Outil canadien de cybersécurité

L'Outil canadien de cybersécurité (OCC) et sa version 2.0 sont des outils virtuels d'auto-évaluation créés par Sécurité publique Canada en collaboration avec le Centre de la sécurité des télécommunications (CST) et le Centre canadien de cybersécurité (Centre pour la cybersécurité). Ces outils ont été spécialement conçus pour permettre aux propriétaires et aux exploitants d'infrastructures essentielles (IE) du Canada de faire une évaluation courte et facile, leur donnant un aperçu de leur résilience opérationnelle et de la cybersécurité et des résultats comparatifs dans l'ensemble du secteur.

OCC et OCC 2.0

L'outil original a été créé pour les organisations qui voulaient effectuer une évaluation virtuelle de base de leur résilience en cybersécurité. Après 38 questions (environ 1 heure), l'outil présente une évaluation de l'approche technique et de programme en cybersécurité.

La version 2.0 est un aperçu plus approfondi de l'approche en cybersécurité. Cette version pose plus de 100 questions ciblées. De plus, l'outil présente un genre de classement avec l'Institut national des normes et de la technologie pour chaque fonction. Cette évaluation prend environ 2 heures à compléter.

Qui peut utiliser l'Outil?

L'outil a été créé en tenant compte précisément des propriétaires et des exploitants d'IE au Canada. Si vous voulez savoir si votre organisation est admissible, consultez Partenaires en matière d'infrastructures essentielles pour obtenir plus de renseignements.

Fonctionnement

L'OCC et sa version 2.0 sont des évaluations des programmes et des pratiques d'une organisation qui posent des questions sur les incidents cybernétiques que l'organisation a subis et sur la résilience technique et des programmes.

Chaque évaluation est divisée en catégorie précise et définie. Des liens sont inclus pour donner des conseils et de l'information supplémentaires.

L'outil 2.0 s'ajoute au succès de la première évaluation. Le 2.0 pose des questions et présente un groupe de réponses associées. Chaque réponse aide à évaluer la résilience de l'organisation. Après avoir terminé l'évaluation, un rapport est envoyé à l'organisation à l'intérieur des cinq jours ouvrables suivants.

Après l'auto-évaluation

Après l'évaluation, les participants recevront un rapport avec des conseils sur chaque thème de la cybersécurité discuté. Les participants recevront également une note en fonction des résultats comparatifs d'autres organisations.

Comment l'outil aide

En plus des résultats de l'auto-évaluation et de l'aperçu comparatif de la posture de cybersécurité de l'organisation, les participants recevront des conseils pour améliorer leur résilience en cybersécurité dans les domaines évalués.

Après l'évaluation, les résultats serviront à nous informer de la situation en cybersécurité des industries canadiennes. De plus, les résultats aideront Sécurité publique et le Centre de cybersécurité à adapter la prochaine génération de produits et de services pour répondre aux besoins des infrastructures essentielles du pays.

Utiliser l'OCC ou la version 2.0

Si vous pensez que l'OCC (ou la version 2.0 plus approfondie) serait un avantage pour votre organisation, communiquez avec nous pour obtenir un nom d'utilisateur et un mot de passe ou des renseignements supplémentaires.

Les résultats de cette auto-évaluation seront accessibles seulement à certains membres précis de Sécurité publique Canada et du Centre canadien de cybersécurité, dont les responsables de l'administration du programme et de l'élaboration de la base de données nationale sur la cybersécurité.

Toutes les réponses à l'auto-évaluation sont confidentielles, mais resteront assujetties aux dispositions de la Loi sur l'accès à l'information.

Compte tenu de ces obligations, l'auto-évaluation évite de poser des questions qui obligent les participants de divulguer des renseignements liés à l'identité de l'organisation, dont des noms, des organisations, des courriels ou des adresses IP.

Discussions sur les infrastructures essentielles : L'Outil canadien de cybersécurité

Transcription

Bonjour et bienvenue aux discussions sur les infrastructures essentielles. Aujourd'hui, nous allons vous parler de l'Outil canadien de cybersécurité, autrement connu sous le nom de OCC.

Souhaitez-vous apporter des améliorations tangibles à la cyber-résilience de votre organisation? Voulez-vous vous assurer que votre organisation dispose des connaissances et des moyens pour garantir un environnement de travail cyber-sécurisé ? Vous ne savez pas par où commencer ?

Sécurité publique Canada offre une série d'évaluations physiques et cybernétiques pour les organisations des infrastructures essentielles. Avec l'apparition de la pandémie de COVID-19, nous avons réexaminé notre approche de ces évaluations afin de redéfinir cet engagement important.

Né d'une collaboration avec le Centre canadien pour la cybersécurité, l'Outil canadien de cybersécurité a été développée et est maintenant disponible pour les organisations canadiennes à travers les 10 secteurs d'infrastructures essentielles.

l'Outil canadien de cybersécurité est une auto-évaluation de la cybersécurité, qui est volontaire, fait en ligne et facile à utiliser. Elle prend moins d'une heure à remplir et fournit aux participants des résultats comparatifs sur le rendement de leur organisme par rapport à d'autres entités du même secteur. Les organisations qui utilisent l'outil reçoivent des identifiants de connexion uniques et l'auto-évaluation a été conçue pour éviter la collecte d'informations d'identification telles que des noms, des organisations, des adresses électroniques ou des adresses IP.

Cet outil est conçu pour permettre aux organisations d'évaluer leurs programmes et pratiques de cybersécurité dans trois catégories distinctes. Notamment, l'information organisationnelle, la résilience technique et la résilience du programme. Chaque catégorie est précédée d'une brève explication de la série de questions et oriente les utilisateurs vers des conseils et des informations, comme la publication du Centre canadien pour la cybersécurité intitulée, Contrôles de cybersécurité de base pour les petites et moyennes organisations. Aucune question de l'outil ne permet d'identifier les organisations.

Puisque l'enquête est conçue pour évaluer les programmes et les pratiques de l'organisation dans son ensemble, des représentants de toutes les sections d'une organisation devraient être présents, en personne ou virtuellement, ou consultés pour donner leur avis lorsqu'ils répondent à l'évaluation.

Lorsque l'organisation a terminé l'évaluation, elle reçoit un rapport qui comprend des conseils et des recommandations liés à chaque thème de cybersécurité, un score propre à l'entité et des résultats comparatifs avec d'autres organisations du même secteur et sous-secteur.

Actuellement, l'outil est ouvert exclusivement aux membres canadiens des 10 secteurs d'infrastructures essentielles et à certains de nos partenaires comme ceux dans les milieux académiques.

Les organisations qui souhaitent utiliser l'outil peuvent trouver plus d'informations en visitant la page web de l'Outil canadien de cybersécurité sur Canada.ca, ou en contactant l'équipe des cyberengagements de Sécurité publique Canada à cyberassessments-evaluationscyber@ps-sp.gc.ca.

Date de modification :