Lignes directrices pour un bureau bien organisé d'EDSC : Sécuriser votre environnement de travail

Une culture de sécurité forte et durable exige que tous les employés adoptent les meilleures pratiques dans le cadre de leurs activités quotidiennes afin de protéger les informations et les biens qui leur sont confiés, quel que soit leur lieu de travail. L'une de ces meilleures pratiques consiste à appliquer en permanence le principe du "bureau bien organisé" afin d'éviter la divulgation non autorisée d'informations sensibles et la perte de biens ministériels.

Les Lignes directrices sur le bureau bien organisé constituent une référence rapide pour clarifier les responsabilités et aider les employés à s'assurer que les informations, documents et biens de nature sensible du département sont correctement stockés et protégés lorsque les employés sont absents de leur poste de travail ou de leur environnement de travail à distance. Le respect de ces lignes directrices contribuera à réduire le risque d'incidents de sécurité concernant les informations et les biens du ministère et à maintenir une solide culture de la sécurité à EDSC. Les lignes directrices visent également à sensibiliser les employés à la protection des informations sensibles et des biens du ministère, tant au bureau qu'à distance.

Les lignes directrices sont divisées par environnement de travail afin que tous les différents environnements de travail soient décrits et que les employés soient informés de manière adéquate sur la façon d'être outillée et conforme aux bonnes pratiques de sécurité dans l'environnement dans lequel ils travaillent.

Les présentes lignes directrices s'appliquent à tous les employés (y compris les employés nommés pour une période indéterminée, les employés nommés pour une période déterminée, les employés occasionnels, les entrepreneurs et les étudiants) qui :

• Utilisent l'espace dans les locaux d'Emploi et Développement social Canada (EDSC) (par exemple : les bureaux de travail, les centres de Service Canada et les centres de traitement et d'appel) ;
• Traitent l'information appartenant ministère ; et
• Travaillent avec les biens du ministère (dans n'importe quel lieu de travail, au bureau ou à distance).

Ces lignes directrices sont révisées en permanence et reflètent la réalité du travail des employés d'EDSC ainsi que les comportements à adapter pour garantir que le maximum d'efforts soit fait pour assurer la sécurité des informations et des biens d'EDSC dans tous les environnements de travail :

• Bureau assigné (p. ex. obligation de prendre des mesures d'adaptation) : Travailler à partir d'un bureau assigné, dans les locaux d'EDSC, y compris les Centres Service Canada.
• Bureau non assigné (bureaux partagés) : Travailler dans les locaux d'EDSC à partir d'un espace de bureau qui a été réservé pour une période de temps spécifique.
• Bureau mobile : Travailler dans un espace public qui n'est pas normalement utilisé pour le travail (par exemple lorsqu'un employé travaille dans les transports en commun, dans un aéroport, dans une chambre d'hôtel ou dans un café). Le travail mobile nécessite toujours, au minimum, l'approbation de votre gestionnaire.
• Bureau à la maison : Comprends à la fois le télétravail (modalité de travail flexible dans la directive sur le télétravail publiée par le SCT) et le travail à distance (modalité de travail par laquelle l'employeur a demandé à l'employé d'effectuer une partie ou la totalité de ses tâches professionnelles en dehors du lieu de travail désigné).

Ces directives doivent être consultées en même temps que les Lignes directrices approfondies pour un bureau bien organisé et les mesures de sécurité soulignées dans l'outil de catégorisation de l'information.

Les employés d'EDSC peuvent demander de travailler à partir de différents lieux. Quel que soit l'environnement, le maintien de la sécurité des informations et des biens du ministère est primordial et des mesures supplémentaires peuvent être requises pour les personnes travaillant à distance.

Il y a quatre (4) lieux de travail décrits dans ces directives. Référez-vous à celui qui représente l'environnement dans lequel vous travaillez.

• 5.1  Si vous travaillez dans un poste de travail ASSIGNÉ dans un bureau d'EDSC, vous devez :

  • Éviter l'accumulation de débarras sur votre bureau. Garder un bureau bien organisé permet de s'assurer qu'aucune information sensible n'est accidentellement laissée exposée.
  • Mettre en sécurité toutes les informations protégées A et B dans un  casier approuvé par la sécurité, conformément à l'outil de catégorisation de l'information (les documents protégés ne doivent jamais être laissés non sécurisés sur votre poste de travail, même si vous vous éloignez de votre bureau pour de courtes périodes).
  • Sécuriser tous les renseignements protégés C et classifiés (confidentiel, secret, très secret) dans des classeurs appropriés approuvés par la GRC, conformément à l'outil de catégorisation de l'information d'EDSC.
  • Être conscient des personnes qui travaillent autour de vous et assurez-vous que toutes informations sensibles sont sécurisées (il peut s'agir de collègues qui n'ont pas le besoin de savoir).
  • Veiller à ce que les biens du Ministère (ordinateurs portables, tablettes, clé USB cryptée approuvée et ordinateurs) soient sécurisés et verrouillés dans un casier lorsqu'ils ne sont pas utilisés et à la fin de la journée (et lorsqu'ils sont éloignés du bureau pendant une période prolongée). Si ce n'est pas possible, l'employé doit utiliser un câble de sécurité approuvé (dans la mesure du possible) pour sécuriser l'appareil - même sur sa station d'accueil.
  • Sécuriser les informations sur votre ordinateur (chaque fois que vous vous éloignez de votre poste de travail) à l'aide de la fonction «Ctrl+Alt+Del, puis Entrée» ou «+L».
  • Protéger vos objets de valeur personnels pour éviter les vols. Gardez les clés des bureaux et des armoires sur vous ou sous clé à tout moment.
  • Veiller à ce que votre poste de travail et son environnement (tableau blanc, etc.) soient exempts de toute information sensible visible, y compris, mais sans s'y limiter : les identifiants ou mots de passe des utilisateurs, les combinaisons de verrouillage et la combinaison du coffre-fort, les contrats ou informations financières, les données personnelles/protégées des clients, les informations ou dossiers des employés, les codes d'alarme.  Rappelez-vous que les identifiants, mots de passe ou combinaisons de verrouillage ne doivent jamais être écrits sur des "notes autocollantes" et affichés sur votre ordinateur ou sous votre clavier.
  • Déchiqueter les documents sensibles à l'aide des déchiqueteuses approuvées par la GRC (en fonction de la classification du document selon l'outil de catégorisation de l'information) ou placer les déchets sensibles dans des contenants d'élimination sécuritaires et approuvés.
  • Utiliser la fonction NIP pour imprimer des documents sensibles (obligatoire). Veillez à ce que les documents sensibles imprimés et télécopiés ne soient jamais laissés sur les imprimantes ou les télécopieurs.
  • Informer vos collègues de votre absence (à l'aide d'une carte d'absence de l'occupant) lorsque vous partez pour une période prolongée.
  • Lorsque vous utilisez des salles de réunion, effacer tous les tableaux électroniques, retirer toutes les pages des tableaux de conférence contenant des informations sensibles et veiller à vous déconnecter des ordinateurs après la réunion.  Vous ne devez pas non plus prendre de photos des notes de réunion au  tableau ou de toute information sensible avec un téléphone portable personnel ou professionnel.
• 5.2  Si vous travaillez dans un poste de travail NON ASSIGNÉ (bureaux partagés) dans un bureau d'EDSC, vous devez :

  Suivre les directives comme indiqué ci-dessus dans un poste de travail ASSIGNÉ et aussi vous devez :

  • S'assurer à ce que les biens d'EDSC (ordinateur portable ou tablette) et les autres appareils électroniques portables du département soient sécurisés en permanence en les verrouillant dans un casier ou avec un câble de sécurité approuvé, dans la mesure du possible, lorsque vous vous éloignez du bureau.
  • Retirer tout, y compris les effets personnels, du poste de travail à la fin de la journée et assurez-vous de suivre l'outil de catégorisation de l'information pour le transport, la manipulation et l'entreposage appropriés des informations du département si vous apportez avec des documents papier avec vous.
• 5.3  Si vous travaillez à distance ou en télétravail au Canada, vous devez :

  • Compléter le formulaire d'attestation de sécurité relatif au travail à distance et le télétravail (ADM5019) (PDF, 118 Ko) (s'ouvre sur une nouvelle fenêtre)et envoyer le formulaire rempli par voie électronique à votre gestionnaire ou remplissez-le directement dans PeopleSoft.
  • Compléter le formulaire de prêt de matériel appartenant au ministère (ADM 3004) (PDF, 96 Ko) (s'ouvre sur une nouvelle fenêtre) pour identifier tous les biens du ministère, y compris la liste des numéros des biens, qui seront utilisés dans votre environnement de travail . Cela comprend tous les équipements et biens qui ont été empruntés au ministère (moniteurs, ordinateurs portables, etc.). Envoyer le formulaire complété à votre gestionnaire pour approbation.
  • Appliquer les meilleures mesures de sécurité à appliquer lors du travail à distance
  • Être conscient de ceux qui travaillent autour de vous et assurez-vous que vos informations sensibles sont sécurisées (il peut s'agir de visiteurs, de membres de votre famille ou d'amis).
  • Travailler avec l'information Protégé A et B électroniquement plutôt que papier.  Il est strictement interdit d'imprimer des documents de travail Protégé à distance.
    • Si l'impression de documents sur votre lieu de travail à distance ou de télétravail constitue une partie essentielle de vos fonctions et que les circonstances sont telles qu'il n'y a pas d'autres alternatives, votre gestionnaire devra demander l'approbation du Dirigeant principal de la sécurité.
  • Si vous travaillez avec des documents papier Protégé B, ils doivent être entreposés dans des casiers approuvés fermant à clé, comme indiqué dans l'outil de catégorisation de l'information d'EDSC.  Parler à votre gestionnaire :
    • Si vous devez déchiqueter des documents papier contenant de l'information protégée, conformément à l'outil de catégorisation de l'information, vous devez apporter les documents dans un bureau d'EDSC (ou prendre les dispositions nécessaires avec votre gestionnaire) en utilisant les contenants appropriés pour transporter les documents.
  • Utiliser le système de collaboration des documents de nature délicate (SCDND)  d'EDSC lorsque vous travaillez avec des informations très sensibles (Protégé C, Confidentiel ou Secret).
    • Contactez les coordonnateurs du SCDND de la direction générale ou de la région pour y accéder.
  • Obtenir l'approbation du Dirigeant principal de la sécurité et de votre SMA lorsque vous apportez ou stockez des documents papier très sensibles (Protégé C, Confidentiel ou Secret) sur votre lieu de travail à distance. Les documents très secrets ne peuvent pas être utilisés pour travailler à distance.
  • Sécuriser tous les renseignements protégés C et classifiés (confidentiel, secret, très secret) dans des classeurs ou des casiers appropriés approuvés par la GRC, conformément à l'outil de catégorisation de l'information d'EDSC.
    • Demandez à votre gestionnaire l'autorisation d'acquérir un classeur ou un casier approuvé par la GRC.
    • Déchiquetez les documents sensibles à l'aide des déchiqueteuses approuvées par la GRC (selon la classification du document) ou placez les documents sensibles dans des contenants d'élimination sécuritaires et approuvés ; les documents classifiés doivent être détruits conformément au Guide de catégorisation de l'information.
  • Veiller à ce que tout équipement du ministère sous votre responsabilité soit stocké en toute sécurité à tout moment. Si possible, choisissez une pièce fermée, verrouillable et désignée pour effectuer des activités liées au travail. Dans la mesure du possible, rangez les appareils électroniques portables du ministère (p. ex. téléphone cellulaire, clé USB cryptée approuvée, tablette, etc.) dans des armoires verrouillées lorsqu'ils ne sont pas utilisés.
  • Assurez-vous que les mécanismes de verrouillage des portes et les fenêtres de tous les points d'accès de votre domicile ou de votre environnement de travail à distance soient en état fonctionnel.
  • Éviter que les membres de votre famille ou d'autres personnes non autorisées utilisent vos appareils de travail.
  • Sécuriser les informations sur votre ordinateur (chaque fois que vous vous éloignez) en verrouillant votre poste de travail à l'aide de à l'aide de la fonction «Ctrl+Alt+Del, puis Entrée» ou «+L».
  • Vous assurez que les mots de passe/codes d'accès ne sont pas affichés ou partagés avec d'autres occupants et/ou visiteurs de votre lieu de travail à distance ou de télétravail. Rappelez-vous que les codes d'utilisateur, les mots de passe ou les combinaisons de verrouillage ne doivent jamais être écrits sur des "notes autocollantes" et affichés sur votre ordinateur ou sous votre clavier.
  • À la fin de la journée de travail, si vous utilisez le VPN, rester connecté via le VPN et "déconnectez-vous" de votre poste de travail ; ou, si vous utilisez AppGate, choisissez "Déconnexion" pour terminer votre session AppGate.
• 5.4  Si vous travaillez dans un environnement de travail MOBILE (Café, restaurant, hôtel, aéroport, etc.), vous devez :

  • Sécuriser votre équipement ministériel et ne jamais laisser votre ordinateur portable ou tout autre appareil électronique sans surveillance.
  • Travailler uniquement sur des informations non classifiées. Il est interdit de travailler avec des informations protégées (A et plus) dans un environnement de travail en espace ouvert (cela s'applique aux documents électroniques et papiers).
  • Vous méfiez de " l'espionnage au-dessus de l'épaule ". Dans la mesure du possible, cachez votre écran aux personnes qui se trouvent à proximité afin de garantir la protection des informations du ministère.
  • Dans la mesure du possible, vous connectez au réseau à partir d'une connexion WIFI sécurisée.
  • Lorsque vous êtes prêt à vous déconnecter, vous assurez de vous déconnecter de votre connexion VPN ou de votre session AppGate.

La décision d'autoriser le télétravail à l'étranger est à la discrétion du Le Comité de gestion de l'effectif du groupe EX (CGE EX.) après examen des risques. Le processus de vérification comprend une consultation avec la sécurité, les relations de travail et l'équipe de la santé et sécurité au travail dans l'évaluation globale de la demande.

Toutes les ententes de télétravail à l'étranger doivent être préapprouvées avant la date du voyage et le début de toute activité de télétravail. Les employés et les gestionnaires doivent suivre la procédure de télétravail à l'étranger.

L'équipe de la sécurité ministérielle examine actuellement les mécanismes en place visant à vérifier la conformité de ces directives dans un environnement de travail à distance, de télétravail ou de travail mobile.

La conformité à ces directives dans un environnement de travail assigné est vérifiée par des inspections de sécurité après les heures de travail, lorsque les employés sont absents du lieu de travail.

Conformément au Code de pratique d'EDSC, les gestionnaires sont également responsables de ce qui suit :

• Veiller à ce que leurs employés appliquent de bonnes pratiques en matière de sécurité, notamment les lignes directrices pour un bureau bien organisé.
• Signaler la perte ou le vol d'informations ou de biens d'EDSC en utilisant le processus de signalement des incidents de sécurité.

Le matériel de référence suivant peut être utilisé pour vous aider à protéger les informations et les biens d'EDSC :

• Protection des renseignements d'EDSC
• Outil de catégorisation de l'information
• Code de pratique de sécurité à EDSC
• Services du Dirigeant principal de la sécurité (DPS)
• Formation en matière de sécurité
• Signalement des incidents de sécurité
• Impression sécurisée
• Politique sur la sécurité du gouvernement
• Demande de télétravail à l'étranger
• Les meilleures mesures de sécurité à appliquer lors du travail à distance

Compte tenu de l'environnement opérationnel et de la nature du travail de certains programmes d'EDSC, l'application de ces lignes directrices peut être impossible dans certains domaines en raison de la grande quantité d'informations sensibles traitées quotidiennement. En voici quelques exemples :

• Centres d'opérations
• Zones de production
• Centres de traitement (passeports)
• Salles de courrier
• Salles d'archives avec postes de travail

Étant donné que les lignes directrices relatives au bureau bien organisé ne sont pas réalisables sur le plan opérationnel dans ces zones, des exigences minimales de sécurité (section 10) sont requises pour assurer la protection des informations sensibles.

Dans le cadre de son rôle de surveillance, le Dirigeant principal de la sécurité (DPS) doit évaluer le type d'informations et les mesures de sécurité en place dans les zones demandant des dérogations aux lignes directrices, afin de s'assurer qu'elles répondent aux exigences minimales de sécurité, et approuver les mesures de sécurité en place dans ces zones.

Un formulaire de demande d'exemption aux Lignes directrices pour un bureau bien organisé (PDF, 498 Ko) (s'ouvre sur une nouvelle fenêtre) doit être rempli et envoyé au bureau de sécurité régional du lieu d'exemption qui examinera et validera les informations et transmettra la demande au DPS.

Le DPS examinera alors la demande d'exemption et approuvera ou refusera (avec des commentaires) un emplacement comme étant exempté de l'application des Lignes directrices.

Au minimum, les exigences de sécurité suivantes doivent être en place dans toutes les zones exemptées des directives de bureau bien organisé :

• Systèmes de contrôle des cartes d'accès et accès restreint
• Système d'alarme anti-intrusion surveillé pendant les heures de silence.