Gouvernance des données – Partie 8 : Cadre de géorésidence et de souveraineté

DGSI Logo
Organisme d'élaboration de normes:
Work Program
Programme de travail:
SDO Link
Numéro de référence:
CAN/DGSI 100-8:2024
Catégorie de norme:
Norme nationale du Canada - Norme canadienne
Type d’activité d’élaboration de normes:
Nouvelle version
Code ICS:
35.020; 35.030
Statut:
En cours d'élaboration
Date de début de la période de commentaires OEN:
Date de fin de la période de commentaires des OEN:
Affiché le:

Porté:

La présente norme spécifier les exigences minimales que les organisations doivent respecter pour protéger les données en leur possession des risques territoriaux tout en profitant des avantages des écosystèmes technologiques mondiaux. 

 

Elle n’a pas pour but de dicter la façon dont les organisations devraient mettre en place certaines mesures de sécurité en particulier. Elle servira plutôt à les guider à l’aide d’approches indépendantes des technologies utilisées et des instances compétentes, qui peuvent s’adapter aux exigences individuelles. 

 

Elle aborde les points suivants : 

  • Recensement et catégorisation des données 
  • Élaboration d’un modèle adéquat de lutte aux menaces  
  • Recensement des risques, notamment dans la législation d’administrations étrangères 
  • Options d’atténuation de ces risques 

 

La présente norme s’applique à tous les secteurs : sociétés ouvertes ou fermées, organismes gouvernementaux et organismes sans but lucratif. 

 

Elle suppose que l’organisation qui la met en œuvre possède déjà des politiques et des procédures de gestion du risque. 

 

Note : À l’application de cette norme, pour ce qui est des renseignements personnels, les définitions administratives, légales et réglementaires locales s’appliquent. 

Raison d’être du projet

Dans l’économie mondialisée d’aujourd’hui, il n’est pas improbable que les organisations hébergent leurs actifs à l’étranger. Les organisations multinationales peuvent avoir de nombreux sites à travers le monde et, avec l'essor du stockage dans le cloud, le stockage à distance des données et des actifs hors du pays, que ce soit sur le site d'une entreprise ou auprès d'un fournisseur de cloud tiers, s'avère efficace et économique.

Malgré les opportunités, il y a toujours des risques et, même si les économies mondiales ont été fortes et stables ces dernières années, l’introduction de variables invisibles (telles qu’une pandémie mondiale) pourrait menacer ce système autrefois fort et prospère.

Les organisations doivent désormais prendre en compte le paysage géopolitique et considérer les risques inhérents au stockage de données et d’actifs dans un environnement étranger. Tous les scénarios doivent maintenant être examinés, et des évaluations des risques et des plans de rétablissement doivent être mis en place pour faire face à ce qui pourrait arriver à leurs données et/ou actifs si le climat politique changeait dans le pays de résidence.

Les modèles de prestation informatique de type Commercial-Off-The-Shelf (COTS), informatique en nuage, informatique de pointe, IoT et blockchain nécessitent souvent un nouvel état d'esprit et une nouvelle culture qui reconnaissent la valeur et les défis liés à l'utilisation de services qui traversent des domaines géo-juridictionnels. De même, les options de connectivité sans fil de la 5G, de la 6G et du satellite ne s’arrêtent pas aux frontières politiques physiques traditionnelles.

 

Ce cadre de normes vise à explorer des approches sur la façon de consommer des services de manière efficace et efficiente en dehors de juridictions géographiques spécifiques, tout en protégeant les actifs et les intérêts. La norme mettra également en évidence les considérations relatives aux endroits où les processus et le stockage doivent se situer dans les juridictions locales et régionales, ainsi que des considérations supplémentaires concernant l'utilisation de solutions étrangères, notamment les endroits où les données peuvent transiter en dehors du contrôle national.

Les changements par rapport aux approches traditionnelles nécessitent un changement dans la culture du lieu de travail, un passage de faire les choses comme elles ont toujours été faites, à la compréhension et à la mise en œuvre de stratégies pour garantir que les solutions sont correctement sécurisées, protégées, rentables et produisent les résultats prioritaires. 

 

Au Canada, en particulier, il est nécessaire de déterminer des approches, des processus et des politiques réalistes susceptibles de protéger les actifs et la souveraineté du Canada, tout en utilisant de manière appropriée des services informatiques susceptibles de traverser les frontières géojuridictionnelles. Structurellement, cela est dû au fait qu’aucun organisme législatif canadien n’a la compétence ultime sur le traitement, le transit et le stockage géo-territorial des actifs informatiques canadiens.

Note : L’information ci-dessus a été recueillie et est diffusée par le Conseil canadien des normes (CCN) pour les besoins de son système de notification centralisé et transparent pour l’élaboration de nouvelles normes. Le système permet aux organismes d’élaboration de normes (OEN) accrédités par le CCN et aux membres du public d’être informés des nouveaux travaux d’élaboration de normes au Canada. Il donne aussi aux OEN accrédités la possibilité de repérer et de résoudre les cas de doubles emplois éventuels dans les normes et les travaux de normalisation.

Les OEN sont eux-mêmes responsables du contenu et de l’exactitude de l’information présentée ici. Cette information n’existe que dans la langue dans laquelle elle a été fournie au CCN.