsabilités et les mesures précises à prendre lorsque surviennent des incidents liés aux fuites d’information.
    • Contrôles et activités connexes : AT-02, AT-03, CP-03 et IR-02.
  • (03) Intervention en cas de fuite d’information : Opérations à la suite d’une fuite
    • Mettre en œuvre les procédures suivantes afin de veiller à ce que les membres du personnel de l’organisation touchés par les fuites d’information puissent continuer d’exécuter leurs fonctions même si les systèmes contaminés sont en cours d’assainissement : [Affectation : procédures définies par l’organisation].
    • Discussion : Les mesures correctives appliquées aux systèmes contaminés par les fuites d’information peuvent exiger beaucoup de temps. Les membres du personnel peuvent ne pas avoir accès aux systèmes contaminés pendant que des mesures correctives sont prises, ce qui peut affecter leur capacité à mener les activités de l’organisation.
    • Contrôles et activités connexes : Aucun.
  • (04) Intervention en cas de fuite d’information : Exposition au personnel non autorisé
    • Employer les contrôles suivants pour les membres du personnel exposés à de l’information ne faisant pas partie des autorisations d’accès accordées : [Affectation : contrôles définis par l’organisation].
    • Discussion : Les contrôles impliquent de s’assurer que les membres du personnel qui sont exposés à une fuite d’information soient mis au courant des lois, des décrets, des directives, de la réglementation, des politiques, des normes et des lignes directrices concernant l’information et les restrictions imposées en fonction de l’exposition à une telle information.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

IR-10 Équipe d’analyse de la sécurité de l’information intégrée

Annulé : Transféré sous le contrôle IR-04(11).

 
Précédent
Date de modification :