Solutions de communications sécurisées

Le Centre pour la cybersécurité offre des avis et des conseils sur l’utilisation de produits commerciaux approuvés à deux couches pour protéger des données classifiées jusqu’au niveau SECRET inclusivement. Ce service gratuit est offert à tous les ministères du gouvernement du Canada.

L’équipe des Communications sécurisées, ingénierie et assurance (SCEA) offre des conseils sur les sujets suivants :

• les architectures de cybersécurité;
• des composants commerciaux validés;
• des intégrateurs fiables reconnus.

Cette approche de sécurité moyenne offre une autre solution aux clients qui comptent habituellement sur des produits de protection haute sécurité pour les données classifiées SECRET.

Les solutions de communications sécurisées contribuent à sécuriser les données en transit et les données au repos, y compris :

• les communications mobiles sans fil;
• les infrastructures de réseau classifiées.

Services

• Programme de solutions sécurisées sur mesure : Des solutions commerciales de protection de sécurité moyenne à deux couches adaptées aux besoins de votre ministère.
• Programme d’intégrateurs fiables : Des entreprises professionnelles sous-traitantes tierces en matière de sécurité des TI reconnues et ayant une expertise dans les solutions sécurisées sur mesure.

Programme de solutions sécurisées sur mesure

Dans les cyberenvironnements actuels, il est essentiel de protéger les communications contre les auteures et auteurs de menace dotés de moyens de plus en plus sophistiqués.

Le Programme de solutions sécurisées sur mesure (SSM) est conçu pour aider à répondre aux besoins de l’environnement opérationnel moderne au niveau SECRET en fournissant des produits de protection de sécurité moyenne adaptés aux besoins de votre ministère.

Le Programme est basé sur le principe selon lequel des produits commerciaux sur étagère (COTS) à deux couches bien configurés peuvent protéger adéquatement les données classifiées jusqu’au niveau SECRET inclusivement.

Les avantages du Programme de solutions sécurisées sur mesure

Les clients du Programme de SSM peuvent s’attendre à obtenir :

• des avis et des conseils de spécialistes en la matière portant sur :
  • les besoins des clients,
  • des options de conception de solutions,
  • des évaluations des risques;
• un accès à des ressources, notamment :
  • des documents d’architecture de référence,
  • des trousses d’aide pour la clientèle,
  • des outils pour la clientèle;
• du soutien continu :
  • lors des processus de conception et de mise en œuvre,
  • tout au long du cycle de vie de la solution.

La surveillance de la sécurité est essentielle pour détecter les activités suspectes dans une solution sécurisée. Il incombe au client de déployer ces services de surveillance pour améliorer la posture de sécurité de sa solution. Pour obtenir de plus amples renseignements sur les exigences en matière de surveillance de la sécurité, veuillez communiquer directement avec le Programme de SSM.

Les étapes du Programme de solutions sécurisées sur mesure

Le Programme de SSM est divisé en trois grandes étapes.

Étape 1 : Intégration du client

Le Programme de SSM collabore avec vous pour comprendre les besoins de votre ministère et trouver des solutions pour arriver au résultat souhaité.

Étape 2 : Adaptation et mise en œuvre de la solution

Une représentante ou un représentant du Programme de SSM discute en détail des options avec vous pour s’assurer que le produit final est sécurisé, conforme aux exigences et adapté aux besoins.

Étape 3 : Rapport d’analyse des risques et des écarts

Le processus de rapport d’analyse des risques et des écarts (RaDaR) est un cycle de communication continue entre le Programme de SSM et le client. Il commence le plus tôt possible et se poursuit tout au long du cycle de vie de la solution sécurisée, y compris après son déploiement.

Lors du processus de RaDaR, votre représentante ou représentant du Programme de SSM :

• examinera tous les écarts signalés par la cliente ou le client;
• évaluera les risques;
• indiquera les préoccupations;
• déterminera les mesures d’atténuation.

Ensembles de capacités et annexes utilisés couramment

Le Programme de SSM est inspiré du programme de solutions commerciales à des fins classifiées (CSfC pour Commercial Solutions for Classified) mis au point par la National Security Agency aux États-Unis. Les SSM sont fondées sur des architectures de référence, appelées ensembles de capacités et annexes.

Le Programme de SSM fournit aux clients des manuels canadiens qui fournissent des directives pour la mise en œuvre d’ensembles de capacités et d’annexes dans le contexte canadien. Il donne également accès à des documents classifiés d’analyse des risques pour les ensembles de capacités et les annexes, au besoin.

Voici une liste des ensembles de capacités et annexes (en anglais seulement) les plus couramment utilisés du programme CSfC. Votre représentante ou représentant du Programme de SSM peut vous aider à trouver les ressources les plus adaptées à vos besoins.

 

• Ensemble de capacités pour l’accès mobile

  L’ensemble de capacités pour l’accès mobile (MA CP) protège les données mobiles classifiées en transit, y compris les communications vocales et vidéo, transmises par des réseaux câblés, des réseaux cellulaires nationaux et des réseaux sans fil.

• Ensemble de capacités pour le réseau local sans fil de type campus

  L’ensemble de capacités pour les réseaux locaux sans fil de type campus (WLAN CP) permet aux appareils commerciaux d’utilisateurs finaux d’accéder aux services d’entreprise sécurisés lors de la transmission d’information sur un réseau sans fil privé du gouvernement du Canada (GC).

• Ensembles de capacités pour la connectivité multisite

  L’ensemble de capacités pour la connectivité multisite (MSCCP) protège les données classifiées au moyen de multiples tunnels chiffrés et de multiples couches de produits COTS offrant une protection adéquate des données classifiées en transit sur un réseau non sécurisé ou sur un réseau de niveau de sécurité différent.

• Ensemble de capacités pour les données au repos

  L’ensemble de capacités pour les données au repos (DARCP) protège l’information stockée sur un appareil d’utilisateur final ou sur un système chiffré de données au repos qui est hors tension ou qui n’est pas en cours d’utilisation.

• Annexe sur les exigences de mise en œuvre pour les réseaux gris d’entreprise

  Cette annexe aide les clients à élargir leurs réseaux de façon durable et de façon à couvrir de grandes superficies géographiques, en tirant parti de leurs infrastructures et de leurs services existants.

• Annexe sur les exigences relatives à la gestion de clés

  Cette annexe décrit en détail la façon dont les solutions basées sur l’ensemble de capacités pour les données en transit utilisent les algorithmes asymétriques pour établir des tunnels de chiffrement à deux couches (extérieur et intérieur).

• Annexe sur les exigences relatives à la gestion de clés symétriques

  Cette annexe se veut un addenda aux ensembles de capacités existants sur le plan de la conception et définit l’utilisation de clés prépartagées symétriques pour fournir une protection cryptographique à résistance quantique pour l’information classifiée.

• Annexe sur la surveillance continue

  Cette annexe fournit des directives sur la collecte et l’analyse de données de réseau et de sécurité. Il convient de l’intégrer dans l’architecture de la solution dans le cadre d’une stratégie globale de gestion des risques et de sécurité de l’information axée sur la défense en profondeur.

• Annexe sur les exigences du système de détection d’intrusion sans fil (WIDS) et du système de prévention d’intrusion sans fil (WIPS)

  Cette annexe fournit des directives sur la surveillance et la protection des systèmes d’accès au réseau local sans fil (WLAN) et la sécurisation d’espaces classifiés en ayant recours à des systèmes WIDS/WIPS.

Programme d’intégrateurs fiables

Le Programme d’intégrateurs fiables reconnaît les entreprises professionnelles sous-traitantes tierces en matière de sécurité des TI (intégrateurs fiables) qui ont démontré qu’elles possèdent une expérience suffisante dans le développement, la mise en œuvre et la mise à l’essai (intégration) de solutions sécurisées sur mesure.

Avantages du Programme d’intégrateurs fiables

Le Programme d’intégrateurs fiables est basé sur le programme de solutions commerciales à des fins classifiées (CSfC pour Commercial Solutions for Classified) de la National Security Agency. Il met à profit les connaissances et l’expertise du Programme de solutions sécurisées sur mesure (SSM) du Centre pour la cybersécurité pour aider les clients à :

• combler un manque de ressources pour répondre aux besoins en matière de communications sécurisées;
• améliorer les pratiques de cybersécurité;
• réduire la cybercriminalité;
• renforcer la posture de sécurité des établissements canadiens;
• affermir les relations entre le Centre pour la cybersécurité et sa clientèle.

En consultant les clients, les intégrateurs fiables peuvent offrir d’autres services, entre autres :

• le maintien de solution;
• le dépannage;
• la surveillance de solution pour détecter et résoudre les incidents de cybersécurité.

Participation au Programme d’intégrateurs fiables

Les ministères du gouvernement du Canada qui veulent profiter du Programme d’intégrateurs fiables doivent :

• utiliser les méthodes établies de passation de marché pour obtenir un entrepreneur au moyen d’un énoncé des travaux;
• préciser que l’entrepreneur doit être un intégrateur fiable reconnu par le Centre pour la cybersécurité;
• communiquer avec le Programme d’intégrateurs fiables pour obtenir la liste à jour des intégrateurs fiables reconnus.

Devenir un intégrateur fiable

Les entreprises sous-traitantes en matière de sécurité des TI qui veulent devenir des intégrateurs fiables doivent envoyer un courriel au Programme d’intégrateurs fiables secure-solutions-securisees@cyber.gc.ca. Nous vous fournirons du matériel de références sur le Programme de SSM ainsi que le formulaire d’inscription au Programme d’intégrateurs fiables.

Prochaines étapes :

1. L’entreprise soumet le formulaire d’inscription rempli ainsi que le curriculum vitæ de ses employées et employés qui mèneront les activités d’intégrateur fiable.
2. Si l’inscription est acceptée, une représentante ou un représentant du Programme amorcera le processus d’évaluation.
3. Si l’évaluation est concluante, l’entreprise et le Centre pour la cybersécurité signeront un protocole d’accord et peut-être une entente de confidentialité.
4. L’entreprise sera ajoutée à la liste des intégrateurs fiables du Centre pour la cybersécurité.