Stratégie intégrée de cybersécurité du gouvernement du Canada

Le 22 mai 2024 – Ottawa (Ontario) – Secrétariat du Conseil du Trésor du Canada

La Stratégie intégrée de cybersécurité du gouvernement du Canada (GC) est un plan prospectif visant à améliorer la cybersécurité dans l’ensemble des ministères et organismes afin de continuer à fournir des services gouvernementaux numériques sécurisés et fiables. Elle sert de cadre pour faire passer encore plus le gouvernement d’une position réactive à une approche proactive en matière de cybersécurité en améliorant la formation, les applications, les politiques et la surveillance.

Au cours de la dernière décennie, le gouvernement a pris des mesures pour améliorer sa position en matière de cybersécurité en normalisant l’infrastructure de TI et en intégrant les services de cyberdéfense, en établissant le Centre canadien pour la cybersécurité et en mettant en place une gouvernance, des politiques et des outils clairs pour soutenir la cybersécurité. Malgré ces progrès, des lacunes subsistent. La Stratégie intégrée de cybersécurité vise à combler ces lacunes et à faire en sorte que le gouvernement soit bien placé pour faire face aux cybermenaces futures.

La stratégie repose sur 4 objectifs stratégiques visant à aider les organisations fédérales à adopter une approche pangouvernementale plus vaste pour protéger leurs systèmes contre les risques liés à la cybersécurité :

1. Expliquer clairement les risques liés à la cybersécurité et leur incidence sur les opérations, afin de permettre une prise de décisions efficace, axée sur l’action et responsable;
2. Prévenir les cyberattaques et y résister plus efficacement pour mieux protéger les informations et les biens du GC;
3. Renforcer les capacités et la résilience à l’échelle du GC afin de se préparer de manière proactive à des événements liés à la cybersécurité, d’y répondre et de s’en remettre;
4. Favoriser l’émergence d’une main-d’œuvre diversifiée au sein du GC, dotée des compétences, des connaissances et de la culture nécessaires en matière de cybersécurité.

Chacun des objectifs énumérés ci-dessus comporte des mesures clés correspondantes pour veiller à ce que le but soit atteint. Voici des exemples de mesures clés :

• veiller à ce que les ministères et organismes fédéraux mettent en place des processus annuels de gestion des risques et de reddition de comptes, ce qui aidera le gouvernement à être plus efficace et proactif dans la détermination et la gestion des risques liés à la cybersécurité d’un point de vue pangouvernemental;
• perfectionner les talents du domaine de la cybersécurité au sein du gouvernement au moyen de programmes de formation interfonctionnels afin de tirer parti d’une variété de solutions d’apprentissage;
• promouvoir une culture de gestion des talents pour recruter et maintenir en poste des candidats et candidates possédant les compétences requises en matière de cybersécurité;
• améliorer la gestion des risques liés aux tiers au moyen de mesures comme la normalisation des clauses et des conditions des contrats et la vérification de routine que les fournisseurs respectent les clauses.

La première phase de mise en œuvre commencera immédiatement et appuiera :

• l’établissement d’un système centralisé d’évaluation assorti d’évaluations indépendantes et d’examens approfondis de la cybersécurité des ministères afin de cerner les risques et de les classer par ordre de priorité;
• la création d’une plateforme fédérée de gestion intégrée des risques permettant d’établir des priorités et de produire des rapports fondés sur des données, en tant qu’élément clé d’un système plus large de gestion du portefeuille de l’entreprise;
• l’établissement d’un programme pangouvernemental de gestion de la vulnérabilité pour permettre un processus coordonné de divulgation des vulnérabilités et mettre l’accent sur les personnes, les processus, les politiques et la technologie;
• la formation d’une nouvelle équipe mauve qui imitera les techniques utilisées par les responsables des menaces malveillantes contre les systèmes gouvernementaux afin de tester et de vérifier de manière proactive les éventuelles lacunes en matière de sécurité.

La cybersécurité du gouvernement du Canada (GC) n’est pas un état final, mais un processus d’amélioration continue. Afin de garantir que le GC progresse constamment vers la réalisation de sa vision et de ses objectifs stratégiques, une surveillance et une évaluation de la stratégie dans son ensemble seront effectuées chaque année au moyen d’indicateurs de rendement clés, et les résultats seront affichés sur Canada.ca.