Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Mission hybride horizontale de la sécurité des technologies de l’information (TI) - Partie 2 : audit interne ciblé des auto-évaluations effectuées par les petits ministères sur la sécurité des TI

Du Secrétariat du Conseil du Trésor du Canada

Avril 2022
Secteur de l’audit interne, Bureau du contrôleur général

Avis aux lecteurs

Ce rapport contient des renseignements personnels ou confidentiels, ou bien de l’information liée à la sécurité. En vertu de la Loi sur l’accès à l’information, ces informations ont été caviardées.

Sur cette page

Aperçu général

Contexte – Mission hybride horizontale de la sécurité des TI

En 2019, le Bureau du contrôleur général (BCG) a lancé une mission hybride horizontale de la sécurité des TI, qui comprend un ensemble d’activités d’assurance et de consultationVoir la note en bas de page 1, afin d’aborder les divers risques liés à la sécurité des TI relevés au sein du gouvernement du Canada (GC). La mission était constituée des parties indiquées ci-dessous.

Partie 1

  • Examen du processus de gestion des risques en matière de sécurité des TI qui soutient l’orientation numérique du GCVoir la note en bas de page 2 (terminé à l’automne 2020).

Partie 2

  • Auto-évaluation obligatoire de la sécurité des TI dans 36 petits ministèresVoir la note en bas de page 3 (terminée à l’automne 2019).
  • Élément central du présent rapport : audit interne ciblé des auto-évaluations sur la sécurité des TI réalisé pour un échantillon axé sur les risques de trois petits ministères.

Partie 3

  • Examen de l’efficacité de la sensibilisation et de la formation des utilisateurs, et de la détection des incidents au moyen de trois simulations (terminé à l’automne 2020) :
  • simulation 1 : harponnage;
  • simulation 2 : détection des incidents liés aux points terminaux;
  • simulation 3 : détection des incidents infonuagiques.

À propos de l’auto-évaluation – Partie 2

Pour la deuxième partie de cette mission, le BCG a élaboré un outil d’auto-évaluationVoir la note en bas de page 4 afin d’aider les petits ministères à jauger leurs progrès dans la mise en œuvre des principaux contrôles de sécurité des TI et de déterminer les domaines où des améliorations pourraient être apportées. Les domaines évalués sont les suivants :

  • la gouvernance de la sécurité des TI;
  • les 10 meilleures mesures de sécurité du Centre de la sécurité des télécommunications (CST)Voir la note en bas de page 5;
  • la formation et sensibilisation en matière de sécurité des TI;
  • la gestion des incidents.

Parmi les 47 petits ministèresVoir la note en bas de page 6, 36 ont été sélectionnés par le BCG pour remplir l’outil d’auto-évaluation de la sécurité des TI. Le BCG a compilé les résultats.

À l’automne 2019, le BCG a présenté aux petits ministères participants un rapport individuel personnalisé qui résume les résultats de leur auto-évaluation ministérielle, notamment une analyse comparative avec leur groupe de pairsVoir la note en bas de page 7 et les tendances observées dans tous les petits ministères. En plus de permettre l’échange de bonnes pratiques entre les petits ministères, l’objectif de ces rapports était :

  • d’aider à sensibiliser tous les petits ministères participants à l’état de leurs principaux contrôles de sécurité des TI;
  • de fournir aux petits ministères des renseignements sur les domaines qu’ils devraient envisager d’améliorer en priorité.

L’annexe D présente un résumé des résultats observés dans l’ensemble de la communauté des petits ministères qui ont participé à l’exercice d’auto-évaluation.

Remarque : même si les grands ministères étaient exclus de cet exercice, l’outil d’auto-évaluation leur a été remis à titre d’information et aux fins d’utilisation interne s’ils le jugent nécessaire, à leur discrétion.

À propos de l’audit –Partie 2

Objectif du présent rapport

Le présent rapport contient les principaux points à retenir, les recommandations et les conseils généraux découlant de la section de l’audit interne de la partie 2 de la mission hybride horizontale de la sécurité des TI.

Il s’adresse principalement aux petits ministères sélectionnés aux fins d’inclusion dans l’audit.

Les petits ministères qui n’ont pas été inclus dans cet audit sont invités à :

  • évaluer l’applicabilité des sections relatives aux recommandations et aux conseils généraux contenus dans le présent rapport en tenant compte de leur contexte respectif;
  • élaborer leur propre plan d’action de la direction et à en assurer le suivi interne, s’il y a lieu.

Objectifs de l’audit

  1. Vérifier l’exactitude des résultats de l’auto-évaluation de la sécurité des TI pour un échantillon de petits ministères axé sur les risques.
  2. Fournir un aperçu des obstacles potentiels à l’échelle du gouvernement et des causes profondes possibles en ce qui a trait aux constatations relatives aux principaux domaines de la sécurité des TI.

Portée

Une approche axée sur les risques (voir l’annexe E) a été utilisée pour sélectionner les trois petits ministères suivants aux fins d’inclusion dans l’audit interne :

  • [Caviardé]
  • [Caviardé]
  • [Caviardé]

Compte tenu de la petite taille de l’échantillon, les résultats de l’audit ne donnent qu’une indication limitée de la fiabilité globale des auto-évaluations réalisées par les 36 petits ministères participants. Les résultats de l’audit ne peuvent donc pas être utilisés pour extrapoler sur la fiabilité de l’ensemble de la population des résultats d’auto-évaluation fournis par les 36 petits ministères participants.

Afin d’approfondir les connaissances sur les obstacles potentiels à l’échelle du gouvernement et les causes profondes liées aux constatations de l’audit, les trois petits ministères suivants ont également été consultés dans le cadre de l’audit interne (voir l’annexe E pour en savoir plus) :

  • [Caviardé]
  • [Caviardé]
  • [Caviardé]

L’audit a porté sur les pratiques en vigueur au 31 mai 2020.

Exclusion

L’audit n’incluait pas la vérification de l’efficacité des contrôles de sécurité des TI.

Approche

L’approche adoptée pour l’audit consistait à évaluer la documentation fournie par chacun des trois petits ministères participants à l’appui des cotes qu’ils ont obtenues à l’auto-évaluation. Des entrevues de suivi ont également eu lieu avec des représentants de la haute direction de chaque ministère qui ont des responsabilités clés en matière de sécurité des TI.

Les critères de l’audit comprenaient les 20 énoncés de l’outil d’auto-évaluation et les échelles de cotation prédéfinies correspondantes. Chaque cote faisait référence à un niveau de maturité, et des attributs spécifiques ont été établis pour chaque niveau (voir l’annexe B pour les énoncés de l’outil d’auto‑évaluation et les échelles de cotation, dont les attributs du niveau de maturité).

Les niveaux de maturité sont présentés dans le tableau 1.

Tableau 1. Niveaux de maturité
Faible maturité Maturité moyenne Maturité élevée Maturité inconnue
Niveau 1 Niveau 2 Niveau 3 « ? »

Un point d’interrogation « ? » a été attribué si un ministère n’était pas au courant ou n’était pas certain de son niveau de maturité pour toute question évaluée (ce qui était considéré comme un manque de connaissance de la situation). En outre, il convient de noter que le point d’interrogation a été compté comme zéro dans le calcul de la maturité moyenne présenté à la figure 1.

Pourquoi est-ce important?

Le gouvernement fédéral est chargé de protéger une grande quantité de renseignements personnels et d’information sensible lorsqu’il fournit des programmes et des services aux Canadiens, et, pour ce faire, il compte beaucoup sur les TI. Les auteurs de menaces sont connus pour profiter de l’interconnexion des technologies en utilisant les systèmes compromis comme plateformes pour attaquer d’autres secteurs du réseau et causer des dommages considérables. Il est donc important que tous les ministères, y compris les petits ministères, soient au courant de leurs contrôles de sécurité des TI et qu’ils les gèrent de façon stratégique.

Cet audit n’avait pas pour but d’établir des niveaux de maturité cibles pour les petits ministères, puisque les contrôles de sécurité des TI doivent être adaptés en fonction du contexte de risque du ministère. L’audit devait plutôt servir à :

  • compléter les auto-évaluations en aidant à mieux faire connaître l’état des principaux contrôles de sécurité des TI au sein des petits ministères participants;
  • formuler des recommandations précises sur les domaines que les petits ministères participants devraient envisager d’améliorer en priorité.

Malgré la petite taille de l’échantillon pour cet audit, les écarts observés entre les résultats des auto‑évaluations et les résultats de l’audit sont un facteur important à prendre en considération par tous les petits ministères participants (ou tout autre ministère utilisant l’outil d’auto-évaluation du BCG) pour interpréter les résultats de leur auto-évaluation. Par exemple, les écarts observés dans le cadre de l’audit peuvent aider à fournir une indication des domaines pour lesquels le risque de surestimation importante des niveaux de maturité par la direction est plus probable.

Constatations d’audit

Constatation

Les petits ministères ont surestimé les niveaux de maturité de leurs contrôles de sécurité des TI à divers degrés.

Principaux points à retenir

  • Les ministères audités ont surestimé le niveau de maturité de leurs contrôles de sécurité des TI à divers degrés dans la grande majorité des cas (voir la figure 1).
  • Dans l’ensemble, les cotes moyennes d’auto-évaluation des trois ministères audités ont été évaluées à un niveau de maturité plus élevé, allant principalement de cotes moyennes supérieures à élevées. En revanche, les cotes moyennes d’audit étaient nettement inférieures, se situant dans la partie inférieure de l’échelle de maturité (voir la figure 1).
  • Pour les ministères audités, les écarts observés entre les cotes d’auto-évaluation et les cotes d’audit étaient les plus importants dans les 10 meilleures mesures de sécurité du CST et la gestion des incidents.

Constatations pour tous les domaines évalués

La figure 1 illustre les cotes moyennes d’auto-évaluation et les cotes moyennes d’audit dans chacun des domaines évalués pour tous les ministères audités. Elle comprend également les cotes moyennes d’auto-évaluation de tous les ministères participants. Les niveaux de maturité sont définis dans le tableau B2 de l’annexe B. Une analyse plus poussée a également permis de constater ce qui suit :

  • 27 % des cotes attribuées à l’auto-évaluation étaient supérieures aux cotes attribuées dans le cadre de l’audit d’au moins deux niveaux de maturité;
  • 37 % des cotes attribuées à l’auto-évaluation étaient supérieures aux cotes attribuées dans le cadre de l’audit d’un niveau de maturité;
  • 35 % des cotes attribuées dans le cadre de l’audit correspondaient aux cotes attribuées à l’auto‑évaluation.
Figure 1. Cotes de l’auto-évaluation des petits ministères (PM) par rapport aux cotes de l'audit du BCG
Cotes d’auto-évaluation des petits ministères par rapport aux cotes d’audit. Version textuelle ci-dessous:
Figure 1 - Version textuelle
Énoncés évalués dans l’outil d’auto-évaluation du BCGVoir la note b du tableau 1
ÉnoncéVoir la note a du tableau 1 Cotes de l’auto-évaluation des 3 PMVoir la note c du tableau 1 Cotes de l’audit du BCGVoir la note d du tableau 1 Cotes de l’auto-évaluation des 35 PMVoir la note e du tableau 1

Remarque

Notes du tableau 1

Note 1 du tableau f1

Il convient de noter que les résultats correspondant aux points d’interrogation (« ? ») pour les niveaux de maturité (considérés comme un manque de connaissance de la situation) ont été comptés comme zéro dans le calcul des moyennes des niveaux de maturité aux fins de cette figure.

Retour à la référence de la note a du tableau f1

Note 2 du tableau f1

Un aperçu des domaines visés par l’outil d’auto-évaluation et des niveaux de maturité se trouve à l’annexe B.

Retour à la référence de la note b du tableau f1

Note 3 du tableau f1

Cette ligne représente les cotes moyennes obtenues par les trois ministères audités dans leur auto-évaluation.

Retour à la référence de la note c du tableau f1

Note 4 du tableau f1

Cette ligne représente les cotes moyennes des ministères audités obtenus par le BCG dans le cadre de son audit.

Retour à la référence de la note d du tableau f1

Note 5 du tableau f1

Cette ligne représente les cotes moyennes de 35 petits ministères au lieu des 36 petits ministères qui ont effectué l’auto-évaluation. Les résultats d’un ministère n’ont pas été pris en compte pour des raisons de sécurité.

Retour à la référence de la note e du tableau f1

1.1 2.3 1.3 2.1
1.2 2.3 2.0 2.1
1.3 2.3 1.7 2.1
1.4 1.7 1.3 1.7
1.5 2.0 0.7 1.4
1.6 1.3 0.7 1.7
1.7 2.7 0.7 2.2
1.8 2.3 0.3 1.8
2.1 2.0 1.0 1.9
2.2 2.3 1.0 2.1
2.3 2.7 2.0 2.2
2.4 2.0 2.0 1.6
2.5 1.7 0.7 1.4
3.1 2.0 1.3 1.9
3.2 2.0 1.3 2.0
3.3 1.7 1.3 1.5
3.4 1.7 0.7 1.7
3.5 2.0 1.3 1.6
3.6 2.3 0.3 1.5
3.7 2.0 0.3 1.1

Domaines présentant les écarts les plus importants entre les cotes attribuées à l’auto-évaluation et celles attribuées dans le cadre de l’audit

Pour les trois ministères audités, les deux principaux domaines présentant les écarts les plus importants entre les cotes attribuées par les petits ministères à l’auto-évaluation et les cotes attribuées par le BCG dans le cadre de l’audit (voir la figure 1) sont principalement liés aux contrôles relatifs aux 10 meilleures mesures de sécurité du CST et à la gestion des incidents. Des détails à propos de ces domaines sont fournis ci-dessous.

Les 10 meilleures mesures de sécurité du CST

Les écarts les plus importants observés dans les domaines évalués dans le cadre des 10 meilleures mesures de sécuritéVoir la note en bas de page 8 du CST ont trait à l’application des règles de gestion des éléments suivants :

Gestion des incidents

Les écarts les plus importants observés dans ce domaine sont liés aux éléments ci-dessous.

  • Processus permettant de s’assurer que les leçons retenues sont consignées et que le plan d’intervention en cas d’incident est mis à jour au besoin (par exemple, à la suite d’un incident) : en particulier, d’après les documents justificatifs fournis et les entrevues de suivi réalisées, les écarts observés sont principalement attribuables à des processus peu clairs au sein de deux des petits ministèresVoir la note en bas de page 11 audités. À ce titre, l’équipe d’audit du BCG a attribué un faible niveau de maturité à ces contrôles, tandis que deux des petits ministères audités ont indiqué qu’ils avaient un niveau de maturité élevé dans leur auto-évaluation, en partant de l’hypothèse que ces contrôles étaient visés par leur entente avec des tiers fournisseurs de servicesVoir la note en bas de page 12.
  • [Caviardé]Voir la note en bas de page 13

Causes profondes possibles

Les causes profondes possibles énumérées ci-dessous ont été définies en tenant compte des consultations auprès de trois autres petits ministèresVoir la note en bas de page 14 des entrevues de suivi, d’un examen des documents justificatifs fournis par les ministères auditésVoir la note en bas de page 15 et du jugement professionnel de l’équipe d’audit du BCG. Ces causes profondes possibles ne sont pas nécessairement considérées comme des énoncés de fait, mais plutôt comme des facteurs qui pourraient aider à expliquer les écarts observés.

Connaissance des contrôles visés par les ententes avec des tiers fournisseurs de services

Lorsque les ministères partent de l’hypothèse que certains contrôles de sécurité des TI sont pris en charge par des tiers fournisseurs de services (par exemple, au moyen d’ententes en place) sans vérifier si c’est vraiment le cas, il y a un risque que cela entraîne un faux sentiment de sécurité à l’égard de ces contrôles qui peuvent, en réalité, ne pas être pris en charge par qui que ce soit.

Manque de capacités et/ou de mécanismes de gouvernance

Les petits ministères peuvent ne pas avoir accès en temps opportun à l’expertise technique nécessaire en matière de sécurité des TI et/ou à des mécanismes de gouvernance efficaces pour s’assurer que les administrateurs généraux sont informés avec exactitude de l’état des contrôles de sécurité des TI de leur organisation d’une manière qui tient compte des objectifs et du contexte uniques du petit ministère en matière de sécurité des TI.

Faible niveau de maturité pour la formation et la sensibilisation

Le faible niveau de maturité observé dans le domaine de la formation et de la sensibilisation (comme le montre la figure 1) indique un manque de formation officielle en matière de sécurité des TI, ce qui peut mener à une mauvaise interprétation des directives des principaux organismes responsables de la sécurité et à un manque de connaissance de la situation, ce qui pourrait expliquer les écarts observés.

Conclusion

Dans l’ensemble, l’audit a permis de constater que les trois petits ministères audités ont surestimé, à des degrés divers, le niveau de maturité de leurs contrôles de sécurité des TI. Voici les domaines qui ont présenté les plus grands écarts entre les cotes indiquées dans l’auto-évaluation et celles de l’audit :

  • les 10 meilleures mesures de sécurité du CST, [Caviardé];
  • la gestion des incidents, dont la documentation sur les leçons retenues et la mise à jour des plans d’intervention en cas d’incident lorsque cela s’avère nécessaire ou à la suite d’un incident.

Il y a un risque que d’autres petits ministères qui ont aussi effectué la même auto-évaluation, mais qui n’ont pas été compris dans le présent audit, puissent observer des tendances de surestimation semblables au sein de leur propre ministère. Ces surestimations pourraient s’expliquer par une multitude de facteurs, y compris, mais sans s’y limiter, les suivants :

  • se fier sur des hypothèses non vérifiées concernant l’étendue des contrôles pris en charge par les tiers fournisseurs de services (ce qui entraîne un manque de connaissance de la situation);
  • l’absence de formation;
  • ne pas avoir accès en temps opportun à l’expertise technique en matière de sécurité des TI pour évaluer avec précision l’état des contrôles techniques en place;
  • l’absence de mécanismes de gouvernance efficaces pour s’assurer que les administrateurs généraux sont informés avec exactitude de l’état des contrôles de sécurité des TI de leur organisation.

Recommandations

  1. [Caviardé] devraient s’assurer de mettre en place un processus documenté pour examiner et mettre à jour régulièrement (au besoin et dans la mesure du possible) les ententes de services qu’ils ont conclus avec des tiers fournisseurs de services de TI. Pendant ces examens et mises à jour réguliers, ils devraient s’assurer, s’il y a lieu et dans la mesure du possible, de tenir compte des éléments suivants :
    1. les services et (ou) contrôles de sécurité des TI (y compris ceux qui sont exclus) pris en charge par les tiers fournisseurs de services sont indiqués en détail dans les ententes;
    2. les rôles et les responsabilités sont présentés en détail dans les ententes;
    3. les normes de service et les exigences en matière de rapport attendues des fournisseurs de services tiers sont indiquées en détail dans les ententes;
    4. les risques de sécurité et les profils de contrôle ministériels sont réévalués, et, s’il y a lieu, tout changement nécessaire est apporté aux ententes;
    5. les dernières versions des ententes en place avec les tiers fournisseurs de services de TI sont communiquées à tous les intervenants ministériels concernés qui ont des responsabilités en matière de sécurité des TI.
  2. Afin de faciliter davantage une évaluation cohérente et précise du niveau de maturité de la sécurité des TI, tous les ministères visés par cet audit devraient s’assurer de mettre en place des cadres officiels de surveillance et de production de rapports normalisés et d’informer régulièrement les cadres supérieurs désignés ministériels (y compris les administrateurs généraux) des résultats de ces activités de surveillance et de l’état de toute mesure corrective jugée appropriée, selon la tolérance au risque du ministère. Il s’agit de les informer à tout le moins de la mise en œuvre des 10 meilleures mesures de sécurité du CSTVoir la note en bas de page 16, dans la mesure jugée appropriée en fonction de la tolérance au risque du ministère et des ressources disponibles.

    De plus, les responsabilités relatives à l’exécution des activités de surveillance et de production de rapports devraient, dans la mesure du possible, être assumées par des personnes autres que celles responsables de la mise en œuvre des contrôles de sécurité des TI évalués.

Conseils généraux à l’intention de tous les petits ministères

Cette section fournit des conseils généraux à l’intention de tous les petits ministères en fonction de l’analyse des résultats des auto-évaluations reçus (de la part des 36 petits ministères) et du travail subséquent accompli dans le cadre de l’audit de suivi effectué par le BCG au moyen d’un échantillon ciblé de ces ministères.

  1. Lorsqu’il faut s’en remettre aux auto-évaluations, tenir compte du risque de surestimation des niveaux de maturité :
    • tenir compte du fait que, selon le travail accompli dans le cadre de l’audit de suivi ciblé du BCG :
      • la plupart des ministères audités ont surestimé leurs résultats d’auto-évaluation par au moins un niveau de maturité,
      • les résultats ont été considérablement surestimés dans les domaines des 10 meilleures mesures de sécurité du CST et de la gestion des incidents;
    • s’assurer de tirer parti de la formation offerte par les principaux organismes responsables de la sécurité pour aider à atténuer le risque de surestimation, par exemple la formation du Centre d’apprentissage du Centre canadien pour la cybersécurité et celle de l’École de la fonction publique du Canada (consulter l’annexe F pour obtenir d’autres ressources).
  2. Évaluer l’applicabilité des recommandations de l’audit :
    • tous les petits ministères qui n’étaient pas visés par le présent audit ciblé sont fortement encouragés à évaluer l’applicabilité des recommandations formulées dans le présent rapport dans leur contexte respectif ainsi qu’à élaborer des plans d’action de la direction et à en faire le suivi en interne, s’il y a lieu.
  3. Tirer parti des outils préétablis pour faciliter davantage une surveillance régulière et structurée des contrôles de sécurité des TI :
    • tous les ministères devraient envisager de mettre régulièrement à profit les outils existants à cette fin. Voici des exemples d’outils existants pertinents :
      • l’outil d’auto-évaluation du BCG,
      • les profils normalisés de contrôle de sécurité du CST ou d’autres outils publiés par les principaux organismes responsables de la sécurité (Secrétariat du Conseil du Trésor du Canada, CST et Services partagés Canada).
      D’autres exemples sont fournis à l’annexe G.
    • Au besoin et dans la mesure du possible, les ministères devraient élaborer et (ou) utiliser des outils personnalisés adaptés précisément à leur contexte de risque afin d’évaluer de façon uniforme l’état des contrôles de sécurité des TI dans les domaines jugés importants et conformément aux exigences des politiques.

Réponse de la direction

Les constatations et les recommandations de l’audit ont été présentées aux trois petits ministères audités ainsi qu’aux trois petits ministères consultés qui ont participé à l’audit.

La direction a accepté les constatations incluses dans le présent rapport et prendra des mesures pour donner suite à toutes les recommandations applicables.

Déclaration de conformité

L’audit interne a été effectué conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Mike Milito, MBA, CIA, CRMA
Contrôleur général adjoint et dirigeant principal de l’audit

Secteur de l’audit interne, Bureau du contrôleur général

Annexe A. Liste des ministères visés par l’auto-évaluation obligatoire du BCG

Tableau A1. Sigle et noms des petits ministères visés par l’auto-évaluation obligatoire du BCG
Sigle Nom des petits ministèresVoir la note * du tableau 1

Notes du tableau 1

Note 1 du tableau 1

Le BCG a relevé 47 petits ministères. Toutefois, 11 petits ministères ont été exclus de l’auto-évaluation soit parce qu’ils avaient leur propre fonction d’audit interne, étaient considérés comme étant inactifs ou n’existaient plus.

Retour à la référence de la note * du tableau 1

[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]
[Caviardé] [Caviardé]

Annexe B. Aperçu des domaines visés par l’outil d’auto-évaluation

Tableau B1. Domaines visés par l’outil d’auto-évaluation et description des énoncés
Domaine No Description de l’énoncé
1a. Gouvernance 1.1 Des organes de surveillance ministériels pour la gestion de la sécurité des TI ont été établis et fonctionnent comme prévu.
1.2 Un plan ministériel approuvé qui traite de la sécurité des TI est en place. Le plan respecte les politiques pangouvernementales et les priorités ministérielles, et il est communiqué à tous les intervenants.
1.3 Les ministères veillent à ce que les redditions de comptes ainsi que les rôles et responsabilités liés à la sécurité des TI ont été officiellement établis et communiqués.
1.4 Un plan des ressources humaines (RH) qui comprend les facteurs à prendre en considération pour les professionnels de la sécurité des TI a été établi.
1b. Les 10 meilleures mesures de sécurité du CST 1.5 L’approche du ministère en ce qui concerne la gestion des risques liés à la sécurité des TI comprend les éléments principaux suivants, comme le recommande le Centre de la sécurité des télécommunications (CST) ITSG-33, Annexe 1 :
  1. la preuve qu’une évaluation des risques et des menaces pour la sécurité des TI a été examinée au cours de la dernière année;
  2. l’élaboration d’un profil de contrôle de la sécurité ministérielle;
  3. la surveillance et l’évaluation du rendement des contrôles de sécurité, des activités d’évaluation continues (comme une évaluation des vulnérabilités);
  4. la capacité de faire rapport sur l’état de l’évaluation de la sécurité et des autorisations pour l’ensemble des applications ministérielles, qu’elles soient essentielles ou non.
1.6 Le ministère surveille régulièrement la mesure dans laquelle il a mis en œuvre les 10 meilleures mesures de sécurité des TI du CST et adopte les mesures correctives pour traiter les écarts relevés en tenant compte des risques pertinents.
1.7 [Caviardé]
1.8 [Caviardé]
2. Formation et sensibilisation en matière de sécurité des TI 2.1 Un programme ministériel de formation et de sensibilisation en matière de sécurité des TI axé sur les rôles est en place et répond aux besoins du ministère, par exemple un utilisateur général, un spécialiste de la sécurité des TI et un développeur.
2.2 Le programme ministériel de formation et de sensibilisation en matière de sécurité des TI traite des principaux domaines suivants :
  1. la navigation Web sécurisée;
  2. l’ingénierie sociale;
  3. l’hameçonnage;
  4. le choix et la protection des mots de passe.
2.3 Le ministère a un processus en place pour rappeler régulièrement aux employés leurs responsabilités en matière de sécurité des TI.
2.4 Le ministère a un processus en place pour surveiller et suivre régulièrement le niveau d’achèvement du programme de formation et de sensibilisation en matière de sécurité des TI et veiller à ce que la formation ait été achevée.
2.5 Le ministère mesure l’efficacité de son programme de formation et de sensibilisation en matière de sécurité des TI et a un processus de correction pour appuyer l’amélioration continue.
3. Gestion des incidents 3.1 Le ministère a consigné les redditions de comptes, les rôles et les responsabilités pour la détection des incidents liés à la sécurité des TI, c’est-à-dire, « qui » détecte « quoi ».
3.2 Le ministère a établi un processus permettant de cerner et d’évaluer rapidement les incidents liés à la sécurité des TI.
3.3 Le ministère a établi un plan d’intervention en cas d’incident qui est exécuté lorsqu’un incident en matière de sécurité des TI se produit.
3.4 Le ministère a mis sur pied un processus d’intervention en cas d’incident afin de veiller à ce que les incidents en matière de sécurité des TI soient signalés aux intervenants appropriés.
3.5 Le ministère a un plan pour veiller à ce qu’il puisse se rétablir rapidement à la suite d’un incident lié à la sécurité des TI.
3.6 Le ministère a établi un processus pour s’assurer de consigner les leçons retenues (activité après l’événement) et, au besoin, de mettre à jour le plan d’intervention en cas d’incident, après un incident lié à la sécurité des TI.
3.7 [Caviardé]

Description des niveaux de maturité de la sécurité des TI

Le niveau de maturité précise les étapes d’un processus pour passer d’un stade précoce et ponctuel à un stade de maturité avancé. Chaque niveau de maturité fournit un ensemble d’objectifs qui, lorsqu’ils sont atteints, font passer une organisation au niveau de maturité suivant. Chaque niveau de maturité prévoit également certaines caractéristiques nécessaires en ce qui a trait aux processus, procédures ou activités. Par conséquent, des niveaux de maturité plus élevés présenteront des caractéristiques plus avancées et peuvent être considérés comme une étape vers l’atteinte d’un processus arrivé à maturité.

Le tableau B2 présente des exemples de ce qui s’impose dans chaque niveau de maturité.

Tableau B2. Exemples de ce qui s’impose dans chaque niveau de maturité
Niveau 3 - Élevé
  • Des processus, des programmes ou des plans officiels de sécurité des TI consignés et approuvés sont en place et font l’objet d’une surveillance, d’une mise à l’essai, d’une mise à jour, de rapports et d’une supervision par des organes de gouvernance.
  • Les rôles et responsabilités en matière de sécurité des TI sont définis, consignés, approuvés et communiqués officiellement.
  • Il existe des organes de gouvernance officiels et établis qui discutent régulièrement des questions liées à la sécurité des TI.
Niveau 2 -Moyen
  • Il existe certains processus, programmes ou plans officiels de sécurité des TI approuvés, mais qui ne sont communiqués, surveillés ou mis à jour que de façon ponctuelle.
  • Certains rôles et responsabilités en matière de sécurité des TI sont définis, consignés, approuvés et communiqués officiellement.
  • Des organes de gouvernance officiels et établis discutent de façon ponctuelle des questions liées à la sécurité des TI.
Niveau 1 - Faible
  • Il n’y a pas de procédures, de processus ou de plans officiels, approuvés et consignés.
  • Les rôles et responsabilités en matière de sécurité des TI ne sont pas définis.
  • Il n’y a pas de processus ni d’activités de surveillance ou de production de rapports particuliers en ce qui a trait à la sécurité des TI.
Inconnue - ? Un point d’interrogation (« ? ») a été sélectionné si le petit ministère n’était pas certain de son niveau de maturité (il y avait un manque de « connaissance de la situation »).

Annexe C. Les 10 meilleures mesures de sécurité du Centre de la sécurité des télécommunications

Figure C1. Les 10 meilleures mesures de sécurité du Centre de la sécurité des télécommunications
Les 10 meilleures mesures de sécurité du Centre de la sécurité des télécommunications. Version textuelle ci-dessous:
Figure C1 - Version textuelle

Cette image illustre les 10 meilleures mesures recommandées par le Centre de la sécurité des télécommunications pour réduire la surface de menace dans les réseaux du GC.

Ampleur des menaces avant les 10 mesures

  1. Intégrer, surveiller et défendre les passerelles Internet (Remarque : Le government du Canada utilise les passerelles Internet de Services partagés Canada)
  2. Appliquer des correctifs aux applications et aux systèmes d’exploitation
  3. Mettre en vigueur la gestion des privilèges d’administrateurs
  4. Renforcer les systèmes d’exploitation et les applications
  5. Segmenter et séparer l’information
  6. Miser sur une formation et une sensibilisation sur mesure
  7. Protéger l’information au niveau de l’organisme
  8. Assurer la protection au niveau de l’hôte
  9. Isoler les applications Web
  10. Mettre en place une liste blanche des applications

Ampleur des menaces après les 10 mesures

Tel qu’il est indiqué dans ITSB-89 version 3, Les 10 meilleures mesures de sécurité des TI visant à protéger les réseaux Internet et l’information du GC, la mise en œuvre des 10 meilleures mesures de sécurité des TI du CST permettra d’éliminer la grande majorité des cybermenaces actuellement présentes dans les réseaux du GC.

Annexe D. Sommaire des résultats de l’auto-évaluation des petits ministères

Sommaire des résultats de l’auto-évaluation des petits ministères :

  • Dans l’ensemble, chaque critère auto-évalué s’est situé en moyenne aux alentours d’un niveau de maturité moyen, 49 % des répondants ayant indiqué un niveau 2 pour la plupart des énoncés.
  • Il existe un écart moyen général de 7 % lié à la connaissance de la situation, ce qui est considéré comme élevé. Cela s’explique par le fait que certains ministères n’étaient pas en mesure de fournir des réponses à un certain nombre d’énoncés de l’auto-évaluation, ce qui peut indiquer qu’ils disposent d’un contrôle ou de connaissances limités à l’égard de l’état de sécurité des TI ministérielles.
  • Les petits ministères se sont attribué une cote plus basse dans la plupart des domaines techniques de l’auto-évaluation, comme les 10 meilleures mesures de sécurité du CST et la gestion des incidents. Par conséquent, ces domaines enregistrent également l’écart de connaissance de la situation le plus grand, soit 10 % chacun, les deux dépassant la moyenne de 3 %.

7 % des énoncés ont été évalués comme « ? – Inconnu » par les ministères.

Gouvernance de la sécurité des TI

  • Une grande partie des petits ministères ont indiqué qu’ils disposent :
    • d’organes de surveillance ministériels;
    • d’un plan portant sur la sécurité des TI;
    • de responsabilités officiellement définies et comprises en matière de sécurité des TI;
    • de rôles et de responsabilités clairement définis.

78 % des ministères ont indiqué un niveau de maturité moyen à élevé dans le cadre des quatre sous-critères s’appliquant à la gouvernance (1.1-1.4).

Les 10 meilleures mesures de sécurité du CST

  • Seuls 14 % des ministères ont indiqué un niveau de maturité élevé pour avoir mis en œuvre les principaux éléments recommandés dans l’annexe 1 de l’ITSG-33 du CST, et 11 % ne sont pas au courant de ce qui a été mis en œuvre au sein de leur organisation.
  • Des petits ministères, 75 % ont mentionné qu’ils surveillent une partie ou l’ensemble des 10 meilleures mesures de sécurité du CST et qu’ils communiquent tout écart à la haute direction.
  • Des petits ministères, 53 % ont révélé un niveau de maturité élevé en ce qui a trait à la gestion [Caviardé].
  • Concernant [Caviardé], 81 % des petits ministères ont signalé un niveau de maturité moyen à élevé. Cependant, seulement 12 % ont mentionné qu’ils utilisent une [Caviardé].
Figure D1. Mise en œuvre des 10 meilleures mesures de sécurité du CST par les petits ministères et niveau de maturité
Mise en œuvre des 10 meilleures mesures de sécurité du CST par les petits ministères et niveau de maturité. Version textuelle ci-dessous:
Figure D1 - Version textuelle

Mise en œuvre des 10 meilleures mesures de sécurité du CST par les petits ministères et niveau de maturité

  • 14 % ont indiqué un niveau de maturité élevé
  • 28 % ont indiqué un niveau de maturité moyen
  • 47 % ont indiqué un faible niveau de maturité
  • 11 % ont indiqué un niveau de maturité inconnu

Programme de formation et de sensibilisation en matière de sécurité des TI

  • La majorité des petits ministères ont indiqué qu’ils disposent d’un programme ministériel de formation et de sensibilisation en matière de sécurité, et 85 % d’entre eux traitent de l’hameçonnage dans leur programme. Par contre, seulement une proportion de 42 % a mentionné mettre en œuvre un programme qui traite de l’ensemble des quatre domaines liés à la formation et à la sensibilisation en matière de sécurité. Seulement 14 % des ministères ont mentionné qu’ils disposent d’un programme de formation et de sensibilisation axé sur les rôles, examiné et mis à jour régulièrement.
  • Près de la totalité des petits ministères ont indiqué qu’ils rappellent à leurs employés les responsabilités qui leur incombent en matière de sécurité des TI, et environ le tiers dispose d’un processus officiel approuvé et consigné.
  • Aucun répondant n’a indiqué l’existence d’un processus approuvé et consigné pour mesurer l’efficacité du programme. Cet énoncé a donné lieu au niveau global de maturité le plus faible des auto-évaluations pour l’ensemble des énoncés dans ce domaine, et ce, dans tous les ministères.
  • Seulement 56 % des petits ministères ont indiqué avoir un niveau de maturité moyen ou élevé pour la surveillance de la participation des employés à la formation en matière de sécurité des TI et l’achèvement de celle-ci.
Figure D2. Pourcentage des petits ministères disposant d’un programme de formation et de sensibilisation en matière de sécurité des TI qui traite des quatre domaines suivants
Pourcentage des petits ministères disposant d’un programme de formation et de sensibilisation en matière de sécurité des TI qui traite des quatre domaines suivants. Version textuelle ci-dessous:
Figure D2 - Version textuelle

Pourcentage de petits ministères disposant d’un programme de formation et de sensibilisation en matière de sécurité des TI qui traite des domaines clés suivants :

  • Navigation Web sécurisée : 62 %
  • Ingénierie sociale : 59 %
  • Hameçonnage : 85 %.
  • Choix et protection des mots de passe : 71 %

Gestion des incidents

  • Une grande partie des petits ministères ont indiqué qu’ils ont défini et communiqué leurs rôles et leurs responsabilités dans le cadre de la détection des incidents et qu’ils disposent d’un processus pour cerner et évaluer les incidents liés à la sécurité des TI.
  • Seulement 13 % des répondants ont indiqué un niveau de maturité élevé pour la gestion des incidents (le plus faible sur l’ensemble des quatre domaines visés par l’auto-évaluation).
  • 56 % des petits ministères ont indiqué avoir un plan d’intervention en cas d’incident, mais seulement le [Caviardé]. Seulement deux petits ministères ont déclaré disposer d’un plan bien établi, régulièrement examiné et mis à jour.
  • Seulement 6 % des petits ministères ont indiqué qu’ils disposent d’un plan pour se remettre rapidement des incidents en matière de sécurité des TI.
  • Parmi les petits ministères, 61 % ont indiqué qu’ils consignent les leçons retenues.

13 % des réponses liées aux critères de gestion des incidents ont été auto-évaluées à un niveau de maturité élevé (3).

Annexe E. Approche d’échantillonnage

Ministères sélectionnés pour la validation

À la lumière de l’analyse des auto-évaluations effectuées, le BCG a identifié les petits ministères qui ont indiqué le niveau de maturité relative le plus élevé en réponse aux 20 énoncés de l’auto-évaluation comme suit :

  • le niveau de maturité général (c.-à-d. élevé en ce qui concerne le niveau de maturité moyen le plus élevé pour les 20 énoncés);
  • les énoncés qui ont constamment donné lieu à des cotes plus basses pour la quasi-totalité des petits ministères (c.-à-d. quatre petits ministères ou moins ont indiqué un niveau de maturité de « 3 » pour cet énoncé en particulier).

À partir de ce sous-ensemble de ministères, le BCG a établi l’ordre de priorité de sa sélection en fonction du risque, de la vérifiabilité, de la valeur ajoutée et de la représentation. Voici les facteurs pris en considération afin de déterminer l’ordre de priorité :

  • la représentation des groupes de pairs (petits, moyens, grands et agences de développement régional);
  • la représentation du modèle de prestation de services (en interne, Services partagés Canada, tiers ou une combinaison de ceux-ci);
  • la nature délicate des renseignements traités et la nature publique des applications ministérielles;
  • la vérifiabilité en ce qui concerne la disponibilité de la documentation présentée à l’appui des auto-évaluations effectuées;
  • l’existence de pratiques exemplaires possibles;
  • si le petit ministère était visé par l’audit précédent de la sécurité des TI (les ministères qui ont déjà été visés par cet audit n’ont pas été priorisés).

Deux petits ministères ont été sélectionnés en fonction des priorités susmentionnées, et un autre petit ministère du groupe de petits ministères dont la cote d’auto-évaluation est supérieure à 1,5 en ce qui concerne le niveau de maturité moyen a été ajouté. Voici les trois ministères visés pour la validation des résultats de l’auto-évaluation :

  • [Caviardé]
  • [Caviardé]
  • [Caviardé]

Ministères sélectionnés pour la consultation

L’échantillon pour la consultation a été sélectionné parmi les petits ministères qui ont indiqué dans leur auto-évaluation avoir un niveau de maturité faible dans un ou plusieurs domaines ou qui représentaient des « cas atypiques » en ce qui concerne leurs réponses aux énoncés dans des domaines précis. Les trois petits ministères retenus pour la consultation ont été sélectionnés après une analyse des auto‑évaluations effectuées, et chacun des ministères sélectionnés devait satisfaire à l'un des critères suivants :

  • ministère affichant un niveau général de maturité faible dans les quatre domaines;
  • ministère affichant un faible niveau de maturité dans un domaine, et un niveau de maturité moyen à élevé dans tous les autres;
  • ministère ayant répondu « ? » à tous les énoncés dans un ou deux domaines.

Les trois petits ministères visés par les consultations étaient les suivants :

  • [Caviardé]
  • [Caviardé]
  • [Caviardé]

Les consultations ont pris la forme d’entrevues structurées qui ont permis d’explorer les causes profondes et les autres difficultés rencontrées par les ministères qui ont indiqué dans leur auto-évaluation avoir un niveau de maturité très faible pour certains ou tous les domaines, selon les critères de sélection susmentionnés auxquels ils devaient répondre. La valeur ajoutée était le principal facteur dans la sélection de ces ministères aux fins de consultation.

Annexe F. Ressources pour la formation et la sensibilisation en matière de sécurité des TI

Les liens figurant dans le tableau F1 sont fournis à titre d’information seulement. Les ministères peuvent tirer parti de l’information disponible au moyen de ces liens pour améliorer leurs programmes de formation et de sensibilisation en matière de sécurité des TI.

Tableau F1. Ressources pour la formation et la sensibilisation en matière de sécurité des TI
Type de ressources Source Lien
Vidéos, cours et séminaires à l’intention des employés du GC, sans frais pour les apprenants. Le cours « Sensibilisation à la sécurité » (A230) est un cours recherché. École de la fonction publique du Canada, gouvernement du Canada École de la fonction publique du Canada
Carrefour de l’apprentissage, site Web Pensez cybersécurité, Mois de la sensibilisation à la cybersécurité, Introduction à l’environnement de cybermenaces Centre canadien pour la cybersécurité, gouvernement du Canada

Carrefour de l’apprentissage

Pensez cybersécurité

Mois de la sensibilisation à la cybersécurité

Introduction à l’environnement de cybermenaces
Renseignements sur les fraudes récentes Centre antifraude du Canada, gouvernement du Canada Centre antifraude du Canada
Renseignements sur les menaces à la sécurité nationale Gendarmerie royale du Canada, gouvernement du Canada Sensibilisation à la sécurité nationale
Feuillets d’information sur divers sujets liés aux TI, ressources de formation, possibilités d’événements et plus encore Site Web de l’Information Systems Audit and Control Association (ISACA) Information Systems Audit and Control Association (ISACA) (en anglais seulement)
Vidéos et avis aux consommateurs Commission fédérale du commerce, gouvernement des États-Unis Federal Trade Commission Consumer Advice (en anglais seulement)
Fiches-conseils, affiches et vidéos sur la sécurité en ligne Stop Think Connect, États-Unis Stop Think Connect (en anglais seulement)
Conseils pour créer des mots de passe forts Educause Review 8 Do’s and Don’ts of Good Passwords (en anglais seulement)
Sécurité des courriels Microsoft Microsoft Top 6 email security best practices to protect against phishing attacks and business email compromise (en anglais seulement)
Diverses ressources sur la cybersécurité Educause Bibliothèque de ressources pour la sensibilisation à la cybersécurité (en anglais seulement)
Renseignements sur divers sujets liés aux TI, ressources de formation, possibilités d’événements et plus encore National Institute of Standards and Technology, États-Unis National Initiative for Cybersecurity Education (NICE) (en anglais seulement)
Infographie, modèles, trousse d’outils et vidéos National Cyber Security Centre, Royaume-Uni National Cyber Security Centre (en anglais seulement)

Annexe G. Outils de sécurité des TI offerts par les principaux organismes responsables de la sécurité

Tableau G1. Outils de sécurité des TI offerts par les principaux organismes responsables de la sécurité
Type d’outil Source Lien
Portail des applications de cybersécurité (version bêta)
Donne aux ministères fédéraux un accès à un ensemble intégré d’outils numériques de cybersécurité 		Secrétariat du Conseil du Trésor du Canada : Accueil du Portail des applications Portail des applications du SCT (PAS)
Outils et modèles d’architecture de sécurité intégrée (ASI) Secrétariat du Conseil du Trésor du Canada, gouvernement du Canada Outils et modèles d’ASI (accessible uniquement sur le réseau du gouvernement du Canada) (en anglais seulement)
Profils de sécurité du CST Centre canadien pour la cybersécurité, gouvernement du Canada

Profil de contrôle de sécurité organisationnel proposé pour les ministères et organismes devant protéger des activités opérationnelles de catégorie de sécurité Protégé B/Intégrité moyenne/ Disponibilité moyenne : Annexe 4A – Profil 1 – (Protégé B/Intégrité moyenne/Disponibilité moyenne) (ITSG-33)

Document de travail – feuille de calcul Excel : Contrôles de sécurité et améliorations de contrôle suggérés (ITSG-33)

Profil de sécurité du Guide sur la catégorisation de la sécurité des services fondés sur l’infonuagique : Guide sur la catégorisation de la sécurité des services fondés sur l’infonuagique (ITSP.50.103)

Contrôles de cybersécurité de base pour les petites et moyennes organisations
Services de courtage infonuagique du Gouvernement du Canada (GC)
Ressource pour les ministères et organismes fédéraux qui souhaitent obtenir des services infonuagiques publics fiables pour les données classifiées et sécurisées 		Services partagés Canada, gouvernement du Canada Services de courtage infonuagique du Gouvernement du Canada (GC)

Détails de la page

Date de modification :