Sécurité relative aux contracts – étapes rapides

Volet A – Aucune exigences en matière de TI (sécurité du personnel seulement)

Étapes pour le volet A :

  1. Le chargé de projet choisit une LVERS commune ou remplit une nouvelle LVERS

    Lorsqu'il y a des exigences de sécurité, l'une des premières étapes consiste à remplir une Liste de vérification des exigences relatives à la sécurité (LVERS).

    1. LVERS commune

      Si des achats d'un des outils communs des Services professionnels centralisés mis en place par Services publics et Approvisionnement Canada (SPAC), le chargé de projet doit choisir la LVERS correspondante à partir d'une LVERS commune. Le chargé de projet signe toujours la LVERS.

      Outils communs des services professionnels centralisés :

      • Services d'apprentissage
      • Arrangement en matière d'approvisionnement pour les audits professionnels (PASS-SA)
      • ProServices
      • Services professionnels en informatique centrés sur les solutions (SPICS)
      • Services professionnels centrés sur les tâches et les solutions (SPTS)
      • Services professionnels en informatique centrés sur les tâches (SPICT)

      Si le chargé de projet n'est pas certain que l'un des outils s'appliques, veuillez simplement joindre votre EDT à la DA et l'autorité contractante qui vous a été attribuée donnera des conseils sur les prochaines étapes.

    2. Nouvelle LVERS

      S'il n'utilise pas une LVERS commune, le chargé de projet devra remplir une nouvelle LVERS, préférablement en utilisant la e-LVERS décrite ci-dessous. Le chargé de projet la signe et l'envoie à l'agent de sécurité régional (ASR) approprié, ainsi qu'une ébauche de l'énoncé des travaux (EDT).  

      LVERS électronique (e-LVERS)

      Le formulaire numérique en ligne de la LVERS (e-LVERS) est un service offert dans le cadre du Programme de sécurité des contrats (PSC) à SPAC. Le formulaire e-LVERS comporte plusieurs mesures de contrôle de la qualité qui aident les utilisateurs à remplir correctement le formulaire.

      Lorsqu'utilisé, une version PDF numérique du formulaire est créée, celle-ci doit être sauvegardée et  imprimée par le chargé de projet.

      Le chargé de projet peut remplir la e-LVERS à l'aide du site Web des Services en direct de sécurité industrielle (SEDSI). (La e-LVERS est disponible dans le menu de gauche.) Les employés d'EDSC devront s'inscrire sur le site avant d'utiliser la e-LVERS, en cliquant sur le lien «S'inscrire au service en ligne pour la vérification des exigences relatives à la sécurité en ligne » dans SEDSI.

  2. L'ASR examine et signe la LVERS

    L'ASR signe, si aucun changement n'est nécessaire, ou envoi ses commentaires au chargé de projet. Une fois finalisé, l'ASR retourne ensuite la LVERS signée au chargé de projet. Lorsque possible, l'ASR déterminera les clauses de sécurité appropriées qui devront être insérées dans le contrat (et dans la sollicitation s'il y a lieu).

  3. Le chargé de projet envoie la LVERS signée et les clauses de sécurité à l'autorité contractante. (ou les attaches à la DA, accompagné de l'EDT et autres documents pertinents si la DA n'a pas déjà été faite)
  4. L'autorité contractante (Le spécialiste en approvisionnement de la DGDPF) examine la LVERS et l'EDT et confirme que les boîtes de signature sont remplies correctement. L'autorité contractante signe aussi la LVERS.
  5. S'il y a lieu, l'autorité contractante émet ensuite la sollicitation. Notez que si une clause de sécurité normalisée n'a pas déjà été fournie avec la LVERS, le spécialiste en approvisionnement de la DGDPF peut utiliser la page du LVERS commune des services professionnels centralisés pour identifier la clause appropriée.
  6. L'autorité contractante demande une validation des attestations de sécurité Suivant le processus d'acquisition (demande de soumission ou fournisseur unique négocié), une fois que le fournisseur a été sélectionné, l'autorité contractante demandera une confirmation, conformément à ce qui suit, que l'entrepreneur et les ressources proposées répondent aux exigences en matière de sécurité.
  7. La SECPER confirmera que le personnel a l'attestation de sécurité appropriée et informera l'autorité contractante. Pour la validation du personnel seulement, l'autorité contractante enverra les détails pertinents par courriel au groupe Sécurité du personnel (SECPER) à l'adresse suivante :
    NC-INTEGRITY_SERVICES_SECPER-SERVICES_INTEGRITE_ASR-GD

    Il est à noter que si la passation de marchés avec un fournisseur étranger est effectuée, SPAC doit effectuer la validation de sécurité, car il existe des processus spéciaux à cette fin.

    Si le fournisseur n'est pas encore inscrit au programme, l'autorité contractante doit alors remplir et signer une Demande d'enquête de sécurité sur une organisation du secteur privé (ESOSP). La plus grande partie de formulaire est typiquement rempli par l'organisation du secteur privé ou le chargé de projet. Puis, le formulaire de l'ESOSP sera signer par le personnel de sécurité de la SECPER, et envoyé au PSC par l'autorité contractante à :

    TPSGC.SSIINSCRIPTION-ISSREGISTRATION.PWGSC

    Voir le Formulaire de demande d'enquête de sécurité sur une organisation du secteur privé pour plus de détails.

  8. L'autorité contractante attribue le contrat
    Une fois les attestations de sécurité obtenues, l'autorité contractante attache la LVERS au contrat et envoie le contrat au fournisseur.

Volet B – Avec des exigences en matière de TI (autorisation de traiter les TI)

Une autorisation de traiter des données électroniques est nécessaire quand la case « Oui » du blocs 11 a) et d) » de la LVERS sont cochée. Cela indique que l'entrepreneur travaillera sur des données protégées ou classifiées sur leurs propres systèmes de TI.

Étapes du volet B :

  1. Le chargé de projet choisit une LVERS commune ou remplit une nouvelle LVERS
    Lorsqu'il y a des exigences de sécurité, l'une des premières étapes consiste à remplir une Liste de vérification des exigences relatives à la sécurité (LVERS).
    1. LVERS commune

      Si l'on effectue des achats d'un des outils des Services professionnels centralisés mis en place par Service public et Approvisionnement Canada (SPAC), le chargé de projet doit choisir la LVERS correspondante à partir d'une LVERS communes. Le chargé de projet signe toujours la LVERS.

      Outils des Services professionnels centralisés :

      • Services d'apprentissage
      • Arrangement en matière d'approvisionnement pour les audits professionnels (PASS-SA)
      • ProServices
      • Services professionnels en informatique centrés sur les solutions (SPICS)
      • Services professionnels centrés sur les tâches et les solutions (SPTS)
      • Services professionnels en informatique centrés sur les tâches (SPICT)

      Si le chargé de projet n'est pas certain que l'un des outils s'appliques, veuillez simplement joindre votre EDT à la DA et l'autorité contractante qui vous a été attribuée, vous avisera des prochaines étapes.

    2. Nouvelles LVERS

      S'il n'utilise pas une LVERS commune, le chargé de projet devra remplir une nouvelle LVERS, préférablement en utilisant la e-LVERS décrite ci-dessous. Le chargé de projet le signe et l'envoie à l'agent de sécurité régional (ASR) approprié, accompagné d'une ébauche de l'énoncé des travaux (EDT).

      LVERS électronique (e-LVERS)

      Le formulaire de LVERS numérique en ligne (e-LVERS) est un service offert dans le cadre du Programme de sécurité des contrats (PSC) à SPAC. Le formulaire e-LVERS comporte plusieurs mesures de contrôle de la qualité qui aident les utilisateurs à remplir correctement le formulaire. Lorsqu'il est utilisé, une version PDF du formulaire est créée, celle-ci doit être sauvegardée et  imprimée par le chargé de projet.

      Le chargé de projet peut remplir la e-LVERS à l'aide du site Web des Services en direct de sécurité industrielle (SEDSI). (La e-LVERS est disponible dans le menu de gauche.) Les employés d'EDSC devront s'inscrire sur le site avant d'utiliser la e-LVERS, en cliquant sur le lien « S'inscrire au service en ligne pour la vérification des exigences relatives à la sécurité en ligne » dans le SEDSI.

      Lorsqu'une e-LVERS est utilisée, signée conformément, et envoyée à SPAC pour fins de traitement,  la  norme de service est de 2 jours plutôt que les 14 jours habituels.

      Lien électronique

      Dans la boîte 11e) de la LVERS, on demande s'il y aura un lien électronique. SPAC a indiqué qu'un lien TI, comme on l'entend dans la boîte 11e), est « une ligne louée ou attribuée en propre ». EDSC aura rarement ce type de connexion, pour ne pas dire jamais.

  2. L'ASR examine et signe la LVERS si aucun changement n'est nécessaire. Puisqu'il y a des exigences en matière de sécurité des TI, l'ASR envoie la LVERS et l'EDT au groupe de Sécurité des TI au sein de la Direction générale de l'innovation, de l'information et de la technologie (DGIIT). L'ASR envoie les documents au groupe de Sécurité de la TI à l'adresse : NC-ITSRM-STIGR-GD
  3. La sécurité de la TI examine et signe la LVERS

    La Sécurité de la TI examine et signe la LVERS et retourne la version signée à l'ASR ainsi qu'une évaluation de la sécurité de la TI avec les exigences de sécurité des TI qui doivent être insérées dans l'EDT.

    Information sur l'évaluation de la sécurité de la TI

    Pour les contrats où le fournisseur travaillera sur les documents protégés ou classifiés stockés sur leurs propres systèmes informatiques, la DGIIT fournira une évaluation technique de la TI avec des conseils et des instructions pour la gestion de l'exigence. Le chargé de projet doit s'assurer que l'énoncé des travaux comprend les exigences appropriées en matière de sécurité de la TI énoncées dans l'évaluation. Ces exigences en matière de sécurité sont des instructions que l'entrepreneur doit suivre sur l'identification, l'utilisation appropriée des réseaux de l'entrepreneur, l'accès aux données visibles, l'entreposage et l'élimination des supports informatiques.

  4. L'ASR retourne la LVERS au chargé de projet ainsi que l'évaluation de sécurité de la TI qui contient les exigences de sécurité de la TI à insérer dans l'EDT.
  5. Le chargé de projet envoie la LVERS signée à l'autorité contractante. (ou les attaches à la DA, ainsi qu'à l'EDT et autres documents pertinents si la DA n'a pas déjà été faite)
  6. L'autorité contractante (Le spécialiste en approvisionnement de la DGDPF)  examine la LVERS et l'EDT et confirme que les boîtes de signature sont remplies correctement. L'autorité contractante signe la LVERS et l'envoie avec l'EDT au Programme de sécurité des contrats (PSC) à SPAC.

    Soumettre la LVERS à PSC à : TPSGC.SSILVERS-ISSLVERS.PWGSC

  7. PSC signera ensuite la LVERS et la retourne ainsi que toutes les clauses de sécurité appropriées
    L'autorité contractante insérera ces clauses dans le contrat (ou le contrat planifié s'il y a une sollicitation).
  8. Le processus de demande de soumissions est alors enclenché. Après le processus d'approvisionnement (demande de soumissions, négociation), une fois que l'entrepreneur aura été choisi, l'autorité contractante confirme que l'entrepreneur et les ressources proposées répondent aux exigences en matière de sécurité.
  9. La SECPER confirmera que le personnel a l'attestation de sécurité appropriée et en informera l'autorité contractante.

    Pour la validation du personnel seulement, l'autorité contractante enverra les détails pertinents par courriel au groupe Sécurité du personnel (SECPER) à l'adresse suivante :

    NC-INTEGRITY_SERVICES_SECPER-SERVICES_INTEGRITE_ASR-GD

    Il est à noter que si la passation de marchés avec un fournisseur étranger est effectuée, SPAC doit effectuer la validation de sécurité, car il existe des processus spéciaux à cette fin.

    Si le fournisseur n'est pas encore inscrit au programme, l'autorité contractante doit alors remplir et signer une Demande d'enquête de sécurité sur une organisation du secteur privé (ESOSP). La plus grande partie de formulaire est typiquement rempli par l'organisation du secteur privé ou le chargé de projet. Puis, le formulaire de l'ESOSP sera signer par le personnel de sécurité de la SECPER, et fait parvenir au PSC par l'autorité contractante à :

    TPSGC.SSIINSCRIPTION-ISSREGISTRATION.PWGSC

    Voir le Formulaire de demande d'enquête de sécurité sur une organisation du secteur privé pour plus de détails.

  10. Une fois les attestations de sécurité obtenues, l'autorité contractante attache la LVERS au contrat et envoie le contrat au fournisseur.
  11. PSPC-PSC effectue l'attestation de sécurité pour l'autorisation de traitement de la TI
    Étant donné qu'une autorisation de traitement de la TI est requise, l'autorité contractante enverra l'information de l'entrepreneur, l'information de tous sous-traitants, et une copie du contrat au PSC de Services publics et Approvisionnement Canada (SPAC) pour fins de validation des attestations de sécurité requises.

    Faire parvenir ces documents à :  SSICONTRATS.ISSCONTRACTS

    La norme de service de SPAC pour les autorisations de traitement de données électroniques est de 30 jours ouvrables pour une entreprise située dans la RCN et jusqu'à 90 jours ouvrables pour une entreprise située à l'extérieur de la RCN. Dans le cas des entreprises qui ont déjà été approuvées, le processus est habituellement plus rapide.

Délais généraux

  • Sécurité du personnel – jusqu'à 5 jours
  • Pouvoir de traiter la TI (RCN) – jusqu'à 30 jours ouvrables
    • Pouvoir de traiter la TI (extérieur de la RCN) – jusqu'à 90 jours ouvrables
  • Inscrire un nouveau fournisseur pour une habilitation de sécurité – jusqu'à 6 mois
  • Attestation de sécurité d'installation (ASI) – 6 mois ou plus

Références EDSC

Guide de la sécurité relative aux contrats

Références SPAC

Ressources liées à la Sécurité relative aux contrats

Navigation dans le Programme de sécurité de SPAC (tableau de liens)

Feuille de route de la Sécurité des contrats

Courriels du programme de sécurité

Courriel pour les demandes de renseignements généraux au PSC :
ssi-iss

Soumettre un formulaire d'enquête de sécurité sur le personnel :
ssidsfpformulaires-.isspssdforms

Soumettre la LVERS :
TPSGC.SSILVERS-ISSSRCL.PWGSC

Soumettre un formulaire de Demande d'enquête de sécurité sur une organisation du secteur privé :
TPSGC.SSIINSCRIPTION-ISSREGISTRATION.PWGSC

Présentation d'une copie d'un contrat attribué :
TPSGC.SSICONTRATS-ISSCONTRACTS.PWGSC

Demande d'une autorisation de traiter des données électroniques :
SSICONTRATS.ISSCONTRACTS

Inscription aux Services en direct de sécurité industrielle (SEDSI) :
TPSGC.SSISEDSISensibilisation-ISSOLISSOutreach.PWGSC

Sécurité des contrats internationaux, demandes de visite et transfert de renseignements et de biens protégés et classifiés : ssivisites-.issvisits