Avis de Ressources naturelles Canada et du Department of Energy des États-Unis sur la sécurité et la confidentialité

Historique de l’outil 50001 Ready Navigator

L’outil 50001 Ready Navigator (l’outil Navigator) est un guide en ligne conçu pour l’établissement d’un système de gestion de l’énergie (SGE), qui doit permettre de planifier, de déterminer, de classer par ordre de priorité et de mettre en œuvre des projets qui amélioreront le rendement énergétique de vos installations. L’exécution des tâches définies par l’outil Navigator prépare les installations à la demande de certification ISO 50001 (norme internationale définissant les pratiques exemplaires en matière de gestion de l’énergie). Cet outil a été lancé en 2017 par le Department of Energy des États-Unis dans le cadre de son programme 50001 Ready Recognition. En 2022, le Department of Energy des États-Unis et Ressources naturelles Canada ont conclu une entente pour adapter les fonctions aux utilisateurs canadiens de Navigator.

Sécurité

La sécurité des renseignements sur le compte de votre projet est très importante pour Ressources naturelles Canada et le Department of Energy des États-Unis. Les données énergétiques des installations canadiennes qui cherchent à obtenir la reconnaissance 50001 Ready Canada ne sont pas stockées dans l’outil Navigator. Ressources naturelles Canada est responsable de la gestion des données énergétiques pour les installations situées au Canada. Le Department of Energy des États-Unis est responsable de la gestion des renseignements qui se retrouvent dans les comptes de projets et des données énergétiques pour les installations situées aux États-Unis. L’application Web a été conçue avec les caractéristiques de sécurité suivantes :

Trafic du serveur

Le 50001 Ready Navigator est protégé par le service Cloudflare, qui offre une protection contre le déni de service (DDoS) et d’autres cyberattaques à grande échelle.

L’outil Navigator utilise exclusivement la connexion HTTPS (Hypertext Transfer Protocol Secure) qui assure des communications entièrement chiffrées et sécurisées entre le serveur et l’utilisateur final. Les requêtes qui ne sont pas des requêtes HTTPS au serveur sont redirigées vers la connexion sécurisée. Le certificat de sécurité SSL (Secure Sockets Layer) associé utilise les normes les plus récentes.

Le serveur

Le serveur fonctionne dans le nuage gouvernemental sécurisé des services Web d’Amazon (AWS), qui assure la sécurité et la surveillance du serveur.

De plus, les administrateurs du Lawrence Berkeley National Laboratory (LBNL) surveillent le serveur en tout temps et reçoivent un avis d’erreur automatique si l’outil Navigator éprouve des problèmes.

L’accès au serveur via SSH (Secure Shell) est limité par l’adresse IP à l’équipe de l’élaboration du programme 50001 Ready Navigator.

Le logiciel Navigator

Le logiciel Navigator comprend diverses pratiques exemplaires en matière de cybersécurité, notamment :

• le stockage de mots de passe entièrement chiffrés;
• les exigences complexes en matière de mot de passe;
• la mise à jour annuelle du mot de passe requise;
• les tentatives d’ouverture de session au ralenti - limitation du nombre de tentatives d’ouverture de session par minute pour prévenir les attaques par force brute;
• les protections contre la falsification de demandes entre sites (CSRF) – empêcher la soumission de demandes non autorisées;
• la protection contre les attaques par injection SQL – filtrage de toutes les requêtes SQL (base de données) pour empêcher l’exécution non autorisée du code;
• la prise en charge de la surveillance des alertes de sécurité de la bibliothèque – si des problèmes de sécurité sont repérés avec les bibliothèques de logiciels de soutien, des avis automatiques sont envoyés aux administrateurs pour qu’ils déploient immédiatement les correctifs.

Tests de sécurité

Le Navigator est régulièrement testé par des scanners de sécurité automatiques qui testent une variété de vulnérabilités potentielles. S’il y en a, des avis sont automatiquement envoyés aux administrateurs aux fins de correction.

Pour les tests de sécurité plus complexes, des groupes de tests de sécurité externes ont été utilisés pour sonder manuellement Navigator à la recherche de vulnérabilités, qui sont ensuite signalées et corrigées au besoin.

Confidentialité

Le 50001 Ready Navigator (l’outil Navigator) ne stocke pas de données sur les installations canadiennes ou les données énergétiques des projets situés au Canada.

Lorsque des renseignements sont recueillis dans l’outil Navigator (comme le nom de la personne-ressource de votre projet et adresse courriel professionnelle) , ils ne sont utilisés qu’aux fins énoncées de l’outil ou du système que vous utilisez, comme présenter une demande de reconnaissance. Dans tous les cas, ces renseignements ne sont jamais vendus à des tiers.

Les renseignements recueillis peuvent être utilisés afin de définir les tendances, d’évaluer la portée et l’impact de l’outil Navigator ou d’établir des statistiques générales sur l’utilisation en vue d’améliorer le site dans l’ensemble. À l’exception des enquêtes autorisées en matière d’application de la loi, aucune autre tentative n’est faite pour identifier les utilisateurs individuels ou leurs habitudes d’utilisation.

Pour les utilisateurs canadiens, la conservation et l’élimination des documents du programme de reconnaissance 50001 Ready Canada transmis directement dans une boîte aux lettres électroniques de RNCan sont régies par la Loi sur la Bibliothèque et les Archives du Canada.

Les renseignements affichés sur le site Web de Navigator du Department of Energy des États-Unis (nom de la personne-ressource du projet et adresse courriel professionnelle) sont protégés par la U.S. Federal Information Security Management Act et la U.S. Freedom of Information Act. Les renseignements de base sur le compte de projet qui sont saisis dans l’outil Navigator, ainsi que les données énergétiques de l’installation requises lorsque les utilisateurs canadiens demandent la reconnaissance 50001 Ready Canada, sont recueillis par Ressources naturelles Canada en vertu des articles 21 à 24 de la Loi sur l’efficacité énergétique ne sont pas communiqués à des tiers et sont assujettis à la Loi sur la protection des renseignements personnels  et à la Loi sur l'accès à l'information.

Si vous avez des questions ou des commentaires au sujet des renseignements contenus dans le présent avis, veuillez communiquez avec Ressources naturelles Canada par courriel à 50001ready@nrcan-rncan.gc.ca ou par téléphone au 1-877-360-5500.