Vérification interne de la gouvernance et gestion des risques en matière de sécurité des TI

Direction générale de la vérification interne et de la responsabilisation
Janvier 2014

Table des matières

Sommaire

L’objectif de la vérification consistait à rassurer la haute direction au sujet de l’efficacité de la gouvernance en matière de sécurité des technologies de l’information (TI) à Citoyenneté et Immigration Canada (CIC), y compris la gestion des risques en matière de sécurité des TI et, plus particulièrement, le processus de certification et d’attestation de CIC.

Pourquoi est-ce important?

La gouvernance en matière de sécurité des TI est une composante fondamentale importante dans la mise en œuvre et la mise à jour d’un programme efficace de gestion de la sécurité des TI. Étant donné le transfert des rôles et responsabilités à Services partagés Canada (SPC), il est encore plus important de veiller à une bonne gouvernance. La gestion efficace des risques est essentielle à la sécurité des TI afin de veiller à ce que les risques soient adéquatement identifiés, priorisés et atténués.

Principales constatations

Bien que la gouvernance en matière de sécurité au Ministère ait été établie, la sécurité des TI n’a pas été entièrement intégrée. Les rôles et responsabilités de l’agent de sécurité ministériel (ASM), du dirigeant principal de l’information (DPI) et du coordonnateur de la sécurité des TI sont brièvement décrits dans la Politique sur la sécurité des TI de CIC et dans chacune des descriptions de travail. La planification de la sécurité à l’échelle du Ministère et les exigences en matière de sécurité propres aux TI n’ont pas été pleinement intégrées. Les rôles et responsabilités liés à la sécurité n’ont pas été formellement définis et documentés de manière officielle par CIC et les SPC.

La planification de la sécurité au Ministère ne comprend pas d’évaluation approfondie des risques en matière de sécurité des TI. Un registre de risques en matière de sécurité au Ministère a été élaboré et intègre des renseignements sur les risques en matière de sécurité dans tous les secteurs du Ministère; toutefois, il n’est pas mis à jour de façon régulière afin d’inclure les risques identifiés par la sécurité des TI. Les aperçus des risques de haut niveau dans le plan de sécurité du Ministère résument les principaux risques pour le Ministère, mais n’incluent pas les risques propres aux TI.

La gouvernance et les processus qui assurent la tenue d’évaluations et la surveillance de la sécurité de manière continue à l’échelle du Ministère et des systèmes n’ont pas été formellement établis. CIC a mis en place des procédures d’évaluation du risque pour les systèmes et applications des TI, mais elles ont été réalisées de manière incohérente; certains nouveaux systèmes sont évalués, tandis que d’autres sont continuellement mis à niveau et dépendent d’évaluations antérieures désuètes.

Conclusions

Dans l’ensemble, le cadre de gouvernance et de gestion des risques en matière de sécurité des TI a répondu partiellement à nos attentes. Des domaines d’amélioration ont été soulignés en ce qui concerne l’intégration de la sécurité des TI dans la gouvernance du Ministère en matière de sécurité, la définition et la formulation officielle des rôles et responsabilités de CIC ainsi que le renforcement du processus d’évaluation des risques en matière de sécurité des TI et la mise en œuvre de stratégies d’atténuation dans tout le Ministère.

La direction a accepté les conclusions de la vérification et a conçu un plan d’action qui donne suite aux recommandations qui en découlent.Note de bas de page 1

Énoncé de conformité

La vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Nous avons étudié suffisamment de données pertinentes pour étayer nos conclusions.

Gibby Armstrong CA, CIA
Directrice générale de la Vérification interne
Citoyenneté et Immigration Canada

Contexte

En tant que ministère fédéral, CIC doit se conformer aux exigences fondamentales en matière de sécurité du Conseil du Trésor du Canada, définies dans la Politique sur la sécurité du gouvernement. Cette dernière exige à ce que chacun des ministères établisse un programme de sécurité afin d'assurer la coordination et la gestion des activités ministérielles liées à la sécurité. La gestion efficace de la sécurité nécessite une évaluation continue des risques ainsi que la mise en place, la surveillance et le maintien des mécanismes appropriés de contrôle de la gestion interne en matière de prévention (atténuation), détection, intervention ou de rétablissement. La Directive sur la gestion de la sécurité ministérielleénonce d’autres exigences en matière de sécurité, à l’instar de diverses normes et de documents d’orientation, comme l’ensemble de Conseils en matière de sécurité des TI du Centre de la sécurité des télécommunications Canada.

La responsabilité de la sécurité en général au Ministère appartient à l’agent de sécurité ministériel (ASM) mais la sécurité des TI, proprement dite, est gérée sous la supervision du dirigeant principal de l’information (DPI) à la Direction générale des solutions et de la gestion de l’information (DGSGI). Le chef de Sécurité des TI et services de production agit à titre de coordonnateur ministériel de la sécurité des TI responsable de l’administration du programme de sécurité des TI et de la gestion des risques qui y sont associés.

À l’été 2011, les services d’infrastructure des TI qui étaient auparavant assumés par CIC ont fait la transition vers SPC. Ceci a inclut le personnel de CIC qui assurait la prestation de ces services au Ministère et transféré à SPC.

CIC partage des systèmes et de l’infrastructure des TI avec un certain nombre d’organisations, notamment l’Agence des services frontaliers du Canada, la Gendarmerie royale du Canada, le Service canadien de renseignement de sécurité et le ministère des Affaires étrangères, du Commerce et du Développement. Même si la majorité de ses données soient centralisées à Ottawa, le Ministère mène également des activités dans les régions partout au Canada, de même qu’à l’échelle planétaire. Entre autres, le Ministère assure le fonctionnement du Système mondial de gestion des cas qui est d’une grande complexité et duquel dépendent les ministères partenaires de CIC pour obtenir de l’information en matière d’immigration et de contrôle frontalier. Le Ministère offre également de nombreux services en ligne, qui ne cessent d’augmenter, au moyen du lancement de demandes électroniques.

Objectif et portée de la vérification

L’objectif de la vérification consistait à rassurer la haute direction au sujet de l’efficacité de la gouvernance en matière de sécurité des TI à CIC, y compris la gestion des risques en matière de sécurité des TI et, plus particulièrement, le processus de CA de CIC.

La portée de la vérification comprenait une évaluation des processus et des pratiques liés à la planification et à la gouvernance de la sécurité des TI à CIC; des rôles et responsabilités concernant la sécurité des TI, y compris la relation de CIC avec SPC; du programme de gestion des risques relatifs à la sécurité des TI, y compris le PCA de CIC; et de la conformité avec les exigences du Conseil du Trésor en matière de sécurité des TI. La vérification a porté sur les activités liées à la sécurité des TI menées du 1er avril 2012 au 1er juin 2013.

Les critères de vérification en question figurent à l’annexe A.

Recommandations et conclusions détaillées

Première constatation : Gouvernance

Bien que la gouvernance en matière de sécurité au Ministère ait été établie, la sécurité des TI n’a pas été entièrement intégrée.

Nous nous attendions à constater que la responsabilité de la sécurité des TI était bien définie et documentée à CIC, et qu’elle appartenait à un organe de surveillance de la sécurité des TI doté d’un mandat clair et se réunissant régulièrement pour examiner l’information liée aux priorités et aux plans de la Sécurité des TI. Nous nous attendions également à ce que les rôles et les responsabilités à l’égard des fournisseurs de services, comme SPC, soient formellement définis et étayés de manière officielle. Afin d’assurer la reconnaissance, le classement par ordre de priorité et l’atténuation des problèmes liés à la sécurité, il importe que la responsabilité et la surveillance de la sécurité des TI soient clairement établies.

La gouvernance en matière de sécurité des TI a été établie.

CIC possède un Comité consultatif sur la sécurité du Ministère (CCSM) qui a pour mandat de fournir des conseils et une orientation sur tous les risques et les responsabilités liés à la sécurité ministérielle, y compris la sécurité des TI. Le CCSM est présidé par l’ASM. Le DPI n’est pas un participant désigné du CCSM puisque le secteur des TI est représenté par le coordonnateur de la sécurité des TI. Le CCSM s’est réuni deux fois au cours de l’exercice 2012–2013; le mandat du Comité exige qu’il se réunisse chaque trimestre ou selon le besoin.

La sécurité des TI a fait l’objet de discussions, à l’occasion, avec d’autres organes de gouvernance. Par exemple, il a été question de la sécurité de l’information à l’occasion de la réunion du Comité de gestion de la direction en mars 2013, en réaction aux incidents ayant causé la perte de données qui s’étaient récemment produits au gouvernement fédéral.

Les responsabilités liées à la sécurité matérielle et à la sécurité des TI ne sont pas coordonnées.

Les rôles et les responsabilités de l’ASM, du DPI et du coordonnateur de la sécurité des TI sont décrits brièvement à un haut niveau dans la Politique sur la sécurité des TI de CIC et dans chacune des descriptions de travail. Du point de vue opérationnel, cependant, les responsabilités et les liens hiérarchiques qui permettraient d’intégrer officiellement les exigences en matière de sécurité dans les plans de sécurité ministériels n’ont pas été définis ou documentés.

Le Plan de sécurité ministériel 2012–2013 de CIC signale plusieurs priorités, notamment le besoin d’améliorer la culture liée à la sécurité à CIC en incitant les membres du CCSM à s’investir davantage, et de veiller à ce que les responsabilités du DPI liées à la sécurité soient clairement définies et à ce qu’il y ait une coordination claire et formelle entre le DPI et l’ASM pour le signalement des incidents liés à la sécurité. Ces priorités ont été désignées comme des mesures à prendre d’ici la fin de l’exercice 2012–2013. Cela dit, en juillet 2013, elles n’avaient pas encore été complétées.

Si la sécurité des TI n’est pas entièrement intégrée dans les processus de gouvernance de la sécurité ministériels, y compris les réunions de gouvernance régulières auxquelles participent tous les principaux intervenants, il y a un risque accru que les problèmes liés à la sécurité des TI ne soient pas correctement cernés, classés par ordre de priorité ou atténués. Un organe de gouvernance devrait assurer la surveillance de ces activités et les approuver pour veiller à ce que le niveau de risque résiduel soit acceptable.

Les rôles et les responsabilités liés à la sécurité n’ont pas été définis et documentés de manière officielle entre CIC et SPC.

En raison de la création de SPC, de nombreuses fonctions liées à la sécurité des TI ne sont plus de la responsabilité de CIC. En tout premier lieu, CIC a conclu une entente opérationnelle et un protocole d’entente de haut niveau avec SPC dans le but d’étayer les nouveaux rôles. Toutefois, les responsabilités du Ministère sur le plan opérationnel qui exigeraient des employés d’accomplir ces fonctions sont toujours en cours d’élaboration. L’établissement des processus nécessaires à la surveillance des exigences opérationnelles et à l’obligation d’en rendre compte n’a pas encore été effectué. Comme il est mentionné dans notre Vérification de la planification de la reprise en cas de sinistre informatique, l’absence de responsabilités et d’obligations de rendre compte définies entraîne beaucoup d’ambigüité pour le personnel des TI.

Même si de nombreux anciens employés de CIC ont gardé la responsabilité de CIC après leur déménagement à SPC, ce dernier est en train de passer à un nouveau modèle de portefeuille, dans le cadre duquel ses employés seront assignés à un groupe de ministères plutôt qu’à un ministre précis. Ainsi, il y a un risque accru que la mémoire institutionnelle de CIC au sujet des besoins touchant la sécurité des TI ne soit pas entretenue et que les enjeux touchant la sécurité des TI ne soient pas correctement reconnus ou traités.

Recommandation 1 (risque modéré) :

CIC devrait formuler une entente officielle avec les Services partagés Canada en vue d’établir les rôles, responsabilités et processus en matière de sécurité des TI pour la prestation des services.

Deuxième constatation : Planification de la sécurité des TI

La planification de la sécurité ministérielle ne prévoit pas d’évaluation approfondie des risques relatifs à la sécurité des TI.

Nous nous attendions à constater qu’un plan de sécurité actuel qui tient compte des TI et harmonise la stratégie opérationnelle, les attentes opérationnelles et les capacités des TI a été établi. Nous nous attendions également à constater que le plan de sécurité soit traduit en plans opérationnels tactiques concernant les TI. Enfin, nous nous attendions à constater que l’atteinte des objectifs du plan de sécurité liés à la sécurité des TI soit l’objet d’examens et de rapports réguliers, et que le plan soit mis à jour de façon régulière.

Il existe un registre de risques en matière de sécurité au Ministère qui est mis à jour annuellement.

Il existe un registre de risques en matière de sécurité au Ministère sur lequel repose l’élaboration du Plan de sécurité ministériel et qui intègre l’information sur les risques liés à la sécurité de tous les secteurs du Ministère. Ce registre de risque est mis jour à chaque année; les risques propres aux TI ne sont pas examinés ou classés en ordre de priorité à mesure qu’ils surviennent.

Fondé sur le registre de risques en matière de sécurité, le Plan de sécurité ministériel comporte quatre principaux « aperçus des risques ». Aucun de ces aperçus ne concerne précisément la sécurité des TI, même si l’aperçu des risques no 2, Compromission de renseignements, traite d’aspects de la sécurité des TI. Les mesures de rendement à évaluer liées à cet aperçu des risques ne renvoient aucunement à la sécurité des TI. L’aperçu des risques no 4, Partenariats, ne comporte aucune mention précise de SPC ou des risques liés à la définition des rôles et des responsabilités entre CIC et SPC.

Si les risques liés à la sécurité des TI ne sont pas officiellement inclus dans le Plan de sécurité ministériel, ils pourraient ne pas être traités de manière efficace et coordonnée par le Ministère.

Recommandation 2 (risque modéré) :

CIC devrait établir un processus officiel pour veiller à ce que les risques et les priorités en matière de sécurité des TI soient inclus dans le registre de risques en matière de sécurité du Ministère dans le cadre du Plan de sécurité ministériel.

Troisième constatation : Évaluation et surveillance de la sécurité des TI

La gouvernance et les processus qui assurent la tenue d’évaluations continues de la sécurité et sa surveillance à l’échelle du Ministère et des systèmes n’ont pas été définis de manière officielle.

Les procédures de certification et d’attestation assurent la prise en considération des exigences liées à la sécurité dans les systèmes des TI au moment où l’on procède à leur développement, leur mise en œuvre et leur mise à niveau de nouvelles versions. Nous nous attendions à constater que les systèmes de TI étaient certifiés et accrédités conformément à un processus de certification et d’attestation ministériel défini et étayé, et que les enjeux liés à la sécurité des TI étaient correctement cernés et traités avant la mise en œuvre des systèmes. Nous nous attendions à trouver des documents prouvant que ces procédures de certification et d’attestation soient appliquées à un échantillon de systèmes de TI désignés aux fins de la vérification : SMGC, GCDocs et iEDEC. Enfin, nous nous attendions à constater l’exercice d’une surveillance continue de la sécurité des TI pour aider CIC à cerner et traiter rapidement les risques liés à la sécurité des TI.

CIC a établi des procédures de certification et d’attestation.

CIC a étayé ses procédures de certification et d’attestation, qui ont fait l’objet d’une mise à jour en février 2013. L’exigence de mener des activités de certification et d’attestation est décrite à la section 6.1 de la Politique sur la sécurité des TI de CIC. Les procédures de certification et d’attestation comportent les principaux éléments nécessaires à un processus exhaustif de l’évaluation de la sécurité, notamment la définition des rôles et responsabilités propres à la certification et à l’attestation, l’établissement d’une matrice de traçabilité des exigences en matière de sécurité et l’exécution de mises à l’essai fonctionnelles des contrôles de sécurité. Les procédures de certification et d’attestation ne sont pas fondées sur une approche axée sur les contrôles de sécurité comme le recommande le Centre de la sécurité des télécommunications du Canada pour la sécurité des TI à l’échelle du gouvernement (Conseils en matière de sécurité des TI-33). De plus, ces procédures ne précisent pas les exigences à respecter pour effectuer les évaluations des facteurs relatifs à la vie privée (EFVP) pour les systèmes qui gèrent des renseignements personnels, ou la méthode pour procéder à ces évaluations.

Récemment, le Ministère a mis à jour son cycle de développement des systèmes, et la version actuelle comprend des considérations liées à la sécurité dans le cadre des activités de certification et d’attestation, ainsi que des réalisations attendues à l’échelle du processus.

L’application des procédures de certification et d’attestation n’est pas uniforme.

La sécurité en tant que partie intégrante du développement de systèmes n’a pas été systématiquement prise en considération pour les systèmes mis en application avant l’élaboration des procédures de certification et d’attestation, d’où l’établissement du nouveau cycle de développement des systèmes. De plus, aucun processus officiel permettant de déterminer les activités d’évaluation à effectuer n’a été établi pour les systèmes déjà mis en œuvre. Par exemple, des évaluations de la menace et des risques (EMR) ont été réalisées pour la plupart des versions du SMGC; cependant, il n’existe aucune documentation ou approbation officielle concernant certaines de ces évaluations.

Un plan de certification propre au SMGC, de nature semblable aux nouvelles procédures de certification et d’attestation du Ministère parachevées en février 2013, avait été élaboré en 2008. Même si des exigences fondamentales en matière de sécurité avaient été établies pour le SMGC, l’évaluation était de haut niveau, et aucune exigence en matière de sécurité propre au système n’avait été établie ou mise en œuvre. En outre, aucune correspondance n’avait été établie entre ces exigences et les contrôles de sécurité. À l’exception des tests liés au contrôle d’accès et à l’interface, aucun contrôle de sécurité du SMGC n’avait été testé officiellement dans le cadre du processus de certification et d’attestation.

GCDocs est un système déjà mis en œuvre pour la gestion des documents liés au SMGC (même si à court terme, ses capacités seront élargies à la gestion des documents concernant toutes les activités de CIC), et d’ici l’automne 2013, CIC hébergera également des éléments distincts de GCDocs pour d’autres ministères/organismes. Certains de ces ministères/organismes procèdent déjà à l’essai de GCDocs. Même si GCDocs a déjà été partiellement mis en œuvre, les activités de certification et d’attestation qui y sont liées ne font que commencer, et aucune EMR n’a été réalisée.

Les évaluations relatives à la certification et à l’attestation de systèmes en particulier ne sont pas approuvées de manière uniforme.

L’approbation de la certification et de l’attestation se fait au moyen d’un document de gestion des risques qui fait brièvement état des risques actuels (tirés d’anciennes EMR) et des mesures d’atténuation prévues. Dans le cas du SMGC, malgré la quantité importante d’évaluations relatives à la sécurité des TI effectuées au sujet de l’expansion du SMGC et des changements à sa fonctionnalité, la dernière version signée d’un document de gestion des risques remonte à mars 2010. De plus, les risques exposés dans les documents de gestion des risques peuvent revenir dans des évaluations subséquentes, et ce, pendant de nombreuses années; par exemple, l’absence de répartition des tâches dans le réseau de CIC constitue un risque exposé dans les documents de gestion des risques liés au SMGC depuis au moins 2006.

Puisque le processus de certification et d’attestation ne fait que commencer dans le cas de GCDocs, il n’existe aucun document de gestion des risques pour cette application. Un document de gestion des risques, de même qu’une EMR, a été créé pour l’iEDEC; toutefois, le document de gestion des risques n’a pas reçu d’approbation officielle. Sans approbation officielle des évaluations liées au processus de certification et d’attestation, CIC ne peut pas avoir l’assurance que les stratégies d’atténuation des risques concernant les systèmes des TI répondent aux attentes de la haute direction.

La surveillance continue ne fait ni partie des procédures de certification et d’attestation, ni fait mention nulle part d’un plan/processus officiel de surveillance continue. Les systèmes des TI peuvent évoluer sans cesse, ce qui change la dynamique des anciennes évaluations des risques. De plus, l’environnement mondial des TI présente chaque jour de nouveaux risques qui pourraient constituer une accumulation de menaces pour l’infrastructure et les systèmes des TI de CIC. Si l’on n’assure pas la surveillance continue de la sécurité, il y a un risque accru que les enjeux liés à la sécurité des TI ne soient pas cernés et traités de manière adéquate dans le cas de certains systèmes, voire même portés à l’attention de la haute direction du Ministère.

Recommandation 3 (risque modéré) :

CIC devrait mettre son processus de certification et d’attestation et son cycle de développement des systèmes à jour en y prévoyant :

  1. un processus officiel visant à déterminer les évaluations relatives à la sécurité des TI qui devraient être effectuées dans le cas de systèmes qui font l’objet de modifications ou de révisions, et à en garantir la réalisation;
  2. un renvoi aux contrôles de sécurité décrits dans les conseils en matière de sécurité des TI à l’échelle du gouvernement (Conseils en matière de sécurité des TI-33);
  3. un renvoi à la tenue d’évaluations des facteurs relatifs à la vie privée concernant les systèmes où sont gérés des renseignements personnels;
  4. un processus de surveillance officiel qui garantit le respect constant des exigences en matière de sécurité.

Recommandation 4 (risque modéré) :

CIC devrait s’assurer que tous les systèmes respectent le processus de certification et d’attestation conçu pour le Ministère.

Annexe A – Critères détaillés de la vérification

L’objectif de la vérification consistait à rassurer la haute direction au sujet de l’efficacité de la gouvernance en matière de sécurité des TI à CIC, y compris la gestion des risques en matière de sécurité des TI et, plus particulièrement, le processus de certification et d’attestation de CIC.

Secteur d’intérêt Critère de la vérification Note de bas de page 1
Une structure de gouvernance de la sécurité des TI a été établie et est appuyée au moyen de la Politique sur la sécurité des TI de CIC. 1 – Les obligations de rendre compte, les délégations, les liens hiérarchiques et les rôles et responsabilités de la sécurité des TI sont définis, étayés et communiqués aux personnes concernées.
2 – Les personnes responsables de la gouvernance sont clairement au courant de leur mandat, participent activement, exercent une grande influence et assurent la surveillance des processus de gestion.
3 – L’organe de surveillance se réunit régulièrement et examine l’information liée aux priorités et aux plans de sécurité des TI, offre des conseils sur les enjeux, examine le rendement de la fonction de sécurité des TI et communique ses décisions à l’organisation en temps opportun.
4 – Les rôles et les responsabilités liés à la sécurité des TI des fournisseurs de services, comme SPC, ont été définis, étayés et communiqués de manière officielle.
Un plan de sécurité actuel qui tient compte des TI a été établi. Il harmonise la stratégie opérationnelle, les attentes opérationnelles et les capacités des TI, et a été traduit en plans tactiques. 5 – Un plan de sécurité actuel qui tient compte des TI a été établi. Il harmonise la stratégie opérationnelle, les attentes opérationnelles et les capacités de TI.
6 – Le plan de sécurité a été traduit en plans tactiques des opérations concernant les TI; la délimitation entre les activités qui relèvent de CIC et les activités qui relèvent de fournisseurs de services comme SPC est claire.
7 – L’atteinte des objectifs du plan de sécurité liés à la sécurité des TI fait l’objet d’examens et de rapports réguliers. Le plan est régulièrement mis à jour.
Un processus de certification et d’attestation a été défini et mis en œuvre dans le cadre d’un programme global de gestion des risques liés à la sécurité des TI. 8 – Le processus de certification et d’attestation a été défini, étayé et communiqué, y compris les rôles et les responsabilités qui y sont associés.
9 – Les systèmes de TI ont été officiellement certifiés et accrédités.
10 – La conception/l’architecture des systèmes des TI est documentée et mise en œuvre en respectant les contrôles de sécurité appropriés.
11 – Des documents complets sur la sécurité des opérations applicables aux systèmes des TI ont été créés.
12 – Des activités de surveillance et d'évaluation continues et des activités de maintien de l'autorisation ont été effectuées, et des mesures appropriées ont été prises en fonction des résultats de ces activités.

Annexe B – Plan d’action de la direction

Recommandation Code de risque Plan d’action Responsabilité Échéance
1. CIC devrait formuler une entente officielle avec les Services partagés Canada en vue d’établir les rôles, responsabilités et processus en matière de sécurité des TI pour la prestation des services. Modéré

Réponse de la direction :
CIC a conclu une entente opérationnelle avec SPC en vue d’établir les rôles, les responsabilités et les processus en matière de sécurité des TI pour la prestation des services. Le document a été signé le 27 janvier 2012. L’entente opérationnelle entre CIC et SPC servira de fondement à un protocole d’entente (PE) plus détaillé.

Plan d’action :
Le PE sera élaboré par collaboration entre la DGSGI et SPC afin de mieux définir les rôles et les responsabilités. Il sera signé par le DPI de CIC et le directeur général, Portefeuille social, ou son équivalent de SPC. Des mesures d’atténuation provisoires seront utilisées d’ici la signature de l’entente.

  • Document initial (T4 2013–2014)
  • Version définitive aux fins d’examen par CIC (T1 2014–2015)
  • Version aux fins d’examen par SPC (T2 2014–2015)
  • Signature officielle par CIC et SPC (T3 2014–2015)
DGSGI T3 2014–2015
2. CIC devrait établir un processus officiel pour veiller à ce que les risques et les priorités en matière de sécurité des TI soient inclus dans le registre de risques en matière de sécurité du Ministère dans le cadre du Plan de sécurité ministérielle. Modéré

Réponse de la direction :
La DGSGI utilise de l’information provenant d’organismes gouvernementaux responsables de la sécurité pour cerner les menaces à la sécurité des TI et établir le niveau de risque. La défense multicouche en périmètre offre les contrôles techniques nécessaires à l’atténuation des risques. De plus, une série d’instruments de politique est en place pour évaluer et atténuer le risque. Un processus sera établi dans le but d’ajouter les risques relatifs à la sécurité des TI au registre de risques en matière de sécurité du Ministère.

Plan d’action :
La DGSGI collaborera avec Sécurité ministérielle et l’ASM afin de veiller à ce que les priorités et les risques relatifs à la sécurité des TI soient inclus dans le registre de risques en matière de sécurité du Ministère dans le cadre du Plan de sécurité ministériel.

  • Des représentants de Sécurité ministériel et de Sécurité des TI se sont réunis en septembre 2013 pour mettre à jour le Plan de sécurité ministériel en tenant compte de la sécurité des TI. (T3 2013–2014 – Situation : En cours)
  • Des réunions périodiques sont prévues afin de contribuer au registre de risques en matière de sécurité du Ministère. (T3 2013–2014)
  • Les mises à jour seront prêtes pour la réunion de mars 2014 du CCSM. (T4 2013–2014)
  • Un processus officiel sera établi (T1 2014–2015)
  • Un processus officiel, qui comprend la surveillance par le CCSM, sera adopté et mis en œuvre. (T2 2014–2015)
  • La DGSGI élaborera un plan de sécurité des TI complet. Ce plan fera état des exigences en matière de gouvernance et de surveillance, dans le but de veiller à ce qu’il soit suivi par toutes les directions générales, s’il y a lieu. Le plan de sécurité des TI sera présenté à la haute direction à des fins d’approbation avant la fin de l’exercice 2013–2014. Grâce aux méthodes de surveillance, la haute direction sera tenue au courant des problèmes de conformité. (T4 2013–2014)
DGSGI (et Sécurité ministérielle) T2 2014–2015

3. CIC devrait mettre son processus de certification et d’attestation et son cycle de développement des systèmes à jour en y prévoyant :

  1. un processus officiel visant à déterminer les évaluations relatives à la sécurité des TI qui devraient être effectuées dans le cas de systèmes qui font l’objet de modifications ou de révisions, et à en garantir la réalisation;
  2. un renvoi aux contrôles de sécurité décrits dans les conseils en matière de sécurité des TI à l’échelle du gouvernement (Conseils en matière de sécurité des TI-33);
  3. un renvoi à la tenue d’évaluations des facteurs relatifs à la vie privée concernant les systèmes où sont gérés des renseignements personnels;
  4. un processus de surveillance officiel qui garantit le respect constant des exigences en matière de sécurité.
Modéré

Réponse de la direction :
CIC suit actuellement le processus de certification et d’attestation. Il s’agit d’un processus avalisé à l’échelle du gouvernement et de l’industrie. CIC adapte le processus à ses besoins et à l’exigence examinée. La dernière mise à jour a été effectuée en février 2013. Lorsque de nouvelles exigences en matière des TI sont cernées, Sécurité des TI détermine la mesure dans laquelle ce processus est touché et le type d’évaluation concernant la sécurité des TI est nécessaire.

Le cycle de développement des systèmes a été remplacé par la Méthodologie de développement de systèmes (MDS) en mars 2013. La MDS est un processus permettant de créer ou de modifier des systèmes informatiques; elle prévoit également les modèles et les méthodes utilisés pour développer ces systèmes. La MDS est une ligne directrice approuvée sur le développement des TI. Les activités liées à la sécurité des TI sont décrites à chaque étape de la MDS de CIC.

Les Conseils en matière de sécurité des TI-33 ont été présentés en novembre 2012 par le Centre de la sécurité des télécommunications du Canada à des fins de gestion des risques dans les domaines de la sécurité matérielle, des ressources humaines et des TI. CIC adhère à toute une série d’instruments de politique et de pratiques exemplaires en matière de sécurité publiées par des organismes responsables du gouvernement du Canada. Les instruments comprennent les politiques, normes, procédures et lignes directrices servant à gérer la sécurité. Jusqu’à ce que les Conseils en matière de sécurité des TI-33 soient mis en œuvre, CIC continuera d’appliquer sa méthode actuelle de gestion des risques liés à la sécurité.

Au moment de cette vérification, CIC respectait le processus de certification et d’attestation, ainsi que la MDS. Les réponses/plans d’action qui suivent indiquent la manière dont CIC entend respecter les nouvelles exigences prévues dans les Conseils en matière de sécurité des TI-33 récemment publiés.

3 a)
Plan d’action :
La DGSGI fera appel au CCSM et lui proposera de modifier son mandat en vue d’y ajouter un élément permanent d’examen de la sécurité des TI pour ainsi veiller à ce que les activités d’évaluation de la sécurité des TI soient prises en compte et réalisées. Les résultats des évaluations de la sécurité des TI concernant des projets seront présentés dans le cadre de l’examen de la sécurité des TI. L’ASM est d’accord avec cette approche. La prochaine réunion du CCSM aura lieu en décembre 2013.

3 b)
Plan d’action :
La DGSGI élaborera un plan de sécurité des TI complet qui comprendra une stratégie pour faire en sorte que CIC se conforme aux Conseils en matière de sécurité des TI-33. Le Plan de sécurité des TI fera état des exigences en matière de gouvernance et de surveillance, dans le but de veiller à ce qu’il soit suivi par toutes les directions générales, s’il y a lieu. Le plan de sécurité des TI sera présenté à la haute direction pour des fins d’approbation avant la fin de l’exercice 2013–2014. Grâce aux méthodes de surveillance, la haute direction sera tenue au courant des problèmes de conformité. (T4 2013–2014)

Ce plan d’action est conforme au plan d’action lié à la recommandation no 4 ci-dessous.

3 c)
Plan d’action :
La Loi sur l’accès à l’information et la protection des renseignements personnels établit dans quelles circonstances il est nécessaire de procéder à une EFVP. Toute EFVP exigée qui a été réalisée sera utilisée dans le cadre du processus de certification et d’attestation.

L’EFVP fait partie de la MDS, à la phase d’établissement des exigences. Le MDS deviendra obligatoire pour toutes les directions générales de CIC, et les exigences en matière de gouvernance et de surveillance établies dans le Plan de sécurité des TI feront en sorte de veiller à ce que les exigences relatives à l’EFVP soient satisfaites par l’ensemble des directions générales, s’il y a lieu.

3 d):
Plan d’action :
La DGSGI élaborera un plan de sécurité des TI complet qui comprendra une stratégie de mise en œuvre de la surveillance continue. (T4 2013–2014).

Ce plan d’action est conforme au plan d’action lié à la recommandation no 4 ci-dessous.

DGSGI (et Sécurité ministérielle) T3 2014–2015
4. CIC devrait s’assurer que tous les systèmes respectent le processus de certification et d’attestation conçu pour le Ministère. Modéré

Réponse de la direction :
CIC suit actuellement le processus de certification et d’attestation, qui demeurera en vigueur pour la gestion des risques liés à la sécurité jusqu’à la mise en œuvre des Conseils en matière de sécurité des TI-33.

Plan d’action :
Comme il est fait mention précédemment, CIC élaborera un plan de sécurité des TI complet en tenant compte des priorités. Ce plan sera présenté au COMEX à des fins d’approbation au T4 2013–2014.

La DGSGO s’assurera que tous les systèmes sont conformes au processus conçu pour le Ministère et, pour ce faire, adoptera la version approuvée par CIC du processus de MDS d’ici le T4 2013–2014. La MDS sera obligatoire et le Plan de sécurité des TI fera état des exigences en matière de gouvernance et de surveillance qui garantiront l’application obligatoire de ce processus.

DGSGI T4 2013–2014

Annexe C – Liens vers les lois, cadres, politiques, directives et directions applicables

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :