Archivée [2020-03-31] - Politique sur l'utilisation acceptable des dispositifs et des réseaux

utilisation acceptable - utilisation permise par les personnes autorisées des dispositifs et des réseaux électroniques du gouvernement du Canada :

• pour des activités dans le cadre de leurs fonctions officielles;
• pour l'avancement professionnel et d'autres activités professionnelles;
• pour une utilisation personnelle limitée pendant leur temps libre, utilisation qui n'entraîne pas de gain financier personnel ni de coût supplémentaire pour le ministère et qui ne nuit pas au déroulement des activités.

L'utilisation des dispositifs et des réseaux électroniques du gouvernement du Canada doit toujours être en conformité avec le Code de valeurs et d'éthique du secteur public et toutes les autres politiques du Conseil du Trésor et les codes de conduites et politiques ministérielles connexes. L'utilisation des dispositifs et des réseaux électroniques du gouvernement du Canada ne doit pas entraîner de conflit d'intérêts réel, potentiel ou apparent et ne doit pas nuire à l'intégrité du ministère. (Voir aussi l'annexe B)

accès

L'accès s'entend de l'entrée en communication avec un réseau électronique que le gouvernement fédéral a mis à la disposition des personnes autorisées. L'accès à un tel réseau peut avoir lieu dans les locaux mêmes du gouvernement ou à l'extérieur de ceux-ci. L'accès peut également comprendre les situations de télétravail et d'accès à distance, ou des situations où des personnes autorisées utilisant les réseaux électroniques fournis par le gouvernement à des fins personnelles limitées pendant leurs temps libres.

personnes autorisées

Personnes travaillant avec le gouvernement du Canada, y compris les employés occasionnels, les entrepreneurs, les étudiants et autres personnes qui ont été autorisées par l'administrateur général à accéder aux dispositifs et réseaux électroniques du gouvernement du Canada.

réseau électronique

Groupes d'ordinateurs et de systèmes informatiques qui sont en mesure de communiquer entre eux, y compris, mais sans s'y limiter, Internet, les réseaux de données électroniques du gouvernement du Canada et l'infrastructure de réseau vidéo ainsi que des réseaux publics et privés à l'extérieur d'un ministère. Le réseau comprend les éléments à la fois avec et sans fil.

réseaux externes

Réseaux dont l'accès est possible à partir du réseau du gouvernement du Canada, et auxquels les personnes autorisées ont la permission d'accéder. Ceux-ci comprennent des sites permis dans l'ensemble d'Internet public et au moyen du World Wide Web, y compris aux services fournis par les tiers tels que les logiciels de groupe.

Internet

Est un système global de réseaux informatiques interconnectés qui utilisent l'ensemble de protocoles Internet standard (TCP/IP) pour servir des milliards d'usagers à l'échelle mondiale.

occasions d'apprentissage

Divers outils et méthodes d'apprentissage, formels ou informels, servant à sensibiliser ou à permettre l'acquisition de connaissances au sujet de l'utilisation acceptable de dispositifs et de réseaux électroniques du gouvernement du Canada ainsi que des outils et services externes et du gouvernement du Canada relatifs au Web 2.0. Ces approches peuvent comprendre, sans s'y limiter, des séances d'information ou d'orientation, les vidéos dans YouTube, des renseignements fournis par l'entremise de sites intranet ministériels, de séances d'information de gestionnaires, d'avis d'ouverture de compte et de bulletins électroniques.

pratiques de surveillance

Les pratiques de surveillance décrivent l'utilisation d'un système logiciel qui surveille un réseau électronique pour relever les composantes lentes ou défectueuses, et qui avertit l'administrateur du réseau en cas de panne. Le système peut également surveiller les activités dans le réseau de personnes données que l'on soupçonne raisonnablement d'utiliser de façon inacceptable le réseau. L'enregistrement et l'analyse de l'utilisation des réseaux électroniques à des fins opérationnelles et pour évaluer la conformité avec la politique du gouvernement.

accès ouvert

L'accès ouvert s'entend de la fourniture d'accès Internet, conformément à la Politique sur la sécurité au gouvernement, des personnes autorisées au moyen de dispositifs et de réseaux électroniques du gouvernement du Canada qui, de la perspective des paramètres de pare-feu, est essentiellement équivalent peu importe le ministère ou le moyen d'accès. Les sites Internet qui accroissent la productivité, la communication et la collaboration ne sont pas bloqués, à l'exception de ceux qui présentent un risque légitime pour la sécurité de la TI ou ceux dont le contenu se situe, essentiellement, dans la catégorie d'utilisation inacceptable.

utilisation inacceptable

L'utilisation inacceptable s'entend de toute activité non conforme aux politiques du Conseil du Trésor ou du ministère, y compris, sans s'y limiter, les activités ou les comportements :

• qui peuvent constituer des actes criminels;
• qui vont à l'encontre des lois fédérales et provinciales;
• qui ont des effets préjudiciables sur le rendement des dispositifs et réseaux électroniques du gouvernement du Canada;
• qui font obstacle aux opérations ministérielles ou à la prestation de services;
• qui vont à l'encontre de l'obligation de loyauté imposée aux fonctionnaires (p. ex., critiquer publiquement le gouvernement du Canada);
• qui peuvent raisonnablement entraîner des poursuites en responsabilité civile. (Voir aussi l'annexe C)

appareils des utilisateurs

On entend par appareils des utilisateurs des appareils physiques que l'on trouve dans le milieu de travail ou que les personnes autorisées y introduisent afin d'accéder aux réseaux et bases de données électroniques du gouvernement du Canada. Les appareils physiques peuvent comprendre, sans s'y limiter, ce qui suit : des postes de travail de bureau, des ordinateurs portables, des blocs-notes électroniques, des tablettes électroniques, des téléphones intelligents, des appareils périphériques tels que des imprimantes et des scanneurs, des dispositifs à mémoire tels que des clés USB, des lecteurs de CD et de DVD, des caméras Web et d'autre matériel informatique utilisé pour obtenir, entreposer ou diffuser de l'information.

Web 2.0

Par Web 2.0, on entend des outils et des services Internet qui permettent la mise en commun participative et multidirectionnelle de l'information, le dialogue, la syndication et la production de contenu par l'utilisateur. Cela peut comprendre les médias sociaux et les technologies de collaboration.

L'accès ouvert à Internet, y compris aux outils et services du gouvernement du Canada et du Web 2.0 externe, permet aux personnes autorisées d'effectuer des opérations avec le gouvernement de façon efficace et efficiente. Pour ce faire, une utilisation acceptable des réseaux électroniques, des dispositifs du gouvernement du Canada et des outils et services internes et externes et du Web 2.0 favorisera la transformation de la façon dont les fonctionnaires effectuent leur travail, et améliorera la collaboration et le réseautage avec les pairs. Cela permettra d'augmenter le nombre de possibilités de perfectionnement professionnel et de faciliter une utilisation limitée de ces outils pendant les heures de travail.

Aussi, le fait d'aviser les utilisateurs des comportements attendus lors de l'utilisation des réseaux et des dispositifs du gouvernement du Canada et des outils et services internes et externes du Web 2.0 aidera à protéger les utilisateurs contre des infractions potentielles de la confidentialité et de la protection des renseignements personnels et à respecter la Politique sur la sécurité du gouvernement, de la Politique sur les communications du gouvernement du Canada, du Code de valeurs et d'éthique du secteur public et d'autres politiques du Conseil du Trésor et codes de conduite et politiques ministériels connexes.

La liste suivante comprend des exemples d'utilisation acceptable des outils et services internes et externes du Web 2.0 qui sont offerts sur les réseaux et dispositifs électroniques du gouvernement du Canada.

Activités de perfectionnement professionnel et en lien avec le travail :

• organiser des consultations à l'échelle du gouvernement du Canada grâce à des wikis internes et à des forums pour favoriser l'élaboration de politiques et de programmes;
• échanger des connaissances et de l'information à l'interne et entre les ministères pour favoriser la planification et la prise de décisions ou faciliter la collaboration sur un projet;
• regarder la diffusion d'émissions en ligne dont le contenu est en lien avec le travail, comme la réunion d'un comité parlementaire à l'aide de ParlVU;
• effectuer des recherches et consulter des rapports en ligne, des présentations et des ensembles de données;
• se tenir au courant des nouveautés affichées sur les médias sociaux par les ministères et organismes fédéraux et provinciaux, les gouvernements municipaux ou les compétences ou organisations internationales;
• documenter des connaissances sur les wikis du gouvernement du Canada pour faciliter l'orientation des employés, la planification de la relève et le transfert des connaissances;
• participer à des conférences audio ou vidéo avec des collègues ou des clients d'autres organisations ou compétences grâce à des outils comme Skype ou Google Hangouts;
• élaborer et partager des organes d'archivage de codes en collaboration avec les ministères, d'autres compétences et des organisations du secteur privé grâce à l'utilisation d'outils d'échange de codes, comme GitHub;
• tirer parti de l'expertise pangouvernementale en créant de nouvelles collectivités d'intérêt en ligne ou en y participant afin de discuter de sujets d'intérêt professionnel commun, comme #w2p (communauté d'intervenants du Web 2.0);
• avoir accès à des renseignements non classifiés, ou les échanger, grâce à des outils reposant sur les nuages, comme SlideShare;
• collaborer à des initiatives et à des projets conjoints grâce à des discussions ouvertes ou fermées, le cas échéant, avec d'autres ministères et d'autres paliers de gouvernement grâce à l'utilisation de wikis, d'applications de réseautage professionnel, d'outils internes comme GCDocs ou des outils externes en nuage comme Google Docs;
• tenir le profil des sites de réseautage professionnel, comme LinkedIn, à jour;
• suivre les leaders éclairés et les représentants du gouvernement sur les blogues ou les microblogues comme Twitter;
• gazouiller, re-gazouiller ou partager des liens vers des activités et des événements professionnels, ou vers des articles pertinents et intéressants;
• lire des articles en lien avec le travail sur les wikis, les forums en ligne ou les groupes de discussion, y contribuer ou les mettre en forme;
• discuter d'enjeux professionnels ou participer à des associations professionnelles sur différents forums en ligne ou des sites de réseaux sociaux;
• participer à des activités de formation professionnelle en ligne (p. ex. webinaires, produits d'apprentissage en ligne offerts par l'EFPC, balados);
• trouver les coordonnées d'un collègue ou d'un client ou comment se rendre à une rencontre;
• organiser des déplacements pour le travail, y compris la réservation de billets, et trouver de l'information sur l'accueil dans les examens de déplacement du gouvernement du Canada ou d'un tiers;
• remplir une demande d'emploi en ligne ou participer à une entrevue en ligne.

Nota : Les recherches sur l'opinion publique effectuées par l'entremise des outils du Web 2.0 doivent respecter la Procédure de planification et d'attribution de marchés de services de recherche sur l'opinion publique.

Nota : L'accès ouvert sera accordé graduellement aux ministères, une fois les restrictions sur la largeur de bande réglées.

Utilisation personnelle limitée

Voici certains exemples d'une utilisation personnelle faite à son propre temps et qui n'a aucun but financier, qui n'engage aucun coût additionnel pour le ministère, et qui ne vient pas nuire aux activités :

• trouver de l'information en ligne;
• se tenir à jour des nouveautés et des événements courants;
• s'inscrire à des fils de syndication (comme RSS);
• obtenir des directives pour un voyage ou trouver des adresses et des coordonnées;
• organiser un voyage personnel;
• afficher ou lire des cotes/des critiques de produits ou de services ou effectuer des achats en ligne;
• vérifier la météo;
• confirmer l'horaire des autobus;
• payer des factures ou effectuer des opérations bancaires personnelles en ligne;
• lire des forums, des blogues, des groupes de discussion, des wikis sur des sujets d'intérêt personnel ou y participer;
• mettre à jour un blog personnel, un microblog ou une page de réseau social ou Web personnel à des fins non commerciales ou qui tiennent compte des utilisations inacceptables expliquées à l'annexe C;
• visiter des sites de réseautage social pour communiquer avec les membres de la famille et des amis.

Les conséquences d'ordre juridique d'une utilisation inacceptable seront déterminées par la disposition de la loi à laquelle la personne contrevient. Les conséquences sur l'emploi d'une utilisation inacceptable seront déterminées par les instruments de politique existants et les directives des conseillers en relations de travail du ministère. Les ministères peuvent limiter l'utilisation des dispositifs et réseaux électroniques du gouvernement du Canada ou appliquer des conséquences sur l'emploi si l'activité ou le comportement :

• est inacceptable ou de nature criminelle;
• va à l'encontre des politiques et codes de conduites du Conseil du Trésor ou du ministère et d'autres exigences publiées;
• a une incidence préjudiciable sur le rendement des dispositifs et réseaux électroniques du gouvernement du Canada;
• entrave les opérations ministérielles ou la prestation de services;
• l'activité ou le comportement va à l'encontre de l'obligation de loyauté imposée aux fonctionnaires (p. ex., critiquer publiquement le gouvernement du Canada).

Infractions pénales

Ce qui suit est une liste non exhaustive d'exemples d'activités pénales qui pourraient avoir lieu sur des dispositifs ou réseaux du gouvernement du Canada :

• Pornographie juvénile : Avoir en sa possession, télécharger ou distribuer de la pornographie juvénile.
• Violation des droits d'auteur - Distribuer consciemment des copies contrefaites d'un document protégé par des droits d'auteur.
• Diffamation : Faire lire par d'autres un énoncé susceptible de nuire à la réputation de quelqu'un en l'exposant à la haine, au mépris ou au ridicule, ou conçu pour l'insulter.
• Refus du droit d'accès en vertu de la Loi sur l'accès à l'Information : Détruire, mutiler, altérer, falsifier ou dissimuler un dossier ou créer un faux dossier dans l'intention de refuser le droit d'accès en vertu de la Loi sur l'accès à l'information.
• Piratage et autres crimes contre la sécurité informatique.
• Accès non autorisé à un système informatique - Utilisation du mot de passe ou des clés de cryptage d'autrui pour commettre une fraude ou obtenir de l'argent, des biens ou des services en faisant de fausses déclarations sur un système informatique.
• Tentative de percer les dispositifs de sécurité des réseaux électroniques.
• Propagation de virus dans l'intention de causer du tort.
• Destruction, modification, falsification ou encodage des données sans autorisation à dessein de les rendre inaccessibles à des utilisateurs autorisés.
• Entrave à l'utilisation licite par d'autres de données et d'ordinateurs.
• Harcèlement : Envoi de messages électroniques qui amène des personnes à craindre pour leur sécurité ou celle de personnes de leur entourage.
• Propagande haineuse - Diffuser des messages fomentant la haine ou incitant à la violence contre des groupes identifiables autrement que dans une conversation privée.
• Interception de communications privées ou de courrier électronique (en transit) - Intercepter illégalement les communications privées de quelqu'un ou intercepter illégalement le courrier électronique de quelqu'un.
• Obscénité - Distribuer, publier ou avoir en sa possession en vue de le distribuer ou de l'exposer publiquement tout document obscène.
• Divers autres crimes : Le Code criminel et quelques autres lois prévoient toute une gamme d'autres actes criminels susceptibles d'être entièrement ou partiellement commis grâce à l'utilisation des réseaux électroniques. Par exemple, la fraude, l'extorsion, le chantage, la corruption, les paris illégaux et le trafic de drogues illégales sont tous des actes criminels qui peuvent être commis, du moins en partie, sur les réseaux électroniques.

Infractions aux lois fédérales et provinciales

Ce qui suit est une liste non exhaustive d'exemples d'actes illégaux (mais pas criminels) qui pourraient être commis au moment d'accéder à Internet au moyen de dispositifs ou de réseaux électroniques du gouvernement du Canada :

• Communication non autorisée de données délicates.
• Communication de renseignements personnels - Le fait de ne pas respecter la vie privée et la dignité d'une personne.
• Divulgation de secrets commerciaux - Révéler sans autorisation des secrets commerciaux, autrement qu'en réponse à une demande formelle en vertu de la Loi de l'accès à l'information.
• Divulgation de renseignements gouvernementaux de nature délicate : Communication non autorisée de renseignements gouvernementaux de nature délicate.
• Violation du droit de propriété intellectuelle : Violer ou utiliser sans autorisation la propriété intellectuelle d'autrui (droits d'auteur, marque de commerce ou brevet).
• Harcèlement - Il est discriminatoire de harceler une personne en se fondant sur un motif de distinction illicite. Les motifs de distinction illicite sont ceux qui sont fondés sur la race, l'origine nationale ou ethnique, la couleur, la religion, l'âge, l'orientation sexuelle, l'état matrimonial, la situation de famille, la déficience ou l'état de personne graciée.
• Atteintes à la vie privée - On entend par atteintes à la vie privée, entre autres, les actes non autorisés qui suivent : Lire tout message électronique qui s'adresse à une autre personne ou tout autre renseignement personnel, écouter les conversations privées ou intercepter les courriels en transit, par exemple.

Violation de politiques et de publications organisationnelles ou du Conseil du Trésor

Ce qui suit est une liste non exhaustive d'exemples d'activités qui enfreignent les politiques du Conseil du Trésor (et enfreignent peut-être des politiques organisationnelles comparables) :

• Congestionner et perturber les réseaux et les systèmes électroniques du gouvernement du Canada, notamment en envoyant des chaînes de lettres et en recevant du courrier électronique de serveurs de listes à d'autres fins que le travail. Ce sont là des exemples d'utilisation excessive à des fins personnelles (Politique sur la sécurité du gouvernement).
• Utiliser les réseaux électroniques du gouvernement du Canada pour autoriser des activités telles que décrites dans la présente Politique et de documents d'orientation connexes (Politique sur les conflits d'intérêts et l'après-mandat).
• Utiliser les réseaux électroniques du gouvernement du Canada pour faire des commentaires publics au sujet des politiques gouvernementales, sauf en agissant en la capacité de porte-parole officiel, ou pour se livrer à des activités politiques qui risqueraient de porter atteinte à sa capacité d'exécuter des fonctions de façon impartiale (Loi sur l'emploi dans la fonction publique, Code de valeurs et d'éthique du secteur public et Politique sur les conflits d'intérêts et l'après-mandat).
• Faire passer des opinions personnelles pour celles de l'organisation ou autrement tout défaut de se conformer aux procédures organisationnelles relatives aux énoncés publics sur les positions du gouvernement (Politique sur les conflits d'intérêt et l'après-mandat).
• Fournir au personnel non autorisé l'accès aux systèmes, aux réseaux ou aux applications utilisés pour le traitement de renseignements de nature délicate avant qu'il ait fait l'objet d'une enquête de sécurité adéquate (Politique sur les conflits d'intérêt et l'après-mandat).
• Négliger d'annuler les droits d'accès aux systèmes d'un employé qui quitte l'institution en raison d'une mise en disponibilité ou de l'expiration d'un contrat, ou qui perd sa cote de fiabilité ou son attestation de sécurité (Politique sur la sécurité du gouvernement).
• Installer ou retirer sans autorisation du matériel ou des logiciels sur des ordinateurs ou des réseaux électroniques du gouvernement (Politique sur la sécurité du gouvernement).
• Qui plus est, sauf à des fins valides liées au travail, les personnes non autorisées ne peuvent pas utiliser les dispositifs ou les réseaux électroniques du gouvernement du Canada ou envoyer ou recevoir des messages électroniques ou autres types de communication qui relèvent des catégories suivantes :
  • Documents incitant à la haine contre des groupes identifiables et contenus dans des messages personnels (le Code criminel interdit l'incitation à la haine contre des groupes identifiables dans des conversations publiques, ce qui constitue également une infraction criminelle).
  • Documents dont l'objet principal est la pornographie, la nudité et les actes sexuels.

Activités pouvant exposer des personnes autorisées ou l'employeur à des poursuites en responsabilité civile

Divers comportements peuvent exposer une personne autorisée ou un employeur à des poursuites en responsabilité civile. La responsabilité civile de l'employeur sera engagée lorsqu'un employé de la fonction publique ou une personne autorisée commet l'activité. Ce qui suit est une liste non exhaustive d'exemples de délits civils découlant d'activités sur les dispositifs et les réseaux électroniques du gouvernement du Canada :

• Communication ou collecte de données de nature délicate - Révéler ou obtenir des renseignements de ce genre sans autorisation. En plus des dispositions législatives déjà mentionnées, la communication ou la collecte non autorisée de renseignements personnels peut provoquer, dans certaines circonstances, des poursuites au civil pour atteinte à la vie privée, nuisance ou intrusion en vertu de la common law et des poursuites analogues fondées sur le Code civil du Québec (articles 3 et 15 à 41) pour rupture de contrat ainsi que pour abus de confiance (p. ex., si des renseignements commerciaux confidentiels sont communiqués).
• Diffamation : répandre des allégations ou des rumeurs mensongères susceptibles de porter atteinte à la réputation de quelqu'un. En plus d'être un acte criminel, la publication de déclarations diffamatoires sans défense légale peut exposer son auteur à des poursuites au civil.
• Communication de renseignements erronés : Publier des renseignements erronés, que ce soit par négligence ou à dessein. Ceci peut donner lieu à des poursuites au civil pour assertion négligente et inexacte.

Nota : La liste précédente est une liste non exhaustive d'utilisations inacceptables. D'autres activités peuvent être considérées comme inacceptables par l'administrateur général.

Avis de confidentialité

Les employés du gouvernement du Canada et les autres personnes autorisées doivent être informés des pratiques de surveillance ministérielles au moyen d'un énoncé de confidentialité avant qu'elles ne soient mises en œuvre par l'entremise d'un avis concernant la protection des renseignements personnels comprenant, au minimum, les renseignements suivants :

• Un énoncé expliquant les pratiques de surveillance normales des réseaux électroniques, par exemple l'analyse opérationnelle des registres pour savoir quels sites Internet ont été visités par les employés du gouvernement du Canada et les autres personnes autorisées, les fichiers téléchargés ou (en aval ou en amont) ou des recherches par mots clés dans les fichiers de données stockés sur les serveurs des réseaux ou sur les dispositifs de stockage des ordinateurs des employés du gouvernement du Canada ou d'autres personnes autorisées.
• Un énoncé précisant que l'utilisation des réseaux électroniques sera surveillée seulement pour des fins liées au travail, par exemple pour évaluer le rendement des systèmes ou des réseaux, protéger les ressources du gouvernement ou assurer la conformité à ses politiques.
• Un énoncé précisant qu'une surveillance peut être autorisée sans préavis dans les cas où l'on a raison de soupçonner une utilisation illégale ou autrement inacceptable.

Les ministères sont tenus de communiquer avec leur Bureau de l'accès à l'information et de la protection des renseignements personnels pour obtenir plus de détails sur les exigences de la politique concernant la protection des renseignements personnels.

Considérations ministérielles concernant la protection des renseignements personnels

1. Le ministère est tenu par la loi de protéger les renseignements personnels recueillis avec autorisation à des fins opérationnelles, mais les renseignements et les biens technologiques sont fournis aux personnes pour une utilisation autorisée seulement. Si les utilisateurs choisissent de verser des renseignements personnels qui leur sont propres dans le réseau ou dans tout autre équipement, ils le font à leurs propres risques.
2. L'employé qui doit lire le contenu des communications électroniques dans le cadre d'une enquête à laquelle il participe ne peut divulguer les renseignements qui y figurent qu'à des fins autorisées. L'enquête doit être menée en conformité avec la Charte canadienne des droits et libertés, le Code criminel du Canada et, pour les institutions que cela concerne, la Loi sur la protection des renseignements personnels.
3. Aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, les membres du public peuvent demander l'accès à l'information ou aux dossiers électroniques détenus par le gouvernement et aux renseignements personnels qui les concernent (des exemptions applicables sont établies dans ces lois). Ces dossiers comprennent des messages électroniques envoyés ou reçus par des employés du gouvernement du Canada ou par d'autres personnes autorisées, et qui sont entreposés sur des ordinateurs du gouvernement et dans des dossiers qui montrent quels sites Web ont été visités par des employés du gouvernement du Canada ou d'autres personnes autorisées.

Le gouvernement du Canada reconnaît que les cybermenaces sont en hausse en raison de la portée grandissante d'Internet et de l'interconnexion croissante des réseaux gouvernementaux et non gouvernementaux à travers le monde.

À l'heure où les ministères ouvrent l'accès à leurs dispositifs et réseaux électroniques, les occasions pour les pirates et les cybercriminels d'accéder illégalement à des renseignements gouvernementaux délicats au moyen des réseaux et des systèmes du gouvernement du Canada se multiplient. Par conséquent, les ministères du gouvernement du Canada doivent redoubler de vigilance dans l'environnement actuel de menace dynamique, car des codes malveillants peuvent se cacher dans des sites, outils et services connus ou de confiance.

Les ministères demeurent responsables de s'assurer de leur conformité aux instruments de politique en matière de sécurité applicables du GC (par exemple, la Politique sur la sécurité du gouvernement (PSG), la Directive sur la gestion de la sécurité ministérielle, la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI), les Conseils en matière de sécurité des TI - 33, et Les 35 mesures d'atténuation les plus efficaces du CSTC).

Les ministères doivent s'assurer, en se fondant sur une analyse des besoins du ministère en matière de sécurité, que les mesures de sécurité de la liste non exhaustive suivante sont sélectionnées, mises en place et installées à plusieurs niveaux, de telle manière qu'elles procurent une défense en profondeur et protègent les réseaux électroniques, les dispositifs et l'information du gouvernement :

• Utiliser les versions actuellement prises en charge des systèmes d'exploitation et des applications (et veiller à l'apport de l'ensemble des correctifs et mises à jour nécessaires en temps opportun) pour réduire les vulnérabilités des logiciels qui peuvent être exploités à distance.
• Désactiver les fonctions inutiles des systèmes d'exploitation, des applications et des navigateurs Web afin de réduire l'exposition aux attaques.
• Désactiver la fonctionnalité d'exécution automatique aux points d'extrémité pour prévenir l'exécution accidentelle de codes.
• Activer la fonction de prévention de l'exécution des données dans les systèmes d'exploitation et les applications afin de réduire le risque de dépassement de la mémoire à cause d'un code malveillant.
• Utiliser un logiciel antivirus avec des signatures à jour et des fonctions de détection heuristiques à la passerelle et aux points d'extrémité pour détecter et prévenir l'exécution de codes malveillants.
• Mettre en place des systèmes de détection/prévention des intrusions sur hôte afin d'accroître la capacité de détection et d'identification des activités anormales.
• Utiliser une liste blanche et une liste noire pour prévenir l'accès malicieux à partir des réseaux et des dispositifs du GC à des sites Web, des outils et des services par l'entremise d'Internet.
• Mettre en place un registre central des incidents informatiques et en faire l'analyse régulièrement, de façon à améliorer la capacité de détecter et de repérer les comportements anormaux et à aider à la gestion des incidents et l'analyse judiciaire des systèmes compromis.
• S'assurer que les comptes d'utilisateurs dotés de privilèges d'administrateur ou de droits d'accès au répertoire racine ne servent pas à faire des recherches, à naviguer ou à collaborer par l'entremise d' Internet - les utilisateurs bénéficiant de tels privilèges devraient plutôt se servir, à ces fins, de comptes d'utilisateur normaux avec des privilèges ordinaires, ou d'une solution prévenant l'utilisation des privilèges administratifs ou désactivant ces privilèges.
• Utiliser la segmentation et la séparation de réseau ainsi que des contrôles d'accès pour contrôler la façon dont les dispositifs et les systèmes qui permettent aux utilisateurs d'accéder au contenu Web axé sur Internet peuvent interagir avec d'autres systèmes et biens à valeur élevée.
• Faire en sorte que les programmes de sensibilisation à la sécurité couvrent :
  • de la documentation avisant les utilisateurs qu'il leur est interdit d'afficher ou de communiquer des renseignements gouvernementaux délicats (p. ex., du matériel classifié, protégé, exclusif ou à distribution autrement restreinte) dans des sites Web, outils et services publics;
  • de la documentation exposant les menaces et les risques liés au contenu Web axé sur Internet ainsi que les mesures que peuvent prendre les utilisateurs pour réduire les risques;
  • de la documentation décrivant les menaces et les risques liés à l'utilisation de dispositifs mobiles ainsi que les mesures que peuvent prendre les utilisateurs pour réduire les risques;
  • des rappels réguliers afin que le public demeure sensibilisé et soit informé des nouvelles tendances et menaces;

Nota : En cas de divergence entre les mesures de sécurité exposées dans la présente annexe et les exigences de sécurité énoncées dans la Politique sur la sécurité du gouvernement et ses instruments à l'appui, la Politique sur la sécurité du gouvernement prévaut.