Sélection de la langue

Clauses contractuelles visant l'équipement et les services de télécommunications (TSCG-01L)

Introduction

On est de plus en plus sensibilisés aux risques que posent les technologies potentiellement vulnérables ou modifiées qui peuvent pénétrer les réseaux de communications et l'infrastructure de technologie de l'information du gouvernement du Canada (GC) par l'intermédiaire de la chaîne d'approvisionnement.

Que peut-on faire?

Il est possible de réduire le risque d'acquérir et de déployer des produits potentiellement vulnérables ou modifiés en prévoyant des clauses de sécurité précises dans les contrats de Travaux publics et Services gouvernementaux Canada (TPSGC) qui visent à protéger l'intégrité, la disponibilité et la confidentialité des données et des communications du Canada. L'objectif d'appliquer des clauses de sécurité dans les contrats est de prévenir ou d'atténuer les risques à la chaîne d'approvisionnement d'équipement et de services de télécommunication au GC.

Des clauses de sécurité

Des clauses de sécurité ont été élaborées à partir d'un scénario de « services de télécommunications gérés », suivant lequel on confie à un entrepreneur la responsabilité de choisir, de mettre en oeuvre, d'exploiter et d'assurer la maintenance d'une infrastructure et des services de télécommunications. Certaines de ces clauses peuvent également servir à l'approvisionnement de solutions et d'équipement de télécommunication.

  • Transmission de données sensibles – cette clause porte sur la transmission de données, particulièrement celles jugées sensibles.
  • Habilitation de sécurité et accompagnement des entrepreneurs – cette clause porte sur l'habilitation de sécurité du personnel de l'entrepreneur qui a accès aux installations, à l'équipement ou aux données du système.
  • Sous-traitance – cette clause porte sur les situations où ce n'est pas l'entrepreneur qui exécute tous les travaux.
  • Schéma du réseau – cette clause porte sur les services ou les contrats de service géré où il y a une préoccupation quant à l'emplacement de l'équipement dans le réseau. L'entrepreneur est tenu de fournir de l'information sur la configuration du réseau utilisée pour assurer les services.
  • Assurance du produit/équipement et inventaire – cette clause fournit au Canada une liste complète de l'équipement utilisé pour la prestation des services de réseau et complète la clause relative à la configuration du réseau.
  • Emplacement des bases de données, acheminement du trafic du réseau et données – cette clause procure au Canada le contrôle sur l'emplacement des bases de données, le trafic et les données dans le réseau.
  • Connectivité et contrôle d'accès au réseau – cette clause porte sur le contrôle d'accès au réseau et aux bases de données et les tentatives d'ouverture de sessions non autorisées.
  • Protocoles de gestion de réseau – cette clause porte sur l'utilisation de protocoles de communication et de chiffrement sécurisés dans les réseaux du GC.
  • Évaluation et gestion de la vulnérabilité – cette clause concerne les rapports sur les vulnérabilités découvertes par l'entrepreneur et leur correction.
  • Chaîne d'approvisionnement et plan de reprise après sinistre – cette clause porte sur les exigences de planification et de rapport qui incombent à l'entrepreneur quant à la continuité des activités et la reprise après sinistre.
  • Sécurité physique – cette clause porte sur l'exigence de sécurité physique applicable aux locaux de l'entrepreneur en vue de protéger l'infrastructure utilisée dans le cadre des contrats de service de réseau ou de télécommunications.
  • Évaluation des menaces et des risques (EMR) – cette clause exige que l'entrepreneur mène une EMR qui décrit les menaces et les risques qui pourraient compromettre les réseaux ou les services du Canada assurés par l'entrepreneur.
  • Surveillance de sécurité et signalement d'incident – cette clause exige que l'entrepreneur surveille et signale l'utilisation anormale et non autorisée du réseau.
  • Vérification de sécurité – cette clause permet au Canada de vérifier la conformité de l'entrepreneur aux exigences de sécurité dans les contrats de service.
  • Changement de contrôle – cette clause exige de l'entrepreneur d'obtenir l'approbation du Canada pour un changement dans le contrôle réel de sa société qui pourrait se produire par l'achat d'une participation majoritaire.

Adaptation des clauses

Les utilisateurs devraient adapter les clauses de sécurité choisies à leurs propres exigences et aux menaces et aux vulnérabilités associées à l'approvisionnement planifié.

Compromis

Au moment de sélectionner et d'appliquer ces clauses dans les contrats d'approvisionnement, les utilisateurs devraient examiner attentivement l'incidence des mesures de sécurité retenues sur le coût, le calendrier et les besoins opérationnels. Les utilisateurs devraient chercher un compromis raisonnable entre le coût accru qu'imposent les exigences de sécurité et l'atténuation du risque qui découleraient de leur application. Sur demande, TPSGC et le CSTC peuvent aider les clients dans ces décisions. Pour de plus amples renseignements sur les lignes directrices connexes, veuillez communiquer avec le Service à la clientèle du CSTC.

Date de modification :