Audit de la cybersécurité à Environnement et Changement climatique Canada (ECCC)

Contexte

Cadre des politiques

La cybersécurité est une responsabilité partagée par l'ensemble du gouvernement du Canada. Si chaque ministère est responsable de la sécurité de ses points d'extrémité et de ses applications, d'autres ministères et organismes fédéraux assument des responsabilités particulières à l'échelle du gouvernement et fournissent des conseils et des services à ECCC. La cybersécurité consiste à protéger l'information numérique, ainsi que l'intégrité de l'infrastructure qui héberge et transmet l'information numérique. Il s'agit de l'ensemble des technologies, des processus, des pratiques, des réponses et des mesures d'atténuation ayant été conçus pour protéger les réseaux, les ordinateurs, les programmes et les données contre toute attaque, tout dommage et tout accès non autorisé pour assurer la confidentialité, l'intégrité et la disponibilité.

La Politique sur les services et le numérique du Conseil du Trésor (CT) et la Directive sur les services et le numérique établissent une approche à l'échelle de l'organisation en matière de gouvernance, de planification et de gestion de la cybersécurité. Les administrateurs généraux sont chargés, parmi autres exigences, de veiller à ce que la gouvernance, la planification, les rapports, l'innovation et l'expérimentation, ainsi que les normes sur l'information et les technologies de l'information (TI), soient en place pour un modèle axé sur le client et la prestation de services.

La politique et la directive stipulent également que l'agent désigné pour la cybersécurité, en collaboration avec le dirigeant principal de l'information et le dirigeant principal de la sécurité du ministère, le cas échéant, est chargé de veiller à ce que les exigences en matière de cybersécurité et les mesures appropriées fondées sur les risques soient appliquées conformément à l'annexe B de la Directive sur la gestion de la sécurité : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l'information. Elles doivent être appliquées de manière continue au moyen d'une approche axée sur l'identification, la protection, la détection, l'intervention et la reprise des systèmes d'information et des services.

La cybersécurité à ECCC

En tant que ministère scientifique, ECCC dépend d'un large éventail d'applications, de réseaux et de systèmes pour s'acquitter de ses responsabilités. Le Ministère traite et stocke des renseignements sensibles concernant la politique environnementale, les questions réglementaires et les activités d'application. De plus, ECCC conserve plus d'un siècle de données météorologiques. Tout vol ou toute compromission de ces données par des acteurs malveillants pourrait compromettre la compétitivité sur la scène internationale et les intérêts économiques du Canada, entraver l'innovation et potentiellement menacer la sécurité nationale. Des mesures de cybersécurité efficaces sont essentielles pour atténuer ces risques.

L'agent désigné du Ministère pour la cybersécurité est la directrice générale de la Direction du numérique, clients et cybersécurité, au sein de la Direction générale des services numériques, qui assure la gestion et la surveillance de la cybersécurité, en soutien au dirigeant de la sécurité du Ministère et à la dirigeante principale des services et du numérique. La Division de la gestion de la sécurité des technologies de l'information de la Direction générale des services numériques est responsable de la gestion de la fonction de cybersécurité du Ministère. La Division veille à ce que les exigences en matière de sécurité et les mesures appropriées fondées sur les risques soient appliquées en permanence au moyen d'une approche axée sur l'identification, la protection, la détection, l'intervention et la reprise afin de sauvegarder les actifs numériques d'ECCC. La Division de la gestion de la sécurité des technologies de l'information est soutenue par de nombreux acteurs clés et équipes au sein de la Direction générale des services numériques, qui jouent un rôle dans la cybersécurité, notamment le Bureau de services, le Centre d'expertise sur l'infonuagique, l'équipe de la sécurité des services d'application et infrastructure web, ainsi que les services d'ingénierie, de développement et d'exploitation des postes de travail informatiques, la Direction des Applications et solutions d'affaires, Transformation des services numériques, Partenariats, planification, et gestion des ressources numériques, la Direction des Services de données et d'analytique, la Divisions de la gestion des services et la Division des produits numériques, gestion du cycle de vie et télécommunications.

D'autres intervenants à l'extérieur de la Direction générale des services numériques sont responsables des activités de gestion des risques à l'appui de la cybersécurité - par exemple, la Direction générale des affaires publiques et des communications est responsable de la réalisation des évaluations des facteurs relatifs à la vie privée, et la responsabilité des plans de continuité des activités relève de la Division de la sécurité ministérielle de la Direction générale des services ministériels et des finances.

Objectif, portée et méthodologie

Objectif

L'objectif de l'audit était d'évaluer dans quelle mesure ECCC dispose d'un cadre de contrôle de gestion efficace pour répondre aux exigences politiques, cerner les vulnérabilités et les incidents, et atténuer les risques liés à la cybersécurité.

Portée

L'audit a porté sur les activités de cybersécurité relevant de la responsabilité d'ECCC et liées au réseau ministériel (périphériques et applications), dans le but de donner un aperçu de l'ampleur et de la portée des activités de gestion des cyber-risques dans l'ensemble du Ministère. La portée de l'audit comprenait un examen de certains aspects du cadre de cybersécurité du Ministère, sur la base des résultats de l'évaluation des risques réalisée au cours de la phase de planification de l'audit :

• Identification et gestion des risques, y compris la gouvernance des activités de cybersécurité et les processus d'évaluation des risques (c.-à-d. les évaluations de la sécurité, les évaluations des facteurs relatifs à la vie privée, les évaluations des répercussions sur les activités, les évaluations des menaces et des risques) sur les systèmes d'information et les actifs numériques déployés dans son environnement, y compris leur application aux systèmes d'utilisateurs locaux.
• Mise en œuvre de mesures de protection pour réduire les risques, y compris la sensibilisation et la formation à la cybersécurité et la mise en œuvre de technologies de protection (p. ex. le suivi des logiciels installés par l'utilisateur).
• Surveillance, détection et compréhension des événements liés à la cybersécurité, ce qui inclut la surveillance continue de la sécurité des systèmes d'information et des actifs, ainsi que des mesures correctives en cas de détection.

La portée excluait l'examen des contrôles de cybersécurité ayant une incidence sur ECCC, mais ne relevant pas de la responsabilité d'ECCC (c.-à-d. les contrôles de cybersécurité gérés par Services Partagés Canada).

La période couverte par l'audit s'étend du 1er avril 2022 au 31 décembre 2023.

Méthodologie

L'audit a été mené et complété en utilisant les méthodes suivantes :

• Examen des instruments politiques et des procédures applicables du Secrétariat du CT et des ministères pour la gestion et l'administration de la fonction de sécurité des TI.
• Tenue de 65 entretiens et procédures pas à pas avec le personnel clé impliqué dans la gestion de la sécurité informatique et des activités connexes, y compris des visites sur place dans plus de 30 installations scientifiques dans 13 bureaux régionaux au pays.
• Cartographie des processus de bout en bout liés aux domaines examinés et validation de ces processus avec les intervenants pour identifier les lacunes potentielles et les domaines d'amélioration.
• Tests d'un échantillon aléatoire de 34 incidents de cybersécurité provenant de quatre sources, ainsi qu'un échantillon aléatoire de 10 autorisations et évaluations de sécurité.
• Tests et examen d'un échantillon de systèmes informatiques et de l'infrastructure connexe (c.-à-d. les laboratoires) afin de valider le respect des normes applicables. Cela comprenait les systèmes gérés par la Direction générale des services numériques ainsi que les systèmes gérés directement au sein des directions générales.

Déclaration de conformité

L'audit est conforme aux normes internationales pour la pratique professionnelle de l'audit interne, comme le montrent les résultats du programme d'assurance et d'amélioration de la qualité.

Constatations

Les constatations découlant de l'audit ont été élaborées au moyen d'un processus de comparaison des critères (le bon état) avec la condition (l'état actuel). Les constatations peuvent indiquer un rendement satisfaisant, quand la condition remplit les critères, ou elles peuvent noter des points à améliorer, quand il y a une différence entre la condition et les critères. Le cas échéant, des recommandations ont été formulées en vue des conditions qui ont été notées comme des domaines à améliorer. Une conclusion globale de l'audit a également été émise contre l'objectif de l'audit.

Les constatations, recommandations, et les conclusions de cette mission d'audit interne ont été communiquées à la direction et au Comité ministériel d'audit d'ECCC.

Réponse de la direction

La direction est d'accord avec les constatations et accepte les recommandations du rapport d'audit. Là ou le cas, la Direction générale des services numérique a élaboré des plans d'action pour donner suite aux constatations et recommandations, la mise en œuvre de ce qui sera surveillé par la Direction générale de l'audit et de l'évaluation.

ECCC s'engage à veiller à ce que les activités clé de contrôle visant à atténuer les risques de cybersécurité soient conçues, mises en œuvre et fonctionnent comme prévu.

Secteurs d'intérêt et critères

Les critères suivants ont été élaborés pour répondre aux objectifs de l'audit.

Secteur d'intérêt 1 : Gouvernance, formation et sensibilisation en matière de cybersécurité

1.1 Les politiques et les processus de gouvernance et de gestion de la cybersécurité d'ECCC sont établis avec des rôles et des responsabilités clairement définis. Il s'agit notamment du rôle de l'agent désigné pour la cybersécurité, qui assure la direction et la surveillance de la cybersécurité, et qui soutient la dirigeante principale des services et du numérique et le dirigeant principal de la sécurité.

1.2 Du matériel de formation et de sensibilisation à la cybersécurité a été élaboré, communiqué et est accessible aux employés.

1.3 Des activités de formation à la cybersécurité sont préparées et dispensées régulièrement aux principaux membres du personnel des ministères concernés par l'application et le maintien de la cybersécurité.

Secteur d'intérêt 2 : Cybersécurité dans l'évaluation et la gestion des risques

2.1 Le Ministère a élaboré et communiqué une évaluation de la sécurité (p. ex. évaluations des facteurs relatifs à la vie privée, évaluation des répercussions sur les activités, évaluation des menaces et des risques) ainsi qu'une politique et des procédures d'autorisation afin de faciliter la mise en œuvre de la politique et des contrôles de sécurité associés.

2.2 Le Ministère évalue les contrôles de sécurité du système d'information et de son environnement opérationnel selon une approche fondée sur les risques afin de déterminer dans quelle mesure les contrôles sont correctement mis en œuvre et répondent aux exigences de sécurité établies.

Secteur d'intérêt 3 : Mise en œuvre de mesures de protection pour réduire les risques

3.1 Le Ministère a établi des politiques régissant le développement, l'installation et l'utilisation de logiciels par les utilisateurs, et il surveille et fait respecter ces politiques.

3.2 Des contrôles sont en place (p. ex. contrôles d'accès, statut privilégié) pour le développement, l'installation, l'utilisation et la gestion des logiciels installés par les utilisateurs.

3.3 Le Ministère prend des mesures préventives, réactives et correctives pour remédier aux lacunes et faire en sorte que les pratiques et les contrôles en matière de sécurité informatique continuent de répondre à ses besoins.

Secteur d'intérêt 4 : Surveillance et signalement des menaces à la cybersécurité

4.1 Le Ministère a mis en œuvre les processus et les outils techniques nécessaires pour surveiller, détecter et signaler les anomalies et les incidents au niveau des applications et des points d'extrémité.

4.2 Le Ministère assure le suivi et l'établissement de rapports et examine les résultats de la surveillance des systèmes, des évaluations de la sécurité, des essais et de l'analyse après événement.