Arrangement en matière d'approvisionnement en cyberprotection (AMAC)
*AVIS DE CHANGEMENT IMPORTANT AU PROGRAMME
Services offerts jusqu'à la fermeture du projet
L'AMAC vise à appuyer le GC dans l'atteinte d'une posture de sécurité évoluée conforme à l'orientation stratégique actuelle et lui permettre de réagir de manière appropriée aux menaces et aux risques actuels. Les objectifs de l'AMAC sont les suivants :
- offrir un outil souple et universel permettant de faciliter l'acquisition, par les ministères et organismes du gouvernement, des services de haute qualité en sécurité des TI;
- accroître la capacité de soutien technique du CSTC, afin qu'il puisse aider les ministères et les organismes en leur donnant accès aux expertises appropriées tout en ayant l'assurance que les fournisseurs ont les qualités requises pour le travail à réaliser;
- assurer, outre les services techniques, des services de consultation en gestion afin d'aider la haute direction des ministères au sujet des questions comme les ententes de responsabilisation, la division des responsabilités et la sensibilisation accrue à l'égard de la sécurité.
L'AMAC se compose de quatre volets et d'un Arrangement Réservé aux Entreprises Autochtones (REA).
Les services du volet 1 permettront à la haute direction d'acquérir des services de consultation de haut niveau, basés sur l'expérience mondiale des titulaires d'un AA :
- consultation et planification stratégiques;
- projets en sécurité des TI et en recherche et développement en sécurité des TI;
- gestion du changement, occasions et performance.
Les titulaires d'un AA, volet 1, sont à la fine pointe des concepts opérationnels et des solutions technologiques. S'appuyant sur les meilleures pratiques à l'échelle mondiale, elles offriront à la haute direction des conseils et des services de planification stratégique conformes aux politiques et aux normes de sécurité des TI du GC (PSN, PGS et norme GSTI). Ces entreprises prioriseront de manière efficace les programmes de protection de l'infrastructure de l'information et de sécurité des TI afin de soutenir les fonctions opérationnelles et d'assurer la prestation de services. Les fournisseurs ont été qualifiés d'après leur expérience globale et l'étendue de leurs capacités, et d'après leur aptitude à offrir une expertise en sus de l'expertise interne du client en matière de sécurité des TI.
Les services du volet 2 offriront des produits et services de sécurité matures et autonomes. Ce volet vise à compléter les compétences et groupes du marché des SPI (services professionnels en informatique). Ces services de sécurité concernent des aspects stables et fréquemment utilisés, tels que :
- évaluation technique sur place des vulnérabilités (ETPV);
- certification et accréditation (C et A);
- évaluation des menaces et des risques (EMR);
- planification de la continuité des activités (PCA);
- planification de la reprise après sinistre (PRS).
Ces services seront fournis conformément aux normes du GC et satisferont aux exigences de la PGS et de la norme GSTI enjoignant les ministères et les organismes de mettre en oeuvre un cycle d'examen continu pour ces activités. Les titulaires d'AA du volet 2 ont été qualifiés d'après leur capacité prouvée d'offrir des équipes capables d'assurer les services d'une manière structurée et cohérente, et employant des méthodes éprouvées depuis un certain temps. Ce processus assurera que les titulaires d'AA offriront un niveau uniforme de service pour ces activités fréquentes.
Les services du volet 3 et REA fourniront les qualifications individuelles et du fournisseur. La gamme de groupes de compétences inclut les suivants :
| Spécialiste de l'ICP | Spécialiste en informatique judiciaire | |
| Ingénieur en sécurité des TI | Spécialiste en gestion des incidents | |
| Spécialiste en conception de sécurité des TI | Spécialiste des installations de sécurité des TI | |
| Analyste de la sécurité des réseaux | Analyste de la C et A et de EMR en sécurité des TI | |
| Spécialiste de la sécurité physique | Spécialiste des évaluations des facteurs relatifs à la vie privée | |
| Spécialiste de la R et D en sécurité des TI | Spécialiste de l'évaluation des produits de sécurité des TI | |
| Gestionnaire de projet en sécurité des TI | Spécialiste des analyses de vulnérabilités de la sécurité des TI | |
| Soutien général de la sécurité des TI | Spécialiste de la continuité des opérations et de la planification d'urgence | |
| Opérateur des systèmes de sécurité des TI | Analyste des méthodes, politiques et procédures en sécurité des TI | |
L'accent est mis sur les qualités individuelles, s'appuyant sur la capacité de la compagnie. En créant un bassin d'expertises dans le secteur privé, ce volet permet aux ministères et organismes de faire appel à des entrepreneurs qualifiés, en sus de leurs effectifs, pour réaliser des activités périodiques en matière de sécurité des TI comportant des méthodes de gestion et d'évaluation des risques. Les catégories générales de tâches comprennent l'élaboration des politiques et de la documentation connexe, les tâches de soutien technique direct, les activités de vérification de la sécurité, ainsi que la formation/sensibilisation.
Les services du volet 4 seront effectués par les titulaires d'AA approuvés en vertu du programme TEMPEST pour l'industrie canadienne (PTIC) pour offrir des services EMSEC. Ce volet inclut aussi les services pour les activités suivantes :
- services EMSEC;
- services COMSEC;
- services de soutien TEMPEST;
- installations d'essai TEMPEST dans les installations du GC;
- installations d'essai TEMPEST dans les installations des titulaires d'un AA.
Pour toute question au sujet de approvisionnement de l'AMAC veuillez visiter le site web de l'AMAC à TPSGC ou contacter la responsable de l'arrangement au 819-956-6148.
Pour toute question au niveau technique, veuillez contacter :
Bureau de soutien de AMAC
CSEC-CSTC
Téléphone : 613-991-7654
Télécopieur : 613-991-7902
Courriel : AMAC-CPSA@cse-cst.gc.ca