Clause de non-responsabilité : Les directives et renseignements ci-après sont communiqués à titre informatif seulement et ne constituent pas des conseils juridiques. Les lecteurs devraient communiquer avec les services juridiques de leur institution en ce qui a trait à l’élaboration d’exigences particulières pour veiller à ce qu’elles soient conformes à toutes les exigences juridiques, réglementaires ou autres applicables, y compris les accords commerciaux internationaux.
Les auteurs de menace peuvent avoir recours à différentes voies pour acquérir des recherches et des données canadiennes. Une de ces voies est par l’intermédiaire de la fourniture de biens et de services. Les auteurs de menace, par exemple, peuvent tenter d’offrir de l’équipement, des matières et des services à des coûts extrêmement bas, voire de les donner, dans le but d’avoir accès à des biens physiques (c.-à-d. installations, personnes, matières) ou encore numériques (c.-à-d. données de recherche, propriété intellectuelle, systèmes de TI) de nature délicate.
Le gouvernement du Canada reconnaît que les chaînes d’approvisionnement sont un vecteur pour le vol, l’ingérence ou le transfert non autorisé de connaissances ou de données. Les auteurs de menace peuvent chercher à obtenir l’accès aux biens en vue d’acquérir la capacité de perturber délibérément les systèmes sociaux ou encore d’acquérir le contrôle sur des chaînes d’approvisionnement pour exercer un contrôle éventuel sur des activités de recherche. En revanche, la protection de la sécurité de votre chaîne d’approvisionnement appuie d’autres éléments de votre posture de sécurité générale, comme la cybersécurité et la sécurité de la recherche.
L’inclusion de fournisseurs risqués dans une chaîne d’approvisionnement pourrait limiter les possibilités de partenariats avec d’autres collaborateurs internationaux qui peuvent exiger que vous respectiez les politiques et règlements de leur pays (p. ex., contrôles à l’exportation ou sanctions). Au-delà des contrôles réglementaires, l’inclusion de fournisseurs risqués dans une chaîne d’approvisionnement peut porter atteinte à la réputation. Le fait de tenir compte du risque associé à un fournisseur donné protège la recherche et les données, de même que les possibilités de collaboration internationale actuelles et éventuelles avec d’autres chercheurs à l’échelle mondiale. Ces pages comprennent des documents et des directives portant sur l’approvisionnement de biens et de services pour votre institution ou votre projet de recherche afin de contribuer à la gestion des risques liés à l’approvisionnement de biens et de services en matière de recherche.
Le présent document d’orientation a été élaboré en consultation avec le Centre canadien pour la cybersécurité (CCC). Le CCC a publié une collection de bulletins sur les menaces liées à la sécurité de la chaîne d’approvisionnement :
-
Protéger votre organisation contre les menaces de la chaîne d’approvisionnement des logiciels
-
La cybersécurité et la chaîne d’approvisionnement : évaluation des risques
Les risques pour la sécurité nationale peuvent voir le jour à n’importe quel point dans le cycle de vie d’un approvisionnement. De préférence, les considérations relatives à la sécurité de la chaîne d’approvisionnement seront prises en compte avant la sélection d’un fournisseur ou l’achat d’équipement ou de services et devraient être intégrées à la demande de propositions (DDP). Les considérations relatives à la sécurité devraient être incluses en tant que critère auquel les soumissionnaires doivent respecter pour obtenir le marché.
Le document d’orientation suivant a été élaboré en collaboration avec les ministères et organismes concernés de l’ensemble du gouvernement du Canada et avec des établissements universitaires afin d’aider à cerner les risques dans le cadre d’un approvisionnement, en plus d’étayer des critères de sécurité dans le cadre d’un approvisionnement pour permettre aux personnes responsables de l’approvisionnement lié à des projets de recherche de réduire les risques.
La sécurité de la chaîne d’approvisionnement – Évaluation de votre profil de risque
Élaboration des critères de sécurité pour votre approvisionnement