Sélection de la langue

Government of Canada / Gouvernement du Canada

Sécurité du personnel

Précédent

Sur cette page

 

Les contrôles et les activités de la famille Sécurité du personnel (PS pour Personnel Security) appuient les procédures requises pour s’assurer que le personnel ayant accès aux systèmes dispose des autorisations nécessaires et des niveaux d’habilitation de sécurité appropriés. Ils contribuent à protéger l’information organisationnelle et les systèmes durant et après les actions du personnel, par exemple après une cessation d’emploi ou une mutation.

PS-01 Politique et procédures de sécurité du personnel

Activité

  1. A. Développer, documenter et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
    1. une politique de sécurité du personnel [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
    2. des procédures facilitant la mise en œuvre des politiques de sécurité du personnel et des contrôles de sécurité du personnel connexes
  2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures liées à la sécurité du personnel
  3. Passer en revue et mettre à jour, par rapport à la sécurité du personnel,
    1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
    2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

La politique et les procédures de sécurité du personnel abordent les contrôles de la famille PS qui ont été mis en œuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à leur élaboration.

En règle générale, les politiques et les procédures liées au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin pour des politiques et des procédures propres à la mission ou au système. La politique peut être intégrée à la politique générale sur la sécurité et la protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations.

Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission ou aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts.

Les événements qui peuvent précipiter une mise à jour de la politique et des procédures de sécurité du personnel comprennent, sans s’y limiter, les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.

Contrôles et activités connexes

PM-09, PS-08, SI-02 et SI-12.

Améliorations

Aucune.

Références

Haut de la page 
 

PS-02 Analyse de sécurité des postes

Contrôle

  1. Déterminer les exigences en matière de filtrage de sécurité pour tous les postes de l’organisation
  2. Établir les critères de sélection des personnes occupant ces postes
  3. Passer en revue et mettre à jour l’exigence en matière de filtrage de sécurité [Affectation : fréquence définie par l’organisation]

Discussion

Les exigences en matière de filtrage de sécurité sont conformes à la politique et à l’orientation du SCT. Une désignation appropriée des postes permettra d’assurer l’efficacité et la pertinence uniforme du programme de sécurité du personnel. Les critères pour déterminer les exigences en matière de filtrage de sécurité sont établis conformément à l’Outil d’analyse des postes et à l’orientation fournie par le SCT. Le niveau du filtrage de sécurité et les autorisations d’accès sont déterminés par les fonctions à effectuer, la sensibilité de l’information, des installations et des biens auxquels il sera possible d’accéder, au niveau d’autorité ou de contrôle exercé par la ou le titulaire du poste, et au degré de préjudice qui pourrait résulter de la compromission de l’information sensible, des installations ou des biens auxquels il sera possible d’accéder. Les résultats de l’analyse de sécurité des postes déterminent le niveau de la demande, les vérifications requises et les évaluations à effectuer pour un poste.

Contrôles et activités connexes

AC-05, AT-03, PE-02, PE-03, PL-02, PS-03, PS-06, SA-05, SA-21 et SI-12.

Améliorations

Aucune.

Références

Haut de la page 
 

PS-03 Filtrage de sécurité du personnel

Contrôle

  1. Procéder au filtrage de sécurité des personnes avant de leur accorder l’accès au système
  2. Effectuer une nouvelle enquête de sécurité lorsque [Affectation : liste définie par l’organisation des conditions qui exigent un nouveau filtrage de sécurité et de la fréquence de ce filtrage, le cas échéant]

Discussion

Les activités liées aux deux types de filtrage reflètent les lois, les décrets, les directives, la réglementation, les politiques, les normes et les lignes directrices applicables, ainsi que les critères établis pour la désignation des risques associés au poste concerné. Les exemples de filtrage de sécurité du personnel comprennent les enquêtes sur les antécédents et la vérification des antécédents effectuée par des tiers. L’organisation peut définir différentes conditions et fréquences pour un nouveau filtrage du personnel qui accède aux systèmes selon le type d’information traitée, stockée ou transmise.

Contrôles et activités connexes

AC-02, IA-04, MA-05, PE-02, PM-12, PS-02, PS-06, PS-07 et SA-21.

Améliorations

  • (01) Filtrage de sécurité du personnel : Information classifiée
    • S’assurer que chaque utilisatrice ou utilisateur d’un système qui traite, stocke ou transmet de l’information classifiée a une habilitation et un endoctrinement au plus haut niveau de classification de l’information à laquelle il a accès dans le système.
    • Discussion : Aucune.
    • Discussion au sein du GC : L’information classifiée est l’information la plus sensible qui est traitée, stockée ou transmise par le GC. Il est impératif que les personnes soient titulaires de l’habilitation de sécurité et des autorisations nécessaires pour accéder aux systèmes avant d’obtenir accès à une telle information. Les autorisations d’accès sont imposées par les contrôles d’accès des systèmes (voir le contrôle AC-03) et les contrôles des flux (voir le contrôle AC-04).
    • Contrôles et activités connexes : AC-03, AC-04.
  • (02) Filtrage de sécurité du personnel : Endoctrinement officiel
    • S’assurer que chaque utilisatrice ou utilisateur d’un système qui traite, stocke ou transmet des types d’information classifiée pour lesquels il faut suivre une séance d’endoctrinement officielle est officiellement endoctriné pour tous les types d’information pertinents auxquels il a accès sur le système.
    • Discussion : Aucune.
    • Discussion au sein du GC : Les types d’information classifiée qui exigent un endoctrinement officiel comprennent les données du programme à accès spéciaux (SAP pour Special Access Program), les données à diffusion restreinte (RD pour Restricted Data) et les informations sensibles cloisonnées (SCI pour Sensitive Compartmented Information).
    • Contrôles et activités connexes : AC-03 et AC-04.
  • (03) Filtrage de sécurité du personnel : Information exigeant des mesures de protection spéciales
    • Vérifier si les personnes qui accèdent à un système qui traite, stocke ou transmet de l’information exigeant une protection spéciale
      1. possèdent une autorisation d’accès valide attestée par les fonctions gouvernementales officielles qui leur ont été assignées
      2. satisfont aux [Affectation : critères additionnels de filtrage de sécurité du personnel définis par l’organisation]
    • Discussion : Aucune.
    • Discussion au sein du GC : L’information organisationnelle qui exige une protection spéciale comprend l’information protégée. Les critères de sécurité du personnel comprennent les exigences de vérification des antécédents selon la sensibilité du poste.
    • Contrôles et activités connexes : Aucun.
  • (04) Filtrage de sécurité du personnel : Exigences relatives à la citoyenneté
    • Vérifier si les personnes qui accèdent à un système qui traite, stocke ou transmet [Affectation : types d’information définis par l’organisation] satisfont aux [Affectation : exigences relatives à la citoyenneté définies par l’organisation].
    • Discussion : Aucune.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

PS-04 Cessation d’emploi du personnel

Contrôle

Lors de la cessation d’emploi d’une employée ou un employé

  1. désactiver l’accès au système dans une période de [Affectation : période définie par l’organisation]
  2. mettre fin ou révoquer tous les authentifiants et les justificatifs d’identité associés à la personne
  3. effectuer une entrevue de fin d’emploi et mener une discussion sur [Affectation : sujets liés à la sécurité de l’information définis par l’organisation]
  4. récupérer toutes les propriétés liées à la sécurité et à un système organisationnel
  5. conserver l’accès à l’information et aux systèmes précédemment contrôlés par la personne concernée

Discussion

Les propriétés système comprennent les jetons d’authentification matériels, les manuels techniques d’administration de système, les clés, les cartes d’identité et les laissez-passer de l’édifice. Les entrevues de fin d’emploi permettent de s’assurer que les personnes concernées comprennent les contraintes de sécurité auxquelles elles doivent se soumettre à titre d’anciennes employées et anciens employés et leurs responsabilités à l’égard des biens associés au système. Lors des entrevues de fin d’emploi, l’équipe de la Sécurité veille à rappeler aux employées et employés leur acceptation des ententes de non-divulgation et les éventuelles limitations professionnelles dont ils pourraient faire l’objet. Il se peut qu’il soit impossible de procéder aux entrevues de départ pour certaines employées et certains employés, y compris dans les cas de non-disponibilité des superviseures et superviseurs, de maladie ou d’abandon de poste.

Une exécution rapide des mesures de cessation d’emploi est essentielle dans les cas de congédiement pour motif valable. Dans certaines situations, l’organisation devrait envisager de désactiver les comptes de système des employées et employés ayant été congédiés avant même qu’ils ne soient informés.

Discussion au sein du GC

Les entrevues de fin d’emploi sont importantes dans le cas des personnes qui possèdent une habilitation de sécurité. Les DPS ou les cadres supérieures et supérieurs désignés doivent mettre en place des procédures en consultation avec les conseillères et conseillers des ressources humaines et veiller à ce que les séances d’information et les revendications soient planifiées et effectuées comme une composante d’un processus global de cessation d’emploi. Le Certificat de filtrage de sécurité et le formulaire de contrôle sont utilisés pour indiquer que les procédures de départ ont été effectuées.

Contrôles et activités connexes

AC-02, IA-04, PE-02, PM-12, PS-06 et PS-07.

Améliorations

  • (01) Cessation d’emploi du personnel : Exigences régissant l’après-mandat
      1. Informer les personnes ayant quitté leur emploi des exigences applicables régissant l’après-mandat auxquelles elles sont tenues par la loi de se conformer pour protéger l’information de l’organisation
      2. Exiger que les personnes ayant quitté leur emploi signent un avis de reconnaissance des exigences régissant l’après-mandat dans le cadre du processus organisationnel de cessation d’emploi
    • Discussion : Aucune.
    • Discussion au sein du GC : Conformément à la norme du SCT, les personnes ayant quitté leur emploi devront se soumettre à une séance d’information dans le cadre de laquelle elles seront informées de leur obligation continue de maintenir le caractère confidentiel de l’information délicate à laquelle elles ont eu accès.
    • Contrôles et activités connexes : Aucun.
  • (02) Cessation d’emploi du personnel : Opérations automatisées
    • Utiliser des [Affectation : mécanismes automatisés définis par l’organisation] pour [Sélection (un choix ou plus) : informer [Affectation : personnel ou rôles définis par l’organisation] des mesures de cessation d’emploi; désactiver l’accès aux ressources des systèmes].
    • Discussion : Dans les organisations qui comptent un grand nombre d’employées et employés, le personnel qui doit être mis au courant des mesures associées à la cessation d’emploi d’une ou un employé ne reçoit pas toujours les notifications appropriées ou ne les reçoit pas dans des délais opportuns.
      Des mécanismes automatisés peuvent être utilisés pour envoyer des alertes ou des notifications automatiques au personnel ou aux rôles de l’organisation lorsque des personnes font l’objet d’une cessation d’emploi. Ces alertes ou notifications peuvent être acheminées de différentes façons, que ce soit par téléphone, par courriel, par message texte ou par l’entremise d’un site Web. Des mécanismes automatisés peuvent également être employés pour désactiver rapidement et entièrement l’accès aux ressources des systèmes lors de la cessation d’emploi d’une ou un employé.
    • Contrôles et activités connexes : Aucun.
  • (400) Cessation d’emploi du personnel : Astreint au secret à perpétuité
    • Transmettre les données sur le formulaire Registre d’une personne d’un ministère ou organisme mentionné à l’annexe en application de la Loi sur la protection de l’information (LPI) au Service canadien du renseignement de sécurité (SCRS).
    • Discussion : Aucune.
    • Discussion au sein du GC : Dans le cadre du processus de fin d’emploi ministériel, si l’employée, l’employé ou la ou le membre du personnel n’a pas déjà été inscrit dans le registre central du SCRS, l’organisme mentionné à l’annexe en application de la LPI devrait acheminer les données au SCRS. Une personne qui fait l’objet d’une cessation d’emploi sans avoir été astreinte au secret à perpétuité durant son emploi peut être désignée comme telle à la fin de son emploi si on détermine qu’il convient de le faire dans l’intérêt de la sécurité nationale. Si la décision a été prise de recommander à l’administratrice générale ou administrateur général de désigner une ancienne ou un ancien membre du personnel ou employé, il conviendra de suivre les procédures de désignation par avis.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

PS-05 Transfert du personnel

Contrôle

  1. Examiner et confirmer les exigences opérationnelles liées aux autorisations d’accès physique et logique existantes aux systèmes et aux installations lorsque des employées et employés sont réaffectés ou transférés à d’autres postes au sein de l’organisation
  2. Amorcer [Affectation : mesures de transfert ou de réaffectation définies par l’organisation] dans les [Affectation : délais définis par l’organisation suivant la prise de mesures de transfert officielles]
  3. Modifier au besoin les autorisations d’accès afin de tenir compte de toute modification apportée aux exigences opérationnelles en raison d’une réaffectation ou d’un transfert
  4. Informer [Affectation : personnel ou rôles définis par l’organisation] dans les [Affectation : délais définis par l’organisation]

Discussion

Le transfert de personnel s’applique dans les cas où la réaffectation ou le transfert d’une ou un employé est permanent ou d’une durée qui justifie les mesures requises. De plus, l’organisation définit les mesures appropriées pour le type de réaffectation ou de transfert, qu’il soit permanent ou prolongé. Ces mesures comprennent le retour et le remplacement des anciens laissez-passer, cartes d’identité et clés, la fermeture des comptes de système et l’établissement de nouveaux, la modification des autorisations d’accès aux systèmes (c’est-à-dire, les privilèges) et l’octroi des accès aux dossiers officiels auxquels l’employée ou employé avait accès dans les lieux de travail précédents et au moyen des comptes de système précédents.

Contrôles et activités connexes

AC-02, IA-04, PE-02, PM-12, PS-04 et PS-07.

Améliorations

  • (400) Transfert du personnel : Autorisation de sécurité
      1. Accepter la cote de fiabilité ou l’habilitation de la personne lorsque le niveau de celle qui est exigée est équivalent ou inférieur au niveau précédemment accordé
      2. Refaire le processus de filtrage de sécurité lorsque
        1. les résultats remontent à plus de cinq ans
        2. la preuve indique que le filtrage de sécurité n’a pas été fait précédemment conformément à la Norme sur le filtrage de sécurité du SCT
        3. une dispense de sécurité est jointe à la cote ou à l’autorisation
        4. les résultats des enquêtes sur l’exécution de la loi et des évaluations de sécurité ont été retirés du dossier de la personne concernée
        5. des renseignements défavorables figurant au dossier pourraient poser un risque de sécurité pour le ministère ou l’organisme d’arrivée
    • Discussion : Aucune.
    • Discussion au sein du GC : Si le nouveau poste exige un filtrage approfondi, il convient d’évaluer le filtrage de sécurité en conséquence. Il pourrait être nécessaire de procéder à des enquêtes, à des vérifications ou à des évaluations supplémentaires afin de se conformer aux exigences relatives à la cote ou à l’habilitation.
    • Contrôles et activités connexes : PS-03.

Références

Haut de la page 
 

PS-06 Ententes d’accès

Contrôle

  1. Élaborer et documenter les ententes d’accès aux systèmes organisationnels
  2. Passer en revue et mettre à jour les ententes d’accès [Affectation : fréquence définie par l’organisation]
  3. S’assurer que les personnes qui ont besoin d’accéder à l’information et aux systèmes de l’organisation
    1. signent les ententes d’accès appropriées avant qu’on leur accorde l’accès
    2. signent de nouveau les ententes d’accès pour conserver l’accès aux systèmes de l’organisation lorsque les ententes d’accès sont mises à jour ou [Affectation : fréquence définie par l’organisation]

Discussion

Les ententes d’accès comprennent les accords de non-divulgation, les ententes d’utilisation acceptable, les règles de conduite et les accords régissant les conflits d’intérêts. Une entente d’accès signée comprend une attestation que la personne a lu et compris les contraintes associées aux systèmes organisationnels auxquels on lui a accordé l’accès et qu’elle accepte de s’y conformer. Les signatures électroniques sont admises pour l’acceptation d’ententes d’accès, à moins d’être expressément interdites par les politiques de l’organisation.

Contrôles et activités connexes

AC-17, PE-02, PL-04, PS-02, PS-03, PS-06, PS-07, PS-08, SA-21 et SI-12.

Améliorations

  • (01) Ententes d’accès : Information exigeant une protection spéciale
    • Annulé : Intégré au contrôle PS-03.
  • (02) Ententes d’accès : Information classifiée exigeant une protection spéciale
    • S’assurer que l’accès à l’information classifiée exigeant une protection spéciale est accordée uniquement aux personnes qui
      1. possèdent une autorisation d’accès valide attestée par les responsabilités gouvernementales officielles qui leur ont été conférées
      2. satisfont aux critères connexes de sécurité du personnel
      3. ont lu, compris et signé une entente de non-divulgation
    • Discussion : Aucune.
    • Discussion au sein du GC : L’information classifiée qui exige une protection spéciale comprend l’information de source secondaire, l’information tirée d’un programme à accès spéciaux (SAP pour Special Access Program) et les informations sensibles cloisonnées (SCI pour Sensitive Compartmented Information). Les critères de la sécurité du personnel sont conformes aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables.
    • Contrôles et activités connexes : Aucun.
  • (03) Ententes d’accès : Exigences régissant l’après-mandat
      1. Informer les employées et employés des exigences applicables régissant l’après-mandat auxquelles elles sont tenues par la loi de se conformer pour protéger l’information de l’organisation
      2. Exiger que les employées et employés attestent par écrit de ces exigences, le cas échéant, au moment d’accorder l’accès à l’information concernée
    • Discussion : Organizations comply with applicable laws, Orders in Council, directives, regulations, policies, standards, and guidelines regarding matters of post-employment requirements on terminated individuals.
    • Contrôles et activités connexes : PS-04.

Références

SCT, Directive sur le filtrage de sécurité – Annexe G : Procédures obligatoires relatives à l’octroi, au maintien et à l’assurance du filtrage de sécurité d’une personne Suivi

Haut de la page 
 

PS-07 Sécurité du personnel externe

Contrôle

  1. Définir les exigences liées à la sécurité du personnel, y compris les rôles et responsabilités des fournisseurs externes
  2. Exiger que les fournisseurs externes se conforment aux stratégies et aux procédures en matière de sécurité du personnel mises en place par l’organisation
  3. Documenter les exigences en matière de sécurité du personnel
  4. Exiger que les fournisseurs externes informent [Affectation : personnel ou rôles définis par l’organisation] du transfert ou de la cessation d’emploi de toute employée ou tout employé de tierces parties qui possède des justificatifs d’identité et/ou des laissez-passer de l’organisation, ou dispose de privilèges d’accès au système dans les [Affectation : délais définis par l’organisation]
  5. Surveiller la conformité des fournisseurs aux exigences en matière de sécurité du personnel
  6. S’assurer que les organisations et les personnes du secteur privé qui ont accès à l’information, aux installations et aux biens protégés et classifiés font l’objet d’un filtrage de sécurité, conformément à la Norme sur le filtrage de sécurité du SCT
  7. Définir explicitement la surveillance gouvernementale et les rôles et responsabilités d’utilisatrice finale ou utilisateur final relativement aux services fournis par des tiers, conformément à la publication du SCT, Directive sur la gestion de la sécurité – Annexe F : Procédures obligatoires relatives aux mesures de sécurité lors de l’octroi de contrats et d’autres ententes

Discussion

Par fournisseurs externes, on entend les organisations autres que celle qui exploite ou acquiert le système. Les fournisseurs externes comprennent les bureaux de service, les entrepreneures et entrepreneurs, et les autres organisations qui assurent le développement des systèmes ou fournissent des services de TI, de test ou d’évaluation, ainsi que les applications externalisées et la gestion du réseau ou de la sécurité. Les organisations incluent explicitement les exigences en matière de sécurité du personnel dans les documents d’approvisionnement. Le personnel des fournisseurs externes peut travailler dans les installations de l’organisation si cette dernière lui remet des justificatifs d’identité, des laissez-passer ou des privilèges d’accès aux systèmes.

Les avis envoyés advenant des changements au niveau du personnel externe permettent d’assurer l’annulation opportune des privilèges d’accès et des justificatifs d’identité. Les organisations déterminent quels seront les transferts et les cessations d’emploi à signaler en fonction de caractéristiques de sécurité comme les fonctions, les rôles et la nature des justificatifs d’identité et des privilèges associés aux personnes qui font l’objet du transfert ou de la cessation d’emploi.

Contrôles et activités connexes

AT-02, AT-03, MA-05, PE-03, PS-02, PS-03, PS-04, PS-05, PS-06, SA-05, SA-09 et SA-21.

Améliorations

Aucune.

Références

Haut de la page 
 

PS-08 Sanctions imposées au personnel

Contrôle

  1. Utiliser un processus formel de sanctions pour le personnel qui ne se conforme pas aux stratégies et aux procédures de sécurité et de protection de la vie privée de l’information qui ont été établies
  2. Informer [Affectation : personnel ou rôles définis par l’organisation] dans les [Affectation : délais définis par l’organisation] lorsque le processus formel de sanctions est amorcé et indique qui est l’employée ou employé sanctionné et les motifs de la sanction

Discussion

Aucune.

Discussion au sein du GC

Les sanctions de l’organisation sont conformes aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Les processus de sanctions sont décrits dans des ententes d’accès et peuvent être incorporés aux politiques et procédures générales sur le personnel de l’organisation et/ou pris en compte dans les stratégies de sécurité et de protection de la vie privée. Les organisations devraient consulter le SCT pour les questions liées aux sanctions des employées et employés.

Contrôles et activités connexes

PL-04, PM-12, PS-06 et PT-01.

Améliorations

Aucune.

Références

SCT, Lignes directrices concernant la discipline

Haut de la page 
 

PS-09 Descriptions de poste

Activité

Intégrer les rôles et les responsabilités en matière de sécurité et de protection de la vie privée aux descriptions de postes de l’organisation.

Discussion

Préciser les rôles liés à la sécurité et à la protection de la vie privée dans les descriptions de postes du personnel de l’organisation aide à clarifier les responsabilités associées aux rôles à ce sujet, ainsi que les exigences en matière de formation sur la sécurité et la protection de la vie privée basées sur les rôles.

Contrôles et activités connexes

Aucune.

Améliorations

Aucune.

Références

SCT, Directive sur la classification – Annexe B : Norme sur la classification

 
Précédent
Date de modification :