Évaluations de la résilience cyber et des infrastructures

Le Programme d’évaluation de la résilience régionale

Le Programme d’évaluation de la résilience régionale (PERR) est un programme qui évalue les dépendances ainsi que les vulnérabilités affectant les propriétaires et exploitants d’installations d’infrastructures essentielles (IE) des dix secteurs d’IE au Canada. Le Programme comporte des évaluations de sites en vue d’aider les organisations à mesurer et à accroître leur résilience à tous les risques au Canada, comme les cybermenaces, les événements anthropiques accidentels ou intentionnels et les catastrophes naturelles.

Les évaluations de sites sont volontaires, non réglementaires, gratuites et confidentielles. On demande aux participants de remplir quatre sondages de cinq (5) minutes sur leur expérience avec le Programme, à la suite de l’évaluation.

Fonctionnement

Le PERR comprend quatre outils :

Outil d’évaluation de la résilience des infrastructures essentielles (OERIE) (durée : une journée)
  • Il s’agit d’un outil d’évaluation sur le terrain, qui évalue les mesures de résilience et de protection d’une installation.
  • Les extrants comprennent un rapport et des tableaux de bord interactifs qui présentent des notes et des comparaisons avec des installations de pairs, et mettent l’accent sur les dépendances et les options d’amélioration ayant trait à la résilience, à la sécurité matérielle et à la cybersécurité.
Outil multimédia pour les infrastructures (OMIE) (durée : une demi-journée à une journée)
  • L’OMIE fournit un rendu virtuel d’une installation selon les plans d’étage. De plus, il présente des photos panoramiques de l’intérieur et de l’extérieur des parties importantes de l’installation. L’outil peut être communiqué aux premiers intervenants ou utilisé dans le cadre d’exercices.
  • Bien que l’utilisation de l’OMIE demeure à la discrétion de l’organisation, nous encourageons fortement la communication de l’outil aux premiers intervenants de manière à ce qu’il soit utilisé pour les mesures de préparation aux urgences et d’intervention, le cas échéant.
Examen de la cyberrésilience du Canada (ECRC) (durée : une journée à une journée et demi)
  • Il s’agit d’un outil d’évaluation sur le terrain qui mesure le degré de cyberrésilience d’une organisation.
  • Parmi les extrants, on compte deux rapports (bref et exhaustif) avec une notation des 10 domaines selon le cadre de cybersécurité du NIST, des comparaisons avec des pairs et des options d’amélioration de la résilience.
Outil d'analyse de la résilience de la sécurité du réseau (ARSR) (1 jour à compléter)
  • Un outil d'analyse technique sur site qui permet de corriger la configuration des dispositifs de réseau et de comparer les réseaux de cybersécurité à la conformité aux normes des meilleurs pratiques.
  • Les résultats comprennent des rapports (brefs et complets) avec visualisation du réseau, identification des voies de risques d'attaques critiques ainsi que l'identification des non-conformités des dispositifs de réseau et des options d'amélioration de la résilience.

Aussi bien l’OERIE que l’ECRC nécessitent la présence d’experts en matière de sécurité d’installations, de technologies de l’information (TI) et de gestion des installations. Les organisations peuvent demander d’utiliser les outils séparément ou comme un ensemble. Le recours à l’ensemble des trois outils exige habituellement trois jours. Les vérifications menées après les évaluations peuvent être effectuées en collaboration avec l’organisation pendant une période maximale de 24 mois suivant l’évaluation.

Les organisations peuvent également manifester leur intérêt à participer à une évaluation régionale plus large. Ces projets comprennent habituellement une collaboration entre le Ministère et plusieurs organisations dans une région précise. L’examen d’un risque précis a pour but de déterminer les principales interdépendances ainsi que les possibilités de réduire au minimum, de façon individuelle ou collective, l’incidence et la probabilité d’une interruption. Pendant une évaluation régionale, on déploie de façon individuelle les outils d’évaluation avec les outils de modélisation, les ateliers, les réunions des intervenants et les entrevues avec des experts en la matière.

De quelle façon le Programme aide votre organisation

Les résultats des évaluations visent à aider les propriétaires et exploitants à accroître leur résilience en cernant les dépendances et les vulnérabilités dans leur organisation. Les évaluations de sites permettent aussi de définir une série de mesures efficientes et optionnelles pour aider les propriétaires et exploitants à atténuer les risques et à accroître leur capacité à intervenir en cas de perturbations et à se rétablir par la suite.   

Le PERR en particulier contribue à ce qui suit :

Une meilleure gestion des risques
Améliorer la compréhension de l’organisation au sujet de ses vulnérabilités matérielles et procédurales.
Des relations renforcées avec le gouvernement
Améliorer les relations avec plusieurs ministères, y compris des représentants municipaux, tels que les premiers intervenants.
Une sensibilisation accrue de la sécurité
Déterminer la mesure dans laquelle une organisation est préparée à faire face à des cyberattaques et à d’autres cybermenaces.

Autres facteurs clés pour les propriétaires et exploitants des IE :

Investissement minimal de temps et de ressources
Les services du PERR sont offerts rapidement et gratuitement.
Sécurité
Sécurité publique Canada protégera le caractère confidentiel des documents et de l’information fournis par les propriétaires et exploitants des IE.

La mise en œuvre d’une ou de plusieurs options d’amélioration de la résilience et la prise en compte des observations présentées à la suite d’une évaluation sont à la discrétion du propriétaire et de l’exploitant.

Pour obtenir des renseignements supplémentaires ou demander une évaluation

Pour de plus amples renseignements, veuillez consulter la foire aux questions.

Si vous êtes propriétaire ou exploitant d'une infrastructure critique, contactez-nous pour discuter de la possibilité d'avoir une évaluation de votre installation. Les membres sont également disponibles pour fournir une présentation interactive pour expliquer davantage le programme et les produits fournis.

Date de modification :