Réseau SIGNET–D

Sommaire exécutif

Une évaluation des facteurs relatifs à la vie privée (EFVP) a été élaborée pour le réseau informatique ministériel connu sous le nom de SIGNET–D. Ce réseau sert principalement à traiter, stocker et gérer de l’information non sécurisée ainsi que des messages non sécurisés. Le réseau SIGNET–D, créé il y a presque quinze ans, a fait l’objet de plusieurs révisions. Une EFVP a été effectuée et est actuellement en cours d’examen. L’EFVP révisée englobe le réseau SIGNET–D, mais également les systèmes de messagerie et de courriels qui ne faisaient pas partie de l’EFVP initiale. Le sommaire de l’EFVP sera affiché sur ce site Internet aussitôt que possible.

Le rapport d’évaluation des facteurs relatifs à la vie privée qui a été élaboré initialement pour le réseau SIGNET–D fournissait un aperçu des risques potentiels pour les renseignements personnels et recommandait des plans d’action adéquats.

Cette évaluation faisait partie de l’engagement du Ministère en matière de protection des renseignements personnels. Elle satisfaisait également aux exigences de la Gestion de la sécurité des technologies de l'information (GSTI) qui fait obligation aux principaux services ministériels de mener une évaluation sur la sécurité et les renseignements personnels à cette étape–ci.

L’évaluation globale du réseau SIGNET–D a révélé que celui–ci présentait de faibles risques et qu’il était possible d’y remédier pendant que le réseau fonctionne.

  1. Responsabilité à l’égard des renseignements personnels

    Disques partagés

    Il existe trois types de renseignements personnels sur SIGNET :

    • Les renseignements personnels des employés recueillis aux fins de l’accès au réseau et de l’authentification, ce qui permet d’accéder au réseau et aux applications ministériels.
    • Les programmes et services recueillent des renseignements personnels dans le cadre de leurs activités et de leurs mandats. Les renseignements personnels recueillis dans le cadre de programmes le sont tous à des fins déterminées ou à des fins de gestion.
    • Les renseignements personnels stockés par les employés à la suite d’activités personnelles. Cette information personnelle est stockée sur des disques partagés par des employés, à des fins personnelles et conservés et gérés individuellement.

    De manière générale, les disques partagés représentent un niveau moyen de risque qui nécessite une protection accrue et une gestion structurée. On peut y parvenir par les moyens suivants :

    • Définition des rôles et responsabilités
    • Établissement de politiques et de procédures
      • Évaluation périodique des risques d’atteinte à la vie privée menée par diverses intervenants
    • Protection des renseignements personnels enregistrés sur des disques partagés
    • Gestion des renseignements personnels enregistrés sur des disques partagés
      • Renseignements personnels liés à un programme
      • Renseignements liés à la Banque d’information interne
      • Renseignements personnels des employés générés par une utilisation personnelle, non liés au Ministère ou non générés par ce dernier
    • Formation et sensibilisation
    • Vérification et conformité

    Le réseau (SIGNET–D) est actuellement désigné pour les renseignements protégés «A» et par conséquent, le Centre de protection de l’information (CPI) du MAECI a élaboré des plans pour effectuer un balayage continu des disques partagés au moyen d’outils logiciels spécialisés et repérer les renseignements tels que les NAS et autres renseignements personnels délicats. Le plan vise à émettre des «cyber–infractions» aux usagers qui stockent des renseignements personnels à haut risque sur les disques partagés. Tous les renseignements protégés «B» et «C» doivent être conservés sur un réseau distinct désigné comme SIGNETC–5. Le CPI a mené des consultations auprès des conseillers juridiques de la Direction générale des Services juridiques et a reçu l’autorisation d’aller de l’avant en ce qui concerne l’initiative ou les mesures d’atténuation prévues.

    L’approche d’atténuation recommandée, mentionnée plus haut, garantira que les renseignements personnels seront recueillis, stockés et gérés avec des niveaux de risques sensiblement plus bas.

  2. Collecte de renseignements personnels

    Énoncé de confidentialité adéquat

    Le Ministère établira un processus permettant aux employés de passer en revue un énoncé de confidentialité avant de transmettre leurs renseignements personnels pour ouvrir un compte sur le réseau et obtenir des privilèges adéquats.

    Les membres du personnel du MAECI qui utilisent les disques partagés pour stocker leurs propres renseignements personnels doivent connaître la nature de ces disques et les risques potentiels qui y sont associés.

  3. Non–respect de la conformité

    Aperçu, examen et responsabilité documentée

    Des politiques adéquates doivent être élaborées dans le cadre de l’exercice de gestion des renseignements personnels sur SIGNET afin de refléter les rôles et responsabilités actuels, de même que la responsabilité de la conformité au Cadre de responsabilisation de gestion du SCT (CRG). La politique ministérielle actuelle relative à l'utilisation acceptable du réseau par les employés du Ministère doit être améliorée, dans la foulée de la présente EFVP et de certaines autres (messagerie vocale), qui reconnaissent que la politique en vigueur est axée uniquement sur la sécurité. Les usagers de ce réseau doivent être mieux informés en ce qui concerne la gestion de leurs propres renseignements et disposer d’énoncés de confidentialité exhaustifs qui les renseignent sur leurs rôles et responsabilités ainsi que sur leur obligation de rendre compte.