Gendarmerie royale du Canada / Royal Canadian Mounted Police

Language selection

EN

Recherche

Gendarmerie royale du Canada

GCPSG-005 (2023)
Guide des inspections de sécurité

Sur cette page

Formats substituts

GSMGC-005 (2023) - Guide des inspections de sécurité [PDF - 696 Ko]
Liste des acronymes
ASRC
Agent de surveillance du renseignement sur les communications
BCP
Bureau du Conseil privé
CEeS
Centre d'excellence en sécurité
CST
Centre de la sécurité des télécommunications
DGS
Directive sur la gestion de la sécurité
DPS
Dirigeant principal de la sécurité
EAS
Évaluation et autorisation de sécurité
EMR
Évaluation de la menace et des risques
GC
Gouvernement du Canada
POSM-GRC
Principal organisme responsable de la sécurité matérielle de la GRC
PSG
Politique sur la sécurité du gouvernement
SCRS
Service canadien du renseignement de sécurité
SCT
Secrétariat du Conseil du Trésor
SIGINT
Renseignement d'origine électromagnétique
Liste des définitions
Accès non autorisé
Accès à des biens par un particulier qui n'a pas fait l'objet d'une enquête de sécurité du personnel exigée ou ne satisfait pas aux critères du besoin de savoir, ou les deux.
Atteinte à la sécurité
Acte ou omission délibéré ou accidentel qui entraîne potentiellement ou véritablement la compromission de renseignements ou de biens classifiés ou protégés.
Biens
Éléments d'actif corporels ou incorporels du gouvernement du Canada. Ce terme s'applique entre autres aux renseignements sous toutes leurs formes et quel que soit leur support, aux réseaux, aux systèmes, au matériel, aux biens immobiliers, aux ressources financières, à la confiance des employés et du public, et à la réputation internationale.
Besoin d'accéder
Principe selon lequel il est nécessaire qu'une personne autorisée, bénéficiant d'une attestation de sécurité équivalente du GC, accède à une installation ou à une zone donnée afin de s'acquitter de ses fonctions. Il ne faut pas confondre ce terme avec le « besoin de savoir », soit celui de connaître les renseignements contenus ou traités dans ce secteur ou cette zone.
Besoin de savoir
Principe selon lequel il est nécessaire pour une personne d'avoir accès à des renseignements et de les connaître afin de s'acquitter de ses fonctions.
Compromission
Atteinte à la sécurité du gouvernement. Comprend notamment la consultation, la divulgation, la modification, l'utilisation, l'interruption, la suppression ou la destruction non autorisés de biens ou de renseignements de nature délicate qui entraînent une perte de confidentialité, d'intégrité, de disponibilité ou de valeur; tout agissement, tout comportement, toute menace ou tout geste d'une personne à l'égard d'un employé sur le lieu de travail ou d'une personne dans les installations fédérales, qui a causé un préjudice ou une blessure audit employé ou à ladite personne; et tout événement entraînant une perte d'intégrité ou de disponibilité des services ou des activités du gouvernement.
Contenant de sécurité
Lieu de rangement de biens et de renseignements de nature délicate entièrement fermé et conçu pour résister à la force et à des attaques subreptices; p. ex. coffre-fort, armoire de sécurité, coffret de sûreté, chambre forte, chambre forte démontable ou pièce sécuritaire.
Équipe d'inspection de sécurité
Groupe d'au moins deux inspecteurs de sécurité autorisés qui effectuent des inspections de sécurité.
Évaluation de la sécurité
Processus continu consistant à vérifier dans quelle mesure les pratiques et les contrôles de sécurité sont mis en œuvre correctement, fonctionnent comme prévu et donnent les résultats escomptés en ce qui concerne le respect des exigences de sécurité définies par l'organisation.
Exigence de sécurité
Exigence à satisfaire pour réduire les risques de sécurité à un niveau acceptable ou pour remplir des obligations imposées par la loi, la réglementation, une politique, un contrat ou d'autres obligations en matière de sécurité.
Infraction à la sécurité
Cas signalé de non-respect de la politique de l'organisation ou de non-respect par un employé de la politique ou d'une ligne directrice établie qui peut entraîner un problème ou un risque pour la sécurité.
Inspecteur de sécurité
Personne déléguée par le ou les gestionnaires pour faire partie de l'équipe d'inspection de sécurité.
Inspection de sécurité
Examen du lieu de travail (des zones de travail communes, du bureau ou poste de travail d'un employé, etc.) pour s'assurer que les renseignements et les biens importants et de nature délicate sont en sécurité même lorsque laissés sans surveillance.
Installation
Ce qui est construit, installé ou mis en place pour servir un but particulier. Une installation peut comprendre un édifice spécifique (une partie ou la totalité) ou le site ou le terrain sur lequel il est situé.
Personne autorisée
Personne qui travaille pour le gouvernement du Canada, y compris les employés fédéraux, les employés occasionnels, les entrepreneurs, les étudiants et toute autre personne ayant obtenu l'attestation de sécurité voulue pour avoir accès aux données, à d'autres biens, aux installations ou aux réseaux et dispositifs électroniques du gouvernement.
Renseignements classifiés
Renseignements dont la compromission risquerait vraisemblablement de porter préjudice à l'intérêt national.
Renseignements et biens de nature délicate
Renseignements ou biens qui doivent être protégés contre une divulgation injustifiée, car on peut raisonnablement s'attendre à ce que leur compromission cause un préjudice à l'intérêt national ou non national (p. ex. renseignements et biens classifiés ou protégés).
Renseignements protégés ou désignés
Renseignements dont la compromission risquerait vraisemblablement de porter préjudice à un intérêt non national.
Sécurité matérielle
Utilisation de mesures de sauvegarde matérielle pour empêcher ou retarder l'accès non autorisé aux biens, pour détecter les tentatives d'accès et les accès non autorisés, et pour déclencher une intervention appropriée.
Violation
Acte ou omission, délibéré ou accidentel, qui n'entraîne pas une compromission réelle ou possible de renseignements ou de biens classifiés ou protégés.
Zone de haute sécurité
Zone réservée aux employés détenant la bonne cote de sécurité ainsi qu'aux visiteurs autorisés dûment accompagnés.
Zone de sécurité
Zone réservée aux employés détenant la bonne cote de sécurité ainsi qu'aux visiteurs autorisés dûment accompagnés.

Avant-propos

Le Guide des inspections de sécurité est une publication non classifiée, publiée avec l'autorisation du principal organisme responsable de la sécurité matérielle de la Gendarmerie royale du Canada (POSM-GRC).

Cette publication du gouvernement du Canada sert de guide pour les inspections de sécurité des ministères, organismes et employés du gouvernement du Canada.

Les suggestions de modifications et autres renseignements peuvent être envoyés au principal organisme responsable de la sécurité matérielle de la GRC par courriel à l'adresse rcmp.lsa-grc.posm@rcmp-grc.gc.ca.

Reproduction

La présente publication peut être reproduite textuellement, dans son intégralité et sans frais, à des fins didactiques et personnelles uniquement. Il faut obtenir une autorisation écrite du POSM-GRC pour en faire des adaptations, en extraire des passages ou l'utiliser à des fins commerciales.

Date d'entrée en vigueur

La date d'entrée en vigueur du GSMGC-005 Guide des inspections de sécurité est le 2023-08-09.

Registre des modifications

Aucune modification

Remarque : C'est le POSM-GRC qui est autorisé à apporter des modifications.

Introduction

But

Le présent document a pour but d'orienter les employés du gouvernement du Canada (GC) dans l'exécution des inspections de sécurité, où le personnel de sécurité examine un lieu de travail (p. ex. les aires de travail communes, les bureaux ou les postes de travail) afin de s'assurer que les renseignements et les biens importants et de nature délicate sont correctement protégés lorsque les personnes sont absentes de leur espace de travail. Les inspections de sécurité permettent de s'assurer que les employés respectent les politiques et procédures établies par l'organisation et le gouvernement du Canada pour protéger le matériel désigné et classifié stocké dans les installations du gouvernement du Canada. Les inspections de sécurité sont un élément essentiel d'un programme de sécurité matérielle solide; elles contribuent à maintenir des normes de sécurité élevées en même temps qu'une gestion efficace, efficiente et responsable des renseignements et des biens de nature délicate au sein de l'organisation.

Le présent guide est conforme à la Politique sur la sécurité du gouvernement (PSG) et à l'annexe C de la Directive sur la gestion de la sécurité (DGS). Conformément à la PSG, les ministères et organismes du GC sont responsables de la protection de l'information, des personnes et des biens sous leur contrôle, ainsi que de la continuité des opérations. Les employés ont la responsabilité de protéger tous les renseignements et les biens du GC contre l'accès non autorisé, la perte, le vol ou la divulgation. Pour ce faire, il convient de procéder à des inspections périodiques afin de s'assurer que ce matériel est sécurisé conformément à la DGS. Le présent guide expose les exigences de base et les pratiques exemplaires en matière de sécurité. L'utilisation du mot « doit » indique une référence à une politique ou à une norme établie du GC, tandis que l'utilisation du mot « devrait » fait référence à un conseil ou une pratique exemplaire.

Application

Le présent guide s'applique aux installations du GC, en particulier aux zones où sont stockés et traités des documents protégés (ou « désignés ») et classifiés. Il s'adresse aux personnes suivantes : 

  • Les directeurs, directrices, gestionnaires, superviseurs et superviseures responsables des zones de sécurité matérielle où des renseignements de nature délicate sont traités;
  • Les personnes autorisées du GC qui ont accès à une zone de sécurité matérielle où des renseignements de nature délicate sont traités, ou qui y travaillent;
  • Les personnes autorisées du GC qui ont été désignées pour assumer les fonctions de l'inspecteur de sécurité.

Considérations aux technologies de l'information

Suite aux menaces qui évoluent constamment et l'intégration de la sécurité physique et de la technologie de l'information (TI), il est essentiel d'évaluer le risque de toute application et/ou de tout logiciel connecté à un réseau pour faire fonctionner et soutenir l'équipement dans les bâtiments contrôlés par le gouvernement du Canada.

Avant de mettre en œuvre des applications et/ou des logiciels qui contrôleront et/ou automatiseront certaines fonctions de l'immeuble, votre service de sécurité ministériel exige la réalisation d'une évaluation et d'une autorisation de sécurité (SA&A). Cela permettra de s'assurer que l'intégrité et la disponibilité des composants que les applications et/ou logiciels contrôlent sont maintenues et que tout risque mis en évidence sera atténué. Il est fortement recommandé de commencer le processus SA&A tôt afin de s'assurer que les calendriers de livraison des projets ne sont pas affectés. Pour plus d'informations sur le processus SA&A, veuillez consulter votre service de sécurité ministériel.

Coordonnées

Pour de plus amples renseignements, veuillez communiquer avec :

Courrier

Gendarmerie royale du Canada
Principal organisme responsable de la sécurité matérielle
73, promenade Leikin, arrêt postal 165
Ottawa ON  K1A 0R2

Courriel

rcmp.lsa-grc.posm@rcmp-grc.gc.ca

Rôles et responsabilités en matière de sécurité

La section suivante décrit les rôles et les responsabilités des équipes chargées de la sécurité au sein des ministères et des organismes fédéraux, conformément à la DGS. Bien que les noms ou les classifications des membres de l'équipe de sécurité puissent différer entre les ministères et les organismes, il est important d'accorder ces équipes avec les descriptions suivantes afin de s'assurer que les rôles et les responsabilités sont clairement définis.

Dirigeant principal de la sécurité (DPS)

Selon la section 4.1.7. de la DGS, le DPS est chargé de :

veiller à ce que tous les problèmes importants de conformité aux politiques, d'activités criminelles soupçonnées, de préoccupations liées à la sécurité nationale, ou autres problèmes de sécurité soient évalués, examinés, consignés, traités, et signalés à l'administrateur général et, comme exigé, aux autorités policières compétentes ou organismes de sécurité et du renseignement (voir l'annexe I : Norme sur le signalement des incidents de sécurité), et aux intervenants touchés, et comme exigé, coopérer dans toutes enquêtes criminelles résultantes ou autres enquêtes.

Le DPS devrait soutenir le processus d'inspection de sécurité en exerçant un leadership et en fournissant des conseils en matière de sécurité à toutes les personnes autorisées afin de définir, documenter et mettre en œuvre correctement les protocoles d'inspection de sécurité pour toutes les installations du GC. Il devrait également veiller à ce que les installations de l'organisation fassent l'objet d'une évaluation de la menace et des risques (EMR), au moins tous les cinq ans ou en cas de modification de l'environnement de sécurité ou du contexte de la menace.

Coordonnateur de la sécurité de l'édifice/du groupe

Le coordonnateur de la sécurité de l'édifice ou du groupe est chargé de veiller à ce que les inspections de sécurité dans les installations du GC soient effectuées conformément aux normes élaborées par les groupes ou sections. Il peut être chargé de former des équipes d'inspecteurs de sécurité pour effectuer des inspections de sécurité dans leurs installations, de donner une formation aux membres de l'équipe d'inspection et de veiller à ce que les incidents de sécurité dans les installations du GC soient signalés conformément aux politiques et aux normes organisationnelles. En cas de modification de l'environnement de sécurité, les coordonnateurs peuvent aider les groupes ou sections des ministères à augmenter la fréquence des inspections de sécurité et à administrer d'autres mesures afin d'améliorer les niveaux de préparation. Le coordonnateur peut participer au processus d'inspection de sécurité en fournissant aux employés des conseils et des orientations sur la protection des documents désignés ou classifiés.

Groupe/section de la sécurité

Au sein d'un ministère ou organisme du GC, un groupe ou une section de la sécurité est chargé d'élaborer et mettre en œuvre des normes d'inspection de sécurité ainsi que de conseiller les coordonnateurs de la sécurité, DPS et autres intervenants sur les questions concernant l'inspection de sécurité (exigences des politiques, élaboration de la stratégie d'inspection de sécurité, rapports sur les incidents de sécurité, etc.). Exécuter le programme de sécurité d'une organisation implique aussi d'élaborer des outils et des documents de formation et de sensibilisation, fournir des conseils sur l'application des inspections de sécurité et l'interprétation de leurs résultats, et intervenir quand les normes de sécurité organisationnelles ne sont pas respectées.

Les groupes ou sections de la sécurité devraient veiller à ce que les inspections de sécurité soient effectuées par une équipe d'inspection de sécurité autorisée, conformément au présent guide. Ils peuvent conseiller les coordonnateurs de la sécurité sur la manière de mettre en place leur propre équipe d'inspection de sécurité ou d'en créer une au sein du groupe ou de la section de la sécurité pour fournir ce service. La fréquence des inspections de sécurité supplémentaires pour leur secteur respectif devrait être fondée sur les conclusions de l'inspection de sécurité et sur les recommandations formulées dans le cadre d'une EMR.

Inspecteurs de sécurité et équipes d'inspection de sécurité

Un inspecteur de sécurité autorisé est une personne déléguée par la section ou le groupe de sécurité d'une organisation ou d'un édifice pour effectuer une inspection de sécurité. Un inspecteur de sécurité doit posséder une attestation de sécurité personnelle ou un statut correspondant à la catégorie la plus élevée de renseignements et de biens stockés et traités dans la zone inspectée. L'équipe de la sécurité d'une organisation ou d'un édifice peut désigner plusieurs inspecteurs de sécurité pour former une équipe d'inspection de sécurité.

Lorsqu'ils forment une telle équipe, les ministères et organismes fédéraux devraient sélectionner des personnes ayant une connaissance et expérience solide du processus d'inspection de sécurité, et voir à ce qu'elles reçoivent une formation de base et participent à des séances d'information sur comment accomplir les inspections de sécurité. Les ministères et organismes du GC devraient également tenir compte du niveau d'expérience des inspecteurs et s'efforcer d'ajouter à l'équipe un membre subalterne et un membre expérimenté. Cette pratique peut faciliter l'échange des connaissances et garantir l'application des pratiques exemplaires lors des inspections de sécurité.

Directeurs

Pour l'application du présent guide, les directeurs sont chargés de veiller à ce que toutes les personnes relevant de leur domaine de responsabilité n'aient accès qu'aux renseignements et aux biens nécessaires à l'exercice de leurs fonctions, selon le principe du besoin de savoir et du besoin d'accéder. Les directeurs devraient également veiller à ce que toutes les personnes soient informées de la norme relative aux inspections de sécurité et sachent que des inspections de sécurité vont avoir lieu. Les directeurs doivent s'assurer que les employés comprennent leur obligation de protéger les renseignements et les biens.

Les directeurs devraient travailler en collaboration avec le personnel de sécurité du ministère ou de l'organisme pour s'assurer que tous les cas de non-conformité donnent lieu à une intervention et soient consignés. Les directeurs devraient veiller à ce que les personnes disposent du matériel nécessaire pour exercer leurs fonctions et garantir la sécurité des renseignements et des biens de nature délicate - par exemple en respectant une politique du bureau bien rangé, mettant en sécurité les documents et supports de stockage qui contiennent des renseignements de nature délicate à la fin de chaque journée de travail. Ils devraient également veiller à ce que les documents de formation et de sensibilisation à la sécurité matérielle et aux inspections de sécurité soient à jour.

Gestionnaires et superviseurs

Conformément à la section 4.4 de la DGS, les superviseurs ont les responsabilités suivantes :

veiller à ce que les personnes soient informées de leurs responsabilités en matière de sécurité et que les employés reçoivent la sensibilisation et la formation en matière de sécurité pour tenir à jour les connaissances et les compétences nécessaires pour s'acquitter de leurs responsabilités.

Les directeurs et les superviseurs sont chargés de collaborer avec les équipes/groupes de la sécurité des ministères pour mettre en œuvre les conclusions et les recommandations des inspections de sécurité et donner suite aux problèmes et aux cas de non-conformité (p. ex. violations) avec les personnes qui n'ont pas respecté les mesures de sécurité.

Employés

Conformément à la section 4.5.1 de la DGS, les employés ont les responsabilités suivantes :

respecter la politique du gouvernement en matière de sécurité et les pratiques de sécurité ministérielles, y compris la protection de l'information et des biens sous leur contrôle, à l'interne ou à l'externe.

Les employés à tous les niveaux doivent assumer leurs responsabilités et suivre les politiques et procédures de sécurité de leur ministère ou organisme pour protéger les renseignements et les biens de nature délicate sous forme physique et électronique. Il est important que les employés signalent immédiatement à leur gestionnaire ou au bureau de la sécurité tout incident de sécurité, par exemple la perte (accidentelle ou suspecte) de documents protégés ou classifiés; il s'agit d'atténuer les répercussions d'une éventuelle compromission.

Inspections de sécurité

Aspects juridiques et protection des renseignements personnels

Les paramètres des inspections de sécurité qu'on effectue devraient être conformes aux conventions collectives du GC et à la législation en matière de dotation. Lors de l'inspection de sécurité du bureau ou du poste de travail attribué à un employé, le droit à la vie privée doit être respecté et des mesures doivent être prises pour respecter la législation pertinente. Il s'agit notamment de la nels, de la Charte canadienne des droits et libertés, et de la Loi canadienne sur les droits de la personne.

Le respect de la vie privée reste de mise durant les inspections de sécurité, même si les espaces de travail et le mobilier mis à la disposition des employés appartiennent au GC. Les employés peuvent avoir des effets personnels dans leur espace de travail, et l'équipe d'inspection de sécurité ne devrait pas les fouiller ou les ouvrir, ni lire ou supprimer de renseignements personnels trouvés lors de l'inspection. Si, au cours de l'inspection de sécurité, des objets illégaux sont découverts, l'affaire sera renvoyée à la Sécurité ministérielle ou à la police pour enquête. Les personnes peuvent faire l'objet d'autres formes de fouille et de saisie légitimes en vertu des lois pénales et civiles applicables à la suite d'une inspection de sécurité conforme à la loi.

Les délais de conservation des dossiers d'inspection devraient être déterminés et gérés par le ministère ou organisme du GC concerné. Bibliothèque et Archives Canada peut aider les ministères et les organismes en leur donnant des conseils sur les périodes de conservation spécifiques.

Planification des inspections de sécurité

Lors de la planification des inspections de sécurité, les équipes d'inspection de sécurité devraient évaluer l'environnement de risque des zones inspectées. Il peut être nécessaire d'effectuer une EMR pour mieux déterminer la fréquence des inspections de sécurité dans une installation. La boîte à outils du CEeS peut également être utile à cette fin. Les inspections de sécurité devraient être effectuées de préférence en dehors des heures de travail principales ou lorsque les employés ou les groupes sont absents du lieu de travail. Le directeur et le coordonnateur de la sécurité devraient être avertis de l'inspection avant la date prévue, afin de pouvoir s'assurer qu'il soit administrativement possible d'effectuer une inspection à la date spécifiée. Afin de protéger l'intégrité du processus d'inspection de sécurité, les personnes travaillant dans la zone ne devraient pas être informées de la tenue d'une inspection de sécurité.

Lorsqu'ils forment des équipes pour les inspections de sécurité, les ministères et organismes devraient soigneusement tenir compte des connaissances et de l'expérience des inspecteurs, du nombre d'inspecteurs nécessaires en fonction de la taille et du nombre d'espaces à inspecter, ainsi que de la catégorie de documents stockés dans ces espaces. Afin de maximiser la sécurité et de garantir l'intégrité du processus d'inspection, toute inspection devrait être effectuée par une équipe, c.-à-d. au moins deux inspecteurs de sécurité.

Avant de procéder à une inspection de sécurité, les inspecteurs de sécurité devraient confirmer qu'ils disposent d'un accès physique et de l'attestation de sécurité appropriée pour toutes les zones de sécurité matérielle à inspecter. Lors de la planification de la journée d'inspection, les inspecteurs ou les équipes d'inspection devraient s'assurer qu'ils disposent de l'équipement nécessaire pour faciliter une bonne inspection, y compris un carnet de notes et un stylo ou un dictaphone pour noter leurs observations, un appareil pour prendre des photos (si c'est permis dans la zone de sécurité matérielle ou la situation opérationnelle), et un contenant de sécurité approuvé avec mallette de transport verrouillable pour sécuriser les documents éventuellement trouvés.

Veuillez prendre note que les inspecteurs de sécurité et les équipes d'inspection doivent veiller à ne pas photographier les documents protégés et classifiés, les lieux, les contrôles ni les dispositifs de sécurité installés, et à respecter les restrictions d'accès aux appareils électroniques dans les zones de nature délicate.

Le centre d'excellence en sécurité (CEeS) a produit un outil d'évaluation des risques liés aux inspections de sécurité, disponible dans GCcollab, afin d'aider les spécialistes fonctionnels de la sécurité à déterminer de manière objective et cohérente la fréquence des inspections de sécurité au sein d'une installation.

Exécution des inspections de sécurité

Les inspecteurs devraient suivre des lignes directrices précises en matière d'inspections de sécurité et produire des rapports sur les résultats des inspections (voir l'annexe B, section 2) à savoir entre autres :

  • Faire une inspection visuelle complète des espaces de travail des employés : bureaux (y compris à cloisons), surfaces de travail, tiroirs ou armoires ouverts ou non verrouillés, boîtes aux lettres, poubelles et bacs de recyclage, bacs d'imprimantes/numériseurs/déchiqueteuses, etc.;
  • S'assurer que les appareils électroniques sont correctement sécurisés (le cas échéant);
  • Vérifier que les contenants ou armoires de sécurité contenant des documents protégés et classifiés sont correctement sécurisés.

Lors d'une inspection, les inspecteurs de sécurité devraient prendre leur temps et fouiller soigneusement tous les endroits de la zone d'inspection. Les employés peuvent avoir des effets personnels dans leur espace de travail, et l'équipe d'inspection de sécurité ne doit pas les fouiller ou les ouvrir, ni lire ou supprimer les renseignements personnels ou articles trouvés. Si des objets personnels sont trouvés par les inspecteurs de sécurité, il est possible d'indiquer dans les notes que ces objets ont été laissés intacts.

Les articles trouvés au cours de l'inspection qui auraient dû être rangés mais qui ne l'étaient pas déjà doivent être placés par l'inspecteur dans un contenant de sécurité approuvé verrouillé ou dans un bureau fermé à clé, conformément à la politique ministérielle et au document GSMGC-007 (2022) - Transport, transmission et entreposage de matériel protégé ou classifié. Si des documents protégés ou classifiés non sécurisés sont découverts au cours de l'inspection de sécurité, l'équipe d'inspection est autorisée à les enlever pour les mettre en lieu sûr.

Lorsqu'elle enlève des documents pour les mettre en lieu sûr, l'équipe d'inspection de sécurité doit les placer dans le contenant de sécurité approuvé et dans la zone de sécurité matérielle requise, compte tenu de leur catégorie. Les documents devraient être accessibles au groupe de la sécurité du ministère ou de l'organisme afin qu'ils puissent être rendus à leur propriétaire dans les meilleurs délais. Tout article retiré d'un bureau ou d'un poste de travail doit être marqué du nom de l'employé et du numéro du bureau ou du poste de travail. S'il n'est pas possible de ranger les documents en toute sécurité et leur propriétaire, inconnu ou non disponible, l'inspecteur de sécurité doit les sécuriser dans toute la mesure du possible, en informer la haute direction et prendre des dispositions pour qu'ils soient immédiatement remis à une personne de la section responsable possédant l'attestation de sécurité appropriée et ayant besoin de savoir.

Résultats

Une fois qu'un bureau ou un espace de travail a été inspecté, l'inspecteur de sécurité ou l'équipe d'inspection doit laisser un avis indiquant aux occupants les résultats de l'inspection, les écarts constatés par rapport aux politiques ou normes de sécurité du ministère, les objets retirés de l'espace de travail, et l'endroit où ils peuvent être récupérés. Cet avis doit être affiché bien en évidence, afin que tous les occupants sachent qu'une inspection a eu lieu.

Tout écart observé lors d'une inspection devrait être considéré comme une infraction à la sécurité par l'inspecteur de sécurité ou l'équipe d'inspection. Une ventilation des niveaux d'infraction à la sécurité, une description générale de chaque niveau d'infraction et les mesures administratives correctives recommandées pour chaque niveau sont définies dans la Niveaux de gravité des infractions. Veuillez prendre note que ces niveaux ne sont pas prescriptifs, mais simplement indicatifs. Chaque organisation devrait les adapter à ses propres normes et cadres de conformité en matière de sécurité.

Les infractions à la sécurité se mesurent à la simple existence de violations dans une catégorie, sans tenir compte du nombre de violations. Par exemple, il n'y aura qu'une seule infraction si un classeur a été laissé ouvert, même s'il contient plusieurs documents de nature délicate, ou si un dossier a été laissé sans protection alors qu'il contient plusieurs documents de nature délicate.

Les infractions en matière de sécurité ne sont pas des mesures punitives destinées à renforcer le respect des politiques de sécurité ministérielles ni à punir les contrevenants qui les enfreignent. Dans la plupart des cas, leur utilité est plutôt de démontrer et de communiquer aux employés l'importance de protéger les renseignements et les biens du GC. La Niveaux de gravité des infractions propose quelques suites à donner, selon la gravité des infractions.

À la suite d'une inspection de sécurité, l'inspecteur ou l'équipe devrait examiner dès que possible les conclusions, y compris les infractions constatées, avec le superviseur ou le gestionnaire de l'espace de travail inspecté. Les conclusions devraient également être examinées avec l'employé, soit pour reconnaître un travail bien fait, soit pour lui exposer ce qui a été découvert, et lui proposer des précautions à prendre pour éviter que cela se reproduise.

Si une équipe d'inspection de sécurité découvre une infraction grave ou des preuves d'une atteinte ou d'une compromission possible (p. ex. des infractions qui semblent délibérées, des agissements répétés, des infractions concernant des renseignements d'une catégorie très élevée ou de véritables actes criminels), elle doit prendre les mesures appropriées pour consigner l'événement et ouvrir une enquête interne de concert avec les intervenants internes et externes concernés, le cas échéant. Des mesures peuvent être prises en fonction de la nature ou de la gravité de l'infraction, comme l'indique la Paliers d'intervention possibles après l'enquête.

Paliers d'intervention possibles après l'enquête

Mesures disciplinaires

  • Équipe ministérielle chargée des relations de travail
  • Équipe ministérielle chargée des valeurs et de l'éthique

Affaires criminelles

  • Police

Questions relatives à la sécurité nationale ou à des renseignements hautement classifiés

  • Service canadien du renseignement de sécurité (SCRS)
  • Gendarmerie royale du Canada (GRC)

Divulgation de documents confidentiels du Cabinet

  • Bureau du Conseil privé (BCP)

Divulgation de renseignement d'origine électromagnétique (SIGINT)

  • Centre de la sécurité des télécommunications (CST), par l'intermédiaire de l'agent de surveillance du renseignement des communications (COMCO) du ministère

Veuillez prendre note que les équipes de sécurité ministérielles ne devraient jamais consulter unilatéralement ou indépendamment des intervenants internes ou externes sur des infractions graves à la sécurité sans d'abord signaler l'événement à leur DPS respectif ou en discuter avec lui.

Les observations de toutes les inspections de sécurité devraient être compilées dans un rapport, envoyé au groupe de la sécurité de l'organisation. Ce rapport devrait présenter un résumé des espaces de travail inspectés, les observations elles-mêmes, un résumé de toutes les infractions à la sécurité constatée et, éventuellement, des recommandations pour la haute direction. Un modèle de rapport est présenté à l'annexe B.

Niveaux de gravité des infractions

Niveau 1

Premier avis d'infraction à la sécurité concernant des renseignements et des biens Protégé A ou B.

Mesures correctives administratives :

  • Un avis est envoyé à la personne et à son supérieur immédiat.
Niveau 2

Deuxième avis d'infraction à la sécurité concernant des renseignements et des biens Protégé A ou B.
ou
Premier avis d'infraction à la sécurité concernant des renseignements et des biens Confidentiel ou Secret.

Mesures correctives administratives :

  • Un avis est envoyé à la personne, à son supérieur immédiat et à l'échelon de direction supérieur.
  • La personne est tenue de suivre une formation de sensibilisation à la sécurité (p. ex. cours COR310 de l'École de la fonction publique du Canada, ou toute autre formation pertinente accessible à l'interne).
Niveau 3

Troisième avis d'infraction à la sécurité concernant des renseignements et des biens Protégé A ou B.
ou
Deuxième avis d'infraction à la sécurité concernant des renseignements et des biens Confidentiel ou Secret.

Mesures correctives administratives :

  • Un avis est envoyé à la personne, à son supérieur immédiat et à l'échelon de direction supérieur.
  • La personne peut être tenue d'assister à une séance d'information obligatoire sur la sécurité organisée par le groupe ou la section de la sécurité du ministère.
  • On peut demander à la personne de se présenter à une entrevue de sécurité avec le groupe ou la section de la sécurité du ministère afin de déterminer si une révision de son attestation de sécurité ou de son statut est nécessaire. Si les résultats de l'entrevue le justifient, l'affaire pourra être élevée au niveau 4.
Niveau 4

Plus de trois avis d'infraction à la sécurité concernant des renseignements et des biens Protégé A et B.
ou
Plus de deux avis d'infraction à la sécurité concernant des renseignements et des biens Confidentiel ou Secret (à l'exception des documents confidentiels du Cabinet).
ou
Tout avis d'infraction à la sécurité concernant des renseignements et des biens Protégé C ou Très secret.

Mesures correctives administratives :

  • Un avis est envoyé à la personne, à son supérieur immédiat et à l'échelon de direction supérieur.
  • Une révision de la cote de sécurité peut être amorcée.
  • La personne peut être tenue de se présenter à une entrevue obligatoire avec le groupe ou la section de la sécurité du ministère.

Remarques :

  1. Les infractions à la sécurité peuvent aussi concerner des documents ou des systèmes électroniques.
  2. Une infraction de nature criminelle pourra donner lieu à des poursuites judiciaires, sous réserve d'un examen et d'une enquête par le groupe de la sécurité de l'organisation.
  3. La gravité des infractions à la sécurité est mesurée à l'aide des niveaux 2 à 4 et peut donner lieu à des mesures disciplinaires. Attention : les mesures de redressement ne font pas partie du processus d'inspection et devraient être déterminées par le ministère ou l'organisme du GC. Les décisions sont prises à la discrétion du DPS ou du gestionnaire du ministère.
  4. Si la cote de sécurité et/ou le statut de la personne sont révoqués à la suite d'une révision par son organisation, il se peut que la personne ne remplisse plus les conditions d'emploi. Il peut être nécessaire de consulter le service des Ressources humaines ou des Relations de travail.

Exigences en matière de Rapports et de Suivi

Les résultats des inspections et les résultats des infractions peuvent aider les cadres supérieurs des ministères et organismes du GC à prendre des décisions éclairées et à définir des mesures d'atténuation afin de garantir la protection adéquate de tous les documents protégés et classifiés. Les rapports d'inspection doivent être examinés régulièrement par les sections ou groupes de la sécurité des ministères, qui doivent relever les cas d'infractions répétés et graves. Il s'agit en effet de savoir si les mesures de mise en conformité sont efficaces et de déterminer quels sont les changements nécessaires pour gérer et réduire les infractions à la sécurité.

Le taux de conformité en matière de sécurité est l'un des indicateurs que les ministères et organismes du GC peuvent utiliser. Décrit à l'annexe C, celui-ci est le quotient du nombre d'infractions divisé par le nombre d'employés, multiplié par 100. Ce pourcentage, comparé à la tolérance au risque établie par le ministère ou organisme du GC, peut aider les équipes ministérielles de la sécurité à évaluer les niveaux de non-conformité et à déterminer si des mesures correctives supplémentaires sont nécessaires pour atténuer les types et les niveaux d'infractions constatés au cours du processus d'inspection : formation supplémentaire ou accrue de sensibilisation à la sécurité, renforcement des politiques et des procédures, etc.

Des données statistiques sur les inspections et les infractions à la sécurité devraient être conservées par les sections ou groupes ministériels de la sécurité pour l'analyse des tendances. L'examen de ces données peut aider à déterminer si le niveau de sécurité d'un ministère ou d'un organisme du GC s'améliore ou se détériore, et s'il existe des problèmes systémiques réclamant une attention plus ciblée. En menant cet examen, il convient de réfléchir à comment prévenir les infractions futures, ce qui peut se faire au moyen d'une série de mesures de sécurité complémentaires. Il peut s'agir, entre autres, de séances de formation et de sensibilisation des employés aux protocoles et procédures de sécurité appropriés, de barrières techniques pour empêcher le contournement des contrôles de sécurité, et de processus et procédures permettant de contrôler l'accès des employés aux renseignements de nature délicate.

Les résultats de l'analyse doivent être intégrés au plan de sécurité ministériel, sur la base des tendances et des risques recensés liés à la non-conformité des employés. Cet examen devrait inclure un plan de communication pour les employés dans le cadre de la formation et de la sensibilisation à la sécurité, ainsi que des moyens de réduire les problèmes de non-conformité à l'avenir. Des mesures supplémentaires peuvent être requises, notamment des mesures renforcées de contrôle d'accès en matière de sécurité matérielle, des contrôles de TI, ainsi qu'une surveillance et des inspections de sécurité accrues.

Ces processus permettent aux sections ou aux groupes de la sécurité des ministères de surveiller la conformité en matière de sécurité, mais aussi de conseiller leur DPS sur les risques possibles et sur les mesures correctives administratives recommandées. Ils peuvent également servir de base aux DPS pour gérer les infractions à la sécurité et intégrer le souci de la sécurité à la culture de leur organisation.

Documents de référence et documents sources

Annexes

Annexe A - Avis d'inspection de sécurité

Avis d'inspection de sécurité (Exemple)

Pendant que cet espace de travail n'était pas occupé, une équipe d'inspection de sécurité a procédé à une inspection pour déterminer si les renseignements et les biens de nature délicate étaient protégés conformément à la politique et aux pratiques de sécurité du GC.

Les inspections de sécurité sont effectuées conformément au Guide des inspections de sécurité (GSMGC-005) de la GRC et à la politique ministérielle.

Date :

Heure :

Numéro de bureau/poste de travail modulaire :

Ministère :

Observations
  • Le poste de travail est conforme à la politique et aux pratiques de sécurité de l'organisation.
  • Renseignements de nature délicate laissés sans protection.
  • Biens de nature délicate laissés sans protection.
  • Ordinateur non protégé.
  • Carte d'accès/jeton/clés qui traînaient.
  • Appareil électronique personnel connecté à du matériel informatique.
  • Transcription d'un mot de passe ou d'une combinaison rappelant un mot de passe.
  • Porte du bureau non verrouillée (pour les bureaux fermés).
  • Alarme non activée (pour certains bureaux fermés).
  • Carte de crédit du GC ou espèces/chèques qui traînaient.
  • Dispositifs portables informatiques trouvés.
  • Armoires ou tiroirs non verrouillés alors qu'ils semblaient contenir des renseignements ou des biens protégés ou classifiés.
  • Autres :
  • Les objets retirés ont été placés dans un contenant sécurisé au bureau de la Sécurité ministérielle.

Veuillez communiquer avec une équipe d'inspection de sécurité pour les récupérer.

Annexe B - Rapport d'inspection de sécurité/liste de vérification

Les inspections de sécurité sont nécessaires pour s'assurer que les renseignements et les biens protégés et classifiés soient protégés conformément à la DGS. Un rapport basé sur le modèle ci-dessous devrait être laissé au poste de travail ou au bureau par les équipes d'inspection de sécurité. L'outil d'évaluation des risques liés aux inspections de sécurité est accessible sur GCcollab pour aider les spécialistes fonctionnels de la sécurité à déterminer de manière objective et cohérente la fréquence des inspections de sécurité au sein d'une installation.

Rappel :

  • Un avis d'inspection de sécurité (annexe A) doit être laissé en évidence à tous les postes de travail inspectés afin d'informer l'occupant qu'une inspection de sécurité a eu lieu et de lui indiquer si son bureau/poste de travail était conforme.
  • Il faut remplir un rapport d'incident de sécurité/liste de vérification (ci-dessous) pour documenter toutes les violations.
  • Un rapport sur les résultats de l'inspection doit être soumis au gestionnaire de programmes et de prestations de services (annexe C).

Rapport d'inspection de sécurité/liste de vérification (Exemple)

L'inspection

Date :

Heure :

Ministère :

Lieu :

Nom - gestionnaire :

Date de la dernière inspection de sécurité :

Équipe d'inspection de sécurité
  1. Nom :
    Titre du poste :
  2. Nom :
    Titre du poste :
  3. Nom :
    Titre du poste :
  4. Nom :
    Titre du poste :

Rapport d'incident de sécurité

Section 1 - Confirmation de la sécurité administrative

Remarque : L'équipe d'inspection de sécurité doit collaborer avec le ou la gestionnaire à la prestation des programmes et des services, ou bien avec le coordonnateur ou la coordonnatrice de la sécurité de l'édifice ou du groupe afin de recueillir les renseignements nécessaires pour la section 1.

Critères d'inspection no 1

Est-ce qu'un(e) coordinateur(trice) de la sécurité du bâtiment ou de l'unité a été identifié(e) pour cette zone?

  • Oui
  • Non

Son nom :

Critères d'inspection no 2

Existe-t-il un registre des clés pour la zone? Toutes les clés indiquées dans le registre des clés ont-elles été trouvées?

Remarque : Un registre est utilisé pour suivre et documenter le nombre de clés mécaniques ainsi que les personnes à qui elles sont attribuées.

  • Oui
  • Non
Critères d'inspection no 3

La liste d'accès a-t-elle été révisée récemment et mise à jour en conséquence?

  • Oui
  • Non
Critères d'inspection no 4

Toutes les personnes travaillant dans la zone possèdent-elles le statut ou la cote de sécurité exigée?

  • Oui
  • Non
Critères d'inspection no 5

L'accès aux zones de sécurité et de haute sécurité (voir la remarque au point no 7) doit être surveillé en permanence. Le système d'alarme est-il correctement armé lorsque l'espace est inoccupé?

  • Oui
  • Non
Critères d'inspection no 6

Existe-t-il un registre des entrées et des sorties?

Remarque : Dans le cas des zones de haute sécurité, les données sur les accès sont enregistrées et vérifiées. Elles auront été recueillies dans certains cas par les lecteurs de cartes qui ouvrent les portes.

  • Oui
  • Non
Critères d'inspection no 7

Existe-t-il des procédures d'intervention écrites en cas d'alarme? Les procédures d'intervention sont-elles à jour (p. ex. est-ce que les personnes-ressources indiquées sont toujours les bonnes)?

  • Oui
  • Non
Section 2 - Inspection de la zone de sécurité
Critères d'inspection no 1

Les renseignements de nature délicate doivent être détruits conformément à la norme de destruction sécuritaire.

Y a-t-il une déchiqueteuse dans la zone? Une étiquette est-elle apposée sur la déchiqueteuse pour indiquer la cote de sécurité maximale des documents qu'on peut y détruire?

  • Oui
  • Non
Critères d'inspection no 2

Les renseignements de nature délicate sont-ils jetés à la poubelle ou placés dans un bac de recyclage?

Remarque : Si des renseignements de nature délicate sont trouvés dans la poubelle ou le bac de recyclage pendant l'inspection, l'équipe d'inspection de sécurité doit récupérer ces renseignements et s'assurer qu'ils sont correctement sécurisés et détruits.

  • Oui
  • Non
Critères d'inspection no 3

Serait-il possible d'observer des renseignements de nature délicate par une fenêtre?

  • Oui
  • Non
Critères d'inspection no 4

Des appareils électroniques personnels (téléphone cellulaire, clé USB, etc.) sont-ils connectés au matériel informatique du GC?

Remarque : Si l'équipe d'inspection de sécurité constate que des appareils électroniques personnels sont connectés à des équipements informatiques au cours de l'inspection, elle doit les déconnecter.

  • Oui
  • Non
Critères d'inspection no 5

Les renseignements et les biens protégés et/ou classifiés (p. ex. les supports de stockage portatifs) sont-ils sécurisés conformément à la norme GSMGC-007 - Transport, transmission et entreposage de matériel protégé ou classifié?

Remarque : Pour déterminer si des renseignements protégés ou classifiés se trouvent dans une pile de documents sur un bureau ou un autre meuble, il convient d'inspecter visuellement les documents pour y déceler des renseignements de nature délicate ou des en-têtes caractéristiques.

  • Oui
  • Non
Critères d'inspection no 6

Tous les contenants de sécurité (y compris les coffres-forts, les classeurs, les tiroirs de bureau, etc.) qui semblent contenir des renseignements ou des biens protégés ou classifiés sont-ils verrouillés?

Remarque :  Pour déterminer si un contenant de sécurité est déverrouillé, tenter de l'ouvrir normalement. Si le classeur ou le contenant de sécurité n'est pas verrouillé, effectuer une inspection visuelle afin de déterminer s'il semble contenir des renseignements ou des biens protégés ou classifiés.

  • Oui
  • Non
Critères d'inspection no 7

Toutes les clés ont-elles été retirées de leurs armoires et non pas laissées à la vue sur le bureau?

Remarque : Si des clés abandonnées sont découvertes lors de l'inspection de sécurité, l'équipe d'inspection de sécurité doit les emporter en lieu sûr.

  • Oui
  • Non
Critères d'inspection no 8

Certaines clés sont-elles faciles à trouver autour ou à l'intérieur du mobilier de bureau?

Remarque : Pour déterminer si une clé peut être facilement trouvée, ouvrir les tiroirs non verrouillés; vérifier sous les modules suspendus, rabats des cloisons des postes de travail modulaires et autres cachettes courantes. Si une clé est trouvée, il faut l'essayer sur les armoires du bureau ou du poste de travail de l'employé et procéder à une inspection visuelle de l'intérieur de l'armoire pour déterminer si elle semble contenir des renseignements ou des biens protégés ou classifiés.

  • Oui
  • Non
Critères d'inspection no 9

Peut-on facilement trouver des transcriptions de mots de passe ou de combinaisons rappelant des mots de passe?

Remarque :  Soulever des objets courants, p. ex. le téléphone, le clavier et les calendriers du bureau pour vérifier si un mot de passe s'y trouve. Si des mots de passe ou des combinaisons similaires à des mots de passe sont découverts lors de l'inspection de sécurité, l'équipe d'inspection de sécurité doit veiller à les enlever.

  • Oui
  • Non
Critères d'inspection no 10

Les pièces censées être protégées sont-elles correctement verrouillées et équipées d'une alarme? Si une pièce n'est pas sécurisée, procéder à l'inspection du bureau comme il est décrit ci-dessus.

  • Oui
  • Non

Annexe C - Taux de conformité en matière de sécurité

Le taux de conformité est le pourcentage total d'infractions à la sécurité de l'organisation. On le calcule en divisant le nombre total des infractions à la sécurité par le nombre d'employés, pour ensuite multiplier par 100. Le niveau acceptable de non-conformité se décide d'après le cadre de risque de l'organisation.

Calculé comme suit : 100 % - (nombre des atteintes/nombre d'employées x 100)

Vous trouverez ci-dessous un résumé de l'inspection de sécurité qui a été effectuée dans votre zone de responsabilité :

Taux de conformité en matière de sécurité (Exemple)

Nombre d'employés :

Nombre d'avis d'infraction à la sécurité :

Taux de conformité :

Type d'infraction à la sécurité
  • Renseignements Protégé A et/ou B
  • Renseignements Protégé C
  • Renseignements classifiés de niveau inférieur à Très Secret
  • Renseignements Très Secret ou d'un niveau supérieur
  • Ordinateur non protégé
  • Carte d'accès au bâtiment/jeton/clés
  • Appareil électronique personnel connecté à du matériel informatique
  • Découverte d'un mot de passe ou d'une combinaison rappelant un mot de passe
  • Porte de bureau non verrouillée (applicable aux bureaux fermés)
  • Alarme non activée (applicable à certains bureaux fermés)
  • Carte de crédit du GC ou espèces/chèques trouvés
  • Appareils mobiles
  • Armoires ou tiroirs semblant contenir des renseignements ou des biens protégés ou classifiés trouvés non verrouillés

Nombre total de violations :

Résumé des violations

Nombre :

Description :

Rapport d'incident de sécurité nombre :

Nombre total de violations constatées lors de l'inspection de sécurité :

Remarque : Une copie du présent Rapport d'inspection de sécurité doit être envoyée au gestionnaire et au groupe ou à la section de la sécurité du ministère.

Promulgation

Examiné et recommandé aux fins d'approbation.

J'ai examiné et je recommande aux fins d'approbation le Guide des inspections de sécurité - GSMGC-005 (2023).

Shawn Nattress
Gestionnaire, Principal organisme responsable de la sécurité de la GRC

Date: 2023-08-09

Approuvé

J'approuve par la présente le Guide des inspections de sécurité - GSMGC-005 (2023).

Gaétan Lafrance
Directeur intérimaire de la Sécurité matérielle de la GRC

Date: 2023-08-09

Date de modification :