Vérification interne – Contrôles spécifiques de la cybersécurité
Rapport final
Direction générale de la vérification, de l’évaluation et des risques
Mars 2023
Résumé exécutif
De la période du 1er avril 2021 au 31 mars 2022, l’Agence du revenu du Canada (ARC) a administré plus de 586,3 milliards de dollars en revenus et en cotisations de pension, dont 91 % des déclarations de revenus des particuliers et 94 % des déclarations de revenus des sociétés ont été produites par voie électronique. L’ARC a été en mesure d’offrir 89 % de ses services fiscaux en ligne aux particuliers et aux entreprises.
L’ARC possède l’un des environnements de technologie de l’information (TI) et l’un des répertoires de renseignements personnels et financiers les plus importants au sein du gouvernement du Canada. L’ARC utilise la TI depuis 1960 et a été en mesure de s’adapter aux besoins des Canadiens, qui utilisent et se fient de plus en plus aux services numériques. L’ARC s’est adaptée à l’évolution tout en protégeant ses renseignements, ce qui est essentiel à la réalisation de ses priorités.
Cette vérification avait pour but de fournir une assurance au commissaire, à la direction de l’ARC et au Conseil de direction que des contrôles sont en place et fonctionnent comme prévu pour empêcher les cyberattaques qui pourraient compromettre les systèmes de la TI de l’ARC.
La posture de cybersécurité de l’ARC englobe des centaines de contrôles clés. La présente vérification portait sur un sous-ensemble de ces contrôles, qui ont été jugés à risque plus élevé lors d’une évaluation des risques effectuée durant la phase de planification de la mission au quatrième trimestre de 2021-2022.
La vérification a révélé que des améliorations sont nécessaires dans les domaines suivants afin de réduire les risques de cyberattaques qui pourraient compromettre les systèmes de la TI de l’ARC :
[contenu protégé]
[contenu protégé]
Les contrôles inclus dans le programme de cybersécurité n’ont pas tous été examinés lors de la vérification, et celle-ci ne constitue pas une opinion sur la posture globale de cybersécurité de l’ARC. Cependant, la réussite de la mise en œuvre des plans d’action pour donner suite aux recommandations formulées dans le rapport appuiera efficacement la conformité, la surveillance et l’établissement de rapports du programme de cybersécurité de l’ARC.
À titre de pratique exemplaire, l’Institute of Internal Auditors (IIA) et l’Information Systems Audit and Control Association (ISACA) recommandent d’avoir trois lignes de défense pour les fonctions clés, comme la cybersécurité.
Sommaire des recommandations
- La Direction générale de la sécurité devrait établir une deuxième ligne de défense pour la cybersécurité afin d’évaluer et de surveiller les contrôles internes liés à la cybersécurité. La Direction générale de la vérification‚ de l’évaluation et des risques recommande que cette fonction entreprenne les activités suivantes :
- Examiner et mettre à jour les instruments de politique d’entreprise afin de les harmoniser avec la Politique sur les services et le numérique du Conseil du Trésor.
[contenu protégé]
[contenu protégé]
[contenu protégé]
[contenu protégé]
[contenu protégé]
Réponse de la direction
La Direction générale de la sécurité est d’accord avec les constatations présentées dans ce rapport. Comme la Direction générale de la vérification‚ de l’évaluation et des risques, la Direction générale de la sécurité est d’avis que la vérification n’a pas révélé de vulnérabilités qui pourraient exposer l‘ARC à des attaques immédiates. Toutefois, selon la Direction générale de la sécurité, la vérification a été très utile, car elle a révélé les signes d’une lacune de gouvernance en matière de cybersécurité plus importante au sein de l’ARC. Son plan d’action permettra de combler cette lacune tout en abordant les constatations individuelles de la vérification.
La vue d’ensemble des constatations de la vérification
La vérification a révélé six contrôles individuels aux fins d’amélioration. Pour mettre cela en contexte, le modèle en matière de gestion des risques de cybersécurité du gouvernement du Canada comprend des centaines de contrôles de ce type qui fonctionnent ensemble de manière superposée. Ce paradigme de « défense en profondeur » met en place des couches de différents types de contrôles des risques (techniques, de gestion, administratifs, etc.) pour aider l’ARC, conformément au Cadre de cybersécurité du National Institute of Standards and Technology, à IDENTIFIER les menaces pour l’organisation, à mettre en place des moyens de défense pour la PROTÉGER contre ces menaces, à DÉTECTER si les menaces ont pénétré ses défenses, à RÉPONDRE efficacement si c’est le cas et à se RÉTABLIR de tout incident.
[contenu protégé]
[contenu protégé]
Figure 1 : [contenu protégé]
Une culture de vérification croissante au sein de la Direction générale de la sécurité
La Direction générale de la sécurité s’efforce d’intégrer une culture de vérification à ses pratiques opérationnelles. Au cours des 18 derniers mois, en plus de deux vérifications internes distinctes, la Direction générale de la sécurité a mené plusieurs autovérifications par rapport au cadre de cybersécurité du National Institute of Standards and Technology. Celles-ci comprenaient une vérification détaillée, que Gartner a complétée, et l’évaluation annuelle de la maturité de la cybersécurité du Secrétariat du Conseil du Trésor. En janvier 2023, le Forum mondial de l’Organisation de coopération et de développement économiques a effectué une vérification approfondie des contrôles de sécurité de l’information de la Direction générale de la sécurité. Ils ont terminé leur vérification sans aucune recommandation pour l’ARC. Tous les trois ans, l’ARC fait appel à un consultant pour examiner de façon exhaustive sa maturité globale en matière de cybersécurité. En 2022, les cyberexperts de Forrester ont placé l’ARC au milieu du lot en ce qui concerne l’industrie. La Direction générale de la sécurité présentera les constatations de la vérification de Forrester et ses plans d’action au Conseil de direction en juin 2023. Chaque trimestre, la Direction générale de la sécurité effectue également un examen des analyses de vulnérabilité effectuées par Services partagés Canada sur la couche réseau qui relève de sa responsabilité. La Direction générale de la sécurité travaille avec Services partagés Canada pour corriger certains problèmes.
Finalement, la Direction générale a investi dans un Red Team dédié à la cybersécurité, ce qui est peut-être l’élément le plus remarquable de la culture de vérification de la Direction générale de la sécurité. Il s’agit d’un groupe d’experts techniques qui tentent de pirater ses systèmes comme un adversaire pourrait le faire. À la connaissance de la Direction générale de la sécurité, cette équipe est la première du genre dans un ministère du gouvernement et elle a réussi à mettre en évidence les faiblesses en matière de cybersécurité dans les défenses de l’ARC et dans celles du gouvernement dans son ensemble.
Principale recommandation de vérification : établir une capacité de gouvernance, de risque et de conformité au sein de la Direction générale de la sécurité
Nonobstant ce qui précède, la vérification interne actuelle—et, par coïncidence, la vérification du tiers Forrester—a suggéré la nécessité pour la Direction générale de la sécurité d’améliorer davantage son travail d’assurance continue. À cette fin, l’équipe de la vérification interne a recommandé la création d’une capacité de gouvernance, de risque et de conformité au sein de la direction générale afin d’évaluer et de surveiller les contrôles internes liés à la cybersécurité.
La Direction générale de la sécurité est d’accord avec cette recommandation et croit qu’une capacité officielle de gouvernance, de risque et de conformité pourrait représenter la « deuxième ligne de cyberdéfense » dans le cadre du modèle de gouvernance des « trois lignes de défense » bien connu. La première ligne de la cyberdéfense de l’ARC continuera d’être la gestion opérationnelle au sein de la Direction de la cybersécurité et de la sécurité de l’information de la Direction générale de la sécurité. La Direction de la cybersécurité et de la sécurité de l’information continuera d’assumer la propriété, la responsabilité et la reddition de comptes de l’évaluation, du contrôle et de l’atténuation des risques liés à la cybersécurité et à la sécurité de l’information.
Une nouvelle deuxième ligne de défense sera établi d’ici mars 2024 et comprendra une équipe de gouvernance, de risque et de conformité (ou « d’assurance »). Cette équipe supervisera les politiques, les cadres, les outils et les techniques de cybersécurité afin de faciliter la gestion des cyberrisques par la Direction de la cybersécurité et de la sécurité de l’information. Elle permettra également d’examiner l’efficacité avec laquelle l’ARC mesure les cyberrisques et de déterminer si les contrôles en place fonctionnent comme prévu. Enfin, elle facilitera la circulation des renseignements sur les cyberrisques, latéralement et horizontalement, au sein de l’ARC et dans l’ensemble des autres partenaires clés du gouvernement (p. ex., Services partagés Canada, Agence des services frontaliers du Canada, Centre canadien pour la cybersécurité, Emploi et Développement social Canada, et autres).
Bien entendu, la troisième ligne de défense continuera d’être la fonction de la vérification interne au sein de la Direction générale de la vérification‚ de l’évaluation et des risques. Cette Direction générale s’assurera que les deux premières lignes fonctionnent efficacement et indiquera comment elles peuvent être améliorées.
En résumé, la Direction générale de la sécurité est d’accord avec les recommandations formulées dans le présent rapport de vérification interne et les abordera dans le contexte d’une nouvelle fonction de gouvernance, de risque et de conformité au sein de la Direction générale. La Direction générale de la sécurité a élaboré des plans d’action connexes et la Direction générale de la vérification, de l’évaluation et des risques a déterminé que les plans d’action sont adéquats pour donner suite aux recommandations.
1. Introduction
L’Agence du revenu du Canada (ARC) possède l’un des environnements de technologie de l’information (TI) et l’un des répertoires de renseignements personnels et financiers les plus importants au sein du gouvernement du Canada. Étant donné que les Canadiens utilisent et se fient de plus en plus aux services numériques, la protection des renseignements de l’ARC est essentielle à la réalisation de ses priorités.
De la période du 1er avril 2021 au 31 mars 2022, 89 % des services fiscaux de l’ARC étaient disponibles en ligne pour les particuliers et les entreprises. L’ARC a administré plus de 586,3 milliards de dollars en revenus et en cotisations de pension, dont 91 % des déclarations de revenus des particuliers et 94 % des déclarations de revenus des sociétés ont été produites par voie électronique. L’ARC a émis plus de 36 milliards de dollars en prestations fédérales et provincialesNote de bas de page 1.
Le 11 mars 2020, l’Organisation mondiale de la Santé a qualifié la COVID-19 de pandémie. L’ARC a joué un rôle de premier plan dans le Plan d’intervention économique du Canada pour répondre à la COVID-19, en prenant des mesures sans précédent pour aider les Canadiens et les entreprises qui éprouvaient des difficultés, tout en veillant à ce que toute incidence sur la vie privée soit examinée et atténuéeNote de bas de page 2.
L’ARC a administré la distribution de plus de 200 milliards de dollars par l’intermédiaire de 11 programmes de prestations, et un autre 19,4 millions de dollars ont été administrés dans deux autres programmes de prestations actifs. Plus de 20,7 millions de Canadiens ont reçu des prestations liées à la pandémie en 2020Note de bas de page 3. L’offre de services numériques présente une occasion d’exécuter rapidement des programmes et des prestations, mais elle souligne également l’importance d’avoir un cadre de cybersécurité solide pour veiller à ce que les risques liés à la sécurité soient atténués de façon appropriée.
À la fin de 2020, l’ARC a commencé à prendre des mesures pour intégrer toutes les fonctions de sécurité dans une seule direction générale. En avril 2022, l’agent de sécurité de l’Agence a assumé un rôle accru de surveillance de toutes les obligations en matière de sécurité de l’ARC.
L’ARC dépend d’une architecture de cybersécurité multicouche qui comprend la protection de son périmètre externe par Services partagés Canada (SPC) et le Centre canadien pour la cybersécurité, qui sont les principaux fournisseurs des mesures de protection de l’infrastructure dans les couches réseau et physique. En tant que tiers, SPC fournit des services que l’ARC a le mandat d’utiliser. Afin de bien gérer cette interaction, la relation avec SPC est gérée comme un risque pour la chaîne d’approvisionnement.
[contenu protégé]
Afin de protéger davantage les données électroniques stockées par l’ARC et d’éviter que les renseignements personnels des Canadiens soient compromis, le budget de 2021 proposait de fournir 332 millions de dollars sur cinq ans à l’ARC, à compter de l’exercice 2021 jusqu’à 2022, et 51,2 millions de dollars en financement continu pour investir dans de nouvelles technologies et de nouveaux outils qui correspondent à la sophistication croissante des cybermenaces, et pour veiller à ce que l’effectif de l’ARC possède les compétences spécialisées nécessaires pour surveiller de façon proactive les menaces et mieux protéger les données canadiennesNote de bas de page 4. L’ARC a une approche de défense approfondie à l’égard de la sécurité et ne dépend pas d’une seule solution. Elle fournit des mesures de protection complémentaires associées aux points terminaux et aux couches d’application et de liaison de données.
2. Point de mire de la vérification
Cette vérification interne était incluse dans le Plan d’assurance et de consultation axé sur les risques de 2021-2022 approuvé par le Conseil de direction. Le cahier de planification a été approuvé par le commissaire le 14 juin 2022.
2.1 Importance
Cette vérification est importante puisque les atteintes à la vie privée et les cyberattaques qui menacent les données et les biens de nature délicate peuvent avoir de graves conséquences pour les organisations, allant des pertes financières aux préjudices réputationnels. Comme l’ARC est l’un des plus importants détenteurs de renseignements au sein du gouvernement du Canada, la protection des renseignements personnels et des renseignements des contribuables est essentielle pour maintenir la confiance du public à son égard. Une posture de cybersécurité efficace est l’aboutissement des pratiques de sécurité, de la formation du personnel et des contrôles en couches qui doivent continuellement s’adapter à l’évolution des menaces persistantes. Cette vérification interne est liée aux risques d’entreprise cernés dans le profil des risques de l’entreprise de l’ARC sur la protection des renseignements des contribuables et la cybersécurité.
2.2 Objectif
Cette vérification avait pour but de fournir une assurance au commissaire, à la direction de l’ARC et au Conseil que des contrôles sont en place et fonctionnent comme prévu pour empêcher les cyberattaques qui pourraient compromettre les systèmes de TI de l’ARC.
2.3 Portée
La vérification portait sur les systèmes de production, les composantes, les applications, les processus de soutien et les activités de l’ARC en date du 1er décembre 2021. La portée de la vérification était motivée par les résultats d’une analyse de risques et a également tenu compte du travail effectué par d’autres fournisseurs de services de consultations et d’assurance afin d’éviter le chevauchement. Les exemples de contrôles de vérification effectués par l’équipe de vérification comprenaient des procédures visant:
[contenu protégé]
[contenu protégé]
[contenu protégé]
[contenu protégé]
[contenu protégé]
[contenu protégé]
La portée ne comportait pas ce qui suit :
- la gestion des biens d’infrastructure, comme les ordinateurs centraux, les serveurs, les réseaux et l’infrastructure infonuagique, sous la direction de SPC;
- les secteurs où les contrôles internes changeraient avec le lancement de nouveaux projets ou initiatives;
- les réseaux et appareils certifiés pour les renseignements ayant des niveaux de classification Protégé C ou supérieurs;
- les secteurs qui ont fait l’objet d’un examen dans le cadre d’autres missions internes ou externes, y compris :
- l’attaque par bourrage d’identifiants d’août 2020, puisque le Commissariat à la protection de la vie privée du Canada a entamé une enquête en octobre 2020. L’enquête était toujours en cours à la fin de la phase d’examen en août 2022;
- la maturité des pratiques de sécurité de la TI de l’ARC, car la Direction générale de la sécurité a embauché un consultant pour évaluer l’état actuel et fournir des recommandations aux fins d’amélioration, plus précisément en ce qui concerne le programme de résilience des activités de cybersécurité de l’ARC.
La période visée par cette vérification était du 1er décembre 2021 au 31 août 2022.
2.4 Critères et méthodologie de la vérification
Vous trouverez les critères et la méthodologie à l’annexe A.
La phase d’examen de la vérification s’est déroulée entre mai 2022 et août 2022.
La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne, comme le démontrent les résultats du programme de l’assurance de la qualité et d’amélioration.
3. Constatations, recommandations et plans d’action
Les recommandations formulées dans le présent rapport visent à traiter les enjeux de grande importance et les exigences obligatoires.
La Direction générale de la sécurité et la Direction générale de l’informatique sont d’accord avec les recommandations du présent rapport et ont élaboré des plans d’action connexes. La Direction générale de la vérification, de l’évaluation et des risques a déterminé que les plans d’action sont adéquats pour donner suite aux recommandations.
3.1 Observation
3.1.1 Les politiques, les directives, les normes et les procédures de l’ARC liées à la cybersécurité sont définies, à jour et communiquées aux intervenants, mais des changements sont nécessaires pour les harmoniser avec la Politique sur les services et le numérique du Conseil du Trésor.
La vérification s’attendait à ce que les politiques, les directives, les normes et les procédures de l’ARC liées à la cybersécurité soient définies, à jour et communiquées aux intervenants. Elles devaient également être harmonisées avec la Politique sur les services et le numérique du Conseil du Trésor.
En avril 2022, la Direction générale de la sécurité a été formée et cette transition fait partie de l’évolution de la sécurité à l’ARC, où l’agent de sécurité de l’Agence a assumé un rôle accru et assure la surveillance de toutes les obligations de sécurité de l’ARC. À la fin de 2020, l’ARC a commencé à prendre des mesures pour intégrer toutes les fonctions de sécurité à l’agent de sécurité de l’Agence, qui détient le rang de sous-commissaire, siège à tous les comités de la haute direction et est responsable de diriger toutes les fonctions de sécurité de l’ARC en collaboration avec d’autres hauts fonctionnaires, conformément avec la Directive sur la gestion de la sécurité. En septembre 2021, l’agent de sécurité de l’Agence est devenu entièrement responsable des huit contrôles de sécurité énumérés dans la Politique sur la sécurité du gouvernement, ainsi que de la cybersécurité.
Au moment de l’examen, les instruments de politique d’entreprise étaient mis à jour afin de refléter les responsabilités et les changements organisationnels générés par la création de la Direction générale de la sécurité et le transfert des responsabilités qui en a découlé. Les instruments de politique d’entreprise liés à la cybersécurité sont en place et communiqués sur les pages InfoZone de la Direction générale de la sécurité.
Certains instruments de politique d’entreprise doivent être mis à jour afin d’inclure les nouveaux éléments suivants introduits par la Politique sur les services et le numérique du Conseil du Trésor qui est entrée en vigueur le 1er avril 2020 :
- exigence de résidence des données au Canada;
- autorisation des appareils connectés à l’infrastructure de l’ARC.
L’ARC possède également des contrôles plus stricts dans certains secteurs, car elle interdit aux employés, aux consultants et aux entrepreneurs de travailler à l’extérieur du Canada pour des raisons personnelles (sauf si l’autorisation est donnée par le commissaire), tandis que les politiques du Conseil du Trésor ne fournissent aucune orientation à cet égard.
Recommandation 1
La Direction générale de la sécurité devrait établir une deuxième ligne de défense pour la cybersécurité afin d’évaluer et de surveiller les contrôles internes liés à la cybersécurité. La direction générale de la vérification, de l’évaluation et des risques recommande que cette fonction entreprenne les activités suivantes :
- 1.1. Examiner et mettre à jour les instruments de politique d’entreprise afin de les harmoniser avec la Politique sur les services et le numérique du Conseil du Trésor
- 1.2. [contenu protégé]
- 1.3. [contenu protégé]
- 1.4. [contenu protégé]
- 1.5. [contenu protégé]
Plan d’action 1.1
La vérification interne a souligné à juste titre que les instruments de politique d’entreprise de l’ARC ne sont pas harmonisés avec la Politique sur les services et le numérique du Conseil du Trésor et les directives connexes. Cela dit, la Direction générale de la sécurité tient à souligner que les pratiques de l’ARC sont en fait harmonisées avec la Politique sur les services et le numérique.
La Politique sur les services et le numérique a remplacé huit politiques distinctes du Conseil du Trésor. Ainsi, la mise à jour des instruments de politique d’entreprise de l’ARC sera un exercice administratif approfondi qui nécessitera d’accorder beaucoup de temps aux consultations et aux approbations d’environ 18 instruments de politique d’entreprise distincts au sein de l’ARC. La date de décembre 2024 correspond aux plans initiaux d’examen du cycle stratégique de la Direction générale de la sécurité, ce qui signifie qu’elle n’aura pas à communiquer deux fois avec ses intervenants, ce qui leur occasionnerait du travail inutile.
Date d’achèvement cible pour la mise à jour des instruments de politique d’entreprise afin de les harmoniser avec la Politique sur les services et le numérique : décembre 2024
3.1.2 [contenu protégé]
[contenu protégé]
Recommandation 1
La Direction générale de la sécurité devrait établir une deuxième ligne de défense pour la cybersécurité afin d’évaluer et de surveiller les contrôles internes liés à la cybersécurité. La direction générale de la vérification, de l’évaluation et des risques recommande que cette fonction entreprenne les activités suivantes :
- 1.1. Examiner et mettre à jour les instruments de politique d’entreprise afin de les harmoniser avec la Politique sur les services et le numérique du Conseil du Trésor
- 1.2. [contenu protégé]
- 1.3. [contenu protégé]
- 1.4. [contenu protégé]
- 1.5. [contenu protégé]
Plan d’action 1.2
[contenu protégé]
3.1.3 [contenu protégé]
[contenu protégé]
Recommandation 1
La Direction générale de la sécurité devrait établir une deuxième ligne de défense pour la cybersécurité afin d’évaluer et de surveiller les contrôles internes liés à la cybersécurité. La direction générale de la vérification, de l’évaluation et des risques recommande que cette fonction entreprenne les activités suivantes :
- 1.1. Examiner et mettre à jour les instruments de politique d’entreprise afin de les harmoniser avec la Politique sur les services et le numérique du Conseil du Trésor
- 1.2. [contenu protégé]
- 1.3. [contenu protégé]
- 1.4. [contenu protégé]
- 1.5. [contenu protégé]
Plan d’action 1.3
[contenu protégé]
3.1.4 [contenu protégé]
[contenu protégé]
Recommandation 1
La Direction générale de la sécurité devrait établir une deuxième ligne de défense pour la cybersécurité afin d’évaluer et de surveiller les contrôles internes liés à la cybersécurité. La direction générale de la vérification, de l’évaluation et des risques recommande que cette fonction entreprenne les activités suivantes :
- 1.1. Examiner et mettre à jour les instruments de politique d’entreprise afin de les harmoniser avec la Politique sur les services et le numérique du Conseil du Trésor
- 1.2. [contenu protégé]
- 1.3. [contenu protégé]
- 1.4. [contenu protégé]
- 1.5. [contenu protégé]
Plan d’action 1.4
[contenu protégé]
3.1.5 [contenu protégé]
[contenu protégé]
Recommandation 1
La Direction générale de la sécurité devrait établir une deuxième ligne de défense pour la cybersécurité afin d’évaluer et de surveiller les contrôles internes liés à la cybersécurité. La direction générale de la vérification, de l’évaluation et des risques recommande que cette fonction entreprenne les activités suivantes :
- 1.1. Examiner et mettre à jour les instruments de politique d’entreprise afin de les harmoniser avec la Politique sur les services et le numérique du Conseil du Trésor
- 1.2. [contenu protégé]
- 1.3. [contenu protégé]
- 1.4. [contenu protégé]
- 1.5. [contenu protégé]
Plan d’action 1.5
[contenu protégé]
3.1.6 [contenu protégé]
[contenu protégé]
Recommandation 2
[contenu protégé]
Plan d’action 2
[contenu protégé]
3.2 Surveillance et établissement de rapports
3.2.1 Le tableau de bord de la cybersécurité évolue afin de s’assurer que des renseignements adéquats sur la cybersécurité sont fournis à la haute direction et au Conseil.
La vérification a examiné et évalué diverses versions du tableau de bord de la cybersécurité présenté au Conseil de direction depuis le premier trimestre de 2021-2022.
Au cours de cette même période, il y avait également d’autres rapports liés à la cybersécurité dont les mesures ne faisaient pas partie des tableaux de bord et qui ont été préparés et présentés à la haute direction de l’ARC et au Conseil.
Le tableau de bord de la cybersécurité a évolué depuis le début de la vérification interne au moyen de consultations avec les membres du Conseil sur la pertinence des éléments du tableau de bord.
Le tableau de bord de la cybersécurité est normalement présenté comme un point consensuel lors des réunions trimestrielles du Conseil de direction. Lorsqu’un incident de cybersécurité d’intérêt se produit (comme la vulnérabilité de Log4j), la Direction générale de la sécurité, la Direction générale de l’informatique et la Direction générale des finances et de l’administration sont présentes pour répondre aux questions et fournir des renseignements supplémentaires.
Une multitude d’indicateurs précurseurs et tardifs sont disponibles, mais la sélection des indicateurs appropriés pour énoncer adéquatement la position globale de l’ARC en matière de cybersécurité est un travail en cours. La vérification a évalué l’exactitude et l’exhaustivité des renseignements fournis dans le tableau de bord et a déterminé que la Direction générale de la sécurité validait les données derrière les indicateurs.
Le contenu et le format du tableau de bord de la cybersécurité présenté à la haute direction de l’ARC et au Conseil aux fins de contrôle et de surveillance ont été révisés au fil des ans afin d’inclure des indicateurs de rendement clés plus pertinents harmonisés avec le cadre des fonctions de cybersécurité du National Institute of Standards and Technology.
[contenu protégé]
4. Conclusion
La vérification a permis de conclure que l’ARC n’avait pas de deuxième ligne de défense consacrée à la cybersécurité. L’établissement de cette fonction permettra à la Direction générale de la sécurité d’apporter les améliorations nécessaires dans les domaines suivants afin de réduire les risques de cyberattaques qui pourraient compromettre les systèmes de la TI de l’ARC : [contenu protégé] La mise en œuvre réussie des plans d’action pour donner suite aux recommandations formulées dans le rapport appuiera efficacement la conformité, la surveillance et l’établissement de rapports du programme de cybersécurité de l’ARC.
5. Remerciements
Pour conclure, nous souhaitons reconnaître et remercier la Direction générale de la sécurité, la Direction générale de l’informatique, la Direction générale des finances et de l’administration et la Direction générale de la politique législative et des affaires réglementaires du temps accordé et des renseignements fournis dans le cadre de cette mission.
6. Annexes
Annexe A : Critères et méthodologie de la vérification
Selon l’évaluation des risques de la Direction générale de la vérification, de l’évaluation et des risques ainsi que l’évolution de la sécurité au sein de l’ARC, les secteurs d’intérêt suivants ont été cernés :
| Axes d'enquête | Secteurs d’intérêt | Sous-critères |
|---|---|---|
1. Observation |
1.1 Les politiques, directives, normes et procédures de l’ARC liées à la cybersécurité sont définies, à jour, communiquées aux intervenants et harmonisées avec celles du gouvernement du Canada. |
1.1.1 Les instruments de politique d’entreprise sont définis. |
1.Observation |
1.1 Les politiques, directives, normes et procédures de l’ARC liées à la cybersécurité sont définies, à jour, communiquées aux intervenants et harmonisées avec celles du gouvernement du Canada. |
1.1.2 Les instruments de politique d’entreprise sont à jour. |
1.Observation |
1.1 Les politiques, directives, normes et procédures de l’ARC liées à la cybersécurité sont définies, à jour, communiquées aux intervenants et harmonisées avec celles du gouvernement du Canada. |
1.1.3 Les instruments de politique d’entreprise sont communiqués. |
1.Observation |
1.1 Les politiques, directives, normes et procédures de l’ARC liées à la cybersécurité sont définies, à jour, communiquées aux intervenants et harmonisées avec celles du gouvernement du Canada. |
1.1.4 Les instruments de politique d’entreprise sont harmonisés avec les politiques et lignes directrices du gouvernement du Canada. |
1.Observation |
1.2 Les rôles et les responsabilités liés à la cybersécurité sont définis, communiqués et compris par les intervenants. |
[contenu protégé] |
1.Observation |
1.3 Les systèmes et les contrôles qui assurent le respect des politiques et des procédures fonctionnent comme prévu. |
[contenu protégé] |
2. Surveillance et établissement de rapports |
2.1 Les indicateurs de rendement de la cybersécurité fournissent des renseignements exacts et pertinents pour appuyer la prise de décisions. |
2.1.1 Les activités de surveillance de la cybersécurité sont définies, en place et déclarées en temps opportun. |
2. Surveillance et établissement de rapports |
2.1 Les indicateurs de rendement de la cybersécurité fournissent des renseignements exacts et pertinents pour appuyer la prise de décisions. |
2.1.2 Les objectifs et indicateurs de rendement clés fournissent suffisamment de renseignements pour refléter avec exactitude l’état réel de la cybersécurité. |
Méthodologie
La méthodologie de l’examen a compris, sans toutefois s’y limiter, ce qui suit :
- examiner et analyser les instruments de politique d’entreprise et les documents à l’appui liés à la cybersécurité;
- mener des entrevues avec la direction et l’effectif de la Direction générale de la sécurité et de la Direction générale de l’informatique et avec certains responsables opérationnels de certaines directions générales;
- examiner les résultats et la documentation des contrôles;
- examiner et analyser les données provenant des applications et des outils de sécurité connexes;
- examiner les rapports d’incident de la TI et les documents connexes;
- examiner et analyser les indicateurs de rendement et les rapports de surveillance pour en assurer l’exactitude et l’uniformité.
Annexe B : Glossaire
| Terme | Définition |
|---|---|
| [contenu protégé] | [contenu protégé] |
Chaîne d’approvisionnement |
Fait référence aux processus requis pour concevoir, fabriquer et distribuer de l’équipement ou d’autres produits, y compris le matériel et les logiciels de TI. Les étapes de ce processus complexe impliquent souvent différentes entités. |
Confidentialité |
Capacité de protéger les renseignements de nature délicate contre l’accès par des personnes non autorisées. |
Contrôle de sécurité |
Exigence de sécurité de haut niveau sur le plan de la gestion, des opérations ou de la technique, nécessaire à un système d’information qui vise à protéger la confidentialité, l’intégrité et la disponibilité de ses biens de TI. Les contrôles de sécurité peuvent être appliqués à l’aide de diverses solutions de sécurité, dont des produits, des politiques, des pratiques et des procédures de sécurité. |
| [contenu protégé] | [contenu protégé] |
| [contenu protégé] | [contenu protégé] |
| [contenu protégé] | [contenu protégé] |
| [contenu protégé] | [contenu protégé] |
| [contenu protégé] | [contenu protégé] |
Cyberattaque |
Utilisation de moyens électroniques pour interrompre, manipuler, détruire, ou obtenir l’accès non autorisé à un système informatique, un réseau ou un appareil. |
Cybermenace |
Auteur de menace qui se sert d’Internet pour profiter d’une vulnérabilité connue d’un produit afin d’exploiter un réseau ainsi que les renseignements qui y circulent. |
| [contenu protégé] | [contenu protégé] |
| [contenu protégé] | [contenu protégé] |
| [contenu protégé] | [contenu protégé] |
Fournisseur de services infonuagiques |
Une organisation qui vend de l’infrastructure informatique, des logiciels comme services ou du stockage. |
Intégrité |
Capacité de protéger les renseignements contre la modification ou la suppression involontaire ou non souhaitable. L’intégrité aide à déterminer que les renseignements correspondent à la réalité. [contenu protégé] |
| [contenu protégé] | [contenu protégé] |
| [contenu protégé] | [contenu protégé] |
Journal |
Un registre chronologique des actions, des performances, de l’utilisation de l’ordinateur ou du réseau et des événements qui se produisent dans un système informatique, comme les problèmes, les erreurs ou les renseignements sur les opérations en cours. |
Le tableau de bord de cybersécurité |
Un tableau de bord pour les mesures de cybersécurité des cadres qui permet de s’assurer que les équipes de direction peuvent surveiller la sécurité et les vulnérabilités de l’infrastructure et des applications de l’entreprise. |
| [contenu protégé] | [contenu protégé] |
Mesure de protection |
Mesure de protection prescrite pour répondre aux exigences en matière de sécurité (c.-à-d. la confidentialité, l’intégrité et la disponibilité) spécifique à un système d’information. Les mesures de protection peuvent comprendre des fonctionnalités de sécurité, des contraintes de gestion, la sécurité du personnel et la sécurité des structures physiques, des zones et des appareils. |
| [contenu protégé] | [contenu protégé] |
Référentiel des applications locales |
Un répertoire national de renseignements pour toutes les solutions locales élaborées à l’interne au sein de l’ARC. |
| [contenu protégé] | [contenu protégé] |
| [contenu protégé] | [contenu protégé] |
Services infonuagiques |
Utilisation de serveurs à distance hébergés sur Internet. L’infonuagique permet aux utilisateurs d’accéder à un bassin partagé de ressources informatiques (p. ex., réseaux, serveurs, applications, ou services) sur demande et depuis n’importe où. Les utilisateurs accèdent à ces ressources par l’intermédiaire d’un réseau informatique au lieu de stocker et de conserver toutes les ressources sur leur ordinateur local. |
Vulnérabilité |
Faiblesse ou défaut dans la conception ou l’installation d’un système d’information ou de son environnement qui pourrait être exploité pour compromettre les biens ou les activités d’une organisation. |
Détails de la page
- Date de modification :