Attestations de sécurité d’organisation – de quel type d’attestation avez-vous besoin?
Le Programme de sécurité des contrats peut aider votre organisation à obtenir l’attestation de sécurité dont elle a besoin pour soumissionner et exécuter des contrats du gouvernement.
C’est en fonction des exigences énoncées dans le contrat que l’on détermine le type d’attestation dont vous avez besoin; plus précisément, l’information à cet égard figurera dans la demande de propositions et dans les clauses du contrat.
Types d’attestations de sécurité d’organisation
Attestations de sécurité d’organisation supplémentaires
Les autorisations suivantes en matière de protection pourraient être exigées pour certains contrats :
- Autorisation de détenir des renseignements
- Autorisation de production
- Autorisation de déchiquetage et autorisation de stockage de masse
- Autorisation de traiter les technologies de l’information
- Attestations de sécurité des télécommunications et de sécurité de l’information
- Attestations de l’Organisation du Traité de l’Atlantique Nord
Vérification d’organisation désignée
Une vérification d’organisation désignée (VOD) permet à une organisation d’obtenir des attestations de sécurité (cote de fiabilité) pour ses employés.
Dans certains cas, une VOD est requise pour soumissionner un contrat. Le cas échéant, cette exigence sera précisée dans la demande de propositions.
- Renseignements supplémentaires sur l'attestation d’organisation désignée dans le Manuel de la sécurité industrielle
Obtenir l’attestation de vérification d’organisation désignée
Les organisations peuvent obtenir l’attestation de VOD par l’intermédiaire du processus d’enquête de sécurité sur les organisations.
Attestation de sécurité d’installation
Une attestation de sécurité d’installation permet à l’organisation d’obtenir une attestation de sécurité de niveau « Classifié » pour son personnel afin que celui-ci puisse avoir accès aux renseignements, aux biens et aux lieux de travail classifiés. Dans certaines circonstances, une attestation de sécurité d’installations est nécessaire pour soumissionner un contrat.
Des attestations de sécurité d’installation sont délivrées aux niveaux suivants :
- Confidentiel
- Secret
- Très secret
- Attestations de l’Organisation du Traité de l’Atlantique Nord
Une telle attestation peut également permettre d’avoir accès à des renseignements et à des biens classifiés portant les indications « Réservé aux Canadiens », « SECOM » (Sécurité des communications) et « OTAN ».
- Renseignements supplémentaires sur l’attestation de sécurité d’installation dans le Manuel de la sécurité industrielle
Obtenir ou relever une attestation de sécurité d’installation
Les organisations peuvent obtenir une attestation de sécurité d’installation par l’intermédiaire du processus d’enquête de sécurité qui les concerne.
- Obtenez une attestation de sécurité pour votre organisation
- Apprenez comment relever l’attestation de sécurité de votre organisation
Autorisation de détenir des renseignements
L’autorisation de détenir des renseignements permet à une organisation de stocker et de traiter des renseignements et des biens protégés ou classifiés sur son lieu de travail.
Cette autorisation est délivrée aux niveaux suivants :
- Protégé A, B et C
- Confidentiel, Secret, Très Secret et OTAN Confidentiel, COSMIC Très secretNote de bas de page 1
Pour obtenir une autorisation de détenir des renseignements, votre organisation doit avoir fait l’objet d’une vérification d’organisation désignée en bonne et due forme ou posséder une attestation de sécurité d’installation.
Cette autorisation est propre à chaque lieu de travail; vous devez ainsi en détenir une pour chacun des lieux de travail où vous exécuterez des tâches s’accompagnant d’exigences de sécurité.
Obtenir une autorisation de détenir des renseignements
Les organisations peuvent obtenir une autorisation de détenir des renseignements par l’intermédiaire du processus d’enquête de sécurité qui les concerne; un agent régional de la sécurité industrielle doit également réaliser une évaluation satisfaisante du lieu visé.
- Obtenez une attestation de sécurité pour votre organisation.
- Apprenez comment relever une autorisation de détenir des renseignements.
- Inscrivez-vous au webinaire : Autorisation de détenir des renseignements.
Autorisation de production
Une autorisation de production peut être exigée pour les organisations qui fabriquent, réparent ou modifient des composants de nature délicate à leur lieu de travail, ou qui y effectuent d’autres tâches à l’égard de tels composants. Cette autorisation est propre au contrat en cause.
Obtenir une autorisation de production
Les organisations peuvent obtenir une autorisation de détenir des renseignements par l’intermédiaire du processus d’enquête de sécurité qui les concerne; un agent régional de la sécurité industrielle doit également réaliser une évaluation satisfaisante du lieu visé.
Autorisation de déchiquetage et autorisation de stockage de masse
L’autorisation de déchiquetage et l’autorisation de stockage de masse sont des désignations relatives à la sécurité que le personnel du programme peut accorder aux organisations dont le contrat exige qu’elles :
- détruisent des renseignements ou des biens de nature délicate;
- stockent en masse des renseignements ou des biens à leurs lieux de travail.
Obtenir une autorisation de déchiquetage et une autorisation de stockage de masse
Les organisations peuvent obtenir une autorisation de déchiquetage et une autorisation de stockage de masse par l’intermédiaire du processus d’enquête de sécurité qui les concerne; un agent régional de la sécurité industrielle doit également réaliser une évaluation satisfaisante du lieu visé.
Autorisation de traiter les technologies de l’information
Les organisations doivent obtenir une autorisation de traiter les technologies de l’information pour les contrats s’accompagnant d’exigences de sécurité relatives à ces technologies. Cette autorisation peut être délivrée aux organisations qui stockent, traitent ou transmettent par voie électronique des renseignements de nature délicate dans le cadre d’un contrat en particulier.
Obtenir une autorisation de traiter les technologies de l’information
Les organisations peuvent obtenir une autorisation de traiter les technologies de l’information par l’intermédiaire du processus d’enquête de sécurité qui les concerne; un inspecteur de la sécurité de la technologie de l’information du programme doit également réaliser une évaluation satisfaisante à cet égard.
Inspections de la sécurité de la technologie de l’information
Les inspections de la sécurité de la technologie de l’information sont menées après l’octroi du contrat, mais avant que votre organisation entreprenne le traitement ou la transmission de renseignements de nature délicate par voie électronique.
Votre organisation doit recevoir une lettre d’approbation confirmant l’octroi de la désignation « Autorisation de traiter les technologies de l’information » avant de pouvoir traiter ou transmettre de tels renseignements par voie électronique.
Attestations de sécurité des communications et de sécurité de l’information
Les organisations pourraient devoir obtenir une attestation de sécurité des communications (SECOM) et une attestation de sécurité de l’information (INFOSEC) pour les contrats s’accompagnant d’exigences en matière de sécurité de la technologie de l’information.
- Attestation SECOM – exigence relative à la sécurité à laquelle il faut satisfaire pour stocker, traiter, transmettre et recevoir des télécommunications, notamment par l’intermédiaire d’un réseau d’ordinateurs.
- Attestation INFOSEC – catégorie spéciale de communications classifiées dans le contexte des renseignements en matière de sécurité électronique.
Obtenir une attestation de sécurité des communications ou une attestation de sécurité de l’information
Les attestations SECOM et INFOSEC sont délivrées par le Centre de la sécurité des télécommunications, soit l’organisme national de cryptologie du Canada. Le Programme de sécurité des contrats mène les inspections de sécurité physique relatives à ces attestations.
Attestations de l’Organisation du Traité de l’Atlantique Nord
Les organisations qui présentant une soumission en vue d’obtenir un contrat de l’OTAN doivent satisfaire aux exigences relatives à la sécurité précisées dans le contrat en cause.