Comparution de la dirigeante principale de l’information au Comité permanent des comptes publics en ce qui concerne le Rapport 7, La cybersécurité des renseignements personnels dans le nuage, Rapports 2022 de la Vérificatrice générale du Canada

Dans cette page

1. Note sur le scénario
2. Vue d’ensemble du Comité permanent des comptes publics et études récentes
3. Audit du BVG sur la cybersécurité des renseignements personnels dans le nuage
4. Recommandations – Progrès et calendrier
5. Plan d’action de la direction
• Réponse et plan d’action détaillés de la direction (tels que soumis au Comité)
6. Rôles et responsabilités
7. Mesures de protection du nuage
8. Ministères dans le champ d’application de la Politique
9. Consommation du nuage au GC
10. Modernisation des applications

• Analyse de l’environnement public
• Appels aux médias récents et réponses

A. Note sur le scénario

Comparution de la dirigeante principale de l’information du Canada devant le Comité permanent des comptes publics de la Chambre des communes concernant le rapport 7 – Cybersécurité des renseignements personnels dans le nuage des rapports 2022 de la vérificatrice générale du Canada

Contexte

• Les rapports 5 à 8 de 2022 de la vérificatrice générale du Canada ont été déposés à la Chambre des communes le 15 novembre 2022 et renvoyés par la suite au Comité permanent des comptes publics (PACP).
• Le PACP a commencé l’examen des rapports 5 à 8 de 2022 à huis clos le 15 novembre 2022 avec la participation du Bureau du vérificateur général. Le Comité a demandé à tous les ministères concernés de fournir des plans d’action de gestion assortis de recommandations, qui seront soumis au Comité avant la comparution.
• Le rapport 7 sur la cybersécurité des renseignements personnels dans le nuage a noté que quatre ans après la demande formulée par le Secrétariat du Conseil du Trésor du Canada (SCT) aux ministères d’envisager le passage à l’informatique en nuage, il n’a toujours pas prévu de financement à long terme pour cette adaptation.
• Le SCT a été invité à comparaître devant le PACP le 16 février 2023 dans le cadre d’un panel de témoins aux côtés des sous-ministres de Services publics et approvisionnement Canada (SPAC), de Services partagés Canada (SPC) et de la vérificatrice générale en vue de son étude sur le rapport.

Jour du – Scénario (PACP)

• La réunion devrait commencer à 15 h 30, sous réserve de retards dus aux votes dans la Chambre. La dirigeante principale de l’information du Canada devrait se présenter aux côtés du sous-ministre de SPAC et du président de SPC.
• Les témoins qui se présentent en personne doivent arriver une demi-heure à l’avance pour assurer le filtrage de sécurité.

Autres informations pertinentes

• La présidente du Conseil du Trésor a déposé les comptes publics du Canada 2022 le 27 octobre 2022.
• Par la suite, des représentants du SCT se sont présentés à SPAC les 18 et 22 novembre 2022 pour discuter des comptes publics 2022, aux côtés de représentants du ministère des Finances et du Bureau du vérificateur général.
• Le Comité a reçu une formation sur la manière d’évaluer les rapports d’audit et de poser des questions pertinentes sur leurs détails. Le Comité sera également intéressé par les détails spécifiques relatifs à la manière dont le gouvernement mettra en œuvre les recommandations énoncées dans le rapport.
• Le Comité a tenu des réunions sur les autres rapports de la vérificatrice générale de 2022 déposés en novembre dernier, avec une réunion le 25 novembre 2022 sur le rapport 8, Gestion des urgences dans les collectivités des Premières Nations, et une autre le 29 novembre 2022 sur le rapport 5, Itinérance chronique.

B. Vue d’ensemble du Comité permanent des comptes publics et études récentes

Mandat du Comité

Lorsque le président de la Chambre des communes dépose un rapport de la vérificatrice générale, celui-ci est automatiquement transmis au Comité des comptes publics. Le Comité sélectionne les chapitres du rapport qu’il souhaite étudier et convoque l’auditeur général et les hauts fonctionnaires des organisations auditées pour qu’ils répondent aux conclusions du Bureau du vérificateur général. Le Comité examine également les états financiers consolidés du gouvernement fédéral – les comptes publics du Canada – et étudie les lacunes financières ou comptables soulevées par la vérificatrice générale. À l’issue d’une étude, le Comité peut présenter un rapport à la Chambre des communes qui comprend des recommandations au gouvernement en vue d’améliorer les pratiques et les contrôles administratifs et financiers des ministères et organismes fédéraux.

La politique gouvernementale et la mesure dans laquelle les objectifs politiques sont atteints ne sont généralement pas examinées par le Comité des comptes publics. Le Comité se concentre plutôt sur l’administration gouvernementale, soit l’économie et l’efficacité de la mise en œuvre des programmes ainsi que le respect des politiques, des directives et des normes gouvernementales. Le Comité cherche à amener le gouvernement à rendre compte de l’efficacité de l’administration publique et du respect des fonds publics.

Au titre de l’article 108(3) du Règlement de la Chambre des communes, le mandat du Comité permanent des comptes publics est d’examiner les questions suivantes et d’en faire rapport :

• les comptes publics du Canada;
• tous les rapports de la vérificatrice générale du Canada;
• le plan ministériel et le rapport sur les résultats ministériels du Bureau du vérificateur général;
• toute autre question que la Chambre des communes renvoie au Comité au besoin.

Autres responsabilités :

• l’économie, l’efficience et l’efficacité de l’administration publique;
• la qualité des pratiques administratives dans la mise en œuvre des programmes fédéraux;
• la responsabilité du gouvernement devant le Parlement en ce qui concerne les dépenses fédérales.

Le Comité examine également :

• les états financiers consolidés du gouvernement fédéral;
• les comptes publics du Canada;
• il émet des recommandations au gouvernement en vue d’améliorer les pratiques en matière de dépenses;
• il examine l’état prévisionnel du Bureau du vérificateur général.

Membres du Comité

Nom et role	Parti	Circonscription	Membre du PACP depuis
Président
John Williamson	Conservateur	Nouveau-Brunswick Sud-Ouest	Février 2022
Vice-président
Jean Yip	Libéral	Scarborough-Agincourt	Janvier 2018
Nathalie Sinclair-Desgagné Porte-parole pour les comptes publics; Programmes d’aide liés à la pandémie; Agences de développement économique.	Bloc Québécois	Terrebonne	Décembre 2021
Membres
Garnett Genuis Porte-parole pour le développement international	Conservateur	Sherwood Park-Fort Saskatchewan	Octobre 2022
Michael Kram	Conservateur	Regina-Wascana	Octobre 2022
Kelly McCauley	Conservateur	Edmonton Ouest	Octobre 2022
Blake Desjarlais Porte-parole pour le SCT; Diversité et Inclusion; Jeunesse; Sport; Enseignement postsecondaire; porte-parole adjoint pour les droits 2ELGBTQI+; Immigration, Réfugiés et Citoyenneté.	Nouveau parti démocratique	Edmonton Greisbach	Décembre 2021
Valerie Bradford	Libéral	Kitchener Sud – Hespeler	Décembre 2021
Han Dong	Libéral	Don Valley Nord	Décembre 2021
Peter Fragiskatos Secrétaire parlementaire du Revenu national	Libéral	Centre Nord de Londres	Décembre 2021
Brenda Shanahan	Libéral	Châteauguay-Lacolle	Décembre 2021; janvier 2016 à janvier 2018.

Activités prévues dans le cadre du SCT – 44^e législature

• Briefing de la Fondation canadienne pour l’audit et la responsabilité
• Briefings d’introduction de la vérificatrice générale; du contrôleur général du Canada; autres personnes.
• Comptes publics du Canada
• Rapports de la vérificatrice générale du Canada

Activités du Comité en lien avec le SCT – 43^e législature

• Comptes publics du Canada (Lien vers l’étude)
  • Réponse du gouvernement : lien
• Rapports de la vérificatrice générale du Canada
  • Surveillance de la publicité du gouvernement du Canada (Lien vers l’étude)
    • Réponse du gouvernement : Lien
  • Approvisionnement en solutions de technologie de l’information (Lien vers l’étude)
  • Plan Investir dans le Canada (Lien vers l’étude)
  • Centres d’appel (Lien vers l’étude)
    • Réponse du gouvernement : Lien
  • Stratégie nationale de construction navale (Lien vers l’étude)
• Culture du service public (Lien vers l’étude)
  • Aucun rapport

Intérêt dans le portefeuille du SCT

Parti conservateur du Canada (PCC)

• Cybersécurité
  • Les députés conservateurs Ben Lobb, Jamie Schmale et Robert Kitchen (non membres du Comité) ont respectivement demandé des comptes rendus parlementaires sur la vulnérabilité du logiciel Log4J (Q-372, février 2022), les contrats de service de stockage en nuage (Q-537, mai 2022) et les cyberattaques contre les ministères et les organismes du gouvernement (Q-961, octobre 2022).
  • Lors d’une réunion du PACP le 22 novembre 2022, la députée Stephanie Kusie (non membre du Comité, mais remplaçante pour cette réunion) s’est intéressée au financement du stockage en nuage par le gouvernement, et a suggéré qu’il entravait la cybersécurité du gouvernement. Elle a posé des questions à la vérificatrice générale concernant « l’absence de financement, comme le montrent les comptes publics…, et l’incidence sur la cybersécurité du stockage en nuage du gouvernement » ainsi que « … l’absence de financement, qui laisse nos systèmes dans le nuage vulnérables ».
    • 22 novembre 2022 – PACP - Comptes publics du Canada 2022 (BVG)
  • Les députés conservateurs se sont également montrés méfiants à l’égard de l’entreprise de télécommunications chinoise Huawei, citant ses liens avec le gouvernement chinois et affirmant que le gouvernement avait mis trop de temps à lui refuser l’autorisation d’exercer ses activités au Canada. Au cours du même débat sur le projet de loi C-26, le député Garnett Genuis a déclaré : « Nous sommes derrière lorsqu’il s’agit de défendre notre sécurité. Nous sommes derrière en ce qui concerne des informations que nous aurions dû connaître bien avant. Nous sommes derrière nos alliés. Nous sommes le dernier du Groupe des cinq et très en retard dans la reconnaissance des risques associés à Huawei ».
    • Le 1^er décembre 2022, Débat sur le projet de loi C-26
• Surveillance des dépenses et obligation de rendre compte
  • Les députés conservateurs considèrent que le gouvernement dépense trop, sans surveillance ni obligation de rendre compte appropriées. Cette critique s’est amplifiée depuis l’élection du nouveau chef du PCC, le député Pierre Poilievre. Depuis la rentrée parlementaire en septembre, la plupart des interventions du parti pendant la période des questions ont porté sur les dépenses publiques.
  • Plus généralement, les conservateurs ont utilisé les comptes publics comme un exemple de gaspillage et d’incompétence du gouvernement. Le député Andrew Scheer (non membre du Comité) a affirmé que « nous examinons constamment les comptes publics pour trouver des dépenses inutiles et, étrangement, nous en trouvons chaque fois ».
    • Le 28 octobre 2022, Débat sur le projet de loi C-9
• Service public et fonctionnaires
  • Le député Philip Lawrence (n’est plus membre du Comité) se dit frustré par le fait que, lorsqu’il était membre du PACP, les études portaient toujours sur le même sujet et semblaient recevoir le même rapport, et que les recommandations n’étaient pas toujours appliquées. Il souhaite se concentrer davantage sur l’amélioration du rendement du secteur public.
    • Le 5 mai 2022, PACP – Budget principal des dépenses 2022-23 (BVG)
• Environnement et gouvernement vert
  • Le député Philip Lawrence (n’est plus membre du Comité) estime qu’il faut investir dans de nombreux secteurs du gouvernement, en particulier dans la gestion des données et la résilience au changement climatique. Il a indiqué qu’il souhaitait obtenir davantage d’informations sur les mesures prises par le gouvernement dans ce domaine.
    • Le 3 mars 2022, PACP – Réunion n^o 8
• Questions au Feuilleton
  • Les députés Scott Aitchinson et Tom Kmiec (non membres du Comité) ont respectivement demandé des comptes rendus parlementaires sur les dépenses en matériel de transport figurant dans les comptes publics de 2021 (Q-297, janvier 2022) et sur les pertes de fonds et de biens publics figurant dans les comptes publics de 2021 (Q-323, février 2022)

Bloc Québécois (BQ)

• Cybersécurité
  • Les députés du Bloc n’ont pas beaucoup parlé de la cybersécurité au sein du gouvernement fédéral, mais ont montré de l’intérêt pour le sujet des cybermenaces potentielles pour les entreprises sous réglementation fédérale et le secteur privé, comme en témoignent leurs interventions lors du débat sur le projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.
  • Lors d’une réunion du OGGO en juin 2022, la députée Julie Vignola a posé des questions au ministre de Services publics et approvisionnement Canada, ainsi qu’au président de Services partagés Canada, sur les mesures prises par le gouvernement pour se protéger contre les cyberattaques et « protéger les renseignements confidentiels des citoyens et des entreprises, ainsi que ceux du gouvernement ».
    • Le 10 juin 2022 – OGGO - Budget supplémentaire des dépenses (A) (SPAC, SPC)
• Surveillance des dépenses et obligation de rendre compte
  • La députée Sinclair-Desgagné a critiqué à plusieurs reprises le « déséquilibre fiscal » dans les comptes publics, en particulier en ce qui concerne les transferts du gouvernement fédéral au Québec et aux autres provinces en matière de soins de santé.
    • Le 27 octobre 2022, Débat sur le projet de loi C-31
  • La députée Sinclair-Desgagné a laissé entendre que le président du Conseil du Trésor se réjouit que les travailleurs du Bureau du vérificateur général soient en grève, parce que cela signifie qu’ils ne sont plus en mesure d’établir des rapports qui « embarrassent le gouvernement » et qu’ils ne peuvent plus assurer la reddition de comptes.
    • Le 31 mars 2022, Déclaration des membres
  • La députée Sinclair-Desgagné s’est montrée préoccupée par le fait que les sociétés d’État empêchent de suivre correctement les dépenses du gouvernement. Dans le cas des sociétés d’État, « il est impossible de savoir combien d’argent est transféré ». Elle estime que la situation actuelle est inacceptable. Plus récemment, lors d’une réunion du PACP, elle a demandé à un fonctionnaire du SCT quelles modifications législatives seraient nécessaires pour que les sociétés d’État divulguent l’information de la même façon que les ministères.
    • Le 1^er novembre 2022, PACP – Réunion n^o 36 (Briefing sur le Bureau du vérificateur général); le 9 mai 2022, Débat sur le budget 2022
• Service public et fonctionnaires
  • La députée Sinclair-Desgagné a manifesté son soutien aux employés du Bureau du vérificateur général qui sont en grève, affirmant qu’ils méritent une meilleure équité salariale.
    • Le 31 mars 2022, Déclaration des membres
• Environnement et gouvernement vert
  • La députée Sinclair-Desgagné estime que le financement du gouvernement devrait être interrompu dans les secteurs où il n’y a pas de résultats environnementaux positifs, comme le secteur pétrolier.
    • Le 8 février 2022, PACP – Réunion n^o 4

Nouveau parti démocratique (NPD)

• Cybersécurité
  • Le député Gord Johns (non membre du Comité) a exprimé des inquiétudes concernant la cybersécurité et la mise en œuvre du stockage en nuage au sein du gouvernement. Lors d’une réunion du OGGO le 11 novembre 2022, M. Johns a déclaré : « La semaine dernière, la vérificatrice générale a publié un rapport contenant des conclusions préoccupantes sur la capacité du gouvernement à prévenir, à détecter et à répondre aux cyberattaques. Le rapport constate que les ministères ne savent pas exactement quels sont leurs rôles en matière de cybersécurité et que, quatre ans après la demande formulée par le Conseil du Trésor aux ministères d’envisager le passage à l’informatique en nuage, il n’a toujours pas prévu de financement à long terme pour cette adaptation. »
    • Le 21 novembre 2022, OGGO – Réunion n^o 40 (Comparution du SCT sur le budget supplémentaire des dépenses [B] 2022-23)
  • Le député Johns a également interrogé la dirigeante principale de l’information sur les conséquences de l’application ArriveCAN en matière de cybersécurité. Il lui a demandé « ce que le Conseil du Trésor compte faire pour remédier d’urgence aux failles de sécurité et garantir la protection des renseignements personnels des Canadiens ».
    • Le 17 novembre 2022, OGGO – Réunion n^o 39 (Comparution du SCT sur l’application ArriveCAN)
  • Le NPD a également émis des commentaires sur la cybersécurité de manière plus générale, dans le contexte des secteurs public et privé. Le 1^er décembre, lors du débat sur le projet de loi C-26, le député Gord Johns a déclaré : « Je pense que nous sommes tous d’accord pour dire que le Canada est mal préparé pour faire face aux menaces de cybersécurité. Je suis rassuré d’entendre que nous sommes tous sur la même longueur d’onde. Cependant, nous sommes loin derrière d’autres juridictions similaires, telles que la France et le Royaume-Uni. Leur capacité à intercepter les menaces de cybersécurité et à y répondre est bien meilleure pour protéger leurs pays ».
• Surveillance des dépenses et obligation de rendre compte
  • Le député Daniel Blaikie (non membre du Comité) a rappelé à plusieurs reprises à la Chambre les remarques du directeur parlementaire du budget sur le fait que le gouvernement déposait les comptes publics trop tard. Le NPD et lui-même estiment que « … des rapports financiers supplémentaires (sont) justifiés… » et que « normalement, dans les pays de la plupart de nos alliés et partenaires commerciaux, cela se fait sur un calendrier de six mois après la fin de l’exercice financier. Le dépôt en décembre était donc très tardif. Je pense qu’il est vrai, surtout lorsque le gouvernement dépense de grosses sommes d’argent, que la responsabilité et la transparence deviennent d’autant plus importantes. ».
    • Le 2 février 2022, le 23 mars 2022 et le 28 mars 2022, Débat sur la Loi d’exécution de la mise à jour économique et budgétaire de 2021.
• Service public et fonctionnaires
  • Le député Blake Desjarlais a critiqué le système de rémunération Phoenix, affirmant que le fait que le Conseil du Trésor n’ait pas consulté les fonctionnaires a eu une incidence directe sur les travailleurs. Il affirme que des années plus tard, le gouvernement continue de rencontrer des problèmes avec Phoenix.
    • Le 3 mai 2022, PACP – Réunion n^o 17
• Diversité et inclusion, ACS+
  • Le député Desjarlais estime qu’il y a encore du travail à faire dans le secteur public et avec les sociétés d’État pour garantir la diversité, l’inclusion et l’équité. Il estime que des objectifs et des indicateurs plus solides devraient être mis en place afin que nous puissions constater les résultats et les progrès tangibles.
    • Le 15 février 2022, PACP – Réunion n^o 6; le 31 mars 2022, PACP – Réunion n^o12; le 31 mars 2022, Débat sur le projet de loi S-214
• Environnement et gouvernement vert
  • Le député Desjarlais critique souvent l’absence de « véritables mesures climatiques » de la part du gouvernement. Il estime que le gouvernement devrait être tenu pour responsable de l’absence de progrès dans ce domaine. Il estime que les mesures climatiques devraient faire partie intégrante des plans d’action des ministères.
    • Le 1^er décembre 2021, Réponse au discours du Trône; le 1^er mars 2022, PACP – Réunion n^o 7; le 7 avril 2022, Déclaration des députés
  • D’autres députés du NPD, comme Laurel Collins (non membre du Comité), ont exprimé leur inquiétude quant au fait que les sociétés d’État ne sont pas tenues de rendre compte de leurs émissions lorsqu’il s’agit de rendre le gouvernement plus vert.
    • Le 3 mai 2022, ENVI - Réunion n^o 15

Résumés des réunions

Réunion 39 – Le 22 novembre 2022
Comptes publics du Canada 2022 (Partie 2)

Transcription complète : Preuves – PACP (44-1) – n^o 39

Témoins

Ministère des Finances

• Michael J. Sabia, ministre adjoint.
• Evelyn Dancey, sous-ministre adjointe, Direction de la politique budgétaire.
• Nicholas Leswick, sous-ministre délégué.

Bureau du vérificateur général

• Karen Hogan, vérificatrice générale du Canada.
• Étienne Matte, directeur principal.
• Chantale Perreault, directrice principale.

Secrétariat du Conseil du Trésor

• Roch Huppé, contrôleur général du Canada.
• Monia Lahaie, contrôleure générale adjointe, Secteur de la gestion financière.
• Diane Peressini, directrice exécutive, Politique comptable et établissement de rapports du gouvernement.

Points saillants

Le Comité a poursuivi son examen des comptes publics du Canada 2022.

Au début de la réunion, le contrôleur général a fait le point sur un suivi demandé par M. Garnett Genuis (PCC) lors de la réunion précédente. Il a indiqué qu’une réponse concernant l’augmentation des salaires de Passeport Canada était attendue, mais a précisé qu’elle était due à la signature d’une convention collective et à la reprise du paiement des congés excédentaires. Il a également expliqué que l’augmentation du nombre de passeports traités entraînait une hausse des coûts.

Le ton de la réunion a été généralement cordial et poli, et les députés se sont montrés très impliqués dans leurs questions. Toutefois, les députés ont parfois contesté les réponses fournies par les fonctionnaires. Les discussions ont porté sur les sujets suivants :

• Informations erronées dans les comptes publics.
• Détails concernant les radiations de dettes.
• Rapports sur l’environnement et la gouvernance sociale (EGS).
• Transparence financière des sociétés d’État.
• Réforme des comptes publics.
• Cybersécurité et adoption de l’informatique en nuage.
• Problèmes liés au système de rémunération Phoenix et projets pour le système de nouvelle génération.
• Biens immobiliers et conséquence du retour au travail ou du travail hybride sur l’occupation.

Suivis

• Détails concernant l’erreur dans les comptes publics concernant la remise de dette d’Exportation et développement Canada. – Député Garnett Genuis (PCC)
• Facteurs à l’origine de l’augmentation de la TPS et des dispositions relatives à l’amortissement de l’impôt sur les sociétés. – Député Kelly McCauley (PCC)
• Calcul du coût de la suspension du paiement des congés annuels accumulés excédentaires. – Député Kelly McCauley (PCC)
• Montant total des engagements non financés au titre des retraites. – Député Kelly McCauley (PCC)
• Analyse de l’effet d’un retard dans les post-vérifications du CERB par l’ARC sur les coûts récupérables attendus. – Député Garnett Genuis (PCC)
• Dans quelle mesure les dommages signalés aux bâtiments sont-ils dus au changement climatique? – Député Blake Desjarlais (NPD)

Réunion 38 – Le 18 novembre 2022
Comptes publics du Canada 2022 (Partie 1)

Transcription complète : Preuves – PACP (44-1) – n^o 38

Témoins

Secrétariat du Conseil du Trésor

• Roch Huppé, contrôleur général du Canada.
• Monia Lahaie, contrôleure générale adjointe, Secteur de la gestion financière.
• Diane Peressini, directrice exécutive, Politique comptable et établissement de rapports du gouvernement.

Ministère des Finances

• Nicholas Leswick, sous-ministre délégué.
• Evelyn Dancey, sous-ministre adjointe, Direction de la politique économique.

Bureau du vérificateur général

• Karen Hogan, vérificatrice générale du Canada.
• Étienne Matte, directeur principal.
• Chantale Perreault, directrice principale.

Points saillants

Dans son allocution d’ouverture, la vérificatrice générale a confirmé que son bureau avait émis une opinion sans réserve sur les comptes publics 2022. Elle a souligné les répercussions de la pandémie de la COVID-19 sur les dépenses publiques. Elle a également fait remarquer que l’administration des salaires est toujours un problème avec Phoenix. Les demandes d’intervention de paie portant sur des trop-perçus risquent de ne pas pouvoir être recouvrées par le gouvernement.

Le contrôleur général a donné au Comité une vue d’ensemble des comptes publics 2022 dans ses remarques préliminaires. M. Huppé a expliqué les exigences relatives au calendrier de dépôt des comptes publics et a souligné que le dépôt a eu lieu à temps cette année. Il a également expliqué que le SCT s’efforce d’être plus efficace et qu’il examine actuellement les recommandations émises dans le récent rapport du PACP intitulé : Comptes publics du Canada 2021. M. Huppé a informé le Comité des efforts déployés pour moderniser les comptes publics, notamment en tenant compte des commentaires du PACP.

Les députés se sont montrés très engagés avec les témoins sur des questions clés telles que les rapports sur les sociétés d’État, les calendriers de dépôt et les défis, le système de rémunération Phoenix et des postes spécifiques dans les comptes publics. Les membres ont exprimé leur gratitude tout au long de la réunion pour la discussion informative avec les témoins et ont indiqué qu’ils seraient reconnaissants de recevoir toute information complémentaire avant la poursuite de l’examen des comptes publics mardi. En outre, le président a soulevé la question de la fenêtre légale pour récupérer les trop-perçus de Phoenix (et le risque) et a demandé que les fonctionnaires du SCT se préparent à fournir cette information mardi.

Suivis

• Renseignements additionnels sur les chiffres de Passeport Canada. – Député Garnett Genuis (PCC)
• Augmentation des créances douteuses et analyse des achats de la Banque du Canada sur les obligations du Canada. – Députés Kelly McCauley (PCC) et John Williamson (PCC)
• Chronologie des dates de dépôt précédentes. – Députée Brenda Shanahan (PLC)
• Écart pour les sociétés d’État. – Députée Nathalie Sinclair-Desgagné (BQ)
• Renseignements additionnels concernant l’augmentation des pensions du secteur public. – Député Kelly McCauley (PCC)

Réunion 36 – le 1^er novembre 2022
Briefing sur le Bureau du vérificateur général (Comparution du SCT)

Transcription complète : Preuves – PACP (44-1) – n^o 36

Témoins

Secrétariat du Conseil du Trésor (SCT)

• Stephen Diotte, directeur exécutif, Relations de travail et rémunération globale, Gestion stratégique de la rémunération, Bureau de la directrice générale des ressources humaines.

Bureau du vérificateur général (BVG)

• Karen Hogan, vérificatrice générale du Canada.
• Andrew Hayes, vérificateur général adjoint.

Ministère des Finances (FIN)

• Nicholas Leswick, sous-ministre délégué.

Points saillants

Conformément à la motion adoptée le 21 octobre 2022, le Comité a reçu un briefing sur le Bureau du vérificateur général.

Dans son allocution d’ouverture, la vérificatrice générale (VG) a souligné l’importance de considérer la charge de travail comme proportionnelle au montant du financement reçu par le BVG lorsqu’il s’agit de demander des audits supplémentaires. La VG considère que le modèle de financement actuel est problématique du fait que le ministère des Finances (FIN) et le Secrétariat du Conseil du Trésor (SCT) sont des organisations contrôlées par le BVG et qu’il est difficile de maintenir l’indépendance par rapport au gouvernement. La VG a abordé la question de la grève précédente et des difficultés consécutives pour attirer et fidéliser le personnel. La VG a conclu en assurant le Comité que les discussions avec les employés seraient poursuivies afin de favoriser un meilleur environnement de travail.

Les membres se sont montrés très préoccupés par l’indépendance du BVG dans le modèle de financement actuel et se sont demandé s’il disposait ou non de ressources suffisantes. Tous les membres ont souligné l’expression croissante de la méfiance à l’égard des institutions gouvernementales et ont insisté sur l’importance du rôle du BVG dans le maintien de cette confiance. Le député Blake Desjarlais (NPD) a interrogé tous les témoins sur le rôle de chaque organisation dans les événements survenus lors de la grève des employés du BVG à l’automne dernier. Les membres du gouvernement ont clarifié le fonctionnement des mandats de négociation collective et ont demandé au SCT d’établir les risques liés à l’extension du mandat au regard des accords existants.

Suivis

• Quelles modifications législatives seraient nécessaires pour que les sociétés d’État divulguent des informations de la même manière que les ministères? – Députée Nathalie Sinclair-Desgagné

Prochaines étapes

La prochaine réunion du Comité est prévue pour le vendredi 4 novembre 2022 afin de discuter des affaires du Comité. Le président a également indiqué que le Comité tiendra une réunion d’information avec la vérificatrice générale sur les prochains rapports de rendement le 15 novembre (à huis clos). Le président a également indiqué que le Comité invitera des fonctionnaires à se présenter devant le Comité des comptes publics 2022 le 18 novembre.

Réunion 35 – le 28 octobre 2022
Rapport 2, Stratégie pour un gouvernement vert (Comparution du SCT)

Transcription complète : Non disponible

Témoins

Secrétariat du Conseil du Trésor

• Graham Flack, secrétaire du Conseil du Trésor du Canada.
• Malcolm Edwards, ingénieur principal, Centre pour un gouvernement vert.

Bureau du vérificateur général

• Jerry V. DeMarco, commissaire à l’environnement et au développement durable.
• Milan Duvnjak, directeur principal.

Ministère de la Défense nationale

• Bill Matthews, ministre adjoint.
• Nancy Tremblay, sous-ministre adjointe déléguée, Matériel.
• Saleem Sattar, directeur général, Environnement et gestion durable.

Ministère des Transports

• Michael Keenan, ministre adjoint.
• Ross Ezzeddin, directeur général, Programmes aériens, maritimes et environnementaux.

Points saillants

Le Comité s’est réuni pour étudier le rapport 2, Stratégie pour un gouvernement vert des rapports 2022 1 à 5 du Commissaire à l’environnement et au développement durable, et pour interroger des témoins. Les fonctionnaires n’ont pas fait de déclarations préliminaires, cette partie ayant déjà été formulée lors de la réunion du 18 octobre, qui avait été interrompue en raison des votes à la Chambre des communes.

La réunion d’aujourd’hui a été généralement polie et cordiale. Les sujets de discussion d’intérêt pour le SCT sont les suivants :

• Le rôle du SCT dans la Stratégie pour un gouvernement vert, notamment en ce qui concerne l’établissement de rapports, la mise en œuvre et la coopération internationale.
• Les coûts associés à la réalisation des objectifs de réduction des émissions de gaz à effet de serre (GES) du gouvernement.
• La capacité du gouvernement à fournir des rapports complets sur ses émissions de GES.
• Les répercussions de la pandémie de la COVID-19 sur les émissions de GES du gouvernement.
• La recommandation du BVG selon laquelle les sociétés d’État devraient également rendre compte de leurs progrès, et les consultations du SCT avec les sociétés d’État.
• Tout plan actuel ou futur d’achat de compensations carbone par le gouvernement.
• Les émissions de GES produites par les déplacements ministériels.

Les fonctionnaires du MDN et du ministère des Transports ont également répondu aux questions concernant leurs propres plans et les progrès réalisés dans la réduction des émissions de leurs ministères. M. Matthews, du MDN, a fait référence aux outils et aux conseils fournis par le SCT. Après la fin des témoignages, le Comité s’est réuni à huis clos pour discussions.

Réunion 32 – le 18 octobre 2022
Rapport 2, Stratégie pour un gouvernement vert (Comparution du SCT)

Transcription complète : Preuves – PACP (44-1) – n^o 32

Témoins

Secrétariat du Conseil du Trésor

• Graham Flack, secrétaire du Conseil du Trésor du Canada.
• Jane Keenan, directrice exécutive par intérim, Centre pour un gouvernement vert.
• Malcolm Edwards, ingénieur principal, Centre pour un gouvernement vert.

Bureau du vérificateur général

• Jerry V. DeMarco, commissaire à l’environnement et au développement durable.
• Milan Duvnjak, directeur principal.

Ministère de la Défense nationale

• Bill Matthews, ministre adjoint.
• Nancy Tremblay, sous-ministre adjointe déléguée, Matériel.
• Saleem Sattar, directeur général, Environnement et gestion durable.

Ministère des Transports

• Michael Keenan, ministre adjoint.
• Ross Ezzeddin, directeur général, Programmes aériens, maritimes et environnementaux.

Points saillants

La réunion a été retardée par des votes à la Chambre.

Dans son allocution d’ouverture, Jerry DeMarco, commissaire à l’environnement et au développement durable, a retracé l’historique de la Stratégie pour un gouvernement vert et les objectifs qui ont été fixés et révisés depuis son lancement en 2017. Il a expliqué au Comité que l’audit s’est concentré sur le leadership du SCT dans le soutien aux progrès du ministère, ainsi que sur la manière dont le MDN et le ministère des Transports ont mis en œuvre des mesures pour réduire les émissions de GES. Il a conclu que les efforts du SCT pour réduire les émissions ne sont pas aussi complets qu’ils pourraient l’être, et que des informations importantes sur un gouvernement vert sont difficiles à trouver, peu claires ou insuffisantes, notamment un manque de détails sur les coûts et les économies. Il s’est inquiété du fait que les émissions indirectes n’ont pas été déclarées et que les sociétés d’État n’entrent pas dans le champ d’application de la stratégie. Il a ajouté que ni le ministère de la Défense ni le ministère des Transports n’ont indiqué clairement de quelle façon ils allaient atteindre l’objectif de 2050. Il a conclu que le manque d’informations rendait difficiles le suivi des objectifs et la détermination du rôle de leader mondial que le Canada s’est fixé. Il a indiqué au Comité que sur les cinq recommandations pour le SCT figurant dans le rapport, une seule n’était pas entièrement acceptée. Enfin, le commissaire a indiqué qu’il avait déposé le 4 octobre un rapport trimestriel sur le rapport d’avancement 2021 de la stratégie fédérale de développement durable.

Dans son allocution d’ouverture, le sous-ministre de Transports Canada, Michael Keenan, a déclaré au Comité que Transports Canada acceptait pleinement la recommandation des commissaires et s’engageait à atteindre les objectifs de réduction des émissions de GES. Il a précisé que les émissions de Transports Canada provenaient en grande partie de son parc, et non de ses bâtiments, et que son plan de mise en œuvre était donc unique. Il a déclaré que la feuille de route de TC continuerait d’évoluer et d’être mise à jour, et que des mécanismes seraient mis en place pour évaluer les risques et suivre les réductions d’émissions.

Dans son discours d’ouverture, le secrétaire du Conseil du Trésor, Graham Flack, a expliqué de quelle façon le gouvernement s’y prend pour rendre ses activités plus écologiques, avec un objectif de zéro émission nette de GES d’ici 2050 et un objectif intermédiaire de réduction de 40 % d’ici 2025 pour le parc conventionnel de véhicules et les installations fédérales. Il a également passé en revue le rôle de chef de file du Centre pour un gouvernement vert (CGV) au sein du SCT, en ce qui concerne la stratégie pour des bâtiments, des véhicules et un approvisionnement verts du gouvernement. Il s’agit notamment d’élaborer des plans de portefeuille immobilier à faible émission de carbone, de construire de nouveaux bâtiments à zéro émission, de rénover les bâtiments existants pour qu’ils soient efficaces sur le plan énergétique et à faible émission de carbone, d’inclure des facteurs environnementaux dans l’approvisionnement, d’acheter des véhicules hybrides ou sans émission et de l’électricité propre, et d’adopter des technologies propres, telles que des technologies de construction intelligentes, des carburants propres et de l’électricité renouvelable. Après avoir évoqué les grandes lignes du rapport des commissaires, le secrétaire a déclaré que le SCT était d’accord avec toutes les recommandations du rapport, à l’exception de la notion selon laquelle le SCT n’a pas développé d’approche pour le suivi des coûts et des économies. Il a expliqué au Comité que le CGV utilise des méthodes d’analyse du coût du cycle de vie et du coût total de possession pour informer les décideurs sur les options les plus rentables pour décarboner les opérations gouvernementales. Il a également indiqué que d’autres gouvernements nous ont contactés pour mettre en œuvre une méthode de calcul des coûts. Enfin, il a déclaré que le SCT ferait davantage pour communiquer l’approche rentable de la comptabilisation des coûts et des émissions aux parlementaires et aux Canadiens et aux Canadiennes.

Dans son allocution, le sous-ministre du MDN, Bill Matthews, a souligné la taille et l’ampleur de l’environnement opérationnel du MDN. Il a déclaré que le ministère faisait des progrès et atteignait des objectifs à court terme, mais qu’il restait encore beaucoup à faire pour atteindre les objectifs à long terme du gouvernement en matière d’émissions nettes zéro. Il a déclaré que le MDN avait accepté les recommandations du commissaire.

Après les déclarations préliminaires, le Comité a suspendu la réunion en raison de votes supplémentaires à la Chambre. Les témoins ont été libérés, mais devraient être rappelés pour être interrogés à une date ultérieure (à déterminer).

Le Comité se réunit à nouveau à huis clos sur les affaires du Comité après les votes de la Chambre.

Biographies des membres du Comité

John Williamson (Nouveau-Brunswick Sud-Ouest)
Conservateur
Président

Jean Yip (Scarborough – Agincourt)
Libéral
Première vice-présidente

Nathalie Sinclair-Desgagné (Terrebonne)
Bloc Québécois
Deuxième vice-présidente

Garnett Genuis (Sherwood Park-Fort Saskatchewan)
Conservateur

Michael Kram (Regina-Wascana)
Conservateur

Kelly McCauley (Edmonton Ouest)
Conservateur

Blake Desjarlais (Edmonton Greisbach)
NPD

Valerie Bradford (Kitchener-Sud – Hespeler)
Libéral

Han Dong (Don Valley North)
Libéral

Peter Fragiskatos (London North Centre)
Libéral
Secrétaire parlementaire du ministre du revenu national

Brenda Shanahan (Châteauguay-Lacolle)
Libéral

C. Audit du BVG sur la cybersécurité des renseignements personnels dans le nuage

Enjeu

En novembre 2022, il est prévu que la vérificatrice générale du Canada présentera quatre rapports sur le rendement des services et programmes du gouvernement à la Chambre des communes, dont l’un qui mise sur la cybersécurité des renseignements personnels dans le nuage.

Le Secrétariat du Conseil du Trésor du Canada (SCT) a élaboré une réponse en matière de gestion et un plan d’action, en collaboration avec le Centre de la sécurité des télécommunications (CST), Services publics et Approvisionnement Canada (SPAC) et Services partagés Canada (SPC), pour traiter les recommandations ayant été formulées dans le rapport.

Réponse

• La protection des renseignements des Canadiens est une priorité pour le GC.
• Le GC travaille en permanence à la gestion des risques de sécurité dans l’informatique en nuage et à l’amélioration de la cybersécurité afin de protéger les données et la vie privée des Canadiens.
• Le GC tient un rôle essentiel dans la protection des renseignements des Canadiens. Les renseignements hébergés dans les environnements des fournisseurs de services d’informatique en nuage (FSIN) ne font pas exception à la règle.
• Le gouvernement n’en est qu’à ses débuts dans l’adoption de l’informatique en nuage et s’attend à ce que les processus et les protocoles soient améliorés et affinés.
• Bien que le risque zéro n’existe pas en matière de cybermenaces, nous nous efforçons de mettre en place les niveaux de protection les plus élevés. Pour soutenir cet effort continu, nous accueillons les recommandations de la vérificatrice générale.
• Nous nous engageons à collaborer avec nos partenaires de Services publics et approvisionnement Canada, de Services partagés Canada et du Centre de la sécurité des télécommunications, afin de veiller à ce que les solides mesures de contrôle de la sécurité de l’informatique en nuage actuellement en place au Canada soient appliquées, documentées et suivies de manière cohérente.

Contexte

Le 15 novembre 2022, il est prévu que la vérificatrice générale du Canada présentera quatre rapports sur le rendement des services et programmes du gouvernement à la Chambre des communes, dont l’un qui mise sur la cybersécurité des renseignements personnels dans le nuage.

Rapport d’automne 2022 du Bureau du Vérificateur générale (BVG) sur l’audit de la cybersécurité des renseignements personnels dans le nuage

En 2016, le gouvernement a publié une stratégie sur l’adoption du nuage (Annexe A), qui demandait aux ministères de tenir compte tout d’abord du nuage en tant que première option pour la prestation de leurs services liés à la technologie de l’information. Cette stratégie a été mise à jour en 2018, et elle mettait en évidence l’avantage des fonctions de sécurité qu’offrent les fournisseurs de services d’informatique en nuage, et a procédé à la mise en œuvre d’un modèle de responsabilité partagée qui compte sur un nombre de partis qui travaillent ensemble pour protéger les renseignements personnels qui se trouvent dans le nuage.

L’objectif de l’audit du Bureau du Vérificateur générale (BVG) était de déterminer si le Centre de la Sécurité des télécommunications (CST), Services publics et Approvisionnement Canada (SPAC), le Secrétariat du Conseil du Trésor (SCT) et certains ministères sélectionnés possèdent en place un mécanisme de gouvernance, d’orientation et des outils pour protéger, détecter et réagir aux événements de cybersécurité qui affectent les renseignements personnels des Canadiens dans le nuage. Cet audit cherchait également à savoir si le gouvernement fédéral avait respecté ses engagements relativement à l’environnement et au développement durable dans la façon dont ils obtiennent des services d’informatique en nuage.

L’audit couvrait la période allant du 1er avril 2021 au 31 mars 2022. Pour ce qui est de la ligne qui traite de l’environnement et du développement durable de l’enquête, l’audit couvrait la période qui s’échelonne du 1er avril 2017 au 21 mars 2022.

Résumé des conclusions

Dans l’ensemble, voici ce que l’audit a décelé :

• Les ministères éprouvent certaines lacunes par rapport au contrôle de la prévention, de la détection et de la réaction aux cyberattaques du nuage.
• Les rôles et les responsabilités visant la cybersécurité du nuage étaient ambigus.
• Le SCT n’a pas fourni aux ministères un modèle d’établissement des coûts ou une approche de financement par rapport aux services d’informatique en nuage.
• SPAC et SPC n’ont pas inclus de critères environnementaux dans l’approvisionnement de leurs services d’informatique en nuage.

D. Calendrier des recommandations

Le rapport d’audit du BVG mentionne cinq recommandations clés :

Recommandation 1 : Clarifier le processus et les rôles et responsabilités en matière de validation et de suivi des mesures de protection et les appliquer aux solutions acquises de SPAC.

• Septembre 2022 – publication de la matrice des responsabilités en matière d’informatique en nuage (achevée).
• Décembre 2022 – clarification et application aux solutions acquises de SPAC.
• Janvier 2023 – mise à jour des mesures de protection, y compris SPAC.
• Février 2023 – établissement d’un rapport sur la carte de pointage.
• Avril 2023 – collaboration avec SPC sur l’automatisation.
• Continuer à fournir des conseils et des orientations sur les activités d’évaluation de la sécurité et d’autorisation de l’informatique en nuage.

Recommandation 2 : Veiller à ce que les rôles et responsabilités requis pour les mesures de sécurité soient clairement documentés et communiqués de manière proactive aux ministères.

• Septembre 2022 – publication de la matrice des responsabilités (achevée).
• Mars 2023 – achèvement de la révision de la matrice.
• Septembre 2023 – augmentation des communications proactives.
• Mars 2023 – mise à jour des cycles de révision à la collectivité.

Recommandation 3 : Veiller à la pertinence du plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC) et s’assurer qu’il est examiné et mis à l’essai chaque année et mis à jour au besoin. Veiller à ce que les ministères utilisent le PGEC GC.

• Automne 2022 – Mise à jour et publication du PGEC GC (achevée).
• Mars 2023 – Étude des options d’outils permettant aux ministères de faciliter les exercices de simulation basés sur l’informatique en nuage.
• Avril 2023 – Intégration d’une exigence pour les ministères de soumettre leur PGEC GC avec leur plan pour les services et le numérique.

Recommandation 4 : Élaborer et fournir un modèle de calcul des coûts et des outils pour faciliter la prise de décisions éclairées par les ministères sur le passage à l’informatique en nuage et pour déterminer les ressources et le financement nécessaires.

• Automne 2022 – recommandation au DPI du GC sur la voie à suivre (achevée).
• Juin 2023 – fourniture d’un modèle de calcul des coûts et d’orientations.
• Juin 2023 – soutien aux ministères et à SPC dans l’établissement des prévisions.

Recommandation 5 : SPAC et SPC devraient inclure des critères environnementaux dans leurs stratégies et leurs contrats d’achat de services d’informatique en nuage afin d’appuyer la durabilité dans les pratiques d’approvisionnement et de contribuer à la réalisation de l’objectif net zéro du Canada.

E. Plan d’action de la direction

Le SCT collabore avec le CST, SPC et SPAC pour mettre en œuvre les recommandations énoncées dans le rapport d’audit du BVG et a élaboré un plan d’action détaillé pour répondre aux recommandations en tenant compte des éléments suivants :

• Depuis mai 2021, l’une des mesures de sécurité du gouvernement fédéral, connu sous le nom de « mesures de protection du nuage », a été officialisée comme une exigence politique dans le cadre de la Directive sur les services et le numérique. Ces mesures de protection du nuage garantissent que les ministères et les organismes mettent en œuvre un ensemble préliminaire de mesures de contrôle fondamentales dans leurs environnements basés sur l’informatique en nuage. Alors qu’une approche manuelle a été mise en place pour valider que ces environnements ont effectivement appliqué les mesures de protection du nuage, SPC, en collaboration avec le SCT, met en œuvre une approche automatisée pour valider les mesures de protection du nuage en permanence.
• Le SCT a publié la version initiale des rôles et responsabilités du GC en matière d’informatique en nuage en décembre 2022. Le SCT collabore également avec SPC, le CSE et SPAC pour mettre à jour, publier et communiquer la matrice des responsabilités en matière d’informatique en nuage, qui aidera les ministères à clarifier les rôles, les responsabilités et les attentes lors de l’utilisation de services en nuage. Le Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC) fournit un cadre opérationnel pour la gestion des événements liés à la cybersécurité (y compris les cybermenaces, les vulnérabilités ou les incidents de sécurité) qui ont une incidence réelle ou potentielle sur la capacité du GC à offrir des programmes et des services aux Canadiens et aux Canadiennes. Une mise à jour du PGEC GC a été achevée et publiée en novembre 2022. Elle tient compte des enseignements tirés des exercices de simulation cybernétique ainsi que des incidents cybernétiques récents. Cette mise à jour tient également compte des fournisseurs tiers, y compris les fournisseurs de services en nuage, qui sont tenus de gérer les cyberévénements et d’en rendre compte conformément aux dispositions de leurs accords contractuels respectifs avec le GC.
• Le SCT élabore actuellement un modèle de calcul des coûts de l’informatique en nuage afin d’aider les ministères à prendre des décisions éclairées sur le passage à cette technologie.
• SPAC et SPC harmonisent également l’approche du GC en matière d’approvisionnement en nuage, afin d’inclure des clauses contractuelles standard et des conditions de durabilité pour les fournisseurs de services en nuages.
• Conformément à la Politique d’achats écologiques, SPC intègre des considérations de rendement environnemental liées aux objectifs de réduction des gaz à effet de serre dans les appels d’offres concurrentiels au titre de l’accord-cadre de l’informatique en nuage du GC et travaille avec le SCT et SPAC pour établir la norme relative à la divulgation des émissions de gaz à effet de serre et à la fixation d’objectifs de réduction.

Plan d’action détaillé du Secrétariat du conseil du trésor du Canada

F. Rôles et responsabilités

Le résumé des rôles et responsabilités pour l’informatique en nuage est le suivant :

Secrétariat du Conseil du Trésor du Canada

Le secrétariat fournit des politiques et des orientations sur les services en nuage, telles que celles contenues dans la Stratégie d’adoption de l’informatique en nuage du gouvernement du Canada. Il coordonne également les mesures de cybersécurité prises à l’échelle du gouvernement en cas d’incident, conformément au Plan de gestion des événements de cybersécurité du gouvernement du Canada.

Services partagés Canada

En tant que fournisseur de services communs au gouvernement, ce ministère permet aux autres ministères fédéraux d’accéder à des fournisseurs de services en nuage approuvés par l’entremise de contrats qu’il administre. Il gère et surveille également la plupart des serveurs informatiques et des centres de données du gouvernement du Canada et garantit un accès sécurisé au nuage.

Services publics et approvisionnement Canada

En tant que fournisseur de services communs au gouvernement, ce ministère établit des accords d’approvisionnement avec des fournisseurs de services en nuage préqualifiés pour permettre à d’autres ministères d’obtenir les services logiciels qu’ils offrent. Dans certains cas, les ministères peuvent se procurer ces services directement auprès de ces fournisseurs ou d’autres. Pour les contrats qui dépassent certains seuils financiers, Services publics et approvisionnement Canada établit et administre le contrat pour le compte d’un ministère. Il évalue également les mesures de sécurité physique des fournisseurs de services en nuage et de leur personnel.

Centre de la sécurité des télécommunications Canada

Dans le cadre de cette organisme, le Centre canadien pour la cybersécurité fournit aux Canadiens et aux Canadiennes des conseils, des orientations, des services et un soutien en matière de cybersécurité. Il s’agit notamment d’évaluer la sécurité des fournisseurs de services en nuage que Services partagés Canada et Services publics et approvisionnement Canada ont défini pour certains de leurs processus d’approvisionnement en nuage. Il surveille également la sécurité du nuage et des réseaux ministériels et offre des formations, des conseils et des orientations sur la sécurité en nuage. Il appuie les organisations fédérales à mettre en place des infrastructures numériques sécurisées.

Ministères individuels

Les ministères (organisations fédérales) mettent en œuvre leurs propres mesures de sécurité et surveillent les données et l’activité des utilisateurs sur leurs propres applications logicielles. Enfin, ils sont responsables des risques de sécurité liés à leur utilisation des services en nuage. Les ministères sont tenus de partager des informations sur les atteintes à la vie privée avec le Secrétariat du Conseil du Trésor du Canada et le Commissariat à la protection de la vie privée du Canada.

G. Mesures de protection du nuage du GC

Mesures de protection du nuage – s’applique à six types de profils. Le tableau ci-dessous résume les mesures de protection du nuage à mettre en œuvre lors de la phase initiale :

1. Protéger le compte racine/global de l’administrateur : Protéger le compte racine ou maître utilisé pour établir le service en nuage.

Principales considérations

• Mettre en œuvre un mécanisme d’authentification multifacteurs (AMF) pour le compte racine ou maître.
• Documenter une procédure de gestion des comptes d’accès d’urgence. Inclure les noms des utilisateurs ayant accès au compte racine ou maître.
• Obtenir la signature de la dirigeante principale de l’information (DPI) et du dirigeant principal de la sécurité (DPS) du ministère pour confirmer la reconnaissance et l’approbation des procédures de gestion des comptes d’accès d’urgence.
• Mettre en œuvre un mécanisme d’application des autorisations d’accès.
• Configurer des alertes appropriées sur les comptes racines ou maîtres afin de détecter une compromission potentielle, conformément aux lignes directrices du Guide sur la consignation d’événements du GC.

2. Gestion des privilèges administratifs : Établir des politiques et des procédures de contrôle d’accès pour la gestion des privilèges administratifs.

Principales considérations

• Documenter un processus de gestion des comptes, des privilèges d’accès et des références d’accès pour les utilisateurs organisationnels, les utilisateurs non organisationnels (si nécessaire) et les processus basés sur les principes du partage des tâches et du moindre privilège (par exemple, les procédures opérationnelles et l’annuaire actif).
• Mettre en œuvre un mécanisme d’application des autorisations d’accès.
• Mettre en œuvre un mécanisme d’identification et d’authentification unique des utilisateurs organisationnels, des utilisateurs non organisationnels (le cas échéant) et des processus (par exemple, nom d’utilisateur et mot de passe).
• Mettre en œuvre un mécanisme d’authentification multifacteurs pour les comptes privilégiés (par exemple, nom d’utilisateur, mot de passe et mot de passe à usage unique) et pour les interfaces externes.
• Modifier les mots de passe par défaut.
• S’assurer qu’aucun rôle de propriétaire d’abonnement personnalisé n’est créé.
• Configurer la politique en matière de mots de passe conformément à l’orientation sur les mots de passe du GC.
• Réduire au minimum le nombre d’utilisateurs invités; n’en ajouter que si nécessaire.
• Déterminer les restrictions d’accès et les exigences de configuration pour les dispositifs de points d’extrémité émis par le GC, y compris celles des utilisateurs privilégiés et non privilégiés, et configurer les restrictions d’accès en conséquence. Remarque : Certains fournisseurs de services peuvent proposer des options de configuration pour restreindre l’accès aux dispositifs de points d’extrémité. Il est également possible de mettre en œuvre une politique organisationnelle et des instruments de procédure pour restreindre l’accès.

3. Objectif d’accès à la console de l’informatique en nuage – Limiter l’accès aux appareils gérés par le GC et aux utilisateurs autorisés.

Principales considérations

• Mettre en œuvre un mécanisme d’authentification multifacteurs pour les comptes privilégiés et l’accès au réseau à distance (nuage).
• Déterminer les restrictions d’accès et les exigences de configuration pour les dispositifs gérés par le GC, y compris celles des utilisateurs privilégiés et non privilégiés, et configurer les restrictions d’accès en conséquence.
• Remarque : Certains fournisseurs de services peuvent proposer des options de configuration pour restreindre l’accès aux dispositifs de points d’extrémité. Il est également possible de mettre en œuvre une politique organisationnelle et des instruments de procédure pour restreindre l’accès.
• Veiller à ce que les actions administratives soient effectuées par des utilisateurs autorisés selon une procédure approuvée par le dirigeant principal de la sécurité (DPS) (ou son délégué) et le responsable désigné pour la cybersécurité. Ce processus doit intégrer l’utilisation de dispositifs de confiance et une politique de contrôle d’accès conditionnel basée sur les risques, avec une consignation et une surveillance appropriées.
• Mettre en œuvre un mécanisme d’application des autorisations d’accès.
• Mettre en œuvre des mécanismes de protection des mots de passe afin de se prémunir contre les attaques exhaustives.

4. Comptes de surveillance organisationnelle : Créer un compte basé sur les rôles pour permettre la surveillance et la visibilité de l’organisation.

Principales considérations

• Attribuer des rôles aux parties prenantes du GC approuvées pour permettre la visibilité de l’organisation. Les rôles comprennent le lecteur de facturation, le contributeur ou lecteur de politiques, le lecteur de sécurité et le lecteur général.
• Assurez-vous que le mécanisme d’authentification multifacteurs pour les comptes de surveillance organisationnelle est activé.

5. Emplacement des données : Établir des politiques visant à restreindre les charges de travail sensibles pour le GC à des emplacements géographiques approuvés.

Principales considérations

• Conformément à la Directive sur les services et le numérique, il faut « Veiller à ce que les installations informatiques situées à l’intérieur des frontières géographiques du Canada ou dans des locaux à l’étranger appartenant à un ministère du gouvernement du Canada, telles qu’une mission diplomatique ou consulaire, soient considérées et évaluées en tant qu’option principale pour la prestation de services impliquant toute l’information et toutes les données électroniques délicates sous le contrôle du gouvernement qui est classée Protégé B, C ou Classifié ».

6. Protection des données inactives : Protéger les données inactives par défaut (p. ex., le stockage) pour les charges de travail basées sur l’informatique en nuage.

Principales considérations

• Demander conseil aux responsables de la protection des renseignements personnels et de l’accès à l’information au sein des institutions avant de stocker des données personnelles dans des environnements basés en nuage.
• Mettre en œuvre un mécanisme de cryptage pour protéger la confidentialité et l’intégrité des données lorsqu’elles sont inactives dans le système de stockage de votre solution.
• Utiliser des algorithmes et des protocoles cryptographiques approuvés par le CST, conformément aux articles 40 111 et 40 062.
• Mettre en œuvre des procédures de gestion des clés.

7. Protection des données en transit : Protéger les données transitant par les réseaux en utilisant un cryptage approprié et des mesures de protection du réseau.

Principales considérations

• Mettre en œuvre un mécanisme de cryptage pour protéger la confidentialité et l’intégrité des données lorsqu’elles sont en transit vers et depuis votre solution.
• Utiliser des algorithmes et des protocoles cryptographiques approuvés par le CST.
• Établir un cryptage des données en transit par défaut (p. ex., TLS v1.2, etc.) pour tous les sites accessibles au public et les communications externes, conformément à la Directive sur la mise en œuvre de HTTPS pour les connexions Web sécurisées (ITPIN 2018-01).
• Établir un cryptage de tous les accès aux services en nuage (p. ex., stockage en nuage, systèmes de gestion des clés, etc.).
• Envisager le cryptage pour les communications de la zone interne dans l’informatique en nuage en fonction du profil de risque et conformément aux lignes directrices sur le zonage de la sécurité des réseaux du CCC (ITSG-22 et ITSG-38).
• Mettre en œuvre des procédures de gestion des clés.

8. Segmenter et séparer : Segmenter et séparer l’information en fonction de sa sensibilité.

Principales considérations

• Élaborer une conception cible de la sécurité du réseau qui tienne compte de la segmentation par l’entremise de zones de sécurité du réseau, conformément aux lignes directrices ITSG-22 et ITSG-38.
• Mettre en œuvre des niveaux de protection accrus pour les interfaces de gestion.

9. Services de sécurité des réseaux : Établir des périmètres de réseau externes et internes et surveiller le trafic sur le réseau.

Principales considérations

• Veiller à ce que les points de sortie et d’entrée des environnements du GC basés sur l’informatique en nuage soient gérés et surveillés. Utiliser des services de sécurité des réseaux centralisés lorsqu’ils sont disponibles.
• Mettre en œuvre des mécanismes de protection des limites du réseau pour toutes les interfaces externes qui appliquent une politique de refus par défaut ou d’autorisation par exception.
• Les services de sécurité du périmètre, tels que la protection des frontières, les services de prévention des intrusions, les services proxy, l’inspection du protocole TLS, etc. doivent être activés en fonction du profil de risque, conformément aux exigences du GC en matière de connectivité sécurisée et aux lignes directrices ITSG-22 et ITSG-38.
• Veiller à ce que l’accès aux services de stockage en nuage soit protégé et limité aux utilisateurs et services autorisés.

10. Services de cyberdéfense : Établir un protocole d’entente (PE) pour les services défensifs et les services de protection contre les menaces.

Principales considérations

• Signer un PE avec le CCC.
• Mettre en œuvre des services de cyberdéfense lorsqu’ils sont disponibles.

11. Consolidation et surveillance : Permettre la consolidation pour l’environnement en nuage et pour les charges de travail basées sur le nuage.

Principales considérations

• Mettre en œuvre un niveau adéquat de consolidation et d’établissement de rapports, y compris une fonction de journal d’audit de sécurité dans tous les systèmes d’information.
• Répertorier les événements de la solution qui doivent faire l’objet d’un audit conformément à la procédure de consignation d’événements du GC.

Remarque : Il se peut que vous deviez configurer votre solution pour qu’elle envoie les enregistrements du journal d’audit à une installation de consolidation centralisée, le cas échéant, où les mécanismes d’audit existants seront appliqués.

• Configurer les alertes et les notifications pour qu’elles soient envoyées à la personne-ressource ou à l’équipe appropriée au sein de l’organisation.
• Configurer ou utiliser une source temporelle faisant autorité pour l’horodatage des enregistrements d’audit générés par les composants de votre solution.
• Surveiller en permanence les événements et le rendement du système.

12. Configuration du marché infonuagique : Restreindre le logiciel du marché des FSIN tiers aux produits approuvés par le GC.

Principales considérations

• Seuls les produits du marché infonuagique approuvés par le GC doivent être consommés. Il est interdit d’activer le marché commercial.
• Soumettre les demandes d’ajout de produits tiers sur le marché aux services de courtage infonuagique de SPC.

Le champ d’application des mesures de protection du nuage est basé sur les profils d’utilisation de l’informatique en nuage.

H. Quels sont les ministères concernés par la Politique

L’obligation de respecter les mesures de protection du nuage du GC est intégrée dans la Directive sur les services et le numérique.

• Les organisations qui doivent se conformer à la Politique sont les ministères du gouvernement du Canada, tels que définis à l’annexe I, I.1 et II de la LGFP.
• Nous recommandons à d’autres, comme les organismes, de s’y conformer également. Par exemple, bien que l’Agence du revenu du Canada (ARC) ne soit pas régie par la Directive sur les services et le numérique, nous surveillons son statut face aux mesures de protection du nuage du GC.
• Pour les sociétés d’État, nous ne formulons aucune recommandation.

I. Consommation du nuage au GC

Les 10 premiers de l’exercice financier de 2022-23 à ce jour :

Nom du compte	Utilisation totale
Statistique Canada	1 938 302 $
Centre de la sécurité des télécommunications Canada	1 404 305 $
Emploi et développement social Canada	1 194 125 $
Gendarmerie royale du Canada	1 106 179 $
Santé Canada	913 122 $
Défense nationale (ministère de la)	572 368 $
Agence des services frontaliers du Canada	453 470 $
Immigration, Réfugiés et Citoyenneté Canada	444 675 $
Services partagés Canada	400 833 $
Secrétariat du Conseil du Trésor du Canada	388 312 $
Total	8 815 691 $

Dépenses des fournisseurs de services d’informatique en nuage (FSIN) :

FSI	AWS	Google	IBM	Microsoft	Oracle	Salesforce	ServiceNow	ThinkOn	Total
Trimestres fiscaux – Exercice financier	Utilisation totale
EF 2019-20	95 000 $	0 $	0 $	1,3 M$	0 $	0 $	0 $	0 $	1,4 M$
EF 2020-21	5,2 M$	48 000 $	64 000 $	30 M$	1 000 $	12 M$	343 000 $	15 000 $	48 M$
EF 2021-22	18,5 M$	1 M$	1,3 M$	66 M$	101 000 $	16 M$	728 000 $	383 000 $	104 M$
EF 2022-23	18,6 M$	1,8 M$	0 $	72 M$	110 000 $	7,5 M$	1,4 M$	289 000 $	101 M$
Total	42 M$	2,9 M$	1,4 M$	169 M$	211 000 $	35,6 M$	2,4 M$	688 000 $	255 M$

J. Modernisation des applications

Enjeu

Les programmes et les services du gouvernement sont pris en charge par des systèmes et des applications de la TI obsolètes et vieillissants, ce qui expose le gouvernement à des risques de défaillance des systèmes et de cyberattaques, qui ont une incidence directe sur la capacité à fournir des services aux Canadiens et aux Canadiennes.

Faits importants

• Les services numériques offerts aux Canadiens et aux Canadiennes reposent sur les applications et l’infrastructure sur lesquelles ils s’appuient.
• À l’heure actuelle, l’état général de ces technologies est vieillissant et obsolète, puisque seulement 37,5 % des applications du gouvernement du Canada (GC) sont considérées comme saines.
• Bon nombre de ces applications et des données qui y sont associées restent hébergées dans d’anciens centres de données qui, bien que pris en charge par le programme de réparation et de remplacement de la technologie de l’information (TI) de Services partagés Canada (SPC), présentent des risques accrus d’interruption de service, de perte de données et de vulnérabilités en matière de sécurité.
• SPC, en collaboration avec le Bureau de la dirigeante principale de l’information du Secrétariat du Conseil du Trésor (SCT-BDPI), appuie le déplacement et la modernisation de ces applications obsolètes et critiques du GC vers des environnements plus sûrs et plus modernes, vers l’informatique en nuage ou vers un Centre de données intégrées (CDI) plus récent.
• En adoptant l’informatique en nuage, le GC est mieux à même d’appuyer une main-d’œuvre qui maîtrise le numérique et des services numériques pour les Canadiens et les Canadiennes.
• L’adoption de l’informatique en nuage offre de grandes possibilités pour mieux servir les Canadiens et les Canadiennes, grâce à l’agilité, l’élasticité, l’amélioration des niveaux de service et le renforcement de la sécurité.
• L’adoption de l’informatique en nuage permet de fournir rapidement des ressources informatiques sécurisées, qui peuvent s’étendre et se réduire en fonction de la demande, ce qui permet de disposer en temps voulu de systèmes de la TI fondamentaux modernes et sécurisés qui amélioreront la prestation de services aux Canadiens et aux Canadiennes.

Réponse

• Une attention soutenue est nécessaire pour garantir la prestation continue de services numériques sûrs et fiables aux Canadiens et aux Canadiennes.
• Étant donné que l’état technique du portefeuille d’applications du GC continue de se détériorer, les investissements prioritaires doivent cibler les applications qui reposent sur de la technologie de l’information vieillissante et une infrastructure obsolète.
• Le GF jette les bases numériques d’une prestation de services de pointe aux Canadiens et aux Canadiennes en adoptant des technologies en nuage et en modernisant les systèmes de la TI ainsi que l’infrastructure et les réseaux de la TI sur lesquels ils s’appuient.
• Le SCT offre aux ministères et aux organismes des incitations financières pour acquérir l’expertise nécessaire afin d’accélérer la préparation des ministères à la modernisation de leurs applications.
• Grâce à des investissements soutenus dans l’infrastructure de la technologie de l’information et dans les applications elles-mêmes, ainsi qu’à une hiérarchisation des systèmes à risque, on s’attend à ce que l’état de santé et la sécurité de l’ensemble des applications du GC continuent de s’améliorer.
• Au cours des six dernières années, la mesure de la santé globale du portefeuille d’applications est passée de 28 % à 37,5 %, ce qui constitue un progrès, mais le GC doit poursuivre cette tendance.
• Depuis d’octobre 2022 :
  • 1 417 applications ont été modernisées et rationalisées;
  • 793 applications ont été transférées vers l’informatique en nuage (35 % de l’objectif);
  • 287 applications ont été transférées vers des centres de données intégrées (CDI) (19 % de l’objectif);
  • 337 applications ont été retirées (69 % de l’objectif).

Contexte

Le Fonds d’investissement pour la modernisation des applications (AppMod) appuie les priorités de la présidente du Conseil du Trésor, telles qu’elles sont décrites dans sa lettre de mandat : « Continuer à exercer un leadership pour mettre à jour et remplacer les systèmes de la TI désuets et moderniser la façon dont le gouvernement fournit des prestations et des services aux Canadiens et aux Canadiennes ». De plus, le programme AppMod améliore les services gouvernementaux pour les Canadiens et les Canadiennes aide le gouvernement du Canada à supprimer les défaillances des systèmes et les retards observés au plus fort de la pandémie, comme l’a souligné le groupe de travail du premier ministre sur cette question. Le programme y parvient en déplaçant les applications vers des environnements intégrés et en nuage modernes, qui exploitent des technologies de niveau industriel, des mesures de sécurité et une efficience d’échelle, réduisant ainsi les menaces de cybersécurité et diminuant et prévenant l’endettement technique.

Un portefeuille d’applications sécurisées, fiables et résilientes du GC permet d’offrir des services numériques qui favorisent la prospérité économique et la bonne gouvernance pour les Canadiens et les Canadiennes, et fait progresser l’Ambition numérique adoptée par le gouvernement du Canada en août dernier.

Les programmes de modernisation des applications (AppMod) et de migration de la charge de travail ont débuté en 2018 afin d’atteindre le même objectif commun, qui consiste à fermer les centres de données existants et déplacer les applications vers le nuage ou le centre de données intégrées. Bien qu’ils visent tous deux à améliorer la santé et la sécurité des applications et services professionnels, il s’agit de deux programmes distincts. Le fonds AppMod incite les ministères et les organismes à évaluer de manière proactive la valeur commerciale et le risque technique de leurs applications. Il promeut une approche de triage en allouant des fonds aux ministères et organismes sur une base prioritaire, afin de s’assurer que les systèmes obsolètes (dette de la TI ou technique vieillissante) sont traités, aidant ainsi les ministères dans leur stratégie de modernisation, de migration ou de mise hors service.

De façon générale, les principaux objectifs du programme AppMod sont les suivants :

• Accorder la priorité au financement pour traiter et gérer de manière proactive les technologies à risque et la dette technique du GC.
• Promouvoir et encourager l’informatique en nuage en tant qu’option viable pour la prestation de services numériques.
• Veiller à la modernisation des systèmes numériques du GC.
• Améliorer le cadre d’établissement des priorités afin d’appuyer la stratégie de modernisation appropriée du ministère.
• Rationaliser les processus de gouvernance pour les harmoniser avec les priorités gouvernementales approuvées par le Comité sur les priorités et la planification intégrées des sous-ministres (CPPI des SM) afin d’améliorer l’établissement de rapports sur les projets, depuis leur réalisation jusqu’à la performance d’utilisation.

Le programme AppMod a reçu 110 millions de dollars en 2018 et 51,2 millions de dollars supplémentaires en 2022. Au 31 janvier 2023, le SCT a déboursé la totalité des 110 millions de dollars du Budget de 2018 à 18 ministères partenaires de SPC afin d’appuyer les efforts de migration et de modernisation des applications. 9,1 millions de dollars du Budget de 2022 ont également été alloués et seront déboursés d’ici la fin de l’exercice financier en cours. Le processus d’admission pour distribuer les fonds pour l’exercice financier de 2023-2024 est déjà en cours.

Les activités de migration et de modernisation renforceront la santé globale du portefeuille d’applications du GC, augmenteront la valeur commerciale des services numériques, réduiront les menaces de cybersécurité et élimineront la dette technique.

Analyse de l’environnement public

Une analyse de l’environnement menée du 1^er décembre 2022 à aujourd’hui (7 février 2023) sur les articles liés à la cybersécurité et le gouvernement fédéral ont obtenu un total de 12 résultats notables; 10 articles en anglais et 4 en français. Le ton des articles est généralement neutre.

L’espionnage et l’ingérence étrangère dépassent le terrorisme en tant que principales menaces à la sécurité du Canada, selon le Service canadien du renseignement de sécurité (SCRS)

Un comité de la Chambre des communes enquêtant sur de prétendus « postes de police » du gouvernement chinois au Canada a appris lundi soir que le terrorisme n’était plus la principale préoccupation des services de renseignement du Canada. « Les menaces qui pèsent sur le Canada proviennent maintenant de l’espionnage et de l’ingérence étrangère », selon le directeur général des évaluations du renseignement au…

Kevin Dougherty – iPolitique – 2023-02-07

Incursion dans la plus grande équipe de cybersécurité de Google au Canada

Dans les bureaux montréalais de la deuxième équipe de cybersécurité en importance de Google au monde, on est loin du fantasme médiatique du pirate informatique à capuche recroquevillé sur son ordinateur dans un sous-sol sombre. C’est plutôt dans un espace de travail ouvert du dixième étage d’un gratte-ciel en plein…

Stéphanie Dupuis – Radio-Canada.ca : Grands titres – 2023-02-07 5 h (EST)

Cela pourrait être la pire année jamais enregistrée pour les attaques de rançongiciels; des experts…

NATIONAL POST.COM | CANADIAN POLITICS - RYAN TUMILTY - 2023-02-01

• Ryan Tumilty a écrit que le gouvernement devrait s’attendre à davantage d’attaques de cybercriminels. Il a également indiqué que le cybercentre a publié un rapport annuel détaillé sur les menaces et a conclu que les rançongiciels étaient les menaces les plus susceptibles d’avoir des répercussions sur le Canada. Le responsable du Centre canadien pour la cybersécurité affirme dans cet article que le gouvernement fédéral canadien est adéquatement protégé contre les cyberattaques.

La menace des rançongiciels est bien réelle. Alors pourquoi les Canadiens se menottent-ils?;…

GLOBE AND MAIL .COM | OTHER - JOE MASOODI - 2023-01-28

• Dans cet article, l’analyste principal politique Joe Masoodi explique que nous devrions parler ouvertement des attaques des cybercriminels, des rançongiciels, de la protection des données, etc. Selon Joe Masoodi, le gouvernement canadien a répondu partiellement à ces préoccupations en matière de cybersécurité avec le projet de loi sur la cybersécurité, le projet de loi C-26. Cependant, il faut en faire davantage.

Le Service de renseignements appelle à un « état de vigilance accru » contre les piratages associés à la Russie

CBC.CA : POLITICS | POLITICS - CATHARINE TUNNEY - 2023-01-26

• L’agence qui supervise la cybersécurité pour le gouvernement fédéral a appelé jeudi à un « état de vigilance accrue » contre la menace de cyberattaques de représailles de la part de pirates informatiques associés à la Russie – quelques heures seulement après qu’Ottawa a promis de donner à l’Ukraine quatre chars de combat principaux Leopard 2 A4.

Le Canada augmente sa vigilance face aux cyberattaques de pirates prorusses

RADIO-CANADA.CA : GRANDS TITRES | EUROPE – 2023-01-26

• Le journal explique que le Centre canadien pour la cybersécurité a fait un appel à la vigilance de la communauté canadienne de la cybersécurité, en particulier aux défenseurs des infrastructures critiques et des réseaux de l’industrie de la défense.

Le PDG de l’agence fédérale de cybersécurité met en garde contre TikTok

RADIO-CANADA.CA : GRANDS TITRES | POLITIQUE FÉDÉRALE – 2023-01-22

• Dans cet article, Evan Koronewski, le porte-parole du Centre de la sécurité des télécommunications, affirme que le Centre travaille en collaboration avec des partenaires fédéraux du Secrétariat du Conseil du Trésor et de Services partagés Canada pour s’assurer que les systèmes d’information et les réseaux du gouvernement sécurisés et protégés.

Les décisionnaires politiques doivent reconnaître et réglementer l’infrastructure numérique

La direction de Twitter par Elon Musk a été chaotique. Au cours des derniers mois, il a licencié la moitié du personnel de vente et d’ingénierie, amplifié les théories du complot, accueilli à nouveau des personnalités de droite interdites et présidé à l’exode de nombreux annonceurs de premier plan de l’entreprise, qui perçoivent désormais Twitter comme dangereux pour…

Hill Times – 2023-01-18

• Dans cet article, Natasha Tusikov, professeure de criminologie au département des sciences sociales de l’Université York, affirme que l’infrastructure numérique critique doit être stable et fiable étant donné notre dépendance économique, sociale et politique aux services numériques.

Mendicino est prêt à travailler avec les députés pour « améliorer » le projet de loi sur la cybersécurité qui est très critiqué

Veuillez noter que ce contenu ne fait pas partie du Programme d’autorisation pour les médias protégés par les droits d’auteur. Pour lire l’article, cliquez sur le lien externe ci-dessous pour visiter le site Web. / Please note this content is not part of the Copyright Media Clearance Program. Pour lire l’article…

CTV News – 2023-01-10

• Le journaliste Jim Bronskill a écrit au sujet de l’intention du gouvernement fédéral d’établir un cadre afin de mieux protéger les systèmes vitaux pour la sécurité et donner aux autorités de nouveaux outils pour répondre aux menaces émergentes dans le cyberespace.

ESPIONNAGE : LE CANADA EN RETARD SUR SES ALLIÉS

Le Canada n’est pas prêt, tant stratégiquement que technologiquement, à faire face aux nouvelles menaces mondiales en matière de sécurité nationale, selon plusieurs experts. PENDANT QUE LES ÉTATS-UNIS, LE ROYAUME-UNI ET LA NOUVELLE-ZÉLANDE S’ACTIVENT, NOTRE PAYS « N’AGIT PAS » Au printemps dernier, un groupe de travail de l’Université d’Ottawa regroupant les experts…

JOURNAL DE QUÉBEC – 2023-01-07

• L’article du Journal de Québec adresse le fait que le Canada ne soit pas prêt au niveau stratégique et technologique, à faire face aux nouvelles menaces mondiales en matière de cybersécurité nationale. On y mentionne également que les dangers qui guettent le Canada sont nombreux et imprévisibles selon le directeur du Service canadien du renseignement, David Vigneault.

L’agence d’espionnage électronique du Canada surveille TikTok « très attentivement », déclare Trudeau

… Le Service canadien du renseignement de sécurité (SCRS) est l’une des meilleures agences de cybersécurité au monde et ils surveillent très attentivement. » REGARDER | Le SCRS surveille « attentivement » les médias sociaux à la recherche de menaces étrangères, Trudeau déclare que les États-Unis ont décidé d’interdire TikTok – Le sénateur républicain Marco Rubio a annoncé mardi une législation bipartite visant à interdire l’application, qui atteint plus…

CBC.CA - BEN ANDREWS – 2022-12-15

• Ben Andrews a publié un article au sujet du gouvernement fédéral surveillant les menaces de la populaire application de médias sociaux chinoise Tik Tok et tout autre danger de cybersécurité pour d’autres comptes gouvernementaux tels que Twitter.

La violation de données du système de réservation de vaccins de l’Ontario touche des centaines de milliers de personnes, la province…

… La déclaration indique que le système de réservation de vaccins est « régulièrement surveillé et testé » par le biais des protocoles de cybersécurité du ministère de la Santé, et que la province est « convaincue » que le système demeure un outil sécurisé. Photo : Le ministère affirme avoir travaillé avec le ministère de la Santé, la police et la commissaire à l’information et à la protection de la vie privée de l’Ontario…

CBC.CA – 2022-12-09

• Cet article parlait de milliers de renseignements personnels d’Ontariens qui pourraient avoir été compromis lors d’une violation de données du système de gestion des vaccins de l’Ontario. Néanmoins, le gouvernement provincial affirme que son système de réservation de vaccins demeure un outil sécuritaire.

La LCBO confirme l’attaque d’un logiciel malveillant visant à voler les renseignements personnels des clients en ligne

… La LCBO n’est que l’une des nombreuses agences gouvernementales confrontées à des problèmes technologiques cette semaine. En décembre, une attaque de rançongiciel a arrêté les systèmes réseau de l’hôpital SickKids et a mis des semaines à se restaurer complètement. Mardi, le University Health Network de Toronto a connu une panne de « code gris » de ses systèmes informatiques. Comme…

TORONTO STAR.COM - SANTIAGO ARIAS OROZCO – 2023-01-12

• Santiago Arias Orozco a écrit au sujet de la récente cyberattaque sur les sites Web de la LCBO. Un code malveillant a été intégré à leur site Web pour obtenir des renseignements personnels sur les clients de la LCBO, comme des adresses et des numéros de carte de crédit.

Amnistie internationale Canada frappée par une cyberattaque depuis la Chine, selon des enquêteurs

La branche canadienne d’Amnistie internationale a été la cible d’une faille sophistiquée dans la cybersécurité cet automne – des enquêteurs médico-légaux pensent que l’attaque a pris naissance en Chine avec la bénédiction du gouvernement de Pékin. L’intrusion a été détectée pour la première fois le 5 octobre, a annoncé lundi le groupe de défense des droits de l’homme. L’attaque a révélé que…

CBC.CA : POLITICS - MURRAY BREWSTER - 2022-12-05

• Murray Brewster a écrit au sujet d’une cyberattaque sophistiquée qui est arrivée à la branche canadienne d’Amnistie internationale. Il a écrit que l’attaque semblait être le travail de ce que l’on appelle un groupe avancé de menace persistante selon la compagnie de cybersécurité. Le but de l’attaque semblait être de tenter d’obtenir une liste des contacts d’Amnesty et de surveiller ses plans.

Analyse des médias sociaux

• Entre le 1^er décembre 2022 et aujourd’hui (19 janvier 2023), le nombre total d’impressions sur Twitter (le nombre total de fois qu’un tweet a été vu) était de 28 millions, pour 99 mentions par 26 utilisateurs (sans compter les gazouillis cités ou les gazouillis republiés). 69 % des 99 mentions étaient des gazouillis originaux tandis que 29,8 % étaient des gazouillis republiés (5,1 % étaient des réponses et 2 % étaient des gazouillis cités). Le sentiment était généralement négatif, 57 % des utilisateurs signalant des cyberattaques, des maliciels et des rançongiciels.
• Le mot-clic le plus utilisé était #cybersecurity (17 mentions). Parmi les autres mots-clics les plus populaires, citons #ransomwhere (16 mentions), #cybersecuritytoday (10 mentions) et #getcybersafe (8 mentions).
• Les meilleurs gazouillis étaient les suivants :

Description de l’image

10 icônes rondes bleues reliées par une fine ligne rouge dans un rectangle représentant les différents secteurs d’infrastructures critiques :

• Énergie et services publics
• Finances
• Alimentation
• Santé
• Gouvernement
• Sécurité d’eau
• Transports
• Technologies de l’information et des communications
• Fabrication]

Description de l’image

Un ordinateur portable ouvert fait face à la droite avec un nuage au centre de l’image. Le nuage est entouré de cercles concentriques et d’icônes représentant l’emplacement, les renseignements de contact, le téléchargement, la calculatrice, la carte de crédit, les ordinateurs de bureau et les appareils mobiles.

Description de l’image

Sur la moitié gauche, sur un fond bleu marine, se trouvent les titres « Centre canadien pour la cybersécurité » et « Évaluation nationale des cybermenaces ». Sur la moitié droite, sur un fond blanc se trouve un cercle divisé en diagonale avec des images du drapeau canadien et du code de programmation. Le centre du cercle indique les années 2023 et 2024.

Description de l’image

Fond bleu clair avec un écran d’ordinateur bleu foncé sur une surface plane. L’ombre d’un individu encapuchonné semble sortir de l’écran.

Appels aux médias récents et réponses

Comité permanent des comptes publics de la Chambre des communes – Audit automnal du BVG intitulé : Rapport 7, La cybersécurité des renseignements personnels dans le nuage.

Février 2023

En prévision de la réunion du comité PACP, la présente trousse renferme les questions récentes des médias et leurs réponses, ainsi que d’autres questions et réponses pertinentes.

Questions et réponses

Le nuage

Q1. La vérificatrice générale a récemment constaté que le gouvernement ne protège pas les renseignements personnels des Canadiens et des Canadiennes stockés dans le nuage. Comment avez‑vous pu laisser se produire ces graves lacunes en matière de sécurité et pourquoi n’avez-vous pas informé les Canadiens et les Canadiennes que leurs renseignements étaient en danger?

Le rapport du BVG n’indique pas que les renseignements personnels des Canadiens et des Canadiennes ont été compromis ou qu’il y a eu des failles de sécurité en ce qui concerne les renseignements personnels.

Le risque zéro n’existe pas en matière de cybermenaces, mais nous veillons, avec nos partenaires, à ce que les mesures de protection les plus rigoureuses soient mises en place. Afin d’appuyer cet effort continu, nous accueillons favorablement les recommandations de la vérificatrice générale.

Les fonctionnaires du SCT ont contacté leurs homologues pour rappeler aux organisations leurs responsabilités en matière de protection et de sécurité des renseignements dans le nuage.

Q2. En quoi consistent les mesures prises par le gouvernement pour donner suite aux recommandations du BVG?

Le SCT collabore avec le CST, avec SPC et avec SPAC pour mettre en œuvre les recommandations énoncées dans le rapport du BVG et a élaboré un plan d’action détaillé pour donner suite à ces recommandations. Le 20 décembre 2002, le SCT publiait la version initiale des rôles et responsabilités du GC en ce qui concerne le nuage public. Le SCT collabore également avec le CST, avec SPC et avec SPAC en vue de la mise à jour, de la publication et de la diffusion d’une liste des responsabilités en ce qui concerne le nuage public, ce qui aidera les ministères à clarifier les rôles, responsabilités et attentes en vue de l’utilisation des services d’informatique en nuage.

Une mise à jour du Plan de gestion des événements de cybersécurité du gouvernement du Canada a été réalisée et publiée en novembre 2022. Cette nouvelle version tient compte des leçons tirées des exercices de simulation de cybernétique, ainsi que des incidents cybernétiques récents. Elle tient compte également des fournisseurs tiers, y compris les fournisseurs de services en nuage, qui sont tenus de gérer les événements de cybersécurité et d’en rendre compte conformément aux stipulations de leurs accords contractuels respectifs conclus avec le gouvernement du Canada.

Q3. Comment pouvons-nous savoir que les renseignements personnels des Canadiens et des Canadiennes sont en sécurité dans l’environnement de nuage du GC?

Le GC compte sur les fournisseurs pour de nombreux aspects de la sécurité et de la protection des renseignements personnels. Le document du gouvernement du Canada intitulé Approche et procédures de gestion des risques à la sécurité de l’informatique en nuage décrit https://www.canada.ca/en/government/system/digital-government/digital-government-innovations/cloud-services/cloud-security-risk-management-approach-procedures.htmlles points clés de la gestion des risques liés à la sécurité lorsque les services sont hébergés dans un environnement de nuage par un fournisseur de services d’informatique en nuage.

L’une des façons dont le gouvernement gère ce risque est d’exiger des fournisseurs de services d’informatique en nuage qu’ils documentent clairement les mesures et les caractéristiques de sécurité mises en œuvre dans leurs services d’informatique en nuage afin que le gouvernement puisse veiller à ce que l’environnement soit sécurisé.

Le document sur l’approche et les procédures de sécurité du gouvernement souligne également l’obligation pour les ministères de procéder à une évaluation des facteurs relatifs à la vie privée (EFVP), conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée, lorsqu’ils prévoient de mettre en œuvre un service d’informatique en nuage qui implique des renseignements personnels, ce qui permettra de veiller à ce que les préoccupations et les risques relatifs à la vie privée soient atténués de façon appropriée.

Q4. La vérificatrice générale a indiqué qu’il y avait un risque pour les renseignements personnels dans le nuage. Les renseignements personnels des Canadiens et des Canadiennes ont-ils été compromis?

Il est important de noter que la vérificatrice générale n’a pas constaté dans son rapport que les renseignements personnels des Canadiens et des Canadiennes avaient été compromis ou que des atteintes à la sécurité des renseignements personnels avaient eu lieu.

Q5. Comment le gouvernement du Canada veille-t-il à ce que les fournisseurs de services d’informatique en nuage respectent les exigences de sécurité du gouvernement du Canada?

En vertu de l’accord-cadre d’informatique en nuage du GC, les fournisseurs de services en nuage doivent veiller à ce que leurs centres de données soient hébergés au Canada. De plus, les garde-fous de l’informatique dans les nuages du GC dirigent les ministères vers les exigences spécifiques de résidence des données décrites dans la Directive sur les services et le numérique. Le ministère est responsable de veiller à ce que ses installations soient situées au bon endroit, ce qui est validé par le processus de validation des garde-fous de l’informatique en nuage du GC.

Pour que les fournisseurs de services d’informatique en nuage puissent travailler avec le gouvernement du Canada, ils doivent d’abord accepter de satisfaire aux exigences de la Politique sur la sécurité du gouvernement par l’entremise du processus contractuel. Le contrat contient des conditions qui lient le fournisseur à ses obligations de mettre en œuvre les exigences de sécurité du gouvernement.

Une fois qu’un fournisseur de services d’informatique en nuage a obtenu un contrat, le ministère procède à une évaluation de la sécurité et à un processus d’autorisation afin de veiller à ce que les mesures de sécurité appropriées soient en place. Ce processus est approuvé par la dirigeante principale de l’information et/ou le responsable de la sécurité du ministère.

Le GC élabore et maintient des mesures de sécurité en nuage comme il est énoncé dans le Profil des mesures de sécurité pour les services du GC fondés sur l’informatique en nuage. Ce profil précise les mesures de sécurité que doivent respecter les fournisseurs de services d’informatique en nuage et les ministères et organismes pour héberger les programmes et services du GC dans le nuage et résume le contexte dans lequel ces mesures de sécurité sont censées être mises en œuvre. Ces mesures de sécurité sont basées sur des certifications de sécurité reconnues au niveau international.

Les mesures de sécurité d’informatique en nuage du GC sont validées par Services partagés Canada. Le processus comprend la validation des ensembles de preuves fournis par les ministères qui confirment leur respect des protocoles énoncés dans les politiques de sécurité pertinentes. Un rapport mensuel de conformité est préparé et soumis au Secrétariat du Conseil du Trésor du Canada, résumant la conformité du GC aux politiques.

Q6. Comment le SCT fournira-t-il une orientation par l’entremise d’une politique afin de veiller à ce que les contrats de services informatiques respectent les exigences en matière de protection des renseignements personnels et les exigences environnementales dans toutes les organisations? Quelle orientation a déjà été fournie?

Conformément à la Politique sur la sécurité du gouvernement, les ministères doivent veiller à ce que les exigences en matière de sécurité associées aux contrats et aux autres ententes soient déterminées et documentées et que les mesures de sécurité connexes soient mises en œuvre et surveillées à toutes les étapes du processus de passation de marchés ou d’ententes afin de fournir une assurance raisonnable que les renseignements, les personnes, les biens et les services associés au contrat ou à l’entente sont protégés adéquatement.

L’Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) aide les ministères à comprendre les exigences actuelles de la Politique sur la sécurité du SCT dans le contexte de l’informatique en nuage et à établir des directives pour aider les organisations à utiliser de façon sécuritaire les services commerciaux en nuage (services en nuage). On s’attend notamment à ce que les ministères veillent à ce que les exigences en matière de sécurité de la TI soient prises en compte à chaque étape de la passation de marché lors de l’acquisition de services en nuage, conformément à la Directive sur la gestion de la sécurité.

Q7. Quelles directives et politiques sont mises en place pour les ministères qui concluent des contrats avec des fournisseurs de services d’informatique en nuage?

SPC agit en tant que courtier de services d’informatique en nuage pour le gouvernement du Canada (GC). Il veille à ce qu’une variété de services soient disponibles pour répondre aux besoins commerciaux uniques de chaque organisation gouvernementale. Ces contrats permettent au GC d’avoir accès à un large éventail de fournisseurs de services d’informatique en nuage qui sont certifiés pour répondre aux exigences rigoureuses du GC en matière de sécurité. Tous les ministères et organismes peuvent avoir accès à ces contrats par l’entremise du portail des Services d’informatique en nuage du GC, ce qui simplifie le processus d’approvisionnement pour les ministères et raccourcit le délai nécessaire pour commencer à utiliser l’informatique en nuage.

Les ministères peuvent acheter des services en nuage à partir de ces contrats, ce qui réduit le temps d’approvisionnement et normalise les exigences auxquelles les fournisseurs de services d’informatique en nuage doivent se soumettre.

Q8. Quel niveau de classification peut être pris en charge dans le nuage?

Les informations du gouvernement du Canada (GC) dans le nuage ont une catégorie de sécurité de Protégé B pour la confidentialité. L’Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) aide les ministères à comprendre les exigences actuelles de la Politique sur la sécurité du SCT dans le contexte de l’informatique en nuage et à établir des directives pour aider les organisations à utiliser les services commerciaux d’informatique en nuage (services en nuage) de façon sécurisée.

Q9. Pourquoi SPAC et SPC n’ont-ils pas harmonisé leurs approches pour assurer l’inclusion de critères environnementaux et d’exigences de sécurité lors de l’acquisition de services d’informatique en nuage, compte tenu de la cible de carboneutralité du GC?

Dans le cadre des efforts déployés par Services partagés Canada (SPC) et Services publics et Approvisionnement Canada (SPAC) pour harmoniser les approches en matière d’approvisionnement en nuage, une ébauche de modèle type pour les contrats de services en nuage a été élaborée et comprend des conditions de durabilité standard pour les fournisseurs de services d’informatique en nuage. On prévoit que le nouveau modèle sera publié au cours du présent exercice.

Les accords-cadres ne comprennent pas actuellement d’exigences en matière de durabilité; ils prévoient toutefois la possibilité d’inclure de telles exigences dans les futures demandes de soumissions. SPC a élaboré des critères environnementaux cotés, qu’il a commencé à inclure dans les soumissions concurrentielles en vertu de l’Accord-cadre relatif au nuage du GC. L’accord-cadre comporte des exigences d’écologisation liées aux cibles établies pour la réduction des émissions de gaz à effet de serre (GES). De plus, SPC a confirmé que les huit fournisseurs de l’Accord-cadre relatif au nuage du GC ont des objectifs égaux ou supérieurs aux engagements de carboneutralité du Canada.

L’arrangement en matière d’approvisionnement (AMA) pour les logiciels-services (SaaS) de SPAC n’évalue pas les critères environnementaux, mais il recueille cette information auprès des fournisseurs afin d’aider les clients à évaluer les solutions SaaS offertes par l’AMA. SPAC mettra à jour les renseignements environnementaux recueillis dans l’AMA pour les SaaS de SPAC et actualisera l’AMA afin de tenir compte des priorités du gouvernement du Canada liées à l’atteinte de la carboneutralité. L’AMA permettra aux clients d’inclure des critères environnementaux dans les appels d’offres lancés par rapport à l’AMA. SPAC prévoit d’élaborer des clauses du contrat subséquent concernant les cibles de réduction des émissions de gaz à effet de serre.

Q10. Comment SPAC veille-t-il à ce que les ministères utilisent des critères cohérents pour l’acquisition de services en nuage?

SPC et SPAC visent à fournir un accès uniforme à des services d’informatique en nuage sécurisés et de classe mondiale. SPC le fait lorsqu’il donne accès à l’hébergement en nuage et aux solutions numériques intégrées, et SPAC lorsqu’il s’agit d’obtenir des logiciels-services fonctionnant dans un environnement en nuage.

SPC et SPAC ont collaboré afin d’établir des conditions générales communes pour les contrats de services en nuage, ce qui a permis de rationaliser et d’améliorer l’expérience utilisateur des consommateurs de nuage.

Q11. Quelles orientations ont été fournies aux ministères concernant l’inclusion de considérations environnementales dans l’approvisionnement de services d’informatique en nuage?

Le gouvernement du Canada s’est engagé à réduire les émissions de gaz à effet de serre du Canada de 40 % par rapport aux niveaux de 2005 d’ici 2030, et à mettre le Canada sur la voie de l’atteinte de la carboneutralité d’ici 2050, conformément à l’Accord de Paris ratifié. Les gaz à effet de serre emprisonnent la chaleur dans l’atmosphère terrestre, ce qui contribue aux changements climatiques.

Les entrepreneurs doivent fournir une certification d’une tierce partie indépendante, ou une lettre attestant de la vérification, indiquant qu’ils ont des objectifs scientifiques de réduction des gaz à effet de serre conformes à l’Accord de Paris, ou des objectifs de carboneutralité fixés pour 2050 ou avant. À sa discrétion, le Canada peut auditer un entrepreneur en demandant des certifications ou des lettres pour vérifier qu’il est en conformité avec cette exigence.

Q12. Pouvez-vous expliquer la transition de la stratégie « Le nuage d’abord » au principe de l’« informatique en nuage intelligente » dont il est question dans la nouvelle version de la Stratégie d’adoption de l’informatique en nuage?

L’évolution vers le principe de l’informatique en nuage intelligente signifie que nous examinerons tous les documents avant de les mettre dans le nuage, du point de vue de la sécurité et des coûts. Cette évolution montre que le gouvernement n’en est qu’aux premiers stades de l’adoption de l’informatique en nuage et que nous tirons parti des pratiques exemplaires et les mettons en œuvre au fur et à mesure de notre évolution.

La cybersécurité à l’échelle du gouvernement

Q1. Qu’est-ce que le PGEC GC?

Le PGEC GC est un plan pangouvernemental d’intervention en cas d’incident. Il fournit un cadre opérationnel qui présente les intervenants et les mesures nécessaires pour faire en sorte que les événements de cybersécurité (y compris les cybermenaces, les vulnérabilités ou les incidents de sécurité) qui influent ou sont susceptibles d’influer sur la capacité du GC d’offrir des programmes et des services aux Canadiens et aux Canadiennes soient traités de façon uniforme, coordonnée et rapide à l’échelle du gouvernement.

Q2. Qui sont les principaux intervenants participant au PGEC GC?

Le SCT, dont les responsabilités sont décrites dans la Politique sur la sécurité du gouvernement, et le Centre canadien pour la cybersécurité, en tant qu’autorité technique nationale en matière de cybersécurité, sont les principaux intervenants responsables de la sécurité dans le PGEC GC et ils dirigent la coordination de tous les événements qui satisfont aux critères concernant les interventions du Plan de gestion des événements de cybersécurité du GC.

Q3. Pourquoi le PGEC GC n’a-t-il pas été mis à jour depuis 2019? Comment savez-vous s’il a permis de gérer des incidents avec succès?

La dernière mise à jour du Plan de gestion des événements de cybersécurité du gouvernement du Canada remonte à 2020. Une nouvelle version du PGEC GC est depuis lors en cours d’élaboration à l’interne et elle a été testée lors de l’exercice de simulation cybernétique EnGarde en 2022. Cet exercice a permis de tirer des leçons qui ont été intégrées dans la version actuelle sur canada.ca affichée en novembre 2022. Cette version tient également compte d’autres leçons tirées de cyberévénements touchant le gouvernement. La mise à l’essai continue du PGEC GC renforce la capacité du gouvernement du Canada d’intervenir aux cyberévénements de façon uniforme, coordonnée et rapide, ce qui est essentiel pour assurer la sécurité et la résilience de la prestation des programmes et des services gouvernementaux. Les plus récentes mises à jour du PGEC GC sont présentées sur canada.ca.

Q4. Que fera le SCT afin de veiller à ce que ses versions soient à jour?

Le SCT continuera de tester et d’examiner le plan tous les ans, et de le mettre à jour si des changements sont justifiés, afin d’en assurer l’efficacité. L’analyse des rapports après les événements et la tenue d’exercices sur les leçons tirées à l’échelle du gouvernement du Canada à la suite de cyberévénements fournissent également des données importantes pour les mises à jour du PGEC GC. Ces exercices contribuent aussi à améliorer la Politique sur la sécurité, la politique de confidentialité ou l’architecture de sécurité organisationnelle.

Q5. En quoi consiste un exercice de simulation EnGarde?

Les exercices de simulation sont des scénarios qui aident le gouvernement du Canada à tester des aspects précis d’une intervention cybernétique ou son rendement global. Ces simulations sont un moyen utile d’améliorer la coordination et l’efficacité de l’intervention du gouvernement aux cyberévénements. Les participants à ces exercices sont les principaux intervenants du Secrétariat du Conseil du Trésor du Canada et du Centre de la sécurité des télécommunications et de son Centre pour la cybersécurité, ainsi que d’autres intervenants d’organismes responsables de la sécurité spécialisés. Il est important d’effectuer régulièrement des exercices pour mettre à l’essai le PGEC du GC et les PGEC des ministères afin de veiller à ce que les différents intervenants (surtout lorsqu’il y a des changements de personnel) comprennent leurs rôles, de valider les plans et de les modifier en fonction des leçons tirées des exercices.

Protection des renseignements personnels

Q1. Que fait le gouvernement du Canada pour prévenir les atteintes à la vie privée et y répondre?

Le gouvernement du Canada prend au sérieux toutes les atteintes à la vie privée. Les institutions sont tenues de signaler au Secrétariat du Conseil du Trésor et au Commissariat à la protection de la vie privée toute atteinte à la vie privée impliquant des renseignements personnels sensibles susceptibles de causer un préjudice grave à une personne.

Le gouvernement du Canada a élaboré une série d’outils pour aider les institutions à assumer leurs responsabilités en cas d’atteinte à la vie privée. Cette trousse d’outils permet d’améliorer la capacité du gouvernement de répondre aux atteintes de la vie privée et de les prévenir, ce qui garantit une meilleure protection des renseignements personnels des Canadiens et des Canadiennes. Le gouvernement dispose également de systèmes et d’outils solides pour surveiller, détecter et étudier les menaces potentielles, et prend des mesures proactives pour y faire face et les neutraliser.

Le gouvernement du Canada travaille en permanence à l’amélioration de la cybersécurité dans le cas des services gouvernementaux afin de protéger les renseignements personnels. Comment faire en sorte que cela ne soit pas si coûteux à l’avenir?

Le CPSNR

Q1. D’après le rapport du CPSNR, le fait que la gestion du système de cyberdéfense « est de plus en plus horizontale et que les pouvoirs fondamentaux demeurent verticaux représente un obstacle global. Il en résulte donc d’importants écarts : les politiques du Conseil du Trésor visant à rendre les systèmes du gouvernement plus sécuritaires ne sont pas appliquées de manière uniforme; les ministères et organismes conservent une certaine latitude à savoir s’ils adhèrent au cadre ou s’ils acceptent certaines technologies de défense; et un grand nombre d’organisations, notamment des sociétés d’État et possiblement des secteurs d’intérêt du gouvernement, ne respectent pas les politiques du Conseil du Trésor ou n’utilisent pas le cadre de cyberdéfense ». Le gouvernement est-il d’accord avec cette position et, si oui, que comptez-vous faire?

Le gouvernement accueille favorablement les conclusions du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) et je tiens à les remercier d’avoir reconnu les progrès réalisés par le gouvernement dans la lutte contre les cybermenaces.

Le Secrétariat du Conseil du Trésor (SCT) va procéder à un examen de son cadre stratégique afin de veiller à ce que les directives et politiques en matière de cyberdéfense s’appliquent dans toute la mesure du possible aux organisations fédérales qui n’y sont pas encore assujetties.

Le SCT poursuit sa collaboration avec Services partagés Canada (SPC) et le Centre de la sécurité des télécommunications (CST) afin d’appliquer à toutes les organisations fédérales les services avancés de cyberdéfense, notamment le service Internet intégré de Services partagés du Canada et les capteurs de cyberdéfense du CST. Nos fonctionnaires continuent d’encourager toutes les organisations à tirer parti de l’ensemble des services de cyberdéfense du gouvernement.

Questions récentes des médias et réponses

Rançongiciels

Marsha McLeod – G&M - Jan 19

Selon des documents caviardés du Commissariat à la protection de la vie privée du Canada, SPAC (ou peut-être une entité qui lui est liée) a été victime d’une attaque par rançongiciel, qui a été signalée au CPVP dans un rapport reçu par le Commissariat le 22 juillet 2021. J’ai joint le dossier que je suis en train d’examiner, afin de vous simplifier la tâche.

1. Est-ce que SPAC a versé une rançon et, si oui, quel était le montant de cette rançon?
2. De quelle façon les attaquants ont-ils pu prendre le contrôle du système en question?

RÉPONSE :

Le gouvernement du Canada (GC), comme tous les autres gouvernements et organisations du secteur privé dans le monde entier, est confronté à des cybermenaces constantes et persistantes. Le gouvernement s’efforce d’améliorer la cybersécurité au Canada en identifiant les cybermenaces et les vulnérabilités, en se préparant et en réagissant à tous les types de cyberincidents afin de mieux protéger le Canada, les Canadiens et les Canadiennes.

Bien qu’il n’y ait pas de politique gouvernementale officielle sur le paiement de rançons en cas d’attaques par rançongiciels, le gouvernement fédéral a mis en place des politiques qui décrivent les mesures de sécurité visant à protéger les renseignements, les ressources en technologie de l’information et l’infrastructure des serveurs, afin de prévenir les attaques par rançongiciels. Outre les conseils du Centre canadien pour la cybersécurité, la GRC recommande également de ne pas payer de rançon, car le paiement ne garantit pas le déverrouillage d’un ordinateur ou d’un réseau (Prévenir les rançongiciels | Gendarmerie royale du Canada.

Le Secrétariat du Conseil du Trésor du Canada (SCT) est en train d’élaborer des Mesures de sécurité pour la prévention et l’atténuation des attaques par rançongiciels afin d’aider les organisations du GC à comprendre les exigences actuelles de la Politique sur la sécurité du gouvernement dans le contexte de la prévention et de l’atténuation de telles attaques. Ces mesures s’inscrivent également dans le cadre des orientations du Guide sur les rançongiciels (ITSM.00.099) du Centre canadien pour la cybersécurité et renvoient aux politiques applicables des instruments de politique du Conseil du Trésor.

Par mesure de sécurité, le gouvernement du Canada n’aborde pas les détails spécifiques des cyberenquêtes.

Politiques du Conseil du Trésor et cadre de cyberdéfense

Réponse à IT World (Salomon) – 23 février 2022 :

Questions :

Q1. Le CPSNR déplore le fait que la gestion du système de cyberdéfense « est de plus en plus horizontale et que les pouvoirs fondamentaux demeurent verticaux représente un obstacle global. Il en résulte donc d’importants écarts : les politiques du Conseil du Trésor visant à rendre les systèmes du gouvernement plus sécuritaires ne sont pas appliquées de manière uniforme; les ministères et organismes conservent une certaine latitude à savoir s’ils adhèrent au cadre ou s’ils acceptent certaines technologies de défense; et un grand nombre d’organisations, notamment des sociétés d’État et possiblement des secteurs d’intérêt du gouvernement, ne respectent pas les politiques du Conseil du Trésor ou n’utilisent pas le cadre de cyberdéfense ». Le gouvernement est-il d’accord avec cette position et, si oui, que comptez-vous faire?

Q2. Si vous n’êtes pas d’accord, pouvez-vous nous expliquer pourquoi?

Q3. Si vous êtes d’accord, que comptez-vous faire?

Réponse :

Le gouvernement du Canada reconnaît qu’une connectivité sûre et fiable est indispensable à notre vie quotidienne et à notre sécurité collective pour fournir des services comme les soins de santé, les transactions financières, la sécurité des transports et les communications d’urgence. Le gouvernement s’efforce en permanence de renforcer la cybersécurité au Canada en identifiant les cybermenaces et les vulnérabilités, en se préparant et en réagissant à tous les types de cyberincidents afin de mieux protéger le Canada, les Canadiens et les Canadiennes.

Le gouvernement est d’accord avec les conclusions du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) et approuve ses recommandations.

À cette fin, le Secrétariat du Conseil du Trésor du Canada (SCT) procédera à un examen de son cadre stratégique afin de veiller à ce que la cyberdéfense soit appliquée de la même manière aux ministères et organismes, y compris aux petites organisations, aux sociétés d’État et aux autres organisations fédérales qui ne sont pas actuellement assujetties à ses politiques et directives en matière de cyberdéfense, dans toute la mesure du possible. Il s’agit notamment d’harmoniser le champ d’application de la Politique sur la sécurité du gouvernement et de la Politique sur les services et le numérique. Cet examen tiendra compte de la Loi sur la gestion des finances publiques et des pouvoirs qui en découlent, ainsi que de toute considération d’ordre juridique.

Le Secrétariat du Conseil du Trésor du Canada poursuit sa collaboration avec Services partagés Canada (SPC) et le Centre de la sécurité des télécommunications (CST) afin d’étendre les services avancés de cyberdéfense à toutes les organisations fédérales, notamment le service Internet intégré de Services partagés Canada et les capteurs de cyberdéfense du CST. Toutes les organisations fédérales peuvent accéder aux services de cyberdéfense du gouvernement et nous continuons de les encourager à profiter de l’ensemble des services de cyberdéfense du gouvernement.

Le CST aide les entreprises canadiennes

Réponse à CBC (Tunney) – 15 février 2022

Questions :

1. L’étude de cas n° 2 renferme des détails sur l’utilisation, par le CST, de ses nouveaux pouvoirs pour venir en aide à une entreprise canadienne. Combien de fois depuis 2019 le CST a-t-il fait usage de ses pouvoirs pour des institutions non fédérales?

2. Quels sont les secteurs visés?

3. Une telle situation avait-elle été prévue au moment de l’adoption du projet de loi 59?

4. Compte tenu de certains des exemples cités dans ce rapport et d’événements tels l’incident de Terre‑Neuve-et-Labrador, est-ce que le gouvernement se penche sur la manière d’exporter les capacités de défense du CST vers des organisations non fédérales, des entreprises, etc.?

5. La page 27 indique que le gouvernement réfléchit actuellement à une politique sur le paiement de rançons en cas d’attaques par rançongiciels. Le CST est-il impliqué dans cette démarche et, si tel est le cas, quelles sont les mesures envisagées?

Réponse fournie :

Le gouvernement du Canada reconnaît qu’une connectivité sûre et fiable est indispensable à notre vie quotidienne et à notre sécurité collective pour fournir des services comme les soins de santé, les transactions financières, la sécurité des transports et les communications d’urgence. Le gouvernement s’efforce en permanence de renforcer la cybersécurité au Canada en identifiant les cybermenaces et les vulnérabilités, en se préparant et en réagissant à tous les types de cyberincidents afin de mieux protéger le Canada, les Canadiens et les Canadiennes.

Le gouvernement est d’accord avec les conclusions du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) et approuve ses recommandations.

À cette fin, le Secrétariat du Conseil du Trésor du Canada (SCT) procédera à un examen de son cadre stratégique afin de veiller à ce que la cyberdéfense soit appliquée de la même manière aux ministères et organismes, y compris aux petites organisations, aux sociétés d’État et aux autres organisations fédérales qui ne sont pas actuellement assujetties à ses politiques et directives en matière de cyberdéfense, dans toute la mesure du possible. Il s’agit notamment d’harmoniser le champ d’application de la Politique sur la sécurité du gouvernement et la Politique sur les services et le numérique. Cet examen tiendra compte de la Loi sur la gestion des finances publiques et des pouvoirs qui en découlent, ainsi que de toute considération d’ordre juridique.

Le Secrétariat du Conseil du Trésor du Canada poursuit sa collaboration avec Services partagés Canada (SPC) et le Centre de la sécurité des télécommunications (CST) afin d’étendre les services avancés de cyberdéfense à toutes les organisations fédérales, notamment le service Internet intégré de Services partagés Canada et les capteurs de cyberdéfense du CST. Toutes les organisations fédérales peuvent accéder aux services de cyberdéfense du gouvernement et nous continuons de les encourager à profiter de l’ensemble des services de cyberdéfense du gouvernement.

OGGO

Cyberattaques et vie privée

Q1. Lors de votre dernier témoignage devant le comité OGGO, vous avez indiqué que 308 incidents de cybersécurité avaient été signalés l’année précédente. Vous aviez également indiqué que 358 atteintes substantielles à la vie privée ont été signalées à vos services entre mars 2021 et janvier 2022. Vous avez également déclaré que les rapports actuels ne font pas de corrélation entre les incidents de cybersécurité et les atteintes substantielles à la vie privée. À quel moment le gouvernement compte-t-il s’atteler sérieusement à l’adoption de mesures pour garantir la sécurité des renseignements personnels des Canadiens et des Canadiennes dans le contexte des systèmes gouvernementaux? Pourquoi le gouvernement ne fait-il pas davantage pour prévenir les cyberattaques qui mettent potentiellement en danger les renseignements personnels des Canadiens et des Canadiennes?

Réponse de OGGO

A1. Conformément au Plan de gestion des événements de cybersécurité du gouvernement du Canada, les ministères et organismes sont responsables de signaler les incidents cybernétiques au Centre canadien pour la cybersécurité (CCC). Au cours de la dernière année, 308 cyberincidents ont été signalés.

Le GC travaille continuellement à améliorer la cybersécurité des services gouvernementaux en prévenant les attaques au moyen de mesures de protection et de sécurité rigoureuses, en cernant les cybermenaces et les vulnérabilités, et en se préparant et en réagissant à toutes sortes de cyberincidents pour mieux protéger le Canada, les Canadiens et les Canadiennes.

Les institutions ont la responsabilité d’établir des plans et des procédures pour faire face aux atteintes à la vie privée et sont tenues d’informer le Commissariat à la protection de la vie privée et le Secrétariat du Conseil du Trésor du Canada lorsqu’il y a une atteinte substantielle à la vie privée, conformément à la Directive sur les pratiques relatives à la protection de la vie privée. Les atteintes substantielles à la vie privée sont des atteintes qui concernent des renseignements personnels de nature délicate - comme des renseignements médicaux et financiers - et dont on peut raisonnablement s’attendre à ce qu’elles causent un préjudice ou un dommage à la personne concernée.

Entre mars 2021 et janvier 2022, 358 atteintes substantielles à la vie privée ont été signalées au SCT. À l’heure actuelle, les rapports ne permettent pas d’établir une corrélation entre les cyberincidents et les atteintes substantielles à la vie privée.

Le SCT appuie les institutions dans la gestion des atteintes à la vie privée touchant plusieurs institutions dans l’ensemble du gouvernement et détermine les cas où des conseils ou une formation supplémentaire peuvent être nécessaires.