Élaboration des critères de sécurité pour votre approvisionnement

Clause de non-responsabilité : Les renseignements et directives ci-après ont été communiqués à titre informatif seulement et ne constituent pas des conseils juridiques. Les lecteurs devraient communiquer avec les services juridiques de leur propre organisation en ce qui a trait à l’élaboration d’exigences particulières pour veiller à ce qu’ils soient conformes à toutes les exigences juridiques, réglementaires ou autres applicables, y compris les accords commerciaux internationaux.

La période optimale pour intégrer des considérations de sécurité dans le cadre de votre approvisionnement est avant d’attribuer un marché. De préférence, votre DDP comprendra des critères d’évaluation liés aux questions de sécurité. Vous pourriez souhaiter intégrer de tels critères (en voir des exemples ci-dessous) comme éléments obligatoires ou éléments cotés de votre évaluation, sous réserve de toutes les lois applicables, des accords commerciaux internationaux ou de politiques internationales que vous pourriez être tenus de respecter. Les institutions et leurs responsables de l’approvisionnement sont les plus aptes à élaborer des mesures d’atténuation des risques dans le cadre d’une DDP.

Critères juridiques et financiers établis

Il peut être important de tenir compte de l’identité d’un soumissionnaire au moment d’évaluer les risques pour la sécurité. Vous pourriez souhaiter envisager d’inclure une exigence selon laquelle un soumissionnaire doit faire preuve de transparence à l’égard de sa situation financière et de sa relation juridique avec d’autres clients et gouvernements, par exemple en exigeant que les soumissionnaires fassent état de ce qui suit :

1. S’il y a des poursuites en justice actives à l’encontre du soumissionnaire ou des fournisseurs tiers qu’il propose, notamment si ces poursuites sont liées à des questions de sécurité (c.-à-d. des cas d’espionnage industriel ou de fraude financière).

2. Si le soumissionnaire a des relations actives ou s’il fait l’objet d’un traitement préférentiel auprès d’un gouvernement étranger.

3. Si le soumissionnaire est en mesure de démontrer l’harmonisation de la sécurité et de l’assurance de la chaîne d’approvisionnement avec un cadre comme la gestion du risque de la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33), rév. 1 de la publication spéciale 800-161 du NIST, Supply Chain Risk Management Practices for Federal Information Systems ou la norme ISO/IEC 27036-1:2021 Information Security for Supplier Relationships.

Sous réserve de toutes les lois, ententes ou politiques applicables que vous pourriez être tenus de respecter, il se peut que vous souhaitiez exclure les soumissionnaires qui dépassent le niveau de risque acceptable pour votre approvisionnement, en fonction des réponses à ces critères, voire mettre en œuvre une disqualification automatisée en présence de certains indicateurs de risque élevé.

Critères de protection des données et des renseignements

L’établissement d’exigences concernant le stockage et la protection de renseignements de nature délicate (p. ex., données personnelles de nature délicate, recherche et données sur les technologies sensibles ou à double usage) avant d’attribuer le marché pourrait vous aider à atténuer les risques. La DDP peut comporter des exigences contractuelles selon lesquelles votre institution doit pouvoir contrôler le stockage de toutes les données sensibles.

Envisager de demander à un soumissionnaire comment il protégera vos renseignements de nature délicate, en lui demandant de fournir des renseignements sur les éléments suivants :

1. L’endroit où les données seront stockées (p. ex., l’emplacement géographique pouvant modifier les lois et règlements en matière de protection des renseignements personnels, de sécurité et de propriété des données qui s’appliquent aux données).

2. La façon dont les données seront transmises (considérations relatives au réseau, les produits par l’intermédiaire desquels elles peuvent être transférées ainsi que les détails sur ces produits, par exemple leur fin ou leur fabricant).

3. La façon dont les données sont étiquetées ou catégorisées en fonction de leur sensibilité.

4. Les contrôles de l’accès et les protocoles de gestion de réseau existants.

5. Ses politiques en matière de conservation des données; déterminer également si les exigences en matière de conservation des données peuvent être prises en charge.

6. Le rôle des sous-traitants dans le stockage, la transmission, la catégorisation ou la conservation des données.

En examinant les réponses à ces questions, tenez compte de la façon dont une atteinte éventuelle aux renseignements pourrait avoir une incidence sur les intérêts en matière de sécurité des données de votre institution, voire les intérêts généraux en matière de sécurité nationale. Il se peut que vous souhaitiez envisager d’évaluer les soumissionnaires en fonction des renseignements qu’ils fournissent et exiger qu’ils satisfassent à un certain seul pour se qualifier.

Il se peut aussi que vous souhaitiez tenir compte des clauses dans le contrat qui vous permettent de préciser les procédures attendues ou les normes minimales liées aux considérations ci-dessus, notamment en ce qui concerne la protection des données et des renseignements. Cela comprend, par exemple, les clauses qui permettent à votre institution d’examiner et d’évaluer la sécurité et l’intégrité des produits et des services à acheter, ou le fait de procéder à des audits de la sécurité, une fois que de tels services ou produits ont été acquis. À l’intérieur de ces clauses, il est possible que vous souhaitiez tenir compte de l’inclusion des situations qui justifieraient la résiliation du marché si des vulnérabilités en matière de sécurité ou d’autres préoccupations de sécurité sont relevées dans ces examens. Il se peut que vous souhaitiez envisager ces examens selon un calendrier fixe ou dans l’éventualité d’un certain changement dans la prestation du produit ou du service (c.-à-d. un changement dans la propriété du fournisseur, un changement dans le siège social du fournisseur, etc.).

Si vous souhaitez obtenir de plus amples renseignements sur les types de clauses que vous pourriez envisager d’inclure dans une DDP, le Centre canadien pour la cybersécurité  peut vous aider. Pour obtenir des conseils en matière de sécurité de la recherche pour un projet en particulier, vous pouvez aussi communiquer avec le Centre de la sécurité de la recherche de Sécurité publique.