Conseils en matière de sécurité des technologies de l’information pour l’acquisition auprès du gouvernement des États-Unis d’équipement cryptographique approuvé par le CSTC (ITSG-26)

Avant-propos

Le document Conseils en matière de sécurité des technologies de l’information pour l’acquisition auprès du gouvernement des États-Unis d’équipement cryptographique approuvé par le CSTC (ITSG-26) est NON CLASSIFIÉ et est publié avec l’autorisation du chef du Centre de la sécurité des télécommunications Canada, conformément à la Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor du Canada.

Le Centre de la sécurité des télécommunications Canada informera les utilisateurs des changements apportés au présent document.

Les demandes de renseignements généraux et les suggestions de modification doivent être transmises aux Services à la clientèle en matière de COMSEC du Centre de la sécurité des télécommunications Canada par l’entremise des responsables de la sécurité des communications du ministère.

Table des matières

• Avant-propos
• Date d'entrée en vigueur
• List des figures
• Abréviations, sigles et acronymes
• 1 Introduction
  • 1.1 Objet
  • 1.2 Autorité
  • 1.3 Portée
  • 1.4 Contexet
  • 1.5 Application
  • 1.6 Public cible
  • 1.7 Renseignements et coordonnées
• 2 Rôles et Responsabilités
  • 2.1 Centre de la sécurité des télécommunications Canada
    • 2.1.1 Services à la clientèle en matière de COMSEC
  • 2.2 Travaux publics et Services gouvernementaux Canada
  • 2.3 Ministère du gouvernement du Canada
    • 2.3.1 Agent de sécurité du ministère ou autorité COMSEC du ministère
    • 2.3.2 Autorité en matière d’approvisionnement du ministère (Finances)
• 3 Méthodes d’achat
  • 3.1 Généralités
  • 3.2 Conditions préalables à l’approvisionnement
  • 3.3 Ventes de matériel militaire à l’étranger
  • 3.4 Ventes directes
• 4 Processus d’achat
  • 4.1 Généralités
  • 4.2 Détermination des besoins
  • 4.3 Procédure
  • 4.4 Processus d’approbation
  • 4.5 Ventes directes
  • 4.6 Ventes de matériel militaire à l’étranger
• 5 Glossaire
• 6 Bibliographie

Liste des figures

• Figure 1 - Aperçu comparatif des processus d'achat par FMS et par DS

Abréviations, sigles et acronymes

AA

Autorisation d’achat

ACM

Autorité COMSEC du ministère

AFS

Agent financier supérieur

AFU

Approbation d’utilisation

AND

Agence nationale de distribution

ASM

Agent de sécurité du ministère

CCD

Doctrine canadienne en matière de cryptographie

COMSEC

Sécurité des communications

CSTC

Centre de la sécurité des télécommunications Canada

CSTI

Coordonnateur de la sécurité des technologies de l’information

DAAEC

Demande d’autorisation pour l’achat d’équipement COMSEC

DCS

Direct Commercial Sales (É.-U.)

DEC

Demande d’équipement COMSEC

DGSM

Directive sur la gestion de la sécurité ministérielle

DoD

Département de la défense (É.-U.)

DoS

Département d’État (É.-U.)

DP

Demande de propositions

DS

Ventes directes

É.U.

États-Unis

FMS

Ventes de matériel militaire à l’étranger (É.-U.)

GC

Gouvernement du Canada

GOTS

Gouvernemental sur étagère

GSTI

Gestion de la sécurité des technologies de l’information

IDIQ

Indefinite Delivery Indefinite Quantity (É.-U.)

ITAR

International Traffic in Arms Regulations (É.-U.)

ITSD

Directive en matière de sécurité des technologies de l’information

ITSG

Conseils en matière de sécurité des technologies de l’information

LOA

Lettre d’offre et d’acceptation

LOR

Lettre de demande

NSA

National Security Agency

OCPN

Offre à commandes principale et nationale

PSG

Politique sur la sécurité du gouvernement

PSI

Programme de la sécurité industrielle

SCT

Secrétariat du Conseil du Trésor du Canada

TPSGC

Travaux publics et Services gouvernementaux Canada

TPSGC(O)

Travaux publics et Services gouvernementaux Canada – Ottawa

TPSGC(W)

Travaux publics et Services gouvernementaux Canada – Washington

USG

Gouvernement des États-Unis

Date d'entrée en vigueur

Le présent document entre en vigueur à la date de sa signature.

Signé initialement par

Toni Moffa
Chef adjointe, Sécurité des TI
Le 31 janvier 2013

© Gouvernement du Canada, Centre de la sécurité des télécommunications Canada, 2013

Il est permis de reproduire cette publication ou d'en extraire des parties, à condition que ce soit pour l'usage des ministères du gouvernement du Canada. La reproduction à de multiples exemplaires du présent document pour diffusion à des fins commerciales est interdite, sauf avec la permission écrite de l'administrateur des droits d'auteur du gouvernement du Canada, Travaux publics et Services gouvernementaux Canada.

1 Introduction

1.1 Objet

Le document Conseils en matière de sécurité des technologies de l’information pour l’acquisition auprès des États-Unis d’équipement cryptographique approuvé par le CSTC (ITSG-26) fournit des directives et des conseils concernant l’achat d’équipement cryptographique approuvé par le Centre de la sécurité des télécommunications Canada (CSTC) auprès des États-Unis (É.-U.) dans le cadre des programmes américains de ventes de matériel militaire à l'étranger (FMS pour Foreign Military Sales) et de ventes directes (DS pour Direct Sales).

NOTA : Le terme « ventes directes » utilisé au Canada correspond à la notion de « Direct Commercial Sales (DCS) » des É.-U.

1.2 Autorité

Le présent document est diffusé conformément à la Politique sur la sécurité du gouvernement (PSG) en vertu de laquelle le CSTC est le principal organisme responsable de la sécurité et l'autorité nationale pour l'élaboration, l'approbation et la promulgation des instruments de politique liés à la sécurité des communications (COMSEC pour Communications Security), dont des directives, des lignes directrices, des doctrines, des alertes et des bulletins.

1.3 Portée

Le présent document concerne uniquement le processus d’achat d’équipement cryptographique fabriqué dans le contexte des produits gouvernementaux sur étagère (GOTS pour Government Off-The-Shelf) des É.-U. Les produits GOTS servent à protéger les communications et les données classifiées et sont contrôlés en vertu de l’International Traffic in Arms Regulations (ITAR) des É.-U.

Les gouvernements autres que celui des É.-U. (USG pour U.S. Government), p. ex. le gouvernement du Canada (GC), qui désirent acquérir ces produits doivent obtenir au préalable l’approbation de l’USG. Le CSTC est l’agent de liaison officiel entre le GC et l’USG pour l’obtention des approbations requises à l’acquisition de ces produits.

L’équipement cryptographique inclut l’équipement et les systèmes conçus pour protéger l’information et les données classifiées et PROTÉGÉ C du GC. L’équipement COMSEC peut également inclure l’équipement cryptographique auxiliaire, l’équipement de production cryptographique et l’équipement d’authentification.

Tout intervenant qui envisage l’acquisition de dispositifs d’une autre source doit consulter directement les Services à la clientèle en matière de COMSEC.

1.4 Contexte

Le présent document appuie la PSG et la Directive sur la gestion de la sécurité ministérielle (DGSM). Il doit être lu en parallèle avec les publications suivantes :

• Directive sur le contrôle du matériel COMSEC au sein du gouvernement du Canada (ITSD-03), septembre 2011;
• Directive sur l’utilisation de l’équipement COMSEC et des clés approuvés par le CSTC dans un réseau de télécommunications (ITSD-04), novembre 2011.

1.5 Application

Le présent document s’adresse à toute entité du GC qui désire acquérir de l’équipement cryptographique approuvé par le CSTC provenant des É.-U.

1.6 Public cible

Le public cible inclut les agents de sécurité du ministère (ASM) et leurs représentants, les autorités COMSEC du ministère (ACM), les responsables de projets et tous ceux qui requièrent de l’équipement COMSEC ou qui participent au processus d’achat d’un tel équipement.

1.7 Renseignements et coordonnées

Les Services à la clientèle en matière de COMSEC du CSTC sont le principal point de contact des ministères du GC en ce qui concerne l’équipement COMSEC et l’information sur les produits :

Téléphone : 613-991-8495
Courriel : comsecclientservices@cse-cst.gc.ca

2 Rôles et responsabilités

2.1 Centre de la sécurité des télécommunications Canada

Tel que stipulé dans la PSG, le CSTC est l’autorité nationale en matière de COMSEC. Ses responsabilités incluent l’approbation d’utilisation (AFU pour Approval for Use) de dispositifs spécifiques de protection de l’information classifiée. Pour l’acquisition des dispositifs COMSEC, les gouvernements étrangers transigent uniquement par l’intermédiaire de leur organisme COMSEC national respectif. Le CSTC prépare ensuite une doctrine canadienne en matière de cryptographie (CCD pour Canadian Cryptographic Doctrine) et autorise l’utilisation de l’équipement au Canada.

Nota : Pour toute information supplémentaire concernant les autorités, les rôles et les responsabilités en matière de COMSEC, prière de consulter l’ITSD-03.

2.1.1 Services à la clientèle en matière de COMSEC

Les Services à la clientèle en matière de COMSEC sont le principal point de contact des ministères du GC en ce qui concerne l’équipement cryptographique approuvé par le CSTC et l’information sur les produits.

Ils doivent approuver au cas par cas l’achat de tout équipement cryptographique et, de plus, assumer les responsabilités suivantes :

• recommander les solutions COMSEC approuvées par le CSTC aux ministères et organismes du GC, conformément à leurs besoins;
• obtenir l’autorisation d’utiliser l’équipement COMSEC provenant de pays étrangers;
• coordonner l’évaluation initiale de tous les types d’équipement COMSEC entrant au Canada;
• préparer et diffuser les AFU de tout équipement cryptographique approuvé par le CSTC;
• donner des conseils relativement aux mécanismes d’achat (FMS ou DS) à utiliser pour l’équipement COMSEC;
• indiquer l’adresse de livraison et le compte COMSEC auquel le matériel acheté doit être expédié au Canada;
• approuver les commandes de clés initiales du nouvel équipement.

Nota : Dans la majorité des cas, l’Agence nationale de distribution (AND) du CSTC est l’entité à laquelle le matériel acheté doit être expédié au Canada.

2.2 Travaux publics et Services gouvernementaux Canada

À titre d’autorité en matière d’approvisionnement pour le GC, Travaux publics et Services gouvernementaux Canada (TPSGC) doit participer à l’acquisition de tout équipement cryptographique. En vertu de la PSG, TPSGC voit à l’application des mesures de sécurité à toutes les étapes du processus d’attribution des contrats énoncées dans le Programme de la sécurité industrielle (PSI).

Plus particulièrement, le bureau de TPSGC à Ottawa (TPSGC[O]) est responsable des ententes contractuelles avec les fabricants des É.-U. pour les achats effectués dans la cadre du programme DS. D’autre part, le bureau de TPSGC situé dans l’ambassade du Canada à Washington (TPSGC[W]) est responsable des ententes contractuelles avec l’USG pour les achats effectués dans la cadre du programme FMS. De plus, TPSGC est chargé d’informer les clients de l’état de leurs commandes.

Nota : Les entreprises du secteur privé relèvent de TPSGC pour tout ce qui touche les marchandises contrôlées et doivent communiquer avec l’organisme pour assurer leur participation au Programme des marchandises contrôlées.

2.3 Ministère du gouvernement du Canada

Chaque ministère du GC est responsable de la sécurité de son personnel et de son information, de sa sécurité physique, des relations avec le courtier en douane (voir la section 4.3), de ses besoins en matière de COMSEC et de la gestion de ses biens COMSEC.

2.3.1 Agent de sécurité du ministère ou autorité COMSEC du ministère

L’ASM est désigné par l’administrateur général du ministère. Parmi les tâches énumérées dans la PSG, l’ASM est l’autorité responsable de définir les besoins dans le cadre du processus d’autorisation des achats d’équipement cryptographique approuvé par le CSTC. L’ASM peut désigner une ACM pour agir en son nom. L’ASM ou l’ACM est responsable d’enclencher et de gérer le processus d’achat du ministère concernant l’équipement cryptographique approuvé par le CSTC.

Nota 1 : Selon la structure organisationnelle, le rôle de l’ASM est parfois partagé avec celui du coordonnateur de la sécurité des technologies de l’information (CSTI) du ministère.

Nota 2 : Le CSTI est autorisé à signer la Demande d’autorisation pour l’achat d’équipement COMSEC (DAAEC) au nom de l’ASM.

2.3.2 Autorité en matière d’approvisionnement du ministère (Finances)

L’autorité en matière d’approvisionnement du ministère est chargée d’approuver et d’autoriser les acquisitions avant l’adjudication des contrats par TPSGC. Au moment d’approuver une demande particulière, l’autorité en matière d’approvisionnement du ministère examine et valide, sur le plan de l’exhaustivité et de l’exactitude, la documentation requise et la transmet à l’autorité acheteuse appropriée de TPSGC. L’autorité en matière d’approvisionnement du ministère est également le principal point de contact entre les utilisateurs et TPSGC.

3 Méthodes d'achat

3.1 Généralités

Bien que les mécanismes du processus d’achat soient normalement transparents pour l’utilisateur (une commande est passée et le client attend de recevoir l’équipement cryptographique), ce dernier peut « observer » certaines différences. Par exemple, la méthode de paiement pour les achats par FMS exige que le paiement soit versé avant la livraison alors que le paiement des achats par DS est effectué après la livraison et l’acceptation des produits.

Cette section décrit les deux méthodes d’achat (FMS et DS) qui s’appliquent à tous les ministères du GC et qui sont approuvées par l’USG.

Nota : Les entreprises du secteur privé ne sont pas autorisées à acheter ou à posséder de l’équipement cryptographique approuvé par le CSTC.

3.2 Conditions préalables à l’approvisionnement

Pour qu’un ministère du GC puisse acquérir et comptabiliser de l’équipement cryptographique approuvé par le CSTC (p. ex. les produits GOTS des É.-U.), il doit, au minimum :

• établir un compte COMSEC auprès du CSTC;
• désigner une ACM et le personnel de garde COMSEC (gardien et gardien suppléant);
• s’assurer que le personnel suit une formation COMSEC approuvée par le CSTC.

Nota : Le ministère est également tenu de désigner un courtier en douane pour libérer les marchandises des autorités douanières.

3.3 Ventes de matériel militaire à l'étranger

L’achat en vertu du programme FMS d’équipement cryptographique approuvé par le CSTC exige l’établissement d’une association commerciale gouvernement à gouvernement. TPSGC(W) est le seul point de contact autorisé du Canada pour les contrats attribués dans le cadre du programme FMS. Lorsqu’il reçoit une demande assortie des fonds nécessaires de l’équipe de gestion des produits de l’administration centrale de TPSGC à Ottawa, TPSGC(W) négocie une entente contractuelle gouvernement à gouvernement avec le Département de la défense (DoD pour Department of Defense) des États-Unis pour le matériel concerné. Cette relation contractuelle unique est basée sur l’acceptation par TPSGC(W) d’une lettre d’offre et d’acceptation (LOA pour Letter of Offer and Acceptance) officielle de l’USG qui énonce en détail les conditions générales liées au FMS que l’USG a négociées avec les fabricants de produits COMSEC et qui inclut des notes sur les exigences particulières. Ces contrats sont également désignés sous le nom de contrats à prestations et à quantités indéterminées (IDIQ pour Indefinite Delivery Indefinite Quantity).

L’entente de FMS constitue un contrat et inclut la liste des conditions qui dictent les rôles et responsabilités des deux parties. Ces conditions incluent entre autres ce qui suit :

• les prix établis dans le cadre du FMS sont habituellement non négociables;
• les prix établis dans le cadre du FMS peuvent être modifiés à n’importe quel moment, avant ou après la livraison;
• l’USG charge des frais supplémentaires pour la récupération de ses coûts;
• les prix peuvent inclure, sans s’y limiter, le prix de l’article, les frais non périodiques de recherche et développement, les frais d’emballage et de manutention, et les frais administratifs;
• l’échéancier de livraison n’est pas définitif et peut varier selon les priorités du gouvernement des É.-U.

Nota : Les Services à la clientèle en matière de COMSEC peuvent expliquer les coûts de l’USG au cours de leurs négociations avec un ministère du GC, puisque les frais supplémentaires sont sujets à modifications.

3.4 Ventes directes

Pour les achats effectués dans le cadre du programme DS, TPSGC négocie directement avec le fabricant américain approuvé l’achat de l’équipement concerné, avec l’autorisation de l’USG (s’il s’agit d’équipement cryptographique, la National Security Agency [NSA] transmet l’autorisation par l’entremise du CSTC). Seul TPSGC(O) est autorisé à mener des négociations contractuelles associées aux demandes d’achat par DS d’équipement cryptographique pour le GC, quelle qu’en soit la valeur. La seule exception concerne l’utilisation de l’offre à commandes principale et nationale (OCPN) instaurée pour permettre aux ministères autorisés de commander directement leurs produits, pourvu que les limites financières des commandes subséquentes, énoncées dans l’OCPN, soient respectées. Ces offres à commandes peuvent être consultées dans l’Index des offres à commandes.

Il importe de souligner qu’une fois la DS autorisée, l’USG n’est plus responsable du transport et de la condition du matériel acheté. Tout problème subséquent à l’achat doit être résolu dans le cadre de négociations entre le Canada (TPSGC) et le fabricant.

4 Processus d'achat

4.1 Généralités

Les sections ci-après décrivent en détail le processus d’achat utilisé par les ministères du GC pour l’acquisition d’équipement cryptographique auprès des É.-U.

4.2 Détermination des besoins

Les besoins en matière d’équipement COMSEC sont déterminés au sein du ministère du GC, qu’il s’agisse de remplacer les stocks existants ou d’acquérir du nouveau matériel.

Nota : On recommande aux ministères du GC de collaborer avec les Services à la clientèle en matière de COMSEC dès que possible au cours du processus de détermination des besoins afin de réduire les retards potentiels et de choisir le matériel qui convient le mieux à la situation.

Normalement, si l’on présume que les fonds nécessaires sont disponibles ou ont été engagés, le responsable de l’organisation utilisatrice détermine les besoins et communique avec l’autorité appropriée (ASM, CSTI ou ACM) en vue d’acquérir de l’équipement COMSEC pour son ministère. Outre les approbations ministérielles requises, le responsable doit remplir deux formulaires et les présenter au CSTC. La Demande d’équipement COMSEC (DEC) et la DAAEC, une fois remplies et signées par la ou les autorités appropriées, comprennent toute l’information et toutes les autorisations exigées par le CSTC, l’USG et l’autorité responsable des achats concernée pour enclencher le processus d’achat d’équipement COMSEC.

Nota : Le ministère client et le CSTC conservent la DEC, qui ne doit pas être partagée avec l’USG ou TPSGC.

4.3 Procédure

La présente section décrit les deux processus d’achat (FMS et DS) qui s’appliquent à tous les ministères du GC et qui sont approuvés par l’USG.

Le personnel du ministère du GC doit respecter la procédure suivante :

• remplir la DEC;
• remplir la DAAEC;
• présenter les DEC et DAAEC dûment remplies aux Services à la clientèle en matière de COMSEC;
• une fois l’autorisation accordée, le CSTC inscrit un numéro d’autorisation d’achat sur la DAAEC et la retourne au ministère effectuant l’achat, tel que décrit à l’étape 1 ci-dessous;
• le ministère effectuant l’achat transmet ensuite à TPSGC une demande d’approvisionnement (contrat), à laquelle est annexée la DAAEC signée et approuvée;
• les directives d’expédition sont incluses dans la DAAEC (communiquer avec les Services à la clientèle en matière de COMSEC pour obtenir l’adresse postale COMSEC du CSTC).

Lorsqu’un ministère du GC passe une commande d’équipement cryptographique approuvé par le CSTC, le fournisseur des É.-U. prépare l’envoi et l’expédie à l’AND au CSTC. Cet envoi arrivera aux douanes canadiennes et devra être libéré par le courtier en douane du ministère effectuant l’achat. Habituellement, le ministère doit, le plus tôt possible au cours du processus d’achat, déterminer quel courtier en douane est responsable de son compte afin d’éviter tout retard dans le processus de dédouanement. Pour plus de détails sur les entreprises de courtage en douane, prière de communiquer avec les Services à la clientèle en matière de COMSEC.

Nota : L’AND au CSTC est l’agence de distribution pour tout l’équipement cryptographique approuvé par le CSTC au Canada et ne peut pas dédouaner les envois au nom d’autres ministères du GC. Pour minimiser les retards, il est bon d’informer le courtier en douane et l’AND de l’arrivée des envois.

4.4 Processus d'approbation

Les Services à la clientèle en matière de COMSEC examinent et confirment les besoins énumérés dans la DAAEC. Si les besoins énumérés en détail dans la DEC et la DAAEC ont été satisfaits, les Services à la clientèle en matière de COMSEC attribuent un numéro d’autorisation d’achat (AA) à la DAAEC. Ce numéro permet au CSTC d’effectuer le suivi interne de l’achat.

4.5 Ventes directes

Cette section s’applique uniquement aux achats effectués en vertu du programme DS. Si elle ne s’applique pas à l’achat actuel, prière de se reporter à la section 4.6. Il y a deux types de contrats de TPSGC : le contrat adjugé à un fournisseur exclusif et le contrat adjugé à la suite d’un processus de demande de propositions (DP). TPSGC est chargé de négocier les conditions du contrat ainsi que le prix du matériel. Le processus de DS est décrit aux étapes 1 à 10 ci-dessous.

Fournisseur exclusif :

Ce type de contrat peut être adjugé par TPSGC uniquement lorsqu’un seul fabricant répond aux besoins énoncés par le ministère du GC.

Demande de propositions :

Si plusieurs fabricants sont en mesure de répondre aux besoins énoncés par le ministère du GC, l’achat d’équipement cryptographique approuvé par le CSTC doit faire l’objet d’un processus de demande de propositions.

Nota 1 : Prière de communiquer avec TPSGC pour obtenir de l’information détaillée sur les exigences liées aux contrats à fournisseur exclusif et aux DP.

Nota 2 : Les Services à la clientèle en matière de COMSEC peuvent donner des conseils concernant la disponibilité de l’équipement auprès de divers fabricants.

Étape 1 – Approbation

Les Services à la clientèle en matière de COMSEC déterminent si l’USG a déjà approuvé une quantité spécifique d’articles d’un équipement cryptographique particulier demandé par le ministère du GC. Cette approbation est fournie au CSTC sous forme de lettre d’autorisation, décrite en détail à l’étape 2 ci-dessous.

Si le CSTC n’a aucune lettre d’autorisation de la NSA dans ses dossiers pour l’équipement demandé, ou si la quantité demandée par le ministère du GC est telle qu’elle dépasse la quantité autorisée par la NSA, le CSTC doit demander à la NSA d’autoriser un plus grand nombre d’achats par DS pour le produit particulier du fabricant. Si la NSA approuve la demande, elle transmet une autre lettre d’autorisation au fabricant et en remet une copie au CSTC. Si elle refuse la demande, le CSTC doit alors en informer le client. D’habitude, le ministère du GC choisira d’effectuer un achat par FMS, ce qui enclenchera le processus de FMS.

Étape 2 – Autorisation des ventes

Lorsque le CSTC demande à la NSA une autorisation d’acheter un type d’équipement cryptographique au moyen du processus de DS et que la NSA approuve la demande, une lettre d’autorisation est transmise au fabricant et au CSTC. Cette lettre indique que la NSA autorise le GC à acheter une quantité précise d’articles de cet équipement en vertu du programme DS. La lettre inclut un numéro de référence attribué par la NSA, que le CSTC inscrit sur la DAAEC et qui autorise le fabricant à entreprendre les activités visant à répondre aux besoins énoncés dans le contrat d’approvisionnement de TPSGC. Ce contrat est lié à la DAAEC et au numéro de référence de la NSA, ce qui fournit au fabricant l’autorisation nécessaire.

Étape 3 – Notification du CSTC

La NSA transmet une copie électronique de la lettre d’autorisation au CSTC, qui la conserve dans ses dossiers.

Étape 4 – Agence nationale de distribution – Avis d’expédition

Les Services à la clientèle en matière de COMSEC transmettent une copie de la DAAEC à l’AND au CSTC pour la tenue à jour de ses dossiers. De cette manière, le personnel de l’AND est informé de l’identité de la personne qui attend l’équipement et de celle de la personne avec qui communiquer lorsqu’il recevra l’envoi.

Étape 5 – Retour de la DAAEC approuvée

Une fois que le CSTC a obtenu toute l’information nécessaire pour enclencher le processus d’approvisionnement, la DAAEC est approuvée et retournée à la personne autorisée du ministère effectuant l’achat.

Étape 6 – Lancement du processus d’achat

La DAAEC approuvée par le CSTC et tout autre document d’achat requis par le ministère (comme l’autorisation de financement) sont transmis à l’ASM, au CSTI ou à l’ACM, qui l’acheminera à l’autorité en matière d’approvisionnement du ministère.

Étape 7 – Processus d’achat du ministère

L’autorité en matière d’approvisionnement du ministère exécute son propre processus d’autorisation et prépare les documents d’achat requis à partir de l’information contenue dans la DAAEC, et des renseignements d’accompagnement, pour que TPSGC(O) puisse donner suite au processus d’approvisionnement. TPSGC(W) ne participe d’aucune façon aux achats par DS.

Étape 8 – Traitement par TPSGC et la NSA

Au cours de cette étape du processus d’acquisition, TPSGC(O) valide la demande en confirmant que toute l’information nécessaire a été fournie par le ministère effectuant l’achat, y compris les signatures requises, les détails de l’achat et les numéros de contrôle nécessaires au financement.

Étape 9 – Fabrication et transport de l’équipement cryptographique

Une fois que le fabricant a obtenu un contrat valable de la NSA, il peut commencer à fabriquer l’équipement cryptographique demandé. Lorsque la commande peut être remplie, l’équipement est emballé et expédié au Canada. L’exportation de marchandises contrôlées, comme l’équipement COMSEC, est assujettie à une règlementation rigoureuse du Département d’État (DoS pour Department of State) des É.-U.

En vertu de cette règlementation, l’équipement acheté doit être transporté par des services de messagerie ou de marchandises autorisés à transporter des marchandises contrôlées au bureau des douanes canadiennes le plus près d’Ottawa. Ensuite, le courtier en douane du ministère effectuant l’achat prend les mesures nécessaires pour dédouaner les marchandises et les expédier à l’AND au CSTC. L’AND détient un compte COMSEC des É.-U.; lorsque l’équipement COMSEC destiné au ministère du GC est exporté au Canada, il est imputé à ce compte.

Étape 10 – Livraison de l’équipement cryptographique à l’utilisateur

L’AND au CSTC reçoit l’envoi et effectue les inspections requises de l’équipement; elle valide et confirme la commande en la comparant aux dossiers qu’elle détient (obtenus à l’étape 3) et qui sont associés à l’envoi. Elle remplit et signe les documents comptables COMSEC nécessaires et informe le gardien COMSEC que l’envoi peut être livré.

4.6 Ventes de matériel militaire à l’étranger

Cette section s’applique uniquement aux achats par FMS. Pour les achats par DS, prière de se reporter à la section 4.5. Le processus d’achat par FMS est décrit aux étapes 1 à 8 ci-dessous.

Étape 1 – Formulaire de TPSGC

TPSGC(O) remplit le formulaire 1062, Administration des approvisionnements (réallocation), conserve une copie des documents d’approvisionnement pour la tenue à jour de ses dossiers, et transmet les originaux à TPSGC(W). Par la suite, TPSGC(O) n’intervient plus officiellement dans le processus d’achat par FMS.

Avant que TPSGC(W) approuve et accepte un achat par FMS, l’agent financier supérieur (AFS) du ministère doit, conformément aux exigences de la politique du Secrétariat du Conseil du Trésor (SCT), approuver chaque transaction individuelle de FMS (modifications et nouveaux contrats) ou approuver de manière générale l’ensemble du processus de FMS (approche privilégiée).

Nota : Voir l’Annexe A de l’Avis sur la Politique des marchés pour les marchés non concurrentiels.

Étape 2 – Lettre de demande

Une fois que l’AFS a approuvé l’achat, TPSGC(W) prépare une lettre de demande (LOR pour Letter of Request), qui inclut les détails de la demande d’achat par FMS contenus dans le formulaire 1062 et la DAAEC. La lettre est signée et transmise à la NSA.

Lorsqu’elle reçoit la LOR, la NSA ouvre un dossier FMS et lui attribue un numéro de dossier FMS. Ce numéro servira de numéro de référence tant que le dossier demeurera ouvert.

Étape 3 – Agence nationale de distribution – Avis d’expédition

Les Services à la clientèle en matière de COMSEC transmettent une copie de la DAAEC à l’AND au CSTC pour la tenue à jour de ses dossiers De cette manière, le personnel de l’AND est informé de l’identité de la personne qui attend l’équipement et de celle de la personne avec qui communiquer lorsqu’il recevra l’envoi.

Étapes 4 à 8

Ces étapes sont identiques aux étapes 6 à 10 du processus de DS.

La Figure 1 donne un aperçu comparatif des processus de FMS et de DS, accompagné d’un échéancier estimatif.

Figure 1 - Aperçu comparatif des processus d’achat par FMS et par DS

5 Glossaire

Agent de sécurité du ministère (ASM)

Personne chargée d'élaborer, de mettre en œuvre, de maintenir, de coordonner et de surveiller un programme de sécurité du ministère qui soit conforme à la Politique sur la sécurité du gouvernement et aux normes qui s'y rattachent.

Autorité COMSEC du ministère (ACM)

Personne désignée par l'agent de sécurité du ministère et responsable devant celui-ci d'élaborer, de mettre en œuvre, de maintenir, de coordonner et de surveiller un programme COMSEC du ministère qui soit conforme à la Politique sur la sécurité du gouvernement et aux normes qui s'y rattachent.

Centre d’assistance en matière de matériel cryptographique (CAMC)

Entité au sein du Centre de la sécurité des télécommunications chargée de tous les aspects liés à la commande des clés, y compris la gestion des privilèges, et responsable de la gestion du Bureau national des dossiers et de l'administration du centre d'assistance.

Doctrine canadienne en matière de cryptographie (CCD)

Normes de sécurité minimales pour la protection, le contrôle et l’utilisation de l’équipement et des systèmes COMSEC approuvés par le Centre de la sécurité des télécommunications Canada.

Gardien COMSEC

Personne désignée responsable, par l'autorité COMSEC d'un ministère, de la réception, de l'entreposage, de la distribution, de la comptabilité, de la disposition et de la destruction de tout le matériel COMSEC porté au compte COMSEC du ministère, ainsi que de l'accès à ce matériel.

Matériel COMSEC

Matériel conçu pour sécuriser ou authentifier l'information de télécommunications. Le matériel COMSEC comprend, sans s'y limiter, les clés, l'équipement, les modules, les dispositifs, les documents, le matériel informatique, et les micrologiciels ou logiciels qui comportent ou décrivent une logique cryptographique et d'autres articles qui exécutent des fonctions COMSEC.

Sécurité des communications (COMSEC)

Application de mesures de sécurité cryptographique, de sécurité des transmissions et des émissions, et de sécurité matérielle, ainsi que de pratiques et de mécanismes de contrôle opérationnels pour empêcher tout accès non autorisé à l'information issue de télécommunications et pour garantir l'authenticité de ces télécommunications.

6 Bibliographie

Les documents suivants ont servi à l’élaboration du présent document :

• Centre de la sécurité des télécommunications Canada :
  • Directive sur le contrôle du matériel COMSEC au sein du gouvernement du Canada (ITSD-03), octobre 2011.
  • Directive sur l’utilisation de l’équipement COMSEC et des clés approuvés par le CSTC dans un réseau de télécommunications (ITSD-04), novembre 2011.
• Travaux publics et Services gouvernementaux Canada :
  • Guide des approvisionnements, version 08-2, 12 décembre 2008.
• Secrétariat du Conseil du Trésor du Canada :
  • Directive sur la gestion de la sécurité ministérielle (DGSM), juillet 2009.
  • Gestion de la sécurité des technologies de l’information (GSTI), mai 2004.
  • Politique sur la sécurité du gouvernement (PSG), juillet 2009.