Enjeu

Le rôle clé de l'Agence du revenu du Canada dans l'administration des prestations et des services liés à la COVID-19 a donné un élan aux personnes mal intentionnées pour exploiter les systèmes et les procédures de l'Agence.

Plus précisément, en août 2020, le gouvernement du Canada a fait l'objet d'attaques de « bourrage de justificatifs » visant son service CléGC et les services d'ouverture de session de l'Agence. L'Agence a déterminé que des activités suspectes ont eu lieu entre le début de juillet et la mi-août sur des milliers de comptes d'utilisateurs de l'Agence. Au cours de cet événement, certains comptes de l'Agence ont été consultés de façon inappropriée et, dans certains cas, des renseignements ont été divulgués et modifiés par des personnes mal intentionnées externes non autorisées. Les attaques ont été perpétrées à l'aide des mots de passe et des noms d'utilisateur (identifiants) obtenus lors des piratages précédents dans des organisations extérieures au gouvernement du Canada. En réponse aux attaques, le gouvernement du Canada a mis en place des mesures pour empêcher d'autres tentatives d'accès à ses services avec ces identifiants compromis.

[Caviardé]

Éléments à prendre en considération

• Depuis la mise en place des prestations liées à la COVID-19, le niveau de sophistication et le nombre d'arnaqueurs se faisant passer pour des employés de l'Agence ont augmenté, ainsi que les arnaqueurs qui se font passer pour des particuliers désireux de recevoir des prestations liées à la COVID-19.
• L'Agence prend très au sérieux la protection des renseignements fiscaux des Canadiens. La confiance des particuliers et des entreprises envers l'Agence est la pierre angulaire du régime fiscal volontaire du Canada.
• La recherche sur l'opinion publique de l'Agence a constaté une baisse de l'accord avec l'énoncé « Vous êtes certain que Mon dossier est une plateforme en ligne sécurisée qui protège vos renseignements personnels », passant de 73 % en 2018-2019 à 67 % en 2020-2021.
• [Caviardé]

Prochaines étapes

• Le budget fédéral de 2021 propose 330,6 millions de dollars sur cinq ans, à compter de 2021-2022, et 51,2 millions de dollars en continu à l'Agence du revenu du Canada pour investir dans de nouvelles technologies et outils qui correspondent à la sophistication croissante des cybermenaces et pour s'assurer que l'effectif de l'Agence possède les compétences spécialisées nécessaires pour surveiller de façon proactive les menaces et mieux protéger les données des Canadiens. Le financement servirait à améliorer la protection des renseignements des contribuables contre les menaces internes et externes à la sécurité de l'information.
• L'Agence prévoit mettre en place un certain nombre de mesures d'atténuation et de contrôles supplémentaires pour continuer à éliminer les vulnérabilités nouvellement cernées et les menaces émergentes, comme le renforcement des mesures d'authentification dans les centres d'appels et les portails en ligne de l'Agence.

Messages clés

• L'Agence a une approche de défense approfondie en matière de sécurité et celle-ci ne repose pas que sur une seule solution. Cette approche multicouche protège les systèmes de l'Agence contre les cyberattaques. Si les arnaqueurs adaptent leurs façons de faire, l'Agence aussi.
• Pour veiller à ce que les Canadiens se sentent en confiance et en sécurité lorsqu'ils utilisent les services en ligne de l'Agence, celle-ci a mis en place des mesures de sécurité supplémentaires, comme l'authentification multifacteur.
• Cependant, aucune organisation n'est à l'abri des incidents de cybersécurité ou des activités frauduleuses.
• Les contribuables reconnus avoir été victimes de fraude d'identité ne sont pas tenus responsables des montants d'argent versés aux arnaqueurs qui ont usurpé leur identité, et se voient offrir des services de surveillance et de protection du crédit sans frais.
• L'Agence continuera d'ajuster et d'améliorer ses mesures de sécurité pour mieux faire face à un contexte où les menaces ne cessent d'évoluer et où les tentatives d'intrusion dans ses systèmes sont continues.

Contexte

L'Agence a centralisé la gestion de son programme de sécurité global afin d'intégrer pleinement les considérations en matière de sécurité à chaque étape du processus décisionnel.

Elle a remanié son approche à l'égard de la sécurité des comptes et de la cybersécurité en fonction de cinq piliers : identifier, détecter, protéger, intervenir et récupérer. Dans le cadre de cette stratégie, l'Agence a remanié la gouvernance, réorganisé les programmes et mis en place de nouveaux programmes. L'un de ces programmes est le programme de sécurité des comptes; celui-ci a été mis en place en 2021 en partie pour gérer l'afflux de comptes compromis et pour fournir une gouvernance plus coordonnée.

L'Agence a renforcé son réseau de partenariats externes avec d'autres ministères du gouvernement, les institutions financières, et les provinces et territoires en reconnaissant que la sécurité ne peut pas être gérée de façon isolée. Ces partenariats permettent à l'Agence de mieux répondre aux événements, d'éliminer les vulnérabilités et d'échanger des connaissances et des pratiques exemplaires afin de protéger davantage les renseignements personnels.