Normes de cybersécurité municipales et r�E8gles pour les fournisseurs �E0 L�E9vis

LE9vis, QuE9bec attend de plus en plus des mesures rigoureuses de cybersE9curitE9 pour les systE8mes municipaux et les fournisseurs tiers. Ce guide rE9sume la position municipale, les attentes en approvisionnement, les modes dE2application et les E9tapes concrE8tes pour rE9duire les risques et respecter les exigences de la ville.

PortE9e et personnes concernE9es

Le prE9sent article porte sur les systE8mes dE2information gE9rE9s par la ville, les services infonuagiques acquis par la Ville de LE9vis et les fournisseurs tiers contractE9s pour accE9der aux rE9seaux ou aux donnE9es municipales. Il couvre les rE8gles dE2approvisionnement, les attentes techniques et contractuelles, ainsi que les voies de plainte et dE2inspection au niveau municipal.

ResponsabilitE9s municipales principales

• Le service dE2application des rE8glements et les services TI municipaux gE8rent la conformité locale et la rE9ception des incidents.
• LE2approvisionnement dE9termine les clauses de sE9curitE9 dans les contrats et accords avec les fournisseurs.
• Le service juridique et des archives gE8rent la classification des donnE9es, leur conservation et les obligations de divulgation.

Exigences techniques et contractuelles minimales

LE2approvisionnement municipal exige normalement des fournisseurs quE2ils dE9montrent des contrF4les de base en matiE8re de contrF4le dE2accE8s, le chiffrement des donnE9es municipales en transit et au repos, des pratiques sE9curitaires pour le dE9veloppement logiciel lorsque des solutions sont hE9bergE9es sur lE2infrastructure municipale, et des dE9lais de notification dE2incident. Les normes techniques prE9cises sont souvent dE9finies dans les documents dE2approvisionnement ou les annexes contractuelles.

Sanctions et application

La Ville de LE9vis applique la conformitE9 par lE2intermE9diaire des autoritE9s municipales et des recours contractuels. Lorsque la ville publie des rE8glements consolidE9s, des amendes spE9cifiques ou des sanctions statutaires pour des dE9faillances en cybersE9curitE9 sont non prE9cisE9s sur la page citE9e^[1]. Les contrats dE2approvisionnement prE9voient gE9nE9ralement des recours administratifs et contractuels.

• Amendes monE9taires : non prE9cisE9es sur la page citE9e^[1].
• Sanctions contractuelles : dommages-intE9rEAts, dommages liquidE9s, retenues de paiement ou rE9siliation pour manquement.
• Actions judiciaires : la ville peut intenter des recours civils pour violation de contrat ou obligations statutaires.
• Ordonnances non monE9taires : directives correctives, suspension dE2accE8s ou sE9izure de donnE9es municipales par ordre municipal ou judiciaire.
• AutoritE9 chargE9e : le service dE2application des rE8glements et le bureau dE2approvisionnement traitent les plaintes et lE2application des contrats.

Recours et dE9lais

• La rE9vision administrative ou la contestation des sanctions contractuelles est normalement prE9vue par les clauses de rE9solution de conflits du contrat; les dE9lais prE9cis ne sont pas spE9cifiE9s sur la page citE9e^[1].
• DE9fenses : excuse raisonnable, preuve de diligence raisonnable ou dE9rogations approuvE9es peuvent influencer les suites de lE2application.

Formulaires et demandes

La ville ne publie pas de formulaire public dE2"permis cybersE9curitE9" dE9diE9 ; les exigences figurent dans les documents dE2approvisionnement et les annexes contractuelles. Aucun formulaire ou modE8le dE2attestation spE9cifique nE2est dE9crit sur la page citE9e^[1].

Infractions courantes

• Absence de chiffrement des donnE9es municipales en transit ou au repos.
• Mauvaise gestion des contrF4les dE2accE8s ou absence dE2authentification multifactorielle.
• Non-respect des dE9lais de notification dE2incident prE9vus au contrat.
• Utilisation de logiciels non pris en charge ou non corrigE9s sur des systE8mes municipaux.

C9tapes pour le personnel municipal et les fournisseurs

• IntE9grer des clauses de cybersE9curitE9 et des exigences techniques dans les appels dE2offres et contrats.
• Exiger des attestations fournisseurs, des audits tiers ou des preuves de certification (SOC 2, ISO 27001) selon le niveau de risque.
• DE9finir des dE9lais de notification dE2incident et des chemins dE2escalade contractuels.
• PrE9voir un budget pour la surveillance continue de la sE9curitE9 et les vE9rifications contractuelles.

FAQ

Qui applique les exigences de cybersE9curitE9 au niveau municipal ?

Le bureau dE2approvisionnement, les services TI municipaux et le service dE2application des rE8glements.

Existe-t-il des amendes fixes pour les brE8ches ?

Les amendes monE9taires spE9cifiques pour brE8ches de cybersE9curitE9 ne sont pas prE9cisE9es sur la page citE9e^[1].

Comment les fournisseurs prouvent-ils leur conformitE9 ?

Ils fournissent des attestations, des rapports dE2audit ou des preuves de certification demandE9es dans les documents dE2appel dE2offres.

How-To

1. Examiner les clauses de sE9curitE9 du dossier dE2approvisionnement pour identifier les contrF4les requis.
2. Rassembler les attestations, rapports dE2audit ou preuves de certification et prE9parer la documentation.
3. Soumettre la documentation de sE9curitE9 avec lE2offre ou les livrables contractuels et maintenir un contact de rE9ponse aux incidents pour la ville.
4. Mettre en oeuvre les contrF4les techniques exigE9s par le contrat et maintenir la journalisation, la surveillance et le processus de correction des vulnE9rabilitE9s.

Points clE9s

• Les attentes en cybersE9curitE9 sont principalement exprimE9es via les documents dE2approvisionnement et les contrats.
• Les fournisseurs doivent EAtre prEAts E0 fournir des preuves dE2audit et E0 rE9agir rapidement en cas dE2incident.

Aide et ressources

• Ville de LE9vis  RE8glements municipaux
• Ville de LE9vis  Contact municipal
• Centre canadien pour la cybersE9curitE9

1. [1] Ville de LE9vis  RE8glements municipaux