Réponse et plan d’action de la direction - Audit de la cybersécurité à Santé Canada et à l’Agence de la santé publique du Canada
Recommandation 1
Il est recommandé que le SMA de la DGTN, qui est l'agent désigné pour la cybersécurité, en collaboration avec le DPI et le SMA de la DGSG, qui est aussi le DPS, examine, mette à jour, documente et communique la structure de gouvernance et les comités existants en matière de cybersécurité afin de refléter le nouveau contexte opérationnel de la DGTN DGSG et de faire en sorte que la haute direction soit tenue informée des problèmes potentiels et évoluants en matière de cybersécurité, des pratiques de gestion des risques et des mesures de rendement. Cela leur permettra de prendre des décisions éclairées et de donner des orientations stratégiques sur la manière d'atténuer les problèmes anticipés en matière de cybersécurité.
Réponse de la direction
La direction approuve la recommandation.
| Mesures prévues | Produits livrables | Date d'achèvement prévue | Responsabilité |
|---|---|---|---|
| La DGSG (DPI) collaborera avec la DGTN (DPAS) pour préciser les responsabilités et soutenir l'élaboration d'une structure de gouvernance qui reflète les rôles de chaque direction générale, conformément au plan de sécurité ministériel (PSM), au profil de risque de l'organisation (PRO) et aux instruments pertinents du Secrétariat du Conseil du Trésor, par exemple la Directive sur les services et le numérique. | 1.1 Une structure de gouvernance mise à jour sera établie et communiquée à la haute direction chargée de la cybersécurité, notamment le DPS, l'ADC, le DPI et les autres intervenants concernés. | T4 de 2023-2024 | La DGTN, avec l'appui de la DGSG (DPAS) |
| La DGTN et la DGSG informeront la haute direction des enjeux de sécurité et des pratiques de gestion des risques. | 1.2 Suite à l'officialisation d'une structure de gouvernance, un rapport sur la cybersécurité sera élaboré et communiqué chaque trimestre à la structure de gouvernance de la sécurité actualisée et à la haute direction. Les rapports s'appuieront sur les données saisies dans l'outil de suivi mentionné dans le résultat attendu 2.1. | T2 de 2024-2025 | La DGTN, avec l'appui de la DGSG (DPAS) |
Recommandation 2
Il est recommandé que le SMA de la DGTN, en collaboration avec le DPI et le SMA de la DGSG, mette en œuvre un système centralisé de suivi et de priorisation des risques en matière de cybersécurité en saisissant les risques issus des processus internes tels que les EAS, les tendances relevées par le Centre canadien pour la cybersécurité et les risques issus de la surveillance exercée à l'échelle du gouvernement.
Réponse de la direction
La direction approuve la recommandation.
| Mesures prévues | Produits livrables | Date d'achèvement prévue | Responsabilité |
|---|---|---|---|
| La DGTN (DPI), avec l'appui de la DGSG (DPAS), mettra en place un suivi des risques en matière de cybersécurité basé sur le PRO. | 2.1 Mettre en place un outil centralisé de suivi et de priorisation des risques en matière de cybersécurité. Cet outil sera mis à jour tous les trimestres et les rapports seront présentés comme l'indique le produit livrable 1.2. | T2 de 2024-2025 | La DGTN, avec l'appui de la DGSG (DPAS) |