18 novembre 2014
Numéro de projet : 80590-86
- Sommaire
- Introduction
- Contexte
- Objectifs de l'audit
- Portée
- Approche et méthodologie
- Pouvoirs
- Constatations, recommandations et réponse de la direction
- Administration des contrats de recherche pour l'utilisation de microdonnées
- Sécurité des technologies de l'information
- Sécurité physique
- Annexes
- Annexe A : Critères de d'audit
- Annexe B : Acronymes
Sommaire
Le Centre de données de recherche (CDR) de l'Université Dalhousie est l'un des 27 CDR en activité au Canada. Ces CDR ont été mis sur pied par Statistique Canada, le Conseil de recherches en sciences humaines du Canada, les Instituts de recherche en santé du Canada et des consortiums d'universités, dans le but de renforcer la capacité en recherche sociale du Canada et de soutenir le milieu de la recherche sur les politiques. Le CDR de Dalhousie a ouvert ses portes en 2001.
Le mandat des CDR est de promouvoir et de faciliter la recherche en sciences sociales, à partir des microdonnées confidentielles de Statistique Canada, tout en protégeant la confidentialité des données, grâce à des politiques et des procédures opérationnelles et analytiques efficaces, qui créent une culture de la confidentialité.
Les membres du personnel des CDR sont des employés de Statistique Canada. Les CDR fonctionnent selon les dispositions de la Loi sur la statistique, en conformité avec toutes les règles de confidentialité, et sont accessibles uniquement aux chercheurs dont les projets de recherche ont été approuvés et qui ont prêté serment en vertu de la Loi sur la statistique. Le contrôle au quotidien de l'environnement et de la sécurité matérielle du CDR est du ressort des analystes de CDR. Ces derniers administrent les activités des CDR et veillent à ce qu'elles soient conformes au mandat de Statistique Canada.
Les objectifs de cet audit sont de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que le CDR de l'Université Dalhousie :
- dispose de pratiques et de mécanismes efficaces pour assurer la protection de la confidentialité des données au moment de la prestation des services; et
- se conforme aux politiques et aux normes pertinentes du Secrétariat du Conseil du Trésor (SCT) et de Statistique Canada concernant la sécurité des technologies de l'information (TI) et la sécurité matérielle, afin d'assurer la protection de la confidentialité des données au moment de la prestation des services.
L'audit a été réalisé par la Division de l'audit interne (DAI), en conformité avec la Politique sur la vérification interne du gouvernement du Canada.
Principales constatations
L'administration des contrats de recherche est appuyée par des rôles et des responsabilités qui sont bien définis et qui sont communiqués, à la fois au niveau du programme et dans le CDR. Les communiqués représentent une façon efficace d'informer le personnel des régions des changements qui touchent les politiques et les procédures.
Le personnel du CDR de Dalhousie applique des procédures pour s'assurer que les chercheurs deviennent des personnes réputées être employées avant que leurs contrats de recherche soient approuvés. Il existe des dossiers complets à l'appui de la gestion des contrats au bureau central, mais il est possible d'améliorer les procédures de gestion des contrats pour s'assurer qu'une attestation de la prise de connaissance du Code de valeurs et d'éthique est signée par tous les chercheurs et est conservée.
Le gestionnaire régional, l'analyste de CDR et les gestionnaires de la Division de l'accès aux microdonnées (DAM) tiennent des discussions régulières sur les risques, et ces derniers sont examinés dans le contexte de l'exercice annuel de registre des risques. L'intégration des données sur les risques de programme du CDR par la DSSI dans une approche d'inspection fondée sur les risques améliorerait et optimiserait les activités d'inspection.
Des processus et des procédures de contrôle de la confidentialité sont en place et sont efficaces pour protéger la confidentialité des données. L'analyste conserve aussi une piste de vérification de tous les documents soumis au contrôle, qui ne peut pas être modifiée par les chercheurs. Cela est considéré comme une bonne pratique.
Les rôles, responsabilités et obligations de reddition de comptes du personnel de soutien des TI de Dalhousie sont énoncés dans des ententes sur les niveaux de service et sont conformes aux politiques gouvernementales s'appliquant aux TI et à la Loi sur la statistique. Des contrôles généraux des TI, y compris des mesures de protection de l'accès, de l'identification et de l'authentification, sont intégrés dans les systèmes et les configurations de logiciel et fonctionnent comme prévu au CDR de Dalhousie.
Le personnel du CDR de Dalhousie utilise une pratique efficace, c'est-à-dire qu'il a recours à une clé USB fiable strictement réservée au transfert de fichiers électroniques au serveur. À l'heure actuelle, il n'y a pas de procédures ou de protocoles documentés en place pour atténuer les risques au chapitre de la sécurité associés à l'utilisation de clés USB externes pour le Programme des CDR. Tous les CDR pourraient profiter de cette pratique et assurer une plus grande protection des données conservées dans le réseau fermé.
Les mesures de sécurité matérielle en place au CDR de l'Université Dalhousie sont conformes aux politiques pertinentes du SCT et au Manuel des pratiques de sécurité de Statistique Canada. Des contrôles clés, comme un périmètre de sécurité doté de dispositifs de détection des intrusions et un accès restreint au centre, sont en place et sont efficaces pour assurer la sécurité des données conservées dans l'installation.
Conclusion générale
Le CDR de l'Université Dalhousie est bien géré et est doté de pratiques et de mécanismes efficaces pour assurer la protection de la confidentialité des données au moment de la prestation des services. Il existe des possibilités d'amélioration dans les domaines suivants : attestation de la prise de connaissance du Code de valeurs et d'éthique, officialisation de la gestion des risques et intégration des résultats dans la stratégie d'inspection du CDR.
Les environnements physique et des TI du CDR sont conformes aux politiques et aux normes du SCT et de Statistique Canada et sont efficaces pour protéger la confidentialité des données au moment de la prestation des services.
Conformité aux normes professionnelles
L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).
L'application de procédures d'audit suffisantes et appropriées et le rassemblement de données appuient l'exactitude des constatations et conclusions du présent rapport et donnent une assurance de niveau audit. Les constatations et les conclusions reposent sur une comparaison de la situation prévalant au moment de l'audit avec des critères d'audit préétablis. Les constatations et conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'audit.
Patrice Prud'homme
Dirigeant principal de la vérification
Introduction
Contexte
Les Centres de données de recherche (CDR) font partie d'une initiative de Statistique Canada, du Conseil de recherches en sciences humaines (CRSH), des Instituts de recherche en santé du Canada (IRSC) et de consortiums d'universités, dans le but de renforcer la capacité en recherche sociale du Canada et de soutenir le milieu de la recherche sur les politiques. Le CRSH est un organisme fédéral autonome qui appuie la recherche et la formation en milieu universitaire dans les sciences humaines et qui en fait la promotion. Les IRSC sont le principal organisme fédéral chargé du financement de la recherche en santé au Canada.
La Division de l'accès aux microdonnées (DAM) offre un accès restreint à des microdonnées confidentielles par l'entremise de CDR établis dans des universités partout au pays et du CDR fédéral à Ottawa. Elle est aussi responsable de veiller à la confidentialité des renseignements fournis par les Canadiens. À l'heure actuelle, on compte 27 CDR : 26 se trouvent dans un environnement sécuritaire sur des campus universitaires, et un est situé dans un institut de recherche. Ces CDR fournissent aux chercheurs un accès aux microdonnées des enquêtes sur la population et les ménages, ce qui signifie qu'ils n'ont pas besoin de se rendre à Ottawa pour accéder aux microdonnées de Statistique Canada. Outre les centres situés sur les campus, le Centre fédéral de données de recherche (CFDR) à Ottawa fournit aux chercheurs des ministères stratégiques fédéraux un accès aux microdonnées. Pour l'ensemble du Programme des CDR, les pouvoirs fonctionnels sont officiellement délégués au gestionnaire / directeur du Programme des centres de données de recherche. Au niveau régional, les pouvoirs fonctionnels sont détenus par le gestionnaire régional de CDR.
Le mandat des CDR est de promouvoir et de faciliter la recherche en sciences sociales, à partir des microdonnées confidentielles de Statistique Canada, tout en protégeant la confidentialité des données, grâce à des politiques et des procédures opérationnelles et analytiques efficaces, qui créent une culture de la confidentialité. Les membres du personnel des CDR sont des employés de Statistique Canada. Les CDR fonctionnent selon les dispositions de la Loi sur la statistique, en conformité avec toutes les règles de confidentialité, et sont accessibles uniquement aux chercheurs dont les projets de recherche ont été approuvés et qui ont prêté serment en vertu de la Loi sur la statistique. Le contrôle au quotidien de l'environnement et de la sécurité physique du CDR est du ressort des analystes de CDR. Ces derniers administrent les activités des CDR et veillent à ce qu'elles soient conformes au mandat de Statistique Canada.
Le Plan de vérification et d'évaluation fondé sur les risques de Statistique Canada prévoit que la Division de l'audit interne procède à un audit d'un CDR par année. Au cours des trois dernières années, les CDR situés dans les universités suivantes ont fait l'objet d'un audit : Université de Calgary et Université de Lethbridge (2011); Université de l'Alberta (2012); et Université McMaster (2013).
Objectifs de l'audit
Les objectifs de l'audit sont de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que le CDR de l'Université Dalhousie :
- dispose de pratiques et de mécanismes efficaces pour assurer la protection de la confidentialité des données au moment de la prestation des services; et
- se conforme aux politiques et aux normes pertinentes du Secrétariat du Conseil du Trésor (SCT) et de Statistique Canada concernant la sécurité des technologies de l'information (TI) et la sécurité physique, afin d'assurer la protection de la confidentialité des données au moment de la prestation des services.
Portée
La portée de cet audit comprenait un examen détaillé des systèmes et des pratiques du CDR de l'Université Dalhousie au chapitre de la protection des données, de l'utilisation de la technologie et de la sécurité physique.
L'audit a été axé sur le contrôle de la confidentialité des produits de données par les employés de Statistique Canada sur place, le statut de personne réputée être employée et les exigences en matière d'autorisation de sécurité pour l'accès aux microdonnées, le processus de propositions de recherche des CDR, les contrats de recherche pour l'utilisation de microdonnées, la sécurité physique de l'emplacement du CDR, en conformité avec les politiques et normes pertinentes du SCT et de Statistique Canada, et la protection des TI, en conformité avec les politiques et normes pertinentes du SCT et de Statistique Canada.
Approche et méthodologie
Les travaux d'audit ont pris la forme d'un examen de documents, d'entrevues avec les gestionnaires clés de programme et le personnel de la Division de l'accès aux microdonnées (DAM), de la Division des opérations des technologies de l'information (DOTI) et de l'Université Dalhousie, ainsi que d'un examen de la conformité aux politiques et aux lignes directrices pertinentes.
Les travaux sur le terrain comprenaient un examen, une évaluation et un essai des processus et des procédures en place pour assurer la sécurité physique, de l'utilisation de la technologie et de la protection des données à l'Université Dalhousie. Un échantillon de contrats de recherche pour l'utilisation de microdonnées (terminés, en cours et en évaluation) a été examiné, afin de s'assurer qu'ils couvraient les types de contrat, les sources de données, les détenteurs de contrats multiples et les objectifs de la recherche. Une combinaison d'échantillons subjectifs et systématiques, totalisant 43 des 89 contrats ayant commencé entre 2010 et 2014, a été sélectionnée pour l'essai, représentant près de 50 % des contrats de recherche pour l'utilisation de microdonnées récents de ce CDR.
Cet audit a été mené selon les Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent le Cadre international de référence des pratiques professionnelles de l'Institute of Internal Auditors (IIA).
Pouvoirs
L'audit a été mené en vertu des pouvoirs prévus dans le Plan de vérification et d'évaluation fondé sur les risques de Statistique Canada pour 2014-2015 à 2018-2019.
Constatations, recommandations et réponse de la direction
Objectif 1: Le CDR de l'Université Dalhousie dispose de pratiques et de mécanismes efficaces, afin de protéger la confidentialité des données dans la prestation des services.
Administration des contrats de recherche pour l'utilisation de microdonnées
L'administration des contrats de recherche est appuyée par des rôles et des responsabilités qui sont bien définis et qui sont communiqués, à la fois au niveau du programme et dans le CDR. Les communiqués représentent une façon efficace d'informer le personnel des régions des changements qui touchent les politiques et les procédures.
Le personnel du CDR de Dalhousie applique des procédures pour s'assurer que les chercheurs deviennent des personnes réputées être employées avant que leurs contrats de recherche soient approuvés. Il existe des dossiers complets à l'appui de la gestion des contrats au bureau central, mais il est possible d'améliorer les procédures de gestion des contrats pour s'assurer qu'une attestation de la prise de connaissance du Code de valeurs et d'éthique est signée par tous les chercheurs et est conservée.
Le gestionnaire régional, l'analyste de CDR et les gestionnaires de la DAM tiennent des discussions régulières sur les risques, et ces derniers sont examinés dans le contexte de l'exercice annuel de registre des risques. L'intégration des données sur les risques de programme du CDR par la DSSI dans une approche d'inspection fondée sur les risques améliorerait et optimiserait les activités d'inspection.
Des processus et des procédures de contrôle de la confidentialité sont en place et sont efficaces pour protéger la confidentialité des données. L'analyste conserve aussi une piste de vérification de tous les documents soumis au contrôle, qui ne peut pas être modifiée par les chercheurs. Cela est considéré comme une bonne pratique.
La gestion efficace des contrats de recherche joue un rôle clé pour faire en sorte que seules des données approuvées soient utilisées par les personnes autorisées et aux fins qui correspondent aux objectifs du programme. Le personnel du programme et le personnel du CDR ont comme responsabilité conjointe de veiller à ce que les chercheurs deviennent des personnes réputées être employées ayant une autorisation de sécurité valide. Étant donné que les CDR sont situés sur les campus universitaires, une approche de collaboration est nécessaire pour la gestion des contrats, les communications permanentes et la gestion des risques, afin de protéger la confidentialité des données.
Rôles et responsabilités
Les rôles, responsabilités et obligations de reddition de comptes devraient être clairement définis et communiqués. Des moyens efficaces de communication sont aussi nécessaires pour que le personnel ait une connaissance à jour des politiques, pratiques et procédures en place.
Les rôles et responsabilités de la gestion des Contrats de recherche pour l'utilisation de microdonnées (CRM), l'accès aux microdonnées confidentielles et le contrôle de la confidentialité sont définis et communiqués aux intervenants dans les politiques, lignes directrices, normes et guides détaillés. Au niveau du programme, les pouvoirs sont officiellement délégués au gestionnaire de CDR dans le Manuel des pratiques de sécurité de Statistique Canada, selon lequel le gestionnaire de CDR :
« est chargé d'établir et de tenir à jour un relevé des renseignements administratifs sur les projets de recherche auxquels prennent part les personnes réputées être employées pour le bureau central, les bureaux régionaux et les centres de données de recherche. Ces renseignements comprennent les propositions de recherche et les autres renseignements acquis tout au long du cycle de vie du projet ainsi que l'attestation signifiant que les formalités prescrites ont été observées »
En outre, aux termes de la Politique sur la sécurité des renseignements statistiques de nature délicate, les directeurs doivent
« contrôler et protéger tous les renseignements statistiques de nature délicate que leur secteur a obtenus ou qu'il garde pour réaliser les objectifs de leur programme. Lorsque l'accès à de tels renseignements est accordé au niveau d'un centre de données de recherche ou d'une entité équivalente, cette responsabilité incombe au gestionnaire, Programme des centres de données de recherche »
Au CDR de l'Université Dalhousie, il y a un analyste de CDR à temps plein et deux adjoints à la statistique à temps partiel. L'analyste de CDR relève du gestionnaire régional, et les adjoints à la statistique, de l'analyste de CDR à temps plein. Le gestionnaire régional responsable du CDR Dalhousie est installé à l'Université de Guelph.
Les données des contrats des CDR sont compilées par la Sous-section des opérations du bureau central (SSOBC) dans la base de données centrale du Système de gestion des relations avec les clients (SGRC). Les données entrées dans le système comprennent la situation du contrat, les dates d'approbation, les noms des chercheurs, les examinateurs et les résultats de l'examen, les dates de fin de contrat et les données dont l'accès est approuvé. Les employés travaillant dans les CDR ne peuvent pas accéder à ce système et n'utilisent pas ses produits dans le contexte de leurs activités quotidiennes; toutefois, ils reçoivent des rapports périodiques produits à partir du SGRC et doivent valider l'information à partir de leurs dossiers. Les données tirées du SGRC sont utilisées par le bureau central pour gérer les dernières étapes de la réalisation d'un projet, pour assurer le suivi du renouvellement des autorisations de sécurité et pour contrôler l'expansion du programme et l'utilisation des données. Les données concernant le nombre de personnes réputées être employées et l'utilisation des ensembles de données sont aussi compilées et soumises aux divisions spécialisées. L'équipe d'audit a vérifié l'exactitude des données entrées dans le SGRC, à partir d'un échantillon de contrats. Les résultats de la vérification ont révélé un petit nombre d'erreurs d'entrée de données sans importance dans le SGRC, qui n'ont pas eu de répercussions sur les activités du CDR.
Des communiqués sont publiés dans l'extranet du CDR et fournissent au personnel du CDR des renseignements sur les politiques, processus, procédures et pratiques exemplaires nouvellement établis. Au cours des entrevues, il a été établi que le personnel du CDR de Dalhousie savait où trouver ces communiqués et était aussi en mesure de fournir des exemples de messages récents transmis grâce à ce moyen.
L'administration des contrats de recherche est appuyée par des rôles et des responsabilités qui sont bien définis et qui sont communiqués, à la fois au niveau du programme et dans le CDR. Les communiqués représentent une façon efficace d'informer le personnel des régions des changements qui touchent les politiques et les procédures.
Personnes réputées être employées
Parmi les contrôles de gestion clés qui servent à assurer la confidentialité des données dans les CDR figure le statut de personne réputée être employée, que doivent obtenir tous les chercheurs avant d'accéder au CDR. Outre qu'il doit avoir un projet approuvé, chaque chercheur doit faire l'objet d'une vérification de sécurité et doit être assermenté en vertu de la Loi sur la statistique.
Conformément à la Politique sur l'utilisation de personnes réputées être employées révisée en août 2007, les chercheurs qui souhaitent avoir accès au CDR doivent devenir des personnes réputées être employées et faire l'objet d'une vérification de la fiabilité en vertu des paragraphes 5(2) et 5(3) de la Loi sur la statistique, et ils doivent prêter un serment ou faire une affirmation solennelle en vertu du paragraphe 6(1) de la Loi sur la statistique. Ils doivent aussi signer un document confirmant qu'ils ont lu et compris le Code de valeurs et d'éthique de la fonction publique de Statistique Canada. Ces mesures doivent être prises avant que le CRM soit signé par Statistique Canada. Une fois que le chercheur a répondu à ces exigences et a participé à une séance d'orientation, il est officiellement considéré comme une personne réputée être employée de Statistique Canada.
Des vérifications ont été menées pour s'assurer que toute la documentation requise était en place et valide pour 31 chercheurs associés à 15 contrats échantillonnés. Les résultats ont révélé que des autorisations de sécurité valides et des serments ou affirmations solennelles avaient été signées par tous les chercheurs. En outre, des essais ont été menés pour s'assurer que l'attestation du chercheur ayant trait au Code de valeurs et d'éthique de la fonction publique était présente dans les dossiers. Les résultats ont révélé que, parmi les 31 chercheurs associés aux contrats échantillonnés, 24 avaient signé cette attestation, dont des copies étaient archivées. Pour les sept autres chercheurs, il n'y avait pas de copie signée d'attestation archivée, et on n'en a pas trouvé par la suite. Selon les gestionnaires du programme, les chercheurs ont été autorisés à soumettre leur attestation de la prise de connaissance du Code de valeurs et d'éthique une fois les contrats de recherche approuvés. Les formulaires de Code de valeurs et d'éthique signés confirment que les chercheurs ont pris connaissance des modalités du Programme des CDR et les acceptent. Afin de veiller à ce que les formulaires d'attestation relatifs au Code de valeurs et d'éthique soient archivés, les responsables du Programme des CDR ont récemment adopté une nouvelle approche qui prévoit que les formulaires soient inclus dans la trousse de proposition envoyée au bureau central pour évaluation. On s'attend à ce que cette pratique fasse en sorte que les documents de Code de valeurs et d'éthique soient signés par tous les chercheurs et soient archivés.
Le personnel du CDR de Dalhousie suit les procédures nécessaires pour veiller à ce que les chercheurs deviennent des personnes réputées être employées avant de recevoir une approbation pour des contrats de recherche. Des dossiers complets à l'appui de la gestion des contrats sont conservés au bureau central, mais il est possible d'améliorer les procédures de gestion des contrats, afin de veiller à ce qu'une attestation de la prise de connaissance du Code de valeurs et d'éthique soit signée par tous les chercheurs et soit archivée.
Gestion des contrats
Les CRM sont signés par le directeur de la DAM ou un gestionnaire délégué du Programme des CDR, une fois que les propositions de projet ont été évaluées et approuvées par le programme. Dans le cadre de l'audit, on a vérifié la conformité des procédures de traitement des contrats, grâce à un examen d'un échantillon de 31 contrats actifs et terminés associés au CDR de Dalhousie. L'ensemble des propositions, des descriptions de projet et des plans et programmes de cours et les CRM signés étaient archivés au bureau central. L'audit a aussi permis de déterminer que les contrats avaient été signés par les responsables compétents à Statistique Canada. Selon les procédures établies pour le Programme des CDR, un nouveau contrat ne peut pas être approuvé tant que les produits livrables des autres contrats ne sont pas complets. Les chercheurs ont 12 mois après la date d'expiration du contrat pour terminer et remettre les produits finaux (publication ou résultats). Les contrats pour lesquels le produit final n'a pas été remis sont considérés comme en défaut dans le SGRC. La DAM a mis en œuvre une liste de vérification, qui est remplie par le personnel du Programme des CDR avant l'approbation de tous les nouveaux contrats; dans le cadre de ce contrôle, on vérifie si tous les produits livrables des contrats précédents ont été soumis avant l'approbation du contrat.
La documentation archivée à l'appui des CRM a été considérée comme complète. Les contrats étaient signés par le responsable compétent et des mécanismes sont en place pour s'assurer que les nouveaux contrats sont signés uniquement avec des chercheurs qui ont des projets en bonne et due forme.
Gestion des risques
Des pratiques de gestion des risques faisant intervenir les gestionnaires de programme et le personnel du CDR dans les régions sont essentielles pour déterminer et évaluer les risques qui pourraient empêcher l'atteinte des objectifs du Programme des CDR et y donner suite.
Les entrevues avec les gestionnaires de programme et le personnel de CDR ont révélé que le gestionnaire régional, l'analyste de CDR et la DAM tiennent des discussions régulières sur les risques, et que les risques sont pris en compte dans le contexte de l'exercice annuel de registre des risques.
On a aussi recours au rapport d'inspection de la sécurité des TI et de la sécurité physique comme moyen pour déterminer et atténuer les risques qui sont propres aux CDR individuels. Des inspections sont tenues par la DSSI, avec l'aide du personnel de la DOTI. Deux inspections de la sécurité physique et deux inspections de la sécurité des TI ont été menées pour le CDR de l'Université Dalhousie, une avant l'ouverture du centre, en 2001, et à nouveau en 2011. La stratégie utilisée pour établir le calendrier des inspections de sécurité des CDR est actuellement déterminée par la DSSI. L'approche actuelle ne tient pas compte des risques déterminés par le Programme des CDR et ne les intègre pas, par exemple, les changements touchant l'environnement des TI. Les gestionnaires de la DAM ont indiqué que l'approche actuelle en ce qui a trait aux inspections de sécurité pour les CDR pourrait être améliorée et optimisée, grâce à l'intégration des données sur les risques obtenues du Programme des CDR et à l'adoption d'une approche fondée sur les risques pour les inspections des CDR, approche que les responsables du Programme des CDR proprement dit seraient mieux placés pour déterminer.
Le gestionnaire régional, l'analyste de CDR et les gestionnaires de la DAM tiennent des discussions régulières sur les risques, et ceux-ci sont pris en compte dans le contexte de l'exercice annuel de registre des risques. L'intégration des données sur les risques du Programme des CDR dans une approche d'inspection axée sur les risques améliorerait et optimiserait les activités d'inspection.
Contrôle de confidentialité
Les CDR sont des entrepôts de fichiers de microdonnées de Statistique Canada qui sont accessibles aux chercheurs dont les projets sont approuvés. Des processus et des procédures efficaces et appropriés pour le contrôle de confidentialité devraient être en place et respectés, afin de réduire de façon significative le risque de divulgation non souhaitée.
Le contrôle de confidentialité est le processus d'examen des résultats de la recherche, de la syntaxe ou de tout document confidentiel lié aux données, qui sert à évaluer le risque de divulgation non autorisée. À cette fin, on détermine s'il est possible d'identifier de façon évidente des cas individuels ou de déduire des données concernant des cas individuels à partir des produits statistiques. La responsabilité première de l'analyste de CDR en ce qui a trait au contrôle de confidentialité est de veiller à ce qu'il n'y ait pas de violation de la confidentialité lorsque les produits de recherche sortent du CDR. L'analyste devrait passer en revue tous les documents que le chercheur souhaite sortir du CDR, et la responsabilité ainsi que la décision finale de diffuser les produits sont du ressort de l'analyste. Le contrôle de confidentialité est assuré à partir de lignes directrices propres aux enquêtes, pour toutes les enquêtes dont les données sont conservées dans les CDR. Les questions ou les préoccupations concernant le processus de contrôle ou les techniques statistiques inhabituelles sont résolues par le gestionnaire régional de CDR ou avec le Comité de contrôle du CDR.
Au cours de la séance d'orientation, les chercheurs reçoivent de la formation sur le processus de contrôle de confidentialité et la documentation requise pour les demandes de contrôle. Cette documentation comprend des descriptions des variables, des chiffres pondérés et non pondérés, la syntaxe et un formulaire de demande de divulgation pour chaque produit. Une ébauche de document détaillé intitulé Règle de contrôle de la divulgation pour les produits de données d'enquête dans les CDR comprend des instructions sur la façon d'assurer un contrôle de confidentialité. Les lignes directrices sur l'analyse du risque de divulgation de divers types de données et de produits descriptifs ou tabulaires, ainsi que des matrices de la variance-covariance et de corrélation, des graphiques et des modèles, sont inclus.
Les lignes directrices et les processus de contrôle de confidentialité figurent dans le Guide à l'intention des chercheurs. Une partie importante du processus consiste pour les chercheurs à remplir le Formulaire de demande de contrôle de confidentialité, qui fournit les renseignements requis pour que l'analyste procède à la demande de contrôle et la documente. Les renseignements requis du chercheur comprennent les suivants :
- le nom du fichier de sortie, l'enquête et les cycles utilisés;
- les caractéristiques de la population analysée;
- la procédure et les poids statistiques utilisés;
- une description des variables;
- des produits pondérés et non pondérés.
Une fois le contrôle complet, le produit considéré comme non confidentiel est communiqué au chercheur.
Au CDR de Dalhousie, tout le contrôle de confidentialité est effectué par l'analyste de CDR à temps plein. Le même analyste travaille pour le Programme des CDR depuis plusieurs années et comprend les exigences de Statistique Canada au chapitre des données et de la confidentialité. Cet analyste a aussi des CRM actifs; afin d'assurer la séparation des tâches, le contrôle de confidentialité de ses produits est assuré au bureau central.
À partir d'un échantillonnage discrétionnaire (afin d'assurer l'inclusion d'une gamme variée d'ensembles de données, de chercheurs et de types de contrat), 14 contrats terminés, actifs, en défaut et retirés ont été sélectionnés pour s'assurer que le contrôle de confidentialité a lieu à Dalhousie et que la méthode utilisée est appropriée. Les résultats ont montré que, pour tous les contrats, des formulaires de contrôle de confidentialité étaient remplis et que la méthode utilisée pour chaque enquête était conforme au processus établi. La documentation de soutien nécessaire pour les documents de contrôle antérieurs, les variables utilisées, les définitions des variables dérivées, ainsi que les chiffres pondérés et non pondérés, ont été fournis. Il a été démontré que l'analyste utilisait les techniques de contrôle appropriées et appliquait efficacement les procédures de contrôle.
En outre, l'analyste a mis en œuvre une procédure pour s'assurer qu'il avait le contrôle sur le document de contrôle finalisé. Cette mesure vise à faire en sorte que l'analyste ait un dossier ne pouvant pas être modifié par un chercheur, si un nouveau contrôle devait être effectué ou si un plus grand contrôle devait être assuré.
Des processus et des procédures de contrôle de confidentialité sont en place et efficaces pour protéger la confidentialité des données. L'analyste conserve aussi une piste de vérification de tous les documents contrôlés, qui ne peut être modifiée par les chercheurs, ce qui est considéré comme une bonne pratique.
Recommandations
Il est recommandé que le statisticien en chef adjoint de la Statistique sociale, de la santé et du travail s'assure que :
- les procédures de gestion des contrats sont raffermies, afin que des attestations de la prise de connaissance du Code de valeurs et d'éthique soient signées par tous les chercheurs et soient archivées;
- des discussions sur les risques ont lieu entre le gestionnaire régional, l'analyste de CDR et les gestionnaires de la DAM et servent à éclairer et à déterminer la stratégie des inspections physique et des TI.
Réponse de la direction :
La direction souscrit aux recommandations formulées.
- Les contrats qui ne comportaient pas de formulaires du Code de valeurs et d'éthique signés étaient principalement des contrats remontant à la période de 2009 à 2012. Un certain nombre d'améliorations au système de traitement des contrats, y compris la composante d'attestation de la prise de connaissance du Code de valeurs et d'éthique, ont été apportées depuis 2012. On a raffermi le processus pour s'assurer que tous les documents nécessaires étaient remplis et archivés/intégrés dans les contrats de recherche. Les trois améliorations suivantes ont été apportées au cours de la dernière année, afin de combler la lacune déterminée au niveau interne avant l'audit, et elles continueront d'être appliquées, afin de résoudre cette situation :
- On a mis en place des procédures pour l'envoi des documents au bureau central, qui sont énoncées dans le communiqué 2013-05. Les contrats ne seront pas traités par le bureau central tant que toute la documentation n'aura pas été reçue (depuis octobre 2013).
- On a mis en œuvre l'utilisation d'une liste de vérification lorsque le Contrat de recherche pour l'utilisation de microdonnées (CRM) est signé par le directeur ou son remplaçant. La liste de vérification indique que le personnel du bureau central a reçu et traité tous les documents. Cette liste de vérification doit être remplie avant qu'un CRM soit signé (depuis décembre 2013).
- On a mis en œuvre un nouveau CRM pour intégrer le formulaire sur l'utilisation du réseau et le Code de valeurs et d'éthique (depuis juillet 2014).
- Le directeur de la DAM collaborera avec les responsables de la sécurité des TI et de la sécurité physique pour élaborer un calendrier plus intégré pour les CDR, en tenant compte des stratégies de gestion et d'atténuation des risques pour le Programme des CDR. L'accent sera mis sur les inspections des TI devant être effectuées dans chacun des centres de données de recherche qui sont reliés au réseau étendu, au cours des deux prochaines années, afin de veiller à ce que l'équipement et les configurations nouveaux et mis à niveau répondent aux exigences de sécurité du SCT. Même si aucune inspection physique sur place ne sera effectuée, à moins qu'un nouveau centre soit construit ou qu'un centre soit rénové, les inspecteurs de la sécurité physique communiqueront avec les analystes de CDR par téléphone, afin de confirmer qu'aucun changement ne s'est produit dans leur centre depuis la dernière inspection. Les gestionnaires de la DAM continueront de rencontrer les responsables de la sécurité des TI et de la sécurité physique plusieurs fois par année et passeront en revue le calendrier et la stratégie d'inspection avec le Comité de coordination de la sécurité, au besoin.
Produits livrables et échéancier : Une stratégie révisée pour les inspections de la sécurité des TI et de la sécurité physique, et un calendrier intégré axé sur les risques, seront élaborés entre janvier 2015 et septembre 2016.
Objectif 2 : Le CDR de l'Université Dalhousie se conforme aux politiques et aux normes pertinentes du SCT et de Statistique Canada concernant la sécurité des technologies de l'information et la sécurité physique, afin d'assurer la protection de la confidentialité des données au moment de la prestation des services.
Sécurité des technologies de l'information
Les rôles, responsabilités et obligations de reddition de comptes du personnel de soutien des TI de Dalhousie sont énoncés dans des ententes sur les niveaux de service et sont conformes aux politiques gouvernementales s'appliquant aux TI et à la Loi sur la statistique. Des contrôles généraux des TI, y compris des mesures de protection de l'accès, de l'identification et de l'authentification, sont intégrés dans les systèmes et les configurations de logiciel et fonctionnent comme prévu au CDR de Dalhousie.
Le personnel du CDR de Dalhousie utilise une pratique efficace, c'est-à-dire qu'il a recours à une clé USB fiable strictement réservée au transfert de fichiers électroniques au serveur. À l'heure actuelle, il n'y a pas de procédures ou de protocoles documentés en place pour atténuer les risques au chapitre de la sécurité associés à l'utilisation de clés USB externes pour le Programme des CDR. Tous les CDR pourraient profiter de cette pratique et assurer une plus grande protection des données conservées dans le réseau fermé.
La sécurité des technologies de l'information dans les CDR doit être conforme aux politiques pertinentes du SCT, comme la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information et le Manuel de pratiques de sécurité de Statistique Canada. Les rôles, responsabilités et obligations de reddition de comptes doivent être clairement définis et communiqués. Dans le contexte des CDR, la sécurité des TI devrait comprendre des contrôles pour la protection du système d'information; des communications avec le système d'information et à l'intérieur de celui-ci; des contrôles de l'accès, y compris la capacité de permettre ou de refuser l'accès aux systèmes pour les utilisateurs; et des contrôles d'identification et d'authentification, qui permettent l'identification et l'authentification uniques de chaque utilisateur.
Rôles et responsabilités
La Division des opérations des technologies de l'information (DOTI) de Statistique Canada fournit une orientation et des directives concernant les exigences de sécurité des TI pour le Programme des CDR.
Au CDR de Dalhousie, les services des TI sont fournis localement par des membres du personnel des TI de l'université. Ces membres du personnel donnent suite aux demandes de l'analyste de CDR, au besoin, et veillent à ce que les postes de travail, le serveur du CDR et les autres équipements des TI soient configurés pour respecter les directives et les politiques de Statistique Canada.
Les rôles, responsabilités et obligations de reddition de comptes du personnel de soutien des TI de l'Université Dalhousie sont énoncés dans des ententes sur les niveaux de service et sont conformes aux politiques gouvernementales relatives aux TI et à la Loi sur la statistique.
Mesures de protection des systèmes des TI et configurations du logiciel
En 2013, tous les systèmes et le matériel informatiques du CDR de Dalhousie ont été remplacés, et l'environnement des TI a été configuré pour être intégré au domaine du bureau central. Par suite de ce changement, des comptes d'utilisateurs sont maintenant créés par la SSOBC, et seuls les périmètres d'accès sont contrôlés localement par le CDR. Le serveur du CDR de Dalhousie a récemment été mis à jour et fonctionne de façon autonome avec des répertoires ouverts. Il utilise le système d'accès BASIS Proxcard-II pour accorder les autorisations. Mis à part le réseau étendu (RE), le serveur n'a pas de connexion externe. Il n'est donc pas possible d'accéder au serveur à l'extérieur du CDR.
Au cours de la visite sur place, on a noté que neuf postes de travail fonctionnels autonomes étaient mis à la disposition des chercheurs. Il s'agissait de nouveaux systèmes informatiques acquis au cours de la dernière année, tous configurés de façon identique, avec le même matériel et logiciel. L'équipe d'audit a sélectionné un certain nombre de mesures de sécurité informatique clés, qui ont été vérifiées, afin de s'assurer qu'elles fonctionnaient comme prévu. Les résultats de l'inspection par l'équipe d'audit sont les suivants :
- Les ordinateurs du laboratoire de recherche ne sont pas reliés à Internet (l'accès à Internet est réservé aux employés du CDR dans les bureaux des analystes de CDR), et les répertoires de données et de chercheurs sont entreposés dans le serveur.
- Le logiciel est installé à chaque poste de travail par le personnel de soutien des TI de Dalhousie, et chaque poste de travail est doté d'une application Deepfreeze, qui fait en sorte qu'aucune donnée résiduelle ne demeure dans l'ordinateur au moment de la fermeture de session. L'équipe d'audit a vérifié Deepfreeze et a confirmé qu'elle est efficace; les documents apparaissaient dans un répertoire local temporaire et étaient effacés lorsque l'utilisateur ouvrait une nouvelle session.
- L'antivirus McAfee est le logiciel prescrit et était opérationnel dans tous les ordinateurs. Pour tous les ordinateurs liés au réseau fermé, des mises à jour régulières sont traitées par le bureau central chaque semaine au moyen du RE. Dans le cas de l'ordinateur donnant accès à Internet dans le bureau de l'analyste de CDR, l'application antivirus est mise à jour quotidiennement au moyen d'Internet.
- La configuration et la validation de mots de passe sont conformes aux normes qui respectent les exigences en matière de TI de Statistique Canada.
- Le serveur et les disques de sauvegarde sont verrouillés dans une armoire située à l'intérieur de la zone sécuritaire du CDR, et seul l'analyste a les clés; cela est conforme aux exigences de sécurité du programme.
- Les impressions de travaux des chercheurs peuvent être faites uniquement à partir d'une imprimante de réseau qui est située dans le bureau de l'analyste de CDR.
- Les ports USB disponibles dans les ordinateurs du laboratoire de recherche sont programmés pour détecter et rejeter tous les dispositifs qui comportent une capacité de mémoire importante et/ou les supports de communication. L'équipe d'audit a relié un téléphone cellulaire et une clé USB à un échantillon de trois des neuf ordinateurs fonctionnels du laboratoire, et tous les appareils ont été rejetés par le système.
Dans tous les cas, des contrôles généraux des TI étaient intégrés dans les systèmes et les configurations de logiciels et fonctionnaient comme prévu.
Mesures de protection de l'accès, de l'identification et de l'authentification
Les procédures précisent que des comptes d'utilisateurs devraient être créés uniquement lorsqu'un contrat est approuvé et est actif. L'accès devrait être supprimé au moment de la date d'expiration du CRM, et la configuration de mot de passe devrait respecter les normes de Statistique Canada.
L'analyste de CDR est responsable de configurer les comptes, afin que seules les données approuvées dans le contrat final soient accessibles pendant la durée du projet, et il dispose des privilèges administratifs nécessaires pour accéder au système. Les adjoints à la statistique n'ont pas de privilèges administratifs. Des numéros d'identification d'utilisateur individuels sont créés pour chaque chercheur et pour chaque contrat. Lorsque des chercheurs sont associés à plus d'un projet de recherche, un numéro d'identification d'utilisateur distinct est créé pour chaque projet. De cette façon, des comptes d'accès par les utilisateurs sont établis pour rendre compte des dates de début et de fin et de la date d'expiration de l'autorisation de sécurité. Cela empêche aussi les chercheurs de déplacer des fichiers entre des projets. La configuration de mot de passe pour les comptes d'accès par les utilisateurs est établie en conformité avec les normes de Statistique Canada.
Même si les employés de soutien des TI de Dalhousie ne sont pas des employés de Statistique Canada, ils sont des personnes réputées être employées. Ils font en sorte que les systèmes du CDR sont configurés en fonction des exigences de Statistique Canada et ont des privilèges administratifs pour les systèmes des TI seulement. Cet accès leur permet de modifier les configurations des systèmes informatiques, par exemple, de télécharger des logiciels ou d'installer des imprimantes ou d'autres dispositifs localement. Le personnel des TI de Dalhousie utilise aussi les privilèges administratifs pour résoudre les problèmes des TI et les problèmes de poste de travail et répondre à tous les besoins liés au serveur. Ils n'ont pas de privilèges administratifs pour modifier les périmètres d'accès des comptes d'utilisateurs individuels créés pour les chercheurs.
L'équipe d'audit a vérifié un échantillon de 43 des 89 contrats ayant commencé entre 2010 et 2014, et a comparé les ensembles de données notés dans les CRM aux renseignements consignés dans le SGRC et aux ensembles de données inclus dans les paramètres de système des TI pour certains utilisateurs. Les résultats ont montré que la liste des ensembles de données entrés dans le système en ce qui a trait aux privilèges d'accès correspondait à la liste des ensembles de données inclus dans le contrat ou les modifications subséquentes.
L'équipe d'audit a aussi vérifié un sous-échantillon aléatoire de neuf chercheurs sélectionnés pour les contrats actifs, afin de s'assurer que les dates d'expiration ne dépassaient pas la période valide d'autorisation de sécurité, et que l'accès était accordé uniquement pour la période stipulée dans le CRM. Les résultats ont confirmé que lorsque la date d'expiration de l'autorisation de sécurité précède la date de fin de contrat, la date entrée était la date d'expiration de l'autorisation de sécurité; ce contrôle est efficace pour s'assurer que les personnes ont une autorisation de sécurité pour accéder aux données de Statistique Canada. Toutes les autres dates étaient conformes au CRM.
L'équipe d'audit a aussi vérifié les périmètres d'accès aux fichiers de données entrés dans le système pour les contrats suspendus, incomplets, retirés ou inactifs, et a vérifié si l'accès était interrompu. Les essais ont confirmé que les comptes d'utilisateurs étaient désactivés.
L'audit a déterminé que des mesures de sécurité des TI pertinentes sont en place et respectent les normes de protection des données confidentielles de Statistique Canada. Des mesures de protection de l'accès, de l'identification et de l'authentification sont intégrées dans les systèmes, et les configurations de logiciels au CDR de Dalhousie et fonctionnent comme prévu.
Protection des serveurs du CDR contre les menaces pour les TI et protocole de rapport des incidents
L'analyste et les adjoints à la statistique contrôlent les fichiers électroniques qui peuvent être ajoutés aux fichiers de projets de recherche dans le réseau fermé. Dans le cadre des opérations quotidiennes, les documents électroniques et les tableaux des chercheurs doivent être disponibles dans le réseau fermé. Les chercheurs apportent leurs fichiers sur une clé USB personnelle. Étant donné que les postes de travail du laboratoire de recherche sont configurés de façon à éviter l'utilisation de clés USB pour l'accès, la récupération des fichiers des chercheurs se fait à partir des ordinateurs relevant du contrôle du personnel du CDR.
Au niveau du programme, il existe des procédures concernant l'extranet du CDR, qui expliquent les modalités permettant à un chercheur de faire ajouter des données, de la documentation ou d'autres informations à son projet de recherche. Toutefois, ces procédures n'expliquent pas comment transférer de façon sécuritaire les documents électroniques des chercheurs d'une clé USB externe au serveur.
Afin de réduire le risque de contact d'un virus informatique, d'un logiciel malveillant ou d'un logiciel espion avec les données entreposées dans le réseau fermé, des procédures particulières ont été mises en œuvre au CDR de Dalhousie pour les transferts de fichiers électroniques, au moyen d'une clé USB de chercheur. La clé USB du chercheur est insérée dans l'ordinateur de l'analyste du CDR donnant accès à Internet et le logiciel antivirus McAfee est exécuté. Les copies des fichiers que le chercheur souhaite transférer à son répertoire de projet dans le serveur sont par la suite sauvegardées dans le poste de travail, et les fichiers individuels sont vérifiés une deuxième fois pour détecter les virus. L'analyste de CDR transfère les fichiers/répertoires de documents du poste de travail donnant accès à Internet à une clé USB réservée du CDR, puis transfère les fichiers du compte du chercheur au serveur, au moyen de l'ordinateur qui est relié au réseau fermé. Il a été recommandé par le personnel des TI de Dalhousie d'utiliser une clé USB distincte réservée au CDR.
Les entrevues avec la DOTI ont confirmé que l'utilisation d'une clé USB appartenant à des utilisateurs externes dans un ordinateur qui est lié au réseau fermé augmente le risque de transfert par inadvertance de virus, de logiciels espions et/ou de logiciels malveillants et devrait être interdite. L'utilisation d'une clé USB fiable strictement réservée au transfert des fichiers au serveur représente une bonne pratique, qui réduit de façon significative le risque de transfert de virus, de logiciel espions et de logiciels malveillants par inadvertance, la clé USB n'ayant pas été en contact avec des ordinateurs à l'extérieur de l'installation de CDR.
Le personnel du CDR de Dalhousie utilise une pratique efficace, c'est-à-dire une clé USB fiable strictement réservée au transfert de fichiers électroniques au serveur. À l'heure actuelle, il n'y a pas de procédures ou de protocoles documentés en place pour atténuer les menaces pour la sécurité associées à l'utilisation de clés USB externes pour le Programme des CDR. Tous les CDR pourraient profiter de cette pratique et protéger davantage les données entreposées dans le réseau fermé.
Recommandations :
Il est recommandé que le statisticien en chef adjoint de la Statistique sociale, de la santé et du travail s'assure que :
- des procédures sont documentées relativement à l'utilisation de clés USB pour transférer des fichiers de données de chercheurs dans le réseau fermé.
Réponse de la direction :
La direction souscrit aux recommandations formulées.
- Il s'agit d'une pratique exemplaire qui est utilisée dans chaque centre du programme, mais qui n'est pas documentée de façon systématique. Le directeur de la DAM préparera et distribuera un communiqué à tous les employés du CDR et aux chercheurs, afin de documenter les procédures d'utilisation de clés USB pour transférer des fichiers de données de chercheurs dans le réseau fermé.
Produits livrables et échéancier : Des procédures seront intégrées au réseau de communications au plus tard le 31 décembre 2014.
Sécurité physique
Les mesures de sécurité physique en place au CDR de l'Université Dalhousie sont conformes aux politiques pertinentes du SCT et au Manuel des pratiques de sécurité de Statistique Canada. Des contrôles clés, comme un périmètre de sécurité doté de dispositifs de détection des intrusions et un accès restreint au centre, sont en place et sont efficaces pour assurer la sécurité des données conservées dans l'installation.
Les mesures de sécurité physique requises dans les CDR visent à protéger la confidentialité des données conservées dans l'installation. Des inspections de la sécurité physique permettent de vérifier si les mesures de sécurité sont conformes aux politiques pertinentes du SCT, comme la Politique sur la sécurité du gouvernement et le Manuel des pratiques de sécurité de Statistique Canada. La sécurité physique devrait inclure des contrôles clés, comme l'établissement d'un périmètre de sécurité doté de dispositifs de détection des intrusions, un accès restreint au centre, et un contrôle permanent, grâce à des observations pendant les heures ouvrables.
Inspections de la sécurité physique
Des inspections de la sécurité physique sont effectuées au moment de l'ouverture des CDR, et les gestionnaires de Statistique Canada ont déterminé que des inspections de CDR auront lieu tous les quatre ans. Le personnel de la Sécurité du Bureau effectue les inspections physiques et fournit des recommandations aux gestionnaires régionaux de CDR et au personnel du bureau central. La dernière inspection de la sécurité physique du CDR de l'Université Dalhousie a été menée en 2011. Par suite de cette inspection, une recommandation a été faite : il a été recommandé que les rapports du système d'accès soient imprimés et passés en revue sur une base régulière. Le personnel du CDR peut entrer dans le système de sécurité appuyé par le bureau de sécurité de Dalhousie et imprimer les rapports du système d'accès. Au CDR de Dalhousie, les rapports du système d'accès sont produits sur une base mensuelle, principalement pour tenir compte des heures inscrites pour les projets à frais recouvrables. Des rapports de registre de cartes magnétiques sont disponibles pour examen au besoin, afin de suivre de plus près les allées et venues des chercheurs. En imprimant les rapports de système d'accès et en les passant en revue sur une base mensuelle, le personnel du CDR de Dalhousie a donné suite à la recommandation découlant de l'inspection physique de 2011.
Grâce à une comparaison avec les renseignements fournis dans l'inspection physique de l'emplacement en 2011 et à des entrevues avec le personnel de la DAM et du CDR, il a été confirmé que le CDR n'a pas été relocalisé et qu'on n'a pas apporté de changements importants à son environnement structurel physique depuis la dernière inspection. Compte tenu de cela, l'équipe d'audit a sélectionné un certain nombre de contrôles matériels clés dans l'environnement physique du CDR et a vérifié la conformité avec les exigences de sécurité physique du CDR. Les résultats de l'inspection par l'équipe d'audit étaient les suivants :
- L'installation est dotée d'armoires d'entreposage fermées à clé sécuritaires pour l'entreposage des fichiers des chercheurs.
- Il n'y a pas d'imprimante située dans l'aire de recherche.
- Les dispositifs d'impression/de télécopie/de balayage sont réservés à l'usage du personnel du CDR et sont situés dans le bureau de l'analyste de CDR.
Dans tous les cas, des contrôles matériels clés ont été établis en conformité avec les exigences en matière de sécurité physique du CDR.
Périmètre de sécurité doté de dispositifs de détection des intrusions
Le CDR est situé au premier étage de l'Université Dalhousie. Il a été construit en conformité avec les exigences de Statistique Canada en ce qui a trait au périmètre de sécurité pour les « étages partagés ». L'accès au CDR se fait par une porte, accessible à partir de la bibliothèque de l'université. Conformément aux exigences de sécurité s'appliquant aux CDR, le centre est doté d'une porte en acier avec un pêne dormant comportant une saillie d'un pouce. Le personnel du CDR et la sécurité du campus ont les clés de l'installation. Le CDR n'a pas de fenêtres extérieures. Les fenêtres intérieures sont givrées, sauf celle du bureau de l'analyste de CDR (qui fait face à la bibliothèque), qui est dotée de stores verticaux qui sont gardés fermés.
La sécurité du campus assure un contrôle 24 heures par jour et 7 jours par semaine des installations de l'université. Le CDR est aussi doté d'un système d'alarme et de détecteurs de mouvement, qui sont fonctionnels et qui permettent de protéger l'installation en dehors des heures ouvrables. Si le système d'alarme ou les détecteurs de mouvements sont déclenchés, la sécurité du campus est informée, en tant que premier répondant, et avise ensuite l'analyste de CDR.
Accès restreint au CDR
Au CDR de Dalhousie, il y a un analyste de CDR à temps plein et deux adjoints à la statistique à temps partiel. Le personnel du CDR est présent pendant les heures ouvrables et contrôle la présence des chercheurs dans l'installation, afin de veiller à ce que l'accès au centre soit limité aux personnes qui sont autorisées. La présence d'employés du CDR pendant les heures ouvrables représente un élément essentiel de la protection des actifs situés dans le périmètre de sécurité. Le personnel du CDR de Dalhousie établit des horaires de travail, afin d'assurer une présence continue dans le centre, y compris pendant les vacances et les rendez-vous personnels. Dans de rares cas où la présence des employés ne peut être assurée pendant des périodes prolongées, qui vont au-delà des pauses santé et des brèves absences pendant l'heure du lunch, le CDR de Dalhousie est fermé.
Un système d'accès au moyen d'une carte magnétique électronique est aussi en place. Des cartes d'identification sont remises aux chercheurs autorisés, et il y a deux lecteurs de bande magnétique situés sur les côtés extérieur et intérieur de la porte du CDR. La carte magnétique sert à déverrouiller la porte pour entrer dans l'aire sécurisée et en sortir, et le système enregistre toutes les entrées et sorties. Le personnel du CDR peut entrer à distance dans le système de sécurité de Dalhousie et a accès aux registres du système d'accès au moyen de la carte magnétique électronique, à partir de l'ordinateur de l'analyste. L'équipe d'audit a examiné les registres d'accès au moyen de la carte magnétique du CDR, les trois jours pendant lesquels elle était sur place, ainsi que les rapports du système du CDR pour le mois de juin 2014. Des tests ont confirmé que le système a enregistré avec exactitude toutes les entrées et sorties au moyen de la carte magnétique. Toutefois, les rapports produits par le système de cartes d'accès ne rendent pas compte de toutes les entrées et sorties de personnes pendant les heures ouvrables. Il y a des cas où les personnes peuvent entrer dans le centre ou en sortir pendant les heures ouvrables, sans avoir à utiliser leur carte magnétique individuelle. Par exemple, si un certain nombre de personnes quittent le CDR en même temps, ou si quelqu'un entre dans l'installation pendant que quelqu'un en sort, la carte magnétique n'est pas toujours utilisée. D'autres vérifications effectuées ont montré que l'utilisation d'un registre manuel de signatures comme contrôle compensatoire était efficace pour assurer la tenue d'une liste de tous les visiteurs du centre.
Contrôle permanent
Afin de contrôler efficacement les activités du CDR, l'analyste devrait toujours avoir les chercheurs sous les yeux pendant qu'ils sont dans le centre. À Dalhousie, l'analyste de CDR peut facilement observer les chercheurs lorsqu'ils utilisent les postes de travail situés à l'avant du CDR. À partir du bureau de l'analyste de CDR, il est difficile d'observer les chercheurs qui travaillent aux postes de travail situés à l'arrière du CDR. À titre de stratégie d'atténuation, le personnel du CDR circule dans le CDR et observe les postes de travail à partir de divers endroits sur une base régulière. Les gestionnaires du programme ont indiqué qu'il est difficile d'obtenir l'équilibre approprié entre la protection de la confidentialité des données et le degré d'intimité dont ont besoin les chercheurs pour effectuer leurs travaux. Chaque CDR est configuré différemment; on encourage les gestionnaires des CDR à utiliser une approche axée sur les risques à cet égard pour chaque CDR.
Les mesures de sécurité physique en place au CDR de l'Université Dalhousie sont conformes aux politiques pertinentes du SCT et au Manuel des pratiques de sécurité de Statistique Canada. Des contrôles clés, comme un périmètre de sécurité doté de dispositifs de détection des intrusions et un accès restreint au centre, sont en place et sont efficaces pour assurer la sécurité des données conservées dans l'installation.
Annexes
Objectif du contrôle / Contrôles de base / Critères | Sous-critères | Instruments de politique |
---|---|---|
1) Le CDR de l'Université Dalhousie se conforme aux politiques et aux normes pertinentes du SCT et de Statistique Canada concernant la sécurité des technologies de l'information et la sécurité physique, afin d'assurer la protection de la confidentialité des données au moment de la prestation des services. | ||
1.1 L'environnement physique du CDR est conforme aux politiques actuelles de Statistique Canada. | 1.1.1 Des politiques, directives et procédures sont en place pour décrire les exigences au chapitre de la sécurité physique. 1.1.2 Des contrôles de l'accès sont en place pour s'assurer que l'environnement physique est efficace pour protéger les données de nature délicate. 1.1.3 Il existe des contrôles manuels et automatisés pour assurer la sécurité physique (p. ex., lecteurs de carte, systèmes d'alarme, registres de signatures). 1.1.4 Un contrôle permanent de l'environnement est assuré pour faire en sorte que les changements/nouveaux risques puissent être pris en compte rapidement. 1.1.5 Des inspections physiques périodiques régulières ont lieu pour assurer la conformité aux politiques et sont effectuées par des fonctions de service intégré. Les résultats des inspections physiques sont consignés et des mesures correctives sont prises en cas de non-conformité. |
Politique sur la sécurité du gouvernement du SCT Norme sur la sécurité physique du SCT Directive sur la gestion de la sécurité ministérielle du SCT Manuel des pratiques de sécurité de Statistique Canada Documents internes des CDR sur la sécurité physique Politique sur la sécurité des renseignements statistiques de nature délicate Loi sur la statistique Directive sur la révélation discrétionnaire Politique sur l'utilisation de personnes réputées être employées |
1.2 L'environnement des TI du CDR est conforme aux politiques actuelles de Statistique Canada. | 1.2.1 Des politiques, directives et procédures sont en place pour décrire les exigences au chapitre de la sécurité des TI. 1.2.2 Du matériel, du logiciel et des contrôles informatiques généraux des TI sont en place pour assurer la protection des données de nature délicate. 1.2.3 Chaque poste de travail est configuré pour assurer la conformité aux exigences en matière de sécurité des TI de Statistique Canada et du SCT. 1.2.4 On doit entrer des mots de passe pour activer les systèmes informatiques et ceux-ci sont régulièrement mis à jour, et les dispositifs de fermeture de session après une période d'inactivité sont fonctionnels. 1.2.5 Des inspections périodiques régulières des TI ont lieu pour assurer la conformité aux politiques et sont effectuées par des fonctions de service intégré. Les résultats des inspections des TI sont consignés et des mesures correctives sont prises en cas de non-conformité. |
Politique sur la sécurité du gouvernement du SCT Directive sur la gestion de la sécurité ministérielle du SCT Manuel des pratiques de sécurité de Statistique Canada Politique sur la sécurité des TI de Statistique Canada Politique sur la sécurité des renseignements statistiques de nature délicate Loi sur la statistique Directive sur la révélation discrétionnaire Politique sur l'utilisation de personnes réputées être employées |
1.3 L'accès aux données statistiques de nature délicate est limité aux personnes autorisées, grâce à des systèmes de contrôle des TI et de l'environnement qui sont mis à jour en conformité avec les politiques pertinentes. | L'accès physique et l'accès aux TI sont contrôlés, afin de veiller à ce que seules les personnes autorisées puissent entrer dans les locaux du CDR, et l'accès dans les postes de travail est limité aux ensembles de données autorisés seulement. 1.3.1 Des listes de contrôle de l'accès physique et de l'accès aux TI sont régulièrement mises à jour et validées. 1.3.2 Le personnel de l'université qui assure la mise à jour des systèmes des TI comprend les exigences en matière de sécurité des TI et fait en sorte que l'accès aux données soit limité aux utilisations autorisées seulement. 1.3.3 Le personnel du CDR assure un contrôle des chercheurs et des postes de travail, afin de veiller à ce que les chercheurs se conforment aux procédures. 1.3.4 Les chercheurs autorisés à utiliser le CDR ont accès uniquement aux ensembles de données figurant dans le CRM. 1.3.5 Les comptes sont automatiquement désactivés aux dates d'expiration des contrats et tous les ports externes ont été désactivés dans les postes de travail des chercheurs. 1.3.6 L'accès aux fichiers est limité aux chercheurs qui ont des CRM valides. |
Politique sur la sécurité des renseignements statistiques de nature délicate Directive sur la révélation discrétionnaire Directive sur la gestion de la sécurité ministérielle du SCT Manuel des pratiques de sécurité de Statistique Canada Politique sur la sécurité des TI de Statistique Canada Politique sur la sécurité du gouvernement du SCT Norme sur la sécurité physique du SCT Directive sur la révélation discrétionnaire |
1.4 La confidentialité des données statistiques de nature délicate est protégée grâce à l'application d'activités de contrôle continues, avant que de la documentation écrite puisse être sortie du CDR. | 1.4.1 Des pratiques de contrôle continu des données sont appliquées pour faire en sorte que les documents comprenant des données statistiques de nature délicate ne sortent pas du CDR. | Manuel des pratiques de sécurité de Statistique Canada Directive sur la sécurité des renseignements statistiques de nature délicate. |
2) Le CDR de l'Université Dalhousie dispose de pratiques et de mécanismes efficaces pour assurer la protection de la confidentialité des données au moment de la prestation des services. | ||
2.1 Des obligations de reddition de comptes à l'appui des activités et des initiatives de collaboration du CDR, partagées entre le personnel du CDR, le personnel de l'université et les chercheurs, sont officiellement définies. | 2.1.1 Des ententes, des modalités ou des documents équivalents énonçant les rôles, responsabilités et obligations de reddition de comptes pour les fonctions faisant intervenir le personnel de l'Université Dalhousie sont en place et font état des responsabilités :
2.1.3 Les serments et les documents de valeurs et d'éthique énoncent les exigences relatives à la confidentialité des données de Statistique Canada et sont en place avant que l'accès aux données soit autorisé. 2.1.4 De la documentation est en place pour énoncer les responsabilités en matière de contrôle de la confidentialité des données pour les produits statistiques. 2.1.5 Le personnel du CDR reçoit des communications et des mises à jour régulières du bureau central concernant les nouveaux processus et procédures, les modifications au processus, les problèmes et d'autres éléments liés aux activités du CDR, à la gestion des CRM et aux exigences en matière de confidentialité. 2.1.6 Le personnel du CDR reçoit des mises à jour régulières de l'information concernant le contrôle de la confidentialité, et lorsque de nouveaux ensembles de données arrivent dans le CDR, les exigences en matière de contrôle sont communiquées. |
Documents internes des CDR sur les rôles et les responsabilités Documents des CDR à l'intention des directeurs universitaires Guide à l'intention des chercheurs des CDR Politique sur l'utilisation de personnes réputées être employées Modèles de CRM Serment ou affirmation de discrétion Documents sur les valeurs et l'éthique Documents internes sur le contrôle de confidentialité |
2.2 En tant que personnes réputées être employées, les chercheurs, le personnel du CDR et le personnel de l'université confirment officiellement qu'ils se conforment aux valeurs et éthique, code de conduite ou politiques équivalentes de Statistique Canada, en ce qui a trait à la confidentialité des données statistiques de nature délicate. | 2.2.1 Au début d'un nouveau contrat avec le CDR, les chercheurs doivent signer un énoncé reconnaissant qu'ils comprennent les politiques et la Loi sur la statistique et qu'ils s'y conforment, grâce aux activités suivantes :
|
Documents sur les valeurs et l'éthique Documentation distribuée à la séance d'orientation Guide à l'intention des chercheurs des CDR Preuve que des séances d'information ont été fournies et reconnaissance de la conformité aux valeurs et à l'éthique/au code de conduite Preuve d'autorisation de sécurité des chercheurs |
2.3 Les gestionnaires déterminent et évaluent les risques qui pourraient empêcher l'atteinte des objectifs et y donnent suite, et ils évaluent l'efficacité des contrôles existants. | 2.3.1 Le gestionnaire régional, l'analyste de CDR et la DAM tiennent des réunions régulières. 2.3.2 Des rapports d'inspection de la sécurité des TI et de la sécurité physique par la direction sont effectués pour l'Université Dalhousie et servent à déterminer les risques et les stratégies d'atténuation. |
Inspections de la sécurité des CDR Lignes directrices sur la protection de la confidentialité Conservation de pistes de vérification/dossiers dans le CDR à l'appui des activités de contrôle |
2.4 Les gestionnaires ont établi des processus pour élaborer et gérer les ententes, les protocoles d'entente (PE) et/ou les contrats pertinents, aux fins du Programme des CDR dans la région. | 2.4.1 Des contrats de recherche pour l'utilisation de microdonnées sont en place et à jour, et font état des exigences en matière de données, des recherches effectuées et des dates pertinentes (dates de début et de fin), et énoncent les modalités d'utilisation du CDR. 2.4.2 Toutes les autorisations de sécurité sont en place pour les contrats. 2.4.3 Des serments sont signés et sont conservés. |
Documents internes des CDR Preuve d'autorisation de sécurité Serments de confidentialité |
Acronyme | Description |
---|---|
IRSC | Instituts de recherche en santé du Canada |
RCCDR | Réseau canadien des centres de données de recherche |
SGRC | Système de gestion des relations avec les clients |
SC | Statisticien en chef |
DSSI | Division des services de soutien intégré |
CMV | Comité ministériel de vérification |
SB | Sécurité du Bureau |
CFDR | Centre fédéral de données de recherche |
SSOBC | Sous-section des opérations du bureau central |
DAI | Division de l'audit interne |
RCI | Réseau de communications internes |
IIA | Institute of Internal Auditors |
TI | Technologies de l'information |
DOTI | Division des opérations des technologies de l'information |
DAM | Division de l'accès aux microdonnées |
CRM | Contrat de recherche pour l'utilisation de microdonnées |
CDR | Centre de données de recherche |
DS | Division spécialisée |
CRSH | Conseil de recherches en sciences humaines du Canada |
SCT | Secrétariat du Conseil du Trésor |
USB | Bus série universel |
RE | Réseau étendu |