Évaluation des cyberforces

Avril 2021

1258-3-031 – SMA(Svcs Ex)

Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.

Sigles et abréviations

AC
Armée canadienne
ACM
Assurance de la cybermission
ACS+
Analyse comparative entre les sexes plus
AF
Année financière
AF
Autorité fonctionnelle
AICDS
Association des industries canadiennes de défense et de sécurité
ARC
Aviation royale canadienne
ARR
Autorités, responsabilités et responsabilisations
BPR
Bureau de première responsabilité
C3IR
Commandement, contrôle, communications, informatique et renseignement
CCF
Commandant de la cyberforce
CCCFI
Commandant de la cybercomposante de la force interarmées
CDF
Chef – Développement des Forces
CEM Cyber
Chef d’état-major du cyberespace
CEMD
Chef d’état-major de la Défense
CEM(GI)
Chef d’état-major (Gestion de l’information)
CMR
Cadre ministériel des résultats
CMR
Collège militaire royal
COIC
Commandement des opérations interarmées du Canada
COMFOSCAN
Commandement – Forces d’opérations spéciales du Canada
COMRENSFC
Commandement du renseignement des Forces canadiennes
CORFC
Centre d’opérations des réseaux des Forces canadiennes
CPM/GIGPM
Chef du personnel militaire/Groupe d’instruction de la génération du personnel militaire
CST
Centre de la sécurité des télécommunications du Canada
DDFOC
Directeur – Développement des Forces (opérations cybernétiques)
DG Cyber
Directeur général – Cyberspace
DGDFCI
Directeur général – Développement des Forces (Capacité d’information)
DG Éval
Directeur général – Évaluation
DGOGI
Directeur général – Opérations (Gestion de l’information)
DOAD
Directives et ordonnances administratives de la défense
EECFC
École d’électronique et des communications des Forces canadiennes
FAC
Forces armées canadiennes
GI
Gestion de l’information
GOIFC
Groupe des opérations d’information des Forces canadiennes
Gp GI
Groupe de Gestion de l’information
ISDE
Innovation, Sciences et Développement économique Canada
MDN
Ministère de la Défense nationale
MRC
Marine royale canadienne
N1
Niveau 1
NORAD
Commandement de la défense aérospatiale de l’Amérique du Nord
Ops
Opérations
OTAN
Organisation du Traité de l’Atlantique Nord
PACM
Programme d’assurance de la cybermission
PF&DO
Posture de la force et disponibilité opérationnelle
PSE
Politique de défense du Canada : Protection, Sécurité, Engagement
RH
Ressources humaines
SCT
Secrétariat du Conseil du Trésor
SMA
Sous-ministre adjoint
SMA(GI)
Sous-ministre adjoint (Gestion de l’information)
SMA(IE)
Sous-ministre adjoint (Infrastructure et Environnement)
SMA(Mat)
Sous-ministre adjoint (Matériels)
SMA(S & T)
Sous-ministre adjoint (Science & Technologie)
SMA(Svcs Ex)
Sous-ministre adjoint (Services d’examen)
SPC
Services partagés Canada
TI
Technologie de l’information
USA
United States of America
VCEMD
Vice-chef d’état-major de la défense


Retour à la table des matières

Résumé

Ce rapport présente les résultats de l’évaluation des cyberforces, qui a été menée pendant l’année financière (AF) 2019-2020 par le Sous-ministre adjoint (Services d’examen) (SMA[Svcs Ex]) conformément à la Politique sur les résultats 2016 du Conseil du Trésor. Dans le cadre de cette évaluation, nous avons examiné le rendement des cyberforces sur une période de trois ans, de l’AF 2017-2018 à l’AF 2019-2020. Nous avons mené cet examen avec la collaboration du ministère de la Défense nationale (MDN) et des Forces armées canadiennes (FAC).

Description du programme

Les cyberforces comprennent trois programmes du répertoire de programmes de la Défense : 1.5 Cyberopérations; 2.6 Cyberforces prêtes au combat; 4.6 Développement des cyberforces et du C3IR. En bref, les cyberforces représentent le personnel civil et militaire pour la mise sur pied, l’emploi et le développement des cyberforces aux fins des cyberopérations, des opérations de réseaux et d’assurance de la cybermission (ACM).

Les cyberforces sont sous l’autorité du Sous-ministre adjoint (Gestion de l’information) (SMA[GI]), par l’intermédiaire duquel le Directeur général – Opérations (Gestion de l’information) (DGOGI) est responsable des programmes 1.5 et 2.6, et le Directeur général – Cyberespace (DG Cyber) responsable du programme 4.6. En tant qu’organisations militaires, le DGOGI et le DG Cyber relèvent du Chef d’état-major (Gestion de l’information) (CEM[GI]), qui occupe aussi les fonctions de commandant de la cyberforce (CCF) et de chef d’état-major du cyberespace (CEM Cyber). 

Portée

En raison de la nouveauté des cyberforces, nous avons mené une évaluation formative, qui s’est attardée à la conception du programme, à la prestation du programme et aux premiers résultats.

Résultats

Nous avons catégorisé les résultats en fonction des thèmes Mise en œuvre et gestion du programme, Recherche et développement, et Mise sur pied du personnel.

Mise en œuvre et gestion du programme

Recherche et développement

Mise sur pied du personnel

Conclusions générales

Comme nouveaux groupes, le DG Cyber et le DGOGI travaillent sur diverses initiatives pour mettre en place les composantes fondamentales requises pour des cyberforces efficaces dans l’avenir. Toutefois, à moins d’accorder une attention appropriée au cyberdomaine, le rythme de mise en œuvre continuera d’être limité.

  • La théorie de conception du programme est robuste.
  • Les cyberforces requièrent le soutien et des investissements de l’ensemble du MDN et des FAC pour assurer une mise en place complète de l’ACM et des autres initiatives du cyberdomaine. 
  • Les intervenants du cyberdomaine ont besoin d’une plus grande orientation stratégique.
  • Les premiers développements du programme montrent des signes de progrès dans l’instruction des cyberforces.
Tableau 1. Sommaire des principales constatations et recommandations.
Principale constatation Recommandation
Mise en œuvre et gestion du programme
1. L’intégration des cyberforces aux activités des FAC et l’habilité d’influencer les prises de décision de la haute direction sont ██████████ des ARR floues, █████████████████████████ actuel du SMA(GI) et l’absence d’un champion du cyberdomaine. 1. Pour améliorer la gestion des cyberforces, le SMA(GI) doit revoir, mettre à jour et publier des ARR relatives au cyberdomaine dans tout le MDN et les FAC pour les faire connaître.
2. Le cyberdomaine ne possède pas d’organe de gouvernance interne qui lui est propre. Le cyberdomaine utilise les organes de gouvernance existants du SMA(GI), avec l’appui de groupes de travail qui tendent à avoir une nature informative. Les intervenants sont responsables d’élaborer leurs propres cyberstratégies. 2. Revoir le cadre de gouvernance actuel pour déterminer si le cyberdomaine a besoin d’une structure distincte.
3. Même s’il existe des documents stratégiques pour la planification des cyberforces, ceux-ci ne sont pas connus ni utilisés largement au MDN et dans les FAC.  Voir la recommandation 1.
4. La mise en œuvre de l’initiative 87 de la PSE ██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████ dans l’ensemble du MDN et des FAC.  Voir la recommandation 1.
5. La responsabilité de définir la cyberpréparation opérationnelle n’est pas réglée. Bien que la Marine a réalisé des progrès dans ce domaine, ██████████████████████████████████████████████████ Suggestion de suivi : Examiner l’officialisation, l’orientation et la conformité de la cyberpréparation opérationnelle.
6. ███████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████ 3. Créer un terrain de cyberentraînement centralisé, institutionnalisé et soutenu, assorti de la capacité d’adapter la classification et d’un accès à distance.
Recherche et développement
7. █████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████ -
8. La conception du programme a intégré les connaissances pertinentes des intervenants du MDN, des FAC, des autres ministères et des intervenants alliés; toutefois, la mobilisation de l’industrie privée et du milieu universitaire pose problème. -
Mise sur pied du personnel
9. Des postes du cyberdomaine ont été alloués partout au MDN et dans les FAC, ████████████████████████████████ -
10. L’avancement de carrière est limité au sein du cyberpersonnel. Toutefois, on y remarque des signes d’amélioration. Suggestion de suivi : Examiner les occasions d’avancement de carrière des cyberopérateurs.
Suggestion de suivi : Examiner les résultats de l’étude sur le cyberleadership qui a été menée par le Directeur – Développement des Forces (Opérations cybernétiques) (DDFOC) qui devait commencer en mars 2020, qui servira à examiner cette question ███████████████████████████████████████████████████████
11. Les échéances et les processus relatifs ██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████ -
12. Au fur et à mesure que se poursuivent l’élaboration et l’officialisation du cyberentraînement, ███████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████ 4. Évaluer la faisabilité de standardiser l’instruction donnée par des tiers et de valider cette instruction.
Résumé du tableau 1

Le tableau présente deux colonnes. La colonne de gauche énumère les douze principales constatations, et la colonne de droite, les recommandations associées. Les principales constatations et les recommandations associées sont situées de part et d’autre de la même rangée.


Retour à la table des matières

Portée de l’évaluation

Portée et responsabilités

Les trois programmes suivants ont été examinés dans le cadre de l’évaluation : 1.5 Cyberopérations; 2.6 Cyberforces prêtes au combat; 4.6 Développement des cyberforces et du C3IR. La période visée par l’évaluation couvre l’AF 2017-2018 à l’AF 2019-2020.

Les principales constatations ont été regroupées en trois thèmes :

Une évaluation formative met l’accent sur l’évaluation de la conception et de la prestation d’un nouveau programme, pour s’assurer que ce programme est élaboré et livré d’une manière qui lui permettra de connaître du succès au fil de son avancement.

En raison de la nouveauté des cyberforces, nous avons mené l’évaluation au titre d’une évaluation formative. Par conséquent, nous avons examiné la conception et la prestation des programmes et nous nous sommes penchés sur les résultats immédiats initiaux au contraire des résultats intermédiaires ou finaux, puisqu’il est encore trop tôt pour évaluer de manière précise et utile les résultats intermédiaires et finaux des programmes. Les résultats immédiats évalués sont les suivants :

Hors portée

Les discussions sur la portée avec les gestionnaires de programme nous ont permis d’apprendre que la conduite de cyberopérations n’avait pas encore assez de maturité pour être évaluée. Pour cette raison, cet aspect a été exclu de notre évaluation. De plus, des limitations concernant la classification de sécurité du contenu spécifique au développement de la force relativement au commandement, contrôle, communications, informatique et renseignement (C3IR) de la portée ont entraîné son exclusion de la portée.


Retour à la table des matières

Profil du programme

Le cyberespace est essentiel à la conduite d’opérations militaires modernes et est reconnu comme un domaine d’opérations.

L’arrivée de l’âge de l’information a mené à une évolution dans la conduite des opérations du MDN et des FAC. Même si la terre, l’air et la mer demeurent les principaux environnements d’opérations, le besoin d’engager le cyberespace et d’y mener des opérations se fait de plus en plus sentir. À la lumière de la nature complexe et de l’évolution rapide du cyberdomaine, le MDN et les FAC reconnaissent le besoin d’avoir de robustes cybercapacités afin d’assurer le succès de la mission, tel que l’énonce la PSE.

Le terme « cyberforces » renvoie à trois programmes du répertoire de programmes de la Défense :

Les cyberforces représentent le personnel civil et militaire pour la mise sur pied, l’emploi et le développement des cyberforces aux fins des cyberopérations, des opérations de réseaux et d’assurance de la cybermission (ACM).

Les cyberforces sont sous l’autorité du Sous-ministre adjoint (Gestion de l’information) (SMA[GI]), par l’intermédiaire du Directeur général – Opérations (Gestion de l’information) (DGOGI), qui est responsable des programmes 1.5 et 2.6, ainsi que par l’intermédiaire du Directeur général Cyber (DG Cyber), qui est responsable du programme 4.6. En tant qu’organisations militaires, le DGOGI et le DG Cyber relèvent du Chef d’état-major (Gestion de l’information) (CEM[GI]), qui occupe aussi les fonctions de commandant de la cyberforce (CCF) et de chef d’état-major du cyberespace (CEM Cyber). De plus, en tant qu’entités du QGDN, elles relèvent du SMA(GI) pour leur administration.

Le DGOGI fournit les éléments de base opérationnels du Groupe Gestion de l’information (Groupe GI). À ce titre, le DGOGI mène et soutient les opérations des FAC et fournit aussi du soutien en gestion de l’information et en technologie de l’information (GI/TI) à certaines activités ministérielles. De plus, le DGOGI est responsable des réseaux informatiques et de la cyberdéfense.

Le DG Cyber s’occupe de la conception et de la mise au point des cybercapacités ainsi que des capacités en matière de C3IR pour les FAC pour ensuite les élaborer et les mettre en œuvre, de même que de les intégrer aux forces existantes pour mener le spectre complet des cyberopérations.

Cyberopérations

Cyberforces prêtes au combat

Développement des cyberforces

Dépenses de programme

Figure 1

Figure 1. Dépenses des cyberforces AF 2017-2018 - AF 2019-2020 (M$)Note de bas de page 1 

Résumé de la figure 1

Le diagramme représente les dépenses annuelles des cyberforces par année financière entre l’AF 2017-2018 et 2019-2020, en millions de dollars. Le diagramme est un graphe à barres empilées pour chaque programme, avec des chiffres pour 2017-2018, 2018-2019, 2019-2020 et le total des trois programmes par année financière.


AF 2017-2018

  • 1.5 Cyberopérations : 92,7
  • 2.6 Cyberforces prêtes au combat : 78,6
  • 4.6 Développement des cyberforces : 56,6
  • Total : 227,9

AF 2018-2019

  • 1.5 Cyberopérations : 73,9
  • 2.6 Cyberforces prêtes au combat : 88,4
  • 4.6 Développement des cyberforces : 18,8
  • Total : 181,1

AF 2019-2020

  • 1.5 Cyberopérations : 58,5
  • 2.6 Cyberforces prêtes au combat : 70,5
  • 4.6 Développement des cyberforces : 15,8
  • Total : 144,8


Les dépenses de programme pour chaque programme remontent uniquement à l’AF 2017-2018, comme le montre le graphique. À noter, les chiffres de l’AF 2019-2020 représentent les dépenses prévues.

À l’AF 2019-2020, les cyberforces comptaient en tout 1 309 équivalents temps plein, 671 dans le programme 1.5 (bleu), 602 dans le programme 2.6 (orange), et 36 dans le programme 4.6 (vert).

Intervenants du programme

Figure 2
Figure 2. Les cyberforces dans le MDN et les FAC.
Résumé de la figure 2

Ce diagramme représente l’évolution des cyberforces depuis leur lancement en 2010. Il s’agit d’une ligne du temps horizontale allant de 2010 à 2017. Il faut lire les données de gauche à droite pour suivre l’évolution des cyberforces. À l’extrême gauche, soit en 2010, la Force opérationnelle cybernétique est établie au SMA(GI). En 2011, la Force opérationnelle cybernétique est transférée au CDF et renommée DG Cyber. À l’extrême droite du diagramme, il est indiqué que 2017 marque la création des cyberforces. À ce moment, le DG Cyber est transféré au SMA(GI), 6 initiatives de la PSE sont liées au cyberdomaine (63, 65, 87, 88, 89, 90), la Directive de mise en œuvre du Chef d’état-major de la défense (CEMD) sur le cyberdomaine est publiée, et le groupe professionnel de cyberopérateurs est créé.

Le Programme d’assurance de la cybermission

Nous avons évalué le développement du Programme d’assurance de la cybermission (PACM), qui relève de l’autorité des cyberforces. Le PACM forme une grande partie du développement des cyberforces et a été créé pour répondre à l’initiative 87 de la PSE. L’ACM intègre les concepts de « cyberespace » et « d’assurance de la mission », qui constitue la capacité d’une organisation, d’un service, d’une infrastructure, d’une plateforme, d’un système d'arme ou de l’équipement de fonctionner dans le cyberespace contesté et d’accomplir sa missionNote de bas de page 2 .

Le PACM est une entreprise de l’ensemble du MDN et des FAC pour mettre sur pied une équipe de défense cyber-résiliente. Le PACM est spécialement conçu pour augmenter la cyber-résilience des personnes, des processus et de la technologie contre les cybermenaces associées aux cinq lignes d’activités suivantes :

  1. Politique
  2. Gouvernance
  3. Mobilisation et collaboration des intervenants
  4. Éducation et instruction
  5. Rapport

L’équipe du PACM travaille à établir une structure de supervision centralisée et d’exécution décentralisée pour l’assurance de la cybermission afin d’accorder aux Niveaux 1 (N1) les autorités, responsabilités et responsabilisations (ARR) appropriées pour qu’ils puissent s’acquitter de leur obligation consistant à veiller à l’assurance de la cybermission et la cyber-résilisence à tous les échelons du MDN et des FAC. En bref, le concept d’ACM est la responsabilité de tous.

Objectifs du PACMNote de bas de page 2

« Protéger les réseaux et l’équipement militaire critiques contre des cyberattaques en créant un nouveau programme d’assurance des cybermissions qui incorpore les exigences en matière de cybersécurité au processus d’approvisionnement »

Initiative 87 de la PSE


Retour à la table des matières

Contexte de l’évaluation

Le rapport présente les résultats d’une évaluation des cyberforces, qui a été menée à l’AF 2019-2020 par le SMA(Svcs Ex) en conformité avec la Politique sur les résultats 2016 du Conseil du Trésor. Dans cette évaluation, nous avons examiné le rendement des cyberforces sur une période de trois ans, de l’AF 2017-2018 à l’AF 2019-2020 et nous avons réalisé cet examen conformément au plan d’évaluation quinquennal du MDN et des FAC. Les constatations et les recommandations de cette évaluation peuvent servir à influencer les décisions de la direction relatives à la conception et à la prestation de programme, à l’affectation des ressources ainsi que de servir de seuil de référence pour les évaluations futures.

Les cyberforces ont été créées récemment, soit à la suite de l’établissement du Cadre ministériel des résultats (CMR) en 2017.

*Consulté le 23 octobre 2020


Retour à la table des matières

Mise en œuvre et gestion du programme

Les cyberforces manquent d’orientation sans ARR claires et d’une représentation suffisante pour influencer les décisions.

Constatation 1 : L’intégration des cyberforces aux activités des FAC et l’habilité d’influencer les prises de décision de la haute direction ███████████ des ARR floues, ████████████████ actuel du SMA(GI) et l’absence d’un champion du cyberdomaine.

Des ARR floues

Figure 3
Figure 3. Les résultats du sondage indiquent que les intervenants supérieurs du cyberdomaine ne croient pas qu’il y a des ARR claires en place.
Résumé de la figure 3

Ce diagramme est un graphique à barres horizontales qui montre dans une échelle d’opinion qui va respectivement de fortement en désaccord, en désaccord, en accord, fortement en accord. Les résultats montrent le pourcentage de répondants qui correspond aux deux énoncés du graphique.

Des autorités, responsabilités et responsabilisations claires ont été établies en vue de mettre les dirigeants en capacité d’obtenir des résultats stratégiques.

  • Fortement en désaccord : 21 %
  • En désaccord : 44 %
  • En accord : 31 %
  • Fortement en accord : Négligeable

Une politique claire a été établie pour permettre d’orienter les mesures prises dans le cadre de ce programme dans le but d’obtenir des résultats stratégiques.

  • Fortement en désaccord : 12 %
  • En désaccord : 41 %
  • En accord : 39 %
  • Fortement en accord : 8 %

Le contexte organisationnel

L’absence d’un champion du cyberdomaine

Recommandation 1

Pour améliorer la gestion des cyberforces, le SMA(GI) doit revoir, mettre à jour et publier des ARR relatives au cyberdomaine dans tout le MDN et les FAC pour les faire connaître.


Retour à la table des matières

Le cyberdomaine est actuellement intégré aux organes de gouvernance existants, mais ne possède pas d’organe propre.

Constatation 2 : Le cyberdomaine ne possède pas d’organe de gouvernance interne qui lui est propre. Le cyberdomaine utilise les organes de gouvernance existants du SMA(GI), avec l’appui de groupes de travail qui tendent à avoir une nature informative. Les intervenants sont responsables d’élaborer leurs propres cyberstratégies.

Documents et entrevues

  • Tous les intervenants et les gestionnaires de programme du cyberdomaine ont reconnu qu’il n'y a pas d’organe de gouvernance distinct pour le cyberdomaine.
  • Quelques groupes de travail agissent en guise d’organe de partage d’information, mais aucune donnée ne montre que des décisions sont prises, ou qu’il y a des autorités fonctionnelles associées qui pourraient permettre ces décisions.
  • Dans le cadre du PACM, tous les intervenants du cyberdomaine sont censés élaborer leurs propres cyberstratégies. L’Armée, la Marine et l’Aviation élaborent actuellement leurs propres stratégies, sans cyberstratégie globale des FAC.

Perspectives des programmes

  • Certains gestionnaires de programme ont déclaré que le cyberdomaine est déjà pris en compte dans des organes de gouvernance existants et n’a pas besoin d’un organe de gouvernance précis. De cette manière, les questions du cyberdomaine sont intégrées aux organes de gouvernance de haut niveau.
  • D’un autre côté, d’autres gestionnaires de programme ont fait valoir que les cyberforces devraient avoir un organe de gouvernance indépendant.
    • Cette structure serait conforme à l’orientation stratégique selon laquelle les cyberforces sont un domaine précis. 
    • Selon un gestionnaire de programme que nous avons interviewé, un Conseil des cyberforces devrait se réunir régulièrement.
    • Un organe de gouvernance interne pourrait répondre aux préoccupations concernant l’absence du cyberdomaine dans les organes de gouvernance de haut niveau et le manque d’orientation stratégique, tel que présenté à la Constatation 3.

Recommandation 2

Revoir le cadre de gouvernance actuel pour déterminer si le cyberdomaine a besoin d’une structure distincte.


Retour à la table des matières

Il y a évidence de planification stratégique et de connaissance en matière de développement de programme.

Constatation 3 : Même s’il existe des documents stratégiques pour la planification des cyberforces, ceux-ci ne sont pas connus ni utilisés largement au MDN et dans les FAC.

Nous avons examiné un nombre de documents de base concernant le cyberdomaine, le développement des cyberforces et l’assurance de la cybermission. Parmi ceux-ci :

Par ailleurs, les gestionnaires de programme ont révélé une quantité considérable de travail en cours pour le développement d’autres concepts et doctrines, tel que le renouvellement de la note de doctrine interarmées, ainsi que la rédaction de nouvelles DOAD.

Le DG Cyber a publié et continue nécessairement de publier de multiples documents de doctrines et de concepts de base pour le cyberdomaine...

…Toutefois, malgré les doctrines et les concepts, il y a toujours un manque de clarté.


Les données montrent qu’il y a toujours un manque de clarté concernant le cyberdomaine, dans les aspects qui ont déjà été établis par les gestionnaires de programme, par exemple, la terminologie approuvée. Dans les entrevues avec les intervenants, ils ont indiqué que malgré les documents qui ont été créés, ceux-ci n’étaient pas bien compris ou publiés dans tout le MDN et les FAC. Il s’agit d’un facteur limitatif pour les intervenants qui cherchent à mettre en œuvre des cyberinitiatives dans tout le ministère et à mobiliser l’ensemble du ministère à leur égard.

Figure 4
Figure 4. 71 % des répondants au sondage ont indiqué que la planification des activités de la cyberforce demeure floue malgré la mise en place de concepts et de doctrines pour le cyberdomaine.
Résumé de la figure 4

Ce diagramme est un graphique à secteurs. Les résultats reflètent le pourcentage de répondants qui sont en accord avec l’énoncé du graphique.

  • 71 % en accord
  • 29 % en désaccord

Stratégies d’amélioration

Pendant les entrevues, les directeurs de programme étaient d’accord qu’il y a un manque de clarté concernant le cyberdomaine. Le DG Cyber a des plans pour mieux intégrer la sensibilisation et la compréhension du cyberdomaine dans le développement professionnel des officiers et des militaires du rang. Ils ont toutefois reconnu que l’élaboration de l’instruction prendrait beaucoup de temps.

  • De plus, d’autres mesures de diffusion pourraient être explorées de manière à ce qu’un large public du MDN et des FAC reçoive ces documents stratégiques et en ait connaissance.


Voir Recommandation 1


Retour à la table des matières

La mise en œuvre du Programme d’assurance de la cybermission a été retardée.

Constatation 4 : La mise en œuvre de l’initiative 87 de la PSE ███████████████ étant donné que le soutien pour l’assurance de la cybermission n’est pas une priorité universelle dans l’ensemble du MDN et des FAC.

Comme nous l’avons mentionné précédemment, le PACM est une composante clé du cyberdomaine pour tout le MDN et les FAC. L’importance de l’ACM a été notée et reconnue par toutes les personnes interviewées; elles ont toutefois ███████████████████████████████████████

Les gestionnaires de programme ont les mêmes préoccupations; ils parlent de diverses difficultés dans la mise en œuvre des initiatives de PACM. En particulier, ████████████████████████████████████████████

 

Figure 5

Figure 5. Les échéances de mise en œuvre de la définition de la portée, de l’établissement et de l’état définitif du programme d’assurance de la cybermission (PACM) █████████████████████

Résumé de la figure 5

Ce diagramme porte sur les étapes de définition de la portée, de l’établissement, de l’état final. Il s’agit d’un graphique constitué de trois haltères horizontaux qui se rapportent aux étapes respectivement. Il faut lire les résultats de gauche à droite pour connaître le temps entre les dates initiales de mise en œuvre et les dates révisées de mise en œuvre.

█████████████:

  • ████████████████
  • ███████████████

████████████████:

  • ██████████████
  • ██████████████

█████████:

  • ████████████████
  • █████████████

Personnel

Signes de progrès

  • L'établissement récent d’un chef d’équipe permanent pour le PACM a mené à des progrès et à de la stabilité.
  • Des travaux sont en cours pour établir la charte du PACM, afin d’obtenir du financement plus fiable, dans l’attente de l’officialisation du programme.
  • Le SMA(Mat) a joué un rôle très important en amorçant les activités de développement et de mise en œuvre pour l’ACM et les processus d'acquisition du matériel visant la résilience de la chaîne d’approvisionnement.

« L’ACM a besoin non seulement du Groupe GI, mais aussi du VCEMD et des autres N1 concernés pour s’en occuper. »

Financement

  • Les fonds initiaux de l’AF 2018-2019 n’ont pas été affectés à l’initiative 87 de la PSE (PACM) parce que les budgets du programme ne sont pas encore définis en raison de la nature expérimentale du domaine; la planification et la mise en œuvre ont par alors été restreintes, étant donné les fonds limités qui ont été distribués (p. ex., l'embauche d'entrepreneurs pour mener l’élaboration de programme devient plus difficile).
  • La portée et la complexité du PACM ne concordent pas avec les niveaux actuels de financement.
    • Pendant l’AF 2019-2020, le PACM avait un budget de 1 467 000 $ de crédit 1 et de 0 $ de crédit 5.
    • Il y a peu d’indications de budget ou de fonds consacrés spécifiquement aux activités de mise en œuvre du PACM par les autres N1.
Figure 6

Figure 6. 8 % des dépenses du programme 4.6 peuvent être attribuées aux fonds de crédit 1 pour le PACMNote de bas de page 4 .

Résumé de la figure 6

Ce diagramme est un graphique à secteurs. Les résultats reflètent le pourcentage de dépenses affectées au PACM.

  • 8 % des dépenses affectées au PACM
  • 92 % des dépenses affectées ailleurs


Voir Recommandation 1


Retour à la table des matières

Les cyberforces n’ont pas indiqué les niveaux de préparation opérationnelle requis.

Constatation 5 : La responsabilité de définir la cyberpréparation ████████████████ Bien que la Marine a réalisé des progrès dans ce domaine, ███████████████████████████████

Suggestion de suivi :

Examiner l’officialisation, l’orientation et la conformité de la cyberpréparation opérationnelle

Jusqu’à ce que les structures de la force soient en place, la cyberprépration n’aura pas d’orientation ou d’officialisation.


Retour à la table des matières

L’absence d’espace de travail prêt pour le cyberdomaine nuit aux opérations et à l’entraînement

Constatation 6 : ████████████████████████████████████████████████████████████████████████████████████████████████████

Figure 7
Figure 7. Région de la capitale nationale, distances entre les emplacements du MDN : QGDN, Shirley’s Bay, complexe Carling, SFC Leitrim et Star Top.
Résumé de la figure 7

Ce diagramme illustre les distances entre les divers emplacements du MDN.

  • QGDN et Shirley’s Bay : 27 km
  • Shirley’s Bay et complexe Carling : 8 km
  • Complexe Carling et SFC Leitrim : 35 km
  • SFC Leitrim et Star Top : 11 km
  • Star Top et QGDN : 10 km

█████████████████████████████████████████████████████████████████████████████████████████

Recommandation 3

Créer un terrain de cyberentraînement centralisé, institutionnalisé et soutenu, assorti de la capacité d'adapter la classification et d'un accès à distance.


Retour à la table des matières

Recherche et développement

Les cyberprojets du MDN et des FAC n’ont pas l’agilité nécessaire pour composer avec les changements dans l’environnement de menaces.

Constatation 7 : ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████

Figure 8
Figure 8. Les répondants au sondage sont fortement en désaccord ou en désaccord que les cyberprojets sont efficaces.
Résumé de la figure 8

Ce diagramme est un graphique à barres horizontales qui montre une échelle d’opinion qui va de fortement en désaccord, en désaccord, en accord, fortement en accord. Les résultats montrent le pourcentage de répondants qui correspond aux trois énoncés du graphique.

Les cyberprojets sont coordonnés pour assurer l’utilisation optimale des ressources.

  • Fortement en désaccord : 25 %
  • En désaccord : 28 %
  • En accord : 47 %
  • Fortement en accord : 0 %

Il n’y a pas de redondance dans l’élaboration des cyberprojets.

  • Fortement en désaccord : 34 %
  • En désaccord : 50 %
  • En accord : 14 %
  • Fortement en accord : négligeable

Le processus d’élaboration de cyberprojets est assorti de mécanismes qui assurent la prestation efficace des projets.

  • Fortement en désaccord : 20 %
  • En désaccord : 41 %
  • En accord : 37 %
  • Fortement en accord : négligeable

Difficultés

Stratégies d’atténuation possibles

L’intégration appropriée du PACM pourrait atténuer l’incidence des changements technologiques et l’inclusion des cyberconsidérations.


Retour à la table des matières

Les cyberforces interagissent grandement avec de nombreux intervenants.

Constatation 8 : La conception du programme a intégré les connaissances pertinentes des intervenants du MDN, des FAC, des autres ministères et des alliés; toutefois, la mobilisation de l’industrie privée et du milieu universitaire pose problème.

MDN et FAC

Nous avons trouvé beaucoup de preuves de mobilisation interne et de participation des organisations N1 et des commandements d’armée :

Figure 9
Figure 9. Les résultats du sondage montrent que la majorité des intervenants du cyberdomaine du MDN et des FAC sont en accord ou fortement en accord qu’ils ont vécu des pratiques de gestion efficaces.
Résumé de la figure 9

Ce diagramme est un graphique à barres horizontales qui montre une échelle d’opinion qui va de fortement en désaccord, en désaccord, en accord, fortement en accord. Les résultats montrent le pourcentage de répondants qui correspond aux quatre énoncés du graphique.

Mon organisation s’engage suffisamment auprès des gestionnaires de cyberprogrammes.

  • Fortement en désaccord : négligeable
  • En désaccord : 29 %
  • En accord : 55 %
  • Fortement en accord : 13 %

Mon organisation est suffisamment représentée au sein des cybercomités.

  • Fortement en désaccord : 10 %
  • En désaccord : 23 %
  • En accord : 47 %
  • Fortement en accord : 20 %

Mon organisation communique régulièrement avec le DGOGI.

  • Fortement en désaccord : 10 %
  • En désaccord : 21 %
  • En accord : 34 %
  • Fortement en accord : 35 %

Mon organisation communique régulièrement avec le DG Cyber.

  • Fortement en désaccord : négligeable
  • En désaccord : 16 %
  • En accord : 52 %
  • Fortement en accord : 29 %

Autres ministères

Dans l’ensemble, les entrevues avec les gestionnaires de programme ont mis en évidence les différentes relations avec les autres ministères. Le MDN et les FAC sont présents dans quelques comités interministériels, comme le comité stratégique du DG Cyber.

Alliés

Le DGOGI et le DG Cyber entretiennent des relations avec nombre de partenaires et d’alliés internationaux, qui représentent une source de meilleures pratiques à intégrer dans les cyberforces. Dans certains cas, les relations avec les alliés sont plus actives que celles avec les autres ministères :

Industrie privée

Le Canada compte 275 cyberentreprises, parmi lesquelles 250 sont liées à la cybersécurité des TI et 25 à la cyberdéfenseNote de bas de page 6 . L’industrie a beaucoup à offrir, comme l’innovation et l’agilité, qui pourraient servir à renforcer les cyberforces. Le programme Mobilisation des idées nouvelles en matière de défense et de sécurité (MINDS) du MDN réunit à une même table le MDN et l’industrie et peut être le moyen le plus rapide d’intégrer le cyberdomaine aux activités et aux opérations du MDN et des FAC. Il y a toutefois quelques obstacles qui limitent des partenariats accrus :

Milieu universitaire

Il y a eu très peu de mobilisation du milieu universitaire, à l’exception du Collège militaire royal (CMR), où la mobilisation est robuste. Il réalise de la science et de la technologie, et offre des perspectives en recherche et développement dans le cyberdomaine. Dans les entrevues avec les gestionnaires supérieurs de programme, ils ont indiqué certaines difficultés dans la mobilisation du milieu universitaire :

« Le CMR comble l’écart mais n’est pas une solution modulable. »


Retour à la table des matières

Mise sur pied du personnel

Les cyberforces comptent un nombre suffisant de postes; toutefois, la dotation de ces postes pose problème.

Constatation 9 : Des postes du cyberdomaine ont été alloués partout au MDN et dans les FAC, ████████████████████

Cyberforces civiles

Résumé de la figure 10

Ce diagramme est un graphique à secteurs. Les résultats reflètent le pourcentage de répondants qui correspondent à l’énoncé du graphique.

  • 84 % █████████████████████████
  • 16 % ██████████████████████

 

Figure 11
Figure 11. Le MDN et les FAC ne sont pas en mesure d’offrir des salaires concurrentiels aux cyberanalystes.
Résumé de la figure 11

Ce diagramme est un graphique horizontal en suçons, similaire à un graphique à barres horizontales, mais avec une bulle à la fin de chaque barre. Chaque barre illustre les différents salaires des personnes qui travaillent dans le cyberdomaine selon les FAC, le MDN, le Centre de sécurité des télécommunications (CST) et le secteur privé.

  • FAC – Caporal : 67 392 $
  • MDN – CS-02 : 75 027 $
  • CST – UNI-7 : 78 001 $
  • Salaire moyen d’un cyberanalyste canadienNote de bas de page 7  : 97 500 $

Le manque de cyberpersonnel met à risque la mise en œuvre du programme.


Retour à la table des matières

L’avancement professionnel du cyberpersonnel militaire a besoin d’amélioration.

Constatation 10 : L’avancement de carrière du cyberpersonnel est limité. Toutefois, on y remarque des signes d’amélioration.

63 % des répondants au sondage ont indiqué qu’il n’y avait pas de gestion de carrière réelle pour l’emploi de cyberopérateur.
 

Afin de suivre le rythme des alliés et des adversaires, le MDN et les FAC doivent voir à garder les compétences du cyberpersonnel à jour et à le garder en poste dans le cyberdomaine.


Retour à la table des matières

Les opinions demeurent partagées sur la nécessité d’établir un groupe professionnel de cyberofficiers.

  Étude de cas : Cyberofficier

Pourquoi :

Dans le cadre de l’évaluation, nous avons réalisé une étude de cas sur un quasi-cyberofficier, après que le sujet ait été soulevé dans les entrevues pour établir la portée, et pour déterminer si les attentes et les exigences techniques à l’égard des cyberopérateurs justifiaient la possibilité de la création d’un emploi de cyberofficier. Puisqu’il est encore trop tôt pour former une opinion éclairée à cet égard, nous avons analysé les opinions actuelles et le contexte concernant un emploi de cyberofficier possible.

Comment :

Nous avons interviewé le sujet de l’étude, nous avons posé des questions aux répondants du sondage et des questionnaires et nous avons parlé avec les personnes interviewées.

Faits saillants de l’analyse


84 % des répondants au sondage croient que le MDN et les FAC bénéficieraient de la création d’un groupe professionnel de cyberofficiers. La majorité de ces répondants se trouve aux niveaux tactique et opérationnel.

Toutefois, la majorité des gestionnaires supérieurs interviewés n’étaient pas d’accord.

Suggestion de suivi :

Examiner les résultats de l’étude sur le cyberleadership qui a été menée par le Directeur – Développement des Forces (Opérations cybernétiques) (DDFOC) qui devait commencer en mars 2020, qui servira à examiner cette question ███████████████████████████████████


Retour à la table des matières

Des retards dans les autorisations de sécurité affectent négativement les cyberforces.

Constatation 11 : Les échéances et les processus relatifs aux autorisations de sécurité ███████████████████████████████████████████████████████████

82 % des gestionnaires supérieurs qui ont répondu au sondage ont indiqué que les approbations pour les autorisations de sécurité ██████████████████████████████████████████████

72 % des répondants au sondage ont indiqué que les approbations pour les autorisations de sécurité ██████████████████████████████████████████

██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████

███████████████████████████████████████████████████████████████████████████████████████████████████████████


Retour à la table des matières

Les FAC ne parviennent pas à suivre le rythme des besoins dans le cyberdomaine; la cyberinstruction donnée par des tiers manque de normes et de validation.

Constatation 12 : Au fur et à mesure que se poursuivent l’élaboration et l’officialisation du cyberentraînement, ███████████████████████████████████████████████████████████████


L’ébauche de la charte du PACM (2020) énonce que « Il est attendu que l’instruction de certains spécialistes sera requise pour développer les compétences nécessaires à ce programme – la nature de ces compétences sera déterminée pendant l’analyse des options. »

À l’AF 2020-2021, l’équipe du PACM mènera une analyse des besoins en matière d’instruction, officialisera le cadre d’instruction et de sensibilisation, et publiera une orientation sur l’instruction commune, qui sont tous en bonne voie de réalisation.

Sans savoir si l’instruction des cyberopérateurs respecte une norme attendue, les cybereffets pourraient avoir des conséquences inattendues.

Recommandation 4

Évaluer la faisabilité de standardiser l’instruction donnée par des tiers et de valider cette instruction.


Retour à la table des matières

Conclusions

En tant que nouveau groupe, les cyberforces sont activement engagées dans diverses activités pour établir la position du Canada dans le cyberdomaine de la guerre. Le DG Cyber et le DGOGI, qui sont responsables des cyberactivités au MDN et dans les FAC, ont préparé plusieurs initiatives et y travaillent pour mettre en place les composantes fondamentales requises pour des cyberforces efficaces à l’avenir. Toutefois, à moins d’accorder une attention appropriée au cyberdomaine, le rythme de mise en œuvre continuera d’être limité.

La théorie de la conception du programme des cyberforces est robuste. Une planification stratégique approfondie et une vaste connaissance sont manifestes dans le développement des cyberforces, dans la préparation des concepts et des doctrines du cyberdomaine, ainsi que dans l’officialisation de la terminologie. De plus, le DG Cyber et le DGOGI ont maintenu un engagement élargi pour voir à ce que les connaissances pertinentes et la mobilisation des intervenants soient prises en compte dans la conception des cyberforces. Une mobilisation continue avec les intervenants ainsi que l’intégration des meilleures pratiques et des leçons retenues feront en sorte d’avoir des cyberforces efficaces.

Les cyberforces ont besoin d’un soutien et d’un investissement de l’ensemble du MDN et des FAC pour assurer une mise en œuvre complète et efficace de l’ACM et des autres cyberinitiatives. Le MDN et les FAC doivent procéder à un changement culturel pour reconnaître l’importance de l’ACM, puisqu’elle est essentielle à toutes les activités et les opérations du MDN et des FAC. Les cyberinitiatives touchant la totalité du MDN et des FAC ne peuvent pas être mises en œuvre sans le soutien des N1 et de leurs cyberéquipes respectives. Les processus pourraient avoir à évoluer afin de tenir compte des cyberforces. À l’heure actuelle, les activités de mise en œuvre du cyberdomaine risquent de vivre des retards et des limitations si elles n’ont pas les ressources appropriées pour faciliter leur mise en œuvre dans tout le Ministère.

Les cyberintervenants ont besoin d’une plus grande orientation stratégique. Malgré une théorie de programme robuste, les cyberintervenants ont indiqué qu’ils ont besoin d’une plus grande orientation stratégique pour guider leur propre mise en œuvre des cyberinitiatives. Ils agissent sans cette orientation en ce moment (p. ex., cyberpréparation). Pendant la période visée par l’évaluation, il n’existait pas de cybervision d’ensemble du MDN ou des FAC.

Les premiers développements de programme montrent des signes de progrès pour l’instruction des cyberforces. La création du groupe professionnel des cyberopérateurs a exigé l’élaboration rapide du contenu de cours et de perfectionnement professionnel pour soutenir le nouveau groupe. De plus, des initiatives pour accroître la sensibilisation et les connaissances à l’égard du cyberdomaine parmi le personnel civil et militaire ont été lancées partout au pays.


Retour à la table des matières

Annexe A — Plan d'action de la direction

Recommandation du SMA(Svcs Ex) 1

Pour améliorer la gestion des cyberforces, le SMA(GI) doit revoir, mettre à jour et publier des ARR relatives au cyberdomaine dans tout le MDN et les FAC et les faire connaître.

Mesure de la direction 1

  • Le SMA(GI) reconnaît la décision du Conseil des Forces armées de février 2018, dans laquelle il adopte les ARR pour la création d’un commandant des cyberforces (CCF), d’un chef d’état-major du cyberespace (CEM Cyber) et du commandant de la cybercomposante de la force interarmées (CCCFI). Le poste de CCF a été établi par la SM et le CEMD dans la lettre d’organisation du QGDN en février 2018.
  • Plan d’action en trois parties, comme suit :
    • 1.1 : Déterminer l’état des postes de leadership des cyberforces, comme le CCF, le CEM Cyber, le CCCFI, et prendre les mesures nécessaires pour que chaque poste soit correctement établi;
    • 1.2 : À la suite d’une orientation stratégique supplémentaire, travailler avec les intervenants de N1 pour déterminer les ARR appropriées pour chaque rôle (gestion de la force, développement de la force, mise sur pied de la force, emploi de la force) à l’intérieur des cyberforces au niveau de la haute direction;
    • 1.3 : Publier les ARR à l’aide des instruments organisationnels appropriés, tels que les DOAD, la doctrine et les politiques du MDN.

BPR : CEM Cyber / DGDFCI
Date cible : Mars 2021

Recommandation du SMA(Svcs Ex) 2

Revoir le cadre de gouvernance actuel pour déterminer si le cyberdomaine a besoin d’une structure distincte.

Mesure de la direction 2

  • Le CEM Cyber et le Directeur général – Développement des forces (Capacités d'information) (DGDFCI), en consultation avec le CEMD et d’autres autorités de N1, élaboreront, évalueront et formuleront des recommandations pour déterminer si le cyberdomaine a besoin d’une structure de gouvernance distincte. Les recommandations tiendront compte des critères suivants :
    • 2.1 : Faire correspondre les mécanismes de gouvernance pour le cyberdomaine avec ceux des domaines terrestre, maritime, aérien et spatial, conformément à l’approche des FAC au concept d’emploi de la force dans tous les domaines;
    • 2.2 : Voir à ce que la gouvernance du PACM reflète la nature globale au MDN et dans les FAC de la cyberrésilience des personnes, des processus et des technologies, dans le but d'assurer le succès de la mission dans tous les cyberdomaines contestés;
    • 2.3 : Mener la conception organisationnelle des systèmes de gouvernance pour faire en sorte que ces systèmes soient pratiques et viables.

BPR : CEM Cyber / DGDFCI
Date cible : Juin 2021

Recommandation du SMA(Svcs Ex) 3

Créer un terrain de cyberentraînement centralisé, institutionnalisé et soutenu, assorti de la capacité d’adapter la classification et d’un accès à distance.

Mesure de la direction 3

  • Le CEM Cyber et le DGDFCI reconnaissent les préoccupations relatives à l’accès limité aux cyberespaces d’entraînement qui servent aux simulations et aux entraînements, ainsi qu’aux infrastructures physiques pour y accéder.
  • Plan d’action en trois parties, comme suit :
    • 3.1 : Accepter officiellement l’environnement de collaboration de test de sécurité / l’environnement intérimaire de cyberentraînement comme environnement d’entraînement cyberimmersif intérimaire des FAC;
    • 3.2 : Déterminer les exigences de l’environnement d’entraînement cyberimmersif intérimaire des FAC en collaboration avec les N1;
    • 3.3 : Déterminer si un projet d’immobilisation est requis pour établir une solution permanente de cyberespace d’entraînement.

BPR : CEM Cyber / DGDFCI
Date cible : Mars 2022

Recommandation du SMA(Svcs Ex) 4

Évaluer la faisabilité de standardiser l’instruction donnée par des tiers et de valider cette l’instruction.

Mesure de la direction 4

  • Pendant que le CEM Cyber et le DGSFCI élaborent le cyberentraînement et envisagent de l’instruction donnée par des tiers, l’autorité de la cyberinstruction (Chef du personnel militaire/Groupe d’instruction de la génération du personnel militaire [CPM/GIGPM]) collaborera pour en faire la validation. Une partie de l’instruction donnée par des tiers est considérée comme la norme de l’industrie (certification ou qualification), et ne requiert donc pas de validation.
  • Plan d’action en trois parties, comme suit :
    • 4.1 : En collaboration avec l’autorité de la cyberinstruction, le DGDFCI continuera de valider l’instruction donnée par des tiers. Nous miserons sur l’instruction donnée par des tiers, y compris par les alliés au besoin quand il y a des lacunes d’instruction;
    • 4.2 : Continuer de travailler avec le programme d’accréditation, de certification et d’équivalences des FAC pour reconnaître les institutions postsecondaires admissibles;
    • 4.3 : Continuer de travailler avec le groupe de travail sur les cybercompétences et le perfectionnement de la main d’œuvre, du gouvernement du Canada, qui examine la cyberinstruction globale pour tout le gouvernement, et qui utilise des domaines d’intérêt communs pour l’instruction et l’éducation individuelle, et lorsque possible, mettre en commun les validations et les leçons retenues.

BPR : CEM Cyber / DGDFCI
BRC : CPM / GIGPM
Date cible : Processus de validation en cours / résultats du groupe de travail sur les cybercompétences, juillet 2021


Retour à la table des matières

Annexe B — Analyse comparative entre les sexes plus (ACS+)

Selon la Directive sur les résultats (2016) du CT, Procédures obligatoires pour les évaluations, nous avons pris compte dans cette évaluation de la politique pangouvernementale sur l’ACS+ parce qu’elle avait été jugée pertinente.

La grille d’évaluation comportait un indicateur de rendement clé relatif à l’ACS+ : « Les considérations liées à l’ACS+ sont prises en compte durant le processus d’embauche »

Le sondage sur les cyberforces comportait diverses questions liées à l’ACS+ :

Tableau B-1. Questions du sondage sur les cyberforces.
Questions du sondage sur les cyberforces % en accord
La planification et la mise en œuvre du Programme des cyberforces tiennent compte des initiatives en matière de diversité et d’inclusion du MDN et des FAC. 96 %
Les politiques relatives aux cyberforces intègrent des considérations liées à l’ACS+. 85 %
Les considérations liées à l’ACS+ sont prises en compte durant le processus d’embauche du cyberpersonnel. 87 %
Les initiatives liées au genre et à la diversité sont prises en compte dans l’élaboration de l’instruction à l’intention des cyberopérateurs. 77 %
Résumé du tableau B-1

Ce tableau présente un échantillon des questions du sondage sur les cyberforces liées à l’ACS+. Le tableau comporte deux colonnes et cinq rangées. Dans la première ligne figure le titre pour la colonne « Question du sondage » et la colonne « % En accord ».

  • La planification et la mise en œuvre du programme des cyberforces tiennent compte des initiatives en matière de diversité et d’inclusion du MDN et des FAC. – 96 %
  • Les politiques relatives aux cyberforces intègrent des considérations liées à l’ACS+. – 85 %
  • Les considérations liées à l’ACS+ sont prises en compte durant le processus d’embauche du cyberpersonnel. – 87 %
  • Les initiatives liées au genre et à la diversité sont prises en compte dans l’élaboration de l’instruction à l’intention des cyberopérateurs. – 77 %


Condition féminine Canada définit l’ACS+ comme suit :

L’ACS+ est un processus analytique qui fournit une méthode rigoureuse pour évaluer les inégalités systémiques, ainsi qu’un moyen de déterminer comment différents groupes de femmes, d’hommes et de personnes de diverses identités de genre peuvent vivre les politiques, programmes et initiatives. Le signe « plus » dans ACS+ reconnaît que l’ACS+ ne se limite pas aux différences biologiques (sexe) et socioculturelles (genre). Nous avons tous de multiples facteurs identitaires qui se recoupent et contribuent à faire de nous ce que nous sommes. L’ACS+ examine de nombreux autres facteurs identitaires comme la race, l’origine ethnique, la religion, l’âge, et les handicaps de nature physique ou mentale.

Seuls environ 5 pour cent des répondants au sondage sur les cyberforces se sont identifiés comme des femmes, et la majorité de celles-ci étaient militaires. À la lumière de l’initiative du CEMD d’augmenter la présence des femmes dans les FAC, certaines initiatives pourraient être explorées pour s’harmoniser avec cette intention. La Stratégie des Forces armées canadiennes à l’égard de la diversité (2016) du CEMD stipule que « il est essentiel que les Forces armées canadiennes (FAC) reflètent la société qu’elles servent si elles veulent établir des liens avec les Canadiens et conserver leur pertinence en tant qu’institution nationale. [… ] De plus, nos expériences opérationnelles récentes nous démontrent que le fait de compter sur des membres en provenance de différents horizons constitue un élément habilitant qui accroît l’efficacité opérationnelle des FAC. » Selon l’initiative 10 de la PSE, le MDN et les FAC feront la promotion de la diversité et de l'inclusion à titre de valeur primordiale dans l’ensemble de l’Équipe de la Défense.

De tous les répondants au sondage sur les cyberforces, en ce qui concerne les statistiques sur la langue maternelle, 81 pour cent ont indiqué l’anglais, 18 pour cent le français, et 1 pour cent le mandarin. Environ 15 pour cent des répondants ont indiqué une origine ethnique autre que blanche, ce qui illustre un certain degré de diversité dans les cyberforces.

Une conscientisation aux différentes identités devrait être activement intégrée à tous les aspects des cyberforces pour assurer une structure de la force inclusive et diversifiée.


Retour à la table des matières

Annexe C — Méthodologie d'évaluation

Sources de données

Les constatations et les recommandations de ce rapport sont le fruit de multiples sources de données recueillies pendant toute la conduite de cette évaluation. Nous avons mis les données en correspondance et nous avons consulté les gestionnaires de programme pour en vérifier la validité. Nous avons utilisé la méthodologie de recherche suivante pour établir la portée de l’évaluation et pour mener l’évaluation en soi :

Examen de la littérature :

Dans le cadre de la planification de l’évaluation, nous avons mené un examen préliminaire des documents pour établir une compréhension de base des cyberforces et de l’assurance de la cybermission afin de déterminer la portée de l’évaluation. Cet examen a été élargi pendant la conduite de l’évaluation, lorsque nous examinions d’autres documents pour trouver des données qui aideraient à l’évaluation. Les documents examinés sont : les sites Web du gouvernement, des rapports administratifs des ministères, des documents de programme, en version préliminaire ou finale, et des rapports externes.

Questionnaires courts :

Pendant le déroulement de l’évaluation, certains sujets ont été relevés qui devaient être éclaircis ou mieux documentés. Ainsi, nous avons envoyé un certain nombre de questionnaires courts (deux ou trois questions) à des points de contact clés par courriel. Nous avons ainsi contacté les organisations suivantes : DGOGI, SMA(IE), VCEMD et les gestionnaires de carrière des officiers des transmissions et des officiers du génie électronique et des communications.

Études de cas :

L’équipe d’évaluation a mené une étude de cas concernant la nécessité de mettre en place un groupe professionnel d’officiers du cyberdomaine. Cette étude a reposé sur les documents militaires, les données du sondage, les notes d’entrevues et les données administratives. D’autres informations concernant l’étude de cas se trouvent dans le rapport.

Entrevues :

L’équipe d’évaluation a mené plus de 30 entrevues avec des organisations internes et externes au MDN et aux FAC. Nous avons regroupé les réponses pour établir des opinions et des perspectives en appui à l’évaluation. À moins d’indication contraire, la mention « directeur de programme » réfère uniquement aux personnes dans des postes de directeur ou supérieur dans les organisations du DG Cyber et du DGOGI. Les organisations qui ont participé aux entrevues sont les suivantes :

  • SMA(GI)
    • DG Cyber
    • DGOGI
    • GOIFC
    • Directeur – Réalisation de projet (Commandement et contrôle)
    • D Sécur GI
  • SMA(S et T)
  • SMA(Mat)
  • EMIS
  • VCEMD
  • AC
  • MRC
  • ARC
  • COMFOSCAN
  • COMRENSFC
  • EECFC

Externe au MDN et aux FAC

  • CST
  • AICDS

Sondage :

L’équipe d’évaluation a mené un sondage pendant le mois d’octobre 2019. Certaines questions ciblaient des personnes en particulier, comme des cadres supérieurs, des militaires ou des intervenants des organisations externes au DG Cyber ou au DGOGI du cyberdomaine. Les graphiques dans le rapport reflètent ces nuances dans les populations dans leurs titres. À moins d’indication contraire, par « répondants au sondage » on entend toute la population du sondage.

Dans le but de faire participer une vaste population pour obtenir les opinions, les perspectives et des données relatives à l’ACS+, l’équipe d’évaluation a conçu un sondage en anglais et en français. Certaines questions ont été élaborées pour cibler certains membres de la population, comme les gestionnaires supérieurs, les militaires ou des intervenants du cyberdomaine externe aux cyberforces. Ces nuances sont reflétées dans les graphiques qui illustrent les données dans tout le rapport. 

Le sondage a été rempli par des organisations et des personnes ciblées qui travaillent dans le cyberdomaine ou qui ont des liens avec le Programme d’assurance de la cybermission au MDN et dans les FAC. Le sondage a été diffusé d’abord aux points de contact recensés à l’aide d’une recherche dans le répertoire du MDN. Les personnes recensées ont ensuite acheminé le sondage aux autres personnes pertinentes ou subordonnées dans leur chaîne de commandement.

Le sondage est demeuré en ligne pendant environ un mois, et au total, 120 réponses ont été reçues du SMA(GI), du SMA(S & T), du SMA(Mat), du SMA(IE), du JAG, de l’EMIS, du VCEMD, du COMRENSFC, du COIC, du COMFOSCAN et des commandements d’armée (AC, MRC, ARC). À noter, des personnes en poste ont soumis leurs réponses au sondage à l’aide de Microsoft Word, puisqu’elles n’avaient pas accès au RED.

Visites de sites :

L’équipe d’évaluation a visité la SFC Leitrim et a mené des entrevues avec cinq personnes qui travaillent au GOIFC, notamment le commandant du GOIFC. En raison des autorisations de sécurité limitées, l’équipe n’a pas pu visiter l’ensemble des installations, mais a reçu des présentations et des exposés des unités du GOIFC sur leur travail.

Établissement de seuils de référence :

L’équipe d’évaluation a mené une analyse comparative en établissant des points de comparaison entre les cyberforces du Canada et les cybergroupes militaires des États-Unis, du Royaume-Uni et de l’Australie. À l’aide de divers indicateurs, l’équipe a recueilli des données de diverses sources en ligne, tels que des sites Web du gouvernement pour permettre la comparaison.

Groupes de discussion :

L’équipe d’évaluation a mené des groupes de discussion pour recueillir des données de populations cibles dans les secteurs du programme. En particulier, un groupe de discussion a eu lieu avec le Directeur – Ingénierie et intégration (Gestion de l’information).


Retour à la table des matières

Annexe D — Limitations de l'évaluation

Les limitations vécues dans l’évaluation, et les stratégies d’atténuation employées dans le processus d’évaluation.

Tableau D-1. Évaluation. Limitations de l’évaluation et stratégies d’atténuation.
- Limitation Stratégies d’atténuation
Autorisations de sécurité La nature des cyberforces fait en sorte que la majorité de leurs activités se déroulent dans un environnement SECRET ou TRÈS SECRET. Nous avons gardé l’évaluation au niveau sans classification, et avons exclu de la portée les aspects qui ne pouvaient pas respecter ce niveau, comme le contenu relatif au C3IR, tel que décrit dans la portée de l’évaluation.
Accès au sondage Une partie du cyberpersonnel n’a pu accéder de manière électronique au sondage qui a été diffusé, en particulier ceux qui étaient en affectation hors du Canada. Après avoir reçu de l’information sur ces difficultés, l’équipe d’évaluation a envoyé le sondage en format Word et a saisi manuellement les réponses à inclure dans l’analyse.
Programmes nouveaux Étant donné la nouveauté des cyberforces, nous avons mené une évaluation formative, et de nombreux documents de fond ont été modifiés pendant le déroulement de l’évaluation. L’équipe d’évaluation a gardé un contact régulier avec les intervenants du programme pour obtenir les versions courantes des documents pertinents.
Biais dans la sélection des participants Un biais pouvait survenir selon la sélection des personnes ou des organisations pour participer au sondage, ce qui pourrait fausser les résultats du sondage. Nous avons communiqué avec toutes les organisations liées au cyberdomaine aux fins du sondage. Les répondants ont été choisis dans les unités au sein des organisations membres.
Biais dans les entrevues Un biais peut survenir selon l’impression subjective et les commentaires des personnes interviewées, ce qui pourrait donner lieu à des opinions biaisées. Nous avons corroboré les commentaires d’entrevue avec d’autres sources pour en vérifier la validité. Les notes d’entrevues ont été prises par plus d’une personne pour confirmer la compréhension des discussions et diminuer la possibilité d’un biais.
Pandémie mondiale En raison de l’éclosion de la pandémie de COVID-19 à l’échelle mondiale et au Canada, nous n’avons pas été en mesure de terminer la dernière ronde de mobilisation des intervenants de haut niveau. Les membres de l’équipe d’évaluation ont mené la dernière phase du projet à distance.
Résumé du tableau D-1

Ce tableau présente les limitations de l’évaluation et les stratégies d’atténuation. Le tableau comporte six colonnes et deux rangées, avec des titres. La première rangée contient l’information concernant les limitations. La deuxième rangée contient l’information sur les stratégies d’atténuation associées.


Retour à la table des matières

Détails de la page

Date de modification :