Le gouvernement canadien lance un programme de certification en cybersécurité

L’une des principales leçons à tirer de l’analyse rétrospective de l’atteinte à la sécurité de Target est qu’une organisation devrait systématiquement procéder à une évaluation de la posture de sécurité de l’information des tiers fournisseurs de services, définir des exigences contractuelles en matière de sécurité et vérifier la conformité de ses fournisseurs à ces exigences tout au long de la prestation de services. Il n’y a, de façon générale, aucune bonne raison pour que nous soyons au courant de l’existence de Fazio Mechanical Services…1

L’évaluation de l’adéquation et de la suffisance des mesures et des contrôles de sécurité peut nécessiter des efforts et des ressources considérables, c’est pourquoi il est utile de pouvoir bénéficier de certifications et de rapports d’audit de tierces parties. 

Une récente initiative du gouvernement fédéral offrira une nouvelle alternative aux entreprises des deux côtés de la relation client/fournisseur de services. Lancé le 12 août 2019, CyberSécuritaire Canada est un programme fédéral de certification en cybersécurité (le « Programme ») administré par Innovation, Sciences et Développement économique Canada (« ISDE »). 

Le programme vise à :

  • établir une base de référence nationale en matière de cybersécurité parmi les entreprises canadiennes,
  • accroître la confiance des consommateurs dans l’économie numérique,
  • promouvoir la normalisation internationale et mieux positionner les entreprises canadiennes pour qu’elles puissent soutenir la concurrence à l’échelle mondiale. 

Bien que conçue pour les petites et moyennes entreprises (« PME »), toute organisation peut faire une demande de certification. 

Dans le cadre du Programme, une organisation doit démontrer à un organisme de certification qu’elle se conforme à certains contrôles de sécurité de base. Une fois qu’un organisme de certification accrédité certifie une entreprise, l’ISDE procédera à son enregistrement et elle aura le droit de se présenter comme « certifiée par CyberSécuritaire Canada » en affichant une marque de certification émise par le gouvernement fédéral. Les entreprises certifiées seront également inscrites dans un registre public. La certification est valide pendant deux ans. 

Le Programme est actuellement dans sa phase pilote en attendant l’établissement de la « Norme nationale du Canada », (« NNC) »), qui sera fondée sur la version actuelle des « contrôles de base de la cybersécurité pour les petites et moyennes organisations » (les « contrôles de base ») élaborés par le Centre canadien pour la cybersécurité. La phase pilote devrait durer entre 18 et 24 mois. 

L’équipe de CyberSécuritaire Canada indique travailler en étroite collaboration avec les entreprises intéressées pour les aider à élaborer et à peaufiner les processus et les étapes nécessaires à la certification. Pour s’inscrire à la phase pilote, une entreprise doit communiquer avec l’équipe de CyberSécuritaire Canada à l’ISDE. 

Les contrôles de base portent à la fois sur des questions de sécurité non techniques (p. ex. politiques de sécurité et plans d’intervention) et techniques, qu’elles soient internes (p. ex. défense du périmètre) ou externes (p. ex. services infonuagiques protégés). 

Pour devenir un organisme de certification aux fins du Programme, le Conseil canadien des normes (CCN) doit accréditer un organisme. Jusqu’à présent, il y a six organismes accrédités. 

Le processus d’accréditation comporte un certain nombre d’étapes et les exigences varient selon la portée des travaux pour lesquels l’accréditation est demandée. Les organismes qui souhaitent faire une demande d’accréditation à titre d’OC dans le cadre du Programme doivent communiquer avec les Services d’accréditation du CCN pour obtenir de plus amples renseignements, y compris une trousse de demande d’accréditation. 

La province du Nouveau-Brunswick avait déjà mis sur pied Cyber Essentiels Canada (« CEC »), un programme géré par CyberNB, un organisme du gouvernement de la province du Nouveau-Brunswick, qui offre également un cadre de certification en matière de cybersécurité. On s’attend à ce que le CEC soit intégré à CyberSécuritaire Canada sous la supervision exclusive de l’ISDE une fois la phase pilote achevée.2



1 Fazio Mechanical Services était un fournisseur de Target. Le piratage de Target a été déclenché par l’utilisation des titres de compétence compromis d’un de ses employés.
2 Voir par exemple : https://cyberessentialscanada.ca/daccueil.htm et https://www.itbusiness.ca/news/federal-government-launches-cybersecurity-certification-program-for-smbs/111888.

Flèche vers le haut Montez