Exigences de sécurité relatives aux lieux de travail
Voici comment le Programme de sécurité des contrats aidera votre organisation à respecter les exigences de sécurité visant votre lieu de travail et à obtenir une autorisation de détenir des renseignements.
Sur cette page
- Pourquoi devez-vous sécuriser votre lieu de travail
- Inspections sur place
- Consignes de sécurité pour le personnel
- Mécanismes de contrôle de l’accès
- Mentions de sécurité
- Destruction et déchiquetage
- Normes minimales d’entreposage, de transmission et de destruction
- Renseignements supplémentaires
Pourquoi devez-vous sécuriser votre lieu de travail
Un lieu de travail sécurisé est conçu pour empêcher ou retarder l’accès non autorisé aux aires de travail, aux renseignements et aux biens de nature délicate, et pour permettre une intervention en cas d’accès non autorisé.
Si un contrat exige que votre organisation entrepose des renseignements et des biens de nature délicate du gouvernement, vous devez obtenir une autorisation de détenir des renseignements délivrée par l’intermédiaire du Programme de sécurité des contrats.
Inspections sur place
Le personnel du Programme réalisera une inspection du lieu de travail avant d’accorder une autorisation de détenir des renseignements. Cette inspection permettra de déterminer les mesures à prendre pour sécuriser votre lieu de travail ainsi que les renseignements et les biens.
Avant l’inspection – à quoi s’attendre
Pour se préparer à l’inspection, l’agent régional de la sécurité industrielle relevant du Programme examinera :
- la liste de vérification des exigences relatives à la sécurité
- la demande d’enquête de sécurité sur une organisation du secteur privé
- les clauses de sécurité du contrat
- l’énoncé des travaux
On vous demandera d’examiner un ensemble de directives sur la sécurité et de remplir les formulaires nécessaires de même qu’un questionnaire préalable à l’inspection. L’agent régional de la sécurité industrielle vous demandera également un plan d’étage détaillé pour effectuer l’inspection de sécurité.
Pendant l’inspection – à quoi s’attendre
L’inspection est gratuite; cependant, les organisations doivent assumer les coûts associés à tout équipement ou travail de construction requis pour protéger les renseignements et les biens sur leurs lieux de travail.
L’agent régional de la sécurité industrielle doit prendre connaissance de ce qui suit :
- les cibles et risques potentiels au chapitre des attaques physiques
- les systèmes de détection des intrusions
- les zones de sécurité matérielle, dans le contexte de la Norme opérationnelle sur la sécurité matérielle du gouvernement fédéral
- la façon dont les renseignements et les biens sont manipulés
Photographies
Pendant l’inspection, l’agent régional de la sécurité industrielle aura besoin de l’autorisation de votre organisation pour accéder à ce qui suit et photographier :
- tous les points d’accès intérieurs et extérieurs, y compris le matériel de verrouillage
- les armoires d’entreposage et leur emplacement
- les portes de contrôle d’accès à la zone de travail et de sécurité (s’il y a lieu)
- les salles de serveur
Après l’inspection – à quoi s’attendre
Les inspections peuvent être réalisées à n’importe quel moment pendant la durée du contrat. Si votre organisation ne respecte pas les exigences du contrat, l’attestation de sécurité peut être refusée ou résiliée.
Votre organisation peut commencer le travail prévu au contrat :
- lorsque le processus d’inspection est terminé
- une fois qu’elle a reçu un avis écrit indiquant qu’elle respecte les exigences de sécurité
Consignes de sécurité pour le personnel
Les consignes de sécurité sont requises pour les organisations ayant obtenu une autorisation de détenir des renseignements. Ces consignes doivent être portées à l’attention de l’agent régional de la sécurité industrielle avant que l’organisation puisse se voir accorder une attestation de sécurité.
Les consignes de sécurité doivent prendre la forme d’un document que votre organisation créera et utilisera pour :
- informer les employés de leurs responsabilités
- prévenir toute activité non autorisée de communication, de destruction, de retrait, de modification ou d’interruption touchant les renseignements et les biens de nature délicate du gouvernement
Elles doivent stipuler que les employés :
- peuvent accéder à des renseignements et à des biens de nature délicate :
- seulement s’ils ont reçu une attestation de sécurité de niveau approprié et s’ils satisfont à l’exigence du besoin de connaître, ce qui signifie qu’ils ont besoin d’accéder aux renseignements en cause et de les connaître pour exercer leurs fonctions
- sont tenus de contrôler l’accès à leur zone et de s’assurer qu’aucune personne non autorisée n’y ait accès :
- s’ils travaillent avec des renseignements et des biens de nature délicate
Tous les employés de l’organisation doivent lire attentivement les consignes de sécurité avant de signer l’attestation à la fin du document.
Mécanismes de contrôle de l’accès
Les mécanismes de contrôle de l’accès sont un type de dispositifs de sécurité matérielle utilisé pour protéger les renseignements et les biens. Le Programme offre des directives et des conseils sur les types de mécanismes de contrôle de l’accès nécessaires dans des lieux de travail donnés.
Voici certains mécanismes de contrôle de l’accès :
- zones de sécurité à restriction progressive
- portes verrouillées
- systèmes de contrôle de l’accès
- systèmes de détection d’intrusion
- contenants de sécurité approuvés
Les organisations doivent veiller à ce que tous les employés, les entrepreneurs et les sous-traitants (p. ex. le personnel chargé du nettoyage et de l’entretien) détiennent une attestation de sécurité de niveau approprié et à ce qu’ils soient accompagnés en tout temps lorsqu’ils accèdent aux zones de sécurité.
Entreposage et armoires d’entreposage
Un agent régional de la sécurité industrielle du Programme formulera des recommandations en matière d’entreposage. Au besoin, votre agent régional de la sécurité industrielle vous aidera à commander des armoires approuvées par la Gendarmerie royale du Canada (GRC). De telles armoires sont requises pour l’entreposage des renseignements et des biens classifiés et désignés « Protégé C » du gouvernement fédéral.
Plan d’étage et hiérarchie des zones
Il faut dresser un plan d’étage détaillé avant la tenue d’une inspection.
Votre plan d’étage détaillé doit comprendre ce qui suit :
- tous les points d’accès au périmètre externe de l’installation, y compris les portes et fenêtres (au niveau du sol)
- tous les points de contrôle d’accès intérieurs de l’installation (zone de travail et zone de sécurité)
- tous les endroits où du matériel, des renseignements ou des biens protégés ou classifiés seront affichés, traités, produits ou conservés
- toutes les zones d’accès restreint
- l’emplacement des armoires d’entreposage et des lieux de conservation temporaire
- l’emplacement de tous les éléments de systèmes de détection d’intrusion (détecteurs de mouvement, clavier, contacts de porte, télévision en circuit fermé, etc.)
- l’emplacement des serveurs, des systèmes de technologie de l’information et des périphériques
Vous devez créer une hiérarchie des zones pour établir qui peut et qui ne peut pas accéder aux renseignements et aux biens de nature délicate sur votre lieu de travail. Ces zones doivent être illustrées sur votre plan d’étage, comme on peut le voir dans les images ci-dessous.
Organisation des zones et exemple de plan d’étage
Description de l’organisation des zones et de l’exemple de plan d’étage
L’organisation des zones est illustrée par des cercles. Le cercle extérieur est le plus grand et englobe les autres cercles. Plus un cercle est petit, plus les exigences de sécurité qui s’appliquent à la zone en cause sont élevées.
Le cercle extérieur représente la zone d’accès public. Il s’agit des zones où l’accès du public n’est pas restreint, comme le terrain qui entoure l’immeuble ou les corridors publics.
Le deuxième cercle représente la zone d’accueil. Il s’agit d’une zone où la transition d’une zone d’accès public à une zone d’accès restreint est délimitée et contrôlée.
Le troisième cercle représente la zone de travail. Cette zone est réservée aux employés et aux visiteurs dûment accompagnés; il peut notamment s’agir d’un espace de bureaux à aire ouverte type ou d’un local électrique.
Le quatrième cercle à partir de l’extérieur est aussi le deuxième cercle à partir de l’intérieur. Il représente la zone de sécurité. Il s’agit d’une zone réservée aux employés autorisés et aux visiteurs autorisés qui sont dûment accompagnés (p. ex. un lieu où des renseignements « Secret » sont traités ou entreposés).
Le cercle le plus petit représente la zone de haute sécurité. Il s’agit d’une zone réservée aux employés autorisés détenant une attestation de sécurité de niveau approprié et aux visiteurs autorisés dûment accompagnés, comme une zone où des biens de grande valeur sont manipulés par des employés désignés.
L’exemple de plan d’étage est présenté sous la forme d’une pièce rectangulaire vue du dessus. La pièce comprend les zones suivantes :
- une zone de travail;
- une zone d’accueil;
- une zone de sécurité dans la zone de travail;
- une zone de haute sécurité dans la zone de sécurité
L’accès à la zone de sécurité est réservé au personnel se trouvant dans la zone de travail. La zone de haute sécurité se trouve dans la zone de sécurité. L’accès à la zone de haute sécurité est réservé au personnel se trouvant dans la zone de sécurité.
On entre dans la pièce et l’on en sort par les points d’accès suivants :
- une porte pour l’accès public;
- elle mène directement à la zone d’accueil se trouvant dans la pièce;
- l’accès au-delà de la zone d’accueil est restreint par un point de contrôle;
- une porte pour le personnel, à laquelle l’accès est contrôlé;
- cette porte est réservée au personnel se trouvant dans la zone de travail;
- des sorties de secours, auxquelles l’accès n’est pas recommandé et qui ne devraient permettre que de sortir de l’immeuble en cas d’urgence;
- ces portes sont réservées au personnel se trouvant dans la zone de travail
Renseignements supplémentaires sur les zones de sécurité
Apprenez-en davantage sur :
- la hiérarchie des zones de la Norme opérationnelle sur la sécurité matérielle du gouvernement fédéral;
- l’établissement des zones de sécurité matérielle (Gendarmerie royale du Canada)
Mentions de sécurité
Les renseignements, qu’ils soient en format papier ou électronique, doivent porter une mention indiquant qu’ils sont protégés ou classifiés, le cas échéant. Les organisations doivent respecter les normes du gouvernement sur l’annotation des renseignements protégés et classifiés.
Destruction et déchiquetage
Les renseignements et les biens de nature délicate sont détruits à la fin de leur cycle de vie, et ce, afin d’en préserver la confidentialité. Cette pratique est requise pour les documents originaux, les copies, les versions provisoires et les notes – soit tous les documents qui comprennent des renseignements protégés et classifiés.
Déchiquetage
Capacité de déchiquetage de documents contenant des renseignements protégés
- Les organisations peuvent déchiqueter les documents contenant des renseignements protégés sur leur lieu de travail à l’aide d’équipement acheté dans un magasin de fournitures de bureau
Capacité de déchiquetage de documents contenant des renseignements « Secret »
- Pour les documents papier, la déchiqueteuse doit être approuvée par la GRC
- Pour les dispositifs de technologie de l’information, la déchiqueteuse doit être approuvée par le Centre de la sécurité des télécommunications Canada
Capacité de déchiquetage de documents contenant des renseignements classifiés
- Les organisations doivent faire appel aux services d’une entreprise titulaire d’une approbation de déchiquetage de documents contenant des renseignements classifiés et obtenir un certificat de destruction une fois le déchiquetage effectué
Renseignements et biens de niveaux « Protégé C », « Très secret » et « SECOM » ainsi que renseignements et biens classifiés de l’OTAN et de pays étrangers
- Il faut retourner les renseignements et les biens de ces catégories au personnel du Programme à des fins de destruction ou de déchiquetage
Installations de déchiquetage
Le personnel du Programme de sécurité des contrats mène annuellement une inspection auprès des entreprises de déchiquetage. Ces entreprises doivent obtenir une approbation de déchiquetage correspondant au niveau des documents qu’elles traitent.
Déchiquetage mobile
Les camions de déchiquetage mobile peuvent déchiqueter des documents protégés ou d’un niveau supérieur, dans la mesure où ils respectent les normes de la GRC. De plus, un employé autorisé de l’organisation doit être sur place pour :
- suivre continuellement les documents
- superviser l’ensemble du processus de destruction
- inspecter les résidus déchiquetés
L’agent de sécurité d’entreprise doit s’assurer que l’entreprise de déchiquetage détient l’attestation de sécurité requise en vérifiant auprès du personnel du Programme.
L’entreprise de déchiquetage doit remettre un certificat de destruction une fois que les documents ont été détruits.
Incinération
Le processus de destruction par incinération doit se faire dans un incinérateur approuvé par la GRC. Le simple fait de brûler des renseignements n’est pas une méthode approuvée de destruction par incinération.
Normes minimales d’entreposage, de transmission et de destruction
Renseignements « Protégé A »
Entreposage
- Format papier : Les renseignements doivent être conservés sous clé dans une zone de travail (p. ex. armoire suspendue verrouillée, tiroir verrouillé, bureau fermé à clé)
- Format électronique : Les documents peuvent être sauvegardés sur un disque réseau sécurisé
Transmission
- Télécopie : Les documents peuvent être transmis et reçus au moyen d’un télécopieur ordinaire situé dans une zone de travail
- Courriel : Les documents peuvent être transmis sur un réseau interne sécurisé
Destruction
- Format papier : Utiliser une déchiqueteuse commerciale (taille maximale de dix mètres)
- Format électronique : Supprimer les fichiers et vider la corbeille
Renseignements « Protégé B »
Entreposage
- Format papier : Les renseignements doivent être conservés dans une armoire d’entreposage verrouillée, dans une zone de travail
- Format électronique : Les renseignements peuvent être sauvegardés sur une clé USB, sur un lecteur de disque dur externe ou sur un CD et conservés dans une armoire d’entreposage verrouillée, dans une zone de travail
Transmission
- Télécopie : Les documents peuvent être transmis et reçus au moyen d’un télécopieur ordinaire situé dans une zone de travail; il doit y avoir une procédure de contrôle aux lieux de l’envoi et de la réception des documents
- Courriel : Recourir au chiffrement par infrastructure à clés publiques ou à un autre mécanisme de chiffrement approuvé
Destruction
- Format papier : Utiliser une déchiqueteuse approuvée (de type III) qui déchiquette le papier en morceaux d’au plus 2 mm sur 15 mm
- Format électronique : Communiquer avec le Programme de sécurité des contrats
Renseignements « Protégé C »
Entreposage
- Format papier : Les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de sécurité
- Format électronique : Les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de sécurité
Transmission
- Télécopie : Les documents peuvent être transmis et reçus au moyen d’un télécopieur et d’un téléphone sécurisés munis d’un dispositif de chiffrement approuvé, dans une zone de sécurité
- Courriel : Il ne faut pas transmettre les documents classés à ce niveau par courriel
Destruction
- Format papier : Utiliser une déchiqueteuse approuvée (de type II) qui déchiquette le papier en morceaux d’au plus 1 mm sur 14,3 mm
- Format électronique : Communiquer avec le Programme de sécurité des contrats
Renseignements « Confidentiel »
Entreposage
- Format papier : Les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de travail
- Format électronique : Les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de travail
Transmission
- Télécopie : Les documents peuvent être transmis et reçus au moyen d’un télécopieur et d’un téléphone sécurisés munis d’un dispositif de chiffrement approuvé, dans une zone de sécurité
- Courriel : Il ne faut pas transmettre les documents classés à ce niveau par courriel
Destruction
- Format papier : Utiliser une déchiqueteuse approuvée (de type III) qui déchiquette le papier en morceaux d’au plus 2 mm sur 15 mm
- Format électronique : Communiquer avec le Programme de sécurité des contrats
Renseignements « Secret »
Entreposage
- Format papier : Les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de sécurité
- Format électronique : Les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de sécurité
Transmission
- Télécopie : Les documents peuvent être transmis et reçus au moyen d’un télécopieur et d’un téléphone sécurisés munis d’un dispositif de chiffrement approuvé, dans une zone de sécurité
- Courriel : Il ne faut pas transmettre les documents classés à ce niveau par courriel
Destruction
- Format papier : Utiliser une déchiqueteuse approuvée (de type II) qui déchiquette le papier en morceaux d’au plus 1 mm sur 14,3 mm
- Format électronique : Communiquer avec le Programme de sécurité des contrats
Renseignements « Très secret »
Entreposage
- Format papier : Les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de haute sécurité
- Format électronique : Les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de haute sécurité
Transmission
- Télécopie : Les documents peuvent être transmis et reçus au moyen d’un télécopieur et d’un téléphone sécurisés munis d’un dispositif de chiffrement approuvé, dans une zone de haute sécurité
- Courriel : Il ne faut pas transmettre les documents classés à ce niveau par courriel
Destruction
- Format papier : Utiliser une déchiqueteuse approuvée (de type II) qui déchiquette le papier en morceaux d’au plus 1 mm sur 14,3 mm
- Format électronique : Communiquer avec le Programme de sécurité des contrats
Renseignements supplémentaires
- Consultez la Norme opérationnelle sur la sécurité matérielle
- Obtenez de plus amples renseignements sur les sujets ci-après dans le Manuel de la sécurité industrielle :