Cadre de gestion du partage des nouvelles capacités du CST

Objet

Le Cadre de gestion du partage des nouvelles capacités du Centre de la sécurité des télécommunications (CST) (ci-après désigné par l’expression « le Cadre ») fait état d’un processus décisionnel normalisé permettant à des experts du CST d’étudier l’information disponible, dans le but d’assurer une gestion responsable des nouvelles capacités associées à une vulnérabilité relevée dans un système d’information ou dans une technologie, tout en considérant la sécurité du Canada et des Canadiens comme principale priorité.

Contexte

Lorsqu’ils exercent les mandats opérationnels du CST, les analystes peuvent identifier – dans des systèmes d’information ou des technologies – des vulnérabilités qui pourraient accroître les risques auxquels s’exposent l’information et les réseaux canadiens. Dans certains cas, ces mêmes vulnérabilités pourraient être mises à contribution dans le but de recueillir du renseignement permettant d’assurer la protection du Canada et des Canadiens.

Selon le présent Cadre, il est établi que la protection des systèmes et technologies de l’information, d’une part, et la mise à profit d’informations privilégiées aux fins de collecte de renseignement, d’autre part, constituent des volets distincts, mais complémentaires du mandat du CST. En l’occurrence, la non-divulgation d’une vulnérabilité doit tenir compte des risques pour la sécurité des systèmes et technologies de l’information sur lesquels les Canadiens sont en droit de compter. La décision de divulguer ou de taire une vulnérabilité se fonde exclusivement sur l’objectif consistant à optimiser la protection du Canada et des Canadiens.

Principes

Les évaluations menées en considération du Cadre se veulent objectives et observent les principes suivants :

  • Les vulnérabilités découvertes par le CST – pendant ses propres recherches opérationnelles ou en d’autres circonstances – sont soumises au processus décrit dans le présent Cadre.
  • Les vulnérabilités qui sont déjà d’intérêt public ne sont pas soumises à l’évaluation des nouvelles capacités, qui est décrite dans le présent Cadre.
  • Suivant la décision de divulguer, le CST fait preuve de discernement dans sa façon de signaler les vulnérabilités aux fournisseurs concernés. Ainsi, les responsables et les opérateurs de systèmes seront en mesure d’appliquer les mesures d’atténuation qui s’imposent avant la publication d’avis publics.
  • La non-divulgation de vulnérabilités doit permettre de soutenir les besoins prépondérants du gouvernement du Canada en matière de renseignement.
  • Les vulnérabilités propres aux systèmes et technologies de l’information employés exclusivement par des entités étrangères ne sont pas soumises aux termes du présent Cadre de gestion du partage des nouvelles capacités, puisqu’elles ne posent aucun risque, ni pour le Canada ni pour les Canadiens.

Toute décision menant à la non-divulgation de vulnérabilités doit être analysée au moins tous les douze (12) mois à compter de la date à laquelle ladite décision a été approuvée suivant l’application du Cadre. Dès lors que de nouvelles informations pertinentes sont révélées relativement à des vulnérabilités ou à des mesures d’atténuation, le CST procède à une réévaluation de ladite décision.

Le processus d’évaluation

Comité technique, formé d’experts provenant du Centre canadien pour la cybersécurité (CCC) et du Renseignement électromagnétique (SIGINT pour Signals Intelligence)

  • Signaler les vulnérabilités relevées le plus tôt possible.
  • Procéder à une expertise visant les vulnérabilités relevées pour en évaluer le niveau de risque ainsi que les effets possibles, et pour définir des mesures d’atténuation (voir plus loin).
  • Enrichir les évaluations en formulant des recommandations à l’intention du Comité de révision des nouvelles capacités.

Comité de révision des nouvelles capacités, présidé conjointement par les directeurs généraux (DG) du CCC et du SIGINT

  • Examiner les évaluations et les recommandations formulées par le comité technique et, s’il y a lieu, demander de plus amples éclaircissements.
  • Tenter de dégager un consensus concernant la nouvelle capacité, sinon s’en remettre à la décision du dirigeant principal du CCC et du chef adjoint (CA) du SIGINT.
  • Faire rapport auprès du dirigeant principal du CCC et du CA SIGINT concernant les décisions prises par le Comité de révision des nouvelles capacités.

Dirigeant principal du CCC et CA SIGINT

  • Prendre en compte l’ensemble des informations pertinentes et tenter d’en arriver à une décision consensuelle portant sur la nouvelle capacité, et ce, dans la mesure où les membres du Comité de révision des nouvelles capacités n’y sont pas parvenus.
  • S’en remettre au chef du CST, lorsqu’on ne parvient pas à un consensus concernant la gestion du partage des nouvelles capacités.
  • Recevoir et examiner les rapports courants soumis par le Comité de révision des nouvelles capacités.

Chef du CST

  • Étudier les décisions prises par le dirigeant principal du CCC et le CA SIGINT concernant les nouvelles capacités.

Examen

  • Toutes les activités du CST, y compris les décisions prises à l’égard des nouvelles capacités en vertu du Cadre, sont assujetties à l’examen du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) et du Bureau du commissaire du CST (BCCST).

Facteurs à prendre en compte aux fins d’évaluation des nouvelles capacités

Les facteurs suivants constituent le minimum à prendre en compte lorsqu’il s’agit d’évaluer les nouvelles capacités.

  • Ladite vulnérabilité concerne-t-elle les infrastructures essentielles du Canada ou encore un système ou une technologie de l’information employés au sein du gouvernement du Canada?
  • Ladite vulnérabilité – dès lors qu’elle n’a été relevée ni dans les systèmes ou les technologies du gouvernement fédéral ni dans les infrastructures essentielles du Canada – peut-elle être décelée dans les systèmes ou technologies de l’information employés à grande échelle, au Canada?
  • Des adversaires disposent-ils de moyens permettant d’exploiter ladite vulnérabilité aux dépens des réseaux canadiens? Si oui, qui sont ces adversaires?
  • Quel est le degré d’expertise technique ou de sophistication qui est requis pour exploiter la vulnérabilité aux dépens des réseaux canadiens?
  • Quel est le degré de gravité des dommages qui pourraient survenir si la vulnérabilité devait être exploitée par un auteur malveillant?
  • Quelle est la valeur de renseignement attendue de la non-divulgation d’une vulnérabilité dans le contexte de la sécurité du Canada et des Canadiens?
  • Le CST dispose-t-il de capacités semblables qui permettraient d’atteindre les mêmes objectifs que ceux visés par la non-divulgation de la vulnérabilité?  
  • Existe-t-il des mesures d’atténuation qui puissent réduire l’impact de la vulnérabilité sur les systèmes et technologies de l’information du gouvernement du Canada ou sur les infrastructures essentielles du Canada? Selon les informations disponibles, peut-on également établir si lesdites mesures d’atténuation seraient aptes à réduire l’impact éventuel sur les systèmes et technologies employées dans l’ensemble du Canada?
  • Dans quelle mesure une entité du secteur privé serait-elle apte et disposée à atténuer la vulnérabilité qui a été relevée dans son produit? Le CST dispose-t-il des capacités et des pouvoirs lui permettant d’intervenir dans ce processus d’atténuation?
  • Ladite vulnérabilité a-t-elle été signalée par un partenaire allié, et a-t-elle déjà fait l’objet d’un processus d’évaluation semblable visant les nouvelles capacités?

Définitions

Voici la définition de quelques termes clés employés dans le présent Cadre :

  • Évaluation des nouvelles capacités : établissement du niveau de risque de sécurité présenté par le souci de protection consécutif à une vulnérabilité relevée; appréciation de la valeur de renseignement attribuable à la vulnérabilité.
  • Souci de protection : caractéristiques de la vulnérabilité relevée qui exposent les systèmes et les technologies de l’information employés par le gouvernement fédéral et par les infrastructures essentielles à des risques de compromission par un utilisateur non autorisé. Le souci de protection est proportionnel à l’impact que la vulnérabilité pourrait avoir sur lesdits systèmes et sur les réseaux. Plus le souci de protection est important, plus le CST a intérêt à atténuer les risques de sécurité que pose ladite vulnérabilité.
  • Mesures d’atténuation consécutives au souci de protection : une ou plusieurs mesures employées par le CST dans le but d’atténuer le souci de protection consécutif à la non-divulgation de la vulnérabilité aux fins de collecte de renseignement ou d’autres objectifs opérationnels. Ces mesures peuvent donner lieu à l’élaboration de mesures d’atténuation qui pourraient être déployées dans les systèmes et technologies de l’information du gouvernement fédéral ou dans les infrastructures essentielles du Canada.
  • Vulnérabilité : faiblesse ou lacune relevée dans la conception, l’implantation, l’exploitation ou la gestion d’un système d’information ou de technologies de l’information; cette faiblesse ou lacune pourrait permettre à un utilisateur non autorisé d’accéder audit système ou auxdites technologies et, par conséquent, de compromettre la confidentialité, l’intégrité ou la disponibilité de l’information.