Orientations sur l'utilisation ou la fourniture de solutions infonuagiques pour les données techniques associées aux marchandises contrôlées
Cette page fournit des orientations actualisées à l'intention des inscrits au Programme des marchandises contrôlées (PMC) et des fournisseurs de services infonuagiques concernant la protection des marchandises contrôlées, y compris les données (données associées à des marchandises contrôlées) à l'aide d'une solution infonuagique.
Sur cette page
Protection des marchandises contrôlées
La partie 2 de la Loi sur la production de défense (la Loi) et le Règlement sur les marchandises contrôlées (le Règlement) ont pour objet d'améliorer la position du Canada en matière de défense et de sécurité en veillant à ce que les personnes et les organisations du secteur privé n'aient pas illégalement accès aux marchandises contrôlées.
En raison de l'importance stratégique des marchandises contrôlées, il est interdit de les examiner, de les posséder ou de les transférer au Canada sans être inscrit au PMC ou sans en être exempté ou exclu. Grâce aux processus d'inscription et d'exemption, d'évaluation de la sécurité, et d'inspection, le PMC veille à ce que les marchandises contrôlées ne soient pas interceptées par des personnes à risque élevé, des organisations criminelles ou d'autres personnes dangereuses.
En s'inscrivant au PMC, en gardant leur inscription à jour et en respectant les obligations des inscrits en vertu du Règlement, les fournisseurs de services infonuagiques obtiennent la permission légale d'examiner, de posséder et de transférer des marchandises contrôlées au Canada. Ce faisant, les fournisseurs de services infonuagiques inscrits contribuent à une infrastructure industrielle de défense intégrée en Amérique du Nord et renforcent les contrôles du commerce de défense du Canada avec les États-Unis (ÉU).
Les présentes orientations visent à donner l'assurance aux inscrits qui utilisent ou qui ont l'intention d'utiliser un fournisseur de services infonuagiques pour leurs données associées à des marchandises contrôlées que le stockage infonuagique, s'il est correctement déployé par l'inscrit, est effectué conformément aux règlements et politiques sur les marchandises contrôlées.
Orientations pour les inscrits au Programme
Les inscrits au PMC peuvent choisir de stocker leurs données associées aux marchandises contrôlées avec le logiciel, la plateforme ou l'infrastructure d'un fournisseur de services infonuagiques. Ce faisant, les inscrits doivent toutefois garder à l'esprit leurs obligations juridiques en vertu de la Loi [paragraphe 45(2)] et du Règlement. Ils doivent également être conscients de l'infraction énoncée au paragraphe 37(2) de la Loi selon laquelle il est interdit de transférer délibérément une marchandise contrôlée à une personne non inscrite ou non exemptée d'inscription ou de permettre l'examen d'une marchandise contrôlée par une telle personne. Une liste partielle des inscrits au Programme des marchandises contrôlées, y compris les fournisseurs de services infonuagiques inscrits, est disponible en ligne.
Il incombe aux inscrits au PMC de déterminer si les solutions infonuagiques conviennent à leurs activités commerciales particulières, y compris celles relatives au stockage et au traitement des données associées à des marchandises contrôlées. Pour obtenir des renseignements sur les modèles de déploiement et de service en nuage, veuillez consulter la publication en ligne du Centre canadien pour la cybersécurité (CCC) sur les modèles de l'infonuagique (ITSAP.50.111).
Les inscrits au PMC doivent examiner régulièrement les contrôles de sécurité de leurs propres services et systèmes d'information, et surveiller et gérer en permanence les risques liés à la sécurité de leurs propres informations et actifs de technologie de l'information (TI). Pour obtenir des renseignements sur la manière de mener les processus de gestion des risques, d'évaluation et d'autorisation de sécurité infonuagique dans les contextes des secteurs public et privé, veuillez consulter le Guide sur l'évaluation et l'autorisation de la sécurité infonuagique (ITSP.50.105) en ligne. Ces évaluations et processus aident les inscrits à comprendre l'efficacité globale de leurs propres contrôles de sécurité, ainsi que ceux mis en œuvre par un fournisseur de services infonuagiques.
Sélection d'un fournisseur de services infonuagiques
Lors de la sélection d'un fournisseur de services infonuagiques inscrit, les inscrits au PMC doivent se renseigner sur les contrôles de sécurité disponibles afin de prévenir tout accès non autorisé aux données associées aux marchandises contrôlées. Il incombe aux inscrits au PMC de choisir et de mettre en œuvre leurs propres contrôles de sécurité et d'autres mesures visant à gérer les risques résiduels.
Les inscrits au PMC doivent également demander d'examiner toutes les certifications et évaluations de sécurité officielles, indépendantes et de tiers, afin de s'assurer que le fournisseur de services infonuagiques respecte les normes du secteur, telles que celles de l'Organisation internationale de normalisation (ISO – International Organization for Standardization) et des contrôles des systèmes et de l'organisation (SOC – System and Organisation Controls).
Le CCC évalue les fournisseurs de services infonuagiques dans le cadre du Processus d'évaluation de la sécurité des technologies de l'information s'appliquant aux fournisseurs de services infonuagiques (ITSM.50.100). La liste des fournisseurs de services infonuagiques actuellement approuvés par le gouvernement du Canada est disponible en ligne. Veuillez noter que ce ne sont pas tous les fournisseurs répertoriés qui sont également inscrits au PMC. De plus, d'autres fournisseurs de services infonuagiques inscrits au PMC qui ne figurent pas sur cette liste peuvent être utilisés pour le stockage des données associées à des marchandises contrôlées.
Emplacement des données
Les inscrits au PMC devraient prendre note des options pour l'emplacement des données afin de s'assurer que leurs données associées à des marchandises contrôlées soient stockées sur les serveurs situés au Canada. Pour les données stockées sur des serveurs situés à l'extérieur du Canada, Affaires mondiales Canada doit être consultée pour des orientations supplémentaires sur les exigences applicables en matière de licences d'exportation.
Accès restreint
Les inscrits au PMC doivent appliquer le principe du moindre privilège en surveillant et en restreignant l'accès à leurs données associées à des marchandises contrôlées dans le nuage. L'accès ne peut être accordé qu'aux employés qui ont fait l'objet d'une évaluation de sécurité, conformément à l'article 15 du Règlement.
Les inscrits au PMC doivent s'assurer que l'accès à leur solution infonuagique n'est obtenu que par une connexion sécurisée utilisant, par exemple, un réseau privé virtuel ou le protocole de sécurité de la couche transport avec des profils de connexion d'utilisateur. Des politiques d'authentification multifactorielle et de mot de passe avec des capacités d'audit et de journalisation sont également recommandées.
Pour d'autres mesures visant à protéger les données associées à des marchandises contrôlées, les petites et moyennes entreprises inscrites au PMC devraient consulter la publication du CCC intitulée Les meilleures mesures pour renforcer la cybersécurité des (ITSAP.10.035).
Assistance technique
Lorsqu'ils demandent une assistance technique, les inscrits au PMC doivent informer leur fournisseur de services infonuagiques par écrit si des données associées à des marchandises contrôlées sont visées, puisque le fournisseur n'a aucune visibilité sur le contenu et ne peut donc pas déterminer si les marchandises contrôlées sont en cause ou non. Les inscrits au PMC doivent également :
- déterminer la nature de l'assistance nécessaire et les scénarios dans lesquels le fournisseur peut fournir du personnel de soutien ayant fait l'objet d'une évaluation de sécurité
- déterminer si le fournisseur devra avoir accès aux données infonuagiques associées aux marchandises contrôlées pour fournir une assistance technique
- utiliser les services d'assistance technique nécessitant un accès aux données infonuagiques associées aux marchandises contrôlées seulement si le fournisseur de services infonuagiques a confirmé par écrit qu'il fournira, à l'égard de cet incident précis, du personnel de soutien ayant fait l'objet d'une évaluation de sécurité
Chiffrement
Les inscrits au PMC doivent s'assurer que les données associées à des marchandises contrôlées sont chiffrées lors du transfert de ces données vers le nuage ou lors du stockage infonuagique. Par exemple, la Federal Information Processing Standard des ÉU est une norme de chiffrement utilisée par les ministères et organismes fédéraux pour protéger les données sensibles du gouvernement du Canada dans leurs déploiements en nuage. Il est également utilisé pour protéger les données non classifiées, chiffrées de bout en bout et contrôlées par l'International Traffic in Arms Regulations aux ÉU.
Tenue des registres
Les inscrits au PMC doivent respecter les obligations en matière de tenue des registres en vertu de l'article 10 du Règlement. Les registres tenus doivent porter sur les données associées à des marchandises contrôlées téléchargées, stockées ou traitées dans une solution infonuagique, y compris la description et la date des données reçues, transférées ou éliminées, conformément à l'article 10(a) du Règlement.
Plan de sécurité
Les inscrits au PMC doivent établir et mettre en œuvre un plan de sécurité en vertu de l'article 10(e) du Règlement. Ce plan devrait indiquer en détail ce qui suit :
- les contrôles de sécurité et les fonctionnalités de la solution infonuagique utilisée
- les contrôles de sécurité mis en œuvre dans les systèmes d'information et les biens informatiques des inscrits
- toute autre mesure ou tout autre procédé utilisé pour gérer les risques résiduels de l'accès non autorisé aux données associées à des marchandises contrôlées
Pour obtenir de plus amples renseignements à ce sujet, rendez-vous à la page plans de sécurité.
Infractions à la sécurité
Les inscrits au Programme doivent signaler au PMC toute atteinte à la sécurité portant sur les données associées à leurs marchandises contrôlées stockées sur une solution infonuagique, comme l'exige l'article 10(h) du Règlement. Les fournisseurs de services infonuagiques inscrits au PMC peuvent signaler les incidents de sécurité liés à l'environnement infonuagique même, mais les inscrits sont tenus de signaler et de déterminer si l'incident affectera spécifiquement leurs données associées aux marchandises contrôlées.
Orientations pour les fournisseurs de services infonuagiques inscrits
Toute personne qui examine délibérément des marchandises contrôlées, en a en sa possession ou en transfère à une autre personne commet une infraction en vertu de l'article 37 de la Loi, à moins qu'elle soit inscrite en application de l'article 38 ou exemptée d'inscription en application des articles 39 ou 39.1.
En général, les fournisseurs de services infonuagiques n'examinent, ne possèdent et ne contrôlent pas le contenu infonuagique de leurs utilisateurs, mais ils peuvent fournir des services aux inscrits qui les obligent à examiner ou à posséder des données associées à des marchandises contrôlées (par exemple, dans le cadre d'un partenariat technologique), ce qui les oblige alors à être inscrits. Les fournisseurs de services infonuagiques non inscrits risquent d'enfreindre la Loi en raison de la nature de leurs services, de leurs pratiques commerciales et de leurs opérations techniques comme l'assistance technique ou la maintenance si elles comprennent l'examen des données associées aux marchandises contrôlées de l'utilisateur (par exemple : examen des données associées aux marchandises contrôlées de l'utilisateur sous forme décryptée). Les fournisseurs de services infonuagiques auraient peut-être intérêt à obtenir des conseils juridiques et techniques sur la manière d'atténuer les risques mentionnés à l'article 37 de la Loi.
Inscription
Les fournisseurs de services infonuagiques qui choisissent de s'inscrire au PMC contribuent à une infrastructure industrielle de défense intégrée en Amérique du Nord. L'inscription au PMC garantit aux clients, ainsi qu'au gouvernement et à l'industrie de la défense des ÉU que les données associées aux marchandises contrôlées ne sont pas détournées vers des personnes non autorisées.
Les fournisseurs de services infonuagiques inscrits devraient fournir à leurs clients des renseignements décrivant leurs solutions infonuagiques, y compris des conseils sur les divers contrôles et fonctions de sécurité qui peuvent être utilisés pour protéger les données associées à des marchandises contrôlées. Les fournisseurs devraient faire l'objet d'audits et de vérifications de conformité par des tiers, comme au moyen de la norme ISO/Commission électrotechnique internationale (CEI) 27001, ISO/CEI 27017 ou SOC 2 Type II.
Les fournisseurs devraient être prêts à fournir de telles certifications et de tels rapports d'audit valides aux clients éventuels afin de démontrer leur conformité aux normes de l'industrie.
Assistance technique
Lorsqu'un inscrit au PMC a informé par écrit son fournisseur de services infonuagiques inscrit qu'un incident précis met en cause des données associées aux marchandises contrôlées et que l'accès à ces données est inévitable, le fournisseur de services en nuage enregistré doit proposer à l'inscrit la possibilité d'une assistance technique offerte par du personnel de soutien ayant fait l'objet d'une évaluation de sécurité, tel qu'il est indiqué à l'article 15 du Règlement. Lorsqu'il fournit une assistance technique, le fournisseur doit :
- déterminer si la nature du soutien requis pourrait nécessiter l'examen de ces données
- s'assurer que des contrôles appropriés sont utilisés pour prévenir l'accès non autorisé à ces données
Tenue des registres
Le cas échéant, les fournisseurs de services infonuagiques inscrits doivent également tenir un registre relatif à leurs propres données associées aux marchandises contrôlées, conformément aux conditions d'inscription des articles 10(a) et 10(i), jusqu'à ce que la Loi et le Règlement soient officiellement mis à jour. Les fournisseurs de services infonuagiques inscrits n'ont pas la capacité de suivre et de déclarer les données associées aux marchandises contrôlées stockées ou traitées dans leurs solutions infonuagiques, tel qu'il est exigé par :
Toutefois, ces fournisseurs pourraient choisir de tenir des registres des clients qui utilisent ou qui ont l'intention d'utiliser leurs solutions infonuagiques pour stocker ou traiter des données associées à des marchandises contrôlées. Ils peuvent le faire en demandant aux clients potentiels de divulguer cette intention lorsqu'ils s'inscrivent à une solution infonuagique ou établir autrement les obligations contractuelles dans l'entente d'utilisation des services infonuagiques.
Plan de sécurité
Les fournisseurs inscrits sont tenus d'établir et de mettre en œuvre un plan de sécurité, tel qu'il est indiqué à l'article 10(e) du Règlement. Au minimum, le plan doit porter sur les divers contrôles de sécurité physiques, techniques et administratifs utilisés pour protéger les biens matériels de leurs solutions infonuagiques et ceux utilisés pour assurer l'intégrité de l'environnement infonuagique même.
Le plan du fournisseur de services infonuagiques doit tenir compte du fait que les données doivent être stockées au Canada et doit comprendre des procédures de protection des données associées aux marchandises contrôlées en cas de maintenance d'urgence. Il incombe aux clients des fournisseurs de services infonuagiques de configurer leur emplacement de stockage des données pour ces services.
Incidents de sécurité
Les clients inscrits au PMC, et non les fournisseurs de services infonuagiques, sont tenus de signaler les atteintes à la sécurité au PMC, tel qu'il est exigé dans l'article 10(h) du Règlement.
Contactez-nous
Si vous avez des questions, veuillez communiquer avec le personnel du Programme des marchandises contrôlées.
Auteur
Détails de la page
- Date de modification :