Le 1er février 2002
Le Gouvernement du Canada dépend de son personnel et de ses biens afin de fournir les services qui protègent la santé, la sécurité et le bien-être économique des Canadiens et des Canadiennes. Il doit gérer ces ressources avec une diligence raisonnable et prendre les mesures appropriées pour les sauvegarder de tout préjudice.
Les menaces qui peuvent causer préjudice au personnel et aux biens du gouvernement, au Canada et à l'étranger, comprennent la violence envers les employés, l'accès non autorisé, le vol, la fraude, le vandalisme, les incendies, les catastrophes naturelles, les défaillances techniques et les dommages fortuits. Les menaces de « cyberattaques » et les actes malveillants par Internet sont courants et peuvent beaucoup nuire aux services électroniques et aux infrastructures essentielles. Les menaces à l'intérêt national dont les activités criminelles transnationales, de terrorisme et de services étrangers du renseignement continuent à évoluer selon les changements à l'échelle internationale.
La Politique du gouvernement sur la sécurité prescrit l'application de mesures de sauvegarde pour réduire le risque de préjudice. Elle est conçue pour protéger les employés, préserver la confidentialité, la disponibilité, l'intégrité et la valeur des biens, et assurer la prestation continue de services. Puisque le Gouvernement du Canada se fie beaucoup aux technologies de l'information (TI) pour sa prestation de services, cette politique souligne l'importance pour les ministères de surveiller leurs opérations électroniques.
Cette politique est complémentaire aux autres politiques du Conseil du Trésor pour la gestion des ressources humaines (p. ex. harcèlement, santé et sécurité au travail), des langues officielles, des renseignements, du matériel, des biens immobiliers et des ressources financières.
Soutenir l'intérêt national et les objectifs opérationnels du Gouvernement du Canada en assurant la sauvegarde des employés et des biens, ainsi que la prestation continue des services.
On doit sauvegarder les employés sous menace de violence selon des exigences sécuritaires de base et une gestion continue des risques pour la sécurité.
On doit sauvegarder les biens selon des exigences sécuritaires de base et une gestion continue des risques pour la sécurité.
On doit assurer la prestation continue des services selon des exigences sécuritaires de base dont la planification de la continuité opérationnelle, et une gestion continue des risques pour la sécurité.
La présente politique s'applique à tous les ministères énumérés aux annexes I, I.1 et II de la Loi sur la gestion des finances publiques (LGFP).
Elle s'applique également aux institutions suivantes :
Certains organismes et sociétés d'État peuvent conclure des ententes avec le Secrétariat du Conseil du Trésor du Canada afin d'adopter les exigences de cette politique et les appliquer à leur organisation.
Les administrateurs généraux ont l'obligation de rendre compte de la sauvegarde des employés et des biens relevant de leur secteur de responsabilité, et de la mise en œuvre de la présente politique. Dans le contexte du Ministère de la défense nationale, les administrateurs généraux comprennent le Sous-ministre de la Défense nationale et le Chef d'état-major des forces canadiennes, selon le cas.
Voir l'annexe A.
Voir l'annexe B.
Cette politique est appuyée par :
Les ministères doivent satisfaire aux exigences de base de cette politique, des normes opérationnelles de sécurité et de la documentation technique. Ces exigences se fondent sur des évaluations intégrées des menaces et des risques concernant l'intérêt national, les employés et les biens du gouvernement. Selon leurs propres évaluations des menaces et des risques, les ministères doivent déterminer la nécessité de mesures au-delà des exigences de base.
Les exigences de cette politique supportent d'autres mesures gouvernementales sur la gestion des situations d'urgence (p. ex. incendies, alertes à la bombe, matières dangereuses, pannes d'électricité, évacuations, urgences civiles).
Le Gouvernement du Canada peut donner instruction aux ministères de resserrer les mesures de sécurité en cas d'urgence et de menace accrue.
Les ministères doivent nommer un agent de sécurité du ministère (ASM) chargé d'établir et de diriger un programme de sécurité qui assure la coordination de toutes les fonctions de la politique et la mise en œuvre de ses exigences. Ces fonctions comprennent l'administration générale (p. ex. procédures du ministère, formation et sensibilisation, identification des biens, gestion des risques pour la sécurité, partage des renseignements et des biens), le contrôle de l'accès, les vérifications de fiabilité et de sécurité, la sécurité matérielle, la protection des employés, la sécurité des technologies de l'information, la sécurité en cas d'urgence et de menace accrue, la planification de la continuité opérationnelle, la sécurité des marchés et les enquêtes sur les incidents de sécurité.
Étant donné l'importance de ce rôle, il faudrait que l'agent de sécurité du ministère ait suffisamment d'expérience en matière de sécurité et qu'il occupe un poste stratégique au sein de l'organisation de sorte à pouvoir fournir des conseils et une orientation stratégique aux cadres supérieurs de celle-ci.
Les ministères doivent appliquer cette politique lors du partage de renseignements et d'autres biens du Gouvernement du Canada avec d'autres gouvernements (p. ex. étrangers, provinciaux, territoriaux et municipaux), des organismes internationaux, des établissements d'enseignement et des organismes du secteur privé. Ils doivent à cet effet établir des arrangements qui exposent les grandes lignes des responsabilités en matière de sécurité, les mesures de sauvegarde à prendre et les modalités de la participation continue.
Les ministères doivent prendre soin des renseignements et autres biens reçus d'autres gouvernements (p. ex. étrangers, provinciaux, territoriaux et municipaux), des organismes internationaux (p. ex. l'OTAN), des établissements d'enseignement et des organismes du secteur privé, conformément aux accords ou arrangements conclus avec eux.
Les ministères qui partagent l'infrastructure commune de gestion de l'information et des technologies de l'information pour la prestation de services en ligne ou pour d'autres besoins doivent respecter toutes les normes de sécurité établies pour cette infrastructure.
Dans des endroits particuliers à l'extérieur du Canada, il peut être difficile d'appliquer certaines exigences de cette politique. En de tels cas, des dispositions spéciales peuvent être formulées, de concert avec le ministère des Affaires étrangères et du Commerce international.
Dans les endroits particulièrement dangereux, il peut y avoir des restrictions sur les activités personnelles. Tous les employés, à moins d'occuper un poste diplomatique et d'être sous les conventions de Vienne, sont automatiquement assujettis aux lois et aux règlements de l'endroit où ils se trouvent. Les employés peuvent obtenir des avis de voyage et des renseignements spécifiques quant à la sécurité et aux restrictions en communiquant avec le ministère des Affaires étrangères et du Commerce international ou avec l'ambassade canadienne la plus proche. Les diplomates doivent être conscients que les infractions sérieuses aux lois étrangères peuvent, selon la loi canadienne, être traitées en justice au Canada.
La présente politique s'applique autant au processus de gestion des marchés qu'aux opérations internes du gouvernement. L'autorité contractante, qu'il s'agisse du ministère des Travaux publics et des Services gouvernementaux ou d'un autre ministère, doit satisfaire aux exigences de la politique, des normes sur la sécurité des marchés et de la documentation technique.
L'autorité contractante doit :
Les ministères doivent :
Confidentialité
Les ministères doivent identifier les renseignements et autres biens dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice, au sens des dispositions particulières de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels,
Disponibilité, intégrité et valeur
Les ministères doivent identifier et catégoriser les biens, notamment les services essentiels, selon le degré de préjudice (bas, moyen ou élevé) qui pourrait vraisemblablement résulter d'un compromis à leur disponibilité ou à leur intégrité. Ils doivent considérer la valeur (p. ex. monétaire, reliée au patrimoine) des biens pour déterminer le degré de préjudice. Afin d'indiquer le niveau de protection requis, les ministères devraient envisager de marquer les biens en fonction de leur disponibilité et de leur intégrité.
Les ministères doivent effectuer des évaluations des menaces et des risques pour déterminer la nécessité d'aller au-delà des mesures sécuritaires de base. Ils doivent continuellement être aux aguets de tout changement aux menaces et faire les ajustements nécessaires au maintien d'un niveau de risque acceptable et d'un équilibre entre les besoins opérationnels et la sécurité.
Les évaluations des menaces et des risques comprennent les activités suivantes :
Les ministères doivent limiter l'accès aux renseignements classifiés et protégés et autres biens aux seules personnes qui ont besoin de les connaître et qui ont la cote de fiabilité ou de sécurité appropriée. Ils doivent, dans la mesure nécessaire, limiter l'accès à d'autres biens exigeant des mesures de sauvegarde supplémentaires pour des raisons de disponibilité, d'intégrité ou de valeur. Ceci inclue l'assurance qu'aucune personne a le contrôle unique de tous les aspects d'un processus ou d'un système.
Le Gouvernement du Canada doit s'assurer que les individus qui ont accès à ses renseignements et biens sont fiables et dignes de confiance. Pour ce qui touche à la sécurité nationale, le gouvernement doit vérifier la loyauté de ces personnes envers le Canada afin de se protéger du terrorisme et de la collecte de renseignements par des puissances étrangères. On doit tout particulièrement veiller à assurer la fiabilité et la loyauté continuelles de ces personnes et à prévenir tout acte malveillant et toute divulgation non autorisée de renseignements classifiés et protégés causés par le mécontentement de personnes en poste de confiance.
Les ministères doivent s'assurer qu'avant leur entrée en fonction, les personnes qui ont besoin d'avoir :
Les ministères doivent aussi :
Un gestionnaire délégataire a le pouvoir d'accorder ou de refuser une cote de fiabilité. L'ASM peut octroyer une cote de sécurité au nom de l'administrateur général. Seul ce dernier peut refuser, révoquer ou suspendre une cote de sécurité. Il doit consulter le Bureau du Conseil privé concernant tout désaccord avec une recommandation du Comité de surveillance des activités de renseignements de sécurité quant à la cote de sécurité. L'administrateur général doit également consulter le Bureau du Conseil privé concernant toute décision de recommander au gouverneur en conseil la suspension ou le congédiement d'une personne suite au refus, à la révocation ou à la suspension d'une cote de sécurité.
Les ministères doivent obtenir l'approbation du Secrétariat du Conseil du Trésor du Canada concernant toute proposition de faire des vérifications impliquant un recouvrement des coûts.
Les ministères sont responsables de la santé et de la sécurité des employés au travail en vertu de la partie II du Code canadien du travail et des politiques du Conseil du Trésor. Cette responsabilité s'étend aux cas où des employés sont menacés de violence en raison des fonctions qu'ils exercent ou de situations auxquelles ils sont exposés, comme les appels ou les lettres de menace, la réception de matières dangereuses, le harcèlement criminel ou les agressions.
Les ministères doivent avoir des mécanismes pour :
La sécurité matérielle repose sur l'aménagement et la conception adéquates des installations, ainsi que sur l'usage de mesures pour éviter ou retarder l'accès non autorisé aux biens du gouvernement. Elle inclut des mesures pour détecter l'accès non autorisé, recherché ou obtenu, et pour déclencher une intervention appropriée. La sécurité matérielle prévoit également des mesures pour protéger les employés de la violence.
Les ministères sont tenus d'assurer l'intégration totale des aspects sécuritaires aux processus de planification, de sélection, de conception et de modification des installations, et ce, dès les premières étapes.
Ils doivent :
Les ministères doivent veiller à l'entreposage, la transmission et la destruction sécuritaires des renseignements classifiés et protégés, peu importe le support sur lequel ils se trouvent, conformément aux normes de sécurité matérielle. Selon une évaluation des menaces et des risques, ils doivent aussi veiller à l'entreposage, la transmission et la destruction sécuritaires de tout autre bien.
Il est essentiel de revoir continuellement les mesures de sécurité matérielle pour tenir compte de changements aux menaces et de bénéficier de nouvelles technologies qui sont moins dispendieuses.
On doit sauvegarder les systèmes électroniques d'information contre les menaces qui changent rapidement et ont le potentiel d'affecter la confidentialité, l'intégrité, la disponibilité, l'usage prévu et la valeur de ces systèmes. Comme défense, une stratégie pour la sécurité des technologies de l'information (STI) est requise. Cette stratégie doit tenir compte des changements aux menaces qui peuvent être soudains et doit soutenir la prestation continue de services. Cela exige que les ministères aient des contrôles sécuritaires de base, surveillent continuellement leurs niveaux de prestation de services, identifient et analysent les menaces à leurs propres systèmes et établissent des mécanismes efficaces de réponse aux incidents et de continuité opérationnelle.
Les ministères doivent s'assurer que la STI est intégrée à chaque étape du cycle de développement de systèmes. Ils doivent identifier les exigences de sécurité et leur coût et les énoncer dans les documents relatifs à la planification, aux appels d'offre, aux soumissions et aux contrats pour les projets des TI.
En se conformant aux normes opérationnelles et techniques de la STI, les ministères pourront mieux prévenir et détecter les incidents, y réagir et revenir aux opérations normales.
Pour prévenir les incidents aux systèmes électroniques de l'information, les ministères doivent mettre en place des contrôles sécuritaires de base et tout autre contrôle jugé nécessaire selon une évaluation des menaces et des risques. Ils doivent définir et documenter ces contrôles, ainsi que les rôles et les responsabilités du personnel, et les communiquer à leur personnel y incluant les membres des services opérationnels, légaux, administratifs et techniques.
Pour observer la politique, les ministères doivent :
Un incident peut causer une dégradation rapide des services allant d'un ralentissement à un arrêt complet. Les ministères doivent surveiller continuellement les opérations de leurs systèmes pour dépister les anomalies aux niveaux de prestation de services.
Les ministères doivent :
Pour assurer la prestation continue des services essentiels, les ministères doivent préparer des plans de continuité pour les TI dans le cadre de leur planification de la continuité opérationnelle, et de leurs activités de recouvrement suite à un incident.
Les ministères doivent élaborer des plans et des procédures pour mettre en place des niveaux de sécurité plus élevés en cas d'urgence ou de menace accrue. Selon l'urgence ou la menace, le Gouvernement du Canada peut obliger les ministères à mettre en place de tels niveaux.
Ils doivent coordonner ces plans et procédures avec ceux concernant la prévention et la réponse en cas d'urgence (p. ex. feux, alertes à la bombe, matières dangereuses, pannes d'électricité, évacuations, urgences civiles).
Les services essentiels et les biens afférents doivent toujours être disponibles pour assurer la santé, la sûreté, la sécurité et le bien-être économique des Canadiens et des Canadiennes ainsi que l'efficacité du gouvernement. Les ministères doivent établir un programme de planification de la continuité opérationnelle pour permettre la disponibilité continue des services et des biens essentiels, et de tout autre service ou bien dont la disponibilité est jugée importante selon une évaluation des menaces et des risques. Le programme doit comprendre les éléments suivants :
Des comptes rendus et des enquêtes efficaces sur les incidents de sécurité permettent de déterminer les points faibles et de réduire le risque d'un nouvel incident de même nature.
Les ministères doivent mettre en place des procédures de compte rendu et d'enquête relativement aux incidents de sécurité et prendre des mesures correctives pour y donner suite.
Ils doivent informer :
Les ministères sont tenus d'imposer des sanctions à la suite d'incidents de sécurité lorsque, de l'avis de l'administrateur général, il y a eu inconduite ou négligence.
Les ministères sont tenus d'effectuer la surveillance active de leur programme de sécurité et d'effectuer des vérifications internes. Ils doivent informer le Secrétariat du Conseil du Trésor du Canada des résultats de leurs vérifications internes.
Le Secrétariat du Conseil du Trésor du Canada, avec l'appui des ministères, produira un rapport à mi-terme pour le Conseil du Trésor sur l'efficacité de la politique.
La présente politique sera réexaminée d'ici cinq ans.
Les pouvoirs conférés pour la présente politique sont de l'article 7 de la Loi sur la gestion des finances publiques. La présente politique remplace la version du 9 juin 1994 et les révisions de novembre 1994 et de juin 1995.
Voici les lois ayant trait à la présente politique :
Les documents se rattachant à la présente sont accessibles sur le site Web du Conseil du Trésor.
Toute demande de renseignements relative à la présente devrait être acheminée à l'agent de sécurité ministériel. Pour toute interprétation de la politique, l'agent de sécurité ministériel doit s'adresser à la fonction suivante :
Groupe de la Politique sur la sécurité
Division des politiques de l'information et de la sécurité
Secteur des opérations gouvernementales
Secrétariat du Conseil du Trésor du Canada du Canada
8e étage, tour est, L'Esplanade Laurier
Ottawa (Ontario) K1A 0R5
Téléphone : (613) 946-5046 ou 957-2534
Télécopieur : (613) 952-7287
Le Conseil du Trésor approuve la Politique du gouvernement sur la sécurité.
Le Secrétariat du Conseil du Trésor du Canada, à titre d'organisme central chargé de la sécurité et de la prestation de services au gouvernement, a les responsabilités suivantes :
Plusieurs comités relatifs à la sécurité conseillent et orientent le Secrétariat du Conseil du Trésor du Canada sur la mise en œuvre de la politique, sur son efficacité et sur l'état de la sécurité au sein du Gouvernement du Canada.
Ces comités examinent également les normes opérationnelles de sécurité et la documentation technique et en recommandent l'approbation à l'autorité compétente.
Certains ministères ont, en vertu de la présente, des responsabilités particulières à l'échelle du gouvernement, qui sont énumérées ci-après.
Le Service canadien du renseignement de sécurité (SCRS), dans son rôle de gestion du renseignement de sécurité, est responsable :
Le Centre de la sécurité des télécommunications (CST), en tant qu'autorité technique sur la cryptologie et la sécurité des technologies de l'information (STI), est responsable:
Le ministère des Affaires étrangères et du Commerce international (AECI), dans son rôle de relations étrangères, est responsable :
Le ministère des Archives nationales gère les dossiers du gouvernement et est responsable :
Dans le cadre de leurs rôles, le sous-ministre de la Défense nationale et le chef de l'État-major de la Défense sont responsables conjointement ou individuellement :
Le bureau de la Protection des infrastructures essentielles et de la protection civile, comme conseiller principal en ces domaines au niveau national, est responsable :
Le Bureau du Conseil privé, dans son rôle de soutien au Cabinet et de politique stratégique pour la sécurité et le renseignement, est responsable :
Le ministère des Travaux publics et des Services gouvernementaux (TPGSC) fournit des services communs pour la gestion des marchés et des biens immobiliers, ainsi que pour les technologies de l'information et les télécommunications. En ce sens, il est responsable
La Gendarmerie royale du Canada, comme organisme d'application de la Loi fédérale et de prévention du crime, est responsable :
pour la sécurité des technologies de l'information (STI)
pour la sécurité matérielle
pour les vérifications de fiabilité et de sécurité
En tant que ministère chargé de la sécurité maritime, terrestre et aérienne et de l'administration de la Loi sur l'aéronautique, Transport Canada est responsable d'administrer le programme de cote spéciale d'accès aux zones restreintes des aéroports.
À moins d'une entente contraire avec les locataires, les ministères ayant la garde de biens immobiliers sont chargés, entre autres choses, des aspects suivants de la sécurité matérielle des installations qu'ils administrent :
Accréditation (accreditation) - autorisation officielle par la direction d'exploiter un système des TI et acceptation par la direction du risque résiduel s'y rattachant. L'accréditation dépend des résultats de la certification ainsi que d'autres considérations de nature administrative.
Aire à accès restreint (restricted access area) - aire de travail où l'accès est restreint aux individus autorisés.
Besoin de connaître (need-to-know) - besoin éprouvé par une personne d'accéder à des renseignements et de les connaître pour accomplir les tâches qui lui incombent.
Biens (Assets) - éléments d'actifs corporels ou incorporels du Gouvernement du Canada. Ce terme s'applique, sans toutefois s'y limiter, aux renseignements, sous toutes leurs formes et quel que soit leur support, aux réseaux, aux systèmes, au matériel, aux biens immobiliers, aux ressources financières, à la confiance des employés et du public, et à la réputation internationale. (Les renseignements ont été inclus à cette définition exclusivement aux fins de la présente politique. On ne peut en conclure que les conséquences juridiques applicables aux biens dans le sens légal s'appliquent aussi aux renseignements).
Biens classifiés (classified assets) - biens dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à l'intérêt national.
Biens essentiels (critical assets) - biens supportant un service essentiel.
Biens protégés (protected assets) - biens dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à des intérêts privés ou non reliés à l'intérêt national.
Certification (certification) - évaluation complète des dispositifs de sécurité techniques et non techniques d'un système des TI et d'autres mesures de sauvegarde connexes, effectuée à l'appui de l'accréditation, pour déterminer le degré selon lequel un modèle de conception et de mise en œuvre précis satisfait à un ensemble donné d'exigences en matière de sécurité.
Compromission (compromise) - divulgation, destruction, suppression, modification, interruption d'accès ou utilisation de biens qui est non autorisée.
COMSEC - sécurité des télécommunications : mesures sécuritaires de crytographie, de transmission et d'émission que l'on applique aux renseignements conservés, traités ou transmis électroniquement; une composante de la sécurité des technologies de l'information.
Confidentialité (confidentiality) - caractéristique selon laquelle les renseignements ne doivent pas être divulgués à des personnes non autorisées, cela pouvant porter préjudice à l'intérêt national ou à d'autres intérêts, comme l'indiquent des dispositions précises de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.
Cote spéciale d'accès (site access clearance) - cote requise pour accéder à des installations vitales pour l'intérêt national ou aux zones à accès restreint des événements majeurs.
Cote de fiabilité (reliability status) - indique que l'évaluation de la fiabilité a été achevée avec succès et donne à la personne visée un accès régulier à des biens du gouvernement et un accès à des renseignements protégés en fonction du besoin de connaître.
Cote de sécurité (security clearance) - indique que l'évaluation de sécurité a été achevée avec succès; avec un besoin de connaître, permet d'avoir accès à des renseignements classifiés. Il y a trois niveaux : Confidentiel, Secret et Très secret.
Disponibilité (availability) - condition d'être disponible sur demande afin de soutenir les opérations, les programmes et les services.
Exigences sécuritaires de base (baseline security requirements) - dispositions obligatoires de la Politique du gouvernement sur la sécurité, de ses normes opérationnelles et de sa documentation technique.
Incident de sécurité (security incident) - compromission d'un bien ou tout acte ou omission qui pourrait se traduire par une compromission; menaces ou actes de violence à l'encontre des employés.
Installation (facility) - désigne un aménagement physique qui sert à une fin précise. On entend par installation une partie ou la totalité d'un immeuble, soit un immeuble, son emplacement et ses alentours, ou encore une construction qui n'est pas un immeuble. Le terme désigne non seulement l'objet même mais aussi son usage.
Intégrité (integrity) - exactitude et intégralité des biens, et authenticité des transactions.
Intérêt national (national interest) - concerne la défense et le maintien de la stabilité sociopolitique et économique du Canada.
Menace (threat) - tout événement ou acte éventuel, délibéré ou accidentel, qui pourrait porter préjudice aux employés ou aux biens.
Planification de la continuité opérationnelle (business continuity planning) - terme global s'appliquant notamment à l'élaboration et à l'exécution opportune de plans, de mesures, de procédures et de préparatifs afin d'éviter ou de minimiser tout arrêt de la disponibilité des services et des biens essentiels.
Pour un motif valable (for cause) - terme indiquant qu'il y a un motif raisonnable de revoir, suspendre, abaisser ou révoquer une cote de fiabilité ou de sécurité. Dans le contexte d'une évaluation de sécurité, terme indiquant la nécessité d'effectuer des vérifications plus approfondies.
Processus de passation des marchés (contracting process) - désigne l'invitation à soumissionner, les négociations, la passation, l'exécution et la résiliation des marchés.
Renseignements classifiés (classified information) - renseignements d'intérêt national susceptibles d'être visés par une exclusion ou une exception en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, et dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à l'intérêt national.
Renseignements protégés (protected information) - renseignements autres que d'intérêt national susceptibles d'être visés par une exclusion ou une exception en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, et dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à des intérêts privés ou non reliés à l'intérêt national.
Risque (risk) - possibilité qu'une vulnérabilité soit exploitée.
Sécurité des technologies de l'information (information technology security) - mesures de sauvegarde visant à préserver la confidentialité, l'intégrité, la disponibilité, l'utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique.
Sécurité matérielle (physical security) - mesures de sauvegarde matérielle pour empêcher et retarder l'accès non autorisé aux biens, pour détecter l'accès non autorisé recherché et obtenu et pour déclencher une intervention appropriée.
Service essentiel (critical service) - service dont la compromission en termes de disponibilité ou d'intégrité résulterait en un préjudice élevé à la santé, la sûreté, la sécurité et le bien-être économique des Canadiens et des Canadiennes ou encore à l'efficacité du Gouvernement du Canada.
Valeur (value) - coût approximatif soit monétaire, culturel ou autre.
Vulnérabilité (vulnerability) - faiblesse quant à la sécurité qui pourrait permettre à une menace de causer préjudice.