Sélection de la langue

Recherche

Protection de la vie privée et dispositifs de stockage portables

Décembre 2015


 

AFFAIRES AUTOCHTONES ET DÉVELOPPEMENT DU NORD CANADA

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

Affaires autochtones et Développement du Nord Canada (AADNC ou le mininstère) dispose d'un mécanisme pour consigner l'attribution des ordinateurs portables.

L'attribution de certaines tablettes et dispositifs de stockage USB (clé USB et disques durs portables) est consignée. Les CD et DVD ne sont pas enregistrés.

Services partagés Canada est responsable de contrôler l'attribution de téléphones intelligents.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que l'attribution de tous les dispositifs de stockage portables — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

Comme l'indique, à l'article 6.7, la norme sur les dispositifs de stockage portables d'AADNC, tous les dispositifs de stockage portables seront consignés et suivis. Le dirigeant principal de l'information (DPI) effectuera des vérifications des dispositifs de stockage portables afin de vérifier la conformité à la norme. Le DPI élaborera et mettra en œuvre une méthodologie de vérification de sécurité des TI, qui comprendra des mécanismes pour vérifier les dispositifs de stockage portables; le DPI désignera les personnes responsables de l'adoption de cette méthodologie.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

AADNC a établi un processus décentralisé pour l'élimination. Les bureaux régionaux sont responsables de gérer leur propre inventaire de dispositifs d'entreposage portables (DSP).

Avant leur élimination, les DSP excédentaires ou défectueux sont conservés dans un environnement sécurisé.

Des procédures officielles établissant des exigences administratives et de sécurité pour l'élimination des DSP sont en place.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

Observations :

AADNC utilise un logiciel qui fait partie des logiciels d'effacement certifiés pour effacer les ordinateurs portables excédentaires avant leur élimination. Le logiciel produit une preuve documentaire (rapport de vérification) confirmant que le disque dur a bien été effacé.

Aucun des bureaux visités ne conservait les rapports de vérification.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

Comme l'indique, à l'article 6.8, la norme sur les dispositifs de stockage portables d'AADNC, tous les dispositifs seront effacés et éliminés. Le DPI effectuera des vérifications des dispositifs de stockage portables afin de vérifier la conformité à la norme. Le DPI élaborera et mettra en œuvre une méthodologie de vérification de sécurité des TI, qui comprendra des mécanismes pour vérifier les dispositifs de stockage portables; le DPI désignera les personnes responsables de l'adoption de cette méthodologie.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

AADNC a évalué les risques liés à l'utilisation des dispositifs de stockage portables. Toutefois, l'analyse de risques n'abordait pas le manque de contrôles techniques concernant :

  • le branchement de dispositifs de stockage USB non autorisés;
  • l'utilisation de CD/DVD pour stocker des données.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer le risque d'atteinte à la protection de renseignements personnels résultant :

  • de l'absence de contrôles concernant le branchement de dispositifs de stockage USB non autorisés;
  • de l'utilisation de CD/DVD pour stocker des données;

et mettre en place les mesures nécessaires pour corriger les lacunes et les faiblesses.

Réponse de la direction :

AADNC évaluera les risques pour les renseignements personnels associés à l'utilisation de dispositifs de stockage portables, notamment les clés USB, les CD et DVD. On prendra des mesures en vue d'atténuer tout risque important relevé afin de le ramener à un niveau acceptable. La haute direction d'AADNC sera informée tout au long de cet exercice afin qu'elle puisse prendre une décision éclairée.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

AADNC a mis en œuvre diverses mesures pour protéger les renseignements personnels transférés ou conservés sur des dispositifs de stockage portables, y compris :

  • le cryptage obligatoire sur les ordinateurs portables;
  • de solides paramètres de mot de passe sur les ordinateurs portables.

Par contre, les dispositifs de stockage portables USB distribués par AADNC ne sont pas tous cryptés.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Veiller à ce que tous les dispositifs de stockage portables susceptibles d'être utilisés pour stocker des renseignements personnels soient dotés d'une fonction de cryptage.

Réponse de la direction :

Comme l'indique, à l'article 6.2, la norme sur les dispositifs de stockage portables d'AADNC, tous les dispositifs de stockage portables doivent utiliser le cryptage, à moins qu'une exception ait été faite et que le risque ait été jugé acceptable. Le DPI effectuera des vérifications des dispositifs de stockage portables afin de vérifier la conformité à la norme. Le DPI élaborera et mettra en œuvre une méthodologie de vérification de sécurité des TI, qui comprendra des mécanismes pour vérifier les dispositifs de stockage portables; le DPI désignera les personnes responsables de l'adoption de cette méthodologie.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

La Norme sur la protection et la destruction des supports de données portatifs de AADNC régit l'utilisation et la gestion des dispositifs de stockage portables (DSP). Cette Norme porte tous les types de DSP , la responsabilité de protéger les biens de TI et l'information, le type d'information qui peut être conservé sur les dispositifs ainsi que l'obligation de signaler la perte ou le vol de dispositifs. Elle traite également de l'utilisation de dispositifs personnels.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

AADNC a une politique en place qui régit l'utilisation des dispositifs de stockage portables. Cette politique est conforme aux exigences du gouvernement du Canada en matière de sécurité; par conséquent, aucune recommandation n'est formulée.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

AADNC a mis en place de la formation obligatoire sur la sensibilisation aux mesures de sécurité pour tous les employés, y compris le personnel contractuel. La formation aborde la protection des et l'information qu'ils contiennent, ainsi que le signalement de dispositifs perdus ou volés. L'utilisation de dispositifs personnels pour le travail est abordée dans d'autres matériel de sensibilisation.

Les ententes d'utilisation des dispositifs de stockage portables viennent s'ajouter à la formation. Les ententes rappellent aux employés leur responsabilité de se conformer à la Norme sur la protection et la destruction des supports de données portatifs, de s'assurer que les dispositifs sont étiquetés et rangés de façon sécuritaire, et de signaler immédiatement la perte ou le vol de dispositifs.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

Une formation traitant de l'utilisation acceptable et le risque entourant l'utilisation des dispositifs de stockage portables est déjà fournie; par conséquent, aucune recommandation n'est formulée.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures sont en place pour réagir en cas d'incidents mettant en cause la perte ou le vol d'un dispositif de stockage portable.

L'exigence de signaler les incidents de sécurité de TI est inscrite dans le cadre de gestion de la sécurité de AADNC et est également intégrée dans sa Norme sur la protection et la destruction des supports de données portatifs.

Si un incident de sécurité se traduit par une atteinte à la protection de renseignements personnels, le protocole du ministère en cas d'atteinte à la vie privée est enclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, le signalement et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


AGRICULTURE ET AGROALIMENTAIRE CANADA

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

Agriculture et Agroalimentaire Canada (AAC ou le ministère) a établi un mécanisme pour consigner l'attribution d'ordinateurs portables et de tablettes.

L'attribution de dispositifs de stockage USB (clés USB et disques durs portables) et de CD et DVD n'est pas consignée.

Services partagés Canada est responsable de contrôler l'attribution de téléphones intelligents.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que l'attribution de tous les dispositifs de stockage portables — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

AAC accepte la recommandation.

AAC modifiera sa Politique sur la sécurité de la technologie de l'information pour indiquer qu'aucun renseignement personnel ne doit être stocké sur les dispositifs de stockage portables. Toute exception à la politique suivra le processus existant pour l'enregistrement et le contrôle des dispositifs.

Date d'échéance approuvée (Plan d'action de la direction) : 31 décembre 2015.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

Le ministère a mis en place un processus d'élimination décentralisé. Les bureaux régionaux sont responsables de gérer leur propre inventaire de dispositifs de stockage portables (DSP).

Les DSP excédentaires ou défectueux sont conservés dans un environnement sécurisé avant leur élimination.

Des procédures officielles établissant des exigences administratives et de sécurité pour l'élimination des DSP sont en place.

Bien qu'aucune faiblesse n'ait été relevée dans les procédures d'élimination en vigueur, certains bureaux régionaux accumulaient des dispositifs de stockage USB excédentaires ainsi que des CD et DVD, et ils n'étaient pas au courant des procédures établies pour l'élimination de ce matériel.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Faire en sorte que les employés sont au courant des procédures ministérielles en matière d'élimination des clés USB et des CD/DVD excédentaires.

Réponse de la direction :

AAC accepte la recommandation.

AAC enverra des rappels tous les six mois sur nouvelles@travail (service de nouvelles internes) à tous les employés concernant les procédures appropriées pour l'élimination sécuritaire des clés USB, CD et DVD excédentaires.

Date d'échéance approuvée (Plan d'action de la direction) : 27 août 2015.

Observations :

AAC utilise un logiciel qui ne fait pas partie des logiciels d'effacement certifiés pour effacer les ordinateurs portables excédentaires avant leur élimination. Le logiciel ne produit pas de preuve documentaire (rapport de vérification) confirmant que le disque dur a bien été effacé.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

AAC accepte la recommandation.

Dans le cadre du processus approuvé d'élimination, le service à la clientèle des TI d'AAC veillera à la production des preuves documentaires appropriées et les fournira à la DGGI d'AAC avant l'élimination.

AAC mettra sur pied une base de données pour contrôler les certificats d'élimination et toute autre preuve documentaire fournie (comme les rapports de confirmation).

Date d'échéance approuvée (Plan d'action de la direction) : 28 août 2015.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

Bien que plusieurs contrôles aient été mis en œuvre dans le cadre des mesures globales de sécurité informatique d'AAC, le ministère n'a pas évalué officiellement les risques liés aux dispositifs de stockage portables.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer le risque d'atteinte à la protection de renseignements personnels résultant :

  • de l'absence de contrôles concernant le branchement de dispositifs de stockage USB non autorisés;
  • de l'utilisation de CD/DVD pour stocker des données;
  • de la possibilité de télécharger et d'utiliser des applications non autorisées sur les tablettes;

et mettre en place les mesures nécessaires pour corriger les lacunes et les faiblesses.

Réponse de la direction :

AAC accepte la recommandation.

AAC va élaborer une évaluation des risques à la protection de la vie privée liés à l'utilisation des dispositifs portables et plus particulièrement l'utilisation de clés USB non autorisées, de CD, de DVD et de tablettes.

Date d'échéance approuvée (Plan d'action de la direction) : 31 décembre 2015.

AAC mettra en œuvre toute mesure de protection supplémentaire requise si le cryptage actuel est jugé insuffisant.

Date d'échéance approuvée (Plan d'action de la direction) : 31 mars 2016.

Recommandation :

Examiner l'utilisation des tablettes par rapport aux données qui peuvent y être sauvegardées et améliorer les mesures de protection si le cryptage matériel de base est jugé insuffisant.

Réponse de la direction :

AAC accepte la recommandation.

AAC étudiera l'utilisation de tablettes et mettra en place des mesures de protection supplémentaires si le cryptage est jugé insuffisant.

Date d'échéance approuvée (Plan d'action de la direction) : 31 mars 2016.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

Le ministère a mis en œuvre divers contrôles pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables, notamment les suivantes :

  • le cryptage de certains ordinateurs portables et dispositifs de stockage USB;
  • une protection antivirus est déployée dans les ordinateurs portables;
  • les droits de l'administrateur local sont limités sur les ordinateurs portables, empêchant les utilisateurs d'installer des applications non autorisées;
  • les ordinateurs portables et les tablettes ont de solides paramètres de mot de passe.

Le cryptage a été mis en œuvre sur les tablettes. Cependant, comme on l'indique plus haut, il n'est pas utilisé et appliqué sur tous les ordinateurs et les dispositifs de stockage USB.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Veiller à ce que tous les dispositifs de stockage portables susceptibles d'être utilisés pour stocker des renseignements personnels soient dotés d'une fonction de cryptage.

Réponse de la direction :

AAC accepte la recommandation.

AAC distribuera des dispositifs de stockage portables cryptés, s'ils sont nécessaires au stockage de renseignements personnels, conformément à son processus en cas d'exception.

Date d'échéance approuvée (Plan d'action de la direction) : 31 mars 2016.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

AAC a mis en place un certain nombre de politiques et de directives qui, ensemble, constituent son cadre de gestion des dispositifs de stockage portables (DSP). La Politique sur la sécurité de la technologie de l'information et la Norme sur la sécurité physique du ministère sont les instruments de gouvernance principaux de ce cadre.

Lorsqu'on les évalue dans leur ensemble, les instruments existants portent sur la responsabilité de protéger les biens de TI et l'information, le type d'information qui peut être conservé sur les DSP ainsi que l'exigence de signaler la perte ou le vol d'un dispositif.

La Politique sur la sécurité des TI du ministère fait mention des biens informatiques, des supports optiques et des " dispositifs de stockage électroniques ", comme des ordinateurs portables, des agendas électroniques et des téléphones cellulaires. Pour faire en sorte que les employés soient bien informés, il serait souhaitable d'élargir la définition de biens informatiques pour inclure explicitement les dispositifs de stockage USB (clés USB et disques durs portables).

L'utilisation de dispositifs de stockage portables personnels n'est pas abordée dans les politiques et directives existantes.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

Veiller à ce que les politiques qui régissent l'utilisation de dispositifs de stockage portables traitent de tous les types de dispositifs, y compris les dispositifs personnels employés à des fins professionnelles.

Réponse de la direction :

AAC accepte la recommandation.

AAC modifiera sa Politique sur la sécurité de la technologie de l'information pour indiquer qu'aucun renseignement personnel ne doit être stocké sur les dispositifs de stockage portables. Toute exception à la politique suivra le processus existant pour l'enregistrement et le contrôle des dispositifs.

Date d'échéance approuvée (Plan d'action de la direction) : 31 mars 2016.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

AAC a mis en place de la formation obligatoire sur la sensibilisation aux mesures de sécurité pour tous les employés, y compris le personnel contractuel. La formation comprend un module particulier consacré aux dispositifs de stockage portables. Le module aborde la protection des biens et de l'information, les types de données qui peuvent y être stockés ainsi que l'exigence de signaler la perte ou le vol d'un dispositif. D'autres ressources complètent la formation, notamment une formation en ligne et une entente sur l'utilisation de dispositifs USB.

Comme indiqué dans la section précédente, les politiques et les directives existantes sont muets sur l'utilisation de dispositifs de stockage portables personnels à des fins professionnelles. En raison des risques d'atteinte à la vie privée associés à l'utilisation de dispositifs personnels, il est très important de veiller à ce que les employés soient au courant des politiques régissant leur utilisation.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

Veiller à ce que tous les employés, y compris les employés contractuels, soient au courant de la politique du ministère régissant l'utilisation des dispositifs de stockage portables personnels pour le travail.

Réponse de la direction :

AAC accepte la recommandation.

AAC élaborera un plan de communications pour communiquer la nouvelle Politique sur la sécurité de la technologie de l'information.

Date d'échéance approuvée (Plan d'action de la direction) : 31 mars 2016.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures sont en place pour réagir en cas d'incident de sécurité, comme la perte ou le vol de dispositifs de stockage portables.

L'exigence de signaler des incidents de sécurité est inscrite dans la Politique sur la sécurité des TI, la Norme sur la sécurité physique et la Directive sur la gestion de la sécurité. La Politique sur les atteintes à la vie privée du ministère établit également l'exigence de signaler les incidents.

Si un incident de sécurité entraîne une atteinte à la vie privée, le protocole en matière d'atteinte à la vie privée d'AAC est déclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, la signalisation et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


BANQUE DU CANADA

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

La Banque du Canada (la Banque) a établi un mécanisme pour consigner l'attribution d'ordinateurs portables, de tablettes, de dispositifs de stockage USB (clés USB et disques durs portables) et de téléphones intelligents.

La Banque a indiqué qu'elle ne distribue pas de CD et DVD pour le stockage de renseignements personnels.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Un mécanisme est en place pour faire le suivi des dispositifs de stockage portables pouvant contenir des renseignements personnels; par conséquent, aucune recommandation n'est formulée.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portatifs excédentaires ou défectueux.

Observations :

La Banque a établi un processus centralisé pour gérer l'élimination des dispositifs d'entreposage portables (DSP).

Avant leur élimination, les DSP excédentaires ou défectueux sont conservés dans un environnement sécurisé s au siège de la Banque à Ottawa.

Des procédures officielles établissant des exigences administratives et de sécurité pour l'élimination des DSP sont en place.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

Observations :

Comme indiqué plus haut, la Banque a établi un processus centralisé pour gérer l'élimination des dispositifs d'entreposage portables. Les risques potentiels ont été évalués.

Conséquence :

Un processus d'élimination qui requiert l'expédition de dispositifs de stockage portables non effacés d'un lieu à un autre présente un risque potentiel d'accès aux données, dans l'éventualité où des dispositifs seraient perdus ou volés en chemin. Ce risque doit être analysé. Sans cette analyse, les lacunes ou faiblesses procédurales qui requièrent des mesures d'atténuation (de protection) pour protéger la confidentialité ne seront pas prises en considération.

Recommandation :

La Banque a évalué les risques entourant l'expédition de dispositifs de stockage portables défectueux ou excédentaires à partir des bureaux régionaux vers Ottawa en vue de leur élimination. Par conséquent, aucune recommandation n'est faite.

Observations :

La Banque utilise un logiciel qui fait partie des logiciels d'effacement certifiés pour effacer les ordinateurs portables excédentaires avant leur élimination. Le logiciel produit une preuve documentaire (rapport de vérification) confirmant que le disque dur a bien été effacé. Ces rapports sont conservés dans les dossiers.

De plus, la Banque conserve des certificats de destruction pour les appareils éliminés par des fournisseurs tiers.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

La Banque conserve des preuves documentaires — le rapport de confirmation généré par le mécanisme de nettoyage ou la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire. Par conséquent, aucune recommandation n'est faite.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

La Banque a évalué de façon officielle les risques liés à l'utilisation des dispositifs de stockage portables, y compris :

  • la connexion de dispositifs de stockage USB non autorisés;
  • l'utilisation de CD/DVD pour stocker des données.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

La Banque a évalué les risques pour la sécurité et la protection des renseignements personnels liés à l'utilisation de dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

La Banque a mis en œuvre divers contrôles pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables, notamment les suivantes :

  • le cryptage des ordinateurs portables, des tablettes et des dispositifs de stockage USB a été mis en œuvre et appliqué;
  • une protection antivirus a été déployée dans les ordinateurs portables;
  • les droits de l'administrateur local sont limités sur ordinateurs portables, les tablettes et les téléphones intelligents, empêchant les utilisateurs d'installer des applications non autorisées;
  • des contrôles ont été adoptés pour empêcher l'installation d'applications non autorisées sur les ordinateurs portables, les tablettes et les téléphones intelligents;
  • les ordinateurs portables et les tablettes ont de solides paramètres de mot de passe.

Comme l'indique la section précédente (évaluation des risques), la Banque a évalué les risques liés au branchement de dispositifs de stockage USB non autorisés ainsi qu'à l'utilisation de disques optiques pour stocker des renseignements personnels. Au moment de conclure la vérification, aucune mesure visant à régler les lacunes relevées n'avait été adoptée.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Mettre en place des contrôles pour remédier aux risques d'atteinte aux renseignements personnels attribuables :

  • au branchement de dispositifs de stockage USB non autorisés;
  • à l'utilisation de CD/DVD pour stocker des données.

Réponse de la direction :

Pour donner suite à la recommandation, la Banque commencera à contrôler toute utilisation de dispositifs de stockage portables, y compris les dispositifs de stockage USB et les CD et DVD, au début d'août 2015. Ces utilisations seront vérifiées en fonction des processus opérationnels qui nécessitent le recours à une solution de stockage différente des clés USB cryptées récemment distribuées, et les exceptions feront l'objet d'enquêtes. Des contrôles supplémentaires, y compris le blocage ou un contrôle plus étroit, seront mis en œuvre d'ici novembre 2015.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

La Banque a mis en place un certain nombre de politiques et de normes qui, ensemble, constituent son cadre de gestion des dispositifs de stockage portables. La Politique sur l'utilisation des renseignements bancaires et les technologies de communication, la Norme opérationnelle sur le programme de sécurité et celle sur la sécurité des TI sont les principaux documents de gouvernance à cet égard.

Lorsqu'on les évalue dans leur ensemble, les instruments existants portent sur tous les types de dispositifs de stockage portables (DSP), la responsabilité de protéger les biens de TI et l'information, le type d'information qui peut être conservé sur les DSP ainsi que l'exigence de signaler la perte ou le vol d'un dispositif. L'utilisation de dispositifs personnels est abordée.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

La Banque a des politiques en place qui régissent l'utilisation des dispositifs de stockage portables. Ces politiques sont conformes aux exigences du gouvernement du Canada en matière de sécurité; par conséquent, aucune recommandation n'est formulée.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

La Banque a mis en place de la formation obligatoire sur la sensibilisation aux mesures de sécurité pour tous les employés. La formation comprend un module consacré à la Politique sur l'utilisation des renseignements bancaires et les technologies de communication. Le module aborde l'obligation de protéger l'information et l'étiquetage des documents selon leur niveau de sensibilité, ainsi que la nécessité de signaler les incidents de sécurité liés à la perte ou au vol de biens organisationnels.

D'autres ressources disponibles dans le site intranet de la Banque s'ajoutent à la formation (p. ex. des bulletins de sécurité), de même que des contrats d'utilisation pour certains types de dispositifs de stockage portables.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

Le programme de formation sur la sensibilisation à la sécurité traite des utilisations acceptables des dispositifs de stockage portables et fourni des conseils pour atténuer les risques à l'utilisation de dispositifs. Par conséquent, aucune recommandation n'est formulée.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures officielles sont en place pour réagir en cas d'incident de sécurité, comme la perte ou le vol de dispositifs de stockage portables.

L'exigence de signaler les incidents de sécurité est inscrite dans la Norme opérationnelle sur le programme de sécurité de la Banque.

Si un incident de sécurité se traduit par une atteinte à la protection de renseignements personnels, le protocole de la Banque en cas d'atteinte à la vie privée est enclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, le signalement et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


BANQUE DE DÉVELOPPEMENT DU CANADA

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portatifs fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

La Banque de développement du Canada (BDC ou la Banque) a établi un mécanisme pour consigner l'attribution d'ordinateurs portatifs, tablettes et téléphones cellulaires. Tous les dispositifs personnels (iPad et iPhone) autorisés permis pour le travail sont également consignés.

Les disques durs portables et les CD et DVD qui sont fournis ne sont pas consignés. En outre, les données contenues dans le registre sur les supports de stockage USB (clés USB) se limitent au nom du bénéficiaire; le registre ne fait pas le suivi des dispositifs en leur attribuant un numéro d'identification unique.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que la remise de tous les dispositifs de stockage portatifs — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

Conformément à notre directive organisationnelle, tous les documents employés dans le cadre des opérations de BDC sont traités et stockés dans des systèmes d'applications organisationnels, ce qui comprend les documents contenant des renseignements personnels. Par conséquent, il n'y a aucun besoin organisationnel de permettre le stockage de renseignements personnels à tout autre endroit qu'à ceux mentionnés.

La BDC évaluera si les employés ont besoin de pouvoir stocker des renseignements personnels sur des dispositifs de stockage portatifs. S'il y a une justification organisationnelle de le faire, la BDC mettra en œuvre un processus et des outils pour appuyer la recommandation.

En attendant, la BDC communiquera à tous les employés pour leur rappeler qu'ils ne doivent pas copier ou stocker de documents contenant des renseignements personnels à l'extérieur des systèmes d'applications approuvés.

Date de mise en œuvre prévue : quatrième trimestre de l’année financière 2016.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portatifs excédentaires ou défectueux.

Observations :

La Banque a établi un processus centralisé pour gérer l'élimination des dispositifs d'entreposage portables(DSP).

En attendant leur élimination, les DSP excédentaires ou défectueux sont conservés dans un environnement sécurisé au siège social de la Banque.

La Banque a produit un guide sur l'élimination pour aider le personnel qui participe au processus d'élimination. Le guide traite de tous les types de dispositifs de stockage portatifs, et précise les techniques d'élimination. Bien que ce guide fournisse un cadre pour l'élimination de l'équipement de TI, le guide ne constitue pas un processus ou une politique officiel.

Par conséquent, il n'existe aucun processus d'élimination auquel les employés de la Banque de développement du Canada doivent se conformer.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portatifs. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait conduire à une divulgation inappropriée de renseignements personnels.

Recommandation :

Mettre en place un processus officiel pour garantir que les renseignements personnels contenus dans les dispositifs de stockage portatifs sont éliminés de façon uniforme et sécuritaire.

Réponse de la direction :

Nous sommes d'accord avec la recommandation, et nous avons commencé à élaborer un processus officiel que nous comptons mettre en œuvre pour l'élimination sécuritaire du matériel, y compris des dispositifs de stockage portatifs. Lorsqu'il sera approuvé, le processus sera communiqué aux employés.

Date de mise en œuvre prévue : premier trimestre de l'année financière 2017.

Observations :

Comme indiqué plus haut, la Banque a établi un processus centralisé pour gérer l'élimination des dispositifs d'entreposage portatifs. Les biens de TI excédentaires sont expédiés au siège social de la Banque sans être effacés (nettoyés). Les risques potentiels entourant ce processus n'ont pas été évalués.

Conséquence :

Un processus d'élimination qui requiert l'expédition de dispositifs de stockage portatifs non effacés d'un lieu à un autre présente un risque potentiel d'accès aux données dans l'éventualité où les dispositifs seraient perdus ou volés en chemin. Ce risque doit être analysé. Sans cette analyse, les lacunes ou faiblesses procédurales qui requièrent des mesures d'atténuation (de protection) pour protéger la confidentialité ne seront pas prises en considération.

Recommandation :

Évaluer le processus d'élimination actuel — pour ce qui est de l'expédition des dispositifs de stockage portatifs excédentaires ou défectueux vers un site central (p. ex., le siège social) — pour garantir que des mesures de contrôle adéquates sont en place pour atténuer le risque d'accès aux données.

Réponse de la direction :

Suivant la recommandation, nous allons évaluer les risques associés à l'expédition des dispositifs de stockage portatifs excédentaires ou défectueux vers un site central (p. ex., le siège social). Sur la base des résultats de l'évaluation, la BDC fera en sorte que tous les contrôles appropriés sont en place pour atténuer le risque d'accès aux données.

Note : En tant que mesure d'atténuation immédiate, tous les ordinateurs portatifs, les appareils BlackBerry et les clés USB autorisées fournis par la BDC sont cryptés.

Date de mise en œuvre prévue : premier trimestre de l'année financière 2017.

Observations :

Tous les dispositifs de stockage portables défectueux ou excédentaires sont éliminés sur place (au siège social de la BDC) par un tiers fournisseur de services. Bien que les disques durs ne soient pas effacés avant leur destruction, le processus s'effectue sous le contrôle et la supervision constante d'un représentant de la BDC. De plus, la destruction est filmée.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Comme le processus de destruction des dispositifs de stockage portables excédentaires et défectueux est supervisé par un représentant de la Banque et qu'il est filmé, aucune recommandation n'est formulée.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portatifs ont été évalués.

Observations :

Sauf pour ce qui est des disques optiques (CD et DVD), la Banque a évalué les risques entourant les dispositifs de stockage portatifs examinés dans le cadre de la vérification. Toutefois, l'analyse de risques ne couvrait pas le manque de contrôles techniques concernant :

  • la connexion de dispositifs de stockage USB non autorisés;
  • la capacité de télécharger et d'utiliser des applications non autorisées sur des téléphones intelligents et des tablettes gérés à partir de BES 10;
  • l'utilisation de cartes mémoires non chiffrées avec des appareils BlackBerry.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles entourant l'utilisant des dispositifs de stockage portatifs. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer le risque d'atteinte à la protection de renseignements personnels résultant :

  • de l'absence de contrôles concernant le branchement de dispositifs de stockage USB non autorisés;
  • de l'utilisation de CD/DVD pour stocker des données,
  • de la capacité de télécharger et d'utiliser des applications non autorisées sur des appareils BlackBerry ou des dispositifs personnels,
  • de l'utilisation de cartes mémoires non chiffrées sur les appareils BlackBerry,

et mettre en œuvre des mesures appropriées pour corriger les lacunes et les points faibles.

Réponse de la direction :

Suivant la recommandation, nous effectuerons une évaluation complète des risques possibles d'atteinte à la protection de renseignements personnels résultant :

  • d'un manque de contrôles liés à la connexion de dispositifs de stockage USB non autorisés,
  • de l'utilisation de CD ou de DVD pour stocker des données,
  • de la capacité de télécharger et d'utiliser des applications non autorisées sur des appareils BlackBerry ou des dispositifs personnels,
  • de l'utilisation de cartes mémoires non chiffrées sur les appareils BlackBerry.

Les résultats de cette évaluation détermineront quelles initiatives ou quels projets doivent être approuvés de manière prioritaire et mis en œuvre afin de disposer des contrôles nécessaires.

Date de mise en œuvre prévue : deuxième trimestre de l'année financière 2017.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portatifs.

Observations :

La Banque a mis en œuvre divers contrôles pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portatifs, notamment les suivants :

  • le cryptage a été mis en œuvre pour les ordinateurs portatifs, les tablettes et les dispositifs de stockage USB fournis par la Banque;
  • une protection antivirus est déployée dans les ordinateurs portables;
  • les droits de l'administrateur local sont limités sur les ordinateurs portables, empêchant les utilisateurs d'installer des applications non autorisées;
  • les ordinateurs portatifs, les tablettes et les dispositifs de stockage USB sont dotés de solides paramètres de mots de passe.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portatifs. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Les contrôles existants examinés dans le cadre de l'évaluation ont été jugés adéquats; par conséquent, aucune recommandation n'est formulée.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE DE POLITIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portatifs conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

La Banque a mis en place un certain nombre de politiques et de directives qui, ensemble, constituent son cadre de gestion des dispositifs de stockage portatifs. Les directives opérationnelles de la Banque concernant l'utilisation de la technologie et l'accès des utilisateurs, de même que sa politique sur la sécurité matérielle et les situations d'urgence sont des instruments de gouvernance de premier plan sur ces questions.

Lorsqu'on les évalue dans leur ensemble, les instruments existants portent sur tous les types de dispositifs, la responsabilité des employés en matière de protection de ces dispositifs et le type d'information pouvant y être stocké. L'utilisation des dispositifs personnels pour le travail est également abordée.

La politique indique qu'il faut déclarer la perte ou le vol de biens de TI ayant une valeur monétaire de 200 $ ou plus; les employés n'ont pas l'obligation de déclarer la perte ou le vol de dispositifs dont la valeur est inférieure à ce montant (c.-à-d. la plupart des dispositifs USB, CD et DVD).

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

Veiller à ce que les politiques directrices comportent l'obligation de déclarer la perte ou le vol de tous les dispositifs de stockage portatifs pouvant contenir des renseignements personnels.

Réponse de la direction :

Nous sommes d'accord avec la recommandation et nous inclurons, lors de la prochaine mise à jour des politiques et directives nommées, une obligation formelle pour tous les employés de signaler le plus rapidement possible la perte ou le vol de tout dispositif de stockage portatif contenant des renseignements personnels.

Date de mise en œuvre prévue : deuxième trimestre de l'année financière 2017.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portatifs, et des risques entourant leur utilisation.

Observations :

La Banque a mis en place de la formation obligatoire sur la sensibilisation aux mesures de sécurité pour tous les employés, y compris le personnel contractuel. Cette formation traite de l'obligation des employés de protéger les biens et l'information; indique le type de renseignements pouvant être stockés sur des dispositifs de stockage portatifs; et l'obligation de déclarer la perte ou le vol de biens de TI appartenant à l'organisation. L'utilisation de dispositifs personnels est également abordée dans le cadre de cette formation.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portatifs, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portatifs, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

Le programme de formation sur la sensibilisation à la sécurité traite des utilisations acceptables des dispositifs de stockage portables et fourni des conseils pour atténuer les risques à l'utilisation de dispositifs. Par conséquent, aucune recommandation n'est formulée.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portatifs.

Observations :

Des procédures sont en place pour réagir en cas d'incident de sécurité, comme la perte ou le vol d'un dispositif de stockage portable d'une valeur de deux cents dollars ou plus.

La politique de la Banque sur la sécurité matérielle et les situations d'urgence comprend notamment une obligation de déclarer les incidents de sécurité des TI.

Si un incident de sécurité se traduit par une atteinte à la protection de renseignements personnels, le processus en cas de violation de la confidentialité de la Banque sera enclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, la signalisation et la prévention.

Conformément à ce qui a été mentionné, il n'y a aucune obligation de déclarer la perte ou le vol d'un bien de TI dont la valeur monétaire est inférieure à 200 $. Cela comprend la plupart des dispositifs de stockage USB et les disques optiques (CD et DVD).

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Veiller à ce que la perte ou le vol de tout dispositif de stockage portatif pouvant contenir des renseignements personnels — quelle que soit la valeur financière du dispositif — fasse l'objet d'une enquête, et qu'au besoin le processus en cas d'atteinte soit appliqué.

Réponse de la direction :

Nous sommes d'accord avec la recommandation. Les politiques, directives et procédures pertinentes seront révisées de manière à inclure l'exigence pour tous les employés de signaler le plus rapidement possible la perte ou le vol de tout dispositif de stockage portatif pouvant contenir des renseignements personnels — quelle que soit la valeur financière du dispositif.

Le processus fera en sorte qu'on fasse enquête sur tous les cas de perte ou de vol, et qu'on déclenche au besoin le processus en cas d'atteinte à la protection de la vie privée.

Date de mise en œuvre prévue : deuxième trimestre de l'année financière 2017.

 


AGENCE DES SERVICES FRONTALIERS DU CANADA

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

L'Agence des services frontaliers du Canada (ASFC ou l'Agence) a établi un mécanisme pour consigner l'attribution d'ordinateurs portatifs et de tablettes.

Certains des dispositifs de stockage USB (clés USB et disques durs portables) sont enregistrés, mais pas tous.

La remise de CD et DVD n'est pas consignée.

Services partagés Canada est responsable de contrôler la distribution l'attribution de téléphones intelligents.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que la remise de tous les dispositifs de stockage portables — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

D'accord.

L'Agence des services frontaliers du Canada fera en sorte que tous les dispositifs de stockage sont répertoriés dans un inventaire, qu'ils font l'objet de suivis et sont étiquetés en bonne et due forme.

Date d'échéance : juillet 2016.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

L'Agence a mis en place un processus d'élimination décentralisé. Les bureaux régionaux sont responsables de gérer leur propre inventaire de dispositifs de stockage portables (DSP).

Les DSP excédentaires ou défectueux sont conservés dans un environnement sécurisé avant leur élimination.

Des procédures officielles établissant des exigences administratives et de sécurité pour l'élimination des DSP sont en place.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

Observations :

L'Agence utilise un logiciel qui ne fait pas partie des logiciels d'effacement certifiés pour effacer les ordinateurs portables excédentaires avant leur élimination. Le logiciel ne produit pas de preuve documentaire (rapport de vérification) confirmant que le disque dur a bien été effacé.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont ils ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

D'accord.

L'Agence des services frontaliers du Canada conservera les preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Date d'échéance : décembre 2015.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

Sauf pour ce qui est des disques optiques (CD et DVD), les risques entourant les dispositifs de stockage portables ont été évalués de façon officielle.

C'est l'Agence du revenu du Canada qui a effectué l'évaluation, puisque c'est elle qui gère l'infrastructure des TI qui avait été mise en place lorsque les mandats du revenu, des douanes et de l'accise relevaient d'un même organisme, l'Agence des douanes et du revenu du Canada (ADRC). Le réseau de l'Agence des services frontaliers du Canada (ASFC) fonctionne toujours sur la plateforme des TI de l'ancienne ADRC qui est demeurée en place.

Même s'il n'existe aucune preuve laissant croire à des lacunes dans le cadre de contrôles existant, l'ASFC n'a pas évalué spécifiquement l'utilisation des dispositifs de stockage portables — et la mise en œuvre de contrôles des TI — dans le contexte de ses propres programmes et environnement.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer les risques pour les renseignements personnels qui résultent de l'utilisation des CD/DVD pour stocker des données, et mettre en place des contrôles appropriés pour corriger les lacunes et les faiblesses.

Réponse de la direction :

D'accord.

L'Agence des services frontaliers du Canada évaluera le risque en matière de sécurité associé à l'utilisation des CD/DVD, ainsi que l'incidence pour les opérations d'un retrait des lecteurs CD/DVD.

Date d'échéance : octobre 2016.

Recommandation :

Évaluer l'utilisation des dispositifs de stockage portables et les contrôles qui sont présents dans le contexte des programmes et de l'environnement propres à l'Agence, et mettre en œuvre les contrôles appropriés pour régler les lacunes et faiblesses relevées.

Réponse de la direction :

D'accord.

L'Agence des services frontaliers du Canada évaluera l'utilisation des dispositifs de stockage portables au sein de l'Agence et les contrôles dont ils sont munis, et mettra en œuvre des contrôles appropriés pour régler les lacunes et faiblesses relevées.

Date d'échéance : décembre 2016.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

L'Agence a mis en œuvre divers contrôles pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables, notamment les suivants :

  • le cryptage des ordinateurs portables, des tablettes et des dispositifs de stockage USB a été mis en œuvre et appliqué;
  • une protection antivirus est déployée dans les ordinateurs portables et les tablettes;
  • les droits de l'administrateur local sont limités sur les ordinateurs portables et les tablettes, empêchant les utilisateurs d'installer des applications non autorisées;
  • les ordinateurs portables et les tablettes ont de solides paramètres de mot de passe.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité d'une institution de protéger les renseignements personnels.

Recommandation :

Les contrôles existants examinés dans le cadre de l'évaluation ont été jugés adéquats; par conséquent, aucune recommandation n'est formulée.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

L'Agence a mis en place un certain nombre de politiques, de normes et de lignes directrices qui, ensemble, constituent son cadre de gestion des dispositifs de stockage portables (DSP). La Politique sur l'utilisation des ressources électroniques, la Politique sur la sécurité de l'environnement informatique, la Directive sur l'utilisation des technologies sans fil et la Politique sur la sécurité de l'information sont les instruments de gouvernance principaux sur ces questions.

Lorsqu'on les évalue dans leur ensemble, les instruments existants portent sur tous les types de DSP, la responsabilité de protéger les biens de TI et l'information, le type d'information qui peut être conservé sur les DSP ainsi que l'exigence de signaler la perte ou le vol d'un dispositif. L'utilisation de dispositifs personnels est abordée.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent des mécanismes qui intègrent la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

L'Agence a des politiques en place qui régissent l'utilisation des dispositifs de stockage portables. Ces politiques sont conformes aux exigences du gouvernement du Canada en matière de sécurité; par conséquent, aucune recommandation n'est formulée.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

Un programme obligatoire de sensibilisation des employés à la sécurité a été mis en œuvre. La présentation en ligne aborde l'obligation de protéger l'information et les biens, l'exigence d'étiqueter les supports externes en fonction de l'information qui y est stockée, et de signaler la perte ou le vol de tout bien organisationnel. La présentation fournit également une liste de ressources, y compris les politiques traitant de l'utilisation des dispositifs de stockage portables (DSP).

D'autres ressources s'ajoutent à la formation, notamment un bulletin de sécurité qui aborde l'utilisation des clés USB et d'autres appareils externes.

Un élément qui manque dans la formation obligatoire est la mention de la politique de l'Agence concernant l'utilisation de DSP personnels à des fins professionnelles. En raison des risques d'atteinte à la vie privée associés à l'utilisation de dispositifs personnels, il est très important de veiller à ce que les employés soient au courant des politiques régissant leur utilisation.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

Veiller à ce que tous les employés, y compris les employés contractuels, soient au courant de la politique de l'Agence régissant l'utilisation des dispositifs de stockage portables personnels pour le travail.

Réponse de la direction :

D'accord.

L'Agence des services frontaliers du Canada veillera à ce que tous les employés, y compris les employés contractuels, soient au courant de la politique de l'Agence régissant l'utilisation des dispositifs de stockage portables personnels pour le travail.

Date d'échéance : juillet 2016.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures officielles sont en place pour réagir en cas d'incident de sécurité, comme la perte ou le vol de dispositifs de stockage portables.

L'exigence de signaler des incidents de sécurité est inscrite dans la Politique de sécurité de l'Agence.

Si un incident de sécurité entraîne une atteinte à la vie privée, le protocole de l'Agence en matière d'atteinte à la vie privée est déclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, la signalisation et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


SOCIÉTÉ D'ASSURANCE-DÉPÔT DU CANADA

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

La Société d'assurance-dépôts du Canada (SADC ou la Société) a établi un mécanisme pour consigner l'attribution d'ordinateurs portatifs, de tablettes et de téléphones intelligents.

Un mécanisme d'identification des usagers qui utilisent leurs dispositifs personnels (iPads et iPhones) à des fins professionnelles est également en place.

Il n'y a pas de registre officiel pour les dispositifs de stockage USB (clés USB) et l'attribution de CD et DVD n'est pas consignée.

La Société a indiqué que les disques durs portables ne sont pas distribués au personnel.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que la remise de tous les dispositifs de stockage portables — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

La direction accepte la recommandation.

La Société d'assurance-dépôts du Canada améliorera les mécanismes existants pour faire en sorte que tous les dispositifs de stockage portables pouvant contenir des renseignements personnels, y compris les dispositifs de stockage USB, sont enregistrés et font l'objet de suivi durant toute leur vie utile.

Le travail sera terminé le 31 mars 2016.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

La Société a établi un processus centralisé pour gérer l'élimination des dispositifs de stockage portables (DSP).

Avant leur élimination, les DSP excédentaires ou défectueux sont conservés dans un environnement sécuritaire situé au siège social de la Société.

Des procédures officielles établissant des exigences administratives et de sécurité pour l'élimination des DSP sont en place.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

Observations :

Comme indiqué plus haut, la SADC a établi un processus centralisé pour gérer l'élimination des dispositifs d'entreposage portables. Plus précisément, le bureau régional de la Société expédie ses dispositifs excédentaires ou défectueux au siège social afin qu'ils soient effacés et éliminés. Les risques potentiels entourant ce processus n'ont pas été évalués.

Conséquence :

Un processus d'élimination qui requiert l'expédition de dispositifs de stockage portables non effacés d'un lieu à un autre présente un risque potentiel d'accès aux données, dans l'éventualité où des dispositifs seraient perdus ou volés en chemin. Ce risque doit être analysé. Sans cette analyse, les lacunes ou faiblesses procédurales qui requièrent des mesures d'atténuation (de protection) pour protéger la confidentialité ne seront pas prises en considération.

Recommandation :

Évaluer le processus d'élimination actuel — pour ce qui est de l'expédition des dispositifs de stockage portables excédentaires ou défectueux vers un site central (p. ex., le siège social) — pour garantir que des mesures de contrôle adéquates sont en place pour atténuer le risque d'accès aux données.

Réponse de la direction :

La direction accepte la recommandation.

La Société d'assurance-dépôts du Canada évaluera ses procédures actuelles d'élimination pour faire en sorte que des contrôles supplémentaires sont en place en vue de réduire tout risque potentiel d'accès aux données associé au transport de dispositifs non effacés.

Ce travail sera terminé d'ici le 31 mars 2016.

Observations :

La SADC utilise un outil pour faire la ré-imagerie des ordinateurs portables excédentaires avant de les vendre au personnel. S'ils ne sont pas vendus au personnel, les appareils, de même que les CD/DVD excédentaires, sont éliminés par un tiers fournisseur de services. Des certificats de destruction sont conservés.

Le processus de ré-imagerie n'est pas considéré comme une méthode sécuritaire d'effacement des données logées sur les disques durs.

L'utilisation de logiciels certifiés pour l'effacement offre une bonne garantie que les données ont bien été éliminées. De plus, ces logiciels produisent un rapport de confirmation. Ainsi, les organisations peuvent montrer qu'elles ont exercé la diligence requise en s'assurant qu'un effacement complet et sécuritaire a bien été effectué.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

La direction accepte la recommandation.

La Société d'assurance-dépôts du Canada améliorera ses procédures actuelles afin de conserver les preuves documentaires comme vérification du fait que les données contenues sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Le travail sera terminé le 31 mars 2016.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

Sauf pour ce qui est des disques optiques (CD et DVD), la Société a évalué les risques entourant les dispositifs de stockage portables. Toutefois, l'analyse de risques ne couvrait pas le manque de contrôles techniques concernant :

  • la connexion de dispositifs de stockage USB non autorisés;
  • la possibilité de télécharger et d'utiliser des applications non autorisées sur les ordinateurs portables et les tablettes.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer le risque d'atteinte à la protection de renseignements personnels résultant :

  • de l'absence de contrôles concernant le branchement de dispositifs de stockage USB non autorisés;
  • de l'utilisation de CD/DVD pour stocker des données;
  • de la possibilité de télécharger et d'utiliser des applications non autorisées sur les ordinateurs portables et tablettes;

et mettre en place les mesures nécessaires pour corriger les lacunes et les faiblesses.

Réponse de la direction :

La direction accepte la recommandation.

La Société d'assurance-dépôts du Canada a commencé à évaluer les risques d'atteinte à la protection de renseignements personnels associés à l'utilisation non autorisée de dispositifs de stockage USB, à l'utilisation de CD/DVD pour stocker des données, et à la possibilité de télécharger et d'utiliser des applications non autorisées sur les ordinateurs portables et les tablettes. La Société a commencé à mettre en place un certain nombre de mesures pour corriger les lacunes et les faiblesses relevées par le Commissariat.

Ce travail sera terminé le 31 mars 2016.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

La Société a mis en œuvre divers contrôles pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables, notamment les suivantes :

  • le cryptage est employé sur certains ordinateurs portables et dispositifs de stockage USB (c.-à-d. ceux servant aux examens de conformité);
  • le cryptage est activé sur les téléphones intelligents;
  • une protection antivirus est déployée dans les ordinateurs portables;
  • les ordinateurs portables ont de solides paramètres de mot de passe;
  • les droits de l'administrateur local sont limités sur les téléphones intelligents, empêchant les utilisateurs d'installer des applications non autorisées.

Par contre, le chiffrement n'a pas été mis en œuvre sur tous les ordinateurs portables. De plus, les tablettes et les téléphones intelligents ont des paramètres de mot de passe faibles, y compris les appareils personnels autorisés à des fins professionnelles.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Veiller à ce que tous les dispositifs de stockage portables susceptibles d'être utilisés pour stocker des renseignements personnels soient dotés d'une fonction de cryptage.

Réponse de la direction :

La direction accepte cette recommandation.

La Société d'assurance-dépôts du Canada améliorera ses procédures actuelles pour veiller à ce que tous les dispositifs de stockage portables susceptibles d'être utilisés pour stocker des renseignements personnels soient dotés d'une fonction de cryptage.

Ce travail sera terminé le 31 mars 2016.

Recommandation :

Renforcer les paramètres de mot de passe pour les tablettes et les téléphones intelligents, tant ceux distribués par la SADC que les appareils personnels utilisés à des fins professionnelles.

Réponse de la direction :

La direction accepte cette recommandation.

La Société d'assurance-dépôts du Canada renforcera les paramètres de mot de passe pour les tablettes et les téléphones intelligents, tant ceux distribués par la Société que les appareils personnels utilisés à des fins professionnelles.

Ce travail sera terminé le 31 mars 2016.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

La Société a mis en place un certain nombre de politiques qui, ensemble, constituent son cadre de gestion des dispositifs de stockage portables (DSP). La Politique sur l'utilisation acceptable des ressources technologiques, la Politique sur la sécurité informatique, et la Politique sur la sécurité des renseignements sont les principaux instruments de gouvernance à cet égard.

Lorsqu'on les évalue dans leur ensemble, les instruments existants portent sur tous les types de DSP, la responsabilité de protéger les biens de TI et l'information, le type d'information qui peut être conservé sur les DSP ainsi que l'exigence de signaler la perte ou le vol d'un dispositif. L'utilisation de DSP personnels est également abordée dans les politiques.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

La Société a des politiques en place qui régissent l'utilisation des dispositifs de stockage portables. Ces politiques sont conformes aux exigences du gouvernement du Canada en matière de sécurité; par conséquent, aucune recommandation n'est formulée.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portatifs, et des risques entourant leur utilisation.

Observations :

Une présentation sur la sensibilisation à la sécurité informatique a été créée en 2011. Elle n'a pas été mise à jour depuis. La présentation traite de l'importance de protéger les mots de passe et de l'utilisation des dispositifs de stockage USB distribués par la SADC pour transporter des données. La présentation fait mention de futures initiatives de formation en matière de sécurité, y compris sur l'utilisation acceptable du matériel sans fil et sur la sensibilisation aux nouvelles mesures de sécurité technologiques.

La Société a indiqué qu'elle était en train de régler des lacunes en matière de formation.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

S'assurer que tous les employés, y compris le personnel contractuel, connaissent les politiques qui régissent l'utilisation des dispositifs de stockage portables, et fournir des conseils pour atténuer les risques pour la vie privée inhérents à l'utilisation de ces dispositifs.

Réponse de la direction :

La direction accepte cette recommandation.

La Société d'assurance-dépôts du Canada améliorera son programme actuel de formation et de sensibilisation sur la sécurité pour faire en sorte que tous les employés, y compris le personnel contractuel, reçoivent de la formation sur l'utilisation des dispositifs de stockage portables.

Ce travail sera terminé le 31 décembre 2015.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures officielles sont en place pour réagir en cas d'incident de sécurité, comme la perte ou le vol de dispositifs de stockage portables.

L'exigence de signaler les incidents de sécurité est inscrite dans la Politique sur la sécurité informatique de la Société.

Si un incident de sécurité entraîne une atteinte à la vie privée, le protocole en matière d'atteinte à la vie privée de la Société est déclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, la signalisation et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


SOCIÉTÉ CANADIENNE D'HYPOTHÈQUES ET DE LOGEMENT

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

La Société canadienne d'hypothèques et de logement (SCHL ou la Société) dispose d'un mécanisme pour consigner l'attribution des ordinateurs portables, des tablettes, des téléphones portables et des clés USB.

La distribution de disques durs portables et de CD et DVD n'est pas consignée.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que l'attribution de tous les dispositifs de stockage portables — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

La Société accepte la recommandation.

La Société reconnaît que tous les dispositifs de stockage portables servant à sauvegarder des renseignements personnels devraient être consignés à des fins d'identification et de suivi. Pour répondre à cette observation, la Société veillera à ce que les disques durs amovibles et les graveurs de CD/DVD soient inscrits au registre existant; de plus, le registre sera mis à jour pour indiquer si le dispositif doit servir ou non à enregistrer ou conserver des renseignements personnels.

L'équipe du Risque de sécurité des TI effectue des validations annuelles de politiques. Ce faisant, la Sécurité des TI effectuera une vérification de la politique sur la gestion des biens pour vérifier que des mesures de sécurité sont en place. De plus, le programme pour la sensibilisation à la sécurité des TI mis à jour de la Société communiquera des stratégies précises à tous les employés sur comment réduire les risques de pertes de données associés aux dispositifs de stockage portables. De manière générale, il n'est pas courant à la Société de conserver des renseignements personnels sur des CD ou des DVD.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

La Société a établi un processus centralisé pour gérer l'élimination des dispositifs de stockage portables (DSP) excédentaires ou défectueux.

Avant leur élimination, les DSP excédentaires ou défectueux sont conservés dans un environnement sécurisé.

Des procédures officielles établissant des exigences administratives et de sécurité pour l'élimination des DSP sont en place.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

Observations :

Comme indiqué plus haut, la SCHL a mis en œuvre un processus centralisé pour gérer l'élimination des dispositifs de stockage portables excédentaires ou défectueux. Les bureaux régionaux acheminent les dispositifs excédentaires ou défectueux à l'administration centrale de la Société afin qu'ils soient effacés et éliminés. Les risques potentiels entourant ce processus n'ont pas été évalués.

Conséquence :

Un processus d'élimination qui requiert l'expédition de dispositifs de stockage portables non effacés d'un lieu à un autre présente un risque potentiel d'accès aux données, dans l'éventualité où des dispositifs seraient perdus ou volés en chemin.

Ce risque doit être analysé. Sans cette analyse, les lacunes ou faiblesses procédurales qui requièrent des mesures d'atténuation (de protection) pour protéger la confidentialité ne seront pas prises en considération.

Recommandation :

Évaluer le processus d'élimination actuel — pour ce qui est de l'expédition des dispositifs de stockage portables excédentaires ou défectueux vers un site central (p. ex., le siège social) — pour garantir que des mesures de contrôle adéquates sont en place pour atténuer le risque d'accès aux données.

Réponse de la direction :

La Société accepte la recommandation.

La Société reconnaît le risque potentiel de perte de données lors du transport de dispositifs entre ses bureaux régionaux et son siège social. Le processus actuel d'élimination a été évalué et les dispositifs qui ont été identifiés comme excédentaires sont effacés sur place avant leur transport, ce qui réduit le risque potentiel d'une atteinte aux données en cas de perte d'un dispositif lors du transport.

Observations :

La SCHL utilise un logiciel qui ne fait pas partie des logiciels d'effacement certifiés pour effacer les ordinateurs portables excédentaires avant leur élimination. Le logiciel ne produit pas de preuve documentaire (rapport de vérification) confirmant que le disque dur a bien été effacé.

La SCHL obtient des certificats de destruction pour tout dispositif éliminé par un tiers fournisseur de services.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

La Société accepte la recommandation.

La SCHL utilise actuellement un mécanisme d'effacement considéré parmi les meilleurs de l'industrie pour effacer les ordinateurs portables excédentaires avant leur élimination. La Société révisera ses procédures en ce qui concerne la production d'un rapport de confirmation précisant que toutes les données sur les dispositifs de stockage portables excédentaires ont été éliminées. L'administration recommande de modifier le processus pour enregistrer la date et l'heure de l'effacement du dispositif dans le système de suivi de gestion du changement (MARVAL).

Le travail et les échéances pour effectuer ces changements seront considérés dans le cadre du processus de planification stratégique ordinaire et feront partie du plan d'affaires des technologies pour 2016.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

Bien que la Société n'ait pas évalué formellement les risques pour la vie privée entourant l'utilisation de dispositifs de stockage portables, divers contrôles ont été mis en œuvre et ceux-ci règlent d'emblée certains risques.

Il y a une exception. La Société n'a pas évalué le risque pour les renseignements personnels découlant de la capacité de télécharger et d'utiliser des applications non autorisées sur les ordinateurs portables.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer les risques pour les renseignements personnels qui découlent de la possibilité de télécharger et utiliser des applications non autorisées sur les ordinateurs portables et mettre en œuvre des mesures de contrôle pour remédier aux lacunes et aux points faibles décelés.

Réponse de la direction :

La Société accepte la recommandation.

Bien qu'une évaluation officielle des risques pour les renseignements personnels découlant de la possibilité de télécharger et utiliser des applications non autorisées sur les ordinateurs portables n'a pas été faite, la Société utilise plusieurs pratiques reconnues pour réduire le risque que des maliciels ou des services de partage de fichiers soient installés, notamment :

  • des logiciels antivirus et anti maliciels
  • des contrôles de périmètre sur les communications sortantes (murs pare-feu E-gress)
  • le filtrage Web et des URL

La politique actuelle de la Société, que tous les employés doivent accepter et suivre, indique que les employés ne doivent installer aucune application non autorisée sur un appareil de bureau. Dans le cadre de son programme de sensibilisation à la sécurité des TI, la Société rappellera explicitement cette politique ainsi que les risques associés à l'installation d'applications non autorisées.

La direction considérera également adopter des mesures de contrôle supplémentaires dans la version actuelle de la configuration standard du bureau. L'exécution et les échéances pour ce travail seront alignées avec la prochaine mise à jour importante du bureau.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

La SCHL a mis en œuvre plusieurs contrôles pour protéger les renseignements personnels qui sont transmis et conservés sur des dispositifs de stockage portables, y compris :

  • un antivirus sur les ordinateurs portables contrôlés de manière centrale;
  • le cryptage des dispositifs de stockage USB distribués par la Société;
  • des restrictions sur la capacité de graver des disques optiques ;
  • des restrictions sur la possibilité de télécharger des applications sur les téléphones intelligents.

Cependant, un des contrôles clés de sécurité des TI, le cryptage, n'est pas mis en œuvre ni appliqué sur les ordinateurs portables.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Veiller à ce que tous les dispositifs de stockage portables susceptibles d'être utilisés pour stocker des renseignements personnels soient dotés d'une fonction de cryptage.

Réponse de la direction :

La Société accepte la recommandation.

La politique actuelle de la Société, que tous les employés doivent accepter et suivre, précise que l'information organisationnelle ne doit pas être conservée localement sur des dispositifs de stockage portables (ordinateurs portables). Dans le cadre de son programme de sensibilisation à la sécurité des TI, la Société rappellera explicitement cette politique ainsi que les risques associés à la conservation d'information organisationnelle sur le disque local des dispositifs portables. De plus, la Société effectuera une analyse des coûts, des risques et des avantages pour établir s'il est viable de crypter tous des ordinateurs portables de la Société.

L'exécution et les échéances pour ce travail seront évaluées dans le cadre du processus de planification stratégique ordinaire et feront partie du plan d'affaires des technologies pour 2016.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

La Société a mis en place un certain nombre de politiques qui, ensemble, constituent son cadre de gestion des dispositifs de stockage portables (DSP). La politique et les normes en matière de sécurité des TI de la Société, sa politique de gestion des documents, et sa politique sur les logiciels et le matériel informatique sont les principaux instruments de gouvernance à cet égard.

Lorsqu'on les évalue dans leur ensemble, les instruments existants portent sur tous les types de dispositifs de stockage portables, la responsabilité des employés de protéger les biens de TI, le type d'information qui peut être conservé sur les dispositifs, ainsi que l'exigence de signaler la perte ou le vol d'un dispositif. L'utilisation de dispositifs personnels est également abordée.

La cadre actuel sera complété par l'adoption de la politique sur l'utilisation acceptable des DSP de la Société, qui est en voie d'être approuvée par la haute direction.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

La Société a des politiques en place qui régissent l'utilisation des dispositifs de stockage portables. Ces politiques sont conformes aux exigences du gouvernement du Canada en matière de sécurité; par conséquent, aucune recommandation n'est formulée.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

La Société a mis en œuvre un programme obligatoire de formation sur la gestion de l'information pour tous les employés; cependant, la présentation n'aborde pas l'utilisation des dispositifs de stockage portables.

La formation est complétée par la diffusion de bulletins de sécurité et de communiqués qui traitent de la protection des biens organisationnels, de l'Initiative pour la prévention de la perte de données de la SCHL et de l'utilisation de dispositifs de stockage USB. Bien qu'il s'agisse là d'outils de sensibilisation utiles, il est impossible de confirmer que tous les employés les ont lus.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

S'assurer que tous les employés, y compris le personnel contractuel, connaissent les politiques qui régissent l'utilisation des dispositifs de stockage portables, et fournir des conseils pour atténuer les risques inhérents à l'utilisation de ces dispositifs.

Réponse de la direction :

La Société accepte la recommandation.

La Société dispose actuellement d'un programme de sensibilisation à la sécurité des TI qui fait en sorte que tous les employés, y compris le personnel contractuel, connaissent les politiques qui régissent l'utilisation des dispositifs de stockage portables, et reçoivent des conseils pour atténuer les risques inhérents à l'utilisation de ces dispositifs.

Le programme sera complètement mis en œuvre en 2016.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures sont en place pour réagir en cas d'incidents mettant en cause la perte ou le vol d'un dispositif de stockage portable.

L'exigence de signaler les incidents de sécurité de TI est inscrite dans les politiques et normes sur la sécurité des TI de la SCHL.

Si un incident de sécurité se traduit par une atteinte à la protection de renseignements personnels, le protocole en cas d'atteinte à la vie privée de la SCHL est enclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, le signalement et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


AGENCE DU REVENU DU CANADA

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

L'Agence du revenu du Canada (ARC ou l'Agence) dispose d'un mécanisme pour consigner l'attribution des ordinateurs portables, des tablettes et des dispositifs de stockage USB (clés USB et disques durs portables).

La distribution de CD et de DVD n'est pas consignée.

Services partagés Canada est responsable de contrôler l'attribution de téléphones intelligents.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que l'attribution de tous les dispositifs de stockage portables — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

L'Agence accepte la recommandation.

La vérification a souligné le fait que l'Agence dispose déjà d'un registre où sont consignés les ordinateurs portables, les tablettes, les disques durs amovibles et les dispositifs de stockage portables USB.

En mai 2015, l'Agence a étendu le processus d'inventaire pour y inclure les CD et DVD neufs ou en circulation, répondant ainsi entièrement à la recommandation du Commissariat.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

L'Agence a établi un processus décentralisé pour l'élimination. Les bureaux régionaux sont responsables de gérer leur propre inventaire de dispositifs de stockage portables (DSP).

Avant leur élimination, les DSP excédentaires ou défectueux sont conservés dans un environnement sécurisé.

Des procédures officielles établissant des exigences administratives et de sécurité pour l'élimination des DSP sont en place.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

Observations :

Comme indiqué plus haut, l'ARC a mis en œuvre un processus décentralisé pour gérer l'élimination des dispositifs. Les bureaux régionaux acheminent les dispositifs excédentaires ou défectueux vers certains sites ou vers le siège social de l'Agence afin qu'ils soient effacés et éliminés. Les risques potentiels entourant ce processus n'ont pas été évalués.

Conséquence :

Un processus d'élimination qui requiert l'expédition de dispositifs de stockage portables non effacés d'un lieu à un autre présente un risque potentiel d'accès aux données, dans l'éventualité où des dispositifs seraient perdus ou volés en chemin. Ce risque doit être analysé. Sans cette analyse, les lacunes ou faiblesses procédurales qui requièrent des mesures d'atténuation (de protection) pour protéger la confidentialité ne seront pas prises en considération.

Recommandation :

Évaluer le processus d'élimination actuel — pour ce qui est de l'expédition des dispositifs de stockage portables excédentaires ou défectueux vers un site central (p. ex., le siège social) — pour garantir que des mesures de contrôle adéquates sont en place pour atténuer le risque d'accès aux données.

Réponse de la direction :

L'Agence accepte la recommandation.

La vérification a souligné le fait que les dispositifs de stockage portables excédentaires ou défectueux de l'Agence sont entreposés dans un endroit sécurisé avant leur élimination, et que des procédures opérationnelles formelles sont en vigueur, y compris un processus pour gérer l'élimination des dispositifs.

L'Agence examinera les instruments organisationnels de politiques actuels en fonction du dernier élément de risque potentiel associé au transport des dispositifs d'un site régional vers l'endroit chargé de les effacer et de les éliminer. S'il s'avère nécessaire d'effectuer des mises à jour pour régler certaines lacunes dans les procédures, les directives mises à jour seront communiquées à tous les secteurs concernés d'ici au 30 septembre 2015.

Observations :

L'Agence utilise un logiciel qui ne fait pas partie des logiciels d'effacement certifiés pour effacer les ordinateurs portables excédentaires avant leur élimination. Le logiciel ne produit pas de preuve documentaire (rapport de vérification) confirmant que le disque dur a bien été effacé.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

L'Agence accepte la recommandation.

L'Agence analyse actuellement les produits et les procédures d'effacement recommandés dont se servent les autres ministères, ainsi que les options d'achat, afin d'établir quel produit ou processus de remplacement est le mieux adapté. Cette analyse est en cours, et des mesures seront prises pour acquérir et mettre en œuvre le nouveau produit ou processus dès qu'un choix sera fait. Le tout sera terminé le 30 septembre 2015.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

L'Agence a effectué l'évaluation des risques pour les dispositifs de stockage portables dans le contexte particulier des programmes de l'Agence. Bien que le cryptage soit disponible pour les CD et DVD, l'analyse des risques n'aborde pas le manque de contrôles techniques pour régir l'utilisation de CD et DVD pour stocker des données.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer les risques pour les renseignements personnels qui résultent de l'utilisation des CD/DVD pour stocker des données, et mettre en place des contrôles appropriés pour corriger les lacunes et les faiblesses.

Réponse de la direction :

L'Agence accepte la recommandation.

La vérification a souligné le fait que l'Agence avait effectué des évaluations des risques liés aux dispositifs de stockage portables dans le contexte des programmes particuliers de l'Agence, et que le cryptage est disponible et peut être utilisé sur les CD et DVD.

Pour diminuer encore davantage les risques, l'Agence a depuis :

  • relevé les zones de risque restantes associées aux CD/DVD;
  • mis à jour ses instruments organisationnels de politiques en conséquence;
  • étendu le processus d'inventaire des dispositifs de stockage portables pour inclure les CD et DVD, comme on l'indique dans la réponse à la première recommandation;
  • effectué un projet pilote pour désactiver les fonctions d'enregistrement sur les ordinateurs portables et les postes de travail pour les employés qui n'en ont pas besoin dans le cadre de leur travail, et doté les autres postes de travail du cryptage obligatoire. La mise en œuvre complète sera terminée d'ici au 31 mars 2016.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

L'Agence a mis en œuvre diverses mesures pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables, notamment les suivantes :

  • le cryptage sur les ordinateurs portables;
  • la restriction des droits d'administrateurs locaux sur les ordinateurs portables pour empêcher les utilisateurs d'installer des applications non autorisées;
  • le cryptage des dispositifs de stockage USB distribués par l'Agence;
  • des contrôles techniques pour empêcher l'utilisation de dispositifs USB non autorisés.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Les contrôles existants examinés dans le cadre de l'évaluation ont été jugés adéquats; par conséquent, aucune recommandation n'est formulée.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

L'ARC a mis en place un certain nombre de directives et de normes qui, ensemble, constituent son cadre de gestion des dispositifs de stockage portables. La Directive sur l'entreposage, l'élimination, la transmission et le transport d'information et de biens protégés ou classifiés; la Directive sur le signalement et la gestion des incidents de sécurité, la Norme relative aux appareils électroniques; la Norme sur la protection de l'information et des systèmes; et la Norme sur l'élimination des renseignements et des biens protégés et classifiés de l'Agence sont les principaux documents de gouvernance à cet égard.

Lorsqu'on les évalue dans leur ensemble, les instruments existants portent sur tous les types de dispositifs de stockage portables, la responsabilité de protéger les biens de TI, le type d'information qui peut être conservé sur les dispositifs, ainsi que l'exigence de signaler la perte ou le vol d'un dispositif. L'utilisation de dispositifs personnels est également abordée.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

L'Agence a des politiques en place qui régissent l'utilisation des dispositifs de stockage portables. Ces politiques sont conformes aux exigences du gouvernement du Canada en matière de sécurité; par conséquent, aucune recommandation n'est formulée.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

L'Agence a mis en œuvre une formation obligatoire pour les employés sur la sensibilisation à la sécurité qui aborde l'utilisation des dispositifs de stockage portables. Cette formation traite de la protection de l'information et des biens, de l'étiquetage des dispositifs et du signalement de la perte ou du vol d'information et de dispositifs. L'utilisation de dispositifs personnels est également abordée.

Dans le cadre de la campagne de sensibilisation à la sécurité, l'Agence a diffusé des courriels et des bulletins au personnel au sujet de l'utilisation de dispositifs USB. Ces communications rappellent aux employés leur obligation d'utiliser uniquement les dispositifs autorisés par l'ARC, de les étiqueter et de les protéger, et de signaler la perte ou le vol d'un dispositif.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

Une formation traitant de l'utilisation acceptable et le risque entourant l'utilisation des dispositifs de stockage portables est déjà fournie; par conséquent, aucune recommandation n'est formulée.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures sont en place pour réagir en cas d'incidents mettant en cause la perte ou le vol d'un dispositif de stockage portable.

L'exigence de signaler les incidents de sécurité de TI est inscrite dans la Directive sur le signalement et la gestion des incidents de sécurité de l'Agence et dans sa Directive sur l'évaluation des atteintes à la sécurité de l'information.

Si un incident de sécurité se traduit par une atteinte à la protection de renseignements personnels, le protocole de l'Agence en cas d'atteinte à la vie privée est enclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, le signalement et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


COMMISSION CANADIENNE DES DROITS DE LA PERSONNE

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

La Commission canadienne des droits de la personne (CCDP ou la Commission) dispose d'un mécanisme pour consigner l'attribution des ordinateurs portables, des tablettes et des téléphones cellulaires.

L'attribution de dispositifs de stockage USB (clés USB et disques durs portables), ainsi que de CD et DVD n'est pas consignée.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que la remise de tous les dispositifs de stockage portables — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

La Commission accepte la recommandation.

La Commission mettra sur pied un inventaire central des dispositifs de stockage portables (y compris les ordinateurs portables, les tablettes, les clés USB cryptées, les appareils BlackBerry, etc.) d'ici mars 2016.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

La Commission a établi un processus centralisé pour gérer l'élimination des dispositifs de stockage portables (DSP).

Avant leur élimination, les DSP excédentaires ou défectueux sont conservés dans un environnement sécurisé.

Des procédures officielles établissant des exigences administratives et de sécurité pour l'élimination des DSP sont en place.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

Observations :

Comme indiqué plus haut, la CCDP a adopté une approche centralisée pour gérer l'élimination des dispositifs de stockage portables excédentaires ou défectueux. Les bureaux régionaux acheminent les dispositifs à l'administration centrale de la Commission afin qu'ils soient effacés et éliminés. Les risques potentiels entourant ce processus n'ont pas été évalués.

Conséquence :

Un processus d'élimination qui requiert l'expédition de dispositifs de stockage portables non effacés d'un lieu à un autre présente un risque potentiel d'accès aux données, dans l'éventualité où des dispositifs seraient perdus ou volés en chemin. Ce risque doit être analysé. Sans cette analyse, les lacunes ou faiblesses procédurales qui requièrent des mesures d'atténuation (de protection) pour protéger la confidentialité ne seront pas prises en considération.

Recommandation :

Évaluer le processus d'élimination actuel — pour ce qui est de l'expédition des dispositifs de stockage portables excédentaires ou défectueux vers un site central (p. ex., le siège social) — pour garantir que des mesures de contrôle adéquates sont en place pour atténuer le risque d'accès aux données.

Réponse de la direction :

La Commission accepte la recommandation.

La Commission veillera à mettre en place une nouvelle politique des TI sur l'accès, le réseau et l'utilisation de dispositifs USB d'ici décembre 2015. Cette politique comprendra :

  • Un énoncé clair sur le fait qu'aucune information protégée ne doit être sauvegardée localement. Si de l'information protégée doit être sauvegardée ou transportée, il faut employer une cléUSB autorisée.
    • Une entente d'utilisation, qui sera élaborée, sur l'utilisation des dispositifs de stockage portables, et qui sera lue, comprise et signée par les utilisateurs avant qu'ils reçoivent un dispositif.
  • Un énoncé clair et sans équivoque sur le fait que l'information protégée doit seulement être conservée dans RDIMS et sur les dispositifs USB autorisés, et jamais sur des dispositifs USB ou CD/DVD non autorisés.

La Commission inclura dans le profil de risque organisationnel qu'elle est en train d'élaborer, et qui sera terminé d'ici mars 2016, les risques d'accès aux données liés à l'utilisation de dispositifs de stockage portables.

La Commission continuera ses pratiques ou en adoptera d’autres, d’ici octobre 2015, pour mieux protéger les renseignements personnels en :

  • demandant aux employés régionaux de ramener les dispositifs défectueux lorsqu’ils visitent le siège social;
  • consultant, chaque fois que c’est nécessaire, l’agent de sécurité du ministère pour assurer un niveau de sécurité adéquat pour l’information en transit.

Observations :

La Commission utilise un logiciel qui fait partie des logiciels d'effacement certifiés pour effacer les ordinateurs portables excédentaires avant leur élimination. Bien que le logiciel génère une preuve documentaire (rapport de vérification) pour confirmer qu'un disque dur a bien été effacé, la Commission ne conserve pas de copies des rapports de vérification.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont ils ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

En l'absence d'un rapport de vérification généré par le logiciel certifié en vue de confirmer qu'un effacement complet et sécurisé a eu lieu, ou d'une confirmation qu'un dispositif a bien été détruit (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de façon sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

La Commission accepte la recommandation.

La Commission mettra en œuvre la pratique de conserver les certificats après l'effacement des données d'ici octobre 2015.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

Bien que la Commission n'ait pas été évalué formellement le risque entourant l'utilisation de dispositifs de stockage portables, divers contrôles ont été mis en œuvre pour régler certains risques.

Cependant, l'analyse de risques n'a pas traité les questions suivantes :

  • le manque de contrôles techniques concernant la connexion de dispositifs de stockage USB non autorisés;
  • l'utilisation de CD/DVD pour stocker des données.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer le risque d'atteinte à la protection de renseignements personnels résultant :

  • de l'absence de contrôles concernant le branchement de dispositifs de stockage USB non autorisés,
  • de l'utilisation de CD/DVD pour stocker des données,

et mettre en place les mesures nécessaires pour corriger les lacunes et les faiblesses.

Réponse de la direction :

La Commission accepte la recommandation.

La Commission veillera à mettre en place une nouvelle politique des TI sur l'accès, le réseau et l'utilisation de dispositifs USB d'ici décembre 2015. Cette politique comprendra un énoncé clair sur le fait qu'aucune information protégée ne doit être sauvegardée localement. Si de l'information protégée doit être sauvegardée ou transportée, il faudra employer une clé USB autorisée.

  • Une entente d'utilisation sera élaborée sur l'utilisation des dispositifs de stockage portables, et elle sera lue, comprise et signée par les utilisateurs avant qu'ils reçoivent un dispositif.

La Commission inclura dans le profil de risque organisationnel qu'elle est en train d'élaborer, et qui sera terminé d'ici mars 2016, les risques d'accès aux données liés à l'utilisation de dispositifs de stockage portables.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

La Commission a mis en œuvre plusieurs contrôles pour protéger les renseignements personnels transmis et conservés sur les dispositifs de stockage portables, y compris :

  • un antivirus sur les ordinateurs portables contrôlés de manière centrale;
  • de bons paramètres de mots de passe sur les ordinateurs portables;
  • la restriction des droits d'administrateurs locaux sur les ordinateurs portables pour empêcher les utilisateurs d'installer des applications non autorisées;
  • le cryptage sur les clés USB distribuées.

Cependant, le cryptage n'a pas été mis en œuvre sur les ordinateurs portables et les paramètres de mots de passe sur les téléphones intelligents sont faibles.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Veiller à ce que tous les dispositifs de stockage portables susceptibles d'être utilisés pour stocker des renseignements personnels soient dotés d'une fonction de cryptage.

Réponse de la direction :

La Commission accepte la recommandation.

La Commission veillera à mettre en place une nouvelle politique des TI sur l'accès, le réseau et l'utilisation de dispositifs USB d'ici décembre 2015. Cette politique comprendra :

  • Un énoncé clair sur le fait qu'aucune information protégée ne doit être sauvegardée localement. Si de l'information protégée doit être sauvegardée ou transportée, il faut employer une clé USB autorisée.
  • Un énoncé clair et sans équivoque sur le fait que l'information protégée doit seulement être conservée dans RDIMS et sur les dispositifs USB autorisés, et jamais sur des dispositifs USB ou CD/DVD non autorisés.

Recommandation :

Renforcer les paramètres pour les mots de passe sur les appareils BlackBerry.

Réponse de la direction :

La Commission accepte la recommandation.

La Commission continuera ses pratiques ou en adoptera de nouvelles d'ici octobre 2015 pour mieux assurer la protection des renseignements personnels, en consultant le Comité de direction de la Commission au sujet de l'adoption, pour les appareils BlackBerry, de mots de passe de 8 caractères et utilisant 3 de 4 types de caractères.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

La Commission a mis en place un certain nombre de politiques et de directives qui, ensemble, constituent son cadre de gestion des dispositifs de stockage portables. La Politique sur la sécurité de la TI; la Politique sur l'utilisation acceptable des dispositifs et des réseaux; la Directive en matière de communications sans fil et la Directive opérationnelle sur la sécurité de la TI sont les principaux instruments de gouvernance à cet égard.

Les politiques établissent la responsabilité de protéger les biens de TI ainsi que l'information qui peut être stockée sur les dispositifs.

Cependant, pris dans leur ensemble, les instruments existants ne traitent pas de tous les types de dispositifs (p. ex. rien sur les clés USB, les CD et DVD) et n'expliquent pas la politique de la Commission en matière de dispositifs portables personnels employés à des fins professionnelles. De plus, si l'exigence de signaler la perte ou le vol d'ordinateurs portables et d'appareils portables est inscrite dans les politiques, celles-ci ne disent rien sur d'autres types de dispositifs de stockage portables.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

Veiller à ce que les politiques qui régissent l'utilisation de dispositifs de stockage portables traitent de :

  • tous les types de dispositifs employés pour stocker des renseignements personnels;
  • l'utilisation de dispositifs de stockage portables personnels à des fins professionnelles;
  • l'exigence de signaler la perte ou le vol de tout dispositif de stockage portable.

Réponse de la direction :

La Commission veillera à ce qu'une nouvelle politique sur l'accès, le réseau et l'utilisation des dispositifs soit en place d'ici décembre 2015, et qu'elle traite de :

  • tous les types de dispositifs employés pour stocker des renseignements personnels;
  • l'utilisation de dispositifs de stockage portables personnels à des fins professionnelles;
  • l'exigence de signaler la perte ou le vol de tout dispositif de stockage portable.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

La Commission a mis en place de la formation obligatoire pour les employés sur la gestion de l'information et sur la sensibilisation à la sécurité. Cependant, la formation n'aborde pas en détail l'utilisation des dispositifs de stockage portables. De plus, la formation ne traite pas du signalement de la perte ou du vol des dispositifs ni de l'utilisation de dispositifs personnels à des fins professionnelles.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

S'assurer que tous les employés, y compris le personnel contractuel, connaissent les politiques qui régissent l'utilisation des dispositifs de stockage portables, et fournir des conseils pour atténuer les risques inhérents à l'utilisation de ces dispositifs.

Réponse de la direction :

La Commission accepte la recommandation.

La Commission s'assurera d'ici décembre 2015 que tous les employés, y compris le personnel contractuel, sont au courant des politiques sur l'utilisation des dispositifs de stockage portables :

  • La formation sera mise à jour pour inclure des renseignements détaillés sur l'utilisation des dispositifs de stockage portables.
  • Des informations sur les politiques des TI seront ajoutées à la trousse d'orientation des employés.

D'ici décembre 2015, la Commission élaborera une entente sur l'utilisation des DSP, qui sera lue, comprise et signée par les utilisateurs avant que leur soient remis les DSP.

La Commission rajoutera les risques d'accès aux données découlant de l'utilisation de DSP au profil de risque organisationnel qu'elle est en train d'élaborer et qui sera terminé d'ici mars 2016.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures officielles sont en place pour réagir en cas d'incident de sécurité, comme la perte ou le vol de dispositifs de stockage portables.

L'exigence de signaler les incidents de sécurité de TI est inscrite dans la Politique sur la sécurité de la TI de la Commission, et est également intégrée dans la Directive en matière de communications sans fil et dans la Directive opérationnelle sur la sécurité de la TI.

Si un incident de sécurité se traduit par une atteinte à la protection de renseignements personnels, le protocole de la Commission en cas d'atteinte à la vie privée est enclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, le signalement et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


CITOYENNETÉ ET IMMIGRATION CANADA

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

Citoyenneté et Immigration Canada (CIC) dispose d'un mécanisme pour consigner l'attribution des ordinateurs portables, des tablettes et des dispositifs de stockage USB (clés USB et disques durs portables).

La distribution de CD et DVD n'est pas consignée.

Services partagés Canada est responsable de contrôler l'attribution de téléphones intelligents.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que l'attribution de tous les dispositifs de stockage portables — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

CIC accepte la recommandation.

La capacité de graver des CD/DVD est actuellement bloquée à CIC. Les utilisateurs qui requièrent la possibilité de pouvoir copier des données du réseau de CIC doivent obtenir l'approbation du sous-ministre adjoint. Cela réduit donc de manière importante l'utilisation de CD/DVD à CIC.

Plan d'action

Pour répondre à cette recommandation, CIC prendra les mesures suivantes d'ici au 31 mars 2016 :

  • Centraliser l'achat, la distribution et l'élimination des CD et DVD (le cas échéant) au sein du groupe de gestion des biens des TI.
  • Inscrire toute exception dans le système de gestion des biens des TI.
  • Fournir un gabarit aux utilisateurs qui ont l'autorisation de copier des renseignements personnels sur CD/DVD, afin qu'ils notent la création/distribution de CD/DVD et en fassent rapport chaque trimestre au groupe de gestion des biens des TI.
  • Les pages existantes dans l'intranet de CIC, qui contiennent les nouvelles lignes directrices et procédures, seront mises à jour en fonction des changements.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

CIC a établi un processus décentralisé pour l'élimination. Les bureaux régionaux sont responsables de gérer leur propre inventaire de dispositifs d'entreposage portables (DSP).

Avant leur élimination, les DSP excédentaires ou défectueux sont conservés dans un environnement sécurisé.

Des procédures officielles établissant des exigences administratives et de sécurité pour l'élimination des DSP sont en place.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

Observations :

Comme indiqué plus haut, les bureaux régionaux gèrent l'élimination des DSP. Cependant, il y a certaines exceptions. Certains bureaux régionaux renvoient les clés USB excédentaires et les disques durs défectueux au siège social afin qu'ils soient effacés et éliminés. Les risques potentiels entourant ce processus n'ont pas été évalués.

Conséquence :

Un processus d'élimination qui requiert l'expédition de DSP non effacés d'un lieu à un autre présente un risque potentiel d'accès aux données, dans l'éventualité où des dispositifs seraient perdus ou volés en chemin. Ce risque doit être analysé. Sans cette analyse, les lacunes ou faiblesses procédurales qui requièrent des mesures d'atténuation (de protection) pour protéger la confidentialité ne seront pas prises en considération.

Recommandation :

Évaluer le processus d'élimination actuel — pour ce qui est de l'expédition des dispositifs de stockage portables excédentaires ou défectueux vers un site central (p. ex., le siège social) — pour garantir que des mesures de contrôle adéquates sont en place pour atténuer le risque d'accès aux données.

Réponse de la direction :

CIC accepte la recommandation.

Plan d'action

Les équipes de sécurité des TI et de gestion des biens des TI de CIC évalueront le processus actuel d'élimination en ce qui concerne le transport de dispositifs de stockage excédentaires ou défectueux pour vérifier que des contrôles appropriés sont en place d'ici au 31 décembre 2015. D'ici là, les dispositifs de stockage défectueux seront conservés sur les lieux dans un endroit sécuritaire. De plus, depuis que les interviews ont eu lieu, et par suite de la mise en œuvre de la Prévention de la perte de données pour réduire plus encore les risques d'accès aux données, seules les clés USB cryptées sont désormais utilisées pour le transfert de données à CIC.

Observations :

CIC utilise un logiciel qui ne fait pas partie des logiciels d'effacement certifiés pour effacer les ordinateurs portables excédentaires avant leur élimination. Le logiciel ne produit pas de preuve documentaire (rapport de vérification) confirmant que le disque dur a bien été effacé.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

CIC accepte la recommandation. La sécurité des TI a examiné les produits actuels certifiés pour respecter la norme ITSG-06 et qui génèrent également des preuves documentaires. Le logiciel a une version professionnelle. Ce produit respecte le " Common Criteria EAL 3+ " ainsi que la norme ITSG-06. Il produit aussi des preuves documentaires. Le produit est actuellement disponible à partir de l'Arrangement en matière d'approvisionnement portant sur l'achat de licences de logiciels du gouvernement du Canada.

Plan d'action

La sécurité des TI de CIC déposera une proposition d'investissement pour acheter une licence d'entreprise et mettre en œuvre la version professionnelle du logiciel d'ici au 31 décembre 2015. Cette mesure fera en sorte qu'un logiciel certifié est employé pour produire des preuves documentaires.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

CIC a évalué les risques entourant les dispositifs de stockage portables; divers contrôles ont été mis en œuvre pour réduire des risques précis.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Les risques en matière de sécurité et de protection des renseignements personnels ont été évalués en ce qui concerne l'utilisation de dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

CIC a mis en œuvre plusieurs contrôles pour protéger les renseignements personnels qui sont transmis et stockés sur des dispositifs de stockage portables, y compris :

  • le cryptage des ordinateurs portables et de dispositifs de stockage USB;
  • la restriction des privilèges d'administrateurs locaux, ce qui empêche les utilisateurs d'installer des applications non autorisées;
  • de solides paramètres de mot de passe;
  • des contrôles pour empêcher l'utilisation de dispositifs de stockage USB, de CD et de DVD non autorisés.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Les contrôles existants examinés dans le cadre de l'évaluation ont été jugés adéquats; par conséquent, aucune recommandation n'est formulée.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

CIC a mis en place un certain nombre de politiques qui, ensemble, constituent son cadre de gestion des dispositifs de stockage portables. La Politique sur la sécurité des technologies de l'information du ministère, sa Politique relative à l'utilisation de matériel approuvé à CIC, et sa Politique d'utilisation des réseaux électroniques sont les principaux documents de gouvernance à cet égard.

Outre les politiques nommées plus haut, CIC a récemment ajouté la Directive sur les appareils portatifs et les supports d'information portables. Cette directive porte sur tous les types de dispositifs de stockage portatifs, la responsabilité de protéger ces dispositifs et l'information qu'ils contiennent, le type d'information qui peut y être stocké, et l'exigence de signaler la perte ou le vol d'un dispositif. De plus, elle traite aussi de l'utilisation des dispositifs personnels.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

CIC a des politiques en place qui régissent l'utilisation des dispositifs de stockage portables. Ces politiques sont conformes aux exigences du gouvernement du Canada en matière de sécurité; par conséquent, aucune recommandation n'est nécessaire.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portatifs, et des risques entourant leur utilisation.

Observations :

CIC a établi une formation obligatoire en ligne sur la sensibilisation à la sécurité pour tous ses employés. La formation comprend un module sur les dispositifs portables. Ce dernier aborde la protection de l'information et des biens, le signalement de la perte ou du vol d'information ou de dispositifs, et l'utilisation de dispositifs personnels.

D'autres initiatives de formation et communiqués s'ajoutent à la formation obligatoire. De plus, CIC a mis en œuvre une entente d'utilisation pour les dispositifs USB portables cryptés. L'entente rappelle la responsabilité de l'utilisateur de se conformer aux politiques et directives pertinentes de CIC.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

Une formation traitant de l'utilisation acceptable et le risque entourant l'utilisation des dispositifs de stockage portables est déjà fournie; par conséquent, aucune recommandation n'est formulée.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures sont en place pour réagir en cas d'incidents mettant en cause la perte ou le vol d'un dispositif de stockage portable.

L'exigence de signaler les incidents de sécurité de TI est inscrite dans la Politique sur la sécurité des TI de CIC, et est intégrée à sa Directive sur les appareils portatifs et les supports d'information portables.

Si un incident de sécurité se traduit par une atteinte à la protection de renseignements personnels, le protocole de CIC en cas d'atteinte à la vie privée est enclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, le signalement et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


FINANCEMENT AGRICOLE CANADA

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

Financement agricole Canada (FAC ou la Société) a établi un mécanisme pour consigner l'attribution dispose d'un mécanisme la remise d'ordinateurs portatifs, de tablettes et de téléphones intelligents.

La remise de dispositifs de stockage USB (clés USB et disques durs amovibles) et de CD et DVD n'est pas enregistrée.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que la remise de tous les dispositifs de stockage portables — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

La direction de Financement agricole Canada accepte la recommandation.

Clés USB — L'enregistrement et le suivi des clés USB seront mis en œuvre dans le cadre de la phase 1 du projet de gestion de dispositifs USB sécuritaires. Le lancement est prévu pour le 31 août 2015.

Disques durs portables — L'enregistrement et le suivi des disques durs portables seront mis en œuvre après l'acquisition d'un outil de gestion (outil de gestion des biens). Avant de pouvoir procéder, le projet doit d'abord être approuvé selon l'ordre des priorités, conformément au processus de gouvernance de Financement agricole Canada. Les décisions en matière de priorités et d'approbation seront prises d'ici le 30 septembre 2015.

Disques optiques (CD et DVD) — Les nouveaux postes de travail de Financement agricole Canada n'incluront pas de lecteur optique. Les postes de travail existants qui ont un lecteur optique seront remplacés d'ici trois ans (juin 2018) et une méthode approuvée de stockage (p. ex. clés USB cryptées et gérées) sera fournie selon les besoins.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

Financement agricole Canada a établi un processus centralisé pour gérer l'élimination des dispositifs d'entreposage portables (DSP).

Avant leur élimination, les DSP excédentaires ou défectueux sont conservés dans un environnement sécurisé situé au siège social de la Société.

Des procédures établissant des exigences administratives et de sécurité pour l'élimination des dispositifs de DSP sont en place.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

Observations :

Comme indiqué plus haut, la Société a établi un processus centralisé pour gérer l'élimination des dispositifs d'entreposage portables.

À l'exception de petites quantités de CD et DVD, les dispositifs sont acheminés au siège social de FAC en vue d'être effacés ou éliminés. Les risques potentiels entourant ce processus n'ont pas été évalués.

Conséquence :

Un processus d'élimination qui requiert l'expédition de dispositifs de stockage portables non effacés d'un lieu à un autre présente un risque potentiel d'accès aux données, dans l'éventualité où des dispositifs seraient perdus ou volés en chemin. Ce risque doit être analysé. Sans cette analyse, les lacunes ou faiblesses procédurales qui requièrent des mesures d'atténuation (de protection) pour protéger la confidentialité ne seront pas prises en considération.

Recommandation :

Évaluer le processus d'élimination actuel — pour ce qui est de l'expédition des dispositifs de stockage portables excédentaires ou défectueux vers un site central (p. ex., le siège social) — pour garantir que des mesures de contrôle adéquates sont en place pour atténuer le risque d'accès aux données.

Réponse de la direction :

La direction de Financement agricole Canada accepte la recommandation.

Une auto-évaluation des risques et des contrôles sera effectuée pour évaluer le processus actuel d'élimination des dispositifs de stockage portables excédentaires ou défectueux. L'auto-évaluation aura lieu en décembre 2015, et ses recommandations seront mises en vigueur d'ici au 31 mars 2017.

Observations :

Au moment où une vérification des activités a été effectuée sur les lieux, les ordinateurs portables étaient effacés au siège social de FAC puis acheminés à un tiers pour fins d'élimination. Le processus a changé par la suite; les disques durs ne sont plus effacés avant l'élimination (destruction). FAC a signalé qu'elle compte établir un processus administratif pour assurer que des certificats de destruction soient obtenus et conservés.

Les CD et DVD excédentaires sont également détruits (déchiquetés) par un tiers. FAC a confirmé qu'un certificat de destruction n'est pas fourni pour les disques optiques.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

La direction de Financement agricole Canada accepte la recommandation.

Clés USB — L'élaboration d'un processus pour l'élimination des clés USB sécuritaires gérées (qui inclut les documents de preuve) est prévue dans le cadre de la phase 1 du projet de gestion de dispositifs USB sécuritaires. Le lancement est prévu pour le 31 août 2015.

Téléphones intelligents — Une stratégie sera mise en œuvre pour faire en sorte que le tiers fournisseur de service produise une confirmation de l'effacement ou de l'élimination des téléphones intelligents excédentaires ou défectueux. La stratégie prendra fin le 31 décembre 2015, et les dates de mise en œuvre seront déterminées par la stratégie.

Disques durs portables — Financement agricole Canada exigera de la part du tiers fournisseur de service qu'il produise un certificat de destruction à compter du 1er janvier 2016.

Disques optiques (CD et DVD) — Les nouveaux postes de travail de Financement agricole Canada n'incluront pas de lecteur optique. Les postes de travail existants qui ont un lecteur optique seront remplacés d'ici trois ans (juin 2018) et une méthode approuvée de stockage (p. ex. clés USB cryptées et gérées) sera fournie selon les besoins, et elle comprendra un moyen d'élimination sécuritaire avec preuve d'élimination.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

Bien que plusieurs contrôles aient été mis en œuvre dans le cadre des mesures globales de sécurité informatique de la Société, à l'exception des ordinateurs portables, la Société n'a pas évalué officiellement les risques liés aux dispositifs de stockage portables.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer le risque d'atteinte à la protection de renseignements personnels résultant :

  • de l'absence de contrôles concernant le branchement de dispositifs de stockage USB non autorisés;
  • de l'utilisation de CD/DVD pour stocker des données;
  • de la possibilité de télécharger et d'utiliser des applications non autorisées sur les appareils BlackBerry et tablettes; et
  • mettre en place les mesures nécessaires pour corriger les lacunes et les faiblesses.

Réponse de la direction :

La direction de Financement agricole Canada accepte la recommandation.

Une évaluation des risques sera effectuée le 31 mars 2016, et des contrôles supplémentaires seront mis en œuvre si nécessaire d'ici au 31 mars 2017.

Recommandation :

Évaluer l'utilisation des iPads et iPhones par rapport aux données qui peuvent y être sauvegardées et améliorer les mesures de protection des données si le cryptage matériel de base est jugé insuffisant.

Réponse de la direction :

La direction de Financement agricole Canada accepte la recommandation.

Une évaluation des risques sera effectuée le 31 mars 2016, et des contrôles supplémentaires seront mis en œuvre si nécessaire d'ici au 31 mars 2017.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

La Société a mis en œuvre divers contrôles pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables, notamment les suivantes :

  • le cryptage a été mis en œuvre sur les ordinateurs portables;
  • une protection antivirus est déployée dans les ordinateurs portables;
  • les droits de l'administrateur local sont limités sur les ordinateurs portables, empêchant les utilisateurs d'installer des applications non autorisées;
  • les ordinateurs portables ont de solides paramètres de mot de passe.

Toutefois, le cryptage n'a pas été mis en œuvre sur les tablettes, les dispositifs de stockage USB et les téléphones intelligents. En outre, les tablettes et les téléphones intelligents n'ont pas de paramètres solides de mot de passe.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Veiller à ce que tous les dispositifs de stockage portables susceptibles d'être utilisés pour stocker des renseignements personnels, y compris les appareils BlackBerry, soient dotés d'une fonction de cryptage.

Réponse de la direction :

La direction de Financement agricole Canada accepte la recommandation.

Clés USB — Des clés USB cryptées seront distribuées dans le cadre de la phase 1 du projet de gestion de dispositifs USB sécuritaires. Le lancement est prévu pour le 31 août 2015.

Disques optiques (CD et DVD) — Les nouveaux postes de travail de Financement agricole Canada n'incluront pas de lecteur optique. Les postes de travail existants qui ont un lecteur optique seront remplacés d'ici trois ans (juin 2018) et une méthode approuvée de stockage (p. ex. clés USB cryptées et gérées) sera fournie selon les besoins.

Disques durs portables — Une évaluation des risques sera effectuée pour établir si le cryptage des disques durs portables nuit aux processus actuels. S'il y a des effets négatifs, les disques durs seront traités comme une exception à la politique. L'évaluation sera terminée d'ici au 31 mars 2016.

Téléphones intelligents — La conteneurisation a été mise en œuvre sur tous les téléphones intelligents BlackBerry et Android distribués au personnel de Financement agricole Canada. Une stratégie pour mettre en œuvre la conteneurisation sur les iPhones et les téléphones Windows sera élaborée d'ici au 30 septembre 2015, et mise en place d'ici au 31 mars 2016.

Recommandation :

Renforcer les paramètres de mot de passe sur les tablettes et les téléphones intelligents.

Réponse de la direction :

La direction de Financement agricole Canada accepte la recommandation.

Les paramètres de mot de passe sur les tablettes et les téléphones intelligents seront renforcés d'ici au 31 décembre 2015.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

La Politique sur l'utilisation acceptable des biens informatiques et la Politique sur la gestion de l'information organisationnelle de la Société régissent l'utilisation des dispositifs de stockage portables (DSP).

Lorsqu'on les évalue dans leur ensemble, les instruments existants portent sur tous les types de DSP, la responsabilité de protéger les biens de TI et l'information, le type d'information qui peut être conservé sur les DSP ainsi que l'exigence de signaler la perte ou le vol d'un dispositif. L'utilisation de DSP personnels est également abordée dans les politiques.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

La Société a des politiques en place qui régissent l'utilisation des dispositifs de stockage portables. Ces politiques sont conformes aux exigences du gouvernement du Canada en matière de sécurité; par conséquent, aucune recommandation n'est formulée.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

La Société a un programme d'orientation pour les employés. La formation en ligne exige des employés qu'ils reconnaissent avoir lu la Politique sur l'utilisation acceptable des biens informatiques et compris leurs principales responsabilités en la matière.

La formation n'aborde pas l'utilisation de dispositifs portables pour conserver des données.

La Société a signalé avoir pour plan de mettre à jour la formation d'orientation en ligne afin d'aborder l'utilisation des dispositifs de stockage USB approuvés par l'organisation.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

S'assurer que tous les employés, y compris le personnel contractuel, connaissent les politiques qui régissent l'utilisation des dispositifs de stockage portables, et fournir des conseils pour atténuer les risques pour la vie privée inhérents à l'utilisation de ces dispositifs.

Réponse de la direction :

La direction de Financement agricole Canada accepte la recommandation.

La Politique sur l'utilisation acceptable des biens informatiques sera mise à jour d'ici au 30 septembre 2015.

Du matériel de formation et de sensibilisation à l'intention du personnel et des fournisseurs de Financement agricole Canada au sujet de l'utilisation des dispositifs de stockage portables sera élaboré et distribué d'ici au 31 mars 2016. Par exemple : le questionnaire d'orientation pour les employés sera mis à jour pour appuyer les révisions faites à la Politique sur l'utilisation acceptable des biens informatiques; la politique sur les contrats de ressources externes sera mise à jour; et de la documentation (inspirée du questionnaire) sera créée et remise à tous les travailleurs contractuels.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures officielles sont en place pour réagir en cas d'incident de sécurité, comme la perte ou le vol de dispositifs de stockage portables.

L'obligation de signaler les incidents de sécurité est inscrite dans la Politique sur l'utilisation acceptable des biens informatiques de la Société.

Si un incident de sécurité entraîne une atteinte à la vie privée, le protocole en matière d'atteinte à la vie privée de la Société est déclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, la signalisation et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


PÊCHES ET OCÉANS CANADA

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

Pêches et océans Canada (MPO ou le ministère) a établi un mécanisme pour enregistrer la remise d'ordinateurs portables, de tablettes et de dispositifs de stockage USB (clés USB et disques durs portables).

La remise de CD et DVD n'est pas enregistrée.

Services partagés Canada est responsable de contrôler l'attribution de téléphones intelligents.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que la remise de tous les dispositifs de stockage portables — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

Pêches et océans Canada accepte la recommandation.

La solution automatisée du ministère pour imposer le cryptage des dispositifs de stockage portables comprend un formulaire d'enregistrement dans lequel les utilisateurs doivent préciser le niveau de sensibilité des données qu'ils enregistreront sur le dispositif. Tous les dispositifs portables sont enregistrés dans une base de données centrale, où le niveau de sensibilité précisé est aussi conservé.

Les utilisateurs ne peuvent pas enregistrer un dispositif et stocker de l'information sur un dispositif portable sans avoir précisé la classification des données.

Il existe certaines exceptions documentées pour des besoins spéciaux, notamment les grands ensembles de données de l'équipe des Sciences, et les échanges d'information de la Direction générale de la conservation et de la protection avec les tribunaux.

La mise en œuvre de l'AMPTI est terminée dans toutes les régions sauf la région de la capitale nationale. Pour cette région, la mise en œuvre aura lieu d'ici au 31 octobre 2015.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

Le ministère a mis en place un processus d'élimination décentralisé. Les bureaux régionaux sont responsables de gérer leur propre inventaire de dispositifs de stockage portables (DSP).

Les DSP excédentaires ou défectueux n'étaient pas toujours conservés dans un environnement sécurisé avant leur élimination.

Des procédures officielles établissant des exigences administratives et de sécurité pour l'élimination des DSP sont en place.

Bien qu'il y ait un processus officiel en place, des dispositifs excédentaires s'accumulaient dans certains des bureaux régionaux visités, et la méthode d'élimination employée pour les disques optiques à l'un de ces bureaux ne respecte pas la Norme de destruction et d'élimination des supports de TI du ministère.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Veiller à ce que les dispositifs de stockage portables soient conservés dans un environnement sécurisé en attendant leur élimination et à ce que les modes d'élimination soient conformes à la politique ministérielle.

Réponse de la direction :

Pêches et océans Canada accepte la recommandation.

Le ministère veillera à ce que toutes les régions où des dispositifs de stockage portables sont entreposés en attendant leur élimination disposent d'un contenant sécuritaire où ranger les dispositifs jusqu'à leur élimination. Un examen des lieux sera effectué et des classeurs approuvés par la GRC seront achetés au besoin.

Date d'échéance du projet : 31 octobre 2015.

Observations :

Comme indiqué plus haut, le ministère a mis en place un processus d'élimination décentralisé pour gérer l'élimination des dispositifs de stockage portables.

La vérification a confirmé que les plus petits bureaux transfèrent les dispositifs de stockage excédentaires à des endroits de collecte désignés en vue de leur effacement ou leur élimination. Les risques potentiels entourant ce processus n'ont pas été évalués.

Conséquence :

Un processus d'élimination qui requiert l'expédition de dispositifs de stockage portables non effacés d'un lieu à un autre présente un risque potentiel d'accès aux données, dans l'éventualité où des dispositifs seraient perdus ou volés en chemin. Ce risque doit être analysé. Sans cette analyse, les lacunes ou faiblesses procédurales qui requièrent des mesures d'atténuation (de protection) pour protéger la confidentialité ne seront pas prises en considération.

Recommandation :

Évaluer le processus d'élimination actuel — pour ce qui est de l'expédition des dispositifs de stockage portables excédentaires ou défectueux vers un site central (p. ex., le siège social) — pour garantir que des mesures de contrôle adéquates sont en place pour atténuer le risque d'accès aux données.

Réponse de la direction :

Pêches et océans Canada accepte la recommandation.

Services partagés Canada offre maintenant un service d'élimination des supports média aux ministères. L'organisation a d'ailleurs produit à cette fin un document intitulé " Procédures d'élimination des supports électroniques " qui décrit comment transporter et éliminer les supports et leurs données de façon sécuritaire. Pêches et océans Canada veillera à ce que cette procédure soit comprise et suivie par tous les employés qui participent à l'élimination de supports média en leur fournissant la documentation et en organisant des séances ou des rencontres de sensibilisation.

Date d'échéance du projet : 31 octobre 2015.

Observations :

Le ministère utilise un logiciel qui fait partie des logiciels d'effacement certifiés pour effacer les ordinateurs portables excédentaires avant leur élimination. Le logiciel produit une preuve documentaire (rapport de vérification) confirmant que le disque dur a bien été effacé.

Au moment de la vérification, aucun des sites visités ne conservait de copies des rapports de vérification produits. L'un des sites a signalé par la suite avoir révisé ses procédures et aurait commencé à les conserver.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

Pêches et océans Canada accepte la recommandation.

La norme de sécurité de Pêches et océans Canada sur la protection de médias et la procédure d'effacement du Centre de services TI seront révisées pour faire en sorte que le ministère conserve les preuves documentaires (rapports d'effacement générés par le logiciel et certificats de destruction émis par Services partagés Canada).

Date d'échéance du projet : 31 octobre 2015.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

Sauf pour ce qui est des disques optiques (CD et DVD), le ministère a évalué les risques entourant les dispositifs de stockage portatifs.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer les risques pour les renseignements personnels qui résultent de l'utilisation des CD/DVD pour stocker des données, et mettre en place des contrôles appropriés pour corriger les lacunes et les faiblesses.

Réponse de la direction :

Pêches et océans Canada accepte la recommandation.

Depuis que le Commissariat a effectué sa vérification, Pêches et océans Canada a mis en œuvre une politique qui stipule que les lecteurs CD et DVD sur tous les postes de travail du ministère ne peuvent servir qu'à la lecture.

La mise en œuvre de la solution a été réalisée dans toutes les régions sauf celle de la capitale nationale. Pour la Région de la capitale nationale, la mise en œuvre devrait être terminée d'ici au 31 octobre 2015.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

Le ministère a mis en œuvre divers contrôles pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables, notamment les suivantes :

  • le cryptage des ordinateurs portables, des tablettes et des dispositifs de stockage USB a été mis en œuvre et appliqué;
  • une protection antivirus est déployée dans les ordinateurs portables;
  • les droits de l'administrateur local sont limités sur les ordinateurs portables et les tablettes, empêchant les utilisateurs d'installer des applications non autorisées;
  • les ordinateurs portables et les tablettes ont de solides paramètres de mot de passe.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Les contrôles existants examinés dans le cadre de l'évaluation ont été jugés adéquats; par conséquent, aucune recommandation n'est formulée.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

Le ministère dispose d'un certain nombre de politiques et de normes qui, ensemble, constituent son cadre de gestion des dispositifs de stockage portables (DSP). La Norme opérationnelle de sécurité informatique — dispositifs de stockage de données portables, la Norme opérationnelle de sécurité informatique — protection des supports, et la Normes en matière d'étiquetage et de manipulation du matériel désigné et classifié sont les principaux documents de ce cadre.

Lorsqu'on les évalue dans leur ensemble, les instruments existants portent sur tous les types de DSP, la responsabilité de protéger les biens de TI et l'information, le type de renseignements qui peuvent être stockés sur des dispositifs portables, ainsi que l'exigence de signaler la perte ou le vol d'un dispositif. L'utilisation des dispositifs personnels est également abordée.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

Le ministère a des politiques en place qui régissent l'utilisation des dispositifs de stockage portables. Ces politiques sont conformes aux exigences du gouvernement du Canada en matière de sécurité; par conséquent, aucune recommandation n'est formulée.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

Plusieurs outils et ressources de sensibilisation ont été élaborés. Une présentation de formation en ligne traite de l'utilisation des dispositifs de stockage portables, y compris le branchement au réseau organisationnel et la conservation de données sur de tels dispositifs. La présentation offre également des conseils afin de réduire les risques d'une atteinte à la protection des données. La présentation est complétée par d'autres ressources, notamment des bulletins de sécurité et des communiqués.

Dans l'ensemble, un bon nombre d'outils de sensibilisation utiles ont été élaborés. Toutefois, lorsque la participation aux séances de formation et de sensibilisation n'est pas obligatoire, il y a un risque que les employés ne comprennent pas bien les politiques et les normes qui régissent l'utilisation des dispositifs de stockage portables y compris la récente Norme opérationnelle sur la sécurité informatique — dispositifs de stockage portables.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

S'assurer que tous les employés, y compris le personnel contractuel, connaissent les politiques qui régissent l'utilisation des dispositifs de stockage portables, et fournir des conseils pour atténuer les risques inhérents à l'utilisation de ces dispositifs.

Réponse de la direction :

Pêches et océans Canada accepte la recommandation.

La solution automatisée du ministère pour imposer le cryptage des dispositifs de stockage portables comprend un formulaire d'enregistrement qui précise les obligations des utilisateurs quant au bon usage des dispositifs de stockage portables :

PAR LA PRÉSENTE, JE CONFIRME QUE J'UTILISE UN DISPOSITIF AUTORISÉ QUI M'A ÉTÉ FOURNI PAR PÊCHES ET OCÉANS CANADA et JE CERTIFIE QUE LE DISPOSITIF IDENTIFIÉ CI-DESSUS :

  1. est un bien du gouvernement (et non un bien personnel);
  2. doit demeurer en mon contrôle en tout temps et doit être conservé dans un contenant sécuritaire approprié;
  3. ne servira jamais à sauvegarder des données d'un niveau de sensibilité plus élevé que celui de la classification cochée dans la case à cet effet ci-dessus;
  4. est étiqueté selon les normes d'étiquetage des dispositifs de stockage portables de Pêches et océans Canada;
  5. sert à transporter et stocker de l'information uniquement sur une base temporaire et ne doit pas servir de dépôt permanent de documents pour conserver de l'information du gouvernement du Canada;
  6. sera effacé et éliminé conformément à la Norme opérationnelle de sécurité informatique — protection des supports de Pêches et océans Canada. Effacer ou reformater le dispositif ne le vide pas de son information;
  7. sera signalé immédiatement au bureau de la sécurité du ministère en cas de perte ou de vol;
  8. sera remis à Pêches et océans Canada au terme de l'emploi ou à tout moment où Pêches et océans Canada en fera la demande.

Je suis d'accord I Je ne suis pas d'accord

Enregistrer Annuler

L'utilisateur ne peut pas enregistrer un dispositif sans d'abord confirmer qu'il s'engage à suivre ces obligations.

De plus, le Comité de gestion ministérielle de Pêches et océans Canada a pris la décision de rendre obligatoire, pour tous les employés, la formation Sensibilisation à la sécurité (A230) de l'École de la fonction publique du Canada. Un rappel de sensibilisation à la sécurité doit également être suivi tous les cinq ans. Tous les employés de Pêches et océans Canada qui ont accès au réseau devront suivre la formation d'ici au 31 octobre 2015.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures sont en place pour réagir en cas d'incident de sécurité, comme la perte ou le vol de dispositifs portables.

L'exigence de signaler les incidents de sécurité est inscrite dans la Norme opérationnelle sur la sécurité informatique — dispositifs de stockage portables du ministère.

Si un incident de sécurité entraîne une atteinte à la vie privée, le protocole en matière d'atteinte à la vie privée du ministère est déclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, le signalement et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


COMMISSION DE L'IMMIGRATION ET DU STATUT DE RÉFUGIÉ DU CANADA

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

La Commission de l'immigration et du statut de réfugié du Canada (CISR ou la Commission) a établi un mécanisme pour consigner l'attribution d'ordinateurs portables et de tablettes.

Il existe également des registres pour certains dispositifs de stockage USB attribués par la Commission (clés USB); cependant, les noms d'utilisateur et les numéros d'identification des dispositifs ne sont pas toujours consignés.

L'attribution de disques durs portables et de CD et DVD n'est pas consignée.

Services partagés Canada est responsable de contrôler l'attribution de téléphones intelligents.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que l'attribution de tous les dispositifs de stockage portables — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

La Commission accepte la recommandation.

Afin de s'y conformer, la Commission se servira du module de gestion des biens dans son système financier (SAP) afin de gérer l'inventaire de dispositifs de stockage portables (DSP) et leur attribution aux employés particuliers. Tout achat de DSP sera fait par une même équipe pour faire en sorte que chaque dispositif soit inscrit à l'inventaire. Ces opérations nécessiteront l'élaboration de nouvelles procédures pour assurer la conformité.

La date d'échéance prévue est la fin du troisième trimestre (décembre 2015).

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

La Commission a mis en place un processus d'élimination décentralisé. Les bureaux régionaux sont responsables de gérer leur propre inventaire de dispositifs de stockage portables (DSP).

Les DSP excédentaires ou défectueux sont conservés dans un environnement sécurisé avant leur élimination.

Il y a des procédures d'élimination; celles-ci n'ont cependant pas été officialisées - c.-à-d. qu'elles n'ont pas été consignées dans une politique ou des procédures écrites.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait conduire à une divulgation inappropriée de renseignements personnels.

Recommandation :

Mettre en place un processus officiel pour garantir que les renseignements personnels contenus dans les dispositifs de stockage portables excédentaires ou défectueux sont éliminés de façon uniforme et sécuritaire.

Réponse de la direction :

La Commission accepte la recommandation.

La mise en œuvre nécessitera l'élaboration de nouvelles procédures pour assurer la conformité.

La date d'échéance prévue est la fin du troisième trimestre (décembre 2015).

Observations :

La Commission utilise un logiciel qui ne fait pas partie des logiciels d'effacement certifiés pour effacer les ordinateurs portables excédentaires avant leur élimination. Le logiciel ne produit pas de preuve documentaire (rapport de vérification) confirmant que le disque dur a bien été effacé.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

La Commission accepte la recommandation.

Elle étudie actuellement l'achat d'un nouveau logiciel certifié qui fournirait les preuves documentaires nécessaires de l'effacement. La mise en œuvre de ce nouvel outil nécessitera l'élaboration de nouvelles procédures pour assurer la conformité.

La date d'échéance prévue est la fin du quatrième trimestre (mars 2016).

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

Bien que plusieurs contrôles aient été mis en œuvre dans le cadre des mesures globales de sécurité informatique de la Commission, à l'exception des ordinateurs portables, la Commission n'a pas évalué officiellement les risques liés à l'utilisation des dispositifs de stockage portables.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer le risque d'atteinte à la protection de renseignements personnels résultant :

  • de l'absence de contrôles concernant le branchement de dispositifs de stockage USB non autorisés;
  • de l'utilisation de CD/DVD pour stocker des données;
  • de la possibilité de télécharger et d'utiliser des applications non autorisées sur les tablettes;
  • de la méthode manuelle d'application du cryptage sur les ordinateurs portables et les tablettes;

et mettre en place les mesures nécessaires pour corriger les lacunes et les faiblesses.

Réponse de la direction :

La Commission accepte la recommandation.

Une évaluation des menaces et des risques pour les renseignements personnels sera effectuée dans le contexte du Projet de prévention de pertes de données, qui doit respecter les exigences de la norme ITPIN 2014-01 sur l'utilisation sécuritaire des dispositifs de stockage de données portables.

La date d'échéance prévue est la fin du quatrième trimestre (mars 2016), tout dépendant si Services Partagés Canada est en mesure de fournir l'infrastructure nécessaire.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

La Commission a mis en œuvre divers contrôles pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables, notamment les suivantes :

  • le cryptage des ordinateurs portables et des tablettes a été mis en œuvre;
  • les dispositifs de stockage USB employés par la Commission sont cryptés;
  • une protection antivirus est déployée dans les ordinateurs portables;
  • les droits de l'administrateur local sont limités sur les ordinateurs portables, empêchant les utilisateurs d'installer des applications non autorisées;
  • les ordinateurs portables et les tablettes ont de solides paramètres de mot de passe.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Les contrôles existants examinés dans le cadre de l'évaluation ont été jugés adéquats; par conséquent, aucune recommandation n'est formulée.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

La Commission a mis en place un certain nombre de politiques qui, ensemble, constituent son cadre de gestion des dispositifs de stockage portables (DSP). Les politiques sur l'utilisation acceptable des réseaux électroniques, sur les supports de données portables et sur la sécurité sont des instruments de gouvernance essentiels à cet égard.

Lorsqu'on les évalue dans leur ensemble, les instruments existants établissent la responsabilité de protéger les biens de TI et l'information, ainsi que l'exigence de signaler la perte ou le vol d'un dispositif. Si l'utilisation des dispositifs USB (p. ex. Clés USB) est décrite en détail, les politiques ne traitent pas explicitement d'autres types de DSP (p. ex. ordinateurs portables, tablettes, CD) ni de l'utilisation de dispositifs personnels.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

Veiller à ce que les politiques qui régissent l'utilisation de dispositifs de stockage portables traitent de :

  • tous les types de dispositifs qui peuvent être employés pour stocker des renseignements personnels;
  • toute restriction sur le type d'information (catégorie de sécurité) qui peut être stocké sur les dispositifs;
  • l'utilisation de dispositifs de stockage portables personnels à des fins professionnelles.

Réponse de la direction :

La Commission accepte la recommandation.

La Politique sur l'utilisation acceptable des réseaux électroniques a été mise à jour en février 2015. La Politique sur les dispositifs de mémoire portables date de 2007; elle est en cours de révision et sera renommée la Politique sur les dispositifs de stockage de données portables.

La date d'échéance prévue est la fin du troisième trimestre (décembre 2015).

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

Les nouveaux employés reçoivent une présentation sur la sécurité dans le cadre du processus d'orientation pour les employés de la Commission. La présentation préparée à cet effet souligne la responsabilité qui incombe aux employés de protéger l'information et les biens, et de signaler immédiatement les incidents de sécurité (y compris la perte ou le vol d'un bien appartenant à la Commission). La présentation ne dit rien sur l'utilisation de dispositifs de stockage portables.

Dans le cadre de sa campagne de sensibilisation à la sécurité, la Commission a diffusé un bulletin au sujet de l'utilisation de dispositifs USB. Le bulletin aborde l'utilisation de dispositifs USB personnels, et fournit des conseils pour réduire les risques d'une atteinte à la protection des données contenues sur les clés USB.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

S'assurer que tous les employés, y compris le personnel contractuel, connaissent les politiques qui régissent l'utilisation des dispositifs de stockage portables, et fournir des conseils pour atténuer les risques pour la vie privée inhérents à l'utilisation de ces dispositifs.

Réponse de la direction :

La Commission accepte la recommandation.

La Commission mettra à jour la formation sur la sensibilisation à la sécurité offerte à tous les employés. Cette information sera également affichée dans l'Intranet de la Commission et sera accessible à tous les employés. Des rappels annuels seront envoyés à tous les employés, et ceux-ci comprendront des liens vers les instruments de politique et le matériel de formation pertinents.

La date d'échéance prévue est la fin du quatrième trimestre (mars 2016).

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures officielles sont en place pour réagir en cas d'incident de sécurité, comme la perte ou le vol de dispositifs de stockage portables.

L'exigence de signaler des incidents de sécurité est comprise dans la Politique sur la sécurité de la Commission.

Si un incident de sécurité entraîne une atteinte à la vie privée, le protocole en matière d'atteinte à la vie privée de la Commission est déclenché. Les éléments clés du protocole comprennent: l'endiguement de l'atteinte, l'évaluation de son incidence, le signalement et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


COMMISSION DES LIBÉRATIONS CONDITIONNELLES

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

L'infrastructure des TI de la Commission des libérations conditionnelles (CLC ou la Commission) — y compris les biens de TI — est gérée par Service correctionnel Canada en vertu d'un protocole d'entente entre les deux organisations.

Il existe un mécanisme pour consigner l'attribution d'ordinateurs portables et de tablettes, ainsi que certains dispositifs de stockage USB (clés USB). L'attribution de CD et DVD n'est pas consignée.

La Commission a indiqué que les disques durs portables ne sont pas distribués au personnel.

Services partagés Canada est responsable de contrôler l'attribution de téléphones intelligents.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que la remise de tous les dispositifs de stockage portables — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

La Commission accepte la recommandation.

Services correctionnels Canada (SCC) garde un inventaire de tous les ordinateurs portables, tablettes et appareils BlackBerry utilisés par les employés de la Commission, qui peut être obtenu facilement au besoin. Un système de suivi et de contrôle des clés USB, des disques durs externes et disque optiques est en cours d'élaboration par la Commission, et sera inauguré à temps pour la mise en œuvre de la Directive sur l'utilisation de dispositifs de stockage de données portables de la Commission.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

La Commission a mis en place un processus d'élimination décentralisé. Les bureaux régionaux sont responsables de gérer leur propre inventaire de dispositifs de stockage portables.

Les dispositifs de stockage portables (DSP) excédentaires ou défectueux sont conservés dans un environnement sécurisé avant leur élimination.

Des procédures officielles établissant des exigences administratives et de sécurité pour l'élimination des DSP sont en place.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

Observations :

Comme indiqué plus haut, les bureaux régionaux sont responsables de gérer l'élimination de leurs propres dispositifs de stockage portables. Il y a une exception. Les dispositifs qui ne peuvent être effacés sont envoyés au siège social de Service correctionnel Canada en vue d'être éliminés. Les risques potentiels entourant ce processus n'ont pas été évalués.

Conséquence :

Un processus d'élimination qui requiert l'expédition de dispositifs de stockage portables non effacés d'un lieu à un autre présente un risque potentiel d'accès aux données, dans l'éventualité où des dispositifs seraient perdus ou volés en chemin. Ce risque doit être analysé. Sans cette analyse, les lacunes ou faiblesses procédurales qui requièrent des mesures d'atténuation (de protection) pour protéger la confidentialité ne seront pas prises en considération.

Recommandation :

Évaluer le processus d'élimination actuel — pour ce qui est de l'expédition des dispositifs de stockage portables excédentaires ou défectueux vers un site central (p. ex., le siège social) — pour garantir que des mesures de contrôle adéquates sont en place pour atténuer le risque d'accès aux données.

Réponse de la direction :

La Commission accepte la recommandation.

SCC a déjà établi une procédure pour l'effacement et l'élimination des disques durs, ainsi que des dispositifs mobiles comme les appareils BlackBerry et les tablettes, et fera les ajustements nécessaires pour faire en sorte que la procédure actuelle réduise le risque d'accès aux données, si nécessaire. Pour les autres dispositifs externes, la Commission va collaborer avec SCC dans le but d'établir une procédure d'effacement et d'élimination qui réduit les risques au minimum.

Observations :

Service correctionnel Canada utilise un logiciel qui fait partie des logiciels d'effacement certifiés pour effacer les ordinateurs portables excédentaires avant leur élimination. Le logiciel produit une preuve documentaire (rapport de vérification) confirmant que le disque dur a bien été effacé. Les sites visités ne conservaient pas de copie des rapports de vérification.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

La Commission accepte la recommandation.

La division des TI de SCC a récemment confirmé qu'elle utilise le logiciel pour tous les effacements de données, et le logiciel produit un rapport de confirmation de l'effacement des données.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

Service correctionnel Canada a évalué de manière officielle les risques liés aux dispositifs de stockage portables. Toutefois, l'analyse de risques ne couvrait pas le manque de contrôles techniques concernant :

  • la connexion de dispositifs de stockage USB non autorisés;
  • l'utilisation de CD/DVD pour stocker des données.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer le risque d'atteinte à la protection de renseignements personnels résultant :

  • de l'absence de contrôles concernant le branchement de dispositifs de stockage USB non autorisés;
  • l'utilisation de CD/DVD pour stocker des données;

et mettre en place les mesures nécessaires pour corriger les lacunes et les faiblesses.

Réponse de la direction :

La Commission accepte la recommandation.

Les CD et DVD sont employés de manière limitée à la Commission et pour des usages spécifiques; bien que la Directive sur l'utilisation des supports de stockage de données portables de la Commission fournisse des indications sur leur utilisation appropriée, il faudra faire une analyse des risques en vue d'établir les cas où stocker de l'information sur un CD ou un DVD serait acceptable, s'il y en a. En même temps, la Commission cherchera des moyens de remplacer l'utilisation de CD ou DVD autant que possible, et travaillera avec SCC lorsque nécessaire.

SCC travaille déjà sur un projet pour restreindre l'utilisation des clés USB. Tout dispositif USB qui n'a pas été préautorisé sera automatiquement bloqué. La date d'échéance visée pour terminer le projet est mars 2016.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

Service correctionnel Canada a mis en œuvre divers contrôles pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables, notamment les suivantes :

  • le cryptage des ordinateurs portables et des tablettes a été mis en œuvre;
  • une protection antivirus a été déployée dans les ordinateurs portables et les tablettes;
  • les droits de l'administrateur local sont limités sur les ordinateurs portables, empêchant les utilisateurs d'installer des applications non autorisées;
  • les ordinateurs portables et les tablettes ont de solides paramètres de mot de passe.

Même si le cryptage est disponible pour les dispositifs de stockage USB, il n'est pas obligatoire. En outre, l'utilisation de clés USB ne se limite pas aux clés approuvées.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Veiller à ce que tous les dispositifs de stockage portables susceptibles d'être utilisés pour stocker des renseignements personnels soient dotés d'une fonction de cryptage.

Réponse de la direction :

La Commission accepte la recommandation.

Le cryptage est déjà activé sur les ordinateurs portables, les tablettes et les appareils BlackBerry utilisés par les employés de la Commission. La prochaine étape consiste à faire en sorte que le cryptage soit activé sur les clés USB et à limiter la circulation de CD et DVD pour la conservation de renseignements personnels, et cela fait partie de la Directive sur l'utilisation de dispositifs de stockage de données portables de la Commission. De plus, le cryptage sera considéré comme une exigence pour tout usage futur de dispositifs de stockage portables.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

La Commission est en train d'établir une politique distincte (directive) pour régir l'utilisation de dispositifs de stockage portables. La Directive sur l'utilisation de dispositifs de stockage de données portables a été rédigée en octobre 2014; le document faisait l'objet de consultations au moment où la vérification s'est conclue.

La Directive traite de tous les dispositifs de stockage portables, de la responsabilité de protéger les biens, du type d'information qui peut être conservé sur un dispositif et de l'exigence de signaler la perte ou le vol d'un dispositif. L'utilisation des dispositifs personnels est également abordée.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent des mécanismes qui intègrent la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

Terminer et mettre en œuvre la Directive sur l'utilisation de dispositifs de stockage de données portables.

Réponse de la direction :

La Commission accepte la recommandation.

Le Comité de gestion de l'information a approuvé la dernière ébauche de la directive qui sera présentée pour approbation au Comité de la haute direction à leur prochaine réunion du 22 septembre 2015.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

La Commission des libérations conditionnelles du Canada offre à ses nouveaux employés une formation obligatoire sur la sensibilisation à la sécurité dès leur entrée en poste. La formation traite de l'obligation de protéger l'information et de signaler les incidents de sécurité. Cependant, elle ne dit rien sur l'utilisation de dispositifs de stockage portables.

En plus de la formation à l'entrée en poste, deux des trois bureaux régionaux visités lors de la vérification offraient également des séances de sensibilisation.

Lorsqu'on examine ces présentations dans leur ensemble, on ne peut pas conclure que tous les employés et les membres de la Commission comprennent bien leurs obligations en matière d'utilisation des dispositifs de stockage portables. L'adoption de la Directive sur l'utilisation de dispositifs de stockage de données portables est une occasion de mettre à jour les outils existants de sensibilisation à la sécurité pour faire en sorte que les exigences des politiques soient bien communiquées au personnel.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

S'assurer que tous les employés, y compris le personnel contractuel, connaissent les politiques qui régissent l'utilisation des dispositifs de stockage portables, et fournir des conseils pour atténuer les risques pour la vie privée inhérents à l'utilisation de ces dispositifs.

Réponse de la direction :

La Commission accepte la recommandation.

Le cours sur la sécurité de l'École de la fonction publique du Canada, intitulé Sensibilisation à la sécurité (A230), est désormais obligatoire pour tous les employés de la Commission. De plus, on rappellera à tous les employés leurs responsabilités en vertu de la Directive sur l'utilisation de dispositifs de stockage de données portables de la Commission, lorsqu'elle entrera en vigueur en septembre 2015.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures officielles sont en place pour réagir en cas d'incident de sécurité, comme la perte ou le vol de dispositifs de stockage portables.

L'obligation de signaler un incident de sécurité, est comprise dans la Directive sur la protection de l'information et des biens de la Commission. Cette obligation est également soulignée dans la Directive sur l'utilisation de dispositifs de stockage de données portables.

Si un incident de sécurité entraîne une atteinte à la vie privée, le protocole en matière d'atteinte à la vie privée de la Commission est déclenché. Les éléments clés du protocole comprennent: l'endiguement de l'atteinte, l'évaluation de son incidence, le signalement et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


AGENCE DE LA SANTÉ PUBLIQUE DU CANADA

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

L'Agence de la santé publique du Canada (ASPC ou l'Agence) dispose d'un mécanisme pour consigner l'attribution des ordinateurs portables, des tablettes et des disques durs portables.

Les clés USB cryptées distribuées au siège social de l'Agence et au laboratoire médical national sont consignées. Cependant, l'attribution de tels dispositifs n'était pas consignée à l'un des bureaux régionaux visités.

L'attribution de CD et DVD n'est pas consignée.

Services partagés Canada est responsable de contrôler l'attribution de téléphones intelligents.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que la remise de tous les dispositifs de stockage portatifs — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

L'Agence accepte la recommandation.

Un registre cohérent sera adopté pour gérer les dispositifs de stockage portables au siège social, dans les bureaux régionaux ainsi qu'au Laboratoire national de microbiologie.

Date d'échéance proposée : Troisième trimestre de l'année financière 2015-2016.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

ASPC a mis en œuvre un processus d'élimination décentralisé. Le siège social de l'Agence, ses bureaux régionaux et laboratoires sont responsables d'éliminer leur propre inventaire de dispositifs de stockage portables (DSP).

En attendant leur élimination, les dispositifs de stockage portables excédentaires ou endommagés sont conservés dans un environnement sécurisé.

Des procédures officielles établissant des exigences administratives et de sécurité pour l'élimination des DSP sont en place.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

Observations :

Comme indiqué plus haut, l'ASPC a mis en œuvre un processus décentralisé pour gérer l'élimination des dispositifs de stockage portables. Dans la région de la capitale nationale, les dispositifs excédentaires sont transférés d'un bureau à l'autre où ils sont conservés en attendant leur élimination. Les risques potentiels entourant ce processus n'ont pas été évalués.

Conséquence :

Un processus d'élimination qui requiert l'expédition de dispositifs de stockage portables non effacés d'un lieu à un autre présente un risque potentiel d'accès aux données, dans l'éventualité où des dispositifs seraient perdus ou volés en chemin. Ce risque doit être analysé. Sans cette analyse, les lacunes ou faiblesses procédurales qui requièrent des mesures d'atténuation (de protection) pour protéger la confidentialité ne seront pas prises en considération.

Recommandation :

Évaluer le processus d'élimination actuel — pour ce qui est de l'expédition des dispositifs de stockage portables excédentaires ou défectueux vers un site central (p. ex., le siège social) — pour garantir que des mesures de contrôle adéquates sont en place pour atténuer le risque d'accès aux données.

Réponse de la direction :

L'Agence accepte la recommandation.

L'Agence évaluera les pratiques d'élimination actuelles, et elle établira et adoptera des protocoles pour le transport sécuritaire des dispositifs de stockage portables excédentaires ou défectueux entre les différents lieux; elle mettra à jour le Guide de gestion des biens des TI.

Date d'échéance proposée : Quatrième trimestre de l'année financière 2015-2016.

Observations :

L'Agence utilise un logiciel qui ne fait pas partie des logiciels d'effacement certifiés pour effacer les ordinateurs portables excédentaires avant leur élimination. Le logiciel ne produit pas de preuve documentaire (rapport de vérification) confirmant que le disque dur a bien été effacé.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

L'Agence accepte la recommandation.

L'Agence compte :

  • établir une gestion centralisée de la confirmation de l'élimination ou de l'effacement;
  • relever les contrôles possibles en matière de mécanismes d'effacement certifié ou d'élimination des dispositifs de stockage portables;
  • revoir les procédures et les processus et mettre à jour les formulaires de suivi et de confirmation;
  • déployer des logiciels de prévention de perte de données.

Date d'échéance proposée : Quatrième trimestre de l'année financière 2015-2016.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

Bien que l'Agence n'ait pas évalué formellement le risque entourant l'utilisation de dispositifs de stockage portables, divers contrôles ont été mis en œuvre et ceux-ci règlent d'emblée certains risques.

Toutefois, l'analyse de risques ne couvrait pas le manque de contrôles techniques concernant :

  • le manque de contrôles techniques concernant la connexion de dispositifs de stockage USB non autorisés;
  • l'utilisation de tablettes, et plus particulièrement la capacité de télécharger et d'installer des applications non autorisées.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer le risque d'atteinte à la protection de renseignements personnels résultant :

  • de l'absence de contrôles concernant le branchement de dispositifs de stockage USB non autorisés;
  • l'utilisation de tablettes;

et mettre en place les mesures nécessaires pour corriger les lacunes et les faiblesses.

Réponse de la direction :

L'Agence accepte la recommandation.

L'Agence publiera la norme et les lignes directrices en matière de dispositifs de stockage USB et mettra en œuvre un contrôle technique pour enregistrer tous les branchements des clés USB au réseau.

Date d'échéance proposée : Terminé

L'Agence créera un message ciblé adressé à tous les employés au sujet de l'utilisation de clés USB qui s'affichera à l'écran de manière contextuelle.

Date d'échéance proposée : Troisième trimestre de l'année financière 2015-2016.

L'Agence fera signer un formulaire sur les conditions d'utilisation à tous les employés avant de leur remettre une tablette.

Date d'échéance prévue : Terminé

L'Agence mettra à jour sa politique générale de sécurité et ses procédures opérationnelles normalisées.

Date d'échéance proposée : Terminé

L'Agence effectuera une évaluation des facteurs relatifs à la vie privée (EFVP) et une évaluation des menaces et des risques sur l'utilisation des tablettes.

Date d'échéance proposée : Quatrième trimestre de l'année financière 2015-2016.

L'Agence remplacera les dispositifs actuels non gérés par des dispositifs standards qui bloquent l'installation de logiciels par des personnes non autorisées. Distribution de dispositifs Windows 8.1.

Date d'échéance proposée : Quatrième trimestre de l'année financière 2015-2016.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

L'Agence a mis en œuvre plusieurs contrôles pour protéger les renseignements personnels transmis et conservés sur les dispositifs de stockage portables, y compris :

  • un antivirus sur les ordinateurs portables contrôlés de manière centrale;
  • la restriction des droits d'administrateurs locaux sur les ordinateurs portables;
  • le cryptage sur les ordinateurs portables et les dispositifs de stockage USB.

Cependant, les mots de passe sur les ordinateurs portables étaient faibles.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Renforcer les paramètres pour les mots de passe des ordinateurs portables.

Réponse de la direction :

L'Agence accepte la recommandation.

La politique sur les mots de passe de l'Agence, qui comprend des exigences quant à la longueur minimale et à la complexité, sera mise en œuvre pour l'accès au réseau.

Date d'échéance proposée : Troisième trimestre de l'année financière 2015-2016.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

L'Agence a mis en place un certain nombre de politiques et de normes qui, ensemble, constituent son cadre de gestion des dispositifs de stockage portables (DSP). La Norme sur l'utilisation sécurisée des supports de stockage de données portatifs et la Norme sur l'utilisation acceptable des dispositifs et des réseaux de l'Agence constituent les documents de gouvernance principaux à cet égard.

Lorsqu'on les évalue dans leur ensemble, les instruments existants portent sur tous les types de DSP, la responsabilité des employés de protéger les biens de TI, le type d'information qui peut être conservé sur les dispositifs, ainsi que l'exigence de signaler la perte ou le vol d'un dispositif. L'utilisation de dispositifs personnels est également abordée.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

L'Agence a des politiques en place qui régissent l'utilisation des dispositifs de stockage portables. Ces politiques sont conformes aux exigences du gouvernement du Canada en matière de sécurité; par conséquent, aucune recommandation n'est formulée.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

Les employés reçoivent une formation de sensibilisation à la sécurité dans le cadre du programme d'orientation de l'ASPC. La formation aborde l'obligation de protéger les dispositifs de stockage portables ainsi que l'exigence de signaler la perte ou le vol d'un dispositif. L'utilisation de dispositifs personnels est également abordée. La formation donnée n'aborde pas le type d'information qui peut être transmis et stocké sur des dispositifs. De plus, la formation n'a pas été donnée à tout le personnel.

L'Agence a mis en œuvre une entente d'utilisation pour les dispositifs de stockage portables. L'ASPC a indiqué qu'elle est en train de mettre à jour l'entente afin qu'elle inclue tous les dispositifs assignés à chaque utilisateur.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

S'assurer que tous les employés, y compris le personnel contractuel, connaissent les politiques qui régissent l'utilisation des dispositifs de stockage portables, et fournir des conseils pour atténuer les risques inhérents à l'utilisation de ces dispositifs.

Réponse de la direction :

L'Agence accepte la recommandation.

L'Agence favorisera la sensibilisation à la sécurité des TI par l'entremise d'outils internes et d'activités de formation en :

  • améliorant la formation et les communications avec les employés
    Date d'échéance proposée : quatrième trimestre de l'année financière 2015-2016.
  • publiant des pratiques exemplaires et une politique révisée sur l'utilisation acceptable
    Date d'échéance proposée : troisième trimestre de l'année financière 2015-2016.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures sont en place pour réagir en cas d'incident mettant en cause la perte ou le vol d'un dispositif de stockage portable.

L'exigence de signaler des incidents de sécurité informatique est inscrite dans la Politique sur la sécurité des technologies de l'information de l'Agence et aussi intégrée dans sa Norme sur l'utilisation sécurisée des supports de stockage de données portatifs et dans sa Norme sur l'utilisation acceptable des dispositifs et des réseaux.

Si un incident de sécurité entraîne une atteinte à la vie privée, le protocole de l'Agence en cas d'atteinte à la vie privée est enclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, le signalement et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 


SERVICES PARTAGÉS CANADA

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

Un mécanisme est en place pour enregistrer et faire le suivi des nouveaux téléphones intelligents (appareils BlackBerry 10) que Services partagés Canada (SPC) distribue aux employés de ses 43 organisations partenaires.

Toutefois, le registre ne contient pas l'ensemble des appareils actuellement en cours d'utilisation. SPC indique qu'au moment de la transition (SPC s'est vu confier la responsabilité de gérer les services téléphoniques), les organisations partenaires n'ont pas fourni de listes complètes d'inventaire de téléphones. Afin de dresser une liste complète de tous les appareils, y compris les téléphones intelligents, SPC a pris les mesures suivantes :

  • l'enregistrement volontaire des appareils (le portail de SPC sert à cet effet);
  • l'identification des appareils inactifs depuis 90 jours, dans le but d'annuler les comptes associés qui ne sont plus nécessaires;
  • la distribution en masse d'appareils BlackBerry 10 (environ 60 000) en échange d'anciens appareils (BlackBerry 5).

Malgré ces efforts, SPC indique qu'un inventaire exact pourrait ne pas être disponible tant que l'Initiative de transformation des services de courriel ne sera pas complètement achevée. En raison de nombreux défis administratifs et techniques entourant cette initiative, sa mise en œuvre a été retardée. La date d'échéance actuelle du projet est septembre 2016.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

En collaboration avec les organisations partenaires, faire en sorte que tous les téléphones intelligents actifs soient enregistrés, soit par nom d'utilisateur ou par nom de personne ressource, d'ici janvier 2016.

Réponse de la direction :

SPC est d'accord avec la recommandation.

Les téléphones intelligents sont des biens organisationnels et doivent faire l'objet d'un suivi par SPC. Une solution technique est progressivement instaurée. Respecter l'échéance proposée nécessitera un effort supplémentaire considérable et l'entière collaboration de tous les partenaires de SPC.

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

Services partagés Canada (SPC) a des procédures officielles pour gérer l'élimination des téléphones intelligents.

La responsabilité de gérer l'élimination des appareils est établie dans la Norme d'exploitation sur la fourniture d'appareils de télécommunication de SPC. La Norme exige des organisations partenaires qu'elles renvoient les téléphones intelligents à SPC. Elle indique également que ce sont les organisations partenaires qui sont responsables d'effacer les appareils; cependant, elle ne donne aucune directive en la matière (p. ex. sur les méthodes d'effacement à utiliser). SPC a indiqué qu'il procède à l'effacement des appareils qui lui sont renvoyés.

Bien que ce ne soit pas systématique, la vérification a confirmé que les exigences de la Norme ne sont pas toujours complètement respectées. Par exemple, certains dispositifs excédentaires ne sont pas renvoyés à SPC et d'autres sont renvoyés sans avoir été effacés.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Rappeler aux organisations partenaires leurs responsabilités en vertu de la Norme d'exploitation sur la fourniture d'appareils de télécommunication, y compris l'effacement des téléphones intelligents avant leur élimination.

Réponse de la direction :

SPC est d'accord avec la recommandation.

SPC préparera et enverra un communiqué rappelant aux organisations partenaires leurs responsabilités.

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

Téléphones intelligents

Bien qu'aucune évaluation formelle du risque n'ait été effectuée en ce qui concerne les téléphones intelligents, dans le cadre de ses mesures générales de sécurité, Services partagés Canada (SPC) a mis en œuvre des contrôles de sécurité de base appropriés en établissant des options de profils de configuration. Les organisations partenaires doivent choisir une des options de profils, qui comprennent toutes le cryptage obligatoire, de solides paramètres de mot de passe, et des contrôles pour empêcher les applications non autorisées d'avoir accès aux données organisationnelles.

Dispositifs de stockage USB

Conformément à son mandat, SPC possède et exploite des serveurs pour le compte d'organisations partenaires. Ces serveurs contiennent des données relatives aux programmes opérationnels de ces organisations et, par conséquent, peuvent contenir d'importantes quantités de renseignements personnels.

Aucuns contrôles techniques n'ont été mis en place pour empêcher le branchement de dispositifs de stockage USB non autorisés sur les serveurs. Par conséquent, il existe un risque que des données soient extraites et stockées sur de tels dispositifs.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Évaluer les risques pour les renseignements personnels qui découlent d'une absence de contrôles pour empêcher le branchement de dispositifs USB non autorisés sur les serveurs et mettre en place des contrôles appropriés pour corriger les vulnérabilités et les faiblesses relevées.

Réponse de la direction :

SPC est d'accord avec la recommandation.

SPC évaluera les risques potentiels qui découlent de l'utilisation de dispositifs USB non autorisés sur les serveurs, en tenant compte des contrôles matériels, logiques et de personnel existants, d'ici la fin de l'année financière 2015-2016. De plus, SPC élaborera et mettra en place un plan d'atténuation des risques résiduels relevés dans l'évaluation des risques, en fonction des ressources et du financement disponibles, à compter de 2016-2017.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

Services partagés Canada (SPC) a adopté une approche par étapes dans le transfert de la responsabilité de la gestion des appareils BlackBerry de ses organisations partenaires. Lors de la première vague du transfert, SPC a établi un service BB10 intérimaire, dont les éléments clés sont les suivants :

  • l'obligation d'utiliser des appareils BlackBerry 10;
  • la création de plusieurs profils de configuration des appareils BlackBerry 10, qui respectent tous les contrôles de sécurité de base (p. ex. le cryptage, de solides paramètres de mot de passe, etc.);
  • la distribution en masse d'appareils BlackBerry 10 (environ 60 000) en échange des appareils plus anciens (BlackBerry 5).

Le service intérimaire a été lancé au printemps 2015. Dans le cadre de ce projet, les organisations partenaires doivent choisir l'un des profils de configuration établis par SPC. Lorsque ce choix est fait, SPC effectue le transfert des appareils — qui étaient précédemment gérés par l'organisation partenaire — vers l'environnement de SPC. Au moment de terminer la vérification, SPC avait terminé la migration complète de l'une des organisations partenaires. SPC a indiqué que le service intérimaire devrait être complètement mis en œuvre d'ici au deuxième trimestre de l'année financière 2016-2017.

Bien qu'avec le service intérimaire, la majorité des utilisateurs disposeront d'un appareil BlackBerry 10 doté d'un profil de configuration sécuritaire, plusieurs appareils BlackBerry 5 demeureront en circulation. Certains de ces appareils pourraient avoir des contrôles inadéquats. Des dix organisations partenaires de SPC qui étaient incluses dans le cadre de cette vérification, les observations suivantes ont été notées :

  • deux n'imposent pas de paramètres solides pour les mots de passe;
  • deux n'imposent pas le cryptage;
  • six n'ont pas de contrôles pour empêcher le téléchargement et l'installation d'applications non autorisées.

Les responsables ont également indiqué que les faiblesses en matière de sécurité signalées seront réglées par la mise en œuvre du service intérimaire BB10 ou la mise en œuvre complète de l'Initiative de transformation des services de courriel.

Peu importe la solution employée pour régler l'absence de contrôles de sécurité de base, les faiblesses actuelles existeront jusqu'en septembre 2016 au sein de certaines des organisations partenaires. Ces dispositifs peuvent contenir des renseignements personnels, créant ainsi un risque en matière de vie privée.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Veiller à ce que des contrôles de sécurité de base soient mis en œuvre sur tous les téléphones intelligents utilisés par les organisations partenaires d'ici janvier 2016.

Réponse de la direction :

SPC est d'accord avec la recommandation.

SPC a mis en place des contrôles de sécurité de base sur tous les appareils BB10 et sur les appareils BB5 qui seront transférés sur ETI. SPC s'efforcera de se conformer aux échéances recommandées; cependant, cela pourrait s'avérer difficile étant donné l'horaire de mise en œuvre d'ETI.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

Services partagés Canada (SPC) a établi plusieurs instruments pour régir la gestion des dispositifs de stockage portables, y compris les téléphones intelligents distribués aux organisations partenaires. La Norme d'exploitation sur la fourniture d'appareils de télécommunication, la Norme d'exploitation sur l'utilisation acceptable des appareils cellulaires, la Directive sur l'utilisation des clés USB et d'autres dispositifs de stockage externes et la Politique de sécurité ministérielle sont les principaux documents de gouvernance à cet égard.

Pris dans leur ensemble, les documents existants établissent l'exigence de protéger l'information et de l'étiqueter selon son degré de sensibilité, ainsi que l'obligation de signaler la perte ou le vol de biens organisationnels. L'utilisation de dispositifs de stockage USB personnels est également abordée dans les documents de politique.

Il y a cependant une exigence de politique qui doit être signalée du point de vue de la protection des renseignements personnels. Les normes d'exploitation citées ici demandent à l'utilisateur d'informer son gestionnaire et son administrateur technique de la clientèle en cas d'incident (perte ou vol d'un téléphone intelligent) en moins d'un jour ouvrable. Cette échéance pourrait ne pas correspondre à celle exigée dans les politiques de sécurité et de protection des renseignements personnels des organisations partenaires. Puisque les données sur les appareils ne relèvent pas de la responsabilité de SPC, ce sont les protocoles de l'organisation partenaire en cas d'incident de sécurité ou d'atteinte à la protection des renseignements personnels qui s'appliquent, y compris en ce qui concerne l'échéance pour signaler un incident et les personnes à qui un tel incident doit être signalé.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

Modifier la Norme d'exploitation sur la fourniture d'appareils de télécommunication et la Norme d'exploitation intérimaire sur l'utilisation appropriée des appareils cellulaires pour demander aux utilisateurs de se conformer aux protocoles de leur propre organisation en matière de signalement d'incident de sécurité et d'atteinte à la vie privée.

Réponse de la direction :

SPC est d'accord avec la recommandation.

Les normes seront modifiées comme proposé.

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

Organisations partenaires - Utilisation des téléphones intelligents

Les règles encadrant l'utilisation des téléphones intelligents sont comprises dans la Norme d'exploitation sur l'utilisation acceptable des appareils cellulaires. La Norme établit l'exigence de protéger les biens et de signaler leur perte ou leur vol, ainsi que l'obligation de renvoyer les appareils lorsqu'ils ne sont plus nécessaires ou qu'un utilisateur quitte l'organisation. Avant l'activation, les utilisateurs doivent signifier qu'ils ont lu et compris leurs obligations selon la Norme.

Services partagés Canada - Personnel situé au sein d'organisations partenaires

Les employés, y compris les administrateurs techniques de la clientèle, doivent suivre la formation obligatoire sur la sensibilisation à la sécurité en ligne offerte par l'École de la fonction publique du Canada (EFPC).

Même si SPC a fait valoir qu'il a mis en œuvre plusieurs initiatives de sensibilisation à la sécurité et la protection des renseignements personnels, il reconnaît que ces initiatives ne portaient pas explicitement sur les dispositifs de stockage portables (DSP). Comme la formation de l'EFPC est générale et conçue pour l'ensemble du gouvernement, il n'est pas sûr que le personnel de SPC travaillant au sein d'organisations partenaires soit bien au courant des politiques de SPC sur l'utilisation des DSP, ou de l'obligation de se conformer aux exigences de sécurité plus strictes en cas de conflit entre les politiques de SPC et celles de l'organisation partenaire.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

Veiller à ce que les employés de Services partagés Canada qui ont accès aux renseignements d'organisations partenaires connaissent les politiques qui régissent l'utilisation des dispositifs de stockage portables, et fournir des conseils pour atténuer les risques inhérents à l'utilisation de ces dispositifs.

Réponse de la direction :

SPC est d'accord avec la recommandation.

Les employés de SPC suivent la formation obligatoire de l'École de la fonction publique du Canada sur la sensibilisation à la sécurité. Cette formation comprend une section sur l'utilisation acceptable des dispositifs de stockage portables, et les risques associés à leur utilisation.

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Services partagés Canada (SPC) a établi des procédures pour gérer les atteintes à la vie privée. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, le signalement et la prévention.

La Norme sur la gestion des atteintes à la vie privée comprend un document de référence qui définit le rôle de SPC en cas de trois types d'incidents :

  • atteintes où des données sous la responsabilité de SPC sont en cause;
  • atteintes où des données sont la responsabilité d'une organisation partenaire sont en cause;
  • atteintes alors que SPC a imparti un service organisationnel.

Les renseignements personnels recueillis par les organisations partenaires et stockés sur les systèmes de TI de SPC, y compris les dispositifs de stockage USB, ne sont pas considérés comme étant sous la responsabilité de SPC. Par conséquent, les rôles et responsabilités sont partagés lorsqu'une atteinte met en cause l'infrastructure des TI de SPC et les données d'une organisation partenaire.

Bien que SPC gère les services de télécommunications, les responsables de la sécurité au sein d'organisations partenaires demeurent responsables d'enquêter sur les incidents mettant en cause la perte ou le vol de téléphones intelligents distribués aux employés de leur organisation respective. Le rôle de SPC à cet égard se limite à contribuer à contenir l'atteinte.

Si un dispositif de stockage (p. ex. disque dur portable) qui contient des données d'une organisation partenaire est perdu par un employé de SPC (administrateur technique de la clientèle), l'organisation partenaire dirigerait l'enquête. Le personnel de sécurité de SPC peut faire partie du processus.

Bien qu'un processus soit en place pour faire enquête sur la perte ou le vol de téléphones intelligents, il n'a pas été possible de confirmer avec certitude quelles mesures sont prises pour limiter une atteinte soupçonnée ou confirmée (p. ex. le délai des commandes d'effacement, la réactivation de comptes pour permettre la réception de la commande d'effacement, etc.) SPC a indiqué qu'il est en train d'élaborer des procédures standards en cas de perte ou de vol d'un appareil BlackBerry. Lorsqu'elles seront disponibles, elles seront fournies aux organisations partenaires.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Mettre en œuvre des procédures standards en cas d'incidents de perte ou de vol de téléphones intelligents.

Réponse de la direction :

SPC est d'accord avec la recommandation.

SPC communiquera à ses partenaires d'ici novembre 2015 des procédures standards pour répondre à de tels incidents.

 


Statistique Canada

SECTEUR D'EXAMEN I - CONTRÔLES PHYSIQUES

GESTION DE L'INVENTAIRE

Attente :

Un mécanisme est en place pour enregistrer et faire le suivi des dispositifs de stockage portables fournis — qui peuvent contenir des renseignements personnels — tout au long de leur cycle de vie.

Observations :

Statistique Canada (l'organisme) dispose d'un mécanisme pour consigner l'attribution d'ordinateurs portables et de dispositifs de stockage USB (clés USB et disques durs portables).

La distribution de tablettes et de CD et DVD n'est pas consignée.

Services partagés Canada est responsable de contrôler l'attribution de téléphones intelligents.

Conséquence :

Pour garantir que des mesures de sécurité adéquates sont en place pour protéger les renseignements personnels qui leur sont confiés, les institutions fédérales doivent savoir où les données sont stockées. Pour ce faire, il est crucial d'identifier et de faire le suivi des biens. Sans un tel mécanisme, les institutions ne peuvent pas savoir quels dispositifs sont utilisés, par qui, et à quelles fins, ce qui nuit à leur capacité de réduire au minimum le risque de perdre des données.

Recommandation :

Veiller à ce que la remise de tous les dispositifs de stockage portables — qui peuvent servir à conserver des renseignements personnels — soit consignée à des fins d'identification et de suivi.

Réponse de la direction :

La recommandation est acceptée.

Plan d'action sur la gestion de l'inventaire des tablettes

Toutes les tablettes — pouvant être utilisées pour stocker des renseignements personnels — sont identifiées, suivies et gérées en utilisant les mêmes contrôles que ceux employés pour les ordinateurs portables et les postes de travail. Au moment de la vérification, Statistique Canada n'avait pas commencé à distribuer de tablettes. En mars 2015, Statistique Canada a commencé un projet pilote pour les tablettes qui comprend une gestion officielle de l'inventaire des tablettes. Des mesures pour traiter la recommandation ont été prises et le plan d'action est terminé.

Date d'échéance prévue : Terminé en date de mars 2015

Plan d'action sur la gestion de l'inventaire de CD/DVD

La stratégie pour répondre à cette recommandation consiste à éliminer l'utilisation de CD et DVD, sauf aux fins de distribution d'information publique. Si Statistique Canada n'est pas en mesure d'éliminer complètement l'utilisation de CD et DVD de ses processus organisationnels, toute exception devra recevoir l'approbation d'un directeur général. L'utilisation de CD et DVD — qui peuvent servir à conserver des renseignements personnels — sera identifiée, suivie et gérée de façon centrale. Une mesure de sécurité supplémentaire consiste à crypter les CD/DVD qui peuvent être employés pour stocker des renseignements personnels.

La première étape consiste à modifier la configuration normale de tout le matériel technologique de travail pour empêcher l'utilisation des CD et DVD sauf en cas d'exceptions documentées, comme on le mentionne plus haut. Tous les appareils achetés récemment n'ont pas de lecteur de CD/DVD — soit 4100 appareils sur un total de 8500.

Date d'échéance prévue : 18 décembre 2015

ÉLIMINATION DES ACTIFS EXCÉDENTAIRES OU DÉFECTUEUX

Attente :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables excédentaires ou défectueux.

Observations :

Statistique Canada a adopté un processus centralisé pour gérer l'élimination des dispositifs de stockage portables (DSP).

Avant leur élimination, les DSP excédentaires ou défectueux sont conservés dans un endroit sécurisé.

Des procédures officielles établissant des exigences administratives et de sécurité pour l'élimination des DSP sont en place.

Conséquence :

Un processus officiel (documenté) appuie une approche uniforme et normalisée assurant l'élimination sécuritaire des dispositifs de stockage portables. En l'absence d'un tel processus — ou s'il y a un manque de sensibilisation à ce processus — il existe un risque que l'on ait recours à des méthodes d'élimination inadéquates, ce qui pourrait entraîner une divulgation inappropriée de renseignements personnels.

Recommandation :

Des procédures officielles sont en place pour assurer l'élimination sécuritaire des dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

Observations :

Comme indiqué plus haut, Statistique Canada a mis en œuvre un processus centralisé pour gérer l'élimination des dispositifs de stockage portables. Les bureaux régionaux acheminent les dispositifs excédentaires et défectueux au bureau principal de l'organisme afin qu'ils soient effacés et éliminés. Les risques potentiels entourant ce processus n'ont pas été évalués.

Conséquence :

Un processus d'élimination qui requiert l'expédition de dispositifs de stockage portables non effacés d'un lieu à un autre présente un risque potentiel d'accès aux données, dans l'éventualité où des dispositifs seraient perdus ou volés en chemin. Ce risque doit être analysé. Sans cette analyse, les lacunes ou faiblesses procédurales qui requièrent des mesures d'atténuation (de protection) pour protéger la confidentialité ne seront pas prises en considération.

Recommandation :

Évaluer le processus d'élimination actuel — pour ce qui est de l'expédition des dispositifs de stockage portatifs excédentaires ou défectueux vers un site central (p. ex., le siège social) — pour garantir que des mesures de contrôle adéquates sont en place pour atténuer le risque d'accès aux données.

Réponse de la direction :

La recommandation est acceptée.

Plan d'action concernant l'élimination des dispositifs de stockage portables excédentaires ou défectueux

Statistique Canada révisera ses procédures en matière d'élimination des dispositifs de stockage portables excédentaires ou défectueux et évaluera le risque potentiel d'accès aux données en cas de vol ou de perte d'un dispositif non effacé lors du transfert vers le siège social. En fonction de cette évaluation du risque, Statistique Canada veillera si nécessaire à mettre en place des contrôles ou mesures de protection additionnelles pour réduire le risque d'accès aux données.

Date d'échéance prévue : 18 décembre 2015

Observations :

Statistique Canada utilise du matériel approuvé par le CSTC (des aimants puissants) pour démagnétiser (effacer) les disques durs des ordinateurs portables avant leur élimination. Bien que cela fournisse une certaine assurance que les disques durs sont bien effacés, les preuves documentaires confirmant que l'effacement a bien eu lieu ne sont pas conservées aux fins de vérification.

Conséquence :

Les organisations ont l'obligation de protéger les renseignements personnels dont elles ont la charge, à partir du moment de la collecte jusqu'à l'élimination des données par l'entremise d'un moyen sûr. L'utilisation de logiciels certifiés pour effacer le matériel, ou encore la destruction matérielle des dispositifs offrent la meilleure garantie à ce chapitre.

S'il n'y a pas de rapport de vérification généré par le logiciel — pour confirmer que l'effacement complet et sécuritaire a bien eu lieu — ou de confirmation de destruction du matériel (p. ex. un certificat), il n'y a pas de garantie que les renseignements personnels ont été éliminés de manière sécuritaire.

Recommandation :

Conserver des preuves documentaires — soit le rapport de confirmation généré par le mécanisme de nettoyage certifié, soit la confirmation de destruction du matériel — en tant que vérification visant à assurer que toutes les données sur les dispositifs de stockage portables excédentaires ou défectueux ont été éliminées de manière sécuritaire.

Réponse de la direction :

La recommandation est acceptée.

Plan d'action sur l'effacement ou l'élimination des dispositifs de stockage portables excédentaires ou défectueux

Statistique Canada révisera les procédures d'élimination pour vérifier qu'elles comprennent l'étape supplémentaire de conserver des preuves documentaires de l'effacement ou de l'élimination de dispositifs de stockage portables excédentaires ou défectueux. Le rapport de vérification fournira des garanties que les renseignements personnels ont été détruits de manière sécuritaire.

Date d'échéance prévue : 18 décembre 2015

SECTEUR D'EXAMEN II - CONTRÔLES DE SÉCURITÉ

ÉVALUATION DES RISQUES

Attente :

Les risques liés à la protection de la vie privée et à la sécurité inhérents à l'utilisation de dispositifs de stockage portables ont été évalués.

Observations :

L'organisme a évalué les risques entourant les dispositifs de stockage portables; divers contrôles ont été mis en œuvre pour réduire des risques précis.

Conséquence :

L'analyse des risques liés à la protection de la vie privée et à la sécurité permet de constater qu'il existe des menaces et des vulnérabilités potentielles liées à l'utilisation des dispositifs de stockage portables. Sans une telle analyse, l'institution pourrait ne pas corriger les points faibles et les lacunes qui doivent faire l'objet de mesures d'atténuation.

Recommandation :

Les risques en matière de sécurité et de protection des renseignements personnels ont été évalués en ce qui concerne l'utilisation de dispositifs de stockage portables; par conséquent, aucune recommandation n'est formulée.

CONTRÔLES DES TI

Attente :

Des contrôles logiques adéquats ont été mis en place pour protéger les renseignements personnels transférés ou stockés sur des dispositifs de stockage portables.

Observations :

L'organisme a mis en œuvre plusieurs contrôles pour protéger les renseignements personnels qui sont transmis et conservés sur des dispositifs de stockage portables, y compris :

  • le cryptage des ordinateurs portables et des dispositifs de stockage USB;
  • les privilèges d'administrateurs locaux sont limités, ce qui empêche les utilisateurs d'installer des applications non autorisées;
  • les paramètres de mot de passe sont solides;
  • l'utilisation de dispositifs de stockage USB non autorisés est bloquée.

Conséquence :

L'application de contrôles logiques adéquats est essentielle à la protection des données contenues dans les dispositifs de stockage portables. En l'absence de tels contrôles, il existe un risque accru de communication non autorisée de renseignements personnels. Cela pourrait porter préjudice aux parties touchées, et nuire à la confiance du public à l'égard de la capacité de l'institution de protéger les renseignements personnels.

Recommandation :

Les contrôles existants examinés dans le cadre de l'évaluation ont été jugés adéquats; par conséquent, aucune recommandation n'est formulée.

SECTEUR D'INTÉRÊT III : GESTION DE LA PROTECTION DE LA VIE PRIVÉE ET RESPONSABILISATION

CADRE STRATÉGIQUE

Attente :

Des politiques ont été mises en place pour régir l'utilisation de dispositifs de stockage portables conformément aux exigences et pratiques exemplaires du gouvernement du Canada en matière de sécurité.

Observations :

Statistique Canada a mis en place un certain nombre de politiques et de directives qui, ensemble, constituent son cadre de gestion des dispositifs de stockage portables. La Politique sur la sécurité des TI de l'organisme, son Manuel des pratiques de sécurité, sa Politique sur la protection des renseignements personnels et la confidentialité et sa Directive sur la sécurité des renseignements statistiques de nature délicate sont les principaux documents de gouvernance à cet égard.

Lorsqu'on les évalue dans leur ensemble, les instruments existants portent sur tous les types de dispositifs de stockage portables, la responsabilité de protéger les biens de TI, le type d'information qui peut être conservé sur un dispositif, ainsi que l'exigence de signaler la perte ou le vol d'un dispositif. L'utilisation de dispositifs personnels est abordée.

Bien que la politique de Statistique Canada interdise l'utilisation de dispositifs de stockage portables, les réponses fournies ont confirmé que la politique n'était pas toujours respectée. Plus précisément, certains fonctionnaires se servent de tablettes personnelles pour prendre des notes.

Conséquence :

La mise en place de politiques robustes sur la sécurité est essentielle à la protection des biens organisationnels, y compris les renseignements personnels. Ces politiques établissent le cadre de l'organisation qui vise à assurer le respect de ses obligations législatives et administratives. De plus, en établissant une reddition de compte et des responsabilités connexes, elles procurent un mécanisme qui intègre la protection des renseignements personnels aux activités quotidiennes.

L'absence de politiques bien définies peut conduire à des pratiques de gestion des renseignements inadéquates et non uniformes.

Recommandation :

Faire en sorte que tous les employés respectent la politique de l'organisation sur l'utilisation de dispositifs de stockage portables personnels.

Réponse de la direction :

La recommandation est acceptée.

Plan d'action pour interdire l'utilisation de dispositifs de stockage portables personnels pour conserver des renseignements personnels

Pour répondre à cette recommandation, Statistique Canada révisera son matériel de formation et de sensibilisation en vue de sensibiliser le personnel sur les rôles et responsabilités des employés et des gestionnaires dans l'exercice d'un niveau approprié de diligence lorsqu'il s'agit de ne pas utiliser de dispositifs personnels au travail pour stocker des renseignements personnels.

Comme mesure connexe, Statistique Canada a distribué 800 ordinateurs portables jusqu'à présent (plutôt que des ordinateurs de bureau) qui offrent une plus grande mobilité aux utilisateurs qui en ont besoin tout en assurant que les renseignements personnels sont conservés de manière sécuritaire. Statistique Canada a également lancé un projet pilote sur les tablettes qui offre une option sécuritaire aux usagers très mobiles qui, dans le cadre de leur travail, ont besoin de prendre des notes pouvant contenir des renseignements personnels lors de réunions.

Date d'échéance prévue : 18 décembre 2015

FORMATION ET SENSIBILISATION

Attente :

Les employés, y compris le personnel contractuel, sont informés des utilisations acceptables des dispositifs de stockage portables, et des risques entourant leur utilisation.

Observations :

L'organisme a mis en œuvre une formation obligatoire de sensibilisation à la sécurité pour ses employés. La formation souligne l'obligation qu'ont les employés de se conformer aux pratiques en matière de sécurité physique et informatique qui sont en vigueur afin de protéger la confidentialité et l'information protégée. Si elle demande également aux employés de signaler les atteintes à la sécurité, elle ne leur indique pas explicitement de signaler la perte ou le vol de dispositifs de stockage portables (DSP). De plus, la formation ne traite pas de la politique de l'organisme en matière d'utilisation de dispositifs personnels.

Des communiqués sur l'utilisation acceptable des DSP viennent s'ajouter à la formation obligatoire.

Lorsque des dispositifs USB cryptés sont distribués, les utilisateurs ne sont pas tenus de signer une entente décrivant les conditions d'utilisation du dispositif.

Conséquence :

La conformité à l'esprit et aux exigences de la Loi sur la protection des renseignements personnels est largement tributaire de la compréhension qu'en ont les employés qui traitent ces renseignements.

En ce qui concerne l'utilisation des dispositifs de stockage portables, les employés doivent être informés des politiques et des procédures applicables de l'organisation, ainsi que des rôles et responsabilités qui leur incombent pour s'assurer que ces instruments fonctionnent comme prévu. Sans une compréhension claire à cet égard, il existe un risque que les employés n'exercent pas le niveau de diligence requis lorsqu'ils gèrent des renseignements personnels stockés sur des dispositifs portables, ce qui pourrait mener à une atteinte à la protection des renseignements personnels.

Recommandation :

S'assurer que tous les employés, y compris le personnel contractuel, connaissent les politiques qui régissent l'utilisation des dispositifs de stockage portables, et fournir des conseils pour atténuer les risques inhérents à l'utilisation de ces dispositifs.

Réponse de la direction :

La recommandation est acceptée.

Plan d'action sur la formation et la sensibilisation en matière d'utilisation de dispositifs portables

Pour répondre à cette recommandation, Statistique Canada mettra à jour le contenu de son cours obligatoire en ligne sur la sensibilisation à la confidentialité afin d'aborder les sujets suivants :

  • L'exigence de signaler la perte ou le vol de dispositifs de stockage portables, et pourquoi c'est important.
  • L'exigence de ne pas utiliser de dispositifs personnels au travail pour enregistrer des renseignements personnels, et pourquoi c'est important.

Pour chaque dispositif USB doté de cryptage qui sera distribué, Statistique Canada demandera à l'employé de signer électroniquement une entente sur l'utilisation du dispositif USB qui comprend les conditions d'utilisation du dispositif. L'entente sur l'utilisation sera renouvelée annuellement pour chaque dispositif assigné à un utilisateur.

Date d'échéance prévue : 18 décembre 2015

INCIDENTS DE SÉCURITÉ - ATTEINTES À LA VIE PRIVÉE

Attente :

Des procédures d'intervention en cas d'incident ont été mises en œuvre pour les accès non autorisés aux données (divulgation inappropriée de renseignements personnels) découlant de la perte ou du vol de dispositifs de stockage portables.

Observations :

Des procédures sont en place pour réagir en cas d'incident de sécurité mettant en cause la perte ou le vol d'un dispositif de stockage portable.

L'obligation de signaler des incidents de sécurité de TI est inscrite dans la Directive sur la sécurité des renseignements statistiques de nature délicate de l'organisme ainsi que dans sa Politique sur la protection des renseignements personnels et la confidentialité, son Manuel sur les pratiques de sécurité et son protocole en cas d'atteinte à l'information et à la vie privée.

Si un incident de sécurité se traduit par une atteinte à la vie privée, le protocole en cas d'atteinte à la vie privée de Statistique Canada est enclenché. Les éléments clés du protocole comprennent : l'endiguement de l'atteinte, l'évaluation de son incidence, le signalement et la prévention.

Conséquence :

Une organisation a la responsabilité de protéger les renseignements personnels qui sont sous son contrôle. Dans le cas de pertes de données présumées ou confirmées, l'organisation a l'obligation d'enquêter sur ce qui s'est passé. Les procédures d'intervention en cas d'incident sont des éléments clés de l'infrastructure administrative.

En l'absence d'un protocole établi pour intervenir en cas de violation potentielle ou réelle de la confidentialité, il existe un risque que les répercussions ne soient pas pleinement comprises et qu'elles soient minimisées, et que des mesures adéquates ne soient pas mises en place pour atténuer le risque que la situation se reproduise.

Recommandation :

Des procédures d'intervention en cas de communication inappropriée de renseignements personnels sont en place; par conséquent, aucune recommandation n'est formulée.

 

Date de modification :