Norme opérationnelle sur la sécurité matérielle

Énonce les exigences de base en matière de sécurité matérielle afin de contrer les menaces pour les employés, les biens et la prestation des services de même qu’assurer des mesures de protection uniformes pour le gouvernement du Canada.
Modification : 2013-02-18

Renseignements supplémentaires

Directive :

Terminologie :

Sujet :

Hiérarchie

Version imprimable XML

Glossaire

accès non autorisé (unauthorized access)
Accès à des biens par un particulier qui n'a pas fait l'objet d'une enquête de sécurité du personnel exigée ou ne satisfait pas aux critères du besoin de connaître, ou les deux.
Administrateur général (Deputy Head)
Administrateur général tel que défini à l'article 11 de la Loi sur la gestion des finances publiques et, dans le cas des Forces canadiennes, le chef d'état-major de la Défense.
attaque (attack)
Toute action pour mettre à exécution la menace.
attaque subreptice (surreptitious attack)
Une attaque secrète et non autorisée visant à percer ou contourner un système de protection ou certaines de ses composantes de manière à ce que les gardiens ou la force d'intervention ne puissent la détecter facilement.
besoin de connaître (need-to-know)
Besoin éprouvé par une personne d'accéder à des renseignements et de les connaître pour accomplir les tâches qui lui incombent.
biens (assets)
Éléments d'actifs corporels ou incorporels du Gouvernement du Canada. Ce terme s'applique, sans toutefois s'y limiter, aux renseignements, sous toutes leurs formes et quel que soit leur support, aux réseaux, aux systèmes, au matériel, aux biens immobiliers, aux ressources financières, à la confiance des employés et du public, et à la réputation internationale.
biens classifiés (classified assets)
Biens dont la compromission risquerait vraisemblablement de porter préjudice à l'intérêt national.
cadre supérieur (executive)
Employé nommé au niveau du groupe de la direction (niveaux EX-01 à EX-05), c.-à-d. un directeur, un directeur général, un sous-ministre adjoint ou l'équivalent.
coffre de sécurité (security container)
Lieu de rangement de biens classifiés entièrement fermé et conçu pour résister à la force et à des attaques subreptices; p. ex., coffre-fort, armoire de sécurité, coffret de sûreté, chambre forte, chambre forte démontable ou pièce sécuritaire.
compromission (compromise)
Divulgation, destruction, enlèvement, modification, interruption ou utilisation de biens qui est non autorisée.
confidentialité (confidentiality)
Qualité conférée à des renseignements pour signifier qu'ils ne peuvent être divulgués qu'à des personnes autorisées, afin de prévenir tout préjudice à l'intérêt national ou à d'autres intérêts.
connaissance de la situation (situational awareness)
Avoir une compréhension de son environnement et de ce qui se passe pour comprendre comment les événements et les mesures influeront sur les objectifs opérationnels, maintenant et dans un proche avenir. Il est essentiel de bien connaître la situation, de manière précise, actualisée et complète dans tout domaine où la complexité technologique, le processus décisionnel et le bien-être du public interagissent. Comme la gestion des incidents fait intervenir des prédictions et des prévisions, il est essentiel, pour connaître la situation d'un domaine de la TI, de saisir les relations qui existent entre les services et les renseignements essentiels, les mécanismes de protection de l'infrastructure et des processus de TI, de même que l'évolution des menaces.
contrôle de l'accès (control of access)
Assurer l'accès autorisé aux biens à l'intérieur d'une installation ou de zones d'accès restreint, en effectuant le triage des visiteurs et du matériel aux points d'entrée par les membres du personnel, les gardes ou de façon informatisée et, lorsque requis, en surveillant leur déplacement à l'intérieur de l'installation ou des zones d'accès restreint en les accompagnant.
contrôle de sécurité (security control)
Mesure administrative, opérationnelle, technique, physique ou juridique visant à gérer les risques pour la sécurité. Cette expression est synonyme de protection.
cote de fiabilité (reliability status)
Indique que l'évaluation de fiabilité a été complétée avec succès et donne à la personne visée un accès régulier aux biens gouvernementaux et un accès à des renseignements PROTÉGÉS en fonction du besoin de connaître.
cote de sécurité (security clearance)
Indique que l'évaluation de sécurité a été complétée avec succès; avec un besoin de connaître, permet d'avoir accès à des renseignements classifiés. Il y a trois niveaux : confidentiel, secret et très secret.
déchiquetage (shredding)
Méthode mécanique de coupe ou de broyage utilisée pour réduire en fragments des papiers d'épaisseur standard, des microfilms et des microfiches.
détection (detection)
Utilisation des mécanismes, des systèmes et des procédures qui s'imposent pour signaler qu'il y a eu tentative d'accès non autorisé ou accès non autorisé.
divulgation non autorisée (unauthorized disclosure)
Divulgation interdite par la loi ou par des politiques gouvernementales ou ministérielles.
enquête de sécurité (security screening)
Toute mesure permettant d'obtenir un degré élevé d'assurance qu'une personne peut se voir accorder des privilèges d'accès spécifiques au sein du gouvernement fédéral.
enquête de sécurité du personnel (personnel security screening)
Le processus d'évaluation de la fiabilité des employés et de leur qualification professionnelle relativement à leur poste, ainsi que, lorsque l'intérêt national est en cause, de leur loyauté et fiabilité y afférant. Lorsque l'évaluation est satisfaisante, l'employé obtient une cote de fiabilité ou une cote de sécurité. La cote de fiabilité s'applique lorsque seulement des biens protégés sont en cause. Lorsque l'employé a accès à des biens classifiés, une cote de sécurité correspondant au niveau de nature délicate des biens en cause est décernée. Une cote de sécurité implique une cote de fiabilité préalable. Voir Triage.
exigences de base (baseline security requirements)
Dispositions obligatoires de la Politique sur la sécurité du gouvernement, de ses normes opérationnelles et de sa documentation technique.
gestion de l'identité (identity management)
Ensemble de principes, de pratiques, de processus et de procédures permettant de remplir le mandat d'une organisation et d'atteindre ses objectifs liés à l'identité.
gestion des urgences (emergency management)
La prévention et l'atténuation des situations d'urgence, la préparation et de la réaction à ces situations ainsi que le rétablissement des activités.
gestionnaires de tous niveaux (managers at all levels)
Cela comprend les superviseurs, les gestionnaires et les cadres supérieurs.
identité (identity)
Référence ou désignation utilisée pour distinguer une personne, une organisation ou un appareil unique et particulier.
incident complexe de sécurité des TI (sophisticated IT security incident)
Événement habituellement déclenché par les auteurs d'une menace complexe qui est compliqué à détecter, dont il est difficile de se remettre, qui cause un préjudice aux réseaux et systèmes du gouvernement du Canada et qui porte atteinte à la confidentialité, à l'intégrité et à la disponibilité de l'information.
incident de sécurité (security incident)
Tout acte de violence en milieu de travail manifestée à l'endroit d'un employé ou tout acte, événement ou omission pouvant entraîner la compromission d'informations, de biens ou de services.
installation (facility)
Désigne un aménagement physique qui sert à une fin précise. On entend par installation une partie ou la totalité d'un immeuble, soit un immeuble, son emplacement et ses alentours, ou encore une construction qui n'est pas un immeuble. Le terme désigne non seulement l'objet même mais aussi son usage (p. ex., champs de tir, terres agricoles).
intégrité (integrity)
Exactitude et intégralité des biens, et authenticité des transactions.
intérêt national (national interest)
Concerne la défense et le maintien de la stabilité sociopolitique et économique du Canada.
interopérabilité (interoperability)
Capacité des ministères du gouvernement fédéral de fonctionner en synergie au moyen de pratiques uniformes en matière de gestion de la sécurité et de l'identité.
intervention (response)
Mise en œuvre de mesures visant à faire en sorte que les incidents en matière de sécurité soient déclarés aux responsables en la matière et que des correctifs immédiats et à long terme soient adoptés.
matériel (material)
Objet corporel à l'exclusion de ceux qui renferment des renseignements.
menace (threat)
Tout événement ou acte éventuel, délibéré ou accidentel, qui pourrait porter préjudice aux employés ou aux biens.
menace complexe à la sécurité des TI (sophisticated IT security threat)
Entité qui recourt à des technologies de pointe et à des procédés perfectionnés pour pénétrer ou contourner des systèmes de protection et des technologies de sécurité sans être décelée.
ministère (department)
Conformément à la description prévue à la section 2 : Application de la PSG. Dans le présent document, « ministère » désigne le rôle du locataire, celui du gardien, ou les deux.
ministère gardien (custodian department)
Ministère responsable de l'administration d'un immeuble attribué à d'autres ministères au titre de l'exécution de programmes gouvernementaux.
ministère locataire (tenant department)
Ministère qui occupe un immeuble du gouvernement fédéral administré par un autre ministère ou une société d'État.
planification de la continuité des activités (business continuity planning)
Terme global s'appliquant notamment à l'élaboration et à l'exécution opportune de plans, de mesures, de procédures et de préparatifs afin d'éviter ou de minimiser tout arrêt de la disponibilité des services et des biens essentiels.
pour un motif valable (for cause)
Situation où il est déterminé qu'il existe une raison suffisante de révaluer, de révoquer, de suspendre ou de réduire une cote de fiabilité, une autorisation de sécurité ou un accès à des sites.
protection (protection)
En matière de sécurité matérielle, « protection » désigne le recours à des obstacles matériels, psychologiques et de procédure visant à retarder l'accès non autorisé ou à exercer un effet dissuasif à cet égard, y compris les obstacles visuels et auditifs.
renseignement électromagnétique (SIGINT) (Signals intelligence (SIGINT))

Information technique ou renseignement comportant (seul ou en combinaison) du renseignement sur les communications (COMINT), du renseignement électronique (ELINT) et du renseignement tiré de signaux d'instrumentation étrangers (FISINT).

renseignement électronique (ELINT)
Information technique ou renseignement tiré de la collecte, du traitement et de l'analyse d'émissions électromagnétiques autres que de communications.
renseignement tiré de signaux d'instrumentation étrangers (FISINT)
Information technique ou renseignement tiré de la collecte, du traitement et de l'analyse de signaux d'instrumentation étrangers par une personne autre que le destinataire prévu.
renseignement sur les communications (COMINT)
Information technique ou renseignement tiré de l'exploitation, par une personne autre que le destinataire prévu, de systèmes de télécommunications, de systèmes et de réseaux de technologie de l'information, ainsi que de toute donnée ou information technique véhiculée par ceux-ci, contenue dans ceux-ci ou s'y rapportant.
renseignement ou bien protégé (protected asset or information)
Un bien ou un renseignement pouvant être visé par une exemption ou une disposition d'exclusion de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels parce que l'on peut raisonnablement s'attendre à ce que sa divulgation compromette l'intérêt non national.
renseignements (information)
Suite de symboles ou de sons auxquels un sens peut être attribué.
renseignements classifiés (classified information)
Renseignements d'intérêt national susceptibles d'être visés par une exclusion ou une exception en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, et dont la compromission risquerait vraisemblablement de porter préjudice à l'intérêt national.
renseignements protégés (protected information)
Renseignements autres que d'intérêt national susceptibles d'être visés par une exclusion ou une exception en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, et dont la compromission risquerait vraisemblablement de porter préjudice à des intérêts privés ou non liés à l'intérêt national.
renseignements protégés ou classifiés (protected or classsified information)
Voir Renseignements protégés et Renseignements classifiés.
rétablissement (recovery)
Rétablissement du niveau intégral de prestation de services.
risque (risk)
Possibilité qu'une vulnérabilité soit exploitée.
risque résiduel (residual risk)
Le risque qui continue d'exister après l'application des contrôles.
sécurité de l'immeuble de base (base building security)
Mesures de sécurité fournies par le ministère gardien afin de protéger un immeuble, mais non les biens qu'il contient. La sécurité de l'immeuble de base établit le fondement ou le point de départ d'autres exigences de sécurité (c.-à-d., mesures de protection minimales et accrues) à ajouter afin de protéger les biens particuliers détenus par l'institution.
sécurité des communications (COMSEC) (Communications Security (COMSEC))
Application de mesures de sécurité cryptographique, de sécurité des transmissions et des émissions et de sécurité matérielle ainsi que de pratiques et de mécanismes de contrôle opérationnels pour empêcher tout accès non autorisé à l'information issue de télécommunications et pour garantir l'authenticité de ces télécommunications.
sécurité matérielle (physical security)
Mesures de sauvegarde matérielle pour empêcher ou retarder l'accès non autorisé aux biens, pour détecter l'accès non autorisé recherché et obtenu et pour déclencher une intervention appropriée.
service essentiel (critical service)
Service dont la compromission, du point de vue de la disponibilité ou de l'intégrité, porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada.
surveillé (monitored)
Faisant l'objet de guet ou de détection d'infraction à la sécurité.
surveillé continuellement (monitored continuously)
Faisant l'objet de confirmation sur une base continuelle qu'il n'y a pas eu infraction à la sécurité, comme un système de détection électronique de l'intrusion ou quelqu'un qui garde un point particulier sur une base constante.
surveillé sur une base périodique (monitored periodically)
Faisant l'objet de confirmation sur une base régulière qu'il n'y a pas eu infraction à la sécurité. La fréquence et la diligence de la surveillance sont basées sur les recommandations d'une évaluation de la menace et des risques, comme une patrouille de surveillance ou des employés qui travaillent sur les lieux.
triage (screening)
Le processus de vérification des visiteurs et/ou du matériel (tel que livraisons de colis et de courrier) aux points d'entrée d'une installation ou d'une zone d'accès restreint pour en autoriser l'accès. Voir Enquête de sécurité du personnel.
urgence (emergency)
Événement présent ou imminent, y compris les incidents liés aux technologies de l'information, nécessitant des actions rapides et coordonnées pour protéger la santé, la sécurité ou le bien-être de personnes ou encore pour limiter les dommages à des biens ou à l'environnement.
valeur (value)
Coût approximatif soit monétaire, culturel ou autre.
violence en milieu de travail (workplace violence)
Agissement, conduite, menace ou geste qui pourrait vraisemblablement causer un dommage, des blessures ou une maladie à un employé en milieu de travail.
vulnérabilité (vulnerability)
Faiblesse quant à la sécurité qui pourrait permettre à une menace de causer préjudice.
zones (zones)
Une série d'espaces clairement visibles pour contrôler progressivement l'accès.
Date de modification :