Dispositions légales et administratives en sécurité de l'information

Responsabilités définies dans la Loi

• Utiliser les renseignements qui lui sont communiqués par un organisme public (OP) pour soutenir d’autres OP en cas d’atteinte ou de risque d’atteinte à la sécurité de l’information (SI) [Art. 12.4 – 1^er alinéa].
• Disposer de tous les pouvoirs nécessaires pour soutenir les organismes publics (OP) dont celui de conclure des ententes avec toute personne ou avec tout organisme au Canada ou à l’étranger lorsqu’il l’estime nécessaire pour assurer la sécurité de l’information [Art. 12.4 – 1^er alinéa].
• Communiquer aux personnes ou aux organismes avec qui il a pris entente, les renseignements nécessaires afin de prévenir, de détecter ou de diminuer les impacts en cas d’atteinte ou de risque d’atteinte [Art. 12.4 – 2^e alinéa].
• Maintenir au sein du ministère de la Cybersécurité et du Numérique (MCN) et sous la direction du CGSI, une unité administrative spécialisée en SI [Art. 12.5].
• Établir les mécanismes de contrôle et procéder à des audits afin de s’assurer de l’atteinte des objectifs de la Loi, lorsque la situation le justifie et sur recommandation du DPI [Art. 16.6.3 – 1^er alinéa].
• Exiger la mise en place par un OP d’un programme d’évaluation ou d’un programme de vérification interne, ou la réalisation d’une étude comparative de coûts [Art. 16.6.3 – 2^e alinéa].

Responsabilités définies dans la Loi

• Formuler et transmettre aux OP des indications d’application [Art. 7 – 1.1^o].
• Concevoir et mettre à jour l’architecture gouvernementale de SI [Art. 7 – 5^o].
• Diffuser auprès des OP et des entreprises du gouvernement les pratiques exemplaires ainsi que les solutions ou les approches novatrices en matière de ressources informationnelles (RI) et d’informer le ministre du MCN des résultats observés et des bénéfices obtenus [Art. 7 – 7^o].
• Proposer des guides, des pratiques et divers services visant à soutenir les OP et les entreprises du gouvernement en matière de RI [Art. 7 – 9^o].
• Développer une expertise en SI de manière à offrir aux OP des services, des conseils ou du soutien et à renforcer le savoir-faire de l’État [Art. 7.1].
• Diriger l’action gouvernementale en matière de SI [Art. 12.6 – 1^o].
• Recommander au ministre du MCN des règles pour assurer la sécurité de l’information, incluant celles relatives à l’authentification et à l’identification, ainsi que des cibles applicables aux OP en matière de SI [Art. 12.6 – 2^o].
• Établir le modèle de classification de sécurité des données numériques gouvernementales et le faire approuver par le ministre du MCN [Art. 12.6 – 3^o].
• Signifier aux organismes publics des attentes en matière de SI et leur formuler des indications d’application [Art. 12.6 – 4^o].
• Surveiller la mise en œuvre par les OP des obligations en matière
  de SI [Art. 12.6 – 5^o].
• Rendre compte au ministre du MCN des résultats liés aux cibles de performance ainsi que du respect des obligations [Art. 12.6 – 6^o].
• Exercer toute autre fonction que lui attribue le ministre du MCN ou le gouvernement [Art.12.6–7^o].

Responsabilités définies dans la Directive

• Assumer les responsabilités découlant de la Loi et de ses textes
  d’application [Art. 5 – 1^er alinéa].
• Recommander au ministre du MCN un cadre gouvernemental de gestion de la sécurité de l’information [Art. 5 – 1^o].
• Proposer au au ministre du MCN les services communs de SI [Art. 5 – 2^o].
• Diriger le Centre gouvernemental de cyberdéfense (CGCD) [Art. 5 – 3^o].
• Désigner le responsable du CGCD [Art.5 – 4^o].
• Définir des processus gouvernementaux normalisés en SI [Art. 5 – 5^o].
• Mettre en place des comités ou groupes de travail appropriés de concertation en SI [Art. 5 – 6^o].
• Maintenir un registre des chefs délégués en sécurité de l’information (CDSI) et un registre des chefs de la sécurité de l’information organisationnelle (CSIO)
  [Art. 5 – 7^o].
• Fournir aux organismes publics l’accompagnement et l’assistance nécessaires aux niveaux stratégique, tactique et opérationnel leur permettant de prendre en charge les exigences de sécurité de l’information, notamment en mettant à leur disposition des outils et des pratiques exemplaires [Art. 5 – 8^o].
• Prendre les mesures pour que les OP s’assurent que leurs employés adoptent des comportements sécuritaires et des pratiques exemplaires et leur offrent des formations ciblées [Art. 5 – 9^o].
• Élaborer et mettre en œuvre un cadre gouvernemental de gestion de la SI applicable aux services communs (SC) [Art. 13 – 1^o].
• S’assurer que les mesures de SI, propres à un SC et celles applicables aux utilisateurs du SC, répondent aux enjeux de SI et aux
  risques afférents [Art. 13 – 2^o].
• Approuver le partage des responsabilités entre un OP prestataire de SC et les OP utilisateurs de ce SC. Il peut, le cas échéant, demander au premier d’apporter toute modification à ce partage ou à une mise à jour s’il estime
  cela nécessaire [Art. 14 – 2^e alinéa].
• Présenter au au ministre du MCN un rapport sur l’application de la directive au plus tard cinq années après son approbation et,
  par la suite, tous les cinq ans [Art. 18].

Responsabilités définies dans la Loi

Le dirigeant de l’information (DI) agit à titre de chef délégué de la sécurité de l’information (CDSI) [Art. 10.1 – 9.1^o]. Il assume, notamment, les responsabilités suivantes, à l’égard des organismes publics (OP) auxquels il se rattache :

• Appuyer le chef gouvernemental de la sécurité de l’information (CGSI) dans la prise en charge de l’action gouvernementale en SI [Art. 12.7 – 1^o].
• Appliquer, sous la direction du CGSI, les standards, les directives, les règles ou les indications d’application en SI [Art. 12.7 – 2^o].
• Assurer la protection des ressources informationnelles (RI) et de l’information à l’égard de toute forme d’atteinte à la SI [Art. 12.7 – 3^o].
• Prendre toute action requise en cas d’atteinte à la protection des RI et de l’information [Art. 12.7 – 4^o].
• Formuler des indications d’application particulières [Art. 12.7 – 5^o].
• Surveiller la mise en œuvre des obligations en matière de SI, veiller à leur respect et évaluer les mesures prises [Art. 12.7 – 6^o].
• Rendre compte de sa gestion au CGSI et lui transmettre tout renseignement demandé [Art. 12.7 – 7^o].

Responsabilités définies dans la Directive

Le CDSI assume, sous le lien fonctionnel du CGSI, les responsabilités découlant de la Loi et de ses textes d’application. Il doit, à l’égard des OP auxquels il se rattache :

• Mettre en œuvre le cadre de gouvernance qui régit la SI [Art. 6 – 1^o].
• Diriger le centre opérationnel de cyberdéfense (COCD) des OP auxquels il se rattache [Art. 6 – 2^o]. Le COCD est maintenu en opération par le ministre ou par le dirigeant d’OP qui a son propre dirigeant de l’information (DI) en application du 2^e alinéa de l’article 8 de la Loi [Art. 9].
• Désigner un responsable opérationnel de cyberdéfense (ROCD) qui voit au bon fonctionnement du COCD [Art. 6 – 3^o].
• Mettre en œuvre toute action requise advenant un événement de sécurité
  [Art. 6 – 4^o].
• Élaborer, au besoin, des processus de sécurité de l’information (SI), déployer les mesures afférentes et assurer le suivi de leur mise en œuvre [Art. 6 – 5^o].
• Apporter le soutien et l’accompagnement requis en SI, notamment par des conseils, des outils, des pratiques exemplaires de sécurité de l’information ainsi que par le développement des compétences et la sensibilisation du personnel affecté en la matière ou par toute autre mesure jugée nécessaire [Art. 6 – 6^o].
• Mettre en place les comités ou groupes de travail appropriés de concertation en SI [Art. 6 – 7^o].
• Aviser, sans délai, le CGSI pour lui dresser un état de situation lorsqu’un événement de sécurité présente un risque qu’un préjudice sérieux soit causé [Art. 17].

Responsabilités définies dans la Loi

• Assurer la sécurité des RI et de l’information qu’il détient ou qu’il utilise
  [Art. 12.2 – 1^er alinéa].
• Prendre toutes les mesures visant à réduire les impacts en cas d’atteinte ou de risque d’atteinte à la SI [Art. 12.2 – 2^e alinéa].
• Communiquer à un autre OP tout renseignement, incluant un renseignement personnel, lui permettant de réduire les impacts ou en réduire le risque, lorsqu’il constate ou appréhende qu’une RI ou une information de cet OP est susceptible de subir une atteinte [Art. 12.2 – 3^e alinéa].
• Communiquer sans délai, au chef gouvernemental de la sécurité de l’information (CGSI) et à sa demande, tout renseignement, incluant un renseignement personnel nécessaire à la prise de mesures visant à atténuer les impacts d’une atteinte ou d’un risque d’atteinte [Art. 12.3].
• Transmettre au ministre du MCN ou au dirigeant principal de l’information (DPI) tout renseignement et tout rapport exigés par ces derniers concernant ses activités en RI [Art. 16.6.1 – 1^er alinéa].
• Transmettre au CGSI tout renseignement et tout rapport exigés par ce dernier concernant ses activités de SI [Art. 16.6.1 – 2^e alinéa].
• Procéder à un audit portant sur le respect des obligations en matière de sécurité de l’information découlant de la Loi, au plus tard le 10 juin 2023 et, par la suite, tous les cinq ans [Art. 16.6.2].

Responsabilités définies dans la Directive

• Désigner un chef de la sécurité de l’information organisationnelle (CSIO) pour le représenter en matière de SI et s’assurer du maintien d’un lien fonctionnel entre ce CSIO, son CDSI et le CGSI [Art. 10 – 2^e alinéa] {Note : La fonction de CSIO est assumée par le CDSI lorsqu’il s’agit d’un OP qui a son propre DI en application de l’article 8 de la Loi [Art. 10 – 3^e alinéa]}.
• Désigner des répondants pour des domaines spécifiques en SI, lorsque le CGSI le juge nécessaire [Art. 11 – 1^er alinéa].
• S’assurer d’un lien fonctionnel entre les répondants, leur CSIO, leur CDSI et le CGSI [Art. 11 – 2^e alinéa].
• Adopter et mettre en œuvre une politique et un cadre de gestion de la SI
  [Art. 12 – 1^o].
• Mettre en place les comités et groupes de travail appropriés de concertation en SI [Art. 12 – 2^o].
• Assurer la gestion de la SI, déployer les mesures afférentes et en assurer le suivi de la mise en œuvre [Art. 12 – 3^o].
• Appliquer les indications d’application du CGSI et celles particulières du CDSI [Art. 12 – 4^o].
• Élaborer et mettre en œuvre un programme de formation et de sensibilisation en SI de son personnel [Art. 12 – 5^o].
• Respecter les exigences de SI qui le concernent, lorsqu’il utilise un service commun [Art. 12 – 6^o].
• Rendre compte à son CDSI du respect des obligations en SI et répondre à ses demandes [Art. 12 – 7^o].
• Tenir un registre des événements de sécurité [Art. 16 – 1^er alinéa].
• Transmettre une copie du registre des événements de sécurité au CGSI à sa demande [Art. 16 – 3^e alinéa].
• Aviser son CDSI lorsqu’un événement de sécurité présente un risque de préjudice sérieux [Art. 17 – 1^er alinéa].

Le CSIO assume la responsabilité de la prise en charge globale de la sécurité de l’information au sein de son organisation [Directive Art. 10 – 1^er alinéa]. Il apporte à son dirigeant d’organisme le soutien nécessaire lui permettant d’assumer ses obligations en sécurité de l’information.

Ses responsabilités sont donc celles imparties à l’organisme public décrites dans la section « Organismes publics ».

Responsabilités définies dans la Directive

Le responsable opérationnel de cyberdéfense (ROCD) est désigné par le chef délégué de la sécurité de l’information (CDSI). Il a pour rôle de voir au bon fonctionnement du Centre opérationnel de cyberdéfense (COCD) [Directive SI, Art. 6 – 3^o]. Il opère sous le lien fonctionnel de son CDSI et du responsable gouvernemental de cyberdéfense (RGCD) et assume, à l’égard des OP auxquels il est rattaché, les responsabilités suivantes :

• Soutenir le CDSI dans la coordination et la direction de son COCD.
• Mettre en place le COCD, l’opérationnaliser et faire évoluer son offre de services.
• Développer une connaissance et une compréhension des risques de sécurité de l’information.
• Assister aux rencontres de la Cellule de cyberdéfense qui regroupe l’ensemble des COCD de l’Administration gouvernementale.
• Contribuer à la mise en œuvre des processus gouvernementaux normalisés en matière de SI, particulièrement ceux relatifs à la cyberdéfense.
• Représenter son portefeuille ou son organisation auprès du CGCD par l’entremise de la Cellule gouvernementale de cyberdéfense.
• Contribuer activement à rehausser la maturité du Réseau gouvernemental de cyberdéfense en participant à la définition des orientations, des priorités d’action et des pratiques gouvernementales.
• Conseiller le CDSI sur des orientations, des priorités d’action et des pratiques de sécurité de l’information, particulièrement celles relatives à la cyberdéfense.
• Maintenir un registre des répondants du Réseau d’alerte gouvernemental désignés par les OP auxquels il se rattache.
• Maintenir un lien fonctionnel avec les répondants en matière de sécurité de l’information des organismes auxquels il est rattaché.
• Exercer toute autre activité de SI que lui attribue le CDSI.