Guide à l’intention des organismes de recherche et de financement sur l’élaboration d’un plan de sécurité de la recherche

Ce guide offre aux organismes de recherche et de financement des orientations sur la façon d’exercer une diligence raisonnable en matière de sécurité de la recherche en élaborant et en mettant en œuvre un Plan de sécurité de la recherche qui établit un processus d’identification, d’évaluation et d’atténuation des risques pour la sécurité nationale avec une approche méthodique, cohérente et documentée.

Veuillez noter que la pertinence et l'applicabilité des conseils fournis dans ce document d'orientation peuvent varier selon les différents types d'organismes de recherche et de bailleurs de fonds, en fonction de leurs situations respectives et de leurs pratiques de recherche ou de financement.

Bien que ce document soit axé sur les organismes de recherche et les bailleurs de fonds, il comprend également des conseils généraux sur la façon de mettre en œuvre et d'adopter des pratiques de sécurité de la recherche qui s'alignent sur les politiques de sécurité de la recherche du gouvernement du Canada, notamment les Lignes directrices en matière de sécurité nationale pour les partenariats de recherche et la Politique relative à la recherche sur les technologies sensibles et aux affiliations préoccupantes, ainsi que sur les engagements existants en faveur de la science ouverte et de la liberté académique.

Version PDF

550,52 Ko, 19 pages

Table des matières

Préface
1. But
2. Composantes d’un plan de sécurité de la recherche
3. Cadre de gouvernance de la sécurité de la recherche
- 3.1 Élaboration et mise en œuvre du plan de sécurité de la recherche au niveau du projet
- 3.2 Élaboration et mise en œuvre de votre plan de sécurité de la recherche sur le plan organisationnel
4. Dernières réflexions
5. Ressources utiles

Préface

Les organismes de recherche et de financement^{Note de bas de page 1} jouent un rôle important dans la diversification et le renforcement de l’écosystème de recherche du Canada en menant et en finançant des projets et des partenariats de recherche qui contribuent au bien-être social et économique de notre pays. Le gouvernement du Canada s’est engagé à veiller à ce que ces organismes disposent du soutien et des outils nécessaires pour protéger leurs travaux, ou ceux qu’ils soutiennent, contre l’ingérence étrangère, l’espionnage, le vol et le transfert indésirable de connaissances. Il est important que les organismes de recherche et de financement protègent leurs travaux afin de s’assurer que ceux-ci ne sont pas exploités de manière involontaire ou indésirable. Les répercussions négatives d’une sécurité inadéquate de la recherche peuvent comprendre une diminution de la confiance dans les données et les résultats de la recherche; la perte de données de recherche; la perte de contrôle sur la propriété intellectuelle, les possibilités de brevet et les revenus potentiels; des conséquences juridiques ou administratives; la perte de partenariats futurs potentiels; et une réputation ternie. Les politiques et les pratiques en matière de sécurité de la recherche au Canada visent à empêcher que l’innovation canadienne serve à faire progresser les systèmes d’armes militaires et la technologie de surveillance d’États hostiles. Étant donné que les menaces contre la recherche canadienne évoluent et prennent de nombreuses formes, un effort collectif doit être déployé pour renforcer la résilience du Canada en matière de sécurité de la recherche : les chercheurs, les organismes de recherche, les organismes de financement et les gouvernements partagent tous la responsabilité de déterminer et d’atténuer les risques pour la sécurité nationale liés aux partenariats de recherche.

Le gouvernement du Canada encourage la diligence raisonnable en matière de sécurité de la recherche par la mise en œuvre de mesures politiques concrètes, notamment les Lignes directrices sur la sécurité nationale pour les partenariats de recherche et la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes. Le premier document vise à déterminer et atténuer les risques dans les partenariats de recherche, tandis que le deuxième a pour but de prévenir les subventions de recherche qui visent à faire progresser un domaine de recherche en technologies sensibles si des chercheurs concernés sont actuellement affiliés à une organisation de recherche nommée ou reçoivent un financement ou une contribution en nature provenant d’une telle organisation. Bien que différentes, ces politiques complémentaires fournissent une orientation pour la mise en œuvre de mesures uniformes, transparentes, axées sur les risques et fondées sur la science en matière de sécurité de la recherche.

Les méthodes utilisées pour intégrer les considérations de sécurité nationale dans les pratiques de financement de la recherche sont différentes pour les organismes subventionnaires fédéraux du Canada et les organisations de recherche sans but lucratif tierces qui reçoivent un financement du gouvernement fédéral. Afin de veiller à ce que ces organismes de recherche et de financement protègent leurs travaux, ou les travaux qu’ils appuient, le gouvernement du Canada a intégré des exigences en matière de sécurité de la recherche (conformément aux Lignes directrices sur la sécurité nationale pour les partenariats de recherche et la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes) dans les accords de contribution de ces organismes. Cette condition préalable au financement exige l’élaboration et la présentation d’un plan de sécurité de la recherche – un document démontrant comment l’organisation intégrera systématiquement des considérations de sécurité nationale à ses pratiques de financement et de recherche.

Le présent guide peut être utilisé par tout organisme de recherche ou de financement qui :

est tenu de créer et d’adopter un plan de sécurité de la recherche dans le cadre d’un accord de contribution; ou
souhaite renforcer volontairement sa posture de sécurité de la recherche par la mise en œuvre d’un plan de sécurité de la recherche adapté.

Bien que cette trousse soit centrée sur les organismes de recherche et de financement, elle comprend également une orientation générale quant à la façon de mettre en œuvre et d’adopter des pratiques de sécurité de la recherche qui s’harmonisent avec les politiques de sécurité de la recherche actuelles du gouvernement du Canada et ses engagements à l’égard de la science ouverte et de la liberté universitaire.

Des renseignements supplémentaires sur les Lignes directrices sur la sécurité nationale pour les partenariats de recherche et la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes se trouvent dans le Portail Protégez votre recherche du Canada.

haut de la page

1. But

Le présent document a pour but de fournir aux organismes de recherche et de financement des conseils sur la façon d’exercer une diligence raisonnable en matière de sécurité de la recherche en élaborant et en mettant en œuvre un plan de sécurité de la recherche qui établit un processus d’identification, d’évaluation et d’atténuation des risques pour la sécurité nationale avec une approche systémique, cohérente et documentée. Plus précisément, le présent guide aidera les organismes de recherche et de financement à démontrer comment ils peuvent :

cerner et analyser les risques associés aux types de projets de recherche qu’ils mènent et financent et qui comprennent des partenariats, et déterminer les menaces associées à tout partenaire de recherche concerné;
empêcher l’exécution ou le financement de projets de recherche visant à faire progresser un domaine de recherche en technologies sensibles si un chercheur est affilié à une organisation de recherche nommée, ou reçoit un financement ou une contribution en nature d’une telle organisation;
élaborer et mettre en œuvre une série de pratiques exemplaires et de mesures d’atténuation des risques à la sécurité de la recherche adaptées au niveau du projet et de l’organisation, qui soient à la fois réalisables et proportionnelles aux risques.

Veuillez prendre note que la pertinence et le caractère applicable des conseils prodigués dans le présent document d’orientation peuvent varier selon les différents types d’organismes de recherche et de financement, selon leurs situations respectives et leurs pratiques de recherche ou de financement.

haut de la page

2. Composantes d’un plan de sécurité de la recherche

2.1 Objectifs du plan de sécurité de la recherche

Le plan de sécurité de la recherche d’un organisme de recherche ou de financement devrait appuyer et compléter l’approche globale du gouvernement du Canada en matière de sécurité de la recherche, laquelle se veut compatible avec tous les pays et entreprises. Les sections ci-dessous décrivent les éléments clés d’un plan de sécurité de la recherche complet, qui soutient l’intégration des considérations de sécurité nationale dans les pratiques de recherche et de financement. Ces considérations comprennent les suivantes :

l’évaluation de la sensibilité de la recherche, y compris la question de savoir si la recherche pourrait présenter un risque de vol, d’espionnage ou d’ingérence étrangère ou en être la cible;
l’évaluation du niveau de risque de toute organisation partenaire impliquée dans la recherche;
la prévention de l’exécution ou du financement de projets de recherche visant à faire progresser un domaine de recherche en technologies sensibles avec les personnes associées à une organisation de recherche nommée;
l’évaluation et le renforcement de la posture de sécurité existante de l’organisme de recherche ou de financement;
l’élaboration et la mise en œuvre de mesures efficaces d’atténuation des risques pour gérer les risques cernés.

haut de la page

2.2 Connaissez la recherche que vous financez ou menez

Les organismes de recherche et de financement devraient bien comprendre les recherches et les projets qu’ils mènent ou financent, ainsi que leurs applications potentielles respectives (militaires et civiles), afin d’évaluer correctement le niveau de risque pour la sécurité nationale et de déterminer les biens devant être protégés.

Dans le contexte du présent document, la recherche sensible – ainsi que ses données sous-jacentes et les technologies qui en résultent – est définie comme la recherche et les technologies qui pourraient être utilisées pour faire progresser les capacités militaires, de renseignement ou de surveillance d’un État étranger. La recherche à double usage s’entend expressément des produits, des données, des connaissances ou des technologies qui, bien qu’ils soient élaborés ou recueillis à des fins légitimes, peuvent être acquis ou exploités illicitement par autrui pour causer délibérément des préjudices ou encore pour menacer la santé publique ou la sécurité nationale. . De manière plus générale, la recherche peut être de nature sensible si elle contribue aussi au développement de technologies nouvelles et émergentes dont les applications potentielles dans le domaine militaire, de la sécurité et du renseignement sont moins claires et moins connues, ainsi que les domaines de recherche liés aux minéraux critiques et aux chaînes d’approvisionnement en minéraux critiques; les domaines de recherche axés sur les infrastructures essentielles; ou les domaines de recherche qui concernent des données personnelles ou pouvant être sensibles dans leur forme agrégée. L’accès non autorisé à la recherche sensible peut nuire aux intérêts du Canada en matière de sécurité nationale ou à ceux de ses pays alliés en ayant une incidence négative sur la capacité du Canada à cerner ces menaces et à y réagir, ou en perturbant l’économie, la société et les infrastructures essentielles du Canada.

L’annexe A des Lignes directrices sur la sécurité nationale pour les partenariats de recherche comprend des renseignements sur les domaines de recherche sensibles que les organismes de sécurité nationale du Canada ont déterminés comme pouvant avoir un double usage ou qui sont ciblés par des gouvernements, des militaires, leurs représentants, ou d’autres acteurs étrangers pour leur potentiel en vue de faire progresser leurs capacités et leurs intérêts en matière de sécurité nationale.

Ces renseignements comprennent une liste des domaines de recherche en technologies sensibles. Pour obtenir de plus amples renseignements sur les risques associés à la recherche sensible, veuillez consulter la page Web « Évaluez votre profil de risque » accessible depuis le Portail Protégez votre recherche du gouvernement du Canada.

haut de la page

2.3 Connaissez vos partenaires

Les organismes de financement et les organismes de recherche devraient connaître et évaluer les risques associés aux organisations partenaires susceptibles de participer à la recherche qu’ils financent ou mènent. Cela comprend le risque que le partenaire transfère les connaissances, les données ou les résultats de la recherche à un gouvernement étranger, à des militaires, à leurs représentants ou à d’autres acteurs et, ce faisant, nuire aux intérêts du Canada en matière de sécurité nationale.

Les organisations partenaires qui appartiennent à un État ou qui sont soumises à l’influence d’un État pourraient faciliter le transfert non autorisé de connaissances, de technologies ou de propriété intellectuelle à des gouvernements étrangers, à des militaires, à leurs représentants ou à d’autres acteurs d’une manière qui pourrait nuire à la sécurité nationale du Canada. Ce risque est particulièrement élevé dans le cas d’organisations partenaires associées à des pays dont les lois ou les pratiques obligent les entités et les particuliers à se soumettre aux ordres de leur gouvernement. De telles organisations partenaires manquent d’autonomie et d’indépendance et peuvent recevoir l’ordre de gouvernements étrangers de céder des renseignements, des connaissances de recherche, des technologies ainsi que la propriété intellectuelle y étant associée, qu’ils viennent du Canada ou d’autres pays.

Les risques peuvent également provenir du personnel de l’organisation partenaire qui participe à un projet, surtout si ces personnes ont des liens avec des armées, des institutions ou des gouvernements étrangers étant reconnus pour le transfert non autorisé de connaissances. Leur influence sur les données et les infrastructures (physiques et numériques) et leur accès à celles-ci peuvent servir à favoriser l’accès non désiré aux données ou le transfert de connaissances en dehors du champ d’application du partenariat de recherche.

Au moment d’exercer une diligence raisonnable en ce qui a trait aux partenaires de recherche, il est important d’examiner les différentes listes publiées par le gouvernement du Canada qui servent d’indicateurs pour les organisations qui pourraient présenter des risques, y compris les suivantes :

la liste des organisations de recherche nommées
la Liste consolidée des sanctions autonomes canadiennes

Consultez l’annexe B des Lignes directrices sur la sécurité nationale pour les partenariats de recherche pour d’autres facteurs qui pourraient entraîner un risque accru de transfert non désiré du savoir à un gouvernement, des militaires, leurs représentants, ou d’autres acteurs étrangers.

Pour obtenir de plus amples renseignements sur la détermination des risques associés aux partenariats de recherche, veuillez consulter la page Web « Quels sont les risques pour la sécurité nationale associés aux partenariats de recherche?» accessible depuis le portail Protégez votre recherche du gouvernement du Canada.

haut de la page

2.4 Connaissez vos affiliations de recherche

Les organismes de recherche et de financement sont invités à appliquer les pratiques en matière de diligence raisonnable afin d’atténuer les risques pouvant découler des organisations auxquelles les chercheurs sont activement affiliés. En comprenant les affiliations de recherche actives du demandeur, les organismes de financement et de recherche sont mieux outillés pour s’assurer de la transparence et de l’intégrité d’un projet de recherche financé.

La plupart des affiliations de recherche favorisent la collaboration et l’échange de connaissances, et il est possible de faire face aux risques pour la sécurité de la recherche en prenant les mesures d’atténuation appropriées. Cependant, lorsqu’un chercheur est affilié à une organisation de recherche nommée, ou reçoit un financement ou une contribution en nature d’une telle organisation, tout en ayant pour but de faire progresser un domaine de recherche en technologies sensibles, il y a un risque que les connaissances, la technologie ou la propriété intellectuelle puissent être transférées à une entité militaire, de défense nationale ou de surveillance étatique qui pose un risque pour la sécurité nationale du Canada. En vertu de l’affiliation, la personne affiliée pourrait être soumise à une influence ou à une coercition qui pourrait mener au transfert indésirable de connaissances, de technologies ou de propriété intellectuelle. Pour obtenir des renseignements supplémentaires sur ce qui constitue un domaine de recherche en technologies sensibles, veuillez-vous reporter à la section 2.2 du présent document, ou à la liste des domaines de recherche en technologies sensibles qui se trouvent dans le portail Protégez votre recherche. Veuillez consulter la liste des organisations de recherche nommées du gouvernement du Canada pour obtenir plus de renseignements sur les organisations liées à des entités militaires, de défense nationale ou de sécurité étatique qui pourraient poser un risque pour la sécurité nationale du Canada. Veuillez consulter la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes pour obtenir de plus amples précisions.

haut de la page

2.5 Connaissez la posture de sécurité de votre organisme

Pour protéger les biens essentiels, y compris les données et les résultats de la recherche, les organismes de recherche et de financement sont encouragés à évaluer de façon proactive leur posture de sécurité existante sur le plan organisationnel. La posture de sécurité d’un organisme désigne l’état de préparation général de l’organisme et la capacité de celui-ci à prévenir, détecter et contrer les menaces ou les attaques. Une bonne pratique consiste à déterminer d’autres domaines de vulnérabilité au sein de l’infrastructure et des processus opérationnels d’un organisme qui pourraient contribuer à un accès non autorisé à ses méthodes, techniques et résultats de recherche. Pour protéger efficacement la recherche et la propriété intellectuelle qui sont détenues ou financées par un organisme de recherche ou de financement, il est avantageux de déterminer et d’évaluer les domaines de risque de l’organisme, notamment :

La sécurité physique : L’adoption de contrôles de sécurité physique appropriés peut réduire le risque d’accès non autorisé à des biens désignés et à d’autres matériels sensibles.
La compétence et la fiabilité du personnel : L’évaluation de la compétence actuelle et continue d’une personne à occuper un poste peut réduire le risque qu’une personne ayant un accès puisse compromettre des biens.
La gestion de l’information et la cybersécurité : La protection de l’information sensible contre l’accès non autorisé ou le vol et l’application du niveau de confidentialité requis peuvent réduire le risque de transfert involontaire de renseignements.
L’intervention en cas d’incident et d’urgence : Signaler et gérer de manière appropriée les événements susceptibles de porter atteinte aux renseignements, au personnel, à la communauté de recherche ou à l’environnement physique de travail peut contribuer à atténuer les incidents et à en réduire l’ampleur lorsqu’ils se produisent, ainsi qu’à réduire le risque de récurrence.

Comprendre les sources des menaces

Les menaces peuvent provenir de particuliers ou de groupes à l’intérieur ou à l’extérieur d’une organisation. Les menaces internes peuvent provenir de toute personne ayant connaissance de l’infrastructure et des renseignements d’une organisation, ou y ayant accès, et qui pourrait, par inadvertance ou sciemment, exploiter cet accès à des fins illégitimes ou pour causer des préjudices. Les menaces externes englobent les particuliers ou les groupes qui n’ont pas d’accès autorisé aux biens d’une organisation, mais qui agissent d’une manière qui pourrait conduire à l’acquisition illégitime de biens et à des préjudices ultérieurs.

Par exemple, les installations de recherche qui effectuent et conservent leurs travaux sur place peuvent être la cible d’auteurs malveillants qui cherchent à accéder à leurs données, renseignements, connaissances et/ou infrastructures de recherche. Les acteurs malveillants peuvent employer diverses méthodes, notamment la prise de photos de l’installation ou des documents qui s’y trouvent, le vol de renseignements numériques au moyen de dispositifs de stockage portables (p. ex., USB) ou l’accès à des zones à accès restreint en tirant parti de barrières de sécurité physiques inefficaces.

Les données de recherche numériques peuvent également être ciblées par des acteurs malveillants au moyen de rançongiciels, de l’hameçonnage et d’autres cyberattaques qui exploitent les vulnérabilités de l’infrastructure ou des pratiques de cybersécurité afin d’accéder à des données, des renseignements ou des connaissances sur la recherche qui ne seraient pas autrement accessibles au public.

haut de la page

2.6 Déterminer les mesures d’atténuation des risques

Les organismes de financement et les organismes de recherche devraient définir et appliquer des mesures susceptibles de réduire les risques de sécurité cernés afin de protéger la recherche qu’ils financent et ses résultats escomptés. Il s’agit notamment d’établir des mesures d’atténuation des risques au niveau de l’organisme et, au besoin, au niveau du projet. Dans les cas où les risques pour les intérêts canadiens ne peuvent être suffisamment atténués, ou lorsque les risques l’emportent sur les avantages potentiels, ces projets ou partenariats de recherche ne devraient pas être financés ou poursuivis.

Tous les organismes, projets et programmes sont uniques. Certains risques peuvent être suffisamment atténués grâce aux politiques et aux mesures déjà en place, tandis que d’autres peuvent nécessiter des mesures d’atténuation des risques supplémentaires. Au final, l’atténuation des risques devrait être proportionnelle au niveau de risque. Les organismes de recherche devraient se familiariser avec les nombreux types de mesures d’atténuation pratiques qui peuvent être adoptées pour faire face aux risques.

Pour obtenir de plus amples renseignements sur les mesures d’atténuation potentielles pouvant être appliquées aux projets de recherche, veuillez consulter le guide intitulé « Atténuer les risques économiques et géopolitiques associés aux projets de recherche sensibles », accessible depuis le portail Protégez votre recherche du gouvernement du Canada.

haut de la page

3. Cadre de gouvernance de la sécurité de la recherche

Chaque organisme de recherche et de financement sont uniques et mènent ou financent un éventail de programmes de recherche qui présentent des niveaux de risque variables pour la sécurité de la recherche.

Dans le cadre de l’élaboration d’un plan de sécurité de la recherche, les organismes de recherche et de financement devraient procéder à un exercice interne afin de déterminer quels programmes ou projets pourraient être à risque d’ingérence étrangère, de vol et de transfert indésirable des connaissances. Cette analyse préliminaire vient appuyer une approche ciblant les risques qui sert à réduire le fardeau administratif et à concentrer les ressources limitées sur les programmes ou les projets qui présentent un niveau de risque plus élevé.

Bien que l’objectif principal de cet exercice d’établissement de la portée soit de déterminer quels programmes présentent un risque en raison de la participation d’un partenaire potentiellement préoccupant, ce processus peut également relever d’autres domaines de risque (p. ex., les risques liés à la propriété intellectuelle, à l’infrastructure cybernétique et de technologie de l’information ou à l’accès physique) qui contribuent au profil de risque global d’un programme ou d’un projet individuel. Les organismes de recherche et de financement sont encouragés à élaborer un plan de sécurité de la recherche qui soit complet et qui indique clairement les processus, ressources, effectifs ou capacités supplémentaires qui sont nécessaires pour mettre en œuvre efficacement une stratégie réalisable, proportionnée et adaptée.

Au moment d’élaborer leur plan de sécurité de la recherche, les organismes devraient adhérer aux principes de la sécurité de la recherche, y compris, sans toutefois s’y limiter : maintenir un engagement à l’égard de la science ouverte; permettre un haut degré d’adaptabilité dans leurs mesures de sécurité de la recherche; veiller à la reddition de comptes et à la responsabilisation; et s’assurer que les interventions sont proportionnelles aux risques. Toute mesure liée à la sécurité de la recherche devrait continuer à respecter les principes en matière d’intégrité de la recherche, notamment la liberté universitaire, l’autonomie des établissements scolaires, l’équité, la diversité et l’inclusion, ainsi que la transparence.

Pour en savoir plus sur les principes en matière d’intégrité de la recherche et de sécurité de la recherche, veuillez consulter la publication intitulée G7 Common Values and Principles on Research Security and Research Integrity (Valeurs communes et principes du G7 en matière de sécurité et d’intégrité de la recherche; en anglais seulement). En intégrant ces principes directeurs dans un plan de sécurité de la recherche, un organisme de recherche ou de financement peut assurer l’intégrité et la sécurité de la recherche qu’il finance ou mène.

haut de la page

3.1 Élaboration et mise en œuvre du plan de sécurité de la recherche au niveau du projet

Les organismes de recherche et de financement ont des pratiques internes, des politiques, des procédures et des processus d’évaluation du financement qui diffèrent. Par conséquent, le présent document d’orientation vise à tenir compte de ces variations et fournit un cadre flexible pour guider les organismes de recherche et de financement lorsqu’il s’agit de mettre en œuvre des mesures de collecte de renseignements, d’évaluation des risques et d’atténuation de ceux-ci.

Quelle que soit l’approche adoptée par un organisme de recherche ou de financement, le plan de sécurité de la recherche devrait décrire comment l’organisme ou de financement entend atteindre ces objectifs au cours de l’évaluation des projets de recherche.

3.1.1 Déterminer votre approche

L’objectif de tout plan de sécurité de la recherche est de définir un ensemble de politiques et de pratiques courantes devant être employées pour déterminer, évaluer et aborder les risques de manière cohérente pendant la réalisation ou le financement d’une recherche. Plus particulièrement, il vise à mettre en œuvre les objectifs des Lignes directrices sur la sécurité nationale pour les partenariats de recherche et de la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes.

Toute approche de mise en œuvre d’un plan de sécurité de la recherche comprendra plusieurs volets il existe des modèles et des ressources de gestion des risques qui peuvent être mis à contribution pour intégrer la sécurité de la recherche dans les processus internes. Notamment, cela inclut le Formulaire d’évaluation des risques selon les Lignes directrices sur la sécurité nationale pour les partenariats de recherche, ainsi que le formulaire d’attestation des trois organismes en vertu de la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes. Les organismes de recherche ou de financement peuvent également consulter et utiliser le formulaire publié par la Fondation canadienne pour l’innovation intitulé Attestation relative à la recherche visant à faire progresser les domaines de recherche en technologies sensibles. Alternativement, les organismes de recherche ou de financement peuvent développer leurs propres outils et processus pour recueillir et évaluer les renseignements sur les risques et déterminer les mesures d’atténuation des risques.

A) Option 1 : Mettre à profit les modèles existants

Les organismes de recherche et de financement peuvent adopter les outils élaborés pour la mise en œuvre de ces politiques par les organismes de financement fédéraux :

Formulaire d’évaluation des risques

Le Formulaire d’évaluation des risques a été élaboré afin d’appuyer la mise en œuvre des Lignes directrices sur la sécurité nationale pour les partenariats de recherche. Celui-ci est conçu pour évaluer les risques que les partenariats de recherche peuvent présenter pour la sécurité nationale et la prospérité économique du Canada. Ce formulaire comprend une série de questions propres aux partenariats de recherche, à la nature de la recherche et à la détermination des mesures d’atténuation.

Les organismes de recherche peuvent utiliser une partie ou la totalité des questions du Formulaire d’évaluation des risques pour évaluer les risques associés aux projets de recherche. Le Formulaire d’évaluation des risques peut être mis à jour périodiquement pour tenir compte de l’évolution des risques pour la sécurité, ainsi que des besoins des chercheurs et des organismes de financement. Pour remplir le Formulaire d’évaluation des risques et y valider les renseignements qui s’y trouvent, il faut utiliser des méthodes et des outils de recherche basés sur la diligence raisonnable, dont beaucoup sont accessibles auprès de sources ouvertes^{Note de bas de page 2}.

Formulaire d’attestation des trois organismes ou Attestation relative à la recherche visant à faire progresser les domaines de recherche en technologies sensibles de la Fondation canadienne pour l’innovation

Le formulaire d’attestation des trois organismes a été élaboré par le gouvernement du Canada afin d’appuyer la mise en œuvre de la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes, et il repose sur une consultation menée auprès de la communauté de recherche. Au moyen de ce formulaire, les chercheurs peuvent attester du fait qu’ils ne sont actuellement pas affiliés avec une des organisations de recherche nomméesou ne reçoivent aucun financement ni aucune contribution en nature. Les organismes subventionnaires fédéraux exigent que les chercheurs ayant un rôle défini (p. ex. demandeurs et codemandeurs) remplissent ce formulaire lorsqu’ils présentent des demandes de subvention visant à faire progresser un domaine de recherche en technologies sensibles. Des exigences supplémentaires s’appliquent également à tous les chercheurs participant aux activités financées au moyen d’une subvention et qui visent à faire progresser un domaine de recherche en technologies sensibles, afin d’assurer la conformité à la politique, peu importe si un formulaire d’attestation était requis au moment de la demande. Pour obtenir de plus amples renseignements sur la mise en œuvre de cette politique par les organismes subventionnaires fédéraux — y compris les nouvelles procédures et responsabilités des chercheurs et des établissements — consultez les Orientations des trois organismes concernant la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes.

Dans le même ordre d’idée, l’Attestation relative à la recherche visant à faire progresser les domaines de recherche en technologies sensibles a été publiée par la Fondation canadienne pour l’innovation (FCI), un organisme sans but lucratif indépendant qui investit dans les installations et l’équipement de recherche dans les universités, collèges, hôpitaux de recherche et établissements de recherche à but non lucratif du Canada. De manière similaire au Formulaire d’attestation des trois organismes, cette attestation a été créée pour veiller à ce que les demandeurs de la FCI, qui reçoivent un financement du gouvernement fédéral, respectent les exigences décrites en vertu de la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes. Les organismes de recherche et de financement peuvent utiliser le formulaire d’attestation des trois organismes ou l’Attestation relative à la recherche visant à faire progresser les domaines de recherche en technologies sensibles de la FCI pour attester du fait que les chercheurs ayant pour but de faire progresser un domaine de recherche en technologies sensibles n’ont aucune affiliation préoccupante. Au moment de remplir et de valider l’un ou l’autre des formulaires susmentionnés, les organismes de recherche et de financement doivent utiliser la version la plus récente de la liste des domaines de recherche en technologies sensibles et des organisations de recherche nommées.

B) Option 2 : Méthode autonome

Les organismes de recherche et de financement peuvent aussi adapter des éléments du Formulaire d’évaluation des risques à leurs fins, ou du formulaire d’attestation des trois organismes en fonction de leurs besoins. Ou encore, ils peuvent élaborer leur propre méthode de collecte et d’évaluation des renseignements sur les risques et les mesures d’atténuation associés aux projets de recherche et aux organisations partenaires, ainsi que leur méthode pour valider les affiliations de recherche préoccupantes Dans la mesure du possible, toute méthode supplémentaire devrait être compatible et harmonisée avec les outils existants afin d’éviter d’imposer un fardeau supplémentaire aux chercheurs et aux établissements de recherche au Canada. Plus particulièrement, la méthode employée devrait s’harmoniser avec les objectifs généraux du gouvernement décrits dans les Lignes directrices sur la sécurité nationale pour les partenariats de recherche et la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes. Rappelons que ces objectifs comprennent les suivants :

l’évaluation de la sensibilité de la recherche, y compris si la recherche pourrait présenter un risque de vol, d’espionnage ou d’ingérence étrangère ou en être la cible;
l’évaluation du niveau de risque de tout partenaire impliqué dans la recherche;
la prévention de la conduite ou du financement d’un projet de recherche faisant progresser un domaine de recherche en technologies sensibles si un chercheur est affilié à une organisation de recherche nommée ou reçoit un financement ou une contribution en nature d’une telle organisation; et
la détermination de mesures efficaces d’atténuation des risques pour gérer les risques cernés.

Les approches, quelles qu’elles soient, devraient également être conçues pour respecter les principes en matière d’intégrité de la recherche, dont la liberté universitaire, l’autonomie institutionnelle, l’équité, la diversité et l’inclusion, et la transparence.

3.1.2 Mise en œuvre de votre plan de sécurité de la recherche

Un plan de sécurité de la recherche devrait énoncer clairement les processus de gouvernance et de prise de décisions prévus par l’organisme pour intégrer la sécurité de la recherche dans ses activités internes et ses pratiques de financement. L’organisme de recherche ou de financement devrait préciser clairement quand aura lieu l’intégration de tous les nouveaux processus et toutes les nouvelles structures devant être mis en œuvre. Une telle précision permettra également de déterminer quand et où les ressources devraient être affectées.

Une liste d’objectifs et d’indicateurs axés sur le rendement qui devraient être abordés ou inclus dans un plan de sécurité de la recherche est présentée dans les sections ci-dessous. Bien que certains objectifs soient communs aux deux politiques sur la sécurité de la recherche du Canada, d’autres sont expressément conçus pour mettre en œuvre les concepts des Lignes directrices sur la sécurité nationale pour les partenariats de recherche, et d’autres pour intégrer les objectifs de la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes.

Partie 1 : Objectifs et indicateurs se rapportant aux Lignes directrices sur la sécurité nationale pour les partenariats de recherche et la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes

Les organismes de recherche et de financement devraient décrire précisément comment ils comptent mettre en œuvre les composants suivants dans leur cadre de gouvernance de la sécurité de la recherche.

Accroître la sensibilisation aux risques de sécurité de la recherche

Les organismes de recherche et de financement pourraient décrire, par exemple, et s’il y a lieu :

le mécanisme ou les mesures que l’organisme de recherche ou de financement prévoit utiliser pour sensibiliser davantage l’ensemble de sa communauté aux risques pour la sécurité de la recherche (p. ex., conférence, atelier, documentation sur le programme, séance de sensibilisation, cours en ligne^{Note de bas de page 3}, etc.);
qui, au sein de l’organisme de recherche ou de financement, élaborera des initiatives internes de sensibilisation à la sécurité de la recherche et des documents d’information;
qui, au sein de l’organisme de recherche ou de financement, réalisera toutes les activités de sensibilisation qui ont été élaborées à l’interne;
quand l’organisme de recherche ou de financement diffusera les documents de sensibilisation;
comment l’organisme de recherche ou de financement avisera sa communauté des exigences nouvelles ou modifiées en matière de recherche ou de demande de financement.

Prendre des décisions

Les organismes de recherche et de financement pourraient décrire, par exemple, et s’il y a lieu :

qui, au sein de l’organisme de recherche ou de financement, approuvera les décisions de financement (quelle est la structure de responsabilisation interne);
comment et où l’organisme de recherche ou de financement consignera la justification de chaque décision de financement; les facteurs ou critères qui seront utilisés pour rendre une décision de financement ou d’autorisation d’un projet;
Les facteurs ou critères qui seront utilisés pour prendre une décision de financement ou pour décider de la poursuite d'un projet ;
la façon dont la validation des affiliations d’un chercheur ou des partenariats du secteur privé, et le résultat de ladite évaluation, éclaireront la recherche ou le processus décisionnel général en matière de financement de l’organisme de recherche ou de financement, et le moment auquel ladite évaluation aura lieu au milieu du processus de demande ou d’octroi;
s’il y a lieu, la façon dont l’organisme de recherche ou de financement donnera aux bénéficiaires la possibilité de mettre en œuvre des mesures d’atténuation des risques avant qu’une décision de financement soit rendue (c.-à-d. retirer un partenaire à risque élevé ou mettre fin à une affiliation avec une organisation de recherche nommée);
la façon dont l’organisme de recherche ou de financement communiquera les décisions de financement aux chercheurs ou demandeurs;
la façon dont l’organisme de recherche ou de financement traitera les appels relatifs aux décisions de financement.

Maintenir les pratiques de conformité, de surveillance et de production de rapports

Les organismes de recherche et de financement pourraient décrire, par exemple, et s’il y a lieu :

la façon dont l’organisme de recherche ou de financement mettra à jour et examinera le contenu d’un plan de sécurité de la recherche actif ou actuel, et le moment auquel il le fera;
l’approche en matière de conformité et d’application qui a été adoptée pour responsabiliser les personnes quant au respect du plan de sécurité de la recherche;
la façon dont l’organisme de recherche ou de financement intégrera les modalités de sécurité de la recherche dans les ententes de subvention existantes et futures;
la façon dont le plan de sécurité de la recherche de l’organisme de recherche ou de financement sera intégré aux politiques, aux contrats, aux codes de conduite, entre autres, des universités;
les outils de promotion et de surveillance de la conformité et l’éventail des mesures d’application dont dispose l’organisme de recherche ou de financement;
la façon dont l’organisme de recherche ou de financement traitera les cas de non-conformité;
qui, au sein de l’organisme de recherche ou de financement, a le pouvoir de prendre des mesures disciplinaires en cas de non-conformité;
qui, au sein de l’organisme de recherche ou de financement, est responsable de consigner les incidents et les atteintes à la sécurité;
la façon dont l’organisme de recherche ou de financement rendra compte du type et du nombre d’incidents ou d’atteintes à la sécurité; et
qui, au sein de l’organisme de recherche ou de financement, est chargé de répondre aux questions sur la sécurité de la recherche.

Partie 2 : Objectifs et indicateurs applicables aux Lignes directrices sur la sécurité nationale pour les partenariats de recherche

Recueillir des renseignements auprès des chercheurs ou des demandeurs sur la sensibilité de la recherche, les organisations partenaires et les mesures d’atténuation des risques afférents

Les organismes de recherche et de financement pourraient décrire, par exemple, et s’il y a lieu :

la fréquence et le moment auxquels l’organisme de recherche ou de financement procédera à des évaluations des risques de sécurité de la recherche;
la façon dont les renseignements concernant la sensibilité de la recherche d’un demandeur, les organisations partenaires et les mesures d’atténuation des risques associés seront recueillis (voir la section 3.1.1 du présent document);
la façon dont les renseignements seront recueillis (voir la section 3.1.1 du présent document);
qui, au sein de l’organisme de recherche ou de financement, sera chargé de recueillir des renseignements sur la recherche, les partenaires et les mesures d’atténuation des risques du demandeur;
la façon dont l’organisme de recherche ou de financement traitera les renseignements manquants ou les demandes de recherche ou de financement incomplètes (p. ex., si un demandeur indique des risques dans sa demande de partenariat de recherche, mais ne fournit aucun plan d’atténuation).

Évaluer les risques et l’efficacité des mesures d’atténuation

Les organismes de recherche et de financement pourraient décrire, par exemple, et s’il y a lieu :

la capacité interne existante et l’expertise externe à laquelle l’organisme devra avoir recours, au besoin, pour contribuer à l’évaluation des risques et des mesures d’atténuation;
qui, au sein de l’organisme de recherche ou de financement, évaluera les éléments de sécurité de la recherche d’une demande (recherche, partenaires, mesures d’atténuation), et qui, au sein de l’organisme, déterminera si des mesures d’atténuation supplémentaires sont justifiées;
la façon dont l’organisme de recherche ou de financement examinera et mettra à jour périodiquement son approche d’évaluation pour tenir compte de l’évolution et de l’apparition de risques ou de menaces pour la recherche et les projets;
qui, au sein de l’organisme de recherche ou de financement, formulera une recommandation à l’intention de l’organe décisionnel chargé de l’autorisation ou du financement de demandes ou de projets de recherche;
le seuil de risque que l’organisme de recherche ou de financement utilisera pour déterminer si une demande présente un niveau de risque inacceptable.

Partie 3 : Objectifs et indicateurs applicables à la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes

Recueillir des renseignements sur les affiliations de recherche auprès de chercheurs ayant pour but de faire progresser un domaine de recherche en technologies sensibles

Les organismes de recherche et de financement pourraient décrire, par exemple, et s’il y a lieu :

la façon dont l’organisme de recherche ou de financement obtiendra les renseignements nécessaires qui indiquent si un demandeur a pour but de faire progresser un domaine de recherche en technologies sensibles;
la façon dont l’organisme de recherche ou de financement recueillera les renseignements auprès du demandeur afin de vérifier qu’il n’a pas d’affiliations de recherche préoccupantes actives, le moment auquel il le fera, ainsi que les renseignements recueillis pour ce faire;
qui, au sein de l’organisme de recherche ou de financement, sera chargé de recueillir des renseignements sur la recherche en technologies sensibles et les affiliations de recherche actives d’un demandeur;
la façon dont l’organisme de recherche ou de financement traitera une demande qui ne comporte pas les renseignements requis pour confirmer qu’un demandeur n’a aucune affiliation préoccupante active.

Valider l’absence d’affiliation préoccupante avec une organisation de recherche nommée

Les organismes de recherche et de financement pourraient décrire, par exemple, et s’il y a lieu :

la façon dont l’organisme de recherche ou de financement confirmera si la recherche proposée par un demandeur fera progresser ou non un domaine de recherche en technologies sensibles;
la façon dont l’organisme de recherche ou de financement confirmer qu’un chercheur ou un demandeur n’a aucune affiliation préoccupante et le moment auquel il le fera;
qui, au sein de l’organisme de recherche ou de financement, confirmera qu’un chercheur ou un demandeur n’a aucune affiliation préoccupante active.

Gérer et surveiller tout changement signalé pendant la période de validité d’une subvention

Les organismes de recherche et de financement pourraient décrire, par exemple, et s’il y a lieu :

la façon dont l’organisme de recherche ou de financement recueillera les changements signalés, les validera et y donnera suite, notamment :
- Changements aux affiliations;
- Changements dans la composition de l’équipe de recherche (p. ex. l’ajout d’un nouveau collaborateur);
- l’évolution de la nature du projet de recherche, de sorte qu’il vise désormais à faire progresser un domaine de recherche en technologies sensibles.

haut de la page

3.2 Élaboration et mise en œuvre de votre plan de sécurité de la recherche sur le plan organisationnel

En plus d’exprimer la façon dont un organisme de recherche ou de financement déterminera, évaluera et atténuera les risques pour la sécurité associés à ses projets et partenariats de recherche, ces organismes ont la responsabilité de protéger les renseignements et la recherche qui sont recueillis auprès des chercheurs et des demandeurs de financement. Un plan de sécurité de la recherche au niveau de l’organisme a pour but de renforcer les activités internes de l’organisme afin de protéger celui-ci contre les menaces à la sécurité de la recherche, tant à l’interne qu’à l’externe.

3.2.1 Mise en œuvre de votre plan de sécurité de la recherche

Cet aspect du plan de sécurité de la recherche doit indiquer clairement comment l’organisme de recherche ou de financement prévoit tenir à jour les facteurs à prendre en compte en matière de sécurité de la recherche, les modifier ou les intégrer à ses stratégies organisationnelles et de gestion des risques.

Les organismes de recherche devraient fournir des renseignements précis sur comment ils prévoient tenir compte à l’interne des composantes et des aspects suivants en matière de sécurité :

Maintenir la sécurité physique

Les organismes de recherche et de financement pourraient décrire, par exemple, et s’il y a lieu :

qui surveillera l’apparition de menaces internes et externes susceptibles de mettre en péril l’infrastructure de l’organisme et la résilience de la sécurité de la recherche;
qui a accès aux zones à accès restreint au sein des installations de recherche;
les types de visiteurs qui sont ou ne sont pas autorisés à entrer dans le bâtiment physique ou dans le laboratoire de recherche;
les contrôles de l’accès physique et de l’accès aux données que l’organisme de recherche ou de financement a mis en place, y compris les barrières physiques, la surveillance, les alarmes et les mécanismes de détection des accès non autorisés;
les mesures de protection mises en place pour l’équipement appartenant à l’organisme de recherche ou de financement;
les systèmes de secours ou de stockage des données existants;
la façon dont la recherche et les biens connexes seront protégés lorsque le personnel voyage à l’étranger.

Assurer la compétence et à la fiabilité du personnel

Les organismes de recherche et de financement pourraient décrire, par exemple, et s’il y a lieu :

les protocoles d’enquête de sécurité préalables à l’embauche du personnel ainsi que les procédures continues de vérification de la compétence et de la fiabilité;
qui effectuera les vérifications des références et de sécurité appropriés;
la façon dont les conflits d’intérêts potentiels ou existants du personnel seront relevés et abordés;
les exigences de formation du personnel en matière de sécurité qui sont en place ou qui seraient élaborées.

Intégrer les pratiques de gestion de l’information et de cybersécurité^{Note de bas de page 4}

Les organismes de recherche et de financement pourraient décrire, par exemple, et s’il y a lieu :

la façon dont l’organisme de recherche ou de financement classifiera chaque bien et en déterminera le niveau de sécurité;
la méthode de stockage des données personnelles, de la recherche et des renseignements recueillis auprès des chercheurs et des demandeurs;
qui a accès à la propriété intellectuelle, à la recherche, aux données personnelles et à tout autre renseignement sensible;
les mécanismes en place pour assurer la sécurité du stockage de la propriété intellectuelle, de la recherche et des données personnelles;
la façon dont les éventuelles lacunes de cybersécurité seront relevées et évaluées^{Note de bas de page 5};
la façon dont l’organisme de recherche ou de financement partagera ou publiera ses données, ses méthodes de recherche, ses résultats, entre autres, avec les demandeurs et les partenaires respectifs; et
les politiques mises en place au sein de l’organisme de recherche ou de financement pour veiller au transfert sécuritaire des connaissances et de la recherche aux intervenants concernés.

Adopter des mesures d’intervention en cas d’incident et d’urgence^{Note de bas de page 6}

Les organismes de recherche et de financement pourraient décrire, par exemple, et s’il y a lieu :

les mécanismes mis en place pour détecter les accès non autorisés aux installations, à la propriété intellectuelle, à la recherche et aux données personnelles (c.-à-d. détecter les atteintes à la sécurité physique, les cyberincidents, la perte éventuelle de propriété intellectuelle; les conflits d’intérêts, etc.);
la façon dont les incidents seront signalés à l’interne et à l’externe, et à qui;
la façon dont les incidents seront traités en temps opportun et de manière coordonnée; et
les procédures d’enquête sur les incidents mises en place.

haut de la page

4. Dernières réflexions

En résumé, le principal objectif d’un plan plan de sécurité de la recherche est d’établir un cadre de gouvernance démontrant comment les organismes de recherche et de financement entendent déterminer et évaluer la recherche qui pourrait présenter un risque de vol, d’espionnage ou d’ingérence étrangère ou en être la cible, et élaborer et mettre en œuvre des mesures d’atténuation qui soient à la fois réalisables et proportionnelles aux risques.

L’élaboration et la mise en œuvre d’un plan de sécurité de la recherche renforceront le cadre de sécurité existant d’un organisme et faciliteront la réalisation des objectifs qui protègent la recherche canadienne et les intérêts du Canada en matière de sécurité nationale. En outre, l’utilisation d’un plan de sécurité de la recherche permettra aux organismes de recherche et de financement de maintenir un niveau élevé de transparence entre les chercheurs, les demandeurs de financement, les partenaires et le gouvernement.

Bref, un plan de sécurité de la recherche est un mécanisme que les organismes de recherche et de financement peuvent utiliser pour renforcer la culture de la sécurité de la recherche au sein de leur organisme et pour sensibiliser leur communauté à l’importance de la sécurité de la recherche. Au final, un plan de sécurité de la recherche devrait démontrer l’engagement et la responsabilité partagée d’un organisme de recherche ou de financement à l’égard de la protection de l’écosystème de recherche du Canada par des mesures proportionnelles aux risques, l’amélioration continue et l’intégration de la sécurité de la recherche dans ses processus opérationnels.

haut de la page

5. Ressources utiles

Tous les organismes de recherche et de financement sont invités à consulter les ressources suivantes pour obtenir des renseignements supplémentaires sur la façon de protéger la recherche et l’innovation canadiennes :

Portail Protégez votre recherche : Ce site Web procure des conseils, des renseignements, des outils, des études de cas et des cours autodirigés sur les pratiques exemplaires en matière de sécurité de la recherche.
Lignes directrices sur la sécurité nationale pour les partenariats de recherche : Cet outil est utilisé pour intégrer les considérations de sécurité nationale dans l’établissement, l’évaluation et le financement des partenariats de recherche.
Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes : Ce document d’orientation a pour but d’empêcher qu’une subvention de recherche visant à faire progresser un domaine de recherche en technologies sensibles si des chercheurs concernés sont actuellement affiliés à une organisation de recherche nommée, ou reçoivent un financement ou une contribution en nature d’une telle organisation.
Science en sécurité : Atelier interactif de Sécurité publique Canada.
Centre de la sécurité de la recherche : Cette ressource fournit des orientations et des conseils à la communauté des chercheurs et aux institutions de recherche sur la manière de protéger leurs recherches.
Centre canadien pour la cybersécurité : Héberge des ressources sur l’environnement des cybermenaces, y compris du contenu interactif, des publications, des alertes et des avis.
Outil canadien de cybersécurité : Enquête d’auto-évaluation volontaire.

haut de la page

Notes de bas de page

Note de bas de page 1

Les organismes de financement sont définis comme des organismes qui distribuent des fonds à des bénéficiaires (organisations ou particuliers) qui mènent ou appuient des projets de recherche et des activités connexes, comme la formation en recherche.

Retour à la référence de la note de bas de page 1 referrer

Note de bas de page 2

Pour en savoir plus sur la diligence raisonnable en matière de sources ouvertes, consultez la publication du gouvernement du Canada intitulée Faire preuve de diligence raisonnable en utilisant des renseignements de sources ouvertes afin de protéger les partenariats de recherche.

Retour à la référence de la note de bas de page 2 referrer

Note de bas de page 3

De nombreuses ressources sont offertes dans le portail Protégez votre recherche, y compris trois cours de formation en ligne intitulés Introduction à la sécurité de la recherche, Cybersécurité pour les chercheurs, et Faire preuve de diligence raisonnable en utilisant des renseignements de sources ouvertes afin de protéger les partenariats de recherche.

Retour à la référence de la note de bas de page 3 referrer

Note de bas de page 4

Les plans de sécurité de la recherche peuvent être reliés au plan de cybersécurité d’un organisme, s’il existe, ou y faire référence. Une autre solution possible pourrait être d’intégrer volontairement le plan de cybersécurité à un plan de sécurité de la recherche.

Retour à la référence de la note de bas de page 4 referrer

Note de bas de page 5

Pour en savoir plus sur les pratiques et les facteurs à prendre en compte en matière de cybersécurité, veuillez consulter la « Carrefour de l’apprentissage - Centre canadien pour la cybersécurité », des cours virtuels offerts par le gouvernement du Canada.

Retour à la référence de la note de bas de page 5 referrer

Note de bas de page 6

Un plan d’intervention en cas d’incident et d’urgence est un ensemble de procédures permettant de réagir rapidement et efficacement à des situations susceptibles d’avoir une incidence sur la sécurité des biens et des personnes. Il devrait comprendre des procédures de signalement des incidents, d’intervention en cas d’incident et d’enquête sur les incidents.

Retour à la référence de la note de bas de page 6 referrer

Sélection de la langue

WxT Search form

Guide à l’intention des organismes de recherche et de financement sur l’élaboration d’un plan de sécurité de la recherche

Version PDF

Table des matières

Préface

1. But

2. Composantes d’un plan de sécurité de la recherche

2.1 Objectifs du plan de sécurité de la recherche

2.2 Connaissez la recherche que vous financez ou menez

2.3 Connaissez vos partenaires

2.4 Connaissez vos affiliations de recherche

2.5 Connaissez la posture de sécurité de votre organisme

Comprendre les sources des menaces

2.6 Déterminer les mesures d’atténuation des risques

3. Cadre de gouvernance de la sécurité de la recherche

3.1 Élaboration et mise en œuvre du plan de sécurité de la recherche au niveau du projet

3.1.1 Déterminer votre approche

A) Option 1 : Mettre à profit les modèles existants

B) Option 2 : Méthode autonome

3.1.2 Mise en œuvre de votre plan de sécurité de la recherche

Accroître la sensibilisation aux risques de sécurité de la recherche

Prendre des décisions

Maintenir les pratiques de conformité, de surveillance et de production de rapports

Recueillir des renseignements auprès des chercheurs ou des demandeurs sur la sensibilité de la recherche, les organisations partenaires et les mesures d’atténuation des risques afférents

Évaluer les risques et l’efficacité des mesures d’atténuation

Recueillir des renseignements sur les affiliations de recherche auprès de chercheurs ayant pour but de faire progresser un domaine de recherche en technologies sensibles

Valider l’absence d’affiliation préoccupante avec une organisation de recherche nommée

Gérer et surveiller tout changement signalé pendant la période de validité d’une subvention

3.2 Élaboration et mise en œuvre de votre plan de sécurité de la recherche sur le plan organisationnel

3.2.1 Mise en œuvre de votre plan de sécurité de la recherche

Maintenir la sécurité physique

Assurer la compétence et à la fiabilité du personnel

Intégrer les pratiques de gestion de l’information et de cybersécurité^{Note de bas de page 4}

Adopter des mesures d’intervention en cas d’incident et d’urgence^{Note de bas de page 6}

4. Dernières réflexions

5. Ressources utiles

Guide à l’intention des organismes de recherche et de financement sur l’élaboration d’un plan de sécurité de la recherche

Table des matières

Préface

1. But

2. Composantes d’un plan de sécurité de la recherche

2.1 Objectifs du plan de sécurité de la recherche

2.2 Connaissez la recherche que vous financez ou menez

2.3 Connaissez vos partenaires

2.4 Connaissez vos affiliations de recherche

2.5 Connaissez la posture de sécurité de votre organisme

Comprendre les sources des menaces

2.6 Déterminer les mesures d’atténuation des risques

3. Cadre de gouvernance de la sécurité de la recherche

3.1 Élaboration et mise en œuvre du plan de sécurité de la recherche au niveau du projet

3.1.1 Déterminer votre approche

A) Option 1 : Mettre à profit les modèles existants

B) Option 2 : Méthode autonome

3.1.2 Mise en œuvre de votre plan de sécurité de la recherche

Accroître la sensibilisation aux risques de sécurité de la recherche

Prendre des décisions

Maintenir les pratiques de conformité, de surveillance et de production de rapports

Recueillir des renseignements auprès des chercheurs ou des demandeurs sur la sensibilité de la recherche, les organisations partenaires et les mesures d’atténuation des risques afférents

Évaluer les risques et l’efficacité des mesures d’atténuation

Recueillir des renseignements sur les affiliations de recherche auprès de chercheurs ayant pour but de faire progresser un domaine de recherche en technologies sensibles

Valider l’absence d’affiliation préoccupante avec une organisation de recherche nommée

Gérer et surveiller tout changement signalé pendant la période de validité d’une subvention

3.2 Élaboration et mise en œuvre de votre plan de sécurité de la recherche sur le plan organisationnel

3.2.1 Mise en œuvre de votre plan de sécurité de la recherche

Maintenir la sécurité physique

Assurer la compétence et à la fiabilité du personnel

Intégrer les pratiques de gestion de l’information et de cybersécuritéNote de bas de page 4

Adopter des mesures d’intervention en cas d’incident et d’urgenceNote de bas de page 6

4. Dernières réflexions

5. Ressources utiles

Intégrer les pratiques de gestion de l’information et de cybersécurité^{Note de bas de page 4}

Adopter des mesures d’intervention en cas d’incident et d’urgence^{Note de bas de page 6}