Orientation sur l’habilitation de l’accès aux services Web : Avis de mise en œuvre de la politique
1. Objectif
- 1.1
Le présent Avis de mise en œuvre de la politique (AMOP) vise à fournir aux ministèresVoir la note en bas de page 1 une directive sur l’accès aux services Web, conformément à la Politique sur l’utilisation acceptable des dispositifs et des réseaux.
2. Portée
- 2.1
Le présent AMOP s’applique aux réseaux électroniques du gouvernement du Canada (GC) qui ne servent qu'à l’information non classifiée. On ne doit pas se servir d’outils et de services axés sur Internet pour communiquer ou stocker de l’information sensible, à moins qu’ils aient été approuvés par les autorités de sécurité et techniques de l’institution.
3. Date d'entrée en vigueur
- 3.1
Le présent AMOP entre en vigueur le .
4. Application
- 4.1
Le présent AMOP s’applique tous les ministères assujettis la Politique sur l’utilisation acceptable des dispositifs et des réseaux.
Les ministères, les organismes et les organisations du gouvernement du Canada qui ne sont pas assujettis la Politique sur l’utilisation acceptable des dispositifs et des réseaux sont invités à se conformer au présent AMOP dans la mesure du possible.
Les dirigeants des organisations suivantes sont les seuls responsables de l’encadrement et du respect de l’AMOP au sein de leur organisation :
- Bureau du vérificateur général
- Bureau du directeur général des élections
- Commissariat au lobbying du Canada
- Commissariat aux langues officielles
- Commissariat à l’intégrité du secteur public du Canada
- Commissariat à l’information du Canada et Commissariat à la protection de la vie privée du Canada
5. Contexte
- 5.1
Le GC reconnaît que l’accès ouvert aux outils modernes est essentiel à la transformation de la façon dont les fonctionnaires travaillent et servent les Canadiens. L’accès ouvert à Internet, y compris aux outils et services du GC et externes :
- améliore la communication et la collaboration numérique;
- encourage le partage des connaissances et de l’expertise pour appuyer l’innovation.
Lorsqu’ils disposent des bons outils, les fonctionnaires peuvent travailler plus efficacement. Le GC doit s’adapter afin de répondre aux demandes et aux attentes de ses clients, intervenants, partenaires et employés.
- 5.2
Le GC doit aussi appliquer des mesures de sécurité adéquates pour protéger les utilisateurs, l’information et les actifs. Lorsque l’accès aux outils et aux sites est interdit, au lieu d’accroître la protection, l’opposé semble se produire. Les utilisateurs trouveront des façons de contourner les obstacles si ceci vient leur rendre la vie plus facile. Du point de vue de la sécurité de la TI, les connexions aux outils et services externes ne sont pas très différentes des autres connexions à Internet. La sécurité est bien plus que le fait de verrouiller des éléments; l’expérience des utilisateurs doit aussi être prise en compte.
- 5.3
L’adoption d’une approche équilibrée qui tient compte des besoins des utilisateurs, appuyée par un programme de sécurité pragmatique, donnera lieu à un environnement plus sûr. Au lieu d’interdire l’accès à certains outils et sites, le fait d’ouvrir l’accès par défaut et d’encourager l’utilisation sécuritaire de ces outils et de ces services permettra de mieux contrôler les risques. La prise en compte du profil de risque du ministère, de sa culture, sa mission et ses objectifs opérationnels, ainsi que des menaces liées à ses activités opérationnelles, permettra également de déterminer les mesures de sécurité proportionnelles nécessaires pour assurer la protection adéquate de l’information du GC.
6. Orientation
- 6.1
Les ministères doivent faciliter l’accès ouvert à Internet dans le cadre des réseaux et des dispositifs du GC, y compris les outils les services Web 2.0 du GC et de l’extérieur, des personnes autorisées, en vertu de la section 6.1.3 de la Politique sur l’utilisation acceptable des dispositifs et des réseaux (PUADR).
- 6.2
Pour assurer une expérience utilisateur uniforme à l’échelle du gouvernement tout en tenant compte du profil de risque ministériel, les ministères doivent reconfigurer leurs règles de filtrage Web de manière à ce qu’elles soient ouvertes par défaut à Internet pour les réseaux et les dispositifs électroniques du GC, conformément à l’annexe C de la PUADR :
- sont criminels ou autrement inacceptables;
- contreviennent aux politiques, aux codes de conduite et aux autres exigences publiées du Conseil du Trésor ou d’autres organismes fédéraux;
- ont des effets préjudiciables sur le rendement des dispositifs et réseaux électroniques du gouvernement du Canada;
- entravent les activités organisationnelles ou la prestation des services;
- vont à l’encontre de l’obligation de loyauté imposée aux fonctionnaires.
- 6.3
On s’attend à ce que les ministères appliquent les règles de filtrage Web conformément à l’annexe A du présent AMOP , qui fournit l’ensemble de référence des catégories de sites Web qui doivent être bloquées afin d’être conformes aux exigences juridiques et stratégiques. Toutes les autres catégories, y compris les médias sociaux et les outils de collaboration ou de clavardage axés sur le Web, doivent être ouverts par défaut. Lorsque les ministères limitent l’accès à l’extérieur de ces catégories, on s’attend à ce qu’ils prennent une approche axée sur les risques, et qu’ils fournissent une raison quant à leur limitation d’un tel accès, approuvée par le dirigeant principal de l’information de leur ministère.
- 6.4
Les ministères sont responsables de veiller au respect continu de la Politique sur la sécurité du gouvernement et de l’annexe E du présent AMOP (Considérations ministérielles en matière de sécurité), et ils sont également encouragés à analyser les besoins en matière de sécurité ministérielle et à mettre en œuvre des considérations supplémentaires en matière de sécurité (décrites à l’annexe B du présent AMOP) afin d’atténuer les risques à un niveau acceptable, selon le profil de risque du ministère.
- 6.5
SPC est responsable de la gestion des outils de filtrage du Web pour les ministères qui reçoivent leurs services de réseau de SPC, conformément à la section 6.2 de la PUADR. Cependant, puisque les solutions antérieures de filtrage Web proviennent d’organisations partenaires, la capacité de surveillance et d’établissement de rapports de SPC n’est pas la même pour chacun de ses clients. SPC investit actuellement dans une solution intégrée de filtrage Web, laquelle rehaussera sa capacité de surveillance et d’établissement de rapports au fur et à mesure que les réseaux passeront de l’infrastructure antérieure au service intégré de SPC. Les clients de SPC qui veulent obtenir de l’information au sujet des capacités d’établissement de rapports de leur service de filtrage Web sont invités à communiquer avec SPC.
7. Demandes de renseignements
- 7.1
Pour l’interprétation de tout aspect du présent AMOP, veuillez communiquer avec la section responsable des Demandes de renseignements du Secrétariat du Conseil du Trésor du Canada.
- 7.2
Les personnes qui travaillent dans les ministères doivent communiquer avec leur groupe de la technologie de l’information ministériel pour toute question concernant le présent AMOP.
- 7.3
Les personnes faisant partie d’un groupe ministériel sur la technologie de l’information peuvent communiquer avec leurs dirigeants de la gestion de la prestation de services pour obtenir de l’information au sujet de leur service de filtrage Web.
- 7.4
Les membres d’un groupe de technologie de l’information d’un ministère peuvent envoyer un courriel à la Cybersécurité du SCT (ZZTBSCYBERS@tbs-sct.gc.ca) pour obtenir des interprétations du présent AMOP.
8. Références
8.1 Instruments de politique connexes
- Politique sur l’utilisation acceptable des dispositifs et des réseaux
- Politique sur la gestion de la technologie de l’information
- Politique sur la gestion de l’information
- Politique sur la sécurité du gouvernement
- Directive sur la gestion de la sécurité ministérielle
- Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI)
- Ligne directrice sur l’utilisation acceptable des dispositifs et des réseaux
- Protocole de gestion de l’information – Envoi de messages instantanés au moyen d’appareils mobiles
8.2 Autres références du gouvernement du Canada
- Centre de la sécurité des télécommunications (CST) : Aperçu : La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (Conseils en matière de sécurité des technologies de l’information 33 (ITSG-33), )
- CST : Les 10 meilleures mesures de sécurité des TI visant à protéger les réseaux Internet et l’information du gouvernement du Canada (Bulletin de sécurité des TI à l’intention du gouvernement du Canada 89, Version 3 (ITSB-89, Version 3), novembre 2014)
- CST : Les risques à la cybersécurité associés à l’utilisation de médias sociaux – Conseils à l’intention du gouvernement du Canada (Bulletin de sécurité de la TI 66 (ITSB-66), novembre 2014)
9. Définitions
- utilisation acceptable
Utilisation permise par les personnes autorisées des dispositifs et des réseaux électroniques du GC :
- pour mener des activités dans le cadre de leurs fonctions officielles;
- pour l’avancement professionnel et d’autres activités professionnelles;
- pour une utilisation personnelle limitée pendant leur temps libre, utilisation qui n’entraîne pas de gain financier personnel ni de coût supplémentaire pour le ministère et qui ne nuit pas au déroulement des activités.
L’utilisation des dispositifs et des réseaux électroniques du gouvernement du Canada doit être en conformité avec :
- le Code de valeurs et d’éthique du secteur public;
- toutes les autres politiques du Conseil du Trésor et les codes de conduites et politiques ministérielles connexes.
L’utilisation des dispositifs et des réseaux électroniques du GC ne doit pas :
- entraîner de conflit d’intérêts réel, potentiel ou apparent;
- nuire à l’intégrité du ministère de quelque façon que ce soit.
Voir l’annexe B de la PUADR.
- accès
L’accès s’entend de l’entrée en communication avec un réseau électronique que le gouvernement fédéral a mis à la disposition des personnes autorisées. L’accès à un tel réseau peut avoir lieu dans les locaux mêmes du gouvernement ou à l’extérieur de ceux-ci. L’accès peut comprendre :
- les situations de télétravail et d’accès à distance;
- les situations où des personnes autorisées utilisent les réseaux électroniques fournis par le gouvernement fédéral à des fins personnelles limitées pendant leurs temps libres.
(Source : PUADR)
- personnes autorisées
- Personnes qui travaillent avec ou pour le GC, y compris les employés du gouvernement fédéral, les employés occasionnels, les entrepreneurs, les étudiants et les autres personnes qui ont été autorisées par l’administrateur général à accéder aux dispositifs et réseaux électroniques du GC. (Source : PUADR)
- défense en profondeur
- Le concept de protection d’un réseau informatique avec une série ou une couche de mécanismes défensifs de telle sorte que si un mécanisme échoue, un autre sera déjà en place pour contrecarrer une attaque.
- réseau électronique
-
Groupes d’ordinateurs et de systèmes informatiques qui sont en mesure de communiquer entre eux, y compris, sans s’y limiter :
- Internet;
- les réseaux de données électroniques du GC;
- l’infrastructure de réseau voix et vidéo;
- les réseaux publics et privés à l’extérieur d’un ministère.
Un réseau électronique comprend des composants câblés et sans fil. (Source : PUADR)
- réseaux externes
- Réseaux dont l’accès est possible à partir du réseau du GC, et auxquels les personnes autorisées ont la permission d’accéder. Les réseaux externes comprennent des sites permis dans l’ensemble d’Internet public et au moyen du World Wide Web, y compris les services fournis par des tiers, tels que les logiciels de collaboration. (Source : PUADR)
- Internet
- Système global de réseaux informatiques interconnectés qui utilise l’ensemble de protocoles Internet standard (TCP ou IPVoir la note en bas de page 2) pour servir les utilisateurs à l’échelle mondiale. (Source : PUADR)
- pratiques de surveillance
Utilisation d’un système logiciel qui :
- surveille un réseau électronique pour relever les composantes lentes ou défectueuses;
- avertit l’administrateur du réseau en cas de panne;
- peut surveiller les activités dans le réseau de personnes données que l’on soupçonne raisonnablement d’utiliser le réseau de façon inacceptable.
L’enregistrement et l’analyse de l’utilisation des réseaux électroniques sont utilisés à des fins opérationnelles et pour évaluer la conformité avec la politique du gouvernement. (Source : PUADR)
- accès ouvert
- La prestation d’accès Internet, conformément à la Politique sur la sécurité du gouvernement, à des personnes autorisées au moyen de dispositifs et de réseaux électroniques du GC qui, de la perspective des paramètres de pare-feu, est essentiellement équivalent, peu importe le ministère ou le moyen d’accès. Les sites Internet qui améliorent la productivité, la communication et la collaboration ne sont pas bloqués, à l’exception de ceux qui présentent une menace légitime à la sécurité de la TI et dont le contenu entre essentiellement dans la catégorie de l’utilisation inacceptable. (Source : PUADR)
- utilisation professionnelle
S’entend de l’utilisation d’un compte de médias sociaux personnel à des fins liées aux activités professionnelles, notamment :
- la communication avec des associations professionnelles;
- le réseautage professionnel (p. ex., participer à une conférence en ligne);
- le regroupement et le partage de connaissances (p. ex., utiliser Twitter pour se tenir au courant des tendances ou visiter les pages Facebook du gouvernement);
- le perfectionnement professionnel (p. ex., maintenir un profil LinkedIn).
(Source : Ligne directrice sur l’utilisation acceptable des dispositifs et des réseaux (LDUADR)
- Information ou bien sensible
Information ou bien qui pourrait raisonnablement causer un préjudice s’il est compromis. L’information sensible comprend :
- toute l’information qui relève des critères d’exemption ou d’exclusion en vertu de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels;
- les marchandises contrôlées et les autres informations et actifs qui font l’objet d’interdictions et de contrôles réglementaires ou légaux.
(Source : Politique sur la sécurité du gouvernement)
- utilisation inacceptable
Toute activité qui va à l’encontre des instruments de politique ou d’autres exigences publiées du Conseil du Trésor ou du ministère, y compris, sans s’y limiter, les activités ou les comportements :
- qui peuvent constituer des actes criminels;
- qui vont à l’encontre des lois fédérales et provinciales;
- qui ont des effets préjudiciables sur le rendement des dispositifs et des réseaux électroniques du GC;
- qui font obstacle aux opérations ministérielles ou à la prestation de services;
- qui vont à l’encontre de l’obligation de loyauté imposée aux;
- qui peuvent raisonnablement entraîner des poursuites en responsabilité civile.
Voir aussi l’annexe C de la PUADR.
- Web 2.0
Comprend des outils et des services Internet qui permettent :
- la mise en commun participative et multidirectionnelle de l’information;
- le dialogue;
- la syndication;
- la production de contenu par l’utilisateur.
Le Web 2.0 peut comprendre les médias sociaux, des technologies de collaboration et des outils et services axés sur le nuage. (Source : PUADR)
Annexe A : Configuration de base pour le filtrage Web
Tableau 1. Catégories devant être bloquées
Le tableau suivant présente les catégories à bloquer conformément à l’annexe C de la PUADR. Lorsque les ministères limitent l’accès à l’extérieur de ces catégories, on s’attend à ce qu’ils prennent une approche axée sur les risques, et qu’ils fournissent une raison quant à leur limitation d’un tel accès, approuvée par le dirigeant principal de l’information de leur ministère. Il pourrait y avoir des exceptions, lorsqu’elles sont justifiées par une évaluation des risques et qu’elles sont fondées sur une fonction liée à l’emploi comme tel (p. ex., des investigations qui exigent que l’on bloque accès à certains sites).
| Catégorie | Justification |
|---|---|
| Anonymiseurs (achalandage Internet impossible à retracer) | Violation de politiques et de publications organisationnelles ou du Conseil du Trésor |
| Violence faite aux enfants | Infractions pénales |
| Activités pénales | Infractions pénales |
| Jeux | Violation de politiques et de publications organisationnelles ou du Conseil du Trésor |
| Piratage | Infractions pénales |
| Harcèlement | Violation de politiques et de publications organisationnelles ou du Conseil du Trésor |
| Propagande haineuse | Infractions pénales |
| Jeu illégal | Infractions pénales |
| Sites Web malveillants | Violation de politiques et de publications organisationnelles ou du Conseil du Trésor |
| Obscénité | Infractions pénales |
| Partage de fichiers entre pairs (p. ex., piratebay.se, utorrent.com) | Effets préjudiciables sur le rendement des dispositifs et des réseaux électroniques du GC et/ou infraction criminelle possible |
| Hameçonnage et fraude | Infractions pénales |
| Pornographie | Violation de politiques et de publications organisationnelles ou du Conseil du Trésor |
| Sexuellement explicite | Violation de politiques et de publications organisationnelles ou du Conseil du Trésor |
| URL pourriels | Effets préjudiciables sur le rendement des dispositifs et des réseaux électroniques du GC |
| Logiciel espion | Infractions pénales |
| Activités terroristes, militantes ou extrémistes | Infractions pénales |
| Piratage | Violation de politiques et de publications organisationnelles ou du Conseil du Trésor |
| Violence | Infractions pénales |
Annexe B : Considérations en matière de sécurité
Les ministères devraient appliquer une approche de défense en profondeur en mettant en œuvre des mesures conformément à la menace afin de gérer les risques pour la sécurité des réseaux électroniques, des dispositifs et de l’information du GC tout en tenant compte des besoins des utilisateurs. Les mesures suivantes sont recommandées pour l’accès à Internet et aux services Web :
Pour les gestionnaires
- Veiller à ce que les membres du personnel :
- comprennent leur obligation de protéger l’information et les actifs;
- n’utilisent jamais les outils et les services externes du Web 2.0 pour communiquer ou stocker des renseignements sensibles, à moins que, dans des circonstances exceptionnelles, le service utilisé soit approuvé par les autorités techniques et de sécurité de l’institution.
- Mettre à jour les directives sur la gestion de l’information pour :
- inclure les pratiques exemplaires et décrire comment elles s’appliquent à l’utilisation des sites Web, des outils et des services publics, conformément à la Politique sur la gestion de l’information;
- indiquer que lorsque de l’information ayant une valeur opérationnelle est transmise ou créée au moyen des outils et services du GC et externes du Web 2.0, l’information :
- doit pouvoir être extraite et documentée dans un autre format (p. ex., un message électronique ou un document Word);
- doit être stockée et conservée dans un dépôt ministériel officiel;
- est assujettie à l’accès à l’information et à la protection des renseignements personnels (AIPRP).
- Encourager les membres du personnel à :
- utiliser des versions d’outils comportant des caractéristiques qui fournissent :
- des assurances de sécurité accrues (p. ex., authentification à deux facteurs);
- des contrôles de gestion de l’information (p. ex., fonctionnalité d’exportation, politiques de conservation).
- lire les modalités des services afin de comprendre comment leurs données seront utilisées et comment elles seront accessibles;
- utiliser une adresse de courriel du GC lorsqu’ils accèdent aux outils uniquement à des fins professionnelles, car cela favorisera l’application des pratiques de gestion de l’information.
- utiliser des versions d’outils comportant des caractéristiques qui fournissent :
- Rappeler aux membres du personnel :
- de ne pas réutiliser les mêmes mots de passe qui sont utilisés pour leurs justificatifs d’identité internes;
- d’utiliser des mécanismes d’authentification robustes (p. ex., l’authentification multifactorielle) dans la mesure du possible pour protéger l’information contre l’accès non autorisé.
Pour le personnel de la TI
- Mettre en œuvre des systèmes d’exploitation et des navigateurs Web modernes qui sont :
- maintenus avec un logiciel à jour;
- configurés avec des protections appropriées au niveau de l’hôte.
- Filtrer l’achalandage au niveau de l’hôte ou du réseau pour atténuer les menaces provenant de sites Web malveillants et d’attaques connexes, et fournir une justification claire lors du blocage de catégories qui ne sont pas incluses dans l’annexe C de la PUADR.
- Tirer parti des services défensifs de Services partagés Canada et du Centre de la sécurité des télécommunications (CST) en utilisant des passerelles Internet gérées conformément aux 10 meilleures mesures de sécurité des TI du CST.
- Surveiller et examiner les rapports provenant des services de filtrage du Web pour toute activité inhabituelle ou suspecte.
- Appliquer des mesures de protection supplémentaires, comme des outils pour prévenir la perte de données, lorsqu’une évaluation des risques le justifie, en tenant compte du coût et de la complexité.
L’annexe E de la PUADR comprend une liste non exhaustive de mesures qui peuvent être appliquées pour atténuer davantage les menaces potentielles. La Ligne directrice sur l’utilisation acceptable des dispositifs de réseau fournit des directives supplémentaires aux gestionnaires ministériels et aux spécialistes fonctionnels responsables de la mise en œuvre de la PUADR.