Liste de vérification des exigences de cybersécurité pour fournisseurs de la Ville de Québec

Québec, Québec - les fournisseurs qui soumissionnent pour des contrats municipaux doivent comprendre comment le processus d'approvisionnement traite la cybersécurité. Cette liste de vérification résume comment trouver les clauses contractuelles, quels contrôles techniques et organisationnels sont couramment exigés, et où demander des précisions à la Ville. Elle indique où les documents officiels d'approvisionnement et les contacts TI/sécurité sont publiés et fournit des étapes pratiques à suivre avant de déposer une soumission pour réduire les risques et accélérer l'approbation du contrat. Lorsque les clauses municipales ne sont pas explicites, les fournisseurs doivent demander des directives écrites pendant la phase d'approvisionnement et documenter toute dérogation.

Éléments clés des contrats en cybersécurité

Les contrats municipaux et les documents d'appel d'offres font généralement référence à la gestion des données, à la notification des incidents, au chiffrement, au contrôle d'accès et aux droits d'audit. Les fournisseurs doivent vérifier les clauses spécifiques dans chaque sollicitation et préparer des preuves pour chaque exigence.

• Vérifier les clauses de sécurité et de confidentialité de la sollicitation et ses annexes.
• Préparer la documentation : rapports SOC, certification ISO/IEC 27001, architecture système et détails sur le chiffrement.
• Confirmer les délais de notification des incidents et le point de contact dans le contrat.
• Prévoir les coûts de conformité, d'audits tiers et d'assurance cyber.

Pour les règles d'approvisionnement officielles et les documents d'appel d'offres actuels, consultez les pages d'approvisionnement de la Ville de Québec et la sollicitation elle-même pour les clauses spécifiques de cybersécurité^[1].

Sanctions et application

Les pages d'approvisionnement municipales décrivent la gestion des contrats et les recours en cas de non-conformité, mais les amendes monétaires ou les barèmes pour les incidents de cybersécurité ne sont pas publiés sur les pages d'approvisionnement citées. Lorsque le contrat ou le règlement contient des mesures d'exécution, ces clauses régissent les recours et sanctions; si elles ne le font pas, les recours relèvent du droit contractuel général et des règles d'approvisionnement municipales.

• Amendes : non précisées sur la page d'approvisionnement citée^[1].
• Escalade : non précisée sur la page citée; les contrats peuvent inclure des avis progressifs, des délais de remédiation, puis la résiliation.
• Sanctions non monétaires : ordres de remédiation, suspension ou résiliation de contrat, obligation de corriger des vulnérabilités et actions en dommages-intérêts éventuelles.
• Autorité appliquante : le bureau d'approvisionnement de la Ville et le gestionnaire de contrat; les plaintes et questions de conformité sont traitées par les canaux d'approvisionnement et d'application des règlements (voir Aide et ressources).
• Voies d'inspection et de plainte : signaler via le contact d'approvisionnement de la Ville ou le formulaire de plainte officiel lié ci-dessous.
• Recours/appels : les voies d'appel dépendent du contrat et des règles d'approvisionnement; les délais d'appel précis ne sont pas indiqués sur la page d'approvisionnement citée^[1].

Demandes et formulaires

Le portail d'approvisionnement de la Ville publie les documents d'appel d'offres et les formulaires de soumission; toutefois, aucun formulaire municipal spécifique de conformité en cybersécurité n'est précisé sur la page d'approvisionnement citée^[1]. Les fournisseurs doivent joindre les preuves requises au dossier de soumission ou demander une clarification pendant la période de sollicitation.

Étapes pratiques pour les fournisseurs

• Avant de soumissionner : lire la sollicitation en entier et identifier les normes de sécurité référencées.
• Préparer une annexe sécurité qui fait le lien entre les exigences du contrat et vos contrôles.
• Obtenir et être prêt à partager rapports d'audit, résumés de tests d'intrusion et certifications pertinentes.
• Mise en place d'un plan d'intervention en cas d'incident conforme aux délais contractuels.
• Vérifier la responsabilité, les limites d'assurance et prévoir le budget des coûts de remédiation.

FAQ

Quelles normes de cybersécurité la Ville de Québec exige-t-elle?

Les normes varient selon la sollicitation; les documents d'approvisionnement et les clauses du contrat précisent les normes exigées ou renvoient à des normes industrielles telles que ISO/IEC 27001 ou NIST.

Les fournisseurs doivent-ils signaler les brèches à la Ville?

La plupart des contrats exigent une notification rapide; vérifier la clause de notification des incidents dans chaque sollicitation et respecter les délais du contrat.

Un fournisseur peut-il interjeter appel d'une résiliation de contrat pour non-conformité en cybersécurité?

Les appels dépendent du contrat et des règles d'approvisionnement; les périodes d'appel précises ne sont pas précisées sur la page d'approvisionnement citée^[1].

How-To

1. Examiner les clauses de la sollicitation et identifier les normes requises.
2. Assembler les preuves : politiques, certifications, rapports d'audit et une annexe sécurité concise.
3. Confirmer les contacts de notification des incidents et préparer une procédure conforme au calendrier du contrat.
4. Inclure les détails de remédiation et d'assurance dans la proposition et vérifier la couverture.
5. Si nécessaire, demander une clarification formelle pendant la période de sollicitation et conserver la réponse écrite de la Ville.

Points clés

• Préparez vos preuves de sécurité avant de soumissionner pour éviter des retards.
• Vérifiez chaque sollicitation pour des clauses spécifiques; les pages d'approvisionnement municipales fournissent les documents officiels.

Aide et ressources

• City of Québec - Procurement
• City of Québec - Contact and services
• City of Québec - IT and information security

1. [1] City of Québec - Procurement