Signalement des incidents de sécurité

Si vous croyez qu’une personne a accédé sans permission à des biens ou à des renseignements de nature délicate du gouvernement, vous devez signaler l’incident au personnel du Programme de sécurité des contrats. Découvrez comment, quand et où signaler les incidents de sécurité.

Sur cette page

• Incidents de sécurité
  • Comment signaler un incident de sécurité
• Atteintes à la sécurité
  • Comment signaler une atteinte à la sécurité
• Prises de contact susceptibles de nuire à la sécurité
• Comment signaler une atteinte à la sécurité ou une prise de contact susceptible de nuire à la sécurité
• Comment le personnel du programme enquête-t-il sur une atteinte à la sécurité
• Rôle de l’agent de sécurité d’entreprise

Incidents de sécurité

Un incident de sécurité est une alerte indiquant qu’il pourrait y avoir, ou y avoir eu, une atteinte à la sécurité. Plus particulièrement, il s’agit d’un acte, d’un événement ou d’une omission pouvant entraîner la compromission de renseignements, de biens ou de services, par exemple :

• un document protégé qui est laissé sans surveillance sur un bureau;
• un ordinateur portatif contenant des renseignements classifiés qui est égaré;
• une prise de contact suspecte par une personne qui pourrait tenter d’obtenir des renseignements de nature délicate auprès de vous.

Comment signaler un incident de sécurité

Les incidents de sécurité doivent être signalés à l’agent de sécurité d’entreprise. Dans chaque cas, l’agent mènera une enquête préliminaire, en plus de créer un dossier sur l’incident et de signaler ce dernier au personnel du Programme de sécurité des contrats.

• Remplir le Rapport d’incident de sécurité de l’agent de sécurité d’entreprise et l’agent de sécurité d’entreprise remplaçant

L’enquête préliminaire permettra de répondre aux questions suivantes :

• Où et quand l’incident s’est-il produit?
• Qui l’a signalé et à qui et quand l’a-t-on fait?
• Quels sont les renseignements ou les biens visés?
• Quelle est la description des renseignements ou des biens visés et de quelle mention de sécurité sont-ils assortis?
• De qui provenaient ces renseignements ou ces biens?
• Pendant combien de temps les renseignements ou les biens ont-ils été vulnérables à l’accès non autorisé et qui aurait pu y avoir accès de cette façon?
• Quelles mesures a-t-on prises pour protéger les renseignements ou les biens et limiter les dommages?
• Y a-t-il des renseignements ou des biens qui ont été perdus ou que l’on ne peut pas localiser?
• Quelles sont les recommandations à suivre pour éviter qu’un tel incident se reproduise?

Il faut présenter le rapport d’incident ou un courriel au personnel de la Division des enquêtes du Programme de sécurité des contrats à l’adresse suivante : SSIDSICDIEEnquetes/.ISSCISDIIDInvestigations@tpsgc-pwgsc.gc.ca

Ne transmettez pas de renseignements protégés et classifiés avec le rapport ni par courriel. Lorsque vous soumettez le rapport ou le courriel, indiquez clairement dans votre message si vous devez transmettre des renseignements sensibles dans le cadre du rapport d'incident ou de l'enquête. L'enquêteur assigné à votre dossier communiquera avec vous pour prendre les démarches nécessaires pour obtenir ces documents.

Si vous soupçonnez qu’un acte criminel a été commis, communiquez avec votre service de police local.

Atteintes à la sécurité

Un incident de sécurité qui entraîne la compromission avérée de renseignements ou de biens est considéré comme une atteinte à la sécurité.

Une atteinte à la sécurité est un acte, un événement ou une omission qui entraîne la compromission de biens ou de renseignements de nature délicate. La compromission s’entend de toute activité non autorisée d’accès, de communication, de destruction, de retrait, de modification, d’utilisation ou d’interruption touchant des biens ou des renseignements protégés et classifiés.

Comment signaler une atteinte à la sécurité

En cas d’atteinte à la sécurité, l’agent de sécurité d’entreprise doit suivre les étapes ci-après, les documenter dans un rapport d’incident de sécurité et transmettre ce dernier au personnel du programme :

1. signaler immédiatement l’atteinte à la sécurité au personnel du programme;
   • Remplir le Rapport d’incident de sécurité de l’agent de sécurité d’entreprise et l’agent de sécurité d’entreprise remplaçant;
2. mener une enquête sur l’incident pour en déterminer la cause;
3. prendre des mesures correctives et mettre en œuvre des mécanismes de contrôle afin d’éviter que d’autres incidents similaires surviennent ultérieurement ou de réduire la possibilité que de tels incidents se produisent de nouveau.

Prises de contact susceptibles de nuire à la sécurité

Une prise de contact susceptible de nuire à la sécurité survient lorsque le représentant d’un groupe communique avec vous pour tenter d’accéder à des renseignements touchant la sécurité nationale pour lesquels il ne satisfait pas à l’exigence du besoin de connaître.

Une prise de contact susceptible de nuire à la sécurité peut survenir lors de situations officielles ou sociales, au Canada comme à l’étranger.

Une telle prise de contact peut provenir :

• d’un pays étranger d’intérêt;
• d’un groupe extrémiste ou subversif;
• d’un groupe criminel;
• d’une personne ou d’un groupe politique, commercial ou revendicateur, y compris les médias.

Ces personnes ou groupes peuvent consacrer des ressources considérables pour accéder à des renseignements nationaux ou relatifs à la défense, à des armes ou à d’autres biens militaires. Leurs efforts en ce sens peuvent consister à prendre pour cible une personne ou sa famille et ses amis.

Raisons pour lesquelles vous pourriez être une cible

Les employés des organisations inscrites au programme peuvent détenir des renseignements grandement convoités par des représentants étrangers. Les renseignements recueillis par ces personnes et ces groupes peuvent représenter une menace pour vous, votre organisation et la sécurité nationale.

Vous devez signaler les prises de contact suspectes afin qu’elles soient évaluées, et ce, pour qu’il soit possible :

• de repérer rapidement les activités menaçantes;
• de mesurer l’ampleur de la menace;
• d’alerter les autorités chargées de l’élaboration de contre­mesures appropriées.

Quand signaler une prise de contact suspecte

Votre organisation doit signaler les prises de contact suspectes dès qu’elles se présentent pour que l’on puisse les évaluer et prendre des mesures appropriées dans les meilleurs délais.

Il faut se poser les questions suivantes :

• Le contact suspect était il avec un étranger?
• Le genre de questions posées vous a-t-il rendu mal à l’aise?
• Avez-vous été pressé de répondre aux questions?
• S’est-il produit quelque chose qui vous a semblé suspect ou inquiétant?

Si vous répondez par l’affirmative à l’une ou à l’autre des questions ci-dessus, vous devez sans tarder signaler la prise de contact suspecte :

• au personnel du programme, par l’intermédiaire de votre agent de sécurité d’entreprise ou agent de sécurité d’entreprise remplaçant;
• au service de police local;
• au Service canadien du renseignement de sécurité.

Déclarations de tiers

Les déclarations de tiers sont d’une aide essentielle au gouvernement fédéral pour le repérage des prises de contact inappropriées.

Il incombe à l’agent de sécurité d’entreprise de veiller à ce que les incidents de cette nature soient signalés au personnel du programme, qui devra peut-être également communiquer avec d’autres parties, selon l’ampleur de la préoccupation. Le personnel du programme traite les déclarations de tiers de façon strictement confidentielle.

Comment signaler une atteinte à la sécurité ou une prise de contact susceptible de nuire à la sécurité

Si vous soupçonnez qu’il y a eu une atteinte à la sécurité ou une prise de contact susceptible de nuire à la sécurité, vous devez :

• communiquer avec le personnel du Programme de sécurité des contrats

Vous devrez peut-être aussi communiquer avec les autorités ci-après, selon la situation.

• Pour signaler une menace immédiate à la sécurité nationale, communiquez avec soit :
  • le service local de police (composez le 911)
  • Réseau info-sécurité nationale de la Gendarmerie royale du Canada (GRC)
• Pour signaler une menace non immédiate à la sécurité nationale, communiquez avec :
  • le Service canadien du renseignement de sécurité
• Pour signaler des activités criminelles soupçonnées, communiquez avec soit :
  • l’organisme local chargé de l’application de la loi
  • le Centre national des opérations de la GRC :

    courriel :

    national_operations.noc@rcmp-grc.gc.ca

    téléphone :

    613‑993‑4460

    télécopieur :

    613‑993‑0260

    télécopieur sécurisé :

    613‑993‑1271

Comment le personnel du programme enquête-t-il sur une atteinte à la sécurité

Le personnel du programme mène des enquêtes administratives sur les atteintes à la sécurité.

Voici quelques exemples d’atteintes à la sécurité :

• violation des dispositions de la Politique du gouvernement sur la sécurité ou du Manuel de la sécurité industrielle;
• accès à des renseignements ou à des biens protégés ou classifiés par une personne ou une organisation qui ne dispose pas de l’attestation de sécurité appropriée;
• activité criminelle;
• incidents liés à la sécurité de la technologie de l’information.

Le personnel du programme mènera des enquêtes sur les manquements à la sécurité, notamment :

• le défaut de respecter les dispositions du Manuel de la sécurité industrielle relatives au traitement et à la protection des renseignements et des biens protégés et classifiés;
• la modification, la conservation, la destruction ou le retrait non autorisé de renseignements ou de biens classifiés et protégés;
• l’interruption non autorisée du flux d’information.

Notre enquêteur :

• évaluera la portée de l’incident;
• fournira des conseils à l’agent de sécurité d’entreprise concernant la protection des renseignements ou des biens;
• fera enquête au sujet des allégations mises de l’avant;
• fournira un rapport mettant en évidence les mesures correctives à prendre;
• formulera des recommandations pour éviter que surviennent d’autres atteintes à la sécurité.

Rôle de l’agent de sécurité d’entreprise

Si l’agent de sécurité d’entreprise croit qu’un incident de sécurité a eu lieu, il doit :

• le signaler au personnel du programme;
• rédiger un rapport concernant la préoccupation en cause au chapitre de la sécurité;
• bloquer l’accès aux biens et aux renseignements de nature délicate jusqu’à ce que le personnel du programme ait terminé son enquête.

L’agent de sécurité d’entreprise peut prévenir les incidents de sécurité en prenant des mesures de sensibilisation à cet égard au sein de l’organisation. Voici des exemples de mesures de ce type :

• informer les employés de leurs responsabilités sur le plan de la sécurité et leur faire part des préoccupations, des menaces et des risques liés à la sécurité;
• effectuer des vérifications régulières pour veiller à ce que les employés respectent les procédures et les pratiques de sécurité;
• accroître la sensibilisation des employés grâce à des séances d’orientation et de formation sur la sécurité;
• communiquer de l’information sur les procédures relatives à la sécurité de l’organisation et sur les pratiques exemplaires en ce sens :
  • des affiches, des banderoles, des bulletins d’information, des vidéos et des exposés sont de bonnes façons de communiquer les messages voulus.