Évaluations de la résilience cyber et des infrastructures
Le Programme d'évaluation de la résilience régionale
Le Programme d'évaluation de la résilience régionale (PERR) est un programme qui évalue les dépendances ainsi que les vulnérabilités affectant les propriétaires et exploitants d'installations d'infrastructures essentielles (IE) des dix secteurs d'IE au Canada. Le Programme comporte des évaluations de sites en vue d'aider les organisations à mesurer et à accroître leur résilience à tous les risques au Canada, comme les cybermenaces, les événements anthropiques accidentels ou intentionnels et les catastrophes naturelles.
Les évaluations de sites sur place sont volontaires, non réglementaires, gratuites et confidentielles. On demande aux participants de remplir quatre sondages de cinq (5) minutes sur leur expérience avec le Programme, à la suite de l'évaluation.
Une autoévaluation de la résilience en ligne sera disponible en fin 2023 ou début 2024.
Si vous avez des questions par rapport au travail du programme ou vous êtes intéressé à en connaître davantage par rapport à nos évaluations, veuillez remplir notre formulaire en ligne.
Fonctionnement
Le PERR comprend quatre outils :
Autoévaluation de la résilience en ligne (Au moins 1 heure à compléter – disponible plus tard cette année)
- Outil en ligne qui mesure la résilience et les mesures de protection d'un établissement. Il est recommandé de consulter les différents employés clés responsables de la sécurité et de la planification dans votre installation en répondant aux questions.
- Basé sur l’Outil d'évaluation de la résilience des infrastructures essentielles (OERIE).
- Le produit livré est un rapport de toutes les options à envisager (OAEs) en fonction de vos réponses, avec un résultat général et un résultat de couleur spécifique à la section mesurant les différents niveaux de résilience. Le rapport que vous recevrez après l'avoir rempli doit être examiné en fonction de votre profil de menace et des opérations de votre organisation.
Outil d'évaluation de la résilience des infrastructures essentielles (OERIE) (durée : une journée)
- Il s'agit d'un outil d'évaluation sur le terrain, qui évalue les mesures de résilience et de protection d'une installation.
- Les extrants comprennent un rapport et des tableaux de bord interactifs qui présentent des notes et des comparaisons avec des installations de pairs, et mettent l'accent sur les dépendances et les options d'amélioration ayant trait à la résilience, à la sécurité matérielle et à la cybersécurité.
Outil multimédia pour les infrastructures (OMIE) (durée : une demi-journée à une journée)
- L'OMIE fournit un rendu virtuel d'une installation selon les plans d'étage. De plus, il présente des photos panoramiques de l'intérieur et de l'extérieur des parties importantes de l'installation. L'outil peut être communiqué aux premiers intervenants ou utilisé dans le cadre d'exercices.
- Les résultats de l’OMIE peuvent être partagés, selon les désirs du client, avec les premiers intervenants de manière à ce qu’ils soient utilisé pour les mesures de préparation et pour le développement de stratégies.
Examen de la cyberrésilience du Canada (ECRC) (durée : une journée à une journée et demi)
- Il s'agit d'un outil d'évaluation sur le terrain qui mesure le degré de cyberrésilience d'une organisation.
- Basé sur la méthodologie de l’autoévaluation de la résilience en ligne
- Parmi les extrants, on compte deux rapports (bref et exhaustif) avec une notation des 10 domaines selon le cadre de cybersécurité du NIST, des comparaisons avec des pairs et des options d'amélioration de la résilience.
Aussi bien l'OERIE que l'ECRC nécessite la présence d'experts en matière de sécurité d'installations, de technologies de l'information (TI) et de gestion des installations. Les organisations peuvent demander d'utiliser les outils séparément ou comme un ensemble. Le recours à l'ensemble des outils exige habituellement trois jours. Les vérifications menées après les évaluations peuvent être effectuées en collaboration avec l'organisation pendant une période maximale de 24 mois suivant l'évaluation.
Les organisations peuvent également manifester leur intérêt à participer à une évaluation régionale plus large. Ces projets comprennent habituellement une collaboration entre le Ministère et plusieurs organisations dans une région précise. L'examen d'un risque précis a pour but de déterminer les principales interdépendances ainsi que les possibilités de réduire au minimum, de façon individuelle ou collective, l'incidence et la probabilité d'une interruption. Pendant une évaluation régionale, on déploie de façon individuelle les outils d'évaluation avec les outils de modélisation, les ateliers, les réunions des intervenants et les entrevues avec des experts en la matière.
De quelle façon le Programme aide votre organisation
Les résultats de toutes les évaluations visent à aider les propriétaires et exploitants à accroître leur résilience en cernant les dépendances et les vulnérabilités dans leur organisation. Les différentes évaluations de sites en ligne et sur place permettent aussi de définir une série de mesures efficientes et optionnelles pour aider les propriétaires et exploitants à atténuer les risques et à accroître leur capacité à intervenir en cas de perturbations et à se rétablir par la suite.
Le PERR en particulier contribue à ce qui suit :
- Une meilleure gestion des risques
Améliorer la compréhension de l'organisation au sujet de ses vulnérabilités matérielles et procédurales.
- Des relations renforcées avec le gouvernement
Améliorer les relations avec plusieurs ministères, y compris des représentants municipaux, tels que les premiers intervenants.
- Une sensibilisation accrue de la sécurité
Déterminer la mesure dans laquelle une organisation est préparée à faire face à des cyberattaques et à d'autres cybermenaces.
Autres facteurs clés pour les propriétaires et exploitants des IE :
- Investissement minimal de temps et de ressources
Les services du PERR sont offerts rapidement et gratuitement.
- Sécurité
Sécurité publique Canada protégera le caractère confidentiel des documents et de l'information fournis par les propriétaires et exploitants des IE.
La mise en œuvre d'une ou de plusieurs options d'amélioration de la résilience et la prise en compte des observations présentées à la suite d'une évaluation sont à la discrétion du propriétaire et de l'exploitant.
Si vous avez des questions par rapport au travail du programme ou vous êtes intéressé à en connaître davantage par rapport à nos évaluations, veuillez remplir notre formulaire en ligne.
Pour obtenir des renseignements supplémentaires ou demander une évaluation
Pour de plus amples renseignements, veuillez consulter la foire aux questions.
Si vous êtes propriétaire ou exploitant d'une infrastructure critique, contactez-nous pour discuter de la possibilité d'avoir une évaluation de votre installation en ligne ou sur place. Les membres sont également disponibles pour fournir une présentation interactive pour expliquer davantage le programme et les produits fournis.
Pour débuter le processus des évaluations, consultez cette page et remplissez le veuillez remplir notre formulaire en ligne.
Le Programme d'évaluation de la résilience régionale
Transcription
Bienvenue au Programme d’évaluation de la résilience régionale de Sécurité publique Canada.
La vidéo vous guidera à travers le programme et vous aidera à déterminer si ses services sont adaptés aux besoins de votre organisation.
Le Programme d’évaluation de la résilience régionale, aussi connu sous le nom PERR, effectue des évaluations d’installations spécialisées
afin d’identifier l’ensemble des vulnérabilités qui peuvent avoir un impact sur les secteurs d’infrastructures essentielles du Canada.
En quoi consistent les infrastructures essentielles?
Le gouvernement du Canada définit les infrastructures essentielles comme l’ensemble des processus, des systèmes, des installations,
des technologies, des réseaux et des services qui sont nécessaires pour assurer la santé, la sécurité, la sûreté
ou le bien-être économique des Canadiens et des Canadiennes ainsi que l’efficacité du gouvernement.
Au Canada, les infrastructures essentielles sont réparties dans les dix secteurs suivants :
Énergie et services publics, Finances, Alimentation, Gouvernement, Santé, Technologies de l’information et de la communication,
Secteur manufacturier, Sécurité, Transport, Eau.
Les infrastructures essentielles peuvent être autonomes ou interconnectées et interdépendantes dans les gouvernements provinciales, territoriales ou nationales ou entre celles-ci.
La perturbation des infrastructures essentielles pourrait se traduire en pertes de vie et en effets économiques néfastes.
Il est dans notre intérêt à tous d’assurer la sécurité et la résilience des infrastructures essentielles face à des menaces et des dangers en constante évolution.
Le Programme d’évaluation de la résilience régionale a été établi en 2012 et a effectué des centaines d’évaluations un peu partout au pays,
dans toutes les provinces et tous les territoires et dans tous les secteurs d’infrastructures essentielles.
Le PERR est conçu pour aider à relever les défis, allant de menaces à la sécurité physique à des catastrophes naturelles. Les évaluations sont volontaires, non réglementaires et gratuites.
De plus, Sécurité publique Canada protège la confidentialité des renseignements partagés par les propriétaires et les exploitants, conformément à la Loi sur la gestion des urgences.
Maintenant, passons en revue les évaluations menées par le PERR, notamment :
l’Outil d’évaluation de la résilience des infrastructures essentielles, l’Outil multimédia pour les infrastructures essentielles.
L’Outil d’évaluation de la résilience des infrastructures essentielles, ou OERIE, est un outil d’enquête sur place.
Son objectif consiste à identifier et à documenter la résilience globale et la posture de sécurité d’une installation, il est fondé sur une approche tous risques.
L’OERIE comporte des questions portant sur trois aspects généraux :
Les opérations de l’installation, la gestion des urgences et la continuité des activités, la sécurité matérielle,
les dépendances des services publics fournis par des tiers, tels que l’eau, les eaux usées, les télécommunications et l’électricité.
Le processus de l’OERIE consiste en des discussions dirigées avec une équipe de spécialistes en infrastructures essentielles de Sécurité publique Canada et il faut compter entre une demi-journée et une journée pour le compléter.
Le personnel de l’installation qui comprend bien les opérations, la gestion des urgences, la continuité des activités, la sécurité, la TI et l’entretien de l’immeuble participe habituellement à ces évaluations,
mais ce personnel peut varier d’un endroit à l’autre. Les spécialistes de Sécurité publique Canada fournissent des conseils sur la logistique lors de l’organisation d’évaluations.
Une fois le processus terminé, vous recevrez un rapport et des tableaux de bord
qui fournissent des notes sur la résilience par rapport à des pairs nord-américains opérant dans des secteurs et des industries semblables,
Ces produits mettent en évidence la posture de sécurité et de résilience d’une installation ainsi que les dépendances envers de tierces parties,
et fournissent des informations qui peuvent aider à combler les lacunes et à relever les défis.
Le prochain service offert par le Programme d’évaluation de la résilience régionale est l’Outil multimédia pour les infrastructures essentielles ou OMIE.
Cet outil offre un rendu virtuel d’une installation à partir des plans d’étage. Il s’agit d’un produit numérique qui présente une image panoramique à 360 degrés des zones intérieures et extérieures.
Le processus de l’OMIE débute avec les plans d’étage que la direction de l’installation fournit habituellement à Sécurité publique Canada.
Une fois que les plans sont transmis, l’équipe du Programme d’évaluation de la résilience régionale procède à une visite de l’installation pour capter des images de l’extérieur et de l’intérieur,
tout en prenant soin de capter des images des zones à risque.
Le processus peut prendre entre une demi-journée et deux jours à compléter, selon la taille de l’installation.
Un membre du personnel de l’installation est habituellement requis pour guider l’équipe de Sécurité publique Canada lors de la capture des images du site.
Une fois le processus de capture d’image terminé, un produit numérique est créé.
Le fichier peut être visualisé sur les appareils mobiles ainsi que sur les ordinateurs de bureau.
Bien que la décision soit laissée à la discrétion de chaque organisation, de nombreuses organisations bénéficiaires choisissent de partager leur fichier OMIE
avec les premiers intervenants afin qu’il puisse être utilisé comme outil de préparation et de réponse aux situations d’urgence.
Comme le site doit être photographié, Sécurité publique Canada ne peut offrir que ce service qu’en personne.
L’outil précédent, soit l’Outil d’évaluation de la résilience des infrastructures essentielles, est habituellement administré en même temps que l’Outil multimédia pour les infrastructures essentielles pour des raisons d’efficacité.
Il faut compter de un à deux jours pour réaliser l’évaluation combinée.
Vous en savez maintenant un peu plus sur le Programme d’évaluation de la résilience régionale et sur les services que peut offrir Sécurité publique Canada.
Non seulement ces services offrent un large éventail d’évaluations, mais celles-ci comportent des avantages pour votre organisation, notamment :
Une meilleure gestion des risques en acquérant ou en renforçant la compréhension des vulnérabilités des sites sur la base de méthodologies rigoureuses.
La prise de décision éclairée en utilisant le tableau de bord interactif pour voir comment des investissements spécifiques peuvent améliorer la sécurité ou la résilience.
L’établissement de partenariats en établissant ou en renforçant les relations avec de multiples acteurs gouvernementaux, y compris les premiers intervenants.
96,3 % des participants au programme estiment que ce programme est toujours nécessaire.
97,6 % prennent des mesures pour améliorer leur résilience ou la sécurité matérielle à la suite d’une évaluation.
Voici quelques témoignages de clients satisfaits :
« Je m’occupe de la sécurité et de l’intervention en cas d’urgence dans le cadre d’autres disciplines.
L’évaluation m’a vraiment aidé à comprendre ce qu’il faut rechercher et ce qu’il faut améliorer. J’ai bien aimé l’expérience et j’ai transmis l’information sur l’évaluation à d’autres personnes. »
« L’ensemble du processus du PERR a été avantageux. Les discussions et l’échange de renseignements durant la visite de l’installation nous ont aidés à confirmer notre compréhension ou à relever les points à améliorer.
Dans l’ensemble, le processus était simple, direct et instructif. J’encourage tous les secteurs d’infrastructures essentielles à participer au PERR dans leur propre intérêt et dans l’intérêt des infrastructures essentielles du Canada. »
« Le programme est excellent et c’est quelque chose que nous recherchions depuis que nous avons commencé à faire des évaluations de vulnérabilité. »
« Je le recommanderais à d’autres organisations gouvernementales et je les encouragerais à participer à un tel programme. »
Merci de votre attention. Si vous souhaitez en savoir plus, veuillez visiter notre site Web à publicsafety.gc.ca
ou remplir le formulaire de participation sur notre site Web afin d’être considéré pour une évaluation.
- Date de modification :