Gestion des risques en matière de sécurité et d’atteinte à la vie privée
Gestion des risques en matière de sécurité et d’atteinte à la vie privée
Sur cette page
Qu’est-ce que la gestion des risques en matière de sécurité et d’atteinte à la vie privée?
La gestion des risques en matière de sécurité et d’atteinte à la vie privée passe par le recensement des vulnérabilités éventuelles et la mise en œuvre de mesures visant à protéger les données des utilisateurs ainsi que l’intégrité de votre produit. Cela comprend le respect des règlements, la réalisation d’évaluations de sécurité périodiques et l’intégration de pratiques rigoureuses en matière de protection des données tout au long du cycle de vie de votre produit.
Pourquoi est-ce important?
Les services numériques sont au cœur de la prestation de services. Ils ont pour mandat de stocker et de gérer de manière sécurisée les renseignements des Canadiennes et des Canadiens au moyen de mesures efficaces, transparentes et responsables. Il est essentiel que les organismes conservent la confiance du public par l’intermédiaire de la conception et de l’exploitation en toute confidentialité et en toute intégrité. Les organisations doivent veiller à ce que leurs produits respectent les normes en matière de sécurité et de confidentialité qui s’imposent.
Comment procéder?
Voici les étapes recommandées pour la gestion des risques en matière de sécurité et d’atteinte à la vie privée. Selon où vous en êtes dans votre processus, vous n’aurez peut-être pas besoin de suivre toutes les étapes.
Découvrir
- Dressez la liste des types de renseignements de nature délicate que votre produit recueillera, le cas échéant. Si votre produit collecte des renseignements de nature délicate, indiquez les renseignements ainsi que la raison pour laquelle ils sont requis, la manière dont ils seront utilisés et mis en commun, et s’il existe une autorisation légale liée à la collecte de ces renseignements.
- Recensez les exigences. Recensez les exigences prévues par la loi et les exigences politiques qui s’appliquent à votre produit. Dès le départ, consultez des spécialistes en sécurité et en protection de la vie privée pour vous assurer que vos pratiques sont conformes aux exigences à l’échelle de l’organisation en matière de gestion des identités, de justificatifs et d’accès à l’information.
- Élaborez un cas conceptuel. Élaborez un cas conceptuel au moyen du modèle approprié. Votre cas conceptuel vous aidera à définir les renseignements clés sur lesquels un projet numérique éventuel devrait être fondé. Reportez-vous à la Politique sur la planification et la gestion des investissements pour savoir si vous devez présenter un cas conceptuel lié à votre produit.
- Menez des analyses de risques. Menez des analyses de risques pour établir le profil de risque de votre produit. Reportez-vous au Guide sur la catégorisation de la sécurité des services fondés sur l’infonuagique pour établir un profil des mesures de sécurité qui protégera adéquatement les renseignements et les activités opérationnelles.
- Élaborez un plan d’intervention en cas d’incident. Élaborez un plan d’intervention en cas d’incident présentant en détail la manière dont votre organisation détecte les incidents, intervient en cas d’incident et reprend ses activités par la suite. Ce plan aidera votre équipe à se préparer à gérer les incidents lorsqu’ils se produisent, à atténuer les menaces et les risques connexes et à rependre rapidement les activités. Pour en savoir plus, consultez les conseils du Centre canadien pour la cybersécurité concernant l’élaboration de votre plan d’intervention en cas d’incident.
- Élaborez un plan de conservation et d’élimination. Si votre produit doit recueillir, utiliser et conserver des renseignements personnels, vous aurez besoin d’un plan de conservation et d’élimination. Consultez le Guide sur les pratiques relatives à la vie privée numérique pour obtenir des renseignements supplémentaires sur le moment de conserver et de supprimer les renseignements personnels.
Concevoir
- Dressez une liste de fonctions de sécurité. Établissez une liste claire des fonctions de sécurité liées à votre produit afin de gérer l’identité, l’accès, la protection des données, la sécurité du réseau et la sécurité des applications. Assurez-vous que ces fonctions sont fiables.
- Déterminez les menaces éventuelles. Déterminez les menaces éventuelles visant votre produit afin de garantir que toutes les menaces auxquelles il est exposé sont contrées grâce à des éléments de conception et à des mécanismes de sécurité efficaces. Pour en savoir plus, veuillez vous reporter au paragraphe 2.5 « Modélisation des menaces » du Guide de sécurité pour les solutions de système d’information.
- Menez une évaluation des facteurs relatifs à la vie privée (EFVP). Vous devrez mener une EFVP si votre produit traite des renseignements personnels. Cela vous aidera à cerner les risques éventuels, à garantir le respect des exigences juridiques et à veiller à ce que les facteurs relatifs à la vie privée soient traités ou atténués avant qu’un problème ne survienne.
- Concevez une architecture sécurisée et fluide. Dans le cadre de l’élaboration de maquettes pour votre produit, assurez-vous que la conception de l’architecture de votre système est sécurisée et fluide pour les utilisateurs. Intégrez vos fonctions de sécurité et de confidentialité dans vos diagrammes d’analyse de service et vérifiez si les utilisateurs sont confrontés à des irritants.
- Appliquez des mesures de protection renforçant la sécurité. Appliquez à votre produit des mesures de protection renforçant la sécurité, comme l’identité numérique de confiance, l’authentification multifacteur (AMF) et le chiffrement de bout en bout. Cela garantira que les données et les renseignements personnels sont traités de manière sécurisée et responsable.
- Intégrez un avis de confidentialité. Avant de recueillir des renseignements personnels, assurez-vous que la personne concernée peut lire ou écouter un avis de confidentialité avant de vous fournir ses renseignements personnels.
- Menez une évaluation de sécurité. Menez une évaluation de sécurité pour connaître les risques pesant sur le système informatique, atténuer les risques inacceptables et disposer d’un plan pour traiter tout risque non réglé.
Tester
- Menez des essais de sécurité automatisés. Mettez en place des essais automatisés dès le départ. Ceux-ci vous permettront de cerner les problèmes et de les résoudre rapidement.
- Menez des essais de pénétration. Menez des essais de pénétration périodiques, également appelés piratage éthique, visant à simuler des cyberattaques et à déceler des faiblesses au sein de votre système. Cela vous aidera à repérer les vulnérabilités, à les comprendre et à les atténuer.
- Mettez en place des organes de surveillance et de gouvernance adaptés. Mettez en place des organes de surveillance et de gouvernance adaptés pour surveiller le rendement de votre produit. Pour ce faire, définissez des rôles et des responsabilités clairs. Cela vous permettra de produire des rapports périodiques et de garantir la responsabilisation ainsi que la conformité.
- Établissez des indicateurs de rendement clés (IRC). Établissez des IRC pour mesurer l’efficacité et la position en matière de cybersécurité de votre produit.
Surveiller et itérer
- Surveillez votre produit de façon continue. Surveillez votre produit de façon continue et assurez-vous qu’il demeure conforme aux politiques et aux règlements en matière de sécurité et d’atteinte à la vie privée. Modifiez vos mesures de protection liées à la vie privée, au besoin, en fonction des évaluations en cours.
- Planifiez des mises à jour périodiques. Planifiez des mises à jour périodiques du produit pour corriger les vulnérabilités en matière de sécurité et de la vie privée que vous avez repérées. Cela garantira l’amélioration continue de vos mesures de sécurité et renforcera la position en matière de cybersécurité de votre produit.
- Mettez en œuvre des rustines pour corriger les vulnérabilités. Mettez en œuvre des rustines efficaces pour corriger les vulnérabilités afin de réduire les intrusions et leurs répercussions. Pour ce faire, élaborez un processus de gestion des vulnérabilités.
- Mettez à jour et examinez de manière périodique vos mesures de protection des renseignements. Mettez à jour et examinez vos mesures de protection des renseignements lorsque des modifications physiques, techniques ou administratives ont une incidence sur votre produit. Il peut notamment s’agir de nouvelles méthodes de gestion des renseignements, de l’utilisation d’un nouveau système ou d’une nouvelle plateforme ou d’un roulement de personnel.
Resources
Principes
- Confidentialité dès la conception
- Sécurité intégrée dès la conception
Considérations
- Communiquez avec l’équipe-conseil du gouvernement du CPVP à n’importe quelle étape. Elle pourra vous aider à cerner des problèmes de conformité, des risques en matière de protection des renseignements personnels et à définir des stratégies d’atténuation éventuelles.
Outils et ressources
- Guide de sécurité pour les solutions de système d’information
- Guide sur les pratiques relatives à la vie privée numérique
- Dix principes relatifs à l’équité dans le traitement de l’information
- Conservation et retrait des renseignements personnels : Principes et pratiques exemplaires
- Outil de catégorisation de la sécurité – GCpédia (offert en anglais seulement) (réseaux du gouvernement du Canada seulement)
- Évaluations des facteurs relatifs à la vie privée
- Choosing secure and verifiable technologies (offert en anglais seulement)
- Élaborer un plan d’intervention en cas d’incident
- Un outil de détection et d’analyse de maliciels
- Échantillon de l’Avis de confidentialité du gouvernement du Canada
- Plan de gestion des événements de cybersécurité du gouvernement du Canada
- Cadre de Confiance pancanadien (offert en anglais seulement)
- Modèle_PGEC_ministériel (offert en anglais seulement) (Réseaux du gouvernement du Canada seulement)
- Orientation sur la gestion des rustines
- Guide sur la consignation d’événements
Talent
- Agiles
- Concepteurs d’EU
- Spécialistes de la protection des renseignements personnels et de la sécurité
- Formation et expertise en sécurité de la TI
- Architecture des données
- Architecture intégrée
- Expertise juridique
Instruments de politique du GC
Lois
- Loi sur la protection des renseignements personnels (Survol de la Loi)
- Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
Politiques
- Politique sur la sécurité du gouvernement
- Politique sur les services et le numérique
- Politique sur la protection de la vie privée
Directives
Normes et autres instruments
- Norme sur la catégorisation de sécurité
- Gestion du risque lié aux technologies et du cyberrisque
- Profil des mesures de sécurité pour les services du GC fondés sur l’informatique en nuage
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage
- Exigences de base en matière de sécurité pour les zones de sécurité de réseau
- Orientation sur la gestion des rustines
- Procédures obligatoires pour les cas conceptuels des projets axés sur le numérique
Communautés de pratique et formation du GC
Communautés de pratique du GC
- Communauté de la cybersécurité du GC (offert en anglais seulement)
- Communauté de la Politique sur la sécurité du gouvernement
Formation
- Cours de l’ÉFPC sur la cybersécurité
- Certifications dans le domaine de la cybersécurité
- Cours de formation sur les bases sur la protection des renseignements personnels
Contribuer à notre amélioration
Ce travail est itératif et nous continuerons de l’améliorer en fonction de votre rétroaction.
Faites-nous part de vos réflexions et de vos suggestions par courriel à : servicedigital-servicesnumerique@tbs-sct.gc.ca
Détails de la page
- Date de modification :