Guide sur la sécurité des mandataires du ministère de la Justice

Annexe C : Exigences en matière de sécurité des technologies de l’information

Formation et sensibilisation du personnel

Les mandataires doivent mettre en place une formation annuelle de sensibilisation à la sécurité offerte sur place ou en ligne, complétée par des mises à jour trimestrielles. La formation sur la sensibilisation à la sécurité doit mettre l’accent sur les politiques, les procédures et les contrôles actuels mis en place par le mandataire pour renforcer la confiance des employés dans l’infrastructure de TI sous-jacente. Elle peut traiter un certain nombre de questions de sécurité pertinentes, notamment les logiciels malveillants, les rançongiciels, l’hameçonnage, les supports amovibles, les mots de passe, l’accès à distance, etc.

Protection des données

La clé de la protection des données est de veiller à ce que seules les personnes appropriées ayant la cote de sécurité appropriée et le besoin de connaître aient accès aux données. Toutes les autres personnes ne peuvent pas accéder à ces données grâce à une combinaison de contrôles d’accès et de chiffrement. Des sauvegardes régulières permettent de veiller à la disponibilité des données même lors d’événements imprévus (p. ex. attaques par rançongiciel).

Accès au réseau et configuration

Un pare-feu de périmètre est généralement utilisé pour contrôler le flux d’information dans le réseau d’une entreprise. Le pare-feu doit être configuré de manière à interdire tout flux d’information par défaut et à n’autoriser que les flux d’information qui ont été spécifiquement autorisés. Ce pare-feu doit être configuré pour s’arrêter en cas de défaillance. Lors de l’utilisation de réseaux privés virtuels (RPV), l’authentification à deux facteurs est recommandée. En ce qui a trait à l’accès sans fil, l’authentification des dispositifs peut être mise en œuvre pour veiller à ce que les dispositifs non autorisés, y compris les dispositifs personnels, n’aient pas accès au réseau du mandataire.

Fournisseurs de services externes

Certains mandataires peuvent confier certains aspects de leurs TI à des fournisseurs de services externes. Le mandataire doit contrôler adéquatement chacun des fournisseurs de services externes afin de veiller à ce que les données de nature délicate soient adéquatement protégées en tout temps.

Matériel de TI perdu

En cas de perte d’un système ou d’un appareil organisationnel contenant des renseignements de nature délicate, les mandataires doivent avoir un plan pour intervenir de façon efficace.

Cyberévaluations

Le mandataire doit régulièrement effectuer une évaluation des risques à l’échelle de l’entreprise visant tous les points d’accès, les réseaux, les utilisateurs et les autres aspects afin de cibler les vulnérabilités potentielles qui pourraient être exploitées. Cette évaluation des risques doit englober les aspects à risque plus élevé, comme les fournisseurs de services externes, l’accès à distance et l’approche « apportez votre équipement personnel de communication » (AVEC).

Date de modification :: 2026-02-19

Language selection

Recherche

Avertissement concernant une fraude téléphonique