Guide du règlement de cybersécurité pour entrepreneurs à Langley

Langley, Colombie-Britannique exige que les entrepreneurs qui soumissionnent pour des travaux municipaux respectent des exigences minimales en matière de cybersécurité et de protection des données lorsqu'ils accèdent aux systèmes, aux réseaux ou aux renseignements des résident·e·s. Ce guide explique les exigences pratiques pour les soumissionnaires, les bureaux qui appliquent les règles, comment présenter une demande ou signaler un problème, et les actions à suivre pour réduire les risques lors de la contractualisation avec la Ville. Il s'adresse aux entrepreneurs préparant des propositions et aux gestionnaires de contrats qui doivent évaluer les mesures de sécurité des fournisseurs avant l'attribution.

Périmètre et personnes concernées

Ce guide s'applique aux entrepreneurs, sous-traitants et fournisseurs qui auront accès à des données municipales, qui traiteront ou hébergeront des services pour la Ville, ou qui manipuleront des renseignements personnels pour le compte de la municipalité. Il couvre les contrôles techniques, les clauses contractuelles et les vérifications de conformité souvent demandées dans les documents d'approvisionnement.

Exigences principales pour les soumissionnaires

• Inclure une déclaration de cybersécurité et un contact pour la gestion des incidents dans votre soumission.
• Décrire les mesures de chiffrement, de contrôle d'accès et de journalisation pour toutes les données de la Ville que vous stockerez ou transmettrez.
• Fournir la preuve d'évaluations de vulnérabilité récentes ou d'audits de sécurité tiers lorsque demandé.
• Accepter les inspections de sécurité ou les vérifications de conformité pendant l'exécution du contrat.

Sanctions et application

Langley applique les obligations des entrepreneurs par les clauses contractuelles et les pouvoirs réglementaires; les amendes monétaires spécifiques ou les pénalités journalières pour des manquements en cybersécurité ne sont pas précisées sur les pages d'approvisionnement et de règlements citées Ressources d'approvisionnement de la Ville^[1] et Règlements municipaux^[2]. En cas de non-conformité, la Ville peut recourir à des mesures contractuelles, ordres, suspension des travaux, récupération de dommages ou résiliation du contrat.

• Amendes monétaires pour violations de cybersécurité : non spécifiées sur la page citée.
• Escalade : avertissement initial, périodes de correction et suspension ou résiliation de contrat sont typiques; calendriers spécifiques non précisés sur la page citée.
• Sanctions non monétaires : ordres de correction, suspension d'accès, résiliation de contrat et actions en justice le cas échéant.
• Autorité d'application : Approvisionnement et l'application des règlements ou l'administrateur de contrat désigné reçoivent les plaintes et effectuent les inspections. Utilisez les contacts officiels pour signaler des problèmes.^[1]

Demandes et formulaires

Les soumissions d'approvisionnement utilisent généralement des formulaires de soumission ou des portails d'appel d'offres; aucune formule unique de cybersécurité n'est publiée sur les pages citées. Consultez le dossier d'appel d'offres spécifique pour connaître les questionnaires de sécurité obligatoires et soumettez-les avec votre proposition via le portail ou la méthode indiquée.^[1]

Vérifications de conformité et violations fréquentes

• Incapacité à isoler les systèmes de l'entrepreneur des réseaux municipaux lorsque cela est exigé.
• Absence de chiffrement pour les données sensibles en transit ou au repos.
• Ne pas fournir les rapports d'audit, plans de sécurité ou coordonnées requis dans les soumissions.

Étapes recommandées pour les soumissionnaires

• Vérifiez les pièces d'appel d'offres dès le début pour y repérer les pièces jointes et instructions relatives à la cybersécurité.
• Préparez un plan de cybersécurité concis et joignez les preuves de contrôle.
• Confirmez les délais pour les actions correctives dans votre contrat et notez les délais de notification éventuels.

FAQ

Dois-je détenir une certification ISO pour soumissionner ?

Non, une certification spécifique n'est pas toujours obligatoire ; fournissez l'équivalent si demandé.

Qui dois-je contacter pour signaler une faille liée à un contrat municipal ?

Contactez l'agent d'approvisionnement municipal ou l'administrateur de contrat indiqué immédiatement et respectez les modalités de notification du contrat.

Les coûts de cybersécurité sont-ils admissibles dans l'offre ?

Oui, incluez les coûts liés à la sécurité dans votre prix lorsque cela est exigé par l'appel d'offres.

How-To

1. Examinez les documents de la sollicitation et repérez toutes les clauses relatives à la cybersécurité et au traitement des données.
2. Désignez un contact pour la réponse aux incidents et préparez un résumé d'une page de vos contrôles de sécurité.
3. Rassemblez les preuves : politiques, audits récents, scans de vulnérabilité et références.
4. Soumettez la déclaration de sécurité et tous les formulaires requis via le portail d'appel d'offres avant la fermeture.
5. Si le contrat est attribué, planifiez une réunion de lancement avec le gestionnaire de contrat de la Ville pour confirmer les attentes de sécurité.

Points clés

• Vérifiez chaque appel d'offres pour les pièces jointes et instructions relatives à la cybersécurité.
• Soyez prêt à démontrer vos contrôles par des preuves et un contact pour les incidents.

Aide et ressources

• Ville de Langley - Application des règlements
• Ville de Langley - Soumissions et appels d'offres
• Ville de Langley - Services corporatifs