Audit des droits d’accès à l’application du Système de gestion des ressources humaines civiles (SGRH(Civ))

Décembre 2015

7050-33-9 (SMA(Svcs Ex))

Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.

Acronymes et abréviations

Sommaire des résultats

L'un des principaux objectifs du gouvernement en matière de sécurité est d'assurer la protection des renseignements, des biens et des services contre leur compromission. Dans un ministère, la gestion de la sécurité exige une évaluation continue des risques ainsi que la mise en place, la surveillance et le maintien de mécanismes appropriés de contrôle interne.

L'accès aux renseignements ministériels ne devrait être autorisé que si son exigence opérationnelle est justifiée et validée adéquatement. De plus, il ne devrait être accordé que pour la quantité minimale de renseignements que requiert l'utilisateur pour accomplir ses fonctions. La gestion efficace de l'accès aux renseignements au cours d'une période donnée est essentielle lorsque l'on veut s'assurer que les données des systèmes du Ministère sont sauvegardées et protégées contre une utilisation non autorisée. Les intervenants qui ont accès à des renseignements personnels doivent être proactifs et veiller à la protection et à la sauvegarde de ces informations afin de respecter la vie privée des personnes.

Depuis 1996, le Système de gestion des ressources humaines (SGRH) est le système de dossiers des ressources humaines (RH) du Ministère. Le ministère de la Défense nationale (MDN) se sert du SGRH afin de gérer la fonction des RH. Les renseignements personnels de chaque employé civil et de chaque militaire embauchés par le MDN sont saisis dans le SGRH. Il y a certaines exigences à l'interne concernant l'accès immédiat aux données des RH; cependant, les fonctions de production de rapports du SGRH sont restreintes, ce qui empêche le Ministère de présenter un rapport sur les données des RH civiles et militaires en même temps. Il a fallu ainsi créer le module Système de rapports sur les ressources humaines (SRRH), qui offre à une plus grande diversité d'utilisateurs la capacité de voir les renseignements disponibles dans le SGRH à l'extérieur de ses applications en ligne.

Le sous-ministre adjoint (Services d'examen), ou SMA(Svcs Ex), a mené l'audit des droits d'accès à l'application du Système de gestion des ressources humaines civiles (SGRH(Civ)), qui porte sur la sécurité de la gestion de l'accès et la protection des renseignements personnels saisis dans le système. L'objectif de l'audit était de déterminer si le cadre de contrôle de gestion visant à s'assurer que les droits d'accès du système et de l'application liés au SGRH(Civ) sont raisonnables, approuvés, surveillés et modifiés en fonction des besoins était adéquat.

Constatations et recommandations

Conformité à la Loi sur la protection des renseignements personnels. Les ministères du gouvernement du Canada sont tenus de suivre les politiques et les directives du Secrétariat du Conseil du Trésor (SCT) sur la protection des renseignements personnels pour assurer la conformité à la Loi sur la protection des renseignements personnels et protéger adéquatement les renseignements personnels des personnes. Cependant, le Ministère n'a pu fournir les documents nécessaires pour confirmer qu'il satisfaisait aux exigences du SCT. Sans pouvoir valider si les renseignements personnels sont utilisés aux fins auxquelles ils ont été recueillis et en contournant les contrôles à l'appui de la protection des renseignements, il est impossible de déterminer ou d'assurer le niveau de protection de renseignements personnels obligatoire. Cette situation pourrait entraîner une atteinte à la vie privée.

Le 9 mars 2015, le Ministère a avisé par écrit le Commissariat à la protection de la vie privée et le SCT d'une atteinte potentielle à la vie privée. Il a indiqué que le Ministère n'assurait pas la gestion et la protection des renseignements personnels de ses employés civils et des militaires conformément à la Loi sur la protection des renseignements personnels.

Afin de régler entièrement cette question, il est recommandé que le vice-chef d'état-major de la défense (VCEMD) et le secrétaire général (Sec gén) veillent à ce que le Ministère entreprenne toutes les activités liées à la sécurité et à la protection des renseignements personnels qui s'imposent selon les Lignes directrices sur les atteintes à la vie privée du SCT.

De plus, ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ il est recommandé que le sous-ministre adjoint (Gestion de l'information), ou SMA(GI), prenne immédiatement des mesures afin d'évaluer, d'isoler et de contenir toute donnée des RH se trouvant à l'extérieur du SRRH. À la suite de l'évaluation, le SMA(GI) serait ensuite tenu d'amorcer les procédures d'expurgation ministérielles approuvées afin d'éliminer toutes les copies non autorisées des données.

Contrôles des données des RH. ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ le module de production de rapports du SGRH, ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ La visibilité et la transparence au Ministère sont restreintes quant à l'accès aux données et au contrôle de celles-ci après qu'elles sont téléchargées du SRRH. De plus, les renseignements personnels des employés ont été mis à la disposition d'utilisateurs et d'autres applications du Ministère sans qu'on ait d'abord confirmé le besoin selon le principe de l'accès sélectif ou décrit dans un document le besoin opérationnel et l'usage compatible.

Il est recommandé que le sous-ministre adjoint (Ressources humaines – Civils), ou SMA(RH-Civ), et le chef du personnel militaire (CPM), en consultation avec des experts ministériels, élaborent et mettent en œuvre des procédures permettant aux utilisateurs des données des RH de justifier leurs besoins d'accès, valident la correspondance légitime entre le besoin indiqué et les besoins opérationnels en fonction du principe de l'accès sélectif, et confirment la compatibilité de l'usage des données des RH avant d'accorder l'accès.

Gouvernance. Le manque de clarté et la supposition erronée du rôle des intervenants clés ont donné lieu à une autorisation et à un octroi inappropriés de l'accès aux données des RH. Afin de respecter toutes les politiques externes pertinentes et de s'assurer que les données figurant dans le système sont sauvegardées et protégées contre une utilisation non autorisée, la gouvernance liée à la gestion de l'accès des utilisateurs doit permettre de définir et de communiquer clairement les rôles et les responsabilités en la matière. Il est recommandé que le SMA(RH-Civ) définisse, consigne et communique les pouvoirs et les responsabilités liés à la validation et à l'autorisation des demandes d'accès aux données des RH.

Gestion des risques. Bien qu'il existe des processus ministériels visant à déceler, à atténuer et à surveiller les risques liés à la protection des biens d'information, les documents clés tels que l'évaluation de la menace et des risques (EMR) et l'évaluation des facteurs relatifs à la vie privée (EFVP) n'ont pas été mis à jour de façon à tenir compte des opérations actuelles du SGRH(Civ). Par conséquent, le Ministère ne peut s'assurer que les contrôles appropriés sont en place pour sauvegarder les renseignements personnels. De plus, cette situation accroît le risque que les problèmes de sécurité et les atteintes à la vie privée ne soient pas décelés et réglés adéquatement.

Il est recommandé que le SMA(RH-Civ) mette à jour, en consultation avec les experts du Ministère, l'EMR et l'EFVP du SGRH afin qu'il y ait des contrôles appropriés pour protéger la confidentialité et l'intégrité des données des RH et que les contrôles soient modifiés à mesure que le contexte de menace change.

Contrôles du SGRH. Bien que certaines restrictions d'accès aux utilisateurs efficaces aient été mises en place afin d'atténuer les risques liés à l'octroi et à la suppression des comptes d'accès au SGRH(Civ), les contrôles visant à gérer, à modifier et à surveiller l'accès au système doivent être améliorés. ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ De plus, le manque de surveillance augmente la possibilité que les transactions à risque élevé passent inaperçues.

Il est recommandé que le SMA(RH-Civ) s'assure que l'on tienne compte du risque que pose l'ouverture de multiples comptes pour un seul utilisateur et que des pratiques de surveillance soient mises en œuvre lorsqu'on le juge nécessaire.

Addenda

Compte tenu de la nature sensible des observations figurant dans le présent rapport de l'audit et de la rapidité avec laquelle il faut évaluer les atteintes à la vie privée potentielles et y remédier, le SMA(Svcs Ex) a mené de nombreuses séances d'information auprès d'intervenants clés du Ministère à mesure que les observations de l'audit étaient formulées.

Comme il est indiqué aussi bien dans le rapport d'audit que dans les plans d'action de la direction, les mesures décrites ci-dessous qui ont été prises par des intervenants clés témoignent du sentiment d'urgence et de gravité avec lequel le Ministère traite les observations formulées lors de l'audit.

Le Directeur – Accès à l'information et protection des renseignements personnels (DAIPRP) du MDN, l'autorité du Ministère qui est responsable de la gestion et du règlement des atteintes à la vie privée, a indiqué au Commissariat à la protection de la vie privée, le 9 mars 2015, qu'il continuerait d'offrir des conseils, des lignes directrices et des recommandations aux intervenants clés. Le DAIPRP estime que la situation constitue une atteinte à la vie privée systémique issue de l'absence d'un cadre d'utilisation adéquat qui répond aux exigences de la Loi sur la protection des renseignements personnels. Le plan d'action de la direction indique que le Ministère n'a pas déterminé que les renseignements avaient été dévoilés à l'extérieur du MDN et des Forces armées canadiennes (FAC).

En plus d'amorcer une enquête, l'agent de sécurité du Ministère a assumé la responsabilité quant à la coordination de la réponse intraministérielle au rapport d'audit et il a convoqué un groupe d'intervenants à quatre reprises entre avril et octobre 2015. L'agent de sécurité du Ministère a indiqué qu'on poursuivra les efforts afin de réviser les plans d'action de la direction pour que les intervenants s'attaquent aux lacunes actuelles en matière de sécurité qui ont donné lieu à la situation présentée dans le rapport d'audit.

Le SMA(GI) a indiqué qu'en mars 2015, le nombre d'utilisateurs ayant accès aux extractions de données existantes, y compris l'accès aux applications d'envergure nationale telles que Gestion SSAM et le Système de gestion du parc de véhicules, a diminué, passant à 58. Comme l'indique le plan d'action de la direction, le SMA(GI) a également entamé une étude du réseau visant à localiser, à isoler et à retirer toute copie non autorisée des données. Il prévoit avoir terminé cette tâche avant le 31 décembre 2015.

Le CPM a réalisé l'examen de cas potentiels de sauvegarde non autorisée d'antécédents, et il a constaté que les dossiers de militaires libérés ou retraités se trouvaient dans une base de données dont se sert l'Armée canadienne. L'Armée et le CPM ont indiqué avoir conçu un plan pour protéger les renseignements de militaires libérés ou retraités en supprimant les renseignements personnels d'ici le 1er décembre 2015.

Le SMA(RH-Civ) et le CPN ont tous deux indiqué dans leur plan d'action de la direction qu'ils définiraient, consigneraient et communiqueraient les procédures à suivre pour obtenir l'accès aux données des RH. Ils chercheront à faire en sorte que l'accès aux données des RH soit restreint selon les principes du droit d'accès minimal ou de l'accès sélectif et que l'usage corresponde à la raison pour laquelle les données ont été recueillies.

Le SMA(Svcs Ex) continuera de surveiller l'état d'avancement des plans d'action de la direction et de présenter au Comité ministériel d'audit des bilans réguliers ou sur demande.

Nota : Veuillez consulter l'annexe A – Plan d'action de la direction pour voir la réponse de la direction aux recommandations du SMA(Svcs Ex).

1.0 Introduction

1.1 Contexte

De récents articles publiés dans les médias au sujet de la compromission de renseignements personnels ont fait ressortir avec acuité la nécessité pour les organisations d'adopter des mesures de protection appropriées. Cette prise de conscience se produit alors qu'on observe une croissance de la demande de tous types d'information en milieu de travail, ce qui donne lieu à deux tendances potentiellement contradictoires, mais qui peuvent être combinées à l'aide d'un cadre de sécurité rigoureux.

La Politique sur la sécurité du gouvernement du SCT précise que la sécurité du gouvernement consiste en l'assurance que l'information, les biens et les services ne sont pas compromis et que pour atteindre cet objectif, il faut gérer les menaces à la sécurité, les risques et les incidents de façon proactive. Dans un ministère, la gestion de la sécurité exige une évaluation continue des risques ainsi que la mise en place, la surveillance et le maintien de mécanismes appropriés de contrôle de gestion interne.

Les exigences du gouvernement quant à la gestion de l'accès aux systèmes sont décrites dans la politique du SCT sur la Gestion de la sécurité des technologies de l'information (GSTI), qui présente les exigences obligatoires quant à la protection de l'information, y compris les certifications et les accréditations des systèmes et la réalisation d'EMR. La GSTI oblige les ministères à « limiter l'accès des TI et de l'information aux personnes qui ont fait l'objet d'une enquête de sécurité et qui ont été autorisées; qui ont été identifiées et authentifiées; et qui ont un accès sélectif. Les ministères ne doivent accorder que des privilèges d'accès minimums de manière à ce que les personnes ne puissent accomplir avec ceux-ci que les tâches liées à l'exercice de leurs fonctions (c.-à-d., principe du droit d'accès minimal). »

Lorsqu'il s'agit de renseignements personnels, la Loi sur la protection des renseignements personnels et les politiques du SCT connexes imposent les exigences quant à leur protection. L'article 7 de la Loi sur la protection des renseignements personnels stipule qu'« à défaut du consentement de l'individu concerné, les renseignements personnels relevant d'une institution fédérale ne peuvent servir à celle-ci qu'aux fins auxquelles ils ont été recueillis ou préparés par l'institution de même que pour les usages qui sont compatibles avec ces fins ». Par usage compatible, le SCT veut dire « un usage qui a un lien raisonnable et direct avec les fins pour lesquelles les renseignements ont été recueillis ou compilés. En d'autres termes, les fins premières et les fins prévues sont si intimement liées que la personne s'attend à ce que les renseignements soient utilisés à une fin compatible, même si l'usage n'est pas expressément indiqué ».

À l'appui de la Loi sur la protection des renseignements personnels, le SCT a créé la Politique sur la protection de la vie privée, selon laquelle « le gouvernement du Canada s'est engagé à respecter la vie privée des personnes en ce qui a trait aux renseignements personnels relevant des institutions fédérales ».

La Directive sur les pratiques relatives à la protection de la vie privée du SCT établit les exigences en matière de gestion des renseignements personnels, y compris « les renseignements personnels des fonctionnaires ou des employés de l'institution fédérale ». Le résultat escompté de cette directive est que « les renseignements personnels sont toujours créés, recueillis, conservés, utilisés, divulgués et éliminés d'une manière qui respecte la vie privée des individus et les dispositions de la Loi et du Règlement ».

Gestion de l'accès des utilisateurs

La gestion de l'accès des utilisateurs consiste à contrôler qui dispose d'un accès à quels renseignements au cours d'une période définie. Bien qu'il y ait un élément technique à l'accès aux systèmes, les pratiques organisationnelles constituent un facteur essentiel permettant de déterminer s'il faut accorder, modifier ou supprimer un accès. Une gestion efficace de l'accès des utilisateurs est essentielle pour protéger les données que renferment les systèmes contre un usage non autorisé. Lors de la gestion de l'accès des utilisateurs, il faut se poser les questions suivantes :

• Qui a accès à quels renseignements?
• L'accès est-il approprié pour la tâche exécutée?
• Protégeons-nous ces renseignements adéquatement?
• L'accès et l'activité sont-ils surveillés, consignés et rapportés adéquatement?

Au cours de la carrière d'un employé, les besoins en matière d'accès peuvent évoluer pour plusieurs raisons, dont le changement de responsabilités, un nouveau poste, une promotion ou un départ. Les processus rigoureux de gestion de l'accès permettent de faire en sorte que l'accès accordé à chaque utilisateur n'excède pas ses besoins dans le cadre de ses fonctions et assurent donc la sauvegarde et la protection des renseignements figurant dans le système.

SGRH

Le MDN se sert du SGRH pour assurer le suivi des données des employés, telles que les antécédents d'emploi, les compétences, les capacités, les réalisations et les salaires. Lorsque le MDN embauche un employé civil ou un militaire, ses renseignements, c'est-à-dire ses données de base, sont entrés dans le SGRH.

Depuis 1996, le SGRH est le système de dossiers des RH du Ministère. Bien que l'un des objectifs principaux de la mise en œuvre du SGRH était de remplacer les divers anciens systèmes des RH par une seule application pour les employés civils et militaires, le SGRH continue de fonctionner comme deux entités séparées au Ministère : le SGRH(Civ) et le Système de gestion des ressources humaines militaires (SGRH(Mil)).

Compte tenu du besoin opérationnel interne de disposer d'un accès rapide aux données des RH, des fonctions de rapport restreintes du SGRH et de l'incapacité du Ministère à créer des rapports comprenant simultanément des données des RH sur les employés civils et militaires, la nécessité de se doter d'un module de rapport des RH a été soulignée. Par conséquent, le SRRH a été créé il y a plus de dix ans afin d'offrir à un groupe élargi d'utilisateurs du Ministère la capacité de voir des renseignements à l'extérieur des applications en ligne du SGRH. Les données des RH civiles et militaires sont versées dans le SRRH, qui comprend les dossiers personnels de tous les employés civils et de tous les militaires. Les fonctions et la capacité d'établissement de rapports du SRRH ont été décrites dans le concept des opérations du SGRH(Civ) ainsi que dans les politiques et procédures de sécurité du Directeur – Gestion de l'information des ressources humaines (DIRHG) sur le SRRH.

En plus de servir de module de rapports, le SRRH peut également être utilisé pour créer des extractions de données des RH (voir la figure 1), qui sont mises à la disposition des utilisateurs du Ministère ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓¹, ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ , et qui peuvent être téléchargées, visionnées et manipulées à l'aide d'applications de bases de données ou encore importées dans d'autres systèmes d'information.

Diagramme des données RH

Figure 1. Diagramme des données des RH. Cette figure montre les extractions de données créées à partir du SGRH(Civ) et du SGRH(Mil).

Les renseignements personnels peuvent être téléchargés du SRRH à l'aide de trois extractions de données des RH distinctes. ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ est l'extraction principale; elle comprend les renseignements personnels disponibles de plus ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ dont le code d'identification de dossier personnel ou le numéro de matricule, le nom, l'adresse, les numéros de téléphone, la date et le lieu de naissance, les numéros de passeport et des renseignements sur leurs postes, ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

Deux autres extractions, ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ , comprennent des renseignements personnels supplémentaires ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

1.2 Justification de l'audit

Le SMA(Svcs Ex) a réalisé cet audit des droits d'accès à l'application du Système de gestion des ressources humaines civiles, conformément au Plan d'audit interne axé sur les risques du Chef – Service d'examen² de 2013-2014 à 2015-2016.

1.3 Objectif

L'objectif de l'audit était de déterminer si le cadre de contrôle de gestion visant à s'assurer que les droits d'accès aux systèmes et aux applications liés au SGRH(Civ) sont raisonnables, approuvés, surveillés et modifiés en fonction des besoins était adéquat.

1.4 Étendue

Axée sur l'examen des politiques, processus et procédures opérationnelles du Ministère liés à la sécurité de la gestion de l'accès au SGRH(Civ) et à la protection des renseignements personnels entrés dans le système, l'audit portait sur la période allant de septembre 2013 à octobre 2014. Les politiques, processus et procédures opérationnelles du Ministère concernant le SRRH, le module de rapport du SGRH qui comprend les données des RH des employés civils et des militaires, ont également fait l'objet d'un examen. Toutefois, on ne s'est penché ni sur les opérations et les processus opérationnels de Services partagés Canada (SPC) ni sur les processus opérationnels et les pratiques de gestion de l'accès des utilisateurs du SGRH(Mil) du SMA(RHCiv).

1.5 Méthode

L'équipe d'audit s'est servie de la méthode suivante pour recueillir les renseignements nécessaires pour effectuer l'examen des critères d'audit :

• examen de la Loi sur la protection des renseignements personnels et des politiques, lignes directrices et directives pertinentes du gouvernement du Canada, du MDN et des FAC;
• examen des documents sur la sécurité du SGRH(Civ) de 2014, dont demandes d'accès d'utilisateurs, modifications et suppressions liées aux comptes d'utilisateur de SGRH(Civ) et accès aux données des RH;
• entrevues avec le personnel opérationnel du SMA(GI) et du SMA(RH-Civ) et le personnel clé de diverses organisations du MDN qui ont accès aux données du SGRH(Civ);
• examen des registres d'accès aux applications du SGRH(Civ) de 2013-2014.

1.6 Critères d'audit

Les critères d'audit se trouvent à l'annexe B.

1.7 Énoncé de conformité

Les constatations et conclusions formulées dans le présent rapport sont fondées sur un nombre suffisant d'éléments probants appropriés qui ont été recueillis en suivant des procédures qui sont conformes aux Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des vérificateurs internes. Ainsi, l'audit répond aux Normes relatives à l'audit interne au sein du gouvernement du Canada, comme l'indiquent les résultats du Programme d'assurance et d'amélioration de la qualité. Les opinions exprimées dans le présent rapport ont été fondées sur les conditions en place au moment de l'audit et elles ne s'appliquent qu'à l'entité faisant l'objet de l'examen.

2.0 Constatations et recommandations

2.1 Conformité à la Loi sur la protection des renseignements personnels

Le Ministère n'a pas géré et protégé les renseignements personnels des employés civils et des militaires conformément aux exigences de la Loi sur la protection des renseignements personnels ou des politiques du SCT.

L'article 7 de la Loi sur la protection des renseignements personnels stipule qu'« à défaut du consentement de l'individu concerné, les renseignements personnels relevant d'une institution fédérale ne peuvent servir à celle-ci qu'aux fins auxquelles ils ont été recueillis ou préparés par l'institution de même que pour les usages qui sont compatibles avec ces fins ». À l'appui de la Loi sur la protection des renseignements personnels, le SCT a mis en œuvre des politiques, des directives et des lignes directrices sur la protection des renseignements personnels qui établissent les critères à respecter quant aux pratiques saines de gestion et de protection des renseignements personnels.

La Directive sur les pratiques relatives à la protection de la vie privée du SCT établit les exigences en matière de gestion des renseignements personnels, stipulant que « les renseignements personnels sont toujours créés, recueillis, conservés, utilisés, divulgués et éliminés d'une manière qui respecte la vie privée des individus et les dispositions de la Loi et du Règlement ».

Selon un document connexe du SCT intitulé « Lignes directrices sur les atteintes à la vie privée », « une atteinte à la vie privée suppose la collecte, l'usage, la communication, la conservation ou le retrait inapproprié ou non autorisé de renseignements personnels. » De plus, le SCT définit les atteintes substantielles à la vie privée comme celles qui concernent des renseignements personnels sensibles et qui touchent un grand nombre de personnes.

2.1.1 Données ministérielles des RH

Pendant plus d'une décennie, les données des RH ont été extraites du SGRH puis fournies à d'autres applications et utilisateurs du Ministère sans confirmer si le besoin opérationnel était compatible avec l'objectif dans lequel les données avaient été recueillies. L'utilisation de ces extractions comme moyen d'accorder l'accès à des renseignements personnels contourne tous les contrôles à l'appui de la sauvegarde des renseignements pour ce qui est des applications du SGRH et expose les données à un nombre inconnu d'utilisateurs. Ces extractions comprennent les renseignements personnels ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ On y trouve notamment les types de renseignements suivants :

• le code d'identification de dossier personnel ou le numéro de matricule, le nom, l'adresse, la date et le lieu de naissance, les renseignements au sujet de leur poste et les numéros de passeport des FAC;
• ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
• ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ ³

Une fois que les renseignements personnels ont été extraits du SGRH, les données sont téléchargées par les utilisateurs dans divers ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ sans qu'il existe de contrôles visant ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ En raison du manque de documents obligatoires au sujet de l'utilisation de ces renseignements personnels dans les autres systèmes ou par les utilisateurs, le Ministère ne dispose ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ et il ne peut déterminer avec exactitude la distribution cumulative des extraits de données.

2.1.2 Classification des données des RH

L'énoncé de sensibilité de la politique sur la sécurité du SRRH du DIRHG indique que tout agrégé de multiples extractions de données est jugé Protégé B, ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ constitue un incident de sécurité conformément aux Instructions de la sécurité de la Défense nationale et à la Politique de sécurité du ministère de la Défense nationale. Le personnel du directeur général – Sécurité de la défense (DGSD) en a été informé à la fin de 2014, à la suite de quoi le DGSD a ouvert un dossier d'incident de sécurité et commencé à surveiller les activités entreprises afin de régler les problèmes de sécurité relevés.

2.1.3 Résumé

Bien qu'un besoin opérationnel valide justifie le fait qu'un sous-ensemble de données ait été fourni à des utilisateurs ou à des applications, ce besoin n'attribue pas nécessairement un droit. Sans la validation documentée d'une utilisation compatible et sans les contrôles qui appuient la protection des données, on ne peut assurer ni déterminer le niveau de confidentialité et de protection nécessaires. Par conséquent, il est possible qu'une atteinte à la vie privée concernant les renseignements personnels d'anciens ou actuels employés du MDN ou membres des FAC ait eu lieu.

Compte tenu de la nature sensible de cette observation et de la rapidité avec laquelle il faut évaluer les atteintes potentielles à la vie privée et y remédier conformément aux directives du SCT et du Commissariat à la protection de la vie privée, le SMA(Svcs Ex) a mené de nombreuses séances d'information auprès de divers intervenants clés du Ministère sur cet audit.

Le 9 mars 2015, le Ministère a averti par écrit le Commissariat à la protection de la vie privée et le SCT d'une atteinte potentielle à la vie privée. Il a indiqué que le Ministère n'assurait pas la gestion et la protection des renseignements personnels de ses employés civils et des militaires conformément à la Loi sur la protection des renseignements personnels. Les mesures prises, comme l'indiquent le rapport et l'annexe A, témoignent du sentiment d'urgence et de gravité avec lequel le Ministère cherche à régler la question.

2.2 Contrôles d'accès aux données des RH

Les contrôles d'accès au SRRH actuels ne comprennent pas de mécanisme de validation de l'utilisation compatible et ne permettent pas d'assurer la confidentialité des données personnelles ou de gérer adéquatement le cycle de vie de l'accès des utilisateurs.

La GSTI oblige les ministères à « limiter l'accès des TI et de l'information aux personnes qui ont fait l'objet d'une enquête de sécurité et qui ont été autorisées; qui ont été identifiées et authentifiées; et qui ont un accès sélectif. Les ministères ne doivent accorder que des privilèges d'accès minimums de manière à ce que les personnes ne puissent accomplir avec ceux-ci que les tâches liées à l'exercice de leurs fonctions (c.-à-d., principe du droit d'accès minimal) ».

Pour être efficaces, les contrôles de gestion de l'accès des utilisateurs doivent comprendre des processus documentés et approuvés visant à s'assurer que les données des RH sont seulement mises à la disposition de personnes autorisées qui ont besoin des données pour des raisons opérationnelles, et ils doivent permettre de surveiller l'accès des utilisateurs et l'activité des comptes en fonction des besoins.

2.2.1 Accès aux données du SRRH

Le SRRH, qui contient toutes les données des RH sur le personnel et les militaires en service, offre la capacité de créer des rapports comprenant simultanément des données des RH sur les employés civils et militaires. Il offre également à un groupe élargi d'utilisateurs du Ministère la capacité de voir des renseignements à l'extérieur des applications en ligne du SGRH. Pourtant, le SRRH dispose d'un nombre restreint de contrôles pour gérer, surveiller ou supprimer les accès des utilisateurs.

Bien que les utilisateurs aient besoin d'un compte pour accéder au site permettant de télécharger les extractions de données, tous les utilisateurs autorisés du Ministère peuvent obtenir une copie de l'extraction de données du SRRH dans sa totalité, et ce, quel que soit le besoin en matière de données de leur poste ou malgré que l'utilisateur ait fait une demande pour une partie de l'extraction. L'extraction au complet est fournie aux utilisateurs dans ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ De plus, le Ministère a une connaissance restreinte des contrôles mis en place pour prévenir l'accès et la distribution subséquents des extractions une fois qu'elles ont été fournies au demandeur.

Jusqu'en avril 2014, plus de 500 utilisateurs avaient la capacité de télécharger les extractions de données. En octobre 2014, ce chiffre avait été réduit, le nombre d'utilisateurs disposant d'un accès ayant passé à 47. La réduction du nombre de comptes a été effectuée dans le cadre d'une initiative menée par le SMA(GI) qui demandait aux utilisateurs de justifier et de valider leur besoin en matière d'extractions de données. Bien que le nombre de comptes d'utilisateur ait été réduit, il a été déterminé ensuite que l'accès aux données des RH était toujours possible par l'entremise de disques réseau, de supports amovibles ou d'autres applications ministérielles.

2.2.2 Utilisation des données des RH dans d'autres systèmes ministériels

▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ par l'entremise du SRRH, qui est utilisé par d'autres systèmes ministériels. De plus, on trouve très peu de documents liés à la sécurité pour les systèmes qui utilisent ces données. Le Directeur – Systèmes de gestion de l'information a confirmé qu'en ce qui concerne les documents de certification ou d'accréditation de ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ ces derniers ont expiré, il leur manque une partie ou il n'y en a tout simplement pas. Puisqu'il manque des documents liés à la sécurité, ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ De plus, il ne peut déterminer avec exactitude le nombre de fois que les données des RH ont été distribuées ou qui y a eu accès. On se sert de ces extractions depuis plus de 10 ans, ce qui augmente le nombre de dossiers à risque puis qu'il faut également ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

Selon les politiques et les directives du SCT, il faut justifier les besoins opérationnels et valider l'usage compatible avant de donner à un système, à une application ou à un utilisateur l'accès à des renseignements personnels. Cependant, il était impossible de présenter les documents obligatoires pour obtenir l'accès aux extractions de données.

2.2.3 Résumé

Les contrôles d'accès restreints ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ des données des RH par l'entremise du SRRH ne permettent pas de répondre aux normes de sécurité du SCT ou de respecter les directives du Ministère. De plus, les renseignements personnels des employés ont été mis à la disposition d'utilisateurs sans qu'on ait d'abord confirmé le besoin selon le principe de l'accès sélectif ou décrit dans un document le besoin opérationnel et l'usage compatible.

Voici des éléments clés dont il faut tenir compte lors de l'élaboration du plan d'action de la direction :

• En confirmant la correspondance entre l'usage compatible et valide des données et la raison pour laquelle les données des RH ont été recueillies, le Ministère peut assurer le respect des critères établis dans la Loi sur la protection des renseignements personnels.
• En vérifiant l'accréditation des systèmes du Ministère qui ont accès aux données des RH, on peut assurer le respect des politiques de sécurité et de protection des renseignements personnels et veiller à ce que les mécanismes de sécurité du système fonctionnent comme prévu et que les privilèges des utilisateurs sont accordés selon le principe de l'accès sélectif.

2.3 Gouvernance

Les rôles et les responsabilités concernant l'utilisation et la protection des données du SGRH(Civ) ne sont pas définis clairement, ce qui donne lieu à des processus et à des pratiques inefficaces qui ne permettent pas d'assurer la confidentialité et l'intégrité des données des RH.

L'adoption au Ministère de pratiques de gouvernance efficaces en matière de gestion de l'accès des utilisateurs devrait permettre d'assurer le respect de toutes les politiques externes pertinentes, telles que la Politique sur la sécurité du gouvernement, et l'intégration de rôles et de responsabilités clairement définies et communiquées.

Selon les politiques et les directives du SCT, l'accès aux renseignements est restreint à moins que l'utilisateur présente une justification adéquate et valide le besoin opérationnel. De plus l'accès accordé doit être minimal et ne porter que sur ce dont l'utilisateur a besoin pour exercer ses fonctions. Lorsqu'il s'agit de renseignements personnels, l'usage compatible doit être confirmé afin de s'assurer que l'information n'est utilisée que pour les raisons pour lesquelles elle a été recueillie.

2.3.1 Rôles et responsabilités

Selon le concept des opérations du SGRH(Civ), le SMA(RH-Civ) est l'autorité opérationnelle en ce qui concerne les données des RH et le propriétaire fonctionnel du système. Dans la Banque de terminologie de la Défense, l'expression « autorité opérationnelle » est définie comme toute « personne qui a l'autorité de définir des besoins et des principes directeurs, de fixer des normes et d'accepter des risques dans son domaine de responsabilité ». À ce titre, le SMA(RH-Civ) est responsable des données des RH figurant dans le SGRH. Parmi ses responsabilités doivent figurer l'autorisation des accès et la protection ainsi que la validation de l'usage compatible des renseignements personnels qui ont été confiés au Ministère par ses employés.

Le DIRHG est l'organisation du SMA(GI) qui est responsable des aspects techniques des deux SGRH du Ministère, y compris la mise à niveau et la sécurité. Le DIRHG faisait partie à l'origine de l'organisation du CPM, soit l'autorité opérationnelle du SGRH(Mil), et il participait donc à l'autorisation des accès aux données des RH par l'entremise du SRRH. La DIRHG a été transférée au SMA(GI) dans le cadre d'une initiative de rationalisation de la gestion de l'information (GI) du Ministère il y a de cela une dizaine d'années.

Les rôles et les responsabilités du SMA(GI) et du SMA(RH-Civ) au sujet du SGRH n'ont pas été mis à jour de manière à ce qu'ils tiennent compte des changements organisationnels. Depuis l'initiative de rationalisation de la GI, le DIRHG continue d'autoriser l'accès aux données des RH en accordant l'accès à diverses organisations et applications du MDN par l'entremise du module SRRH. Or, dans le cadre de son rôle actuel à titre d'autorité technique, le DIRHG n'est plus en mesure de confirmer l'usage compatible des données ou de justifier et de valider l'accès en fonction des besoins opérationnels. Un besoin opérationnel valide pourrait justifier l'accès à certains sous-ensembles de données des RH. Cependant, afin de respecter les politiques du SCT et la Loi sur la protection des renseignements personnels, le propriétaire des données, dans ce cas le SMA(RH-Civ), doit fournir l'autorisation appropriée et confirmer l'usage compatible avant d'accorder l'accès aux renseignements personnels.

2.3.2 Résumé

Le manque de clarté et la supposition erronée du rôle des intervenants clés ont donné lieu à une autorisation et à un octroi inappropriés de l'accès aux données des RH. Afin de respecter toutes les politiques externes pertinentes et de s'assurer que les données figurant dans le système sont sauvegardées et protégées contre une utilisation non autorisée, la gouvernance liée à la gestion de l'accès des utilisateurs doit permettre de définir et de communiquer clairement les rôles et les responsabilités en la matière.

2.4 Gestion des risques

L'EMR et l'EFVP du SGRH(Civ) n'ont pas été réalisées, ce qui empêche le SMA(RH-Civ) d'obtenir les renseignements clés dont il a besoin pour s'assurer que les contrôles qui s'imposent ont été mis en œuvre afin de protéger les renseignements personnels des employés.

Le SCT impose des exigences obligatoires en matière de protection de l'information, y compris les certifications et les accréditations des systèmes et la réalisation d'EMR. Cependant, le contexte de risque du SGRH(Civ) n'a pas été établi de façon à s'assurer que les risques en constante évolution sont décelés ou que les contrôles pertinents sont mis à jour en fonction du contexte de risque actuel.

2.4.1 Évaluation des risques

En février 2013, on a accordé une autorisation conditionnelle afin d'exploiter le SGRH(Civ) en fonction d'un projet d'EMR qui avait été réalisé cinq ans auparavant. De multiples conditions avaient été imposées sur l'accréditation, dont une qui portait sur la réalisation et l'approbation par le SMA(RH-Civ) d'une EMR qui tiendrait compte de toutes les interfaces et toutes les composantes du système. L'EMR devait au départ être terminée avant juin 2013, mais elle ne l'était toujours pas en octobre 2014.

Dans les documents d'accréditation officiels du SGRH(Civ), on reconnaissait que le système posait un risque élevé en raison des incidences sur la vie privée qui seraient liées à une atteinte potentielle à la vie privée. Comme le prouvent certains événements récents, la réalisation continue d'évaluations, de surveillance et de mesures d'atténuation inadéquates quant aux risques importants peut nuire grandement à la confidentialité, à l'intégrité et à la disponibilité des données du système.

Du point de vue du contrôle de l'accès, les rôles des administrateurs des systèmes du MDN profitant d'un accès privilégié⁴ ont été transférés à SPC en 2011. Le concept des opérations du SGRH(Civ) précise l'atténuation des restrictions imposées au personnel jouissant d'un accès privilégié. Or, ce document constitue une ébauche qui n'a pas été mise à jour depuis 2009 afin de formaliser les changements récents, tels que la transition vers SPC, ou d'en tenir compte. Cela augmente le risque que les besoins en sécurité ministériels et les problèmes à ce sujet ne soient pas décelés ou réglés adéquatement selon les normes auxquelles s'attend le Ministère.

2.4.2 EFVP

Afin de mieux protéger les renseignements personnels, la Directive sur l'évaluation des facteurs relatifs à la vie privée décrit les exigences obligatoires que doivent respecter les institutions gouvernementales afin d'« assurer une solide gestion et la prise de décisions judicieuses, ainsi qu'un examen prudent des risques liés à la vie privée… en effectuant des EFVP ». Les EFVP constituent les éléments de la gestion des risques qui portent sur l'observation de la Loi sur la protection des renseignements personnels et ils servent à évaluer les incidences sur la vie privée lorsqu'il s'agit de renseignements personnels. Les documents à l'appui requis portent sur l'identification des risques d'atteinte à la vie privée, le flux des renseignements personnels et de l'analyse de la conformité relative à la protection de la vie privée.

Le SGRH(Civ) ne dispose que d'une ébauche d'EFVP réalisée en 2011, et aucune EFVP n'a été fournie pour les autres applications du Ministère qui se servent des renseignements personnels tirés du SGRH(Civ). Les documents officiels d'accréditation du SGRH(Civ) indiquent que l'absence d'EFVP pourrait empêcher l'identification et le règlement de vulnérabilités dans le système et la confidentialité des données des RH.

2.4.3 Résumé

Bien que des processus ministériels visant à déceler, à atténuer et à surveiller les risques liés à la protection des biens d'information existent, les documents clés tels que les EMR et les EFVP n'ont pas été mis à jour de façon à tenir compte des opérations actuelles du SGRH(Civ). Par conséquent, le Ministère ne peut s'assurer que les contrôles appropriés sont en place pour protéger les renseignements personnels. En plus de la non-conformité aux exigences des politiques externes pertinentes, cette situation augmente le risque que les problèmes de sécurité et les atteintes à la vie privée ne soient pas décelés et réglés adéquatement.

2.5 Contrôles du SGRC(Civ)

On donne de multiples comptes aux utilisateurs exerçant des rôles des RH afin de contourner les contrôles intrinsèques du système, ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

Au cours de la carrière d'un employé, ses besoins en matière d'accès peuvent évoluer pour plusieurs raisons, dont le changement de responsabilités, un nouveau poste, une promotion ou un départ. Les processus rigoureux de gestion de l'accès permettent de faire en sorte que l'accès accordé à chaque utilisateur n'excède pas ses besoins dans le cadre de ses fonctions et assurent donc la sauvegarde et la protection des renseignements figurant dans le système.

2.5.1 Séparation des obligations

Dans le SGRH(Civ), l'accès en fonction du rôle sert à définir les diverses fonctions d'un emploi, ce qui entraîne la séparation des obligations et la répartition des tâches et des responsabilités d'un processus opérationnel donné entre de nombreux utilisateurs. Bien que les utilisateurs puissent assumer divers rôles, les contrôles du système font en sorte que certains rôles ne peuvent être remplis par un même utilisateur.

Toutefois, afin de faciliter les opérations des RH, il a fallu contourner les contrôles internes du système. On accorde aux utilisateurs du système qui sont tenus d'exercer de multiples rôles en matière de RH un compte numéroté de manière séquentielle pour chacun des rôles qui lui revient. Par conséquent, les utilisateurs détenant de multiples comptes se retrouvent avec une quantité cumulative de droits d'accès, ce qui ne permet pas d'assurer la séparation des obligations.

Lorsque les obligations ne peuvent être séparées, il faut mettre en place des mécanismes de contrôle compensatoires afin d'atténuer les risques. Ces mécanismes, tels que l'évidence documentaire, les rapports d'exception et l'examen des registres d'activité, ont pour but de faciliter la protection des renseignements en assurant la fonction de détection. La GSTI exige que les ministères surveillent constamment leurs systèmes, au moins à l'aide d'un journal de vérification de la sécurité, et que tous les systèmes à risque élevé soient munis d'outils de détection des incidents en temps réel automatisés. Le MDN reconnaît que le SGRH(Civ) est un système à risque élevé.

Comme l'exigent les politiques du SCT, tous les accès au SGRH(Civ) sont inscrits dans un registre qui peut être consulté. On a mis les registres d'accès à la disposition de l'équipe d'audit, qui a confirmé que les accès au système avaient été consignés et maintenus au cours de la dernière année. Cependant, rien n'indiquait que les registres du SGRH(Civ) faisaient l'objet d'un examen régulier ou proactif.

Les intervenants principaux ont indiqué qu'il y avait un manque de connaissances quant à ce qui constitue un compte, un processus opérationnel ou une transaction à risque élevé. ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ Les examens menés sont généralement de nature ponctuelle et entreprise en réponse à des incidents précis.

2.5.2 Résumé

Dans le cadre de l'application du SGRH(Civ), ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ De plus, le manque de surveillance augmente les chances que le traitement d'une transaction à risque élevé passe inaperçu.

3.0 Conclusion

Le cadre de gestion actuel de l'accès des utilisateurs au SGRH(Civ) manque de rigueur et il ne permet pas d'assurer l'intégrité et la confidentialité des données des RH.

En raison du manque d'exigences en matière d'accréditation des systèmes principaux, de la faible quantité de documents sur l'usage compatible des données des RH, des faibles contrôles d'accès, des rôles et des responsabilités mal définis et de la distribution à grande échelle des données des RH à l'extérieur du SGRH, le Ministère est incapable de s'assurer que les données des RH ont été sauvegardées, utilisées de manière appropriée et protégées contre une utilisation non autorisée. Par conséquent, il est possible qu'une atteinte à la vie privée concernant les renseignements personnels d'employés du MDN ou de membres des FAC anciens ou actuels ait eu lieu.

En outre, ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ Il s'agit d'un incident de sécurité que le SGSD cherche à régler.

Dans l'ensemble, ces facteurs posent un risque pour les renseignements personnels ainsi que pour la réputation du Ministère.

Compte tenu de la nature sensible et de l'usage immodéré des renseignements personnels au sein du Ministère, les intervenants doivent agir de manière proactive et établir une démarche globale quant à l'évaluation et à la gestion de cette situation. Conformément aux exigences et lignes directrices figurant dans les politiques du SCT, le Ministère devrait agir immédiatement pour résoudre les problèmes soulevés en matière de sécurité et de protection des renseignements personnels et s'assurer qu'un cadre d'accès des utilisateurs adéquat est mis en œuvre.

Les mesures présentées dans le rapport et à l'annexe A, qui ont été prises et qui seront prises par la direction, témoignent du sentiment d'urgence et de la gravité avec lequel le Ministère traite les observations formulées lors de l'audit.

Annexe A – Plan d'action de la direction

Le SMA(Svcs Ex) utilise les critères d'importance suivants pour ses recommandations :

Très élevée – Il n'y a pas de contrôles en place. On a relevé des problèmes importants qui auront des répercussions négatives importantes sur les activités.

Élevée – Les contrôles sont inadéquats. On a relevé des problèmes importants qui pourraient avoir des répercussions négatives sur l'atteinte des objectifs opérationnels et les programmes.

Modérée – Des contrôles sont en place, mais ils ne sont pas suffisamment respectés. On a relevé des problèmes qui pourraient avoir des répercussions négatives sur l'efficacité et l'efficience des activités.

Faible – Des contrôles sont en place, mais le niveau de conformité varie.

Très faible – Des contrôles sont en place, sans écart quant au niveau de conformité.

Conformité à la Loi sur la protection des renseignements personnels

Mesures de la direction

Réponse du Sec gén :

Le Sec gén accepte la recommandation et veillera à ce que les mesures décrites dans les Lignes directrices sur les atteintes à la vie privée du SCT soient mises en œuvre et menées à bien.

À titre d'autorité désignée pour l'application de la Loi sur la protection des renseignements personnels au sein du MDN et des FAC, le DAIPRP est le responsable de la gestion et du règlement d'incidents d'atteinte à la vie privée. Les lignes directrices pour la gestion efficace des incidents d'atteinte à la vie privée sont décrites par le SCT, et elles décrivent en détail les domaines suivants :

Évaluation

L'évaluation des atteintes à la vie privée suppose une analyse des renseignements personnels en question, l'identification des individus pouvant être touchés, la cause, l'étendue et la source de l'atteinte et les dommages prévisibles. La majorité des facteurs pris en compte au cours de l'étape de l'évaluation de la gestion des atteintes à la vie privée ont été considérés dans le cadre de cet audit. Il convient cependant de noter que le Ministère n'est pas en mesure d'indiquer les détails d'une atteinte en particulier. Le nombre de personnes touchées et ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ Rien ne porte à croire que les renseignements aient été divulgués à l'extérieur du MDN et des FAC. Par conséquent, le Sec gén et les DAIPRP sont d'avis que l'incident constitue une atteinte à la vie privée systémique causée par l'absence d'un cadre d'utilisation adéquat axé sur des principes de gestion appropriée des renseignements personnels conformément aux exigences de la Loi sur la protection des renseignements personnels. De plus, rien n'indique que les renseignements aient été perdus ou volés, et aucun incident ou préjudice précis n'a été relevé.

Restrictions

Le Sec gén et le DAIPRP continueront d'assurer le suivi des mesures de restriction prises par les SMA(GI), le CPM et le SMA(HR-Civ), comme l'indique le point 2 du Plan d'action de la direction.

À ce jour, rien n'indique que les renseignements aient été perdus, volés ou divulgués à l'extérieur du MDN et des FAC, et aucun incident d'atteinte à la vie privée n'a été relevé. De plus aucun préjudice lié à une atteinte à la vie privée n'a été relevé.

Avis

Chaque fois que des renseignements personnels ont été divulgués, ou pourraient l'avoir été, il faut envisager d'envoyer un avis. Le Sec gén formulera des recommandations concernant l'avis à transmettre au CPM et au SMA(RH-Civ) en cas d'incident d'atteinte à la vie privée au Ministère afin que les décisions éclairées soient prises à l'étape appropriée de l'enquête que mène le DGSD. Le Sec gén est au courant des activités ministérielles d'atténuation, d'enquête et de restriction qui se déroulent, et il s'assurera que les recommandations quant aux avis d'atteinte à la vie privée ne compromettront pas ces efforts.

Il convient de noter que les organisations de niveau 1 détenant l'autorité légitime quant à la collecte des renseignements personnels (le CPM et le SMA(RH-Civ)) sont ultimement responsables d'émettre les avis d'atteinte à la vie privée.

Atténuation et prévention

Le DAIPRP maintiendra un rôle de soutien en ce qui concerne l'atténuation et la prévention. Il demeure prêt à réviser les politiques, les procédures, les lignes directrices et les outils proposés avant leur mise en œuvre à l'échelle du Ministère. Plus précisément, le DAIPRP exécutera les tâches suivantes :

• examiner les outils et procédures de validation élaborés pour donner suite au point 3 du Plan d'action de la direction afin que l'on tienne compte de l'usage compatible et de la confidentialité des renseignements personnels;
• examiner le document élaboré par le SMA(RH-Civ) et le SMA(GI) pour donner suite au point 4 du Plan d'action de la direction afin que l'on tienne compte de la protection des renseignements personnels et que l'on réponde aux préoccupations à ce sujet;
• formuler des conseils et des lignes directrices à l'intention du SMA(RH-Civ) au sujet de l'élaboration d'EFVP pour donner suite au point 5 du Plan d'action de la direction.

Le DAIPRP formulera des conseils, des orientations et des recommandations à l'intention du SMA(GI), du CPM et du SMA(RH-Civ) afin de faciliter la création d'un cadre d'utilisation adéquat axé sur des principes de gestion appropriée des renseignements personnels conformément aux exigences de la Loi sur la protection des renseignements personnels.

Signalement des atteintes substantielles à la vie privée

Le 9 mars 2015, le DAIPRP, à titre de liaison du Ministère pour tout ce qui touche l'administration de la Loi sur la protection des renseignements personnels, a avisé le Bureau du Commissaire à la protection de la vie privée et le SCT d'un problème systémique concernant la protection des renseignements personnels lié aux vulnérabilités que présente le contrôle de l'accès des utilisateurs au SGRH. En conséquence, le Bureau du Commissaire à la protection de la vie privée a lancé une enquête, qui est toujours en cours. Le DAIPRP continuera d'assurer la liaison auprès du Bureau du Commissaire jusqu'à ce que l'enquête soit terminée. Le Bureau du Commissaire à la protection de la vie privée a été informé de l'audit qui se déroule au Ministère, et il attend de recevoir les documents produits au cours de celle-ci dès qu'elle sera terminée.

BPR : Sec gén

Date cible : Initiative continue afin de soutenir les mesures correctives des autres BPR.

Réponse du VCEMD :

Le VCEMD/DGSD/Directeur – Opérations de sécurité de la défense (DOSD) est d'accord avec la recommandation et affirme qu'il prend des mesures, dans le cadre de ses responsabilités en matière de gestion des incidents de sécurité qui sont définies dans le chapitre 12 des Ordonnances et directives de sécurité de la Défense nationale, afin que le Ministère entreprenne toutes les initiatives appropriées quant à la sécurité et la protection des renseignements personnels figurant dans les Lignes directrices sur les atteintes à la vie privée du SCT. En particulier, le VCEMD/DGSD/DOSD a pris les mesures suivantes :

• ouvrir le dossier d'incident de sécurité no 1446 pour surveiller et consigner les efforts en cours afin de répondre aux préoccupations de sécurité soulignées dans le rapport d'audit du SMA(Svcs Ex);
• assumer la responsabilité de coordonner la réponse de sécurité intraministérielle par rapport à l'incident mentionné dans le rapport d'audit. Le DGSD et le DOSD ont convoqué à deux reprises un groupe collaboratif d'intervenants (indiqués dans le Plan d'action de la direction) et de partisans afin de faciliter les efforts d'intervention et de résolution en cours. Ces groupes se sont réunis le 28 avril 2015 et le 14 juillet 2015. Des comptes rendus ont été rédigés pour chacun afin de consigner les discussions et les décisions prises. La prochaine réunion est prévue pour le 1er septembre 2015.

Le VCEMD/DGSD/DOSD continuera de réviser le plan d'action de la direction afin que les intervenants comblent les lacunes en matière de sécurité qui ont été définies dans l'audit du SMA(Svcs Ex), qu'ils veillent à ce que les interventions soient complètes en ce qui concerne la sécurité, fassent l'objet de mesures de suivi et soient coordonnées, et qu'ils s'assurent que d'autres intervenants intéressés qui ne sont pas liés à la sécurité, tels que le Directeur des affaires publiques (Opérations), y participent.

BPR : VCEMD

Date cible : Mesure continue visant à appuyer les activités de correctives d'autres BPR

Mesures de la direction

Réponse du SMA(GI) :

Le SMA(GI) est d'accord avec la recommandation et s'emploie activement à la mettre en œuvre. Le SMA(GI) a pris les mesures ci-dessous afin de donner suite à la recommandation ou de soutenir le plan d'action de la direction d'autres BPR mentionnés dans l'audit :

• Le SMA(GI) a mené un examen interne au printemps et à l'été 2014, dans le cadre duquel il a noté que des extractions de données de nature générale tirées du SGRH avaient été transmises par le SRRH à 418⁵ utilisateurs et à plusieurs applications logicielles d'envergure nationale depuis 1999. Les extractions se rangeaient principalement dans les catégories de données générales, telles que ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ ainsi que de nombreuses extractions de sous-ensembles ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
• Un examen de l'autorité liée à ces divulgations a eu lieu immédiatement et, à la suite de celui-ci, 288 utilisateurs se sont vus retirer leur accès aux extractions de données. On a demandé à ceux qui semblaient avoir potentiellement besoin de ces renseignements de justifier leur droit d'accès. En ce moment, le nombre d'utilisateurs autorisés d'extractions a été réduit à 58 personnes, y compris pour les applications logicielles d'envergure nationale telles que Gestion SSAM et le Système de gestion du parc de véhicules.
• Le SMA(GI) a demandé au DIRHG de créer et de mener l'examen et l'évaluation de la divulgation des extractions de données qui a eu lieu par le passé et a toujours lieu aujourd'hui, puis de mettre à jour les procédures qui serviront à gérer les demandes et les autorisations relatives aux renseignements des RH à l'avenir. L'Initiative de remplacement de l'extraction de données (DERI) est en cours, et les propriétaires des données, le CPM et le SMA(RH-Civ) y participent activement. Afin d'appuyer cette initiative, le DIRHG a mis sur pied un site intranet qui permet aux utilisateurs d'indiquer et de justifier leurs demandes d'extraction de données des RH au sujet de militaires et de civils. L'objectif est de remplacer les 58 extractions de données restantes avec des produits personnalisés qui répondent aux besoins en données précis des utilisateurs en fonction de la méthode de privilège d'accès minimum. Il faut présenter des explications et des justifications opérationnelles pour chaque demande d'élément de donnée et les besoins en sécurité avant d'obtenir l'approbation du propriétaire des données. Le DIRHG n'approuve plus les demandes d'extraction de données. Cette activité est terminée, et le nouveau système automatisé d'approbation des demandes et des propriétaires de données est en ligne. Dorénavant, l'application de demandes automatisées sera le seul moyen qu'auront les clients pour faire la demande d'importantes extractions de données.
• Le groupe de la GI a précisé les caractéristiques des types de données des RH qui peuvent être sauvegardés à l'extérieur du SRRH. Cependant, il n'est pas possible, sur le plan technique, d'éliminer toutes les données non autorisées à l'aide d'une méthode centralisée unique. En collaboration avec SPC, le MDN entreprendra les activités suivantes :
  • relever les cas potentiels de données des RH non autorisées en consultation avec les fournisseurs de service locaux;
  • déterminer, lorsque les propriétaires des données peuvent être identifiés, si la quantité minimale de données nécessaires est détenue pour des raisons valides;
  • veiller à la suppression de données lorsque les propriétaires des données ne peuvent être identifiés ou lorsque les données ne sont pas tenues pour des raisons valides.

Avec le soutien de SPC, le groupe de la GI a lancé ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ qui consiste à examiner le Réseau étendu de la Défense (RED) afin de localiser, d'isoler et de retirer tous les fichiers de données non autorisés du SGRH. L'exécution de cette opération, qui doit être terminée au plus tard le 31 décembre 2015, est en cours.

BPR : SMA(GI)/Directeur général – Opérations (Gestion de l'information)

Date cible : 31 décembre 2015

Contrôles du SRRH

Mesures de la direction

Réponse du SMA(RH-Civ) :

1. Le SMA(RH-Civ) mettra au point un processus de validation de l'accès aux données et des règles connexes conformément aux politiques et publications du SCT au sujet de la protection des renseignements personnels et des données.

• BPR : Directeur – Services généraux et modernisation (D Svc Gén Mod), responsables des processus du SMA(RH-Civ)
• Date cible : 31 juillet 2016

2. Le SMA(RH-Civ) créera des procédures d'examen des justifications pour l'accès qui correspondent aux processus qui ont déjà été mis en œuvre au SMA(GI) et qui seront élaborés en fonction des rôles des utilisateurs et des fournisseurs de services des RH civiles.

• BPR : D Svc Gén Mod
• Date cible : 31 juillet 2016

Réponse du CPM :

Le contrôle des droits d'accès aux applications au sein des FAC demeure une initiative mixte. Le DIRHG, le SMA(RH-Civ) et le CPM continueront de travailler ensemble afin de mettre au point une solution. Jusqu'à présent, le DIRHG a dirigé en grande partie d'initiative concernant les droits d'accès. Cependant, le directeur général – Opérations (Gestion de l'information), SPC et l'Armée canadienne ont également été appelés à y participer afin de régler le problème des potentielles archives non autorisées.

Voici les mesures à prendre :

• Le DIRHG lancera une application Web permettant aux autorités compétentes de gouverner et de contrôler l'accès aux données et les permissions. Cette initiative est décrite dans la présentation du SMA(GI) sous le nom de DERI. On continue de travailler sur la DERI, et le CPM espère qu'elle sera mise en œuvre d'ici le 1er septembre 2015. En attendant, on emploie des processus manuels dans le cadre desquels le CPM doit donner son approbation avant que le DIRHG puisse accorder l'accès.
• Comme il a été indiqué plus tôt, un examen initial des privilèges d'accès aux comptes a entraîné la réduction du nombre d'utilisateurs auxquels on a accordé l'accès aux données, qui passe de 418 utilisateurs à 58. Lorsque la DERI sera accessible en ligne, le CPM restreindra encore plus l'accès des utilisateurs à certains champs de données précis. Cette tâche exige un travail considérable de la part du DIRHG, du SMA(RH-Civ) et du CPM, mais elle sera terminée d'ici le 1er décembre 2015. Le CPM a assigné une ressource supplémentaire à cette initiative afin d'accélérer le processus d'examen et d'approbation lorsque la DERI sera en ligne.
• On a mené un examen de la conservation des archives, et l'on a trouvé des dossiers dans une base de données dont se sert l'Armée canadienne pour exécuter la gestion des RH, y compris des analyses historiques. Bien qu'il s'agisse d'une exigence opérationnelle légitime, il n'en reste pas moins que des renseignements personnels de militaires retraités ou libérés ont été conservés. L'Armée et le CPM ont élaboré un plan visant à protéger l'information des militaires retraités ou libérés qui consiste à supprimer la partie des renseignements personnels, notamment le prénom, le nom, les coordonnées, les personnes à contacter en cas d'urgence et l'adresse, des dossiers. Ainsi, l'Armée canadienne pourra garder certains renseignements essentiels, tels que les compétences de militaires ayant participé à des opérations de déploiement, sans toutefois divulguer les renseignements personnels des militaires retraités ou libérés aux utilisateurs de l'Armée canadienne. Les mesures correctives devraient être mises au point d'ici le 1er décembre 2015.
• On mène actuellement une recherche visant à trouver des copies d'extraits de données sur les réseaux du MDN dont se servent des utilisateurs non autorisés. La recherche, qui est dirigée par le DGOGI, devrait être terminée d'ici le 31 décembre 2015. Jusqu'à présent, aucune copie non autorisée n'a été trouvée. Si l'on découvre une copie non autorisée des données, le CPM sera appelé à prendre les mesures directes qui s'imposent.
• Comme on l'a rapporté plus tôt, nous mènerons, à compter de 2016, un examen annuel des utilisateurs ayant accès aux données afin de confirmer si quelque changement passé ou prévu entraînerait des modifications des privilèges d'utilisateur. Cet examen est prévu pour septembre puisque l'on s'attend à un roulement de personnel élevé et à des changements de rôle en juillet et août. L'examen a pour but de déceler les changements qui n'ont pas été relevés dans le cadre des procédures normales.

BPR : CPM

Date cible : 31 décembre 2015

Gouvernance

Mesures de la direction

Réponse du SMA(RH-Civ) :

1. Le SMA(RH-Civ) définira et consignera les responsabilités et les pouvoirs au sein de son organisation en fonction de huit sections de données du processus opérationnel commun des RH qui couvrent la totalité des données des RH civiles afin que la propriété, l'administration et les autorisations d'accès soient clairement définies et communiquées.

• BPR : D Svc Gén Mod
• Date cible : 30 novembre 2015

2. En consultation avec le SMA(GI) et le CPM, le SMA(RH-Civ) relèvera et consignera toutes les voies d'accès prévues aux données des RH civiles, entre autres à l'aide de comptes du système, d'extractions, de rapports, de sources de données, de documents et de fichiers.

• BPR : D Svc Gén Mod
• Date cible : 31 mars 2016

3. En consultation avec le SMA(GI) et le CPM, le SMA(RH-Civ) définira, consignera et communiquera les procédures à suivre pour obtenir l'accès aux données des RH à l'aide des voies pertinentes relevées à l'étape 2 afin d'assurer le contrôle de l'accès aux données civiles en fonction des principes du droit d'accès minimal ou de l'accès sélectif.

• BPR : D Svc Gén Mod, responsables des processus du SMA(RH-Civ)
• Date cible : 30 novembre 2016

Gestion des risques

Mesures de la direction

Réponse du SMA(RH-Civ) :

1. Le SMA(RH-Civ) définira et consignera les niveaux de protection et de classification correspondant à chacun des contributeurs de données de niveau 1 et à chacune des huit sections de données de l'initiative du processus opérationnel commun des RH présentées ci-dessous :

• Planification des RH et rapports/organisation
• Emploi et poste
• Dotation
• Rémunération
• Apprentissage, perfectionnement professionnel, rendement et reconnaissance
• Gestion du milieu de travail
• Personne
• Employé

BPR : D Svc Gén Mod, responsables des processus du SMA(RH-Civ)

Date cible : 31 mars 2016

2. En consultation avec le SMA(GI) et le CPM, le SMA(RH-Civ) réévaluera et mettra à jour l'EMR actuelle du SGRH en fonction de l'évaluation présentée à l'étape 1.

• BPR : D Svc Gén Mod
• Date cible : 30 novembre 2016

3. En consultation avec le SMA(GI) et le CPM, le SMA(RH-Civ) réévaluera et mettra à jour l'EFVP en fonction de l'évaluation présentée à l'étape 1.

• BPR : D Svc Gén Mod
• Date cible : 30 novembre 2016

4. En consultation avec le SMA(GI) et le CPM, le SMA(RH-Civ) créera une procédure d'examen du niveau de sécurité des données afin de s'assurer que les renseignements sont à jour.

• BPR : D Svc Gén Mod, responsables des processus du SMA(RH-Civ)
• Date cible : 31 juillet 2016

Contrôles du SGRH

Mesures de la direction

Réponse du SMA(RH-Civ) :

1. En consultation avec le SMA(GI), le SMA(RH-Civ) créera une capacité de suivi pour tous les utilisateurs et capacités d'accès, y compris les comptes du système, les rapports, les documents et les dossiers.

• BPR : D Svc Gén Mod
• Date cible : 30 novembre 2015

2. Le SMA(RH-Civ) créera des procédures d'examen de l'accès aux comptes des utilisateurs afin que l'accès aux données des civils soit contrôlé selon les principes du droit d'accès minimal ou de l'accès sélectif.

• BPR : D Svc Gén Mod, responsables des processus du SMA(RH-Civ)
• Date cible : 31 mars 2016

Annexe B – Critères de l'audit

Objectif

Déterminer si le cadre de contrôle de gestion visant à s'assurer que les droits d'accès aux systèmes et aux applications liés au SGRH(Civ) sont raisonnables, approuvés, surveillés et modifiés en fonction des besoins est adéquat.

Critères

Évaluation des critères

Les critères d'audit ont été évalués en fonction des niveaux suivants :

Niveau et description

Niveau 1 : Satisfaisant

Niveau 2 : Améliorations mineures nécessaires

Niveau 3 : Améliorations modérées nécessaires

Niveau 4 : Améliorations considérables nécessaires

Niveau 5 : Insatisfaisant

Gouvernance

1. Critères. Des politiques, des pratiques et des procédures sont en place pour gérer efficacement l'accès des utilisateurs.

Évaluation : niveau 4 – La structure de gouvernance établie pour le SGRH(Civ) ne permet pas de gérer efficacement l'accès des utilisateurs. L'absence de rôles et de responsabilités clairement établis pour les intervenants principaux du ministère et les manquements à l'égard des politiques principales en matière de sécurité et de protection des renseignements personnels mettent la confidentialité et l'intégrité des renseignements en péril.

Gestion des risques

2. Critères. Un processus permet d'identifier, d'atténuer et de surveiller les risques liés à la protection des ressources d'information.

Évaluation : niveau 4 – L'évaluation des risques et d'autres exigences de validation des systèmes n'ont pas été menées à bien. Par conséquent, les intervenants clés ne sont pas en mesure de reconnaître les risques pertinents ou nouveaux ou de tenir compte de risques importants lors de la prise de décisions.

Contrôles

3. Critères. Un processus de gestion de l'accès des utilisateurs approuvé et consigné permet d'accorder l'accès seulement aux utilisateurs approuvés en fonction des besoins opérationnels.

Évaluation : niveau 4 – Des processus consignés de gestion de l'accès des utilisateurs du SGRH(Civ) sont en place afin d'accorder l'accès au SGRH(Civ) aux utilisateurs approuvés seulement. Cependant, l'accès aux données du SGRH(Civ) n'est pas accordé en fonction de besoins opérationnels validés. De plus, le Ministère n'a qu'une visibilité restreinte de la distribution et de l'usage des extractions de données une fois qu'elles ont été téléchargées par les utilisateurs du SRRH.

4. Critèries. Un processus permet de surveiller l'accès des utilisateurs et l'activité des comptes, si besoin est.

Évaluation : niveau 4 – Les contrôles d'accès au SGRH(Civ) sont faibles. Des registres sont créés automatiquement. Cependant, on ne surveille aucunement, de manière automatisée ou proactive, l'accès des utilisateurs ou l'activité des comptes. Le peu de surveillance exécutée est de nature réactive.

Sources des critères

Information System Audit and Control Association – Objectifs de contrôle de l'Information et des technologies associées 4.1, 2007

1. Référence : Planifier et Organiser 2.3, Planifier et Organiser 4.8
2. Référence : Planifier et Organiser 4.8
3. Référence : Delivrer et Supporter 5.3, Delivrer et Supporter 5.4
4. Référence : Delivrer et Supporter 5.3, Delivrer et Supporter 5.4

SCT – Cadre de responsabilisation de gestion 2013

1. Référence : Gouvernement et planification 3.1, 3.3; IM 12.1, 12.2, 12.3; Gestion de la sécurité 8.1, 8.2, 8.3
2. Référence : Gestion de la sécurité 8.2, 8.3; Gestion intégrée des risques 9.1, 9.2, 9.3
3. Référence : GI 12.1, 12.2, 12.3, 12.5; Gestion intégrée des risques 9.1, 9.2; Gestion de la sécurité 8.2, 8.3; Gestion des personnes P6
4. Référence : Gestion intégrée des risques 9.1, 9.2

___________________________________________________________________________________________________________________________

Note de bas 1 ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

Note de bas 2 « Chef – Service d'examen » est l'ancien nom du SMA(Svcs Ex), qui porte ce titre depuis le 15 mai 2015.

Note de bas 3 L'extraction utilisée afin de réaliser cette analyse a été téléchargée en mai 2014, et elle représente les niveaux de dotation à ce moment-là. Or, le nombre de dossiers ne correspond pas au nombre agrégé de dossiers distincts du personnel qui auraient été produits de 1999 à ce jour.

Note de bas 4 Par « accès privilégié », on entend l'accès d'un utilisateur à qui, en raison de ses fonctions, s'est vu accorder des droits dans le système informatique qui sont bien supérieurs à ceux dont disposent la majorité des utilisateurs.

Note de bas 5 Le nombre d'utilisateurs du SRRH mentionné dans le Plan d'action de la direction du SMA(GI) est différent de celui qui figure à la section 2.2.1 du présent rapport. Les chiffres du SMA(GI) représentent des aperçus ponctuels et comprennent 418 utilisateurs originaux (printemps 2013) et 58 utilisateurs actuels (3 mars 2015). Par contre, le rapport mentionne « plus de 500 utilisateurs » (données historiques d'avant avril 2014) et 47 utilisateurs (octobre 2014).