GSMGC-022 (2025) - Guide d'évaluation des menaces et des risques

Objectif

Ce document a pour objet de servir comme guide complémentaire au cours d'Évaluation des Menaces et des Risques (EMR) des agents de la GRC et de fournir aux employés du GC des conseils sur l'exécution d'une EMR en matière de sécurité matérielle. Ce document est designé aux employés qui dirigent ou participe à une équipe d'EMR, et il explique les sept phases principales du processus d'EMR. Ce guide fournira des connaissances de base sur le processus d'EMR, habilitera les employés à effectuer des évaluations approfondies et complètes et fournira des rapports complets aux décideurs.

Application

Ce guide s'applique aux employés du GC et s'applique aux membres chargés de diriger ou de participer à une EMR. Le guide couvre les concepts de base des sept phases d'une EMR. Des exemples sont donnés dans ce document pour des études de méthodologies d'EMR spécifiques, mais peuvent être remplacés par l'équipe d'EMR à sa discrétion. Ce guide est conçu pour être un document de soutien au cours de dévlopement professionnel de l'EMR du PORS de la GRC, mais il peut être utilisé pour appuyer une compréhension fonctionnelle du processus d'EMR.

Équité, Diversité et Inclusion dans les Systèmes de Sécurité Matérielle

Tous les employés du Gouvernement du Canada (GC) ont la responsabilité de protéger les personnes, les renseignements et les biens du GC. Il est important que les politiques et les pratiques en matière de sécurité ne servent pas d'obstacles à l'inclusion, mais soutiennent et respectent plutôt tout le personnel du GC, tout en veillant à ce que les mesures de sécurité appropriées soient maintenues pour protéger le personnel, les biens et l'information du GC.

Les initiatives visant à promouvoir l'égalité et l'inclusion entre les diverses communautés et patrimoines au sein du GC devraient être respectées dans le développement et la maintenance des systèmes de sécurité matérielle. Les départements et organismes devraient respecter toutes les lois, politiques et directives du GC sur l'équité, la diversité et l'inclusion (EDI) dans la promotion d'un milieu de travail juste et équitable pour toutes les personnes, tout en s'assurant qu'elles s'acquittent de leurs responsabilités en matière de sécurité.

Les départments et organismes devraient mener un exercice de gestion des risques pour veiller à ce que, même si la dignité de tous est respectée, la protection des renseignements, des biens et du personnel du GC soit maintenue. Toutes les questions sur les politiques et les directives de l'EDI doivent d'abord être adressées à l'autorité ministérielle responsable.

Considérations Liées à la Technologie de l'Information

Suite aux menaces qui évoluent constamment et l'intégration de la sécurité matérielle et de la technologie de l'information (TI), il est essentiel d'évaluer le risque de toute application et/ou de tout logiciel connecté à un réseau pour faire fonctionner et soutenir l'équipement dans les bâtiments contrôlés par le gouvernement du Canada. Quelques examples de ces systèmes de contrôle peuvent inclure mais ne se limite pas à l'éclairage de sécurité, des portes périphériques, système HVAC, etc.

Avant de mettre en oeuvre des applications et/ou des logiciels qui contrôleront et/ou automatiseront certaines fonctions de l'immeuble, votre service de sécurité au niveau de département exige la réalisation d'une Évaluation et d'une Autorisation de Sécurité (E&AS). Cela permettra de s'assurer que l'intégrité et la disponibilité des composants que les applications et/ou logiciels contrôlent sont maintenues et que tout risque mis en évidence sera atténué. Il est fortement recommandé de commencer le processus E&AS tôt afin de s'assurer que les calendriers de livraison des projets ne sont pas affectés. Pour plus d'informations sur le processus E&AS, veuillez consulter votre service de sécurité ministériel.

Préparation

La phase de préparation, expliquée plus en détail à la section 6, permettra d'établir la portée de l'évaluation et le niveau acceptable de risque résiduel. La portée de l'évaluation devrait être déterminée par une autorité de gestion des risques qui détermine quels actifs seront évalués dans l'EMR. L'autorité de gestion des risques devrait également confier l'évaluation à une équipe qualifiée de professionnels de la sécurité.

Au cours de cette phase, l'évaluateur ou l'équipe d'évaluateurs devrait recueillir suffisamment d'informations pour élaborer un plan de travail décrivant les principaux produits à chaque étape ainsi que les ressources nécessaires pour réaliser l'EMR. Une fois le plan de travail terminé, il devrait être examiné pour s'assurer qu'il respecte les délais requis, respecte les pouvoirs financiers appropriés et que les ressources sont disponibles pour le projet. Si le plan de travail de l'EMR est acceptable, la direction devrait documenter son approbation et demander à l'équipe de commencer l'évaluation.

Identification et Évaluation des Actifs

La phase d'identification et de valorisation des actifs, expliquée plus en détail à la section 7, permettra d'identifier tous les actifs visés par l'EMR. Il ne faut pas consacrer du temps et des ressources à des actifs qui ne font pas partie de l'EMR, sauf s'il y a des interdépendances liées aux actifs pertinents. Tous les actifs qui se situent dans les paramètres désignés dans la phase de préparation doivent être clairement énumérés et une valeur doit leur être attribuée. Il existe plusieurs catégories pour chaque actif, allant de très bas à très haut. Pour les évaluations de la sécurité matérielle des biens au sein du GC, toutes les valeurs sont évaluées et attribuées en fonction des trois catégories de sécurité identifiées à l'annexe J du DGS: confidentialité, disponibilité et intégrité. Bien qu'ils ne soient pas explicitement mentionnés dans le DGS, les évaluateurs peuvent aussi tenir compte de la valeur associée aux actifs, soit la valeur monétaire spécifique du bien ou la valeur culturelle ou sociale associée à la compromission des biens.

La valeur des actifs est également attribuée en fonction d'une détermination du dommage, c'est-à-dire une représentation des dommages qui pourraient survenir si l'actif était compromis. Bien que les biens puissent recevoir plusieurs valeurs en fonction des niveaux de blessure perçus, la catégorie de blessures qui obtient le plus haut score devrait être prioritaire pour l'évaluation.

Évaluation de la Menace

d'identifier et d'énumérer toutes les menaces réelles et potentielles auxquelles les biens évalués pour l'EMR pourraient faire face. Les menaces peuvent être classées comme étant délibérées, accidentelles ou naturelles. Les menaces doivent être répertoriées et leur niveau de menace doit varier de très faible à très élevé. Cette valeur est déterminée en comparant la probabilité de l'occurrence d'une menace à la gravité de la menace ; autrement dit, on détermine ce qui pourrait se produire si la menace a un impact sur le bien.

Évaluation de la Vulnérabilité

Au cours de l'évaluation de la vulnérabilité, l'équipe EMR évaluera les biens en cours d'évaluation afin de déterminer quelles mesures de protection sont en place pour les protéger. Une fois identifiés, les évaluateurs déterminent de façon critique si ces mesures de protection sont efficaces en fonction d'une probabilité de compromis et de la gravité du résultat si les menaces identifiées compromettent les biens. Les vulnérabilités contribuent aux risques en augmentant la probabilité de menace, la probabilité de compromission et en permettant aux menaces de causer plus de dommages. Ce point est expliqué plus en détail à la section 9.

Calcul des Risques Résiduels

Le risque résiduel est le niveau de risque restant après que les actifs, les menaces, les mesures de protection et les vulnérabilités ont été comparés. Les évaluateurs peuvent déterminer le risque résiduel dans une EMR en comparant les valeurs totales des actifs, des menaces et des vulnérabilités relevant de la portée de l'EMR. Diverses méthodes d'EMR inciteront les évaluateurs à convertir chaque valeur de l'actif, des menaces et de la vulnérabilité en un nombre donné à l'aide de tableaux prédéfinis d'évaluation du risque. Ces numéros assignés permettent aux évaluateurs de déterminer rapidement le risque résiduel pour chaque actif évalué en multipliant la valeur de l'actif par les valeurs des menaces pertinentes et de la vulnérabilité connexe. La valeur totale représente un score de risque résiduel pour l'actif.

Chaque risque résiduel peut alors être comparé au niveau de tolérance au risque déterminé au début de l'EMR. Les risques qui correspondent ou qui sont inférieurs au niveau de tolérance ne nécessitent pas d'atténuation des risques; outefois, les risques résiduels qui dépassent le niveau de tolérance exigeront des mesures d'atténuation supplémentaires pour ramener le risque résiduel à un niveau acceptable.

Recommandations

La phase de recommandation, expliquée plus en détail à la section 10, contient la comparaison des risques calculés par l'équipe EMR par rapport au niveau de risque acceptable, identifié dans la phase de préparation. Pour les risques résiduels qui sont à ou en dessou du niveau cible de tolérance au risque, l'équipe devrait recommander le maintien du statu quo ou la modération des mesures de sauvegarde afin d'économiser les ressources. Dans le cas où les mesures de protection sont réduites ou supprimées, un nouveau calcul du risque résiduel est nécessaire pour la gestion. Dans tous les cas où le risque résiduel dépasse le niveau acceptable, l'équipe de l'EMR doit proposer des mesures pour ramener le risque résiduel au niveau acceptable. Le responsable de l'acceptation des risques liés à l'EMR identifié au cours de la phase de préparation examinera ensuite toutes les mesures de protection proposées et déterminera quelles recommandations seront mises en oeuvre pour réduire le risque résiduel. Il est très important de noter que la tolérance globale au risque des départements ne devrait pas être ajustée pour répondre à la cote de risque résiduel de l'EMR. Il faudrait plutôt recourir à des mesures de sauvegarde pour ajuster le risque résiduel à un niveau correspondant à la tolérance au risque des départements.

Le Rapport Final de l'EMR

Le rapport sur l'EMR, expliquée plus en détail à la section 11, constitue le principal produit livrable du processus d'EMR. Le rapport final doit être bien expliqué et contenir suffisamment d'information pour permettre à l'équipe responsable de mettre en oeuvre les mesures de protection recommandées et approuvées. Un rapport final sur l'EMR contiendra un résumé de chaque phase de l'EMR :

• Plan de travail;
• Évaluation des actifs;
• Évaluation des menaces;
• Évaluation de la vulnérabilité;
• Liste des risques résiduels prioritaires;
• Recommandations.

La décision de la direction d'accepter ou de refuser les mesures de protection recommandées, de maintenir, d'augmenter ou de réduire les mesures de protection existantes et une signature officielle confirmant ces décisions. On trouvera plus de renseignements sur le processus de gestion des risques dans le document GSMGC-018 Guide du processus de gestion des risques pour la sécurité matérielle. Ce n'est qu'après la signature du rapport d'EMR par l'DPS ou son délégué que le processus sera terminé.

Établir les Autorités d'Approbation

Avant de lancer une EMR, il faut désigner une autorité d'évaluation des risques pour approuver l'affectation des ressources nécessaires au projet et déterminer avec qui elle doit prendre les décisions relatives à l'évaluation des risques. Si ces rôles sont occupés par des personnes différentes, toutes doivent être informées et approuver le début de l'EMR. Le pouvoir de prendre des décisions d'évaluation des risques appartient généralement au chef de la sécurité (DPS) d'une organisation, qui est autorisé par la Directive sur la gestion de la sécurité 4.1.2.2 (DGS) à déléguer ce pouvoir. S'il n'est pas clair à qui l'autorité de gestion des risques a été déléguée, les évaluateurs doivent confirmer auprès de leur bureau du DPS par l'intermédiaire de la chaîne de gestion appropriée. Il y aura des coûts associés à la réalisation d'une EMR; Les heures de travail du personnel seront nécessaires, ainsi que des dépenses monétaires supplémentaires peuvent être engagées. S'assurer que l'autorité financière s'engage à permettre que ces ressources soient affectées à la réalisation de l'EMR. L'autorité d'approbation peut également être désignée comme propriétaire du risque, car elle accepte tout risque découlant des constatations de l'EMR.

Mandat et Portée du Projet

Une fois ces pouvoirs définis, un mandat de projet doit être établi et approuvé par les autorités d'approbation. Le mandat devrait comprendre les éléments suivants de l'organisation du GC:

• Niveau de tolérance au risque;
• Ressources approuvées pour le projet EMR;
• Budget/délais pour les recommandations;
• Les paramètres qui limiteront la portée de l'EMR de quelque manière que ce soit.

Le mandat devrait également préciser qui doit signer le rapport complet et si le DPS a délégué à ces personnes le pouvoir d'accepter tout risque résiduel dépassant le niveau de risque acceptable pour l'organisation. Avant de commencer l'EMR, les responsables du projet et les membres de l'équipe devraient bien comprendre la portée et le mandat du projet. Cela peut inclure les actifs à évaluer et, en fonction du niveau actuel de criticité des actifs, l'ampleur de l'évaluation justifiée. La portée de l'EMR variera en fonction du temps nécessaire pour effectuer l'évaluation et du montant des ressources disponibles. La portée d'une EMR peut varier, allant d'une évaluation étroite, comme celle d'une pièce contenant des documents sensibles dans une installation du GC, à une évaluation générale qui pourrait englober tous les actifs d'un portfolio de plusieurs immeubles.

Lorsqu'ils examinent la portée d'une EMR, les évaluateurs devraient déterminer s'il s'agit d'une évaluation générale de niveau stratégique qui porte sur un domaine particulier ou d'une évaluation approfondie et détaillée qui explore divers scénarios avec seulement quelques variables relatives aux actifs, aux menaces ou à la vulnérabilité. Cela aidera à établir les critères de l'évaluation, ce qui doit être évalué et ce qui est dans le cadre ou au-delà de l'évaluation. Il est impératif que les responsables de projet et les membres de l'équipe EMR s'entendent sur des paramètres clairs et définis afin d'éviter que la portée ne dépasse ou ne respecte pas l'évaluation prévue des domaines requis.

Comprendre le Niveau de Tolérance au Risque de la Direction

Un administrateur général est chargé de déterminer le niveau de risque global qu'un département est prêt à accepter et le DPS se voit déléguer la tâche d'évaluer le montant du risque résiduel qu'il est prêt à accepter du point de vue de la sécurité. Chaque organisation devrait établir un niveau de tolérance au risque qui reflète la sensibilité du travail qu'elle effectue et les types d'actifs qu'elle utilise pour exécuter ses services clés. Le DPS peut déléguer des décisions de gestion du risque, ce qui peut entraîner que différentes unités aient des niveaux de tolérance au risque différents de ceux de la base de référence. Les évaluateurs doivent déterminer qui est responsable de la gestion du risque associé aux actifs évalués pour l'EMR. Cette personne sera désignée comme étant l'autorité compétente (AC). Les projets EMR de plus grande envergure peuvent avoir plusieurs AC responsables de différents actifs qui seront évalués, vous devez tous les engager dans des discussions sur la tolérance au risque. Il doit y avoir un consensus entre tous les AC et l'équipe de l'EMR au sujet des niveaux de tolérance au risque. Il est impératif que l'équipe de l'AC et celle de l'EMR s'entendent sur le niveau cible, ainsi que sur ce à quoi ressemblera ce niveau une fois mis en oeuvre. S'assurer que l'AC comprend les mesures utilisées pour mesurer le risque résiduel et confirmer que cela correspond à son niveau de tolérance au risque déclaré.

Il est crucial que la direction et l'équipe d'évaluation aient une compréhension commune de la tolérance au risque, de l'approbation du projet et des hypothèses ou déterminations préalables. En cas de confusion ou de désaccord, le projet peut être retardé ou des recommandations inadéquates ou inappropriées qui ne correspondent pas aux attentes de la direction.

Sélection de l'Équipe

La composition de l'équipe améliore grandement l'efficacité du processus d'EMR et contribue à la meilleure analyse et aux meilleures recommandations possibles. Bien que de nombreux EMR seront probablement effectués par une ou deux personnes, la taille et la composition de l'équipe seront dictées par les considérations suivantes :

• La portée de l'évaluation;
• Complexité des actifs;
• Urgence de la situation;
• Répartition des actifs;
• Disponibilité de personnel qualifié.

Une équipe devrait avoir au moins 1 membre avec un ou plusieurs des éléments suivants :

• Une bonne compréhension du processus d'EMR;
• Une compréhension détaillée des besoins opérationnels du département ou de l'unité;
• Une compréhension approfondie des normes de sécurité et autres mesures de protection;
• Les niveaux d'autorisation et de contrôle de sécurité pour accéder à une installation ou un emplacement où se trouvent les biens faisant l'objet de l'évaluation.

Sans personnel qualifié, représentant à la fois les intérêts opérationnels et les considérations de sécurité, l'EMR qui en résulte ne pourrait pas contenir suffisamment d'information pour répondre aux préoccupations qui ont provoqué le lancement de l'évaluation.

Selon la portée du projet, l'équipe d'EMR peut également être composée de personnes qui peuvent fournir des détails sur les actifs, les menaces ou les vulnérabilités que le reste de l'équipe peut utiliser pour effectuer efficacement l'évaluation. Ces ressources pourraient comprendre :

• Personnel de sécurité des installations — superviseur local, gestionnaire de la sécurité du site ou membre(s) de l'équipe de sécurité;
• Gestion des installations — membres de l'équipe immobilière, architectes ou ingénieurs pour conseiller sur les considérations liées à la conception; et/ou
• Experts en la matière — spécialistes responsables de systèmes spécifiques s'ils relèvent du champ d'application de l'EMR effectuée (technologues de l'information, gardiens des documents classifiés).

Selon la taille et la complexité de l'EMR, ou le nombre et le niveau d'expérience des membres de l'équipe d'évaluation, on peut obtenir de l'expertise auprès d'autres départements pour fournir un soutien spécialisé et des conseils sur divers sujets. Ces départements sont énumérés dans la Politique sur la sécurité du gouvernement (PSG) à l'article 5, « Rôles des autres organismes gouvernementaux ».

Identification des Actifs

Il y a deux types d'actifs à considérer lors de la réalisation d'une EMR, les actifs corporels et incorporels.

• Les biens corporels sont plus faciles à identifier et à évaluer puisqu'ils englobent des objets pouvant être touchés physiquement et qu'il est plus facile de mesurer les dommages qui y sont causés. Les serveurs informatiques et l'équipement, les documents et les véhicules sont tous des exemples d'actifs corporels ;
• Actifs incorporels, qui peuvent être plus difficiles à identifier. Les niveaux de dommage pour les actifs incorporels sont souvent subjectifs et ouverts à l'interprétation des évaluateurs et des parties prenantes. Ces actifs comprennent des concepts tels que la confiance du public envers une organisation, sa réputation et la confiance dans la capacité d'un ministère ou d'un organisme à fournir des services essentiels.

Le personnel est également un bien pour l'organisation, car il interagit avec les biens matériels pour fournir des services. La prestation de services peut avoir un effet sur les actifs incorporels, comme les perceptions des employés et les attentes des clients. La capacité des employés de fournir des services en utilisant des actifs corporels a un effet direct sur ces actifs incorporels. La valeur du personnel peut être mesurée en utilisant leur valeur intrinsèque ou leur valeur opérationnelle, selon le plus élevé des deux. Le personnel qui peut prévenir des décès à grande échelle en remplissant ses fonctions opérationnelles aurait une valeur opérationnelle plus élevée que la mesure de la valeur intrinsèque de sa vie seule. Lors de l'évaluation des actifs, il faut examiner attentivement les services que ces actifs doivent fournir, car cela peut aider à orienter l'analyse des actifs et des niveaux potentiels de dommage en fonction de la criticité du service fourni. Plus l'impact sur les actifs est grand, plus la prestation des services est perturbée, ce qui affecte à son tour les actifs incorporels comme les perceptions des employés ou les attentes des clients. La relation entre les actifs, le personnel et la prestation de services est mise en évidence dans le graphique ci-dessous.

Description textuelle : Les employés, les actifs et les services

Un diagramme en niveaux de gris illustre un modèle de prestation de services. Des cases rectangulaires, ombrées en gris clair et légèrement estompées, représentent les éléments clés. Deux cases, intitulées « Employés » et « Biens corporels », sont positionnées au-dessus et légèrement à gauche d'une troisième case intitulée « Services ». Une flèche relie les cases « Employés » et « Biens corporels » à la case « Services », symbolisant une contribution combinée. Une case inclinée, ombrée en gris et intitulée « Touchent », se trouve en dessous et est reliée à la case « Services ». Cette case influence ou a un impact sur les « Biens incorporels », qui constituent une case supplémentaire située sous la case « Touchent » et sont détaillés sous les rubriques « Perceptions des employés » et « Attentes des clients ». Le diagramme illustre visuellement comment les biens corporels, associés aux efforts des employés, conduisent à la prestation de services qui ont un effet sur les biens incorporels tels que les perceptions et les attentes des clients.

Il est essentiel que toutes les catégories d'actifs soient prises en compte pour déterminer quels sont les actifs qui entrent dans le champ d'application de l'EMR et pour déterminer les interdépendances. Lors de la réalisation d'une EMR, il est fort probable que des actifs supplémentaires seront trouvés qui ne sont pas dans le champ défini de l'EMR. Les ressources ne doivent pas être dépensées inutilement pour des actifs qui ne sont pas dans le champ d'application de l'évaluation ou qui n'ont pas d'interdépendances valides, à moins que celles-ci aient été établies par le processus d'évaluation.

Évaluation des Dommages aux Biens

Après avoir identifié tous les actifs visés par l'EMR, les évaluateurs doivent déterminer le niveau de dommage pour chaque actif. Les blessures à un bien représente une détermination de ce qui pourrait se produire si le bien est sujet à compromis et ne peut pas contribuer à la prestation des services essentiels de l'organisation. Les blessures peuvent être évaluées selon plusieurs catégories : Préjudice physique, préjudice psychologique, dommages à l'environnement, réputation diminuée et perte de confiance dans l'institution.

La plupart des méthodes d'EMR ont un système pour attribuer des notes de blessures en fonction du préjudice potentiel causé par un compromis. Bien que les formules de calcul spécifiques varient selon la méthode d'EMR, les principes sous-jacents demeurent les mêmes — plus le niveau de compromis pour l'actif est élevé, plus le risque de préjudice potentiel sera évalué.

Le DGS fournit des critères spécifiques pour déterminer la lésion. Comme il est indiqué à l'annexe J du DGS, un dommage résulte de la perte d'un actif d'un ou de plusieurs des critères suivants :

Liste des Actifs Prioritaires

Une fois que tous les biens ont été évalués et qu'ils ont des valeurs, on peut les compiler dans une liste de biens prioritaires en commençant par les biens ayant la valeur la plus élevée (priorité la plus élevée) et en les classant par ordre décroissant jusqu'à la valeur la plus faible (priorité la plus basse).

Dans les cas où plusieurs actifs ont des notes numériques identiques, l'équipe EMR devra réévaluer et sélectionner l'ordre dans lequel ils seront répertoriés. Cela peut être fait en comparant les valeurs les plus élevées au deuxième rang, le cas échéant. Si les actifs ont des scores égaux dans les valeurs subséquentes, l'équipe peut faire un appel subjectif sur l'ordre de priorisation des actifs et inclure une explication de la décision. Lorsqu'il fait un appel subjectif pour classer ces actifs, l'équipe de l'EMR devrait les aligner sur les objectifs généraux de l'EMR, le mandat de l'organisation et tout produit livrable de service qui pourrait être touché. On peut aussi déterminer quel actif est le plus susceptible d'être visé ou touché par un compromis. Le bien qui est le plus susceptible d'être ciblé ou touché devrait être placé à un niveau de priorité supérieur.

Catégories de Menaces

Les menaces peuvent provenir de diverses sources. Diverses méthodes d'EMR classent les menaces en trois catégories communes : Les risques délibérés, accidentels et naturels. Chaque catégorie devrait être évaluée, sauf si elle est exclue du champ d'application de l'EMR. Il est conseillé de travailler individuellement sur chaque catégorie, car il peut être facile d'ignorer les menaces naturelles et accidentelles, en prêtant la plus grande attention aux menaces délibérées.

Évaluation de la Probabilité d'une Menace

être difficile à déterminer avec précision compte tenu des incertitudes entourant des menaces particulières. Les méthodes d'EMR comprendront généralement des matrices pour aider à déterminer un score de vraisemblance à utiliser dans leurs calculs. Les données entrantes peuvent comprendre des données régionales, comme des incidents impliquant des installations ou des biens similaires, la fréquence d'événements criminels, des données météorologiques historiques et d'autres renseignements de ce genre.

Le tableau 4 est un outil d'évaluation de la vraisemblance utilisé dans la méthodologie EMR. L'évaluateur recueillera des données pour déterminer la fréquence d'une menace, le lieu où elle a eu lieu et comparera l'emplacement des biens, les autres biens au même endroit ou des biens similaires à d'autres endroits. Ces valeurs sont ensuite utilisées pour déterminer une valeur de vraisemblance globale pour la menace spécifique. Ce tableau devrait être utilisé pour réfléchir de façon critique aux scénarios de menace.

Exemple : Un service fédéral de comptage des bulletins de vote. La portée est d'évaluer spécifiquement le risque lors du comptage. Une menace identifiée est celle des manifestants antigouvernementaux qui tentent de perturber le décompte des bulletins. Les données montrent qu'il s'agit d'un type d'incident qui se produit régulièrement et à chaque élection pour cet emplacement. Les élections ne se tiennent que tous les quatre ans, donc en utilisant le graphique, la fréquence passée serait de 1 000 à 10 000 jours. Avec cette entrée de données, la production de vraisemblance serait évaluée comme étant faible. Ce score ne reflète toutefois pas la probabilité réelle, car l'incident se produit à chaque fois que les bulletins de vote sont comptés. Compte tenu de la portée de l'évaluation, il est plus précis de déterminer la fréquence passée comme étant quotidienne, étant donné que des incidents similaires se sont produits à cet endroit chaque fois que les paramètres de l'évaluation sont présents. Le recalcul de la probabilité avec cette information plus précise donnerait une cote de probabilité plus révélatrice de Hautes. Ce raisonnement devrait être expliqué dans l'EMR pour démontrer comment le score de vraisemblance a été déterminé.

Évaluation de la Gravité des Menaces

La gravité d'une menace reflète les conséquences de la menace qui affecte le bien évalué et l'ampleur des dommages qui peuvent survenir. Pour évaluer la gravité de la menace, comparez-la aux catégories de blessures les plus importantes de chaque actif identifié à la section 7 : Identification et évaluation des actifs. Ensuite, analyser le montant des dommages qu'une menace pourrait causer si elle compromet l'actif. Plus une menace peut causer des dommages, plus la gravité des menaces est élevée. Tenir compte de l'effet de la menace sur la criticité, la confidentialité, la disponibilité, l'intégrité, la valeur monétaire et les pertes potentielles d'un actif en cas d'incident. Chaque méthodologie détermine la gravité d'une menace, généralement dans une matrice comme celle utilisée par l'EMR. L'exemple de la section 8.2 Évaluation de la probabilité d'une menace est développé ci-dessous à l'aide de ce tableau pour démontrer l'application pratique de l'évaluation de la gravité.

Exemple : Les intervenent d'urgences locales ont partagé des données provenant de rencontres antérieures avec ce groupe antigouvernemental. Les données suggèrent qu'ils sont associés idéologiquement à un mouvement de protestation international. Le groupe opère exclusivement dans des cellules locales, sans aucune collaboration directe avec les groupes similaires. La communication entre les groupes se limite aux pages des médias sociaux publics qui sont facilement surveillées. Un examen des rapports d'incident à cet endroit faisant intervenir le groupe suggère qu'il est prêt à causer des dommages mineurs aux biens (graffitis) et qu'il mènera des tactiques de déni de service peu qualifiées (collage de verrous, obstruction des routes, blocage de l'accès du personnel, etc.). Un examen des données montre que le groupe n'a aucune intention violente, mais résistera passivement à l'arrestation si la police est impliquée. La police locale et les services de sécurité privés ont réussi à contenir et contrôler le groupe dans un délai de trois heures pour tous les incidents enregistrés à cet endroit. Lorsqu'on utilise ces renseignements pour déterminer les capacités du groupe, on y voit des ressources et des compétences limitées. Pour déterminer l'incidence des incidents causés par le groupe, les données indiquent que le groupe est modérément destructeur et cause une interruption du service, qui ne dure généralement pas plus de trois heures. Ces données correspondent à un niveau de gravité de Faible dans la matrice EMR.

Calcul des Niveaux de Menace

On peut déterminer les niveaux globaux de menace en comparant les niveaux de menace associés à la probabilité qu'une menace se produise et aux répercussions de ce qui se produit si la menace se produit, ainsi que la gravité de la menace. Plus le score est élevé, plus la menace est grave. Ces cotes utiliseront généralement les pertes potentielles, la perte de valeur financière, le dommage à la réputation ou la gravité du refus de service pour attribuer une cote de menace. La méthode d'EMR choisie comportera généralement un calcul ou une matrice qui comparera les cotes/niveaux de probabilité et de gravité pour produire un niveau global de menace. Voici un exemple tiré de la méthodologie EMR en utilisant les données recueillies dans le cas d'exemple 8.2 Évaluation de la probabilité de menace et 8.3 Évaluation de la gravité de la menace. Un niveau de menace sera généré à l'aide de la matrice.

Exemple : Le groupe antigouvernemental a reçu un score de vraisemblance élevé et un score de gravité faible. Lorsque ces données sont entrées dans la matrice EMR, elles génèrent un score de menace final de moyen. Selon les renseignements analysés, ce résultat reflète la situation et sera consigné avec toutes les données à l'appui dans le rapport final de l'EMR. Une fois que toutes les menaces ont été traitées, la dernière étape de cette phase consiste à créer une liste des menaces prioritaires en commençant par le niveau de menace le plus élevé jusqu'au niveau le plus faible. Les décideurs ont ainsi un aperçu de toutes les menaces identifiées, y compris des notes sur chacune d'elles et le calcul qu'ils ont reçu.

Évaluation de la Vulnérabilité

Une évaluation de la vulnérabilité évalue la sensibilité potentielle du bien à la compromission par rapport aux menaces identifiées et fournit une base pour déterminer les mesures d'atténuation visant à protéger ces biens. L'objectif est d'analyser l'efficacité des mesures de protection, plutôt que la menace pour laquelle elles sont censées protéger. C'est la différence entre faire une évaluation de vulnérabilité et examiner les vulnérabilités pour une évaluation des risques plus vaste.

Contrairement à la menace ou à l'actif, les professionnels de la sécurité peuvent avoir une plus grande influence sur la vulnérabilité dans le processus d'EMR. Il est toujours possible de modifier ou de corriger la vulnérabilité en tant qu'approche préventive d'une menace. La phase d'évaluation de la vulnérabilité comprend cinq étapes séquentielles :

Calcul du Risque Résiduel

Le risque résiduel représente la quantité de risque restant, après détermination des valeurs pour les données sur les actifs, les menaces et la vulnérabilité. Un calcul du risque résiduel consiste à déterminer les niveaux de risque résiduels qui vont de très faible à très élevé en fonction de la valeur des actifs identifiés au cours de l'évaluation, des menaces susceptibles de compromettre ces actifs, employés et services et de toute vulnérabilité connexe. Diverses méthodes d'EMR inciteront les évaluateurs à utiliser un calcul mathématique de base pour convertir les niveaux de risque en valeurs numériques qui peuvent être comparées ensemble pour exprimer un niveau total de risque résiduel. Dans l'EMR, le risque est fonction des valeurs de l'actif, de la menace et de la vulnérabilité ou R = f (Aval, T, V). Chaque valeur est multipliée pour donner une note globale de risque. Cela permet d'être plus précis pour déterminer quel risque doit être traité en premier et comment chaque risque devrait être géré en conséquence, selon la liste des priorités.

Dans le cadre de l'analyse, on a attribué un niveau de très faible à très élevé à chacune des trois variables (actifs, menaces et vulnérabilités). Pour déterminer le risque résiduel, il faut attribuer à chacun des trois facteurs, soit les valeurs de l'actif, de la menace et de la vulnérabilité, une note numérique allant d'un à cinq, conformément à la première moitié du tableau 16 ci-dessus. Une fois que les niveaux de risque sont évalués numériquement, d'un à cinq pour chaque variable, les résultats finaux du risque résiduel peuvent varier de 1 à 125 (actif × menaces × vulnérabilités).

Par exemple, la valeur d'un actif est de (5) × la valeur de la menace (5) × la valeur de la vulnérabilité (5), ce qui donne une cote de risque globale de 125.

Lorsque l'on calcule le risque résiduel à l'aide de l'EMR, les évaluateurs doivent se rappeler de bien peu de choses lorsqu'ils choisissent les niveaux à utiliser dans la formule du risque résiduel de la TRRA.

Menaces multiples affectant le même actif

Étant donné que les biens peuvent être affectés par de multiples menaces (parfois avec des niveaux globaux de menace différents), les évaluateurs devraient créer des entrées distinctes pour les biens en fonction de la menace qui les affecte. Cela permettra d'utiliser un niveau global de biens et de menaces pour le calcul et les vulnérabilités sélectionnées spécifiquement pour le scénario de menace.

Multiples vulnérabilités affectant le même actif

Il arrive souvent qu'un actif puisse être exposé à des blessures en raison de multiples vulnérabilités, soit de mesures de protection déficientes, soit de vulnérabilités connexes. Lorsqu'ils choisissent parmi plusieurs vulnérabilités pour déterminer un niveau de vulnérabilité globale pour l'actif, les évaluateurs doivent hiérarchiser les vulnérabilités globales les plus élevées en fonction du scénario de menace à analyser. S'il y a plus d'une vulnérabilité avec le niveau le plus élevé pour le scénario, les évaluateurs peuvent utiliser ce niveau et expliquer dans leur justification que le niveau de vulnérabilité le plus élevé représente les diverses vulnérabilités élevées, puis fournir une description de ces vulnérabilités.

Lorsqu'ils examinent les vulnérabilités qui représentent le plus haut niveau de vulnérabilité, les évaluateurs devraient veiller à bien examiner et protéger le rendement et l'évaluation approfondie de la vulnérabilité lors de la détermination et de la priorisation des vulnérabilités.

Il y a des cas où l'on utilise les niveaux précédents de très faible à très élevé, ce qui permettrait une hiérarchisation inappropriée des risques pour traiter d'abord. Par exemple, si vous avez deux risques qui sont de niveau élevé, il peut être difficile de déterminer quel risque doit être priorisé sur l'autre. Si un niveau de risque élevé se traduit par une cote de risque de 36 et que l'autre se traduit par une cote de risque de 45, la cote de risque de 45 (niveau de risque élevé) doit être prioritaire en premier dans la liste.

Identification des Risques Inacceptables

Pour déterminer si un risque est inacceptable, la tolérance au risque définie dans la phase de préparation est comparée à celle de liste des risques résiduels par ordre de priorité. Tout risque résiduel qui dépasse le niveau de tolérance au risque défini est inacceptable et nécessite des recommandations d'atténuation pouvant réduire le niveau de risque au niveau de tolérance au risque approuvé.

Sélection des Mesures de Sauvegarde Potentielles

Chaque risque inacceptable identifié devrait recommander une ou plusieurs stratégies pour atténuer le risque. L'un des moyens les plus efficaces de réduire le risque résiduel consiste à ajouter ou à modifier les mesures de protection existantes pour tous les actifs évalués aux fins de l'évaluation. Efficace sauvegarde, il s'acquittera des fonctions de PDIR appropriées, réduira les vulnérabilités et les impacts des menaces et servira à atténuer plusieurs vulnérabilités en même temps. L'évaluateur doit s'assurer que les recommandations d'atténuation proposées sont raisonnables. Cette information est nécessaire pour que le signataire puisse prendre une décision compréhensive concernant la mise en oeuvre. Ils évalueront la possibilité d'accepter un risque plus élevé, d'augmenter le budget ou de prolonger le calendrier du projet.

Évaluation du Risque Résiduel Projeté

Une fois que l'équipe EMR a déterminé et proposé des mesures de protection pour atténuer les risques qui dépassent les niveaux établis de tolérance au risque, ces recommandations sont évaluées afin de déterminer leur risque résiduel projeté une fois mis en oeuvre. Pour le déterminer, retournez à Évaluation de la vulnérabilité et Calcul du risque résiduel et de compléter ces phases à nouveau en utilisant les données des mesures de sauvegarde proposées. Il est peu probable que les mesures de protection proposées contiennent des données historiques sur le site, et elles nécessiteront donc une collecte par d'autres moyens. Cela peut se faire par l'entremise de spécifications fournies par le fabricant, en examinant les offres de services des entreprises sous contrat ou en analysant les données d'installations similaires qui utilisent la mesure de sauvegarde dans leurs activités. Cela vous donnera une projection du risque résiduel dans le cas où les mesures de protection proposées seraient mises en oeuvre.

Si les mesures de sauvegarde proposées ne font pas que le risque résiduel projeté est égal ou inférieur au niveau de tolérance au risque, répéter la section Sélection des mesures de sauvegarde potentielles, et Évaluation du risque résiduel projeté jusqu'à ce qu'une mesure de sauvegarde proposée ramène le risque résiduel dans des limites acceptables, ou jusqu'à ce que tous les efforts d'atténuation plausibles aient été étudiés. Le but de ce processus est de réduire le niveau de risque au plus bas niveau possible, idéalement à un niveau de tolérance au risque établi ou inférieur. Il peut y avoir des cas où la menace ou les vulnérabilités présentes peuvent rendre impossible d'atteindre le niveau de tolérance au risque souhaité; Dans ces cas, les commanditaires du projet doivent envisager officiellement d'accepter un niveau de risque plus élevé. Toutes les évaluations et recommandations, y compris celles qui n'atteignent pas la cote de risque résiduel souhaitée, devraient être incluses dans le rapport final. La possibilité de réduire le risque même si le niveau cible n'est pas atteint peut-être bénéfique pour une note globale des risques globaux.

Rapport d'approbation — Rôle(s) des Autorités Responsables de l'Acceptation des Risques

Une fois que tous les renseignements ont été compilés dans un rapport final, l'autorité d'acceptation des risques, tels qu'elle est indiquée dans la phase de préparation signe pour terminer l'EMR. L'EMR n'est pas considérée comme définitive avant que cette étape ne soit terminée.

Lors de la signature du rapport final d'EMR, le signataire indique quelles recommandations seront formulées, le cas échéant. Si les recommandations retenues ne permettent pas d'atteindre le niveau de tolérance au risque, l'autorité signataire doit alors accepter le risque résiduel plus élevé et consigner ce fait pour référence future. Pour plus d'informations sur le processus d'acceptation des risques, consulter GSMGC-018 (2024) — Guide du processus de gestion des risques pour la sécurité matérielle..

Pour toutes les recommandations approuvées, des mesures devraient être mises en place pour s'assurer qu'elles sont exécutées dans les délais établis dans l'EMR. Un plan devrait également être élaboré pour examiner et évaluer les recommandations mises en oeuvre après une période appropriée afin d'évaluer leur efficacité à réduire le risque résiduel au niveau acceptable. Des détails sur ce processus sont disponibles à l'adresse GSMGC-016 (2022) — u Guide du processus d'évaluation et d'autorisation de sécurité des installations.