CAN/DGSI 105: 2022 (R 2024)

1 Portée 1.1 Généralités 1.1.1 La présente norme a pour objet de définir les exigences minimales de conception et d’exploitation des appareils de l’IIdO en matière de sécurité, de sûreté, de confidentialité, d’intégrité et de disponibilité. NOTER: Comme les autres Normes nationales du Canada, la présente norme est volontaire. Elle ne s’applique qu’aux organisations qui choisissent de l’adopter et indiquent leur intention de l’appliquer dans leurs processus d’acquisition et d’approvisionnement. Après son adoption, la norme peut être intégrée aux politiques et procédures de cybersécurité pertinentes, consultée dans le cadre des processus d’acquisition et d’approvisionnement et utilisée pour la sélection d’appareils, d’équipement ou de services. 1.2 Applicabilité 1.2.1 La présente norme s’applique aux appareils de l’IIdO : elle appuie et complète les autres normes, codes de pratique, lignes directrices et pratiques exemplaires de cybersécurité des systèmes et réseau. a. Aux fins de la présente norme, les appareils de l’IIdO constituent un sous-ensemble des appareils de l’IdO. b. Les appareils de l’IdO comprennent ce qui suit : i. au moins un transducteur (capteur ou actionneur) qui interagit avec l’environnement physique; ii. au moins une interface réseau (Ethernet, réseau sans fil, Bluetooth, technologie d’évolution à long terme [LTE], ZigBee, ultralarge bande [ULB], etc.) qui interagit avec l’environnement numérique (NIST, 2020, v). c. Les appareils de l’IIdO possèdent ces mêmes caractéristiques. Ils sont connectés à de l’équipement dans différents environnements industriels, commerciaux et institutionnels pour procurer des données et des fonctions d’actionnement et de contrôle. Les principales catégories d’appareils sont présentées dans le tableau 4 de l’annexe A. 1.3 Utilisateurs visés 1.3.1 La présente norme s’applique aux organisations qui comptent acquérir des appareils de l’IIdO ou des équipements qui en comprennent. Les utilisateurs visés participent au processus d’acquisition : idéalement, ils font partie de centres de responsabilité utilisant des appareils ou services de l’IIdO dans le cadre de leurs activités; de centres de responsabilité gérant les politiques et procédures de cybersécurité; et de centres de responsabilité chargés de l’approvisionnement et des acquisitions. a. Autres utilisateurs potentiels : i. Fabricants et fournisseurs d’appareils de l’IIdO ii. Fabricants et fournisseurs d’équipements comprenant des appareils de l’IIdO iii. Fabricants et fournisseurs d’appareils de l’IdO b. Utilisations prévues de la norme : i. Acquisition de nouveaux appareils de l’IIdO cybersécuritaires ii. Acquisition de nouvel équipement comprenant des appareils de l’IIdO cybersécuritaires c. Autres utilisations potentielles : i. Embauche d’organisations utilisant des appareils de l’IIdO pour fournir des services ii. Évaluation des vulnérabilités des appareils installés par la comparaison avec les exigences de cybersécurité figurant dans la présente norme iii. Application des exigences de cybersécurité de la norme pour l’acquisition d’appareils de l’IdO 1.4 Exclusions 1.4.1 Ne sont pas couverts par la présente norme : a. Appareils de l’IIdO et équipements en comprenant déjà installés b. Systèmes et réseaux de cybersécurité