Maintenance

Sur cette page

• MA-01 Politique et procédures de maintenance
• MA-02 Maintenance contrôlée
• MA-03 Outils de maintenance
• MA-04 Maintenance non locale
• MA-05 Personnel de maintenance
• MA-06 Maintenance opportune
• MA-07 Maintenance sur site

Les contrôles et les activités de la famille Maintenance appuient la maintenance périodique et opportune des systèmes organisationnels et fournissent des contrôles efficaces pour les outils, les techniques, les mécanismes et le personnel employés pour mener la maintenance des systèmes afin d’assurer leur disponibilité continue.

MA-01 Politique et procédures de maintenance

Activité

1. Développer, documenter et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
   1. une politique de maintenance [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
   2. des procédures pour faciliter la mise en œuvre de la politique de maintenance et des contrôles d’accès connexes
2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures liées à la maintenance
3. Passer en revue et mettre à jour, par rapport à la maintenance,
   1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
   2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

La politique et les procédures de maintenance abordent les contrôles de la famille MA qui ont été mis en œuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à l’élaboration de la politique et des procédures de maintenance.

En règle générale, les politiques et les procédures liées au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin pour des politiques et des procédures propres à la mission ou au système. La politique peut être intégrée à la politique générale de sécurité et de protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations.

Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission ou aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts.

Les événements qui peuvent précipiter une mise à jour de la politique et des procédures de maintenance comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des chargements apportés aux lois, à la jurisprudence, aux décrets applicables, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.

Contrôles et activités connexes

PM-09, PS-08, SI-02 et SI-12.

Améliorations

Aucune.

Références

• SCT, Directive sur la gestion de la sécurité
• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• SCT, Directive sur la gestion de la sécurité – Annexe C : Procédures obligatoires relatives aux mesures de sécurité matérielle
• SCT, Politique sur la planification et la gestion des investissements
• SCT, Directive sur la gestion du matériel

MA-02 Maintenance contrôlée

Contrôle

1. Planifier, exécuter, documenter et examiner les dossiers de maintenance, de réparation et de remplacement des composants de système conformément aux spécifications du fabricant ou du fournisseur ou à ses propres exigences
2. Approuver et surveiller toutes les activités de maintenance, qu’elles soient effectuées sur place ou à distance et que le système ou les composants des systèmes soient réparés sur les lieux ou dans un autre emplacement
3. Exiger que [Affectation : personnel ou rôles définis par l’organisation] approuve explicitement le retrait du système ou de ses composants, de ses installations aux fins de maintenance, de réparation ou de remplacement à l’extérieur de ses locaux
4. Nettoyer l’équipement afin de supprimer les données suivantes des supports connexes avant de l’expédier à l’extérieur aux fins de maintenance, de réparation ou de remplacement : [Affectation : information définie par l’organisation]
5. Vérifier tous les contrôles potentiellement concernés pour s’assurer qu’ils continuent de fonctionner adéquatement après les activités de maintenance, de réparation ou de remplacement
6. Inclure l’information suivante dans les enregistrements de maintenance organisationnels : [Affectation : information définie par l’organisation]

Discussion

Le contrôle de la maintenance de système traite des aspects du programme de maintenance des systèmes liés à la sécurité de l’information et s’applique à tous les types de maintenance réalisée par des entités locales ou non locales dont fait l’objet les composants du système. La maintenance touche les périphériques comme les numériseurs, les photocopieurs et les imprimantes. L’information nécessaire à la création de dossiers de maintenance efficaces comprend la date et l’heure de la maintenance, une description de la maintenance effectuée, les noms des personnes responsables de la maintenance, le nom de l’escorte, et les composants des systèmes ou l’équipement retirés ou remplacés. Les organisations devraient tenir compte des risques liés à la chaîne d’approvisionnement qui concernent le remplacement des composants des systèmes.

Contrôles et activités connexes

CM-02, CM-03, CM-04, CM-05, CM-08, MA-04, MP-06, PE-16, SI-02, SR-03, SR-04 et SR-11.

Améliorations

• (01) Maintenance contrôlée : Contenu des enregistrements
  • Annulé : Intégré au contrôle MA-02.
• (02) Maintenance contrôlée : Activités de maintenance automatisées
  • 1. Planifier, effectuer et documenter les interventions de maintenance, de réparation et de remplacement pour le système au moyen de [Affectation : mécanismes automatisés définis par l’organisation]
    2. Tenir à jour des dossiers précis et complets de toutes les maintenances, réparations et de tous les remplacements exigés, planifiés, en cours et exécutés
  • Discussion : Le recours à des mécanismes automatisés pour gérer et contrôler les programmes et les activités de maintenance de système permet d’assurer la production d’enregistrements de maintenance précise, ponctuelle, complète et conforme.
  • Contrôles et activités connexes : MA-03.

Références

SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information

MA-03 Outils de maintenance

Contrôle

1. Approuver, contrôler et surveiller l’utilisation des outils de maintenance des systèmes
2. Examiner les outils de maintenance précédemment approuvés [Affectation : fréquence définie par l’organisation]

Discussion

L’approbation, le contrôle, la surveillance et l’examen des outils de maintenance permettent de traiter les problèmes de sécurité en lien avec les outils de maintenance qui ne sont pas dans les limites d’autorisation et servent spécifiquement aux activités de diagnostic et de réparation sur le système. Les organisations ont une certaine souplesse quant à la détermination des rôles pour l’approbation des outils de maintenance et la manière dont l’approbation est documentée.

Un examen périodique des outils de maintenance facilite le retrait de l’approbation d’outils désuets, non pris en charge, non pertinents ou inutilisés. Les outils de maintenance peuvent comprendre les éléments matériels, logiciels et micrologiciels et ils peuvent être préinstallés, transportés par le personnel de maintenance sur des supports, basés sur le nuage ou téléchargés à partir de sites Web. De tels outils peuvent servir au transport intentionnel ou non intentionnel de programmes malveillants à l’intérieur d’une installation et, subséquemment, dans les systèmes. Les outils de maintenance peuvent comprendre l’équipement de test et de diagnostic matériel ou logiciel, ainsi que les renifleurs de paquets.

Les composants matériels ou logiciels qui servent à la maintenance du système et font partie de ce dernier (y compris le logiciel utilisé pour exécuter les fonctions comme ping, ls, ipconfig, ou matériel et logiciel mettant en œuvre le port de surveillance d’un commutateur Ethernet), ne sont pas couverts par les outils de maintenance.

Contrôles et activités connexes

MA-02, PE-16 et SA-400.

Améliorations

• (01) Outils de maintenance : Inspection des outils
  • Inspecter les outils de maintenance utilisés par le personnel de maintenance pour repérer des modifications incorrectes ou non autorisées.
  • Discussion : Le personnel de maintenance peut directement apporter les outils de maintenance dans une installation ou ces outils peuvent être téléchargés à partir d’un site Web de fournisseur. Lors de l’inspection, si l’organisation détermine que les outils de maintenance ont été modifiés de manière inappropriée, ou qu’ils contiennent un programme malveillant, elle gérera l’incident conformément à ses politiques et procédures organisationnelles en matière de traitement des incidents.
  • Contrôles et activités connexes : SI-07.
• (02) Outils de maintenance : Inspection des supports
  • Vérifier les supports où sont stockés les programmes de diagnostic et de test afin de détecter la présence de code malveillant, avant d’utiliser les supports dans les systèmes.
  • Discussion : Lors de l’inspection des supports contenant des programmes diagnostic et de test de la maintenance, si l’organisation détermine que les supports contiennent un programme malveillant, elle gérera l’incident conformément à ses politiques et procédures organisationnelles en matière de traitement des incidents.
  • Contrôles et activités connexes : SI-03.
• (03) Outils de maintenance : Prévention des retraits non autorisés
  • Prévenir le retrait non autorisé d’équipements de maintenance contenant de l’information sur l’organisation ou des renseignements personnels en
    1. s’assurant qu’aucune information sur l’organisation ou aucun renseignement personnel ne se trouve dans l’équipement
    2. nettoyant ou détruisant l’équipement
    3. conservant l’équipement dans l’installation
    4. obtenant une exemption de [Affectation : personnel ou rôles définis par l’organisation] autorisant explicitement le retrait de l’équipement de l’installation
  • Discussion : L’information organisationnelle comprend toute information appartenant à l’organisation et celle fournie aux organisations qui gèrent l’information de cette dernière.
  • Contrôles et activités connexes : MP-06.
• (04) Outils de maintenance : Utilisation restreinte des outils
  • Limiter l’utilisation d’outils de maintenance au personnel autorisé uniquement.
  • Discussion : La limitation de l’utilisation d’outils de maintenance au personnel autorisé uniquement s’applique aux systèmes qui s’occupent généralement des fonctions de maintenance.
  • Contrôles et activités connexes : AC-03, AC-05 et AC-06.
• (05) Outils de maintenance : Exécution avec privilège
  • Surveiller l’emploi des outils de maintenance qui sont exécutés avec des privilèges accrus.
  • Discussion : Les outils de maintenance qui sont exécutés avec des privilèges accrus peuvent mener à un accès non autorisé aux renseignements et aux biens de l’organisation qui seraient autrement inaccessibles.
  • Contrôles et activités connexes : AC-03 et AC-06.
• (06) Outils de maintenance : Mises à jour logicielles et correctifs
  • Inspecter les outils de maintenance pour s’assurer que les plus récentes mises à jour et derniers correctifs ont été installés.
  • Discussion : Les outils de maintenance qui font appel à des logiciels désuets et non corrigés peuvent fournir un vecteur de menace pour les adversaires et donner lieu à une vulnérabilité majeure pour les organisations.
  • Contrôles et activités connexes : AC-03 et AC-06.

Références

SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information

MA-04 Maintenance non locale

Contrôle

1. Approuver et surveiller les activités de maintenance et de diagnostic non locales
2. Permettre l’utilisation des outils de télémaintenance et de télédiagnostic seulement si elle est conforme à sa politique et documentée dans le plan de sécurité du système
3. Utiliser une authentification robuste lors de l’établissement des sessions de maintenance non locale
4. Tenir à jour des dossiers des activités de maintenance non locale et de télédiagnostic
5. Mettre fin aux sessions et aux connexions réseau lorsque la maintenance non locale est terminée

Discussion

Les activités de maintenance et de diagnostic non locales sont menées par des personnes qui communiquent à partir de réseaux externes ou internes. Les activités de maintenance et de diagnostic locales sont menées par des personnes qui se trouvent physiquement à l’emplacement du système et qui ne communiquent pas au moyen d’une connexion réseau.

Les techniques d’authentification utilisées pour établir des sessions de maintenance non locale et de télédiagnostic reflètent les exigences d’accès aux réseaux énoncées dans le contrôle IA-02. Une authentification robuste exige des authentifiants résistant aux attaques par réinsertion et l’utilisation de l’AMF. Les authentifiants robustes comprennent l’ICP dont les certificats sont stockés dans un jeton protégé par mot de passe, une phrase passe ou des données biométriques. L’application des exigences énoncées dans le contrôle MA-04 est effectuée en partie par d’autres contrôles. Le Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information du Centre pour la cybersécurité (ITSP.30.03) donne des conseils supplémentaires sur une authentification et des authentifiants robustes.

Contrôles et activités connexes

AC-02, AC-03, AC-06, AC-17, AC-17(400), AU-02, AU-03, IA-02, IA-04, IA-05, IA-08, MA-02, MA-05, PL-02, SA-400, SC-07, SC-10 et SI-400.

Améliorations

• (01) Maintenance non locale : Journalisation et examen
  • 1. Journalisation [Affectation : événements vérifiables définis par l’organisation] pour des sessions de maintenance non locale et de télédiagnostic
    2. Passer en revue les enregistrements de vérification des sessions de maintenance non locale et de télédiagnostic pour détecter un comportement anormal
  • Discussion : La journalisation des données de vérification pour la maintenance non locale est appliquée par le contrôle AU-02. Les événements vérifiables sont définis dans le contrôle AU-02A.
  • Contrôles et activités connexes : AU-02, AU-06 et AU-12.
• (02) Maintenance non locale : Documenter la maintenance non locale
  • Annulé : Intégré au contrôle MA-01 and MA-04.
• (03) Maintenance non locale : Sécurité et nettoyage comparables
  • 1. Exiger que les services de maintenance non locale et de télédiagnostic soient effectués à partir d’un système qui applique une capacité comparable à celle mise en œuvre sur le système cible
    2. Retirer le composant concerné du système avant l’exécution des activités de maintenance non locale et de télédiagnostic, le nettoyer (en supprimer toute information organisationnelle) et, une fois la réparation effectuée, l’inspecter et le nettoyer à nouveau (pour en éliminer tout logiciel malveillant) avant de le reconnecter au système
  • Discussion : L’application d’une capacité de sécurité comparable sur les systèmes, les outils de diagnostic et l’équipement fournissant des services de maintenance signifie que les contrôles mis en œuvre sur ces systèmes, outils et équipement sont aussi étendus que ceux sur le système cible.
  • Contrôles et activités connexes : MP-06, SI-03 et SI-07.
• (04) Maintenance non locale : Authentification et séparation des sessions de maintenance
  • Protéger les sessions de maintenance non locale en faisant ce qui suit
    1. employer [Affectation : authentifiants résistant aux attaques par réinsertion définis par l’organisation]
    2. Séparer les sessions de maintenance des autres sessions avec le système en
       1. séparant physiquement les chemins de communication
       2. séparant logiquement les chemins de communication
  • Discussion : Les chemins de communication peuvent être séparés logiquement par chiffrement.
  • Contrôles et activités connexes : Aucun.
• (05) Maintenance non locale : Approbations et avis
  • 1. Obtenir l’approbation de chaque session de maintenance non locale par [Affectation : personnel ou rôles définis par l’organisation]
    2. Aviser le personnel ou les rôles suivants de la date et l’heure de la maintenance non locale planifiée : [Affectation : personnel ou rôles définis par l’organisation]
  • Discussion : Le personnel de maintenance peut se charger des avis. L’approbation d’une session de maintenance non locale se fait par des membres du personnel ayant suffisamment de connaissances des systèmes de la sécurité de l’information pour déterminer la pertinence de la maintenance proposée.
  • Contrôles et activités connexes : Aucun.
• (06) Maintenance non locale : Protection cryptographique
  • Mettre en œuvre des mécanismes cryptographiques pour protéger l’intégrité et la confidentialité des communications liées à la maintenance non locale et au télédiagnostic : [Affectation : mécanismes cryptographiques définis par l’organisation].
  • Discussion : L’incapacité de protéger des communications de maintenance non locale et de diagnostic risque de donner à des personnes non autorisées l’accès aux renseignements de l’organisation. Un accès non autorisé durant les sessions de maintenance à distance peut entraîner des actes hostiles, notamment l’insertion de code malveillant, des changements non autorisés aux paramètres système et une exfiltration des renseignements de l’organisation. De tels actes peuvent entraîner une perte ou une dégradation des capacités liées à la mission et aux activités.
  • Contrôles et activités connexes : SC-08, SC-12 et SC-13.
• (07) Maintenance non locale : Vérification de la déconnexion
  • Vérifier la fin de la connexion de la session et de la connexion réseau après avoir terminé les sessions de maintenance non locale et de diagnostic.
  • Discussion : Vérifier la fin de la connexion une fois la maintenance terminée assure que les connexions établies durant les sessions de maintenance non locale et de diagnostic sessions ont été coupées et ne peuvent plus être utilisées.
  • Contrôles et activités connexes : AC-12.

Références

• Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031)
• Gestion de l’identité, des justificatifs d’identité et de l’accès (GIJIA) (ITSAP.30.018)
• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information

MA-05 Personnel de maintenance

Contrôle

1. Établir un processus d’autorisation du personnel de maintenance et tenir à jour une liste des organisations et du personnel autorisé à effectuer les activités de maintenance
2. Vérifier que le personnel non accompagné réalisant des activités de maintenance sur le système dispose des autorisations d’accès nécessaires
3. Désigner des membres du personnel de l’organisation qui possèdent les autorisations d’accès et les compétences techniques nécessaires pour superviser les activités de maintenance effectuées par le personnel qui ne possède pas les autorisations d’accès appropriées

Discussion

Le personnel de maintenance fait référence aux personnes qui réalisent les activités de maintenance matérielle ou logicielle sur les systèmes de l’organisation, et le contrôle PE-02 traite de l’accès physique des personnes devant réaliser des activités de maintenance qui les placent dans le périmètre de protection matérielle des systèmes. Les compétences techniques des superviseurs sont liées à la maintenance effectuée sur les systèmes, tandis que la possession des autorisations d’accès appropriées est liée à la maintenance sur et près des systèmes.

Les personnes non identifiées au préalable comme étant des membres du personnel autorisés, tels que les fabricants de technologies d’information, les fournisseurs, les intégrateurs de système et les experts-conseils, peuvent demander un accès privilégié aux systèmes organisationnels, comme pour mener des activités de maintenance avec court préavis ou sans préavis. Selon les évaluations organisationnelles des risques, les organisations peuvent octroyer des justificatifs d’identité temporaires à ces personnes. Ces justificatifs peuvent être octroyés pour un accès unique ou pour un délai très limité.

L’information sur le personnel de maintenance peut comporter des renseignements personnels et devrait donc être protégée en conséquence.

Contrôles et activités connexes

AC-02, AC-03, AC-05, AC-06, IA-02, IA-08, MA-04, MP-02, PE-02, PE-03, PS-07, RA-03 et SA-400.

Améliorations

• (01) Personnel de maintenance : Personnes ne détenant pas l’accès approprié
  • 1. Mettre en œuvre des procédures pour les membres du personnel de maintenance qui ne possèdent pas la cote de sécurité appropriée; ces procédures comprennent les exigences suivantes
       1. les membres du personnel de maintenance qui ne possèdent pas les autorisations d’accès, les cotes de sécurité ou les approbations formelles d’accès requises sont escortés et surveillés durant l’exécution des activités de maintenance et de diagnostic sur le système par des employés de l’organisation qui sont pleinement habilités, qui possèdent les autorisations d’accès appropriées et qui sont qualifiés sur le plan technique
       2. avant que des membres du personnel qui ne possèdent pas les autorisations d’accès, les cotes de sécurité ou les approbations formelles d’accès requises puissent entreprendre les activités de maintenance ou de diagnostic, tous les composants de stockage d’information volatile du système sont nettoyés, et les supports d’information non volatile sont enlevés ou physiquement déconnectés du système puis rangés dans un endroit sûr
    2. Élaborer et mettre en œuvre [Affectation : contrôles de secours définis par l’organisation] dans l’éventualité où un composant de système ne pourrait pas être nettoyé, supprimé ou débranché du système
  • Discussion : Les procédures à l’intention des personnes qui ne possèdent pas la cote de sécurité appropriée ont été conçues pour empêcher un accès visuel ou électronique à de l’information classifiée ou protégée contenue dans les systèmes organisationnels. Les procédures concernant le personnel de maintenance peuvent être consignées dans les plans de sécurité des systèmes.
  • Contrôles et activités connexes : MP-06 et PL-02.
• (02) Personnel de maintenance : Habilitations de sécurité pour les systèmes classifiés
  • Veiller à ce que les personnes qui effectuent des activités de maintenance et de diagnostic sur un système qui traite, stocke et transmet de l’information classifiée possèdent l’habilitation de sécurité et les approbations d’accès officiels au moins équivalant au niveau de sécurité le plus élevé de l’information contenue dans le système et équivalant aux compartiments de cette information.
  • Discussion : Les membres du personnel qui effectuent la maintenance des systèmes organisationnels peuvent être exposés à de l’information classifiée dans le cadre de leurs activités de maintenance. Pour atténuer le risque inhérent à une telle exposition, les organisations font appel au personnel de maintenance ayant une habilité (c’est-à-dire le personnel qui possède une habilitation de sécurité) correspondant au niveau de classification de l’information stockée dans le système.
  • Contrôles et activités connexes : PS-03.
• (03) Personnel de maintenance : Exigences relatives à la citoyenneté pour les systèmes classifiés
  • Veiller à ce que les personnes qui effectuent des activités de maintenance et de diagnostic sur un système qui traite, stocke et transmet de l’information classifiée soient des citoyennes et citoyens canadiens.
  • Discussion : Les membres du personnel qui effectuent la maintenance des systèmes organisationnels peuvent être exposés à de l’information classifiée dans le cadre de leurs activités de maintenance. Si l’accès à de l’information classifiée dans les systèmes organisationnels est limité aux citoyennes et citoyens canadiens, la même restriction s’applique aux membres du personnel effectuant la maintenance de ces systèmes.
  • Contrôles et activités connexes : PS-03.
• (04) Personnel de maintenance : Ressortissantes ou ressortissants étrangers
  • S’assurer que
    1. des ressortissantes ou ressortissants étrangers habilités ont l’habitude d’exécuter les activités de maintenance et de diagnostic sur des systèmes classifiés seulement lorsque ceux-ci sont possédés et exploités à la fois par le gouvernement canadien et des gouvernements étrangers alliés, ou uniquement par des gouvernements étrangers alliés
    2. les approbations, les consentements et les modalités opérationnelles détaillées concernant l’emploi de ressortissantes et ressortissants étrangers pour mener des activités de maintenance et de diagnostic sur des systèmes classifiés sont bien documentés dans un protocole d’entente
  • Discussion : Le personnel qui effectue des activités de maintenance et de diagnostic sur les systèmes organisationnels peut être exposé à de l’information classifiée. Si des citoyennes ou citoyens non canadiens sont autorisés à effectuer des activités de maintenance et de diagnostic sur des systèmes classifiés, alors des mesures de contrôles additionnelles sont nécessaires pour s’assurer que les ententes et les restrictions sont respectées.
  • Contrôles et activités connexes : PS-03.
• (05) Personnel de maintenance : Maintenance non liée aux systèmes
  • L’organisation s’assure que les personnes non accompagnées exécutant des activités de maintenance qui ne sont pas directement liées au système, mais qui sont réalisées à proximité du système, détiennent les autorisations d’accès appropriés.
  • Discussion : Les personnes exécutant des activités de maintenance qui ne sont pas directement liées au système comprennent le personnel d’entretien des installations et le personnel de nettoyage.
  • Contrôles et activités connexes : Aucun.

Références

SCAP, Manuel de la sécurité des contrats, Chapitre 6 : Manipulation et protection de renseignements et de biens

MA-06 Maintenance opportune

Contrôle

Obtenir des services de maintenance et/ou des pièces de rechange pour les [Affectation : composants de systèmes définis par l’organisation] dans les [Affectation : délais définis par l’organisation] qui suivent la panne.

Discussion

Les organisations précisent les composants des systèmes qui représentent un risque accru pour les activités et les biens de l’organisation, les personnes, les autres organisations ou le Canada lorsque les fonctionnalités de ces composants ne sont pas opérationnelles. Les mesures que prend l’organisation pour obtenir des services de maintenance comprennent la mise en place de contrats appropriés.

Contrôles et activités connexes

CM-08, CP-02, CP-07, RA-07, SA-15, SI-13, SR-02, SR-03 et SR-04.

Améliorations

• (01) Maintenance opportune : Maintenance préventive
  • L’organisation effectue la maintenance préventive des [Affectation : composants de systèmes définis par l’organisation] tous les [Affectation : intervalles définis par l’organisation].
  • Discussion : La maintenance préventive comprend l’entretien courant et la réparation des composants des systèmes pour assurer que l’équipement organisationnel et les installations fonctionnent de façon satisfaisante. Cette maintenance permet systématiquement d’inspecter, de tester, de mesurer et d’ajuster l’équipement, de remplacer des pièces ainsi que de détecter et de corriger les pannes avant qu’elles se produisent ou avant qu’elles se transforment en problèmes majeurs.
    La maintenance préventive vise principalement à éviter ou à atténuer les conséquences des pannes d’équipement. Elle est conçue afin de préserver et de rétablir la fiabilité de l’équipement grâce au remplacement de vieux composants avant qu’ils cessent de fonctionner.
    Les méthodes à appliquer permettant de déterminer les politiques de gestion préventive des pannes (ou autre) comprennent les recommandations du constructeur, les enregistrements statistiques de panne, l’opinion d’une ou un spécialiste, la maintenance réalisée sur de l’équipement similaire, les exigences du code, les lois ou les règlements dans une juridiction, ou les valeurs mesurées et les indicateurs de rendement.
  • Contrôles et activités connexes : Aucun.
• (02) Maintenance opportune : Maintenance prévisionnelle
  • Effectuer la maintenance prédictive des [Affectation : composants de systèmes définis par l’organisation] tous les [Affectation : intervalles définis par l’organisation].
  • Discussion : La maintenance prédictive sert à évaluer l’état de l’équipement en surveillant l’état de façon périodique ou continue (en ligne). Elle vise à effectuer la maintenance au moment prévu où les activités de maintenance sont les plus efficaces et avant que le rendement de l’équipement diminue dans un seuil.
    La composante prévisionnelle découle de l’objectif selon lequel il faut prédire la tendance future en ce qui a trait à l’état de l’équipement. Cette approche utilise des principes de contrôle statistique du processus en vue de déterminer le moment où les activités de maintenance future seront appropriées. Les inspections de maintenance les plus prévisionnelles sont réalisées lorsque l’équipement est en service, ce qui réduit la perturbation des opérations normales du système. La maintenance prévisionnelle peut entraîner des économies considérables ainsi qu’une meilleure fiabilité système.
  • Contrôles et activités connexes : Aucun.
• (03) Maintenance opportune : Soutien automatisé pour la maintenance prévisionnelle
  • Transférer les données de maintenance prédictive à un système de gestion de la maintenance au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
  • Discussion : Un système informatisé de gestion des activités de maintenance tient une base de données de l’information sur les activités de maintenance des organisations et automatise le traitement des données sur l’état de l’équipement afin de déclencher la planification, l’exécution et les rapports des activités de maintenance.
  • Contrôles et activités connexes : Aucun.

Références

Aucune.

MA-07 Maintenance sur site

Contrôle

Limiter ou interdire la maintenance sur site des [Affectation : systèmes ou composants de systèmes définis par l’organisation] dans les [Affectation : installations de maintenance de confiance définies par l’organisation].

Discussion

La maintenance sur site est le type de maintenance effectuée sur un système ou un composant de système après que le système ou le composant ait été déployé dans un site particulier (c’est-à-dire un environnement opérationnel). Dans certains cas, la maintenance sur site (c’est-à-dire la maintenance locale qui se fait sur un site) peut ne pas être effectuée avec la même rigueur ou les mêmes vérifications de contrôle de la qualité que pour la maintenance au référentiel. Pour ce qui est des systèmes désignés comme étant essentiels par l’organisation, il peut s’avérer nécessaire de limiter ou d’interdire la maintenance sur site au site local, et une telle maintenance devrait être menée dans des installations de confiance avec des contrôles additionnels.

Contrôles et activités connexes

MA-02, MA-04 et MA-05.

Améliorations

Aucune.

Références

Aucune.