Archivé: Sécurité, juillet 2021

GC Notification est un système conçu pour répondre aux besoins des services gouvernementaux. Il comporte des processus permettant de :

  • protéger les données des utilisateurs.
  • maintenir la sécurité des systèmes.
  • gérer les risques se rapportant à l’information.

Données

Dans GC Notification, les données sont chiffrées :

  • lorsqu’elles passent par le service.
  • lorsqu’elles sont stockées sur le service.

Pour protéger les données, GC Notification ne les conserve pas plus longtemps que nécessaire. Toutes les données, y compris les adresses courriel, les numéros de téléphone et les renseignements contenus dans les messages personnalisés, sont conservées pendant 7 jours par défaut dans la base de données du système. Font exception les fichiers de données téléversés dans le système. Ceux-ci sont conservés pendant 30 jours afin de permettre la programmation des courriels à l’avance. Cela signifie que si une violation des données devait se produire, l’impact serait limité à seulement 7-30 jours.

Consultez l’Avis de confidentialité pour obtenir de plus amples renseignements sur la façon dont les renseignements personnels sont traités par GC Notification.

Sécurité technique

GC Notification est hébergé dans une instance en nuage d’Amazon Web Services (AWS) située dans 3 zones de disponibilité dans la région de Montréal, avec des mesures de sécurité de Services partagés Canada (SSC) conçues pour créer un environnement Protegé B à disponibilité et intégrité moyennes (PBMM).

Les autres contrôles techniques de sécurité comprennent notamment :

  • La mise en œuvre de contrôles de sécurité à partir
    • des mesures de sécurité infonuagiques du Secrétariat du Conseil du Trésor du Canada (SCT).
    • du guide de sécurité du SCT.
    • du guide sur la gestion de la sécurité des technologies de l’information (ITSG-33) du Centre canadien pour la cybersécurité (CCC).
  • Une surveillance de protection permettant d’enregistrer les activités et de signaler toute activité suspecte.
  • L’option d’utiliser des jetons Web JSON au lieu de clés API lorsque votre service communique avec GC Notification.

Protection des renseignements de nature délicate

Certains messages comportent des renseignements de nature délicate comme des codes de sécurité ou des liens de réinitialisation de mot de passe.

Si vous envoyez un message renfermant des renseignements de nature délicate, vous avez la possibilité de les masquer dans le tableau de bord de GC Notification une fois que le message a été envoyé. Cela signifie que seul le destinataire du message pourra voir ces renseignements.

GC Notification dispose également d’alarmes qui signalent si les administrateurs accèdent à des services dont les notifications peuvent être sensibles.

Droits d’accès des utilisateurs et connexion

Vous pouvez définir différents droits d’accès pour les utilisateurs dans GC Notification. Cela vous permet de déterminer qui dans votre équipe peut accéder à certaines parties du service.

Authentification à deux facteurs

Pour créer un compte dans GC Notification, vous devez entrer :

  • votre adresse courriel et votre mot de passe.
  • un code que GC Notification envoie à votre courriel ou à votre téléphone.

Une fois que vous vous avez connecté, vous pouvez ajouter une clé de sécurité matérielle pour accroître la sécurité de votre compte.

Si vous avez de la difficulté à créer votre compte ou à y accéder, envoyez un courriel à notre équipe de soutien à l’adresse assistance+notification@cds-snc.ca.

Gestion des risques liés à l’information

Notre démarche de gestion des risques liés à l’information suit les directives du SCT. Elle permet d’évaluer :

  • comment GC Notification est construit.
  • l’infrastructure sur laquelle repose GC Notification.
  • le soutien pour le service de GC Notification.

Cette démarche s’applique également aux fournisseurs de services utilisés par GC Notification pour envoyer des messages.

Façon dont nous gérons les risques avec GC Notification

Les mesures que nous prenons pour gérer les risques sont les suivantes :

  • des audits de sécurité internes et externes.
  • des évaluations officielles des risques fondées sur les directives du SCT et du CCC.
  • une préparation de l’état des risques résiduels et une gestion active du plan de traitement des risques.
  • des évaluations des répercussions sur la sécurité.
  • des tests de pénétration effectués par des tiers.

Autorisation d’exploitation

GC Notification a été évalué et autorisé aux fins d’exploitation par le premier dirigeant du Service numérique canadien, à titre de principal responsable de l’autorisation du service. Cette autorisation d’exploitation sera réévaluée au moins une fois par année.

Catégorisation des données

Vous pouvez utiliser GC Notification pour envoyer des messages classés jusqu’au niveau « Protégé A » inclusivement, conformément à la Norme sur la catégorisation de sécurité.

Les messages ne doivent pas contenir d’informations « Protégé B », car les courriels et les messages texte envoyés au public ne sont pas chiffrés de bout en bout.

Communications liées à la sécurité

Dans l’éventualité d’un incident, nous avons mis en place des procédures complètes d’intervention et de notification des clients.

Si vous soupçonnez une faille de sécurité ou si vous avez découvert une vulnérabilité touchant le service, veuillez consulter l’avis de sécurité du SNC pour plus d’instructions.