Septembre 2004Rapport du SNDPI de la PI1 Mise à jour du Sous-comité national des DPI sur la protection de linformation (SNDPI) au CDPISP Winnipeg 27 septembre 2004
Septembre 2004Rapport du SNDPI de la PI - Septembre Mise à jour sur les menaces et les risques État davancement du plan daction du CDPISP Autres activités Résumé des demandes
Septembre 2004Rapport du SNDPI de la PI - Septembre Mise à jour sur les menaces et les risques Mauvaises nouvelles –On relève encore un grand nombre de vulnérabilités –Les attaques du jour zéro approchent –Les personnes sont les plus vulnérables Bonnes nouvelles –La plupart des administrations ont fait de grands progrès dans la création de mécanismes de correction efficaces pour remédier aux vulnérabilités –Des incidents se sont produits dans certaines administrations mais il ny a pas eu dincident national majeur au cours de la dernière année
Septembre 2004Rapport du SNDPI de la PI - Septembre Outil dautoévaluation commun Tâche : Concevoir un outil dautoévaluation commun permettant aux administrations : –1.dévaluer létat général de la sécurité –2.de déterminer les lacunes et détablir les priorités; –3.de contribuer à lélaboration dun plan pour lamélioration des pratiques de sécurité de la TI; –4.détablir une valeur de base pour déterminer les améliorations nécessaires et mesurer les progrès à venir; –5.de stimuler le dialogue sur les pratiques de sécurité dans les administrations et entre elles Situation –Lanalyse des besoins sest terminée en mars 2004 –Les questions de base ont été élaborées en fonction de la norme ISO –Les administrations pourraient ajouter des questions plus précises mais les questions communes serviront de base à toute analyse comparative Projets pour –Des consultants seront embauchés par le Sous-comité pour la conception dun outil dautoévaluation et dun guide de lutilisateur pouvant être utilisés par toutes les administration, ainsi que pour ladaptation et la traduction de loutildu Québec –Projet pilote initial en collaboration avec lAlberta, lI.-P.-É. et 3 municipalités –Une analyse comparative anonyme pourrait être menée à léchelle nationale (les administrations connaîtraient leurs résultats et la moyenne nationale) – les résultats sommaires pourraient être présentés à Lac Carling Budget –Attribué (en septembre 2003) : $ –Dépenses jusquà maintenant : $ + TPS –Activités courantes (conception de loutil) : $ +TPS le DPI du N.-B. a demandé lautorisation dutiliser les fonds du CDPISP pour le paiement
Septembre 2004Rapport du SNDPI de la PI - Septembre Formation et sensibilisation Tâche : Appuyer les initiatives de formation continue et de sensibilisation aux questions de sécurité de la TI à tous les échelons et dans toutes les administrations Situation –Participation active des administrations aux efforts de sensibilisation et de formation –Partage des plans et des stratégies –Publics cibles multiples – employés, personnel de la TI, gestionnaires, cadres supérieurs, grand public (dans certains cas) –Retard dans la sensibilisation et la formation des cadres supérieurs par rapport aux autres –Les administrations estiment que le niveau de formation et de sensibilisation atteint équivaut à moins de la moitié du niveau souhaité –Activités spécifiques du SNDPI Présentation à Lac Carling Présentation prévue à la conférence sur la technologie de la MISA Plans pour –Poursuivre les efforts entrepris par chacune des administrations –Mettre en commun les stratégies, les plans et les outils efficaces –Collaboration entre les DPI et les membres du SNDPI afin daugmenter : les niveaux de sensibilisation lappui des gestionnaires et des cadres supérieurs aux programmes de formation et de sensibilisation –Conception doutils de sensibilisation communs – traduire et reproduire les excellents vidéos de sensibilisation conçus par le Québec Fonds demandés : $ pour la traduction des vidéos du Québec
Septembre 2004Rapport du SNDPI de la PI - Septembre Guide de classification de sécurité du secteur public Tâche : Guide de classification de sécurité du secteur public Partenaires : Sous-comité de la protection des renseignements personnels/ responsables de la gestion des documents/archivistes But –faciliter le partage des renseignements électroniques entre les instances gouvernementales canadiennes en mettant les classifications de sécurité en rapport avec ce guide commun lorsque les renseignements électroniques sont partagés –Situation –Sous la direction du GC (SCT) et de la Nouvelle-Écosse, le Guide a été mis au point et vérifié avec les administrations et le sous-comité de la protection des renseignements personnels Des modifications ont été apportées en à la suite de vastes consultations menées au sein des administrations (avec la participation des spécialistes de la protection des renseignements personnels, des responsables de la gestion des documents et des archivistes) le Guide sera de nouveau modifié en mars 2004 dans le cadre d une consultation avec le Sous-comité de la protection des renseignements personnels – le Sous-comité appuie lutilisation du Guide en tant que document de sécurité par les administrations dans la mesure où elles estiment quil répond à leurs besoins –Utilisations du Guide jusquà maintenant Groupe de travail de lIAA - lignes directrices sur le niveau dassurance pour lélément de la chaîne de confiance relatif à lauthentification Contribution aux schémas de classification de sécurité en Saskatchewan, à lI.-P.-É., en Ontario et au N.-B. Demande dapprobation – lorsque le Guide sera complet et prêt à être publié –Guide et note d information présentés séparément
Septembre 2004Rapport du SNDPI de la PI - Septembre Coordination des normes sappliquant aux STI Tâches : Coordination des normes sappliquant aux STI, y compris ladoption de normes nationales et internationales (p. ex. NIST, ISO 17799) Situation –Certaines administrations ont choisi ISO comme fondement de leur programme de sécurité –La plupart des administrations utilisent aussi dautres normes (NIST, GMITS, etc.) Approche recommandée –Encourager lutilisation de la norme ISO révisée dans chaque administration. Les administrations devraient avoir le choix dutiliser la norme pour encadrer leurs politiques de sécurité ou comme guide de référence, avec dautres normes –Compléter la norme avec dautres documents dorientation produits par des organisations comme le NIST et lISO pour obtenir un programme de sécurité plus complet. –Adopter ISO comme principale norme de référence commune pour reconnaître la position de sécurité des partenaires et pour établir des dispositifs de sécurité avec eux et avec dautres administrations –Continuer dappuyer la conception dun outil dévaluation commun fondé sur ISO –Surveiller lévolution dun « processus de certification » commun Des renseignements plus détaillés sont donnés dans un document distinct
Septembre 2004Rapport du SNDPI de la PI - Septembre Feuille de route du CIPCC Tâche : Dresser une feuille de route du CCCPI et déterminer les mesures de coordination à court terme pour la surveillance et lanalyse intergouvernementales, la communication des incidents et les processus dintervention Partenaire : SPPCA Situation –SPPCA a été avisé officiellement que la feuille de route proposée en 2003 présente la plupart des capacités de base prévues pour un CCCPI –La plupart des capacités sont maintenant en place –Les questions de la formation et des services étendus pour les administrations moins avancées ne sont pas encore résolues Plans pour –Amélioration de la communication des incidents par les administrations –Évaluation des améliorations nécessaires (chaque année) en collaboration avec SPPCA –Évaluation des sources de formation pour les spécialistes techniques de la sécurité de la TI afin de déterminer sil faut prendre des mesures particulières
Septembre 2004Rapport du SNDPI de la PI - Septembre Intervention en cas durgence Tâches : Assurer la liaison et la coordination avec les organisations de mesures durgence (OMU) Partenaire : SPPCA Situation –cyberexercice dintervention en cas durgence mené en février 2004 avec SPPCA (appel dintervention) –participation à la réunion de SPPCA avec les représentants des OMU en avril 2004 –relations efficaces établies entre les DPI et les OMU dans certaines administrations –création dun groupe de travail intergouvernemental sur les cyberexercices comprenant des représentants des OMU du N.-B. et de lOntario Plans pour –Prévoir et réaliser 2 nouveaux cyberexercises avec la participation des OMU provinciales/territoriales dans la mesure du possible incluant une séance de sensibilisation conjointe avec les OMU –Encourager les membres à établir des rapports avec les OMU dans leur administration Fonds demandés : $ – $ pour permettre aux membres du groupe de travail sur les cyberexercices de participer aux deux exercices –le montant nest pas prévu dans les budgets actuels des administrations
Septembre 2004Rapport du SNDPI de la PI - Septembre Autres activités Communication des meilleures pratiques et des renseignements sur les menaces, les risques et les attaques –Partage des listes denvoi et des renseignements de Sitescape/site Web sur la collaboration –Téléconférences à intervalles réguliers pour les techniciens et les gestionnaires –Réunions Participation aux travaux du groupe de travail de lIAA Liaison avec le Sous-comité de la protection des renseignements personnels et le Sous-comité XML afin de partager des plans et de déterminer les possibilités de collaboration Stratégie nationale de cybersécurité –Nomination du CDPISP pour le comité directeur –Commentaires à la demande de SPPCA Sondage sur la formation pour déterminer les possibilités de coordonner la formation Autorisations de sécurité du GC pour les membres Liaison avec lACTI par lentremise du GC (SCT)
Septembre 2004Rapport du SNDPI de la PI - Septembre Résumé des demandes Approbation du Guide de classification de sécurité Appui à lamélioration du soutien des gestionnaires et des cadres supérieurs aux efforts de sensibilisation Maintien du financement pour loutil dautoévaluation Financement pour la traduction des vidéos de sensibilisation Financement des dépenses de voyage qui ne sont pas prévues au budget des administrations en vue de leur participation aux cyberexercises Autoriser le DPI du N.-B. à utiliser les fonds du CDPISP pour le paiement