Évaluations de la résilience cyber et des infrastructures

Le Programme d'évaluation de la résilience régionale

Le Programme d'évaluation de la résilience régionale (PERR) est un programme qui évalue les dépendances ainsi que les vulnérabilités affectant les propriétaires et exploitants d'installations d'infrastructures essentielles (IE) des dix secteurs d'IE au Canada. Le Programme comporte des évaluations de sites en vue d'aider les organisations à mesurer et à accroître leur résilience à tous les risques au Canada, comme les cybermenaces, les événements anthropiques accidentels ou intentionnels et les catastrophes naturelles.

Les évaluations de sites sont volontaires, non réglementaires, gratuites et confidentielles. On demande aux participants de remplir quatre sondages de cinq (5) minutes sur leur expérience avec le Programme, à la suite de l'évaluation.

Fonctionnement

Le PERR comprend quatre outils :

Outil d'évaluation de la résilience des infrastructures essentielles (OERIE) (durée : une journée)
  • Il s'agit d'un outil d'évaluation sur le terrain, qui évalue les mesures de résilience et de protection d'une installation.
  • Les extrants comprennent un rapport et des tableaux de bord interactifs qui présentent des notes et des comparaisons avec des installations de pairs, et mettent l'accent sur les dépendances et les options d'amélioration ayant trait à la résilience, à la sécurité matérielle et à la cybersécurité.
Outil multimédia pour les infrastructures (OMIE) (durée : une demi-journée à une journée)
  • L'OMIE fournit un rendu virtuel d'une installation selon les plans d'étage. De plus, il présente des photos panoramiques de l'intérieur et de l'extérieur des parties importantes de l'installation. L'outil peut être communiqué aux premiers intervenants ou utilisé dans le cadre d'exercices.
  • Bien que l'utilisation de l'OMIE demeure à la discrétion de l'organisation, nous encourageons fortement la communication de l'outil aux premiers intervenants de manière à ce qu'il soit utilisé pour les mesures de préparation aux urgences et d'intervention, le cas échéant.
Examen de la cyberrésilience du Canada (ECRC) (durée : une journée à une journée et demi)
  • Il s'agit d'un outil d'évaluation sur le terrain qui mesure le degré de cyberrésilience d'une organisation.
  • Parmi les extrants, on compte deux rapports (bref et exhaustif) avec une notation des 10 domaines selon le cadre de cybersécurité du NIST, des comparaisons avec des pairs et des options d'amélioration de la résilience.
Outil d'analyse de la résilience de la sécurité du réseau (ARSR) (1 jour à compléter)
  • Un outil d'analyse technique sur site qui permet de corriger la configuration des dispositifs de réseau et de comparer les réseaux de cybersécurité à la conformité aux normes des meilleurs pratiques.
  • Les résultats comprennent des rapports (brefs et complets) avec visualisation du réseau, identification des voies de risques d'attaques critiques ainsi que l'identification des non-conformités des dispositifs de réseau et des options d'amélioration de la résilience.

Aussi bien l'OERIE que l'ECRC nécessitent la présence d'experts en matière de sécurité d'installations, de technologies de l'information (TI) et de gestion des installations. Les organisations peuvent demander d'utiliser les outils séparément ou comme un ensemble. Le recours à l'ensemble des trois outils exige habituellement trois jours. Les vérifications menées après les évaluations peuvent être effectuées en collaboration avec l'organisation pendant une période maximale de 24 mois suivant l'évaluation.

Les organisations peuvent également manifester leur intérêt à participer à une évaluation régionale plus large. Ces projets comprennent habituellement une collaboration entre le Ministère et plusieurs organisations dans une région précise. L'examen d'un risque précis a pour but de déterminer les principales interdépendances ainsi que les possibilités de réduire au minimum, de façon individuelle ou collective, l'incidence et la probabilité d'une interruption. Pendant une évaluation régionale, on déploie de façon individuelle les outils d'évaluation avec les outils de modélisation, les ateliers, les réunions des intervenants et les entrevues avec des experts en la matière.

De quelle façon le Programme aide votre organisation

Les résultats des évaluations visent à aider les propriétaires et exploitants à accroître leur résilience en cernant les dépendances et les vulnérabilités dans leur organisation. Les évaluations de sites permettent aussi de définir une série de mesures efficientes et optionnelles pour aider les propriétaires et exploitants à atténuer les risques et à accroître leur capacité à intervenir en cas de perturbations et à se rétablir par la suite.   

Le PERR en particulier contribue à ce qui suit :

Une meilleure gestion des risques
Améliorer la compréhension de l'organisation au sujet de ses vulnérabilités matérielles et procédurales.
Des relations renforcées avec le gouvernement
Améliorer les relations avec plusieurs ministères, y compris des représentants municipaux, tels que les premiers intervenants.
Une sensibilisation accrue de la sécurité
Déterminer la mesure dans laquelle une organisation est préparée à faire face à des cyberattaques et à d'autres cybermenaces.

Autres facteurs clés pour les propriétaires et exploitants des IE :

Investissement minimal de temps et de ressources
Les services du PERR sont offerts rapidement et gratuitement.
Sécurité
Sécurité publique Canada protégera le caractère confidentiel des documents et de l'information fournis par les propriétaires et exploitants des IE.

La mise en œuvre d'une ou de plusieurs options d'amélioration de la résilience et la prise en compte des observations présentées à la suite d'une évaluation sont à la discrétion du propriétaire et de l'exploitant.

Pour obtenir des renseignements supplémentaires ou demander une évaluation

Pour de plus amples renseignements, veuillez consulter la foire aux questions.

Si vous êtes propriétaire ou exploitant d'une infrastructure critique, contactez-nous pour discuter de la possibilité d'avoir une évaluation de votre installation. Les membres sont également disponibles pour fournir une présentation interactive pour expliquer davantage le programme et les produits fournis.

Discussions sur les infrastructures essentielles : Le Programme d'évaluation de la résilience régionale

Transcription

Bonjour et bienvenue aux discussions sur les infrastructures essentielles. Aujourd'hui, nous allons vous parler du Programme d'évaluation de la résilience régionale. Ce vidéo vous guidera à travers le programme et vous aidera à déterminer si ses services sont adaptés aux besoins de votre organisation.

Le Programme d'évaluation de la résilience régionale, aussi connu sous le nom PERR, effectue des évaluations tous risques de sites afin d'identifier l'ensemble de vulnérabilités qui peuvent avoir un impact sur les secteurs d'infrastructures essentielles du Canada.

Le Programme d'évaluation de la résilience régionale a été établi en 2012 et a effectué des centaines d'évaluations à travers tout le pays et dans les secteurs d'infrastructures essentielles. Les évaluations sont volontaires, non réglementaires et gratuites. De plus, Sécurité publique Canada protège la confidentialité des renseignements partagés par les propriétaires et les exploitants.

Maintenant, passons à un rapide aperçu des différentes évaluations menées par le PERR. Précisément : L'Outil d'évaluation de la résilience des infrastructures essentielles, l'Outil multimédia pour les infrastructures essentielles et les projets d'évaluations régionaux.

L'Outil d'évaluation de la résilience des infrastructures essentielles, ou OERIE, est un outil d'enquête sur site. Son objectif est d'identifier et de documenter la résilience globale et la posture de sécurité d'une installation. Il est basé sur une approche tous risques.

Le processus consiste en des discussions facilitées avec une équipe de spécialistes en infrastructures essentielles de Sécurité publique Canada. Il faut compter entre une demi-journée et une journée complète pour le compléter.

Une fois le processus terminé, vous recevrez un rapport et des tableaux de bord qui fournissent des scores de résilience par rapport à des pairs nord-américains opérant dans des secteurs et des industries semblables. Ces produits mettent en évidence la posture de sécurité et de résilience d'une installation, les dépendances envers des tierces parties, et fournissent des informations qui peuvent aider à combler les lacunes et à relever les défis.

Une version en ligne, destinée aux petites organisations, est également disponible pour permettre à chacun de faire une auto-évaluation.

Le prochain service offert par le Programme d'évaluation de la résilience régionale est l'Outil multimédia pour les infrastructures essentielles ou OMIE. Cet outil offre un rendu virtuel d'une installation à partir des plans d'étage. Il s'agit d'un produit numérique qui présente une imagerie panoramique à 360 degrés des zones intérieures et extérieures. Le processus peut prendre entre une demi-journée et deux jours à compléter, selon la taille de l'installation. Une fois le processus de capture d'image terminé, un produit numérique est créé. Ce fichier peut être visualisé sur les appareils mobiles ainsi que sur les ordinateurs de bureau. Bien que la décision est laissée à la discrétion de chaque organisation, plusieurs organisations bénéficiaires choisissent de partager leur fichier OMIE avec les premiers intervenants afin qu'il puisse être utilisé comme outil de préparation et de réponse aux situations d'urgence.

Le Programme d'évaluation de la résilience régionale comprend également des projets d'évaluation régionaux plus larges qui vont au-delà des outils spécifiques au site. Le but de ces projets d'évaluation est d'améliorer la compréhension et l'action parmi les partenaires des secteurs public et privé afin d'améliorer la résilience des infrastructures essentielles d'une région. Les résultats de ces projets pluriannuels peuvent inclure des discussions facilitées, des évaluations d'installations, des modélisations et un rapport qui cherche à : résoudre les lacunes en matière de connaissances sur la sécurité et la résilience des infrastructures, informer les décisions de gestion des risques, identifier les opportunités et les stratégies de renforcement de la résilience et améliorer les partenariats essentiels entre les parties prenantes.

Maintenant que vous en savez un peu plus sur le Programme d'évaluation de la résilience régionale regardons quelques-uns des avantages: Le Programme contribue à: une meilleure gestion des risques en acquérant ou en renforçant la compréhension des vulnérabilités des sites sur la base des méthodologies rigoureuses utilisée, la prise de décision éclairée en utilisant le tableau de bord interactif pour voir comment des investissements spécifiques peuvent améliorer la sécurité ou la résilience, l'établissement de partenariats en établissant ou en renforçant les relations avec de multiples acteurs gouvernementaux, y compris les premiers intervenants.

Nous espérons que ce vidéo vous a aidé à comprendre le Programme d'évaluation de la résilience régionale. Si vous souhaitez en savoir plus, veuillez visiter sécuritépublique.gc.ca.

Afin d'être considéré pour une évaluation, veuillez remplir le formulaire de participation disponible sur le site.

Discussions sur les infrastructures essentielles : Programme d'évaluation de la cybersécurité des infrastructures essentielles

Transcription

Bonjour et bienvenue aux discussions sur les infrastructures essentielles. Aujourd'hui, nous allons vous parler du Programme d'évaluation de la cybersécurité des infrastructures essentielles de Sécurité publique Canada.

Gérer la cybersécurité d'une organisation peut être une tâche ardue, et s'assurer que les mesures de contrôle adéquates sont en place pour y parvenir peut être un processus incroyablement complexe. La réalisation d'évaluations exhaustives de la cybersécurité peut être cruciale pour déterminer si une organisation est en mesure de se défendre contre d'éventuels acteurs malveillants.

Sécurité publique Canada offre des évaluations gratuites, volontaires et non réglementaires de la cybersécurité afin d'aider les organisations des infrastructures essentielles du Canada à mieux comprendre la posture globale de cybersécurité de leur organisation et veillez à ce que les cadres de sécurité appropriés puissent être compris et développés pour sécuriser leurs systèmes vitaux.

Regardons maintenant aux trois évaluations de la cybersécurité qui sont volontaires, non réglementaires et fournies gratuitement aux infrastructures essentielles du Canada.

D'abord nous avons l'Examen canadien de la cyberrésilience ou ECCR, qui est une enquête complète et détaillée facilitée par notre équipe d'évaluation, qui évalue la résilience opérationnelle et les capacités de cybersécurité d'une organisation d'infrastructures essentielle.

Ensuite il y a l'Outil canadien de cybersécurité ou OCC, un outil virtuel facile à utiliser, conçu pour permettre aux organisations des infrastructures essentielles à auto-évaluer la résilience de leurs techniques et programmes de cybersécurité. L'outil prend moins d'une heure à remplir et fournit des liens Web pour renseigner les utilisateurs sur normes et des lignes directrices approuvées par l'industrie et obtenir des conseils supplémentaires.

Enfin, nous offrons l'Outil d'analyse de la résilience de la sécurité du réseau ou ARSR, un outil d'analyse technique sur site qui permet de corriger la configuration des dispositifs de réseau et de comparer les réseaux de cybersécurité à la conformité aux normes des meilleurs pratiques. L'équipe d'analyse passera une journée entière avec les représentants d'une organisation pour évaluer leurs capacités et leurs compétences en matière de gestion et de sécurisation de leurs technologies informationnelles et opérationnelles.

Quelle que soit la composante du Programme d'évaluation de la cybersécurité, il est important que les experts en la matière de tous les secteurs de l'organisation soient inclus dans le processus et consultés, car toutes les évaluations sont conçues pour évaluer les programmes et les pratiques d'une organisation dans son ensemble.

Après avoir participé à l'une des évaluations de la cybersécurité offertes par Sécurité publique Canada, les organisations recevront un rapport détaillé des résultats ainsi que des conseils et des renseignements importants qu'elles pourront mettre en œuvre pour accroître la résilience de leurs systèmes essentiels.

Ces trois cyber-évaluations ont pour but d'aider les propriétaires et les exploitants d'infrastructures essentielles canadiennes à améliorer leur résilience en leur fournissant des conseils et des directives pour qu'ils puissent prendre les mesures d'atténuation appropriées.

Les résultats de ces évaluations sont également utilisés par Sécurité publique Canada pour comprendre la posture de cybersécurité des industries canadiennes des IE et pour aider à adapter la prochaine génération de produits et de services afin de répondre aux besoins de cybersécurité du Canada.

Les organisations souhaitant compléter une cyber-évaluation peuvent trouver plus d'informations en visitant la page Web de Sécurité publique Canada sur Canada.ca, ou en contactant l'équipe des cyber-partenariats à cyberassessments-evaluationscyber@ps-sp.gc.ca.

Date de modification :