Vérification interne – Cybersécurité

Avis au lecteur :

Veuillez noter qu'en accord avec la Loi sur l'accès à l'information, certains des renseignements dans ce document ne peuvent pas être publiés afin de protéger nos infrastructures et les activités du gouvernement.

Rapport final

Direction générale de la vérification, de l'évaluation et des risques

Novembre 2015

Table des matières

Résumé exécutif

Contexte

En tant que l'un des plus grands détenteurs de renseignements du gouvernement du Canada et un joueur essentiel dans l'économie du Canada, l'Agence du revenu du Canada (ARC) touche la vie de tous les Canadiens. L'ARC contribue au mieux-être de la population canadienne et à l'efficience du gouvernement en assurant une administration de l'impôt et des prestations de calibre mondial qui soit réceptive, efficace et fiable.

L'ARC se fie grandement à la technologie de l'information pour exécuter son mandat, et Internet est le principal facteur qui transformera la façon dont les Canadiens interagissent avec l'ARC.

Depuis le 15 novembre 2011, Services partagés Canada (SPC) a pris en charge la responsabilité des services de courriels, de centres de données et de réseaux pour l'ARC (l'infrastructure de la TI). Le maintien de la position de sécurité de l'infrastructure de la TI de l'ARC relève désormais de SPC et la cybersécurité est devenue une responsabilité partagée entre l'ARC et SPC.

Objectif

Sachant le rôle important que joue maintenant SPC dans la cybersécurité, les objectifs de la présente vérification consistaient à s'assurer que des contrôles internes, relevant de la responsabilité de l'ARC, sont en place pour prévenir ou atténuer les risques de cyberattaques :

  1. en évaluant l'étendue de l'observation des politiques, des procédures et des processus pour consigner, communiquer et aborder les incidents de sécurité;
  2. en évaluant les mécanismes de surveillance et d'établissement de rapports en place pour les principales activités de cybersécurité.

La vérification portait principalement sur les dispositifs des utilisateurs finaux, tels que les ordinateurs de bureau et portatifs, les logiciels de l'ARC et les applications développées par l'ARC qui étaient publiques et accessibles par les contribuables.

La phase d'examen de la vérification a eu lieu de décembre 2014 à avril 2015 et elle a été effectuée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne.

Conclusion

L'ARC respecte et surpasse continuellement les normes de sécurité établies par le gouvernement du Canada pour protéger les systèmes informatiques, y compris les protocoles de sécurité de la TI relatifs à la cybersécurité.

Des contrôles internes, y compris des politiques et normes sous le contrôle de l'ARC, sont en place et fonctionnent pour appuyer la cybersécurité. Il existe pour l'Agence certaines possibilités de renforcer sa position de cybersécurité :

Plan d'action

En réponse aux conclusions présentées, la Direction générale de l'informatique et la Direction générale des finances et de l'administration ont accepté les recommandations de la vérification interne et ont élaboré un plan d'action pour donner suite aux questions en suspens décrites dans les constatations de la vérification et renforcer davantage la position de cybersécurité de l'Agence. Ces contrôles comprennent les suivants :

Introduction

Les systèmes de technologies de l'information (TI) de l'Agence du revenu du Canada (ARC) sont essentiels à sa capacité d'administrer les impôts, les prestations et les programmes connexes et d'assurer le respect des lois fiscales fédérales, provinciales et territoriales. Ses systèmes sont aussi le principal moyen dont l'Agence dispose pour rehausser l'efficience et la rentabilité de ses activités en matière d'administration fiscale, ainsi que pour améliorer les services aux clients et aux contribuables1.

L'ARC accroît sa présence Internet en offrant aux Canadiens un accès en ligne à leurs renseignements par l'entremise de services électroniques tels que Mon dossier, Mon dossier d'entreprise, Représenter un client et Accès rapide. Il est essentiel que les importants volumes de données confidentielles sur les contribuables accessibles en ligne au moyen de ces services électroniques soient protéges et traités de façon sécuritaire et responsable afin de conserver la confiance du public. L'Agence recueille et tient à jour des données sur plus de 31 millions de contribuables, dont 2,2 millions sont des sociétés.

La présence Internet se fait par le cyberespace, lequel est un monde électronique créé par des réseaux interconnectés de technologie de l'information et des renseignements qui se trouvent sur ces réseaux. Il s'agit d'un bien commun reliant plus de 1,7 milliard de personnes qui échangent des idées et des services, et qui tissent des liens d'amitié2.

Les cybermenaces signifient le risque d'une attaque électronique menée par l'entremise d'Internet qui pourrait mener à l'utilisation non autorisée, l'interruption ou la destruction de renseignements électroniques ou de l'infrastructure électronique et physique utilisée pour traiter, communiquer ou stocker ces renseignements. Ces menaces peuvent émaner de l'intérieur de l'organisation par des utilisateurs approuvés ou d'emplacements à distance par des personnes inconnues utilisant Internet.

Des exemples de telles menaces comprennent les courriels infectés, le code malveillant (fichiers joints aux courriels ou sites Internet suspects), les exploitations de vulnérabilités connues, la compromission de systèmes ou de données, et les attaques de déni de service distribué (DDoS). Les origines possibles des cybermenaces sont nombreuses et peuvent provenir de gouvernements hostiles, de groupes terroristes, d'employés mécontents, d'intrus malveillants ou d'autres sources.

La réponse du gouvernement du Canada aux cybermenaces est la Stratégie de cybersécurité du Canada, laquelle est présentée dans le document intitulé : Plan d'action 2010-2015 de la Stratégie de cybersécurité du Canada. L'un de ses piliers est la protection des systèmes du gouvernement, y compris ceux de l'ARC. Par conséquent, ce plan d'action engage la direction à établir les structures, les outils et le personnel nécessaires pour respecter ses obligations en matière de cybersécurité.

Alors que la position de sécurité de l'ARC évolue constamment, sa Stratégie de sécurité de la TI est en place afin que les données, les fonds de renseignements et l'infrastructure de la TI continuent à être protéges contre des cybermenaces de plus en plus complexes. Les partenariats avec d'autres ordres de gouvernement et les propriétaires et exploitants d'infrastructures essentielles aident à protéger l'infrastructure essentielle du Canada et à communiquer les menaces à ceux-ci.

Le gouvernement du Canada a créé Services partagés Canada (SPC) le 4 août 2011 afin de transformer fondamentalement la façon dont le gouvernement gère son infrastructure de TI. La création de SPC a permis de regrouper des gens, des ressources technologiques et des biens issus de 43 ministères et organismes afin d'améliorer l'efficacité, la fiabilité et la sécurité de l'infrastructure de TI de l'administration fédérale.

L'établissement de SPC a créé une grande dépendance pour l'ARC. Les décisions de SPC, prises en consultation avec l'ARC, des pratiques de gestion des relations robustes et une connaissance claire des contributions de SPC à la sécurité de la TI sont maintenant essentielles à la gestion de la position future de sécurité de la TI de l'ARC. Le maintien de la position de sécurité de l'infrastructure de la TI de l'ARC relève désormais de SPC.

PROTÉGÉ

En avril 2014, les systèmes de l'ARC ont fait l'objet d'une vulnérabilité appelée «bogue Heartbleed», un logiciel dont l'utilisation était répandue pour protéger les communications Internet, y compris les services Web publics de l'ARC. PROTÉGÉ

Même s'ils ont été touchés par cette vulnérabilité en 2014, les Canadiens continuent de faire confiance à l'ARC en 2015 et ont augmenté leur utilisation des services en ligne de l'Agence :

Portée de la vérification

Les objectifs de la vérification de la cybersécurité consistaient à s'assurer que tous les contrôles internes relevant de la responsabilité de l'ARC sont en place pour prévenir ou adéquatement atténuer les risques de cyberattaques en :

  1. évaluant l'étendue de l'observation des politiques, des procédures et des processus pour consigner, communiquer et aborder les incidents de sécurité;
  2. évaluant les mécanismes de surveillance et d'établissement de rapports en place pour les principales activités de cybersécurité.

Le point de mire de la vérification était les dispositifs des utilisateurs finaux, les logiciels de l'ARC et les applications développées par l'ARC qui sont publiques et accessibles aux contribuables.

La phase d'examen de la vérification s'est déroulée entre décembre 2014 et avril 2015, et elle a été effectuée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne.

Constatations, recommandations et plans d'action

Secteur d'intérêt

1.0 Conformité avec les politiques, les normes, les procédures et les processus

L'objectif du premier secteur d'intérêt était de déterminer si les principaux intervenants observent les politiques, les normes, les procédures et les processus de l'ARC relatifs à la cybersécurité.

Constatations

1.1 Harmonisation avec la politique

L'ARC respecte et surpasse continuellement les normes de sécurité établies par le gouvernement du Canada pour protéger les systèmes informatiques, y compris les protocoles de sécurité de la TI relatifs à la cybersécurité.

1.2 Rôles et responsabilités

Les rôles et les responsabilités sont clairement consignés et communiqués en termes de cybersécurité à l'ARC.

On s'attend à ce que les employés de l'ARC signalent les incidents de sécurité et qu'ils soient conscients de leurs responsabilités en matière de sécurité. De plus, la Direction générale de l'informatique (DGI) et la Direction générale des finances et de l'administration (DGFA) ont chacune des responsabilités qui leur sont propres afin de protéger contre les menaces à la cybersécurité.

À la DGFA, la Direction de la sécurité et des affaires internes (DSAI) rédige des instruments de politique, surveille le respect des instruments de politique, fait la promotion de la sensibilisation et signale les incidents au Secrétariat du Conseil du Trésor (SCT).

1.3 Sensibilisation à la sécurité et formation

L'ARC offre de la formation en matière de sécurité obligatoire, en plus de sensibiliser et d'éduquer continuellement ses employés. Les plus de 40 000 employés représentent la première ligne de défense pour protéger les fonds de renseignements de l'ARC.

Un type de cyberattaque est l'hameçonnage par courriel, qui est une tentative malveillante visant à obtenir des renseignements, comme des noms d'utilisateur et des mots de passe, et à distribuer des logiciels malveillants en se faisant passer pour des organismes de confiance dans une communication électronique. Les tentatives d'hameçonnage réussies pourraient entraîner la divulgation non autorisée de renseignements et même l'incapacité d'offrir un service de réseau.

En janvier, février et mars 2015, la DSAI a mené une simulation d'hameçonnage sur 16 000 employés de l'Agence du revenu du Canada dans toutes les directions générales et régions.

D'autres ministères ont mené des simulations d'hameçonnage comme méthode efficace pour accroître la sensibilisation. L'ARC a embauché une compagnie privée canadienne qui est spécialisée en simulations d'hameçonnage pour mener un exercice semblable de sensibilisation à l'Agence.

Dans l'ensemble, le nombre d'employés de l'ARC qui ont reçu un courriel d'hameçonnage simulé pour la première fois et qui ont réagi comme on le souhaitait (en ne pas cliquant sur le lien) surpasse la moyenne d'employés des autres ministères qui ont réagi comme on le souhaitait à un exercice semblable. Ceci démontre que les employés de l'ARC ont une meilleure sensibilisation à la sécurité que la moyenne aux attaques d'hameçonnage. De plus, dans le cadre de la vérification, nous n'avons relevé aucun cas où un courriel d'hameçonnage a entraîné une atteinte à la sécurité. Ceci est probablement attribuable aux barrières de sécurité à couches multiples instaurées entre le gouvernement du Canada, SPC et l'ARC. La plupart des courriels d'hameçonnage sont cernés pour la première fois et bloqués par les dispositifs antipourriels de SPC.

L'ARC a aussi lancé un cours de formation en ligne obligatoire pour sensibiliser à la sécurité qui a été suivi par 90 % des employés (plus de 37 500 employés). Des rappels réguliers par courriel sont envoyés dans le cadre de campagnes de sensibilisation à la sécurité en plus d'une initiative annuelle de sensibilisation à la sécurité qui dure une semaine. La première ligne de défense de l'ARC est les plus de 40 000 employés qui demeurent vigilants quant aux activités anormales dans leur environnement de travail.

1.4 Évaluations de la menace et des risques

Des évaluations de sécurité doivent être effectuées pour tous les systèmes et composantes de l'ARC afin d'évaluer le niveau de risque auquel sont exposés les renseignements et les systèmes de l'ARC, et afin de fournir des recommandations pour atténuer les risques en vue d'atteindre un niveau acceptable. Les évaluations de la sécurité font partie du processus d'évaluation de la menace et des risques (EMR) qui aide à déterminer si les risques associés à un système donné se situent à un niveau acceptable dans le cadre du contexte opérationnel actuel. PROTÉGÉ

1.5 Réponse aux incidents de sécurité de la TI

La réponse aux incidents de sécurité de la TI est cohérente et rapide chaque fois qu'une attaque est détectée.

PROTÉGÉ

Recommandations

PROTÉGÉ

2.0 Surveillance et établissement de rapports

L'objectif du deuxième secteur d'intérêt était de déterminer si les mécanismes de surveillance et d'établissement de rapports sont en place pour les activités relatives à la cybersécurité.

Constatations

2.1 Surveillance des cybermenaces

L'ARC surveille continuellement les alertes de sécurité des principaux organismes de sécurité et des fournisseurs de TI. Ces menaces doivent être évaluées, ainsi que les stratégies d'atténuation potentielles. La haute direction en est informée au moyen de rapports d'évaluation des cybermenaces (anciennement appelés «rapports d'évaluation exécutive des risques»). Les rapports d'évaluation des cybermenaces sont envoyés au dirigeant principal de l'information, aux sous-commissaires adjoints de la DGI et à d'autres cadres supérieurs responsables des secteurs de sécurité de l'ARC, de SPC et de l'ASFC qui ont un besoin de savoir.

Il y a suffisamment de renseignements pour permettre à haute direction de choisir la ligne de conduite appropriée lorsque cela est nécessaire.

2.2 Surveillance des mises à jour de logiciels

Le Centre de la sécurité des télécommunications considère l'application ponctuelle des correctifs pour tous les dispositifs comme l'une des dix principales mesures d'atténuation3 en ce qui concerne la prévention des cyberattaques. L'ARC gère plus de 90 000 dispositifs d'utilisateurs finaux, tels que des ordinateurs de bureau et portatifs, dont 24 000 sont gérés pour le compte de l'Agence des services frontaliers du Canada. PROTÉGÉ

2.3 Établissement de rapports sur les incidents de cybersécurité

Les rapports d'incident de sécurité fournis à la haute direction par l'agent de sécurité de l'Agence portent actuellement sur les incidents liés à la sécurité physique (la perte ou le vol de fonds de renseignements - dossier informatique ou papier, ou menace physique). Les incidents de sécurité de la TI (dispositifs infectés par des logiciels malveillants à la suite d'attaques d'hameçonnage) ne sont pas considérés comme des incidents de sécurité, à moins qu'ils n'entraînent une perte de données. Toutefois, les incidents relatifs à la sécurité de la TI, y compris les menaces à la sécurité de la TI entraînant une perte de données, suivent le processus établi de gestion des incidents de la Gestion des services de la TI (GSTI) au sein de la DGI. Lorsqu'une compromission importante d'un système de la TI est détectée, un rapport d'étape de fin de journée est également créé et mis à jour quotidiennement jusqu'à ce que l'incident soit réglé. Seulement quelques rapports d'étape de fin de journée ont été produits dans les dernières années. La liste de distribution pour ces rapports est semblable à celle des rapports d'évaluation des cybermenaces.

En plus d'envoyer des rapports d'évaluation des cybermenaces, tel que décrit ci-dessus, on fournit des paramètres sommaires sur douze mois pour présenter les tendances. La DGI élabore également un nouveau tableau de bord trimestriel sur la sécurité de la TI, qui est disponible à compter d'août 2015.

Recommandation

PROTÉGÉ

Conclusion

Des contrôles internes, y compris des politiques et des normes, sont en place et fonctionnent de manière adéquate pour atténuer les risques relatifs aux aspects de la cybersécurité dans les secteurs de responsabilité de l'ARC. Toutefois, il existe pour l'Agence certaines possibilités de renforcer sa position de cybersécurité :

Annexe A - PROTÉGÉ

PROTÉGÉ

Annexe B - Méthodologie

Les objectifs de la vérification de la cybersécurité consistaient à s'assurer que les contrôles internes sont en place pour prévenir ou atténuer de manière adéquate les risques de cyberattaques; à évaluer l'étendue de l'observation des politiques, des procédures et des processus pour consigner, communiquer et aborder les incidents de sécurité; à évaluer les mécanismes de surveillance et d'établissement de rapports en place pour les principales activités de cybersécurité.

La liste ci-dessous indique les diverses méthodes de collecte de renseignements utilisées pour cette vérification :

Détails de la page

Date de modification :