Glossaire de termes liés à la COMSEC utilisés dans les Directives

NON CLASSIFIÉ
Glossaire de termes
liés à la COMSEC
utilisés dans les Directives
en matière de sécurité des TI du CST
Novembre 2014
NON CLASSIFIÉ
Glossaire de termes liés à la COMSEC
Introduction
Le présent glossaire contient une liste des termes et définitions utilisés dans les Directives en matière de sécurité
des TI (ITSD) publiées par le Centre de la sécurité des télécommunications (CST) :

Directive en matière de sécurité des TI sur l’application de la sécurité des communications à l’aide de
solutions approuvées par le CST (ITSD-01A), janvier 2014;

Directive en matière de sécurité des TI sur le contrôle du matériel COMSEC au sein du gouvernement du
Canada (ITSD-03A), mars 2014;

Directive sur l’utilisation de l’équipement COMSEC et des clés approuvés par le CST dans un réseau de
communication (ITSD-04), novembre 2011;

Directive sur le signalement et l’évaluation des incidents COMSEC touchant le matériel COMSEC
comptable (ITSD-05), avril 2012;

Directive sur le contrôle du matériel COMSEC dans le secteur privé canadien (ITSD-06), juin 2013;
NOTA : Le présent glossaire s’applique également aux Doctrines canadiennes en matière de cryptographie
publiées par le CST.
Novembre 2014
1
NON CLASSIFIÉ
Glossaire de termes liés à la COMSEC
Glossaire
Terme
Définition
Accès
Capacité et possibilité de prendre connaissance ou de prendre possession
d’une information ou d’un matériel, ou encore de modifier cette information
ou ce matériel.
Agence nationale
de distribution (AND)
Entité au sein de la collectivité canadienne de la sécurité des
communications (COMSEC) chargée de la réception, de l'entreposage, de la
distribution et de la disposition sécurisés du matériel COMSEC provenant du
Centre de la sécurité des télécommunications, reçu d'un pays étranger ou à
destination d'un pays étranger.
Agent de sécurité
du ministère (ASM)
Personne chargée d'élaborer, de mettre en œuvre, de maintenir, de
coordonner et de surveiller un programme de sécurité du ministère qui soit
conforme à la Politique sur la sécurité du gouvernement et aux normes qui
s'y rattachent.
Article cryptographique
contrôlé (CCI)
Système sécurisé d'information ou de télécommunications, ou composant
cryptographique connexe, NON CLASSIFIÉ, mais régi par un ensemble
spécial d'exigences en matière de contrôle au sein du Système national de
contrôle du matériel COMSEC et portant la mention « article
cryptographique contrôlé » (ou « CCI » lorsque l'espace est limité).
Assurance élevée
Attestation établissant qu'un produit ou système – grâce à la robustesse de
ses contrôles de sécurité et des politiques, doctrines, processus et procédures
connexes, et à l'évaluation et à la validation approfondies de sa conception et
de son fonctionnement – est capable de protéger l'information et les
communications du gouvernement du Canada nécessitant les contrôles de
protection les plus stricts qui existent.
Autorisation de sécurité
Décision de la haute direction d'accepter le risque résiduel lié à l'exploitation
d'un système d'information, basée sur le paquet d'autorisation de sécurité.
Terme équivalent : accréditation.
Autorité COMSEC
du ministère (ACM)
Personne désignée par l'agent de sécurité du ministère et responsable, devant
celui-ci, d'élaborer, de mettre en œuvre, de maintenir, de coordonner et de
surveiller un programme de sécurité des communications du ministère qui
soit conforme à la Politique sur la sécurité du gouvernement et aux normes
qui s'y rattachent.
Autorité de contrôle (AC)
Entité désignée pour gérer l'utilisation et le contrôle opérationnels d'une clé
attribuée à un réseau cryptographique.
Autre ordre de
gouvernement
Organisme gouvernemental provincial, municipal et local (p. ex. organisme
d’application de la loi).
Bureau central des dossiers
(COR)
Bureau d'un ministère ou d'un organisme fédéral chargé de conserver les
registres de matériel COMSEC comptable détenus par des éléments dont il
est responsable.
Bureau national
des dossiers (NCOR)
Entité du Centre de la sécurité des télécommunications chargée de superviser
la gestion et la comptabilisation de tout le matériel COMSEC comptable
produit au Canada ou confié à celui-ci.
Novembre 2014
2
NON CLASSIFIÉ
Glossaire de termes liés à la COMSEC
Bureau national
des incidents COMSEC
(BNIC)
Entité du Centre de la sécurité des télécommunications chargée de gérer les
incidents liés à la sécurité des communications par l'enregistrement, la
validation, l'évaluation et la fermeture des dossiers.
Centre d'assistance en
matière de matériel
cryptographique (CAMC)
Entité au sein du Centre de la sécurité des télécommunications chargée de
tous les aspects liés à la commande des clés, y compris la gestion des
privilèges, et responsable de la gestion du Bureau national des dossiers
(NCOR) et de l'administration du centre d'assistance.
Clé cryptographique
Valeur numérique servant au contrôle des opérations de cryptographie,
notamment le déchiffrement, le chiffrement, la génération de signatures, ou
encore la validation de signatures.
Clé de contact
cryptographique (CIK)
Clé électronique ou dispositif qui peut être utilisé pour accéder au mode
sécurisé d'un équipement cryptographique.
Clé électronique
Clé stockée sur un support magnétique ou optique ou dans une mémoire
électronique, transférée par transmission électronique ou chargée dans un
équipement cryptographique.
Clé NOIRE
Clé chiffrée.
Clé ROUGE
Clé non chiffrée.
Code de comptabilité (CC)
Code numérique servant à indiquer les contrôles de comptabilité minimaux
auxquels sont assujettis les articles de matériel de sécurité des
communications (COMSEC) au sein du Système national de contrôle du
matériel COMSEC.
Code de comptabilité 1
(CC 1)
Code numérique attribué au matériel COMSEC comptable physique et
électronique faisant l'objet d'une comptabilité continue de la part du Bureau
national des dossiers (NCOR) ou d'un bureau central des dossiers (COR), en
fonction d'un numéro de série ou d'un numéro de registre, au sein du
Système national de contrôle du matériel COMSEC (SNCMC).
Code de comptabilité 2
(CC 2)
Code numérique attribué au matériel COMSEC comptable physique faisant
l'objet d'une comptabilité continue de la part du Bureau national des dossiers
(NCOR) ou d'un bureau central des dossiers (COR), en fonction de la
quantité, au sein du Système national de contrôle du matériel COMSEC
(SNCMC).
Code de comptabilité 4
(CC 4)
Code numérique attribué au matériel COMSEC comptable physique ainsi
qu'aux clés traditionnelles en format électronique qui, après réception
initiale, font l'objet d'une comptabilité locale, en fonction d'un numéro de
série ou d'un numéro de registre, au compte COMSEC responsable, au sein
du Système national de contrôle du matériel COMSEC (SNCMC).
Code de comptabilité 6
(CC 6)
Code numérique attribué à une clé électronique faisant l'objet d'une
comptabilité continue de la part du Bureau national des dossiers (NCOR) ou
d'un bureau central des dossiers (COR), en fonction d'un numéro de série ou
d'un numéro de registre, au sein du Système national de contrôle du matériel
COMSEC (SNCMC).
Novembre 2014
3
NON CLASSIFIÉ
Glossaire de termes liés à la COMSEC
Code de comptabilité 7
(CC 7)
Code numérique attribué à une clé électronique qui, après réception initiale,
fait l'objet d'une comptabilité locale en fonction d'un numéro de registre au
compte COMSEC responsable, au sein du Système national de contrôle du
matériel COMSEC (SNCMC).
Collectivité des cinq
Canada, Australie, Nouvelle-Zélande, Royaume-Uni et États-Unis.
Compromission
Accès, divulgation, destruction, suppression, modification, utilisation ou
interruption non autorisé de biens ou de renseignements.
Comptabilité locale
Processus par lequel un gardien COMSEC enregistre et contrôle, dans le
Système national de contrôle du matériel COMSEC, le matériel COMSEC
qui n’a pas besoin d’être signalé au Bureau national des dossiers.
Compte COMSEC
Entité administrative, identifiée par un numéro unique, servant à assurer la
comptabilité, la garde et le contrôle de matériel COMSEC comptable produit
par l'entité ou confié à celle-ci.
Compte COMSEC industriel
du CST (CCIC)
Entité du Centre de la sécurité des télécommunications chargée d'élaborer,
de mettre en œuvre, de maintenir, de coordonner et de surveiller le
programme de sécurité des communications d'une entreprise privée et d'en
assurer la conformité à la Politique sur la sécurité du gouvernement et aux
instruments de politique connexes aux fins de gestion du matériel COMSEC
comptable.
Conditionnement protecteur
Technique de conditionnement pour le matériel COMSEC qui décourage les
pénétrations éventuelles, révèle les pénétrations effectives et empêche la
visualisation ainsi que la copie du matériel COMSEC avant le moment où il
sera exposé aux fins d'utilisation.
CONFIDENTIEL
Niveau de classification s’appliquant à l’information dont l'éventuelle
compromission causerait, selon toute vraisemblance, préjudice à l’intérêt
national. Lorsqu'il apparaît en lettres majuscules, le terme
« CONFIDENTIEL » indique un niveau de sensibilité.
Contrôle de l'accès
Assurer l’accès autorisé aux biens à l’intérieur d’une installation ou de zones
d'accès restreint, en effectuant le triage des visiteurs et du matériel aux points
d'entrée par les membres du personnel, les gardes ou de façon automatisée
et, lorsque requis, en surveillant leur déplacement à l’intérieur de
l'installation ou des zones d'accès restreint en les accompagnant.
CRYPTO
Mise en garde et marque apposée sur un article cryptographique pour
indiquer qu'il est assujetti à des contrôles particuliers régissant l'accès, la
distribution, le stockage, la comptabilité, la disposition et la destruction.
Cryptographique
Relatif à la cryptographie.
NOTA : Fréquemment remplacé par la forme abrégée « crypto » utilisée
comme préfixe (p. ex. « cryptopériode » pour désigner une période
cryptographique).
Cryptopériode
Laps de temps spécifique durant lequel une clé cryptographique est en
vigueur.
Novembre 2014
4
NON CLASSIFIÉ
Glossaire de termes liés à la COMSEC
Déverrouillé
État d'un équipement cryptographique dont le mode sécurisé a été sollicité
(p. ex. au moyen d'une clé de contact cryptographique [CIK], d'un numéro
d'identification personnel [NIP] ou de l'usage conjoint d'une CIK ou d'un
NIP et d'un mot de passe).
Dispense
Exemption de l’obligation de se conformer à une exigence COMSEC
minimale précise, accordée par les Services à la clientèle en matière de
COMSEC.
Dispositif commun de
remplissage (CFD)
Famille d'équipements cryptographiques développés pour lire, transférer ou
stocker des clés cryptographiques (p. ex. le KOI-18, le KYK-13 et le KYX15).
Dispositif de gestion de
palier 3
Équipement cryptographique permettant de stocker, de transporter et
d’utiliser l’équipement et les systèmes cryptographiques approuvés par le
Centre de la sécurité des télécommunications.
Doctrine (Sécurité des TI)
Règles et procédures fondamentales qui gouvernent les modalités de
protection, de contrôle et d'utilisation de l'équipement, des systèmes et du
matériel de sécurité des technologies de l'information, telles qu'elles sont
promulguées par l'autorité nationale responsable.
Doctrine canadienne en
matière de cryptographie
(CCD)
Normes de sécurité minimales permettant de protéger, de contrôler et
d'utiliser l'équipement et les systèmes cryptographiques approuvés par le
Centre de la sécurité des télécommunications.
Élément local
Personne inscrite auprès d'un compte COMSEC ou d'un sous-compte
COMSEC, qui est autorisée à recevoir du matériel COMSEC provenant du
compte ou sous-compte en question.
Entente de contrôle du
matériel COMSEC
comptable (ECMCC)
Entente ayant force obligatoire conclue entre le Centre de la sécurité des
télécommunications et une entité (du gouvernement ou du secteur privé
canadien) ne figurant pas aux annexes I, I.1, II, IV et V de la Loi sur la
gestion des finances publiques, qui autorise l’acquisition, la
comptabilisation, le contrôle, la gestion et la disposition finale du matériel de
sécurité des communications.
Équipe de vérification
COMSEC à l’échelle
nationale (EVCN)
Entité du Centre de la sécurité des télécommunications chargée de mener les
vérifications COMSEC sur les comptes COMSEC au sein du Système
national de contrôle du matériel COMSEC.
Équipement
cryptographique
Équipement qui exécute les fonctions de chiffrement, de déchiffrement,
d'authentification ou de génération de clés.
Évaluation de sécurité
Processus qui consiste à s'assurer que les exigences de sécurité établies pour
un système d'information donné sont respectées et que les contrôles sont mis
en œuvre correctement, fonctionnent comme il se doit et produisent les
résultats escomptés. Terme équivalent : certification.
Évaluation des menaces et
des risques (EMR)
Processus dont l'objectif est d'identifier les biens système, d'établir dans
quelle mesure ces biens pourraient être compromis par des agents de
menace, d'évaluer le niveau de risque que représentent les agents de menace
par rapport aux biens et de recommander les mesures de protection
permettant d'atténuer les effets produits par les agents de menace.
Novembre 2014
5
NON CLASSIFIÉ
Glossaire de termes liés à la COMSEC
Exception
Dérogation à une exigence COMSEC minimale précise, accordée après
négociation par les Services à la clientèle en matière de COMSEC.
Gardien COMSEC
Personne désignée par l'autorité de sécurité des communications (COMSEC)
d'un ministère comme responsable de la réception, de l'entreposage, de la
distribution, de la comptabilité, de la disposition et de la destruction de tout
le matériel COMSEC porté au compte COMSEC du ministère, ainsi que de
l'accès à ce matériel.
Gardien du sous-compte
COMSEC
Personne désignée par l'autorité COMSEC d'un ministère comme
responsable de la réception, de l'entreposage, de la distribution, de la
comptabilité, de la disposition et de la destruction de tout le matériel
COMSEC porté au sous-compte COMSEC, ainsi que de l'accès à ce
matériel.
Gestion des clés
Procédures et mécanismes de génération, de distribution, de remplacement,
de stockage, d'archivage et de destruction des clés cryptographiques.
Incident compromettant
Incident donnant lieu à la perte de contrôle ou à l'accès physique ou visuel
non autorisé à du matériel COMSEC comptable et pouvant avoir de
fâcheuses conséquences sur la sécurité des opérations.
Incident COMSEC
Tout événement qui met en péril ou pourrait mettre en péril la sécurité de
renseignements classifiés ou protégés du gouvernement du Canada pendant
leur stockage, leur traitement, leur transmission ou leur réception.
Installation centrale
canadienne (ICC)
Entité au sein du Centre de la sécurité des télécommunications qui fournit
des services centralisés de gestion des clés cryptographiques.
Intégrité par deux personnes
(TPI)
Procédure selon laquelle les clés TRÈS SECRET et d'autres clés
particulières ne doivent jamais être manutentionnées par une seule personne
ou mises à la disposition d'une seule personne.
Intérêt national
La sécurité du Canada ainsi que sa stabilité sociale, politique et économique.
Inventaire visuel
Vérification physique de la présence de chaque article de matériel COMSEC
porté à un compte COMSEC ou à un sous-compte COMSEC.
Logique cryptographique
Implémentation d'un ou de plusieurs algorithmes cryptographiques ainsi que
d'alarmes, de contrôles et d'autres processus essentiels à l'exécution efficace
et sécurisée de processus cryptographiques.
Matériel COMSEC
Ensemble d’articles conçus pour sécuriser ou authentifier l'information de
télécommunications. Le matériel COMSEC comprend, sans s'y limiter, les
clés cryptographiques, l'équipement, les modules, les dispositifs, les
documents, le matériel informatique et les micrologiciels ou logiciels qui
comportent ou décrivent une logique cryptographique et d'autres articles qui
exécutent des fonctions COMSEC.
Matériel COMSEC
comptable (MCC)
Matériel de sécurité des communications (COMSEC) qui nécessite un
contrôle et une comptabilisation au sein du Système national de contrôle du
matériel COMSEC conformément à son code de comptabilité et dont le
transfert ou la divulgation risquerait de porter préjudice à la sécurité
nationale du Canada.
Novembre 2014
6
NON CLASSIFIÉ
Glossaire de termes liés à la COMSEC
Matériel COMSEC en cours
de réalisation (IP)
Matériel de sécurité des communications (COMSEC) en cours de
développement, de production, de fabrication ou de réparation. Voir
Matériel COMSEC.
Matériel cryptographique
Tout le matériel, y compris les documents, les dispositifs et l'équipement, qui
contient de l'information cryptographique et qui est indispensable au
chiffrement, au déchiffrement ou à l'authentification des communications.
Matériel de chiffrement
Clé, code ou information d'authentification sur support physique,
électronique ou magnétique.
Ministère du gouvernement
du Canada (GC)
Tout ministère, organisme, agence ou institution fédéral assujetti à la
Politique sur la sécurité du gouvernement.
Mis à la clé
État d'un équipement cryptographique dans lequel une clé cryptographique a
été chargée aux fins d'utilisation ou de stockage.
Mise à clé par
radiocommunication
(OTAR)
Changement d'une clé de chiffrement de trafic ou d'une clé de sécurité des
transmissions dans un équipement cryptographique éloigné en envoyant la
nouvelle clé directement à l'équipement en question sur les voies de
communication qu’elle protège.
Modification
Tout changement apporté aux caractéristiques électriques, mécaniques ou
logicielles d'une pièce d'équipement cryptographique.
Non mis à la clé
État d'un équipement cryptographique dans lequel aucune clé
cryptographique n'a été chargée aux fins d'utilisation ou de stockage.
Ordre de mission
de messager
Document qui autorise un particulier à transporter des renseignements et des
biens classifiés ou protégés.
Permutateur
Dispositif utilisé dans un équipement cryptographique pour modifier l’ordre
dans lequel les sorties du registre à décalage sont utilisées dans divers
circuits non linéaires qui les combinent.
Piste de vérification
Enregistrement chronologique des activités d'un système permettant de
reconstituer et d'examiner une séquence d'événements ou de changements
survenus dans un événement (ou les deux).
Plan de soutien lié
au matériel de chiffrement
(PSMC)
Description détaillée des exigences en matière de sécurité des
télécommunications visant un réseau cryptographique.
Produit cryptographique de
grande valeur (PCGV)
Produit contenant uniquement des composants et des algorithmes
cryptographiques NON CLASSIFIÉ. Il n’est ni classifié, ni désigné article
cryptographique contrôlé.
Remise
Processus de distribution du matériel COMSEC d'un compte COMSEC à un
sous-compte COMSEC ou à un élément local.
Remplacement
Remplacement programmé ou non d'une clé cryptographique ou d'une
publication COMSEC par une version ou édition différente.
Réseau cryptographique
Au moins deux pièces d’équipement connectées l’une à l’autre, qui utilisent
une clé cryptographique pour protéger de l'information.
Novembre 2014
7
NON CLASSIFIÉ
Glossaire de termes liés à la COMSEC
Réseau de
télécommunications
Ensemble de terminaux, de liaisons ou de nœuds connectés entre eux et
permettant les télécommunications entre les utilisateurs des terminaux.
Responsabilité
Obligation d’une personne de protéger et de contrôler le matériel COMSEC
qui lui a été confié.
ROUGE
Désignation d’un système d’information (et des circuits, composants et
équipement connexes) qui traite de l’information non chiffrée.
Scellé
Sceau de sécurité élevée antivol et inviolable apposé à un colis avant son
expédition.
Secteur privé canadien
Organisations, entreprises ou personnes du Canada qui ne sont pas
assujetties à la Loi sur la gestion des finances publiques (LGFP) et qui ne
relèvent pas d'un gouvernement provincial ou municipal.
Sécurité des communications
(COMSEC)
Application de mesures de sécurité cryptographique, de sécurité des
transmissions et des émissions, et de sécurité physique, ainsi que de
pratiques et de mécanismes de contrôle opérationnels, visant à empêcher tout
accès non autorisé à l'information issue de télécommunications et à garantir
l'authenticité desdites télécommunications.
Sécurité des technologies
de l'information
Mesures de protection visant à préserver la confidentialité, l'intégrité, la
disponibilité, l'utilisation prévue et la valeur des renseignements conservés,
traités ou transmis par voie électronique.
Segment de clé
Clé valide pendant une cryptopériode déterminée.
Services à la clientèle en
matière de COMSEC
Entité du Centre de la sécurité des télécommunications chargée de fournir
des conseils et une orientation au gouvernement du Canada ainsi qu'aux
organismes parrainés du secteur privé canadien, en vue de la planification,
de l'acquisition et de l'exploitation de produits, de matériel COMSEC et de
services d'assurance élevée.
Sous-compte COMSEC
Entité administrative désignée par un numéro unique, créée par un compte
COMSEC pour aider au contrôle du matériel COMSEC produit par le
compte COMSEC ou confié à celui-ci.
Suivi local
Processus par lequel un gardien COMSEC contrôle et surveille le
déplacement des articles de matériel liés à la COMSEC en dehors du
Système national de contrôle du matériel COMSEC.
NOTA :
Ce processus n'attribue aucun code de comptabilité.
Support de stockage
amovible (SSA)
Dispositif portable utilisé pour transporter ou stocker des données
(p. ex. disques, cartes mémoire, clés USB).
Système national
de contrôle du matériel
COMSEC (SNCMC)
Système centralisé, comprenant personnel, formation et procédures, qui
permet aux ministères du gouvernement du Canada d'exercer un contrôle
positif et d’effectuer un traitement efficace du matériel COMSEC comptable.
Technologies de
l'information (TI)
Acquisition, traitement, stockage et diffusion de l'information vocale,
graphique, textuelle et numérique au moyen d'une combinaison de matériel
informatique, de systèmes de télécommunications et d'appareils vidéo.
Novembre 2014
8
NON CLASSIFIÉ
Glossaire de termes liés à la COMSEC
Télécommunications
Transmission, émission ou réception de signaux électriques porteurs de
données par l'intermédiaire de fils, de câbles, de systèmes radios ou optiques
ou par tout autre système électromagnétique.
TEMPEST
Analyse et étude des émissions compromettantes (EC). La transmission
fortuite d’EC a pour effet de créer un canal de communication secondaire et
indésirable appelé canal TEMPEST.
Titre abrégé
Combinaison de lettres et de chiffres attribuée à des articles COMSEC pour
en faciliter la manutention, la comptabilité et le contrôle.
Transfert
Processus de distribution d'un matériel COMSEC d'un compte COMSEC à
un autre compte COMSEC.
Transfert par
radiocommunication
(OTAT)
Distribution électronique d'une clé cryptographique sans changer la clé de
chiffrement de trafic utilisée pour sécuriser la voie de communication.
Utilisateur autorisé
Aux fins des Directives en matière de sécurité, personne (autre que le
gardien, le gardien suppléant ou l’élément local) qui doit utiliser du matériel
COMSEC pour s’acquitter des tâches qui lui ont été assignées.
Vérification
Processus de revue et d'examen indépendants des enregistrements et des
activités d’un système visant à tester l’adéquation des contrôles système,
dans le but d'assurer la conformité aux politiques et aux procédures
opérationnelles établies et de recommander les modifications qui s’imposent
aux contrôles, aux politiques ou aux procédures.
Verrouillé
État d'un équipement cryptographique dont le mode sécurisé n'a pas été
sollicité (p. ex. au moyen d'une clé de contact cryptographique [CIK], d'un
numéro d'identification personnel [NIP] ou de l'usage conjoint d'une CIK ou
d'un NIP et d'un mot de passe).
Novembre 2014
9