Sélection de la langue

Government of Canada / Gouvernement du Canada

Cadre de gestion du partage des nouvelles capacités du CST

De : Centre de la sécurité des télécommunications Canada

Objectif

Le Cadre de gestion du partage des nouvelles capacités du Centre de la sécurité des télécommunications (CST) (ci-après désigné par l’expression « le Cadre ») fait état d’un processus décisionnel normalisé permettant à des spécialistes du CST d’étudier l’information disponible dans le but d’assurer une gestion responsable des nouvelles capacités associées à une vulnérabilité relevée dans un système d’information ou dans une technologie, tout en considérant la sécurité du Canada et des Canadiennes et Canadiens comme la principale priorité.

Contexte

Lorsqu’elles et ils exercent les mandats opérationnels du CST, les analystes peuvent identifier, dans des systèmes d’information ou des technologies, des vulnérabilités qui pourraient accroître les risques auxquels sont exposés l’information et les réseaux canadiens. Dans certains cas, ces mêmes vulnérabilités pourraient être mises à contribution dans le but de recueillir du renseignement permettant d’assurer la protection du Canada et des Canadiennes et Canadiens, ou de mener des cyberopérations étrangères essentielles aux intérêts du Canada en matière d’affaires internationales, de défense ou de sécurité.

Selon le présent Cadre, il est établi que la protection des systèmes et technologies de l’information, d’une part, et la mise à profit d’information privilégiée aux fins de collecte de renseignement, d’autre part, constituent des volets distincts, mais complémentaires du mandat du CST. En l’occurrence, la non-divulgation d’une vulnérabilité doit tenir compte des risques pour la sécurité des systèmes et des technologies de l’information sur lesquels les Canadiennes et Canadiens sont en droit de compter. La décision de divulguer ou de taire une vulnérabilité se fonde exclusivement sur l’objectif consistant à optimiser la protection du Canada et des Canadiennes et Canadiens.

Principes

Les évaluations menées en considération du Cadre se veulent objectives et observent les principes suivants :

  • Les vulnérabilités découvertes par le CST pendant ses propres recherches opérationnelles ou en d’autres circonstances sont soumises au processus décrit dans le présent Cadre.
  • Les vulnérabilités qui sont déjà d’intérêt public ne seront pas soumises à l’évaluation des nouvelles capacités qui est décrite dans le présent Cadre.
  • À la suite de la décision de divulguer une vulnérabilité, le CST fait preuve de discernement dans sa façon de signaler les vulnérabilités aux fournisseurs concernés. Ainsi, les responsables et les opérateurs de systèmes seront en mesure d’appliquer les mesures d’atténuation qui s’imposent avant la publication d’avis publics. Dans certains cas particuliers, le CST peut choisir de reporter la prise de mesures, à la suite de la divulgation d’une vulnérabilité, si une analyse de l’environnement révèle un risque élevé pour le Canada et les Canadiennes et Canadiens en cas de divulgation. Les divulgations reportées pourront reprendre une fois que le risque aura diminué ou aura été atténué.
  • Les décisions doivent être liées au mandat du CST défini dans la Loi sur le CST.

Toute décision menant à la non-divulgation de vulnérabilités doit être analysée au moins tous les douze (12) mois à compter de la date à laquelle ladite décision a été approuvée suivant l’application du Cadre. Dès lors que de nouvelles informations pertinentes sont révélées relativement à des vulnérabilités ou à des mesures d’atténuation, le CST procède à une réévaluation de la décision dans les meilleurs délais.

Processus d’évaluation

Le Cadre définit clairement les rôles des personnes participant au processus d’évaluation.

Comité technique

Le Comité technique, formé de spécialistes provenant du Centre canadien pour la cybersécurité (Centre pour la cybersécurité), du Secteur du renseignement électromagnétique (SIGINT) et du Secteur des stratégies d’entreprise innovantes et développement de la recherche (SEIDR) :

  • signale les vulnérabilités relevées le plus tôt possible;
  • procède à une évaluation spécialisée des vulnérabilités relevées afin de déterminer le niveau de risque, les effets possibles et les mesures d’atténuation (voir plus loin);
  • enrichit les évaluations en formulant des recommandations à l’intention du Comité d’examen des nouvelles capacités.

Comité de révision des nouvelles capacités

Le Comité, co-présidé par deux directrices générales ou directeurs généraux (DG) dont l’un représente le Centre pour la cybersécurité et l’autre, le SIGINT :

  • examine les évaluations et les recommandations formulées par le comité technique et, s’il y a lieu, demande de plus amples éclaircissements;
  • tente de dégager un consensus concernant la nouvelle capacité et, sinon, s’en remet à la décision des personnes occupant les postes de dirigeante principale ou dirigeant principal, ou de dirigeante associée ou dirigeant associé du Centre pour la cybersécurité, et de chef adjointe ou adjoint (CA) du SIGINT;
  • fait rapport auprès de la dirigeante principale, du dirigeant principal, de la dirigeante associée ou du dirigeant associé du Centre pour la cybersécurité, ainsi que de la ou du CA SIGINT, concernant les décisions prises par le Comité de révision des nouvelles capacités.

Ce comité est composé de directrices ou directeurs et de directrices générales ou directeurs généraux représentant le Centre pour la cybersécurité, le SIGINT, les SEIDR, la Gendarmerie royale du Canada (GRC) et le Service canadien du renseignement de sécurité (SCRS).

Dirigeante principale, dirigeant principal, dirigeante associée ou dirigeant associé du Centre pour la cybersécurité, et CA SIGINT

  • Prennent en considération l’ensemble des informations pertinentes et tentent d’en arriver à une décision consensuelle portant sur la nouvelle capacité, et ce, dans la mesure où les membres du Comité de révision des nouvelles capacités n’y sont pas parvenues et parvenus;
  • S’en remettent à la chef ou au chef du CST lorsqu’on ne parvient pas à un consensus concernant la gestion du partage des nouvelles capacités.
  • Reçoivent et revoient les rapports courants soumis par le Comité de révision des nouvelles capacités.

Chef du CST

La ou le chef étudie les décisions prises par la dirigeante principale, le dirigeant principal, la dirigeante associée ou le dirigeant associé du Centre pour la cybersécurité, et par la chef adjointe ou le chef adjoint du SIGINT.

Examen

Toutes les activités du CST, y compris les décisions prises à l’égard des nouvelles capacités en vertu du Cadre, sont assujetties au robuste système de surveillance indépendante du CST, qui comprend l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) et le Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR).

Facteurs à prendre en compte aux fins d’évaluation des nouvelles capacités

Les facteurs suivants constituent le minimum à prendre en compte lorsqu’il s’agit d’évaluer les nouvelles capacités :

  • La vulnérabilité concerne-t-elle un système ou une technologie de l’information employé au sein du gouvernement du Canada ou les infrastructures essentielles du gouvernement du Canada?
  • La vulnérabilité, si elle n’affecte pas le gouvernement du Canada ou les infrastructures essentielles du Canada, touche-t-elle des systèmes d’information ou des technologies de l’information employés à grande échelle au Canada?
  • Des adversaires disposent-ils de moyens permettant d’exploiter ladite vulnérabilité aux dépens des réseaux canadiens? Si oui, qui sont ces adversaires?
  • Quel est le degré d’expertise ou de sophistication qui est requis pour exploiter la vulnérabilité aux dépens des réseaux canadiens?
  • Quel est le degré de gravité des dommages qui pourraient survenir si la vulnérabilité devait être exploitée par une auteure ou un auteur de menace?
  • Quelle serait la valeur découlant de la non-divulgation d’une vulnérabilité pour les activités du CST réalisées dans le cadre de son mandat, dans le contexte des intérêts du Canada en matière de prospérité et de sécurité nationale?
  • Le CST dispose-t-il de capacités semblables qui permettraient d’atteindre les mêmes objectifs que ceux visés par la non-divulgation de la vulnérabilité?
  • Existe-t-il des mesures d’atténuation qui peuvent réduire l’impact de la vulnérabilité sur les systèmes et les technologies de l’information du gouvernement du Canada ou sur les infrastructures essentielles du Canada? Selon les informations disponibles, peut-on également établir si lesdites mesures d’atténuation seraient aptes à réduire l’impact éventuel sur les systèmes et technologies employés à grande échelle au Canada?
  • Dans quelle mesure une entité du secteur privé serait-elle apte et disposée à atténuer la vulnérabilité qui a été relevée dans son produit? Le CST dispose-t-il des capacités et des pouvoirs lui permettant d’intervenir dans ce processus d’atténuation?
  • Ladite vulnérabilité a-t-elle été signalée par un partenaire du gouvernement du Canada, et a-t-elle déjà fait l’objet d’un processus d’évaluation semblable visant les nouvelles capacités?

Définitions

  • Vulnérabilité Faiblesse ou lacune relevée dans la conception, l’implantation, l’exploitation ou la gestion d’un système d’information ou de technologies de l’information; cette faiblesse ou cette lacune pourrait permettre à un utilisateur non autorisé d’accéder audit système et de compromettre la confidentialité, l’intégrité ou la disponibilité de l’information.
  • Souci de protection Caractéristiques de la vulnérabilité relevée qui exposent les systèmes et les technologies de l’information employés par le gouvernement fédéral et par les infrastructures essentielles à des risques de compromission par un utilisateur non autorisé. Le souci de protection est proportionnel à l’impact que la vulnérabilité pourrait avoir sur lesdits systèmes et sur les réseaux; plus le souci de protection est important, plus le CST a intérêt à atténuer les risques de sécurité que pose ladite vulnérabilité.
  • Mesures d’atténuation consécutives au souci de protection Une ou plusieurs mesures employées par le CST dans le but d’atténuer le souci de protection consécutif à la non-divulgation d’une vulnérabilité aux fins de collecte de renseignement ou d’autres objectifs opérationnels. Ces mesures peuvent donner lieu à l’élaboration de mesures d’atténuation qui pourraient être déployées dans les systèmes et technologies de l’information du gouvernement fédéral ou dans les infrastructures essentielles du Canada.
  • Évaluation des nouvelles capacités Établissement du niveau de risque de sécurité présenté par le souci de protection consécutif à une vulnérabilité relevée; appréciation de la valeur du renseignement attribuable à la vulnérabilité.
  • Analyse de l’environnement Détermination par le CST de la mesure dans laquelle un fournisseur est capable d’agir de manière responsable en cas de divulgation d’une vulnérabilité.
Date de modification :