Sélection de la langue

Government of Canada / Gouvernement du Canada

Sensibilisation et formation

Précédent

Sur cette page

 

Les contrôles et les activités dans la famille de sensibilisation et de formation (AT pour Awareness and Training) concernent la sensibilisation des utilisatrices et utilisateurs à la sécurité du système.

AT-01 Politique et procédures de sensibilisation et de formation

Activité

  1. Développer, consigner et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
    1. une politique de sensibilisation et de formation [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, à la jurisprudence, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
    2. Procédures pour faciliter la mise en œuvre de la politique de sensibilisation et de formation ainsi que des contrôles de sensibilisation et de formation connexes
  2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures de sensibilisation et de formation
  3. Passer en revue et mettre à jour, par rapport à la sensibilisation et à la formation,
    1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
    2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

La politique et les procédures de sensibilisation et de formation abordent les contrôles de la famille AT qui ont été mis en œuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement des telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à l’élaboration de la politique et des procédures de sensibilisation et de formation. En règle générale, les politiques et les procédures liées au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin de politiques et de procédures propres à la mission ou au système. L’approche à l’égard de la sensibilisation et de la formation peut être intégrée à la stratégie générale sur la sécurité et la protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations.

Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission et aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts.

Les événements qui peuvent précipiter une mise à jour de la politique et des procédures de sensibilisation et de formation comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.

Contrôles et activités connexes

PM-09, PS-08, SI-02 et SI-12.

Améliorations

Aucune.

Références

Haut de la page 
 

AT-02 Formation et sensibilisation en matière de sécurité

Contrôle

  1. Fournir une formation sur la sécurité et la protection de la vie privée aux utilisatrices et utilisateurs du système (y compris les gestionnaires, les cadres supérieures et supérieurs et les entrepreneures et entrepreneurs)
    1. dans le cadre d’une formation de base pour les nouvelles utilisatrices et nouveaux utilisateurs, et tous les [Affectation : fréquence définie par l’organisation] par la suite
    2. lors de changements apportés au système ou à la suite de [Affectation : événements définis par l’organisation]
  2. Utiliser les techniques suivantes pour accroître la sensibilisation à la sécurité et à la protection de la vie privée des utilisatrices et utilisateurs du système [Affectation : techniques de sensibilisation définies par l’organisation]
  3. Mettre à jour le contenu de la formation et sensibilisation en matière de sécurité tous les [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
  4. Incorporer les leçons apprises des incidents ou des violations de sécurité internes ou externes dans les techniques de formation et sensibilisation en matière de sécurité

Discussion

Les organisations peuvent fournir des niveaux de base et avancés de formation sur la sécurité aux utilisatrices et utilisateurs, y compris des mesures visant à tester leur niveau de connaissance. Selon les besoins, les organisations peuvent apporter un complément au contenu de la formation et de la sensibilisation à la sécurité en fonction de leurs exigences organisationnelles particulières, des systèmes auxquels le personnel a accès et des environnements de travail (par exemple, le télétravail). Le contenu devrait comprendre une présentation des besoins de sécurité et de protection de la vie privée ainsi que les mesures que doivent prendre les utilisatrices et utilisateurs afin de maintenir la sécurité et de protéger les renseignements personnels et d’intervenir en cas d’incident soupçonné. Le contenu devrait inclure les mesures nécessaires en matière de sécurité opérationnelle et de traitement des renseignements personnels.

Les techniques de sensibilisation comprennent des affiches, des objets affichant des rappels de sécurité et de protection de la vie privée, des messages au moment de la connexion, des avis envoyés par courriel ou de la part des responsables de l’organisation et des événements de sensibilisation. La formation sur la sécurité suivant la formation initiale décrite dans l’AT-02A.1, est menée à une fréquence conforme aux lois, aux directives, à la réglementation et aux politiques applicables. Une formation ultérieure sur la sécurité peut prendre la forme de courtes séances occasionnelles et comprendre de l’information ponctuelle sur de récents plans d’attaque, des changements apportés aux stratégies en matière de sécurité et de protection de la vie privée de l’organisation, des attentes révisées concernant la sécurité et la protection de la vie privée ou un sous-ensemble de sujets tirés de la formation initiale.

La mise à jour périodique du contenu de formation et de sensibilisation aide à s’assurer que le contenu reste pertinent. Les événements qui peuvent précipiter une mise à jour du contenu de la formation comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables.

Discussion au sein du GC : Les organisations fournissent un contenu sur la protection de la vie privée qui couvre, au minimum, les éléments abordés dans les procédures obligatoires relatives à la formation sur la protection de la vie privée de la Directive sur les demandes de renseignements personnels et de correction des renseignements personnels du SCT.

Contrôles et activités connexes

AC-03, AC-17, AC-22, AT-03, AT-04, CP-03, IA-04, IR-02, IR-07, IR-09, PL-04, PM-13, PM-21, PS-07, PT-02, SA-08, SA-16 et SA-400.

Améliorations

  • (01) Formation et sensibilisation en matière de sécurité : Exercices pratiques
    • Fournir des exercices pratiques en formation en matière de sécurité qui simulent des événements et des incidents.
    • Discussion : Les exercices pratiques peuvent comprendre des tentatives sans préavis de collecte d’information par des mécanismes de piratage psychologique, des accès non autorisés ou des simulations de conséquences négatives associées à l’ouverture de pièces jointes malveillantes ou à l’utilisation de liens vers des sites Web malveillants découlant d’attaques de harponnage.
    • Contrôles et activités connexes : CA-02, CA-07, CP-04 et IR-03.
  • (02) Formation et sensibilisation en matière de sécurité : Menace interne
    • Fournir une formation en matière de sécurité pour que le personnel sache reconnaître les indicateurs potentiels de menace interne et pour qu’il les signale.
    • Discussion : Les indicateurs potentiels et les possibles signes précurseurs d’une menace interne peuvent comprendre des comportements comme les suivants : des comportements excessifs, de l’insatisfaction de longue durée en ce qui a trait à son travail, des tentatives d’accès à de l’information inutile dans le cadre de ses tâches, des accès inexpliqués à des ressources financières, de l’intimidation ou du harcèlement envers des collègues, de la violence en milieu de travail et d’autres manquements graves aux politiques, aux procédures, aux directives, aux règlements, aux règles ou aux pratiques.
      La formation en matière de sécurité et de protection de la vie privée porte notamment sur la façon dont les membres du personnel et de la direction peuvent communiquer leurs préoccupations concernant des indicateurs potentiels de menace interne conformément aux stratégies et aux procédures organisationnelles établies. Les organisations peuvent adapter le sujet de la sensibilisation aux menaces internes en fonction du rôle. Par exemple, la formation des gestionnaires peut se concentrer sur les changements dans les comportements des membres de l’équipe, alors que la formation des employées et employés peut porter sur des observations plus générales.
    • Contrôles et activités connexes : PM-12.
  • (03) Formation et sensibilisation en matière de sécurité : Piratage psychologique et exploration de données
    • Fournir une formation en matière de sécurité pour que le personnel sache reconnaître les indicateurs potentiels et réels de piratage psychologique et de l’exploration de données dans les médias sociaux.
    • Discussion : Le piratage psychologique vise à tromper une personne pour l’inciter à révéler de l’information ou à faire une opération pouvant servir à s’introduire dans un système, à le compromettre ou à nuire à un système. Le piratage psychologique comprend l’hameçonnage, le faux-semblant, l’usurpation d’identité, l’appâtage, l’arnaque de la contrepartie, le détournement de chaînes de courriels, l’exploitation des médias sociaux et le talonnage. L’exploration de données dans les médias sociaux vise à recueillir de l’information à propos de l’organisation qui pourrait servir à appuyer des attaques à venir. La formation en matière de sécurité et de protection de la vie privée porte notamment sur la façon dont les membres du personnel et de la direction peuvent communiquer leurs préoccupations concernant des instances réelles et potentielles de piratage psychologique et d’exploration de données, au moyen des voies de communication de l’organisation, conformément aux stratégies et aux procédures établies.
    • Contrôles et activités connexes : Aucun.
  • (04) Formation et sensibilisation en matière de sécurité : Communications suspectes et comportements anormaux de systèmes
    • Fournir une formation en matière de sécurité sur la façon de reconnaître les communications suspectes et les comportements anormaux dans les systèmes organisationnels au moyen [Affectation : indicateurs de programmes malveillants définis par l’organisation].
    • Discussion : Un effectif bien formé représente une autre mesure de protection pour les organisations, car il joue un rôle dans le cadre d’une stratégie de défense en profondeur en se protégeant contre des programmes malveillants qui tentent d’infiltrer les systèmes organisationnels par des courriels ou des applications Web. Le personnel est formé pour détecter les courriels potentiellement suspects (par exemple, réception de courriels inattendus, drôlement rédigés ou contenant des fautes de grammaire, ou provenant d’une expéditrice ou un expéditeur inconnu, qui semble être associé à une ou un partenaire ou à une entrepreneuse ou un entrepreneur connu). Le personnel reçoit également la formation nécessaire pour savoir quoi faire lorsqu’il reçoit ce type de courriels ou de communications Web suspects. Pour veiller au bon fonctionnement du processus, le personnel est bien formé et est mis au courant des caractéristiques des communications suspectes.
      Grâce à la formation qu’il reçoit pour détecter les comportements anormaux dans les systèmes, le personnel peut avertir rapidement l’organisation de la présence de programmes malveillants. En reconnaissant des comportements anormaux, le personnel de l’organisation peut servir de complément aux outils et aux systèmes que les organisations utilisent pour détecter les programmes malveillants et s’en protéger.
    • Contrôles et activités connexes : Aucun.
  • (05) Formation et sensibilisation en matière de sécurité : Menaces persistantes avancées
    • Fournir une formation en matière de sécurité sur les menaces persistantes avancées.
    • Discussion : Un moyen efficace de détecter des MPA et de prévenir la réussite des attaques est d’offrir au personnel une formation spécifique en matière de sécurité. La formation en matière de sécurité implique de faire connaître au personnel différents moyens qui permettent aux MPA d’infiltrer l’organisation (par exemple : par le biais de sites Web, de courriels, de fenêtres contextuelles de publicité, d’articles et de piratage psychologique). Une formation efficace comporte des techniques permettant de reconnaître des courriels suspects, l’utilisation de systèmes amovibles dans un milieu non sécurisé et la possibilité que des gens soient ciblés à la maison.
    • Contrôles et activités connexes : Aucun.
  • (06) Formation et sensibilisation en matière de sécurité : Environnement de cybermenaces
      1. Fournir une formation en matière de sécurité sur l’environnement de cybermenaces
      2. Refléter l’information actuelle sur les cybermenaces dans les opérations du système
    • Discussion : Étant donné que les menaces continuent d’évoluer, la formation en matière de sécurité de l’organisation est dynamique. De plus, la formation en matière de sécurité ne se fait pas en vase clos par rapport aux opérations du système qui soutiennent des fonctions liées à la mission et aux activités de l’organisation.
    • Contrôles et activités connexes : RA-03.

Références

Haut de la page 
 

AT-03 Formation selon le rôle

Contrôle

  1. Fournir une formation en sécurité et en protection de la vie privée basée sur les rôles au personnel détenant les rôles et responsabilités suivants : [Affectation : rôles et responsabilités définis par l’organisation]
    1. avant d’autoriser l’accès au système ou à de l’information, ou avant la réalisation des tâches attribuées et tous les [Affectation : fréquence définie par l’organisation] par la suite
    2. lorsque des changements apportés au système l’exigent
  2. Mettre à jour le contenu de la formation offerte selon le rôle tous les [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
  3. Incorporer les leçons apprises des incidents ou des violations de sécurité internes ou externes dans la formation axée sur les rôles

Discussion

Les organisations déterminent le contenu de la formation en tenant compte des rôles et des responsabilités des personnes, ainsi que des exigences de sécurité et de protection de la vie privée de l’organisation et des systèmes auxquels le personnel est autorisé à accéder, ce qui comprend la formation technique spécialement adaptée pour les tâches attribuées.

Parmi les rôles pouvant nécessiter une formation selon le rôle, notons les cadres supérieurs ou les dirigeantes principales et dirigeants principaux (par exemple, une ou un chef d’organisme/une ou un chef de la direction, une dirigeante principale ou un dirigeant principal de l’information, une ou un cadre supérieur responsable de la gestion des risques, une ou un cadre supérieur de la gouvernance, une haute ou un haut fonctionnaire ou cadre supérieure ou supérieur approprié en matière de protection de la vie privée), les propriétaires des systèmes, les autorités responsables; les responsables de la sécurité des systèmes; les agentes et agents de la protection des systèmes et de la vie privée; les responsables chargés de l’acquisition et de l’approvisionnement; les architectes d’entreprise; les ingénieures et ingénieurs de système; les développeuses et développeurs de logiciels; les ingénieures et ingénieurs en sécurité des systèmes; les praticiennes et praticiens de la protection de la vie privée; les administratrices et administrateurs de système, de réseau et de bases de données; les vérificatrices et vérificateurs; le personnel responsable des activités de gestion des configurations; le personnel responsable des activités de vérification et de validation; le personnel doté d’un accès logiciel de niveau système; les évaluatrices et évaluateurs des contrôles; le personnel ayant des tâches liées à la planification d’urgence et à l’intervention en cas d’incident; le personnel assumant des responsabilités liées à la gestion de la protection de la vie privée; et le personnel ayant accès aux renseignements personnels.

La formation complète axée sur les rôles concerne les rôles et les responsabilités techniques, opérationnels et de gestion qui sont associés aux contrôles physiques, techniques et du personnel. Une formation axée sur les rôles comporte également des stratégies, des procédures, des outils, des méthodes et des artéfacts qui sont adaptés aux rôles de sécurité et de protection de la vie privée définis. Dans le cadre de leur programme de sécurité et de protection de la vie privée, les organisations doivent également fournir la formation nécessaire afin que les personnes puissent s’acquitter de leurs responsabilités en matière de gestion des opérations et de la chaîne d’approvisionnement. La formation selon le rôle s’applique également aux entrepreneures et entrepreneurs qui fournissent des services aux organismes fédéraux.

Les types de formation comprennent la formation Web et assistée par ordinateur, la formation en classe ainsi que la formation pratique (incluant une microformation). Mettre à jour la formation selon le rôle sur une base régulière aide à s’assurer que le contenu demeure pertinent et efficace. Les événements qui peuvent précipiter une mise à jour du contenu de la formation comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables.

Discussion au sein du GC : Il faut s’assurer que les employées et employés des institutions fédérales reçoivent une formation sur la protection de la vie privée comme il est indiqué à l’annexe B de la Directive sur les demandes de renseignements personnels et de correction des renseignements personnels du SCT.

Contrôles et activités connexes

AC-03, AC-17, AC-22, AT-02, AT-04, CP-03, IR-02, IR-04, IR-07, IR-09, PL-04, PM-13, PM-23, PS-07, PS-09, SA-03, SA-08, SA-11, SA-16, SR-05, SR-06 et SR-11.

Améliorations

  • (01) Formation selon le rôle : Contrôles environnementaux
    • Offrir à [Affectation : personnel ou rôles définis par l’organisation] la formation initiale sur l’utilisation et le fonctionnement des contrôles environnementaux [Affectation : fréquence définie par l’organisation].
    • Discussion : Les contrôles environnementaux comprennent notamment les dispositifs ou les systèmes de suppression et de détection des incendies, les systèmes de gicleurs, les extincteurs manuels, les boyaux d’arrosage fixes, les détecteurs de fumée, les dispositifs de contrôle de la température et de l’humidité, le chauffage, la ventilation et la climatisation de même que l’alimentation dans les installations de l’organisation.
    • Contrôles et activités connexes : PE-01, PE-11, PE-13, PE-14 et PE-15.
  • (02) Formation selon le rôle : Contrôles de sécurité physiques
    • Offrir à [Affectation : personnel ou rôles définis par l’organisation] la formation initiale sur l’utilisation et le fonctionnement des contrôles environnementaux [Affectation : fréquence définie par l’organisation].
    • Discussion : Les contrôles de sécurité physique comprennent les dispositifs de contrôle d’accès physique, les avertisseurs d’intrusion physique et de détection, les procédures d’exploitation pour les gardiennes et gardiens de sécurité, et l’équipement de contrôle et de surveillance.
    • Contrôles et activités connexes : PE-02, PE-03 et PE-04.
  • (03) Formation selon le rôle : Exercices pratiques
    • Inclure dans la formation à la sécurité et protection de la vie privée des exercices pratiques qui renforcent les objectifs de formation.
    • Discussion : Les exercices pratiques comprennent une formation à la sécurité pour les développeuses et développeurs de logiciels, comportant des simulations d’attaques qui exploitent les vulnérabilités les plus courantes des logiciels ou d’attaques par harponnage visant des cadres supérieures et supérieurs. Les exercices pratiques d’une formation sur la protection de la vie privée comprennent des modules avec des jeux-questionnaires pour identifier des renseignements personnels, évaluer l’utilisation autorisée de l’information et des processus acceptables dans le traitement des renseignements personnels dans différents scénarios ou scénarios sur l’exécution d’une EFVP.
    • Contrôles et activités connexes : Aucun.
  • (04) Formation selon le rôle : Communications suspectes et comportements anormaux de systèmes
    • Annulé : Transféré sous le contrôle AT-02(4).
  • (05) Formation selon le rôle : Traitement des renseignements personnels
    • Offrir à [Affectation : personnel ou rôles définis par l’organisation] la formation initiale sur l’utilisation et le fonctionnement des contrôles de traitement des renseignements personnels et de transparence [Affectation : fréquence définie par l’organisation].
    • Discussion : Les contrôles de traitement des renseignements personnels et de transparence impliquent de déterminer l’autorité donnant droit à recueillir, à utiliser ou à communiquer des renseignements personnels ainsi qu’à communiquer aux personnes les pratiques de traitement de ceux-ci.
    • Discussion au sein du GC : La formation selon le rôle pour les ministères et les organismes du GC tient compte des définitions applicables, comme les types d’information pouvant constituer des renseignements personnels, ainsi que les risques, les considérations et les obligations associés à leur traitement. Une telle formation tient également compte du pouvoir en matière de collecte et d’utilisation de renseignements personnels documenté dans les énoncés et la politique de protection des renseignements personnels du SCT et propres aux institutions, les fichiers de renseignements personnels, les énoncés de confidentialité, l’évaluation des facteurs relatifs à la vie privée, la LPRP, les contrats, les accords d’échange de renseignements, le protocole d’entente ou tout autre document. La formation couvre les responsabilités des employées et employés en ce qui a trait à la gestion des renseignements personnels et à la gestion des atteintes à la vie privée. Elle aborde également le processus de traitement des plaintes et l’examen par les tribunaux du traitement que font les institutions du GC des renseignements personnels.
    • Contrôles et activités connexes : PT-02, PT-03, PT-05 et PT-06.

Références

Haut de la page 
 

AT-04 Dossiers de formation

Contrôle

  1. Consigner et surveiller les activités de formation en matière de sécurité et de protection de la vie privée de l’information, y compris la formation sur la sensibilisation à la sécurité et à la protection de la vie privée, et la formation en sécurité et en protection de la vie privée basée sur des rôles spécifiques
  2. Conserver les dossiers de formation individuels pendant [Affectation : délai défini par l’organisation]

Discussion

À la discrétion de l’organisation, chaque superviseur peut consigner les cours spécialisés que suit son personnel.

Discussion au sein du GC : Bibliothèque et Archives Canada donne des conseils sur la conservation des dossiers aux ministères et organismes du GC.

Contrôles et activités connexes

AT-02, AT-03, CP-03, IR-02, PM-14 et SI-12.

Améliorations

Aucune.

Références

Haut de la page 
 

AT-05 Contacts avec les groupes et associations de sécurité

Annulé : Intégré au contrôle PM-15.

Haut de la page 
 

AT-06 Rétroaction sur les formations suivies

Contrôle

Fournir une rétroaction sur les résultats de la formation organisationnelle au personnel suivant [Affectation : fréquence définie par l’organisation] : [Affectation : personnel désigné par l’organisation].

Discussion

La rétroaction sur les formations suivies inclut les résultats de la formation sur la sensibilisation et les résultats de la formation selon le rôle. Les résultats de la formation, plus particulièrement en ce qui a trait aux manquements du personnel occupant des rôles essentiels, peuvent révéler un problème potentiellement grave. Par conséquent, il est important que les cadres supérieures et supérieurs soient informés de ces situations pour qu’ils puissent intervenir de manière appropriée. La rétroaction sur les formations suivies soutient l’évaluation et la mise à jour de la formation organisationnelle décrite dans le contrôle AT-02B et le contrôle AT-03B.

Discussion au sein du GC : La collecte d’opinions et de points de vue personnels en lien à la formation fait partie de ce qui compose les renseignements personnels; un avis devrait donc être communiqué aux répondantes et répondants participant au processus de rétroaction.

Contrôles et activités connexes

Aucun.

Améliorations

Aucune.

Références

SCT, Directive sur les pratiques relatives à la protection de la vie privée

 
Précédent
Date de modification :