Audit interne horizontal de la sécurité des technologies de l'information dans les grands et les petits ministères (Étape 1) : Sommaire de l'audit

Février 2016
Bureau du contrôleur général

Note

Ce sommaire accompagne le rapport final pour cet audit qui contient des renseignements prélevés conformément à la Loi sur l'accès à l'information.

Objectifs et étendue de l'audit

Les objectifs de l'audit consistaient à déterminer si :

des cadres de gouvernance liés à la sécurité des technologies de l'information (TI) étaient en place au sein des ministères, ainsi qu'à l'échelle du gouvernement;
les ministères avaient mis en place des cadres de contrôle sélectionnés pour atténuer les risques en matière de sécurité des TI.

L'étendue de cet audit visait notamment la gouvernance et les cadres de contrôle liés à la sécurité des TI pour les réseaux du gouvernement non classifiés au 31 mars 2014. Les réseaux classifiés ont été exclus de l'étendue de cet audit compte tenu de leur nature, de leurs niveaux de complexité et des risques qui leur sont propres.

Pourquoi est-ce important?

Le gouvernement fédéral est chargé de protéger une grande quantité de renseignements personnels et de nature délicate dans le cadre de la prestation de ses programmes, et les services qu'il offre aux Canadiens reposent largement sur les TI. Les systèmes du gouvernement fédéral font partie de l'infrastructure essentielle du Canada et représentent donc une cible attrayante pour les services militaires et de renseignement étrangers, les criminels et les réseaux terroristes.

L'utilisation répandue des TI et le fait qu'on y a sans cesse recours, jumelés à l'accroissement rapide des interconnexions entre les systèmes de TI et à l'évolution constante des TI exposent les organisations d'aujourd'hui à un vaste éventail de risques associés à la sécurité. À la suite de plusieurs cyberattaques^{Voir la note de bas de page 1} récentes et très médiatisées tant dans le secteur public que dans le secteur privé partout dans le monde, le Forum économique mondial a indiqué que la cybersécurité est l'un des risques les plus menaçants de 2015. La récente cyberattaque massive de l'United States Office of Personnel Management, qui a compromis les renseignements personnels de millions de fonctionnaires (anciens, actuels et éventuels) et de leurs familles, a démontré l'importance de ce risque pour le gouvernement.

Pendant que le gouvernement fédéral procède à la normalisation, au regroupement et à la modernisation de son infrastructure de TI actuelle vieillissante, il devra s'assurer de pouvoir compter sur des cadres robustes de contrôle et de gouvernance afin d'atténuer l'évolution rapide des risques liés à la sécurité des TI.

Sommaire des principales constatations

Cadres de gouvernance liés à la sécurité des TI

L'audit visait à déterminer si des cadres de gouvernance liés à la sécurité des TI des réseaux du gouvernement non classifiés étaient en place. Dans l'ensemble, l'audit a permis de constater que des éléments des cadres de gouvernance étaient en place, mais que des améliorations sont nécessaires.

L'audit a permis de constater qu'une direction en matière de politique pangouvernementale pour la sécurité des TI avait été établie par l'entremise du cadre d'instruments de politique du Conseil du Trésor, ainsi que par des instruments d'orientation techniques fournis plus récemment dans certains domaines. Toutefois, les instruments de politiques fondamentaux doivent être mis à jour pour mieux tenir compte de l'environnement opérationnel actuel du gouvernement, incluant la clarification des rôles et des responsabilités. Notamment, les instruments de politiques du Conseil du Trésor doivent traiter de la consolidation de l'infrastructure de TI de 43 organisations gouvernementales (appelée dans le présent rapport « infrastructure commune de TI ») relevant de Services partagés Canada. De plus, bien que Services partagés Canada ait énoncé des principes directeurs généraux pour ces 43 organisations (appelées dans le présent rapport « organisations partenaires »), l'audit a noté que Services partagés Canada doit mieux définir les rôles opérationnels, les responsabilités et les attentes avec ses organisations partenaires. Au sein des ministères, l'audit a également noté la nécessité de mettre à jour les politiques sur la sécurité des TI en vigueur.

En vue d'appuyer la gouvernance liée à la sécurité, plusieurs comités interministériels ont été mis sur pied pour traiter des questions se rapportant à la sécurité des TI à l'échelle du gouvernement. Toutefois, l'audit a révélé que la coordination entre les comités interministériels pourrait être améliorée. L'audit a également permis de constater que les structures de gouvernance appuyant la coordination des activités liées à la sécurité des TI étaient en place et étaient alignées avec les exigences des politiques pangouvernementales dans la plupart des ministères.

Du point de vue de l'ensemble du gouvernement, l'audit a révélé des possibilités d'améliorer les processus actuels de gestion des risques afin de mieux guider la planification stratégique pour protéger les systèmes gouvernementaux.

Enfin, l'audit a constaté la nécessité d'améliorer les cadres de surveillance et de reddition de comptes au niveau de la sécurité des TI à l'échelle du gouvernement, des ministères et de l'infrastructure de TI.

Cadres de contrôle sélectionnés

L'audit a examiné les cadres de contrôle sélectionnés pour les réseaux gouvernementaux non classifiés au 31 mars 2014.

Dans l'ensemble, l'audit a constaté des possibilités d'améliorer les cadres de contrôle examinés pour l'infrastructure de TI^{Voir la note de bas de page 2} ainsi que dans la plupart des ministères.

Conclusion

Dans l'ensemble, l'audit a constaté que des améliorations sont requises dans les ministères ainsi qu'à l'échelle du gouvernement et ce, au niveau des cadres de gouvernance ainsi qu'aux contrôles afférent à la sécurité des TI. Ces améliorations contribueraient à atténuer les risques en constante évolution et à sécuriser convenablement les systèmes gouvernementaux.

Recommandations et réponse de l'équipe de gestion

Les constatations et les recommandations de l'audit ont été présentées à l'équipe de gestion des grands ministères, aux principaux organismes de sécurité, au Secrétariat du Conseil du Trésor du Canada, à Services partagés Canada et aux petits ministères visés par l'audit.

L'équipe de gestion de tous les ministères a accepté les constatations du présent rapport et prendra les mesures qui s'imposent pour donner suite à toutes les recommandations applicables.

Notes de fin de document

Note en bas de page 1

La Stratégie canadienne de cybersécurité du Canada précise que « les cyberattaques comprennent l’accès involontaire ou non autorisé à des renseignements électroniques et/ou des infrastructures électroniques ou matérielles utilisés pour traiter, communiquer ou entreposer cette information, ainsi que leur utilisation, leur manipulation, leur interruption ou destruction (par voie électronique) ».

Retour à la référence de note en bas de page 1

Note en bas de page 2

Dans le présent rapport, le terme « infrastructure de TI » englobe l'infrastructure de TI partagée (c. à d. les serveurs de SPC que ses organisations partenaires utilisent) et les serveurs d'autres ministères fédéraux (c. à d. ceux qui ne sont pas des organisations partenaires de SPC).

Retour à la référence de note en bas de page 2

Détails de la page

Date de modification :: 2016-05-16

Sélection de la langue

Recherche