Audit interne horizontal de la sécurité des technologies de l'information dans les grands et les petits ministères (Étape 1)


Bureau du contrôleur général

Note aux lecteurs

Ce rapport contient des renseignements qui ont été retranchés conformément à la Loi sur l’accès à l’information. Veuillez consulter le sommaire de l’audit pour plus d’information.

Table des matières

Sommaire

Les objectifs de l’audit consistaient à déterminer si :

  • des cadres de gouvernanceVoir la note en bas de page 1 liés à la sécurité des technologies de l’information (TI) étaient en place au sein des ministères, ainsi qu’à l’échelle du gouvernement; 
  • les ministères avaient mis en place des cadres de contrôle sélectionnésVoir la note en bas de page 2 pour atténuer les risques en matière de sécurité des TI.

L’étendue de cet audit visait notamment la gouvernance et les cadres de contrôle liés à la sécurité des TI pour les réseaux du gouvernement non classifiés au 31 mars 2014. Les réseaux classifiés ont été exclus de l’étendue de cet audit compte tenu de leur nature, de leurs niveaux de complexité et des risques qui leur sont propres.

Pourquoi est-ce important?

À l’échelle mondiale, l’environnement de menaces lié à la sécurité des TI a évolué rapidement pour atteindre des niveaux sans précédent. L’année 2013 a été considérée l’« Année des méga brèches» et, selon des statistiques reconnues de l’industrie, le nombre de brèches au niveau  de la sécurité des données continue de croître (p. ex., il y a eu une augmentation de 23 pour cent en 2014)Voir la note en bas de page 3. Le coût global associé à ces brèches est difficile à quantifier puisque certains incidents peuvent passer inaperçus et que la nature de l’information ciblée varie considérablement (secrets industriels, propriété intellectuelle, etc.). En 2014, le coût estimatif global de la cybercriminalité s’élevait à plus de 23 milliards de dollarsVoir la note en bas de page 4 alors que les pertes liées aux secrets industriels compromis étaient estimées entre 749 milliards et 2,2 billions de dollars.Voir la note en bas de page 5

Le gouvernement fédéral est chargé de protéger une grande quantité de renseignements personnels et de nature délicate dans le cadre de la prestation de ses programmes, et les services qu’il offre aux Canadiens reposent largement sur les TI. Les systèmes du gouvernement fédéral font partie de l’infrastructure essentielle du Canada et représentent donc une cible attrayante pour les services militaires et de renseignement étrangers, les criminels et les réseaux terroristes. Ces auteurs de menaces sondent périodiquement les réseaux du gouvernement fédéral afin de découvrir des vulnérabilités à exploiter. Les ministères et les organismes du gouvernement fédéral font l’objet de millions de tentatives de cyberintrusion chaque jourVoir la note en bas de page 6. Les pirates informatiques, les criminels, les terroristes et d’autres sondent constamment les systèmes et les réseaux du gouvernement fédéral à l’affût de vulnérabilités. D’après certaines estimations, 60 000 nouveaux programmes malveillants sont repérés chaque jour et 1 courriel sur 200 contient un logiciel malveillantVoir la note en bas de page 7. Les agents malveillants sont réputés pour profiter des interconnexions des technologies en utilisant les systèmes compromis comme plateformes pour s’attaquer à d’autres secteurs des réseaux et infliger des dommages considérables. Outre la possibilité de compromettre la capacité du gouvernement à s’acquitter de son mandat envers les Canadiens, les brèches liées à la sécurité des TI peuvent avoir des répercussions négatives sur l’économie canadienne ainsi qu’au niveau de la confiance du publique en plus d’affecter le bien-être économique des canadiens.

Chaque année, les tentatives d’intrusion ne cessent de croître et ceux qui visent à infiltrer, exploiter ou attaquer les systèmes du gouvernement fédéral utilisent des méthodes de plus en plus sophistiquées et disposent de meilleures ressources.

L’utilisation répandue des TI et le fait qu’on y a sans cesse recours, jumelés à l’accroissement rapide des interconnexions entre les systèmes de TI et à l’évolution constante des TI exposent les organisations d’aujourd’hui à un vaste éventail de risques associés à la sécurité. À la suite de plusieurs cyberattaquesVoir la note en bas de page 8 récentes et très médiatisées tant dans le secteur public que dans le secteur privé partout dans le monde, le Forum économique mondial a indiqué que la cybersécurité est l’un des risques les plus menaçants de 2015. La récente cyberattaque massive de l’United States Office of Personnel Management, qui a compromis les renseignements personnels de millions de fonctionnaires (anciens, actuels et éventuels) et de leurs familles, a démontré l’importance de ce risque pour le gouvernement.

Pendant que le gouvernement fédéral procède à la normalisation, au regroupement et à la modernisation de son infrastructure de TI actuelle vieillissante, il devra s’assurer de pouvoir compter sur des cadres robustes de contrôle et de gouvernance afin d’atténuer l’évolution rapide des risques liés à la sécurité des TI.

Principales constatations

Cadres de gouvernance liés à la sécurité des TI

L’audit visait à déterminer si des cadres de gouvernance liés à la sécurité des TI des réseaux du gouvernement non classifiés étaient en place. Dans l’ensemble, l’audit a permis de constater que des éléments des cadres de gouvernance étaient en place [L’information a été retranchée]Voir la note en bas de page 9.

L’audit a permis de constater qu’une direction en matière de politique pangouvernementale pour la sécurité des TI avait été établie par l’entremise du cadre d’instruments de politique du Conseil du Trésor, ainsi que par des instruments d’orientation technique fournis plus récemment dans certains domaines. Toutefois, les instruments de politique fondamentaux ne sont pas à jour et doivent mieux tenir compte de l’environnement opérationnel actuel du gouvernement, en clarifiant notamment les rôles et les responsabilités. Notamment, les instruments de politique du Conseil du Trésor doivent traiter de la consolidation de l’infrastructure de TI (ci-après appelée « infrastructure commune de TI») pour 43 organisations gouvernementales qui relèvent de Services partagés Canada (SPC). De plus, bien que SPC ait énoncé des principes directeurs généraux pour ces 43 organisations (ci-après appelés « organisations partenaires »), l’audit a noté que SPC doit mieux définir les rôles opérationnels, les responsabilités et les attentes pour sécuriser l’infrastructure commune de TI existante pour le compte de ses organisations partenaires. Au sein des ministères, des politiques en matière de sécurité des TI ont été établies, mais elles ne sont également pas à jour dans la plupart des cas.

En vue d’appuyer la gouvernance liée à la sécurité, plusieurs comités interministériels ont été mis sur pied pour se pencher sur les questions se rapportant à la sécurité des TI à l’échelle du gouvernement. [L’information a été retranchée] le besoin d’améliorer la coordination entre les comités interministériels. Dans la plupart des ministères, l’audit a également permis de constater que les structures de gouvernance appuyant la coordination des activités liées à la sécurité des TI étaient en place et étaient alignées avec les exigences des politiques pangouvernementales.

[L’information a été retranchée]

Cadres de contrôle sélectionnés

Tout en reconnaissant qu’aucune mesure ne peut prévenir toutes les cyberactivités malveillantes à elle seule, l’audit a examiné les cadres de contrôle en place pour les systèmes du gouvernement non classifiés [L’information a été retranchée].Voir la note en bas de page 10

Conclusion

[L’information a été retranchée]

Conformité aux normes professionnelles

Cette mission d’audit est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.

Anthea English, CPA, CA
Contrôleur général adjoint et Dirigeant principal de la vérification
Secteur de la vérification interne, Bureau du contrôleur général

Contexte

Au cours des 50 dernières années, le gouvernement fédéral a de plus en plus fait appel à la technologie pour automatiser ses opérations en mettant en œuvre différentes solutions de TI. Traditionnellement, chaque ministère et organisme mettait ces solutions en place pour répondre aux besoins qui lui étaient propres. Au fil du temps, la gestion décentralisée des TI au gouvernement fédéral a donné lieu à la création d’un environnement de TI très vaste caractérisé par la présence d’un grand nombre de systèmes répartis dans les différents ministères et organismes.

D’après des estimations récentes, le gouvernement fédéral comptait plus de 100 systèmes de courriel différents, exploitait plus de 300 centres de données à l’échelle du pays (certains sous-utilisés pendant que d’autres peinent à répondre à la demande) et soutenait plus de 3 000 réseaux électroniques non coordonnés et faisant double emploi. Certains systèmes gouvernementaux sont nouveaux tandis que d’autres sont en place depuis plus de 30 ans. Un grand nombre de ces anciens systèmes utilisent des logiciels dépassés, requièrent une expertise technique qui est de plus en plus rare et sont soutenus par une infrastructure de TI vieillissante dont l’exploitation coûte de plus en plus cher, et qui risque de tomber en panne.

Les TI jouent un rôle important dans le fonctionnement du gouvernement. Elles représentent un catalyseur clé dans le cadre de la transformation des activités du gouvernement et sont une composante essentielle de la stratégie du gouvernement visant à accroître la productivité et à améliorer les services au public. À l’avenir, la fonction publique continuera de faire appel aux TI pour obtenir les meilleurs résultats possible à l’aide de processus, de structures et de systèmes efficaces, interreliés et adaptables.

Malgré tous les avantages que peuvent procurer les TI, l’utilisation accrue de la technologie s’accompagne d’une exposition à un large éventail de risques en constante évolution liés à la sécurité des TI. La sécurité des TI concerne les mesures de précaution conçues pour préserver la confidentialité, l’intégrité, la disponibilité, la fonction propre et la valeur de l’information stockée, traitée ou transmise par voie électronique. Elle inclut également les mesures de protection appliquées aux biens utilisés pour recueillir, traiter, recevoir, afficher, transmettre, reconfigurer, balayer, entreposer ou détruire l'information par voie électronique.Voir la note en bas de page 11

Les ministères et les organismes du gouvernement fédéral font l’objet de millions de tentatives de cyberintrusion chaque jour.Voir la note en bas de page 12 Les pirates informatiques, les criminels, les terroristes et d’autres sondent constamment les systèmes et les réseaux du gouvernement fédéral à l’affût de vulnérabilités. D’après certaines estimations, 60 000 nouveaux programmes malveillants sont repérés chaque jour et 1 courriel sur 200 contient un logiciel malveillant.Voir la note en bas de page 13 De plus, la technologie est réputée pour contenir des défauts de conception inhérents (p. ex. des erreurs de programmation dans les logiciels).

Au gouvernement fédéral, la responsabilité d’assurer la sécurité des systèmes ministériels est assumée par les administrateurs généraux qui sont responsables :

  • d’établir une structure de gouvernance liée à la sécurité qui inclut la clarification des responsabilités;
  • de nommer un agent de sécurité du ministère pour gérer le programme de sécurité ministériel;
  • de veiller à ce que les gestionnaires à tous les échelons intègrent les exigences en matière de sécurité à leurs plans, programmes, activités et services;
  • d’approuver un plan de sécurité ministériel qui souligne les stratégies, les buts, les objectifs, les priorités et les échéances pour améliorer la sécurité au sein du ministère et faciliter sa mise en œuvre.

Bien que les administrateurs généraux soient chargés de la sécurité des systèmes ministériels, la responsabilité d’assurer la sécurité des systèmes gouvernementaux est partagée entre plusieurs intervenants (plus précisément les onze principaux organismes responsables de la sécurité et les ministères). Il incombe aux principaux organismes responsables de la sécurité de fournir conseils, orientation et services pour appuyer les opérations courantes de sécurité des ministères et permettre au gouvernement dans son ensemble de gérer les activités liées à la sécurité, de coordonner les interventions en cas d’incidents de sécurité, d’atteindre et de maintenir un état acceptable de sécurité et de préparation.

Le cadre de politiques du Conseil du Trésor, qui fournit des orientations sur la sécurité des TI au sein du gouvernement, vise à veiller à ce que les administrateurs généraux gèrent efficacement les activités liées à la sécurité au sein des ministères tout en maintenant des pratiques efficaces et efficientes de sécurité à l’échelle pangouvernementale. Il se compose des instruments de politique de base suivantsVoir la note en bas de page 14 :

  • la Politique sur la sécurité du gouvernement;
  • la Directive sur la gestion de la sécurité ministérielle;
  • la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI);
  • le Plan de gestion des incidents de la TI du gouvernement du Canada.

Comme la plupart de ces instruments de politique sont entrés en vigueur en 2009 ou même avant, le Secrétariat du Conseil du Trésor du Canada (le Secrétariat) s’emploie à les renouveler de manière à ce qu’ils reflètent davantage l’environnement stratégique et opérationnel actuel du gouvernement fédéral.

Les principaux organismes responsables de la sécurité qui sont responsables de coordonner les activités liées à la sécurité des TI au gouvernement fédéral sont les suivants :Voir la note en bas de page 15

  • le Secrétariat (dans le cadre de son rôle en matière d’élaboration de politiques);
  • le Centre de la sécurité des télécommunications (grâce à son expertise technique et à ses renseignements sur les cybermenaces);
  • Services partagés Canada (dans le cadre de son rôle opérationnel comme fournisseur de services d’infrastructure commune de TI aux organisations partenaires, et de son rôle en matière de gestion des incidents à l’échelle du gouvernement);
  • Sécurité publique Canada (dans le cadre de l’établissement de la Stratégie de cybersécurité du Canada et du Plan d’action 2010-2015 de la Stratégie de cybersécurité du Canada).

À la suite de l’audit sur le vieillissement des systèmes de TI compris dans le Rapport du printemps 2010 du Bureau du vérificateur général, des travaux ont été entrepris pour élaborer une stratégie de modernisation des TI du gouvernement du Canada. Cette stratégie a mis l’accent jusqu’à présent sur trois piliers visant à harmoniser les initiatives et les ressources :

  1. moderniser les TI en normalisant, en consolidant et en réorganisant les systèmes administratifs afin de réaliser des gains d’efficience et de réduire le coût des opérations du gouvernement fédéral;
  2. transformer et améliorer la prestation des services aux Canadiens en mettant de l’avant des solutions, des capacités et des politiques de prestation de services modernes;
  3. établir des liens avec les citoyens et les entreprises en tirant parti des technologies Web pour faciliter l’accès à des données ouvertes et pour faciliter le dialogue en ligne avec les Canadiens et les entreprises. 

Pour soutenir cette stratégie et la réalisation des économies permanentes ciblées dans le budget fédéral de 2011, le Plan d’action économique de 2012 du Canada annonçait la création de Services partagés Canada (SPC) : « Cet organisme symbolise la volonté du gouvernement de réaliser des gains d’efficience opérationnelle et de faire une utilisation optimale des deniers publics. »Voir la note en bas de page 16

SPC a vu le jour en 2011 au moyen du transfert de 6 000 employés provenant de 43 ministères fédéraux. En 2012, la Loi sur Services partagés Canada a reçu la sanction royale. SPC a ensuite été chargé par décret de fournir à 43 organisations partenaires des services d’infrastructure de TI obligatoires relativement aux systèmes de courriel, aux centres de données et aux réseaux. Conformément à ce mandat, SPC a la responsabilité de maintenir l’infrastructure de TI vieillissante et diversifiée héritée de ses organisations partenaires (l’infrastructure « existante ») et de la moderniser d’ici 2020. Par l’entremise de SPC, le gouvernement fédéral vise à « réaliser des économies, à réduire son empreinte, à renforcer la sécurité de l’information gouvernementale afin d’assurer la protection des Canadiens et à procéder à la modernisation des services de TI de façon plus économique ».Voir la note en bas de page 17

[L’information a été retranchée]

Objectifs et étendue de l’audit

Les objectifs de l’audit consistaient à déterminer si :

  • des cadres de gouvernanceVoir la note en bas de page 18 liés à la sécurité des technologies de l’information (TI) étaient en place au sein des ministères ainsi qu’à l’échelle du gouvernement;
  • les ministères avaient mis en place les cadres de contrôle sélectionnésVoir la note en bas de page 19 pour atténuer les risques en matière de sécurité des TI.

L’étendue de l’audit englobait les cadres de gouvernance et de contrôle liés à la sécurité des TI pour les réseaux gouvernementaux non classifiés en date du 31 mars 2014. L’audit a également tenu compte des mesures ou initiatives entreprises à la suite de cette période afin de mieux présenter ses constatations et recommandations dans le contexte actuel. L’audit ciblait les réseaux non classifiés [L’information a été retranchée]. Les réseaux classifiés ont été exclus de l’étendue du présent audit compte tenu de leur nature, de leurs complexités et des risques qui leur sont propres.

L’audit visait à déterminer si des cadres de gouvernance liés à la sécurité des TI pour les réseaux gouvernementaux non classifiés étaient en place dans les ministères et à l’échelle du gouvernement. Nous nous attendions à ce que les principaux éléments de ces cadres de gouvernance soient alignés avec les politiques du Conseil du Trésor et avec l’orientation fournie par les principaux organismes responsables de la sécurité. Les éléments de gouvernance examinés comprenaient des cadres de politique, des comités et des structures organisationnelles, la planification stratégique, la gestion des risques, la surveillance et le compte rendu ainsi que les programmes de sensibilisation.

L’audit visait également à déterminer si les ministères avaient mis en place des cadres de contrôle à l’égard des réseaux gouvernementaux non classifiés [L’information a été retranchée].Voir la note en bas de page 20,Voir la note en bas de page 21,Voir la note en bas de page 22,Voir la note en bas de page 23

Les pratiques de gestion de l’information, telles que les processus servant à créer, à classer et à éliminer l’information au sein du gouvernement, ont été exclues de l’étendue du présent audit. Le Bureau du contrôleur général a prévu un Audit interne horizontal de la gestion de l’information pour 2015-2016.

La continuité des activités et les réseaux classifiés ont également été identifiés comme domaines de risque importants pour la sécurité, mais ils ont été exclus de l’étendue du présent audit au cours de l’étape de planification.

Compte tenu de la complexité de la continuité des activités et de ses éléments qui vont au-delà du cadre de la sécurité des TI, le Bureau du contrôleur général a prévu un Audit interne horizontal de la planification de la continuité des activités pour 2015-2016. De même, étant donné la nature et la complexité des réseaux classifiés et les risques qui leur sont propres, ces réseaux seront considérés comme le sujet d’un audit distinct.  

L’annexe B contient une liste des ministères et des principaux organismes responsables de la sécurité qui ont été examinés. L’annexe C contient une liste des champs d’enquête et des critères d’audit connexes utilisés pour atteindre l’objectif de l’audit.

Constatations détaillées et recommandations

Constatation no 1 : Gouvernance à l’échelle du gouvernement

La présence de structures de gouvernance à l’échelle du gouvernement est l’un des résultats escomptés de la Politique sur la sécurité du gouvernement du Conseil du Trésor. En vertu de cette politique, la mise en place de ces structures est une responsabilité partagée entre 11 principaux organismes responsables de la sécurité. Même si les cadres de politiques du Conseil du Trésor n’en font pas encore pleinement état, SPC a également des responsabilités dans cette structure de gouvernance envers ses organisations partenaires et également du point de vue pangouvernemental.

Dans un environnement caractérisé par une interconnexion grandissante entre les systèmes, les décisions prises en matière de sécurité pour un système ou un ministère peuvent rapidement avoir des répercussions sur les autres. Il est donc important d’établir une gouvernance pangouvernementale clairement définie pour faire en sorte que chaque ministère contribue à la gestion efficace de la sécurité des TI dans l’ensemble du gouvernement.

L’audit a vérifié si les principaux organismes responsables de la sécurité, y compris SPC, s’acquittaient de leurs responsabilités à cet égard en vertu de la Politique sur la sécurité du gouvernement, de la Directive sur la gestion de la sécurité ministérielle, de la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) et du Plan de gestion des incidents de la TI du gouvernement du Canada. L’audit a porté sur les aspects suivants de la gouvernance liée à la sécurité des TI : les cadres de politiques, les comités et les structures organisationnelles, la planification stratégique, la gestion des risques, la surveillance et reddition de compte, et les programmes de sensibilisation.

Les instruments de politique fondamentaux ne sont pas à jour [L’information a été retranchée]

En vertu de la Politique sur la sécurité du gouvernement, le Secrétariat est chargé d’établir une orientation pangouvernementale et d’assumer la direction à l’égard des politiques sur la sécurité du gouvernement fédéral. Cette politique précise également que le CST est chargé pour sa part de concevoir des lignes directrices et des outils s’appliquant à la sécurité des TI à titre d’autorité technique nationale du gouvernement pour les renseignements électromagnétiques et la sécurité des télécommunications. En tant que fournisseur de services partagés et responsable d’une infrastructure commune de TI utilisée par 43 organisations partenaires, SPC doit définir ses rôles, ses responsabilités et ses obligations redditionnelles à l’égard de ses organisations partenaires conformément à la Directive sur la gestion de la sécurité ministérielle et à la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI).

En conformité avec les responsabilités qui lui sont confiées, le Secrétariat fournit une orientation pangouvernementale sur les rôles, les responsabilités et les attentes en lien avec la sécurité des TI, principalement au moyen des instruments de politique suivants : la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité ministérielle, la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI)et le Plan de gestion des incidents de la TI du gouvernement du Canada. Toutefois, la plupart de ces instruments n’ont pas été mis à jour depuis plusieurs années [L’information a été retranchée].

Les représentants du Secrétariat ont mentionné que les délais dans la mise à jour des instruments de politique sont principalement attribuables au besoin d’harmoniser le tout avec l’examen plus global des politiques du Conseil du Trésor présentement en cours.

[L’information a été retranchée] Voir la note en bas de page 24.

Plusieurs comités de gouvernance ont été mis sur pied, mais la coordination nécessite des améliorations.

La Politique sur la sécurité du gouvernement stipule que le Secrétariat a la responsabilité d’établir et de maintenir un régime de gouvernance liée à la sécurité interministérielle.Voir la note en bas de page 25 Elle précise également que les administrateurs généraux sont responsables de la mise en œuvre et de l’administration efficace de la gestion de la sécurité au sein de leur ministère. Étant donné que SPC est responsable de l’infrastructure commune de TI avec ses organisations partenaires, nous nous attendions à ce que l’administrateur général de SPC soit responsable de la gouvernance liée à la sécurité de cette infrastructure commune de TI.

Le Secrétariat dirige divers comités, groupes de travail et forums pour appuyer l’approche pangouvernementale en matière de sécurité des TI. En 2014-2015, le Comité consultatif sur la gestion de la fonction publique a mis sur pied un sous‐comité sur la gouvernance dirigé par le Secrétariat pour fournir une vision intégrée de la planification des TI à l’échelle du gouvernement fédéral.

SPC a mis en place une structure de comités exécutifs composée de plusieurs comités afin d’établir et de maintenir des relations de travail concertées avec ses organisations partenaires. La plupart de ces comités ne sont pas chargés particulièrement de la sécurité des TI, et traitent des questions de sécurité des TI de façon ponctuelle. SPC a également mis sur pied un Comité d’examen de la sécurité des opérations qui se consacre à la sécurité des TI et qui s’occupe d’examiner et d’évaluer les incidents liés à la sécurité des TI ainsi que leurs répercussions opérationnelles sur les partenaires de SPC.

Les autres principaux organismes responsables de la sécurité (p. ex. le Bureau du Conseil privé, Sécurité publique Canada, etc.) ont également mis sur pied des comités de gouvernance.

L’audit a constaté plusieurs interactions entre les comités de gouvernance; mais les liens hiérarchiques entre ceux-ci n’ont pas été formellement définis. [L’information a été retranchée].

Une structure de comités de gouvernance coordonnée, rationalisée et bien définie, assortie de rôles et de responsabilités clairs, permettrait d’améliorer l’efficience et l’efficacité de la gouvernance liée à la sécurité des TI [L’information a été retranchée].

La Politique sur la sécurité du gouvernement mentionne que « la sécurité est assurée lorsqu'elle est appuyée par la haute direction, une dimension qui fait partie intégrante de la planification stratégique et opérationnelle, et qu'elle est intégrée aux cadres, à la culture et aux activités courantes des ministères ainsi qu'aux comportements des employés ». Elle précise en outre qu’à l’échelle du gouvernement, il faut gérer les menaces à la sécurité, les risques et les incidents de façon proactive. Les principes énoncés dans la GSTI poussent un peu plus loin ces concepts en soulignant que le gouvernement doit être considéré comme une seule entité et que les efforts doivent être coordonnés entre les ministères, SPC et les principaux organismes responsables de la sécurité pour assurer la sécurité des TI.

Conformément à la Politique sur la sécurité du gouvernement, le Secrétariat a la responsabilité d’assurer une supervision stratégique, d’assumer la direction et d’établir les priorités en lien avec la sécurité du gouvernement (y compris la gestion des incidents pour les systèmes gouvernementaux).

La Politique sur la sécurité du gouvernement exige également que les administrateurs généraux de tous les ministères approuvent un plan de sécurité ministériel (PSM) qui précise les décisions en matière de gestion des risques liés à la sécurité et expose les stratégies, les buts, les objectifs, les priorités et les échéanciers élaborés en vue d’améliorer la sécurité ministérielle et de favoriser sa mise en œuvre. La Directive sur la gestion de la sécurité ministérielle apporte des précisions sur les exigences applicables aux PSM.

[L’information a été retranchée].

Le CST a publié un instrument d’orientation (c.-à-d. le document ITSG-33, annexe 1) dans lequel il recommande une approche précise pour assurer une gestion uniforme des risques liés à la sécurité des TI dans les ministères du gouvernement fédéral.

Conformément aux responsabilités qui lui ont été confiées, le Secrétariat a élaboré un Plan de gestion des incidents de la TI du gouvernement du Canada pour fournir un cadre organisationnel aux fins de la gestion des incidents de sécurité de la TI.

[L’information a été retranchée].

La Politique sur la sécurité du gouvernement exige que le Secrétariat examine l’efficacité et la mise en œuvre de cette politique, ainsi que de ses directives et normes connexes cinq ans après la date d’entrée en vigueur de la politique (c.‐à‐d. avant juillet 2014) et qu’il en rende compte au Conseil du Trésor.

En vertu de la Directive sur la gestion de la sécurité ministérielle, les ministères devraient mesurer le degré de réalisation des objectifs énoncés dans leur PSM et rendre compte des résultats aux comités de gouvernance responsables. Il leur faut notamment mesurer le rendement sur une base continue afin de veiller à ce qu’un niveau acceptable de risque résiduel lié à la sécurité des TI soit atteint et maintenu. Étant donné l’importance de l’infrastructure commune de TI utilisée par ses organisations partenaires, nous nous attendions à ce que SPC ait adopté des cadres de surveillance et de reddition de compte similaires pour faire face aux risques de sécurité auxquels est exposée cette infrastructure de TI.

[L’information a été retranchée]

Cadres de gouvernance à l’échelle du gouvernement

La gouvernance liée à la sécurité des TI à l’échelle du gouvernement s’exerce principalement au moyen d’instruments de politique, de comités de gouvernance et d’activités de surveillance. Les principaux organismes responsables de la sécurité à cet égard sont le Secrétariat, le CST et SPC.

[L’information a été retranchée]

Recommandations – Gouvernance à l’échelle du gouvernement

  1. Le Secrétariat devrait s’assurer que des plans appropriés sont en place et qu’ils font l’objet d’une surveillance régulière pour accélérer le renouvellement de son cadre de politiques pour la sécurité des TI. [L’information a été retranchée].
  2. [L’information a été retranchée].
  3. [L’information a été retranchée].
  4. [L’information a été retranchée].
  5. [L’information a été retranchée].
  6. Dans le cadre de son initiative de renouvellement de l’ensemble des politiques, le Secrétariat devrait évaluer le besoin de rendre compte de la mise en œuvre et de l’efficacité de ses instruments de politique actuels sur la sécurité (conformément aux exigences de la Politique sur la sécurité du gouvernement).
  7. [L’information a été retranchée].

Constatation no 2 : Gouvernance à l’échelle du ministère

La Politique sur la sécurité du gouvernement stipule que les administrateurs généraux sont responsables de la mise en œuvre et de l’administration efficace de la gestion de la sécurité au sein de leur ministère et qu’ils partagent la responsabilité d’assurer la sécurité du gouvernement dans son ensemble.

Comme pour la gouvernance à l’échelle du gouvernement, l’audit a examiné la mesure dans laquelle les ministères s’acquittaient de leurs responsabilités dans ce domaine en vertu de la Politique sur la sécurité du gouvernement, de la Directive sur la gestion de la sécurité ministérielle et de la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI). L’audit a ciblé les aspects suivants de la gouvernance ministérielle liée à la sécurité des TI : les cadres de politique, les comités et les structures organisationnelles, la planification stratégique, la gestion des risques, la surveillance et la reddition de compte, ainsi que les programmes de sensibilisation.

En général, les ministères ont des politiques ministérielles en matière de sécurité des TI, mais elles doivent être mises à jour.

Aux termes de la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI), tous les ministères doivent se doter d’une politique interne sur la sécurité des TI, qui est examinée par leur coordonnateur de la sécurité des TI (CSTI) et approuvée par la haute direction. Ces politiques doivent être communiquées aux intervenants et porter au moins sur tous les aspects énumérés dans la section 10 de la GSTI (p. ex. la définition des rôles et des responsabilités). La GSTI stipule également que les pratiques de sécurité des TI doivent tenir compte de l’évolution de l’environnement.

L’audit a constaté que tant les grands que les petits ministères avaient des politiques ministérielles qui comprenaient en général les éléments exigés dans la GSTI. Toutefois, la plupart des petits ministères n’ont pu fournir de documentation permettant de vérifier l’examen ou l’approbation de leur politique de sécurité des TI.

De plus, des mécanismes n’étaient pas en place dans la plupart des grands et petits ministères pour s’assurer que les politiques ministérielles de sécurité des TI étaient mises à jour en temps opportun pour tenir compte de l’évolution de l’environnement (p. ex. le transfert de responsabilités à SPC). [L’information a été retranchée].

Les structures de gouvernance ministérielles à l’appui de la coordination des activités en matière de sécurité des TI sont généralement en place et sont conformes aux exigences des politiques du Conseil du Trésor.

La Politique sur la sécurité du gouvernement exige que les ministères nomment un agent de sécurité du ministère (ASM), qui relève fonctionnellement de l’administrateur général ou du comité exécutif ministériel, pour gérer le programme de sécurité du ministère. D’ailleurs, la GSTI exige que les ministères nomment un CSTI, qui doit avoir au moins un rapport hiérarchique fonctionnel à la fois avec le dirigeant principal de l’information et l’ASM. Le CSTI a la responsabilité de mettre en place et de gérer un programme ministériel de sécurité des TI dans le cadre d’un programme ministériel de sécurité coordonné. Enfin, la GSTI exige également que les ministères nomment une personne ou établissent un centre pour coordonner la réaction aux incidents et agir comme point de contact pour les communications concernant la réaction aux incidents à l’échelle du gouvernement. Les ministères qui n’ont pas de centre de protection de l’information devraient confier cette fonction au CSTI.

La Directive sur la gestion de la sécurité ministérielle exige que les ministères veillent à ce que les responsabilités, les délégations, les rapports hiérarchiques ainsi que les rôles et les responsabilités des employés ministériels exerçant des responsabilités de sécurité soient définis, documentés et communiqués aux personnes concernées. Aux termes de la Directive, les ministères doivent également établir des mécanismes de gouvernance de la sécurité (p. ex. des comités, des groupes de travail) pour assurer la coordination et l’intégration des activités de sécurité et faciliter la prise de décisions.

L’audit a révélé que tous les ministères avaient mis sur pied des comités formels à l’appui de la coordination de leurs activités organisationnelles, y compris celles liées à la sécurité des TI. L’audit a constaté que certains grands et petits ministères avaient établi à titre de pratique exemplaire des comités consacrés particulièrement à la surveillance des activités liées à la sécurité des TI.

Les structures de gouvernance ministérielles respectaient en partie les exigences du Conseil du Trésor. Toutefois, en ce qui concerne la plupart des petits ministères, l’audit a constaté que les rôles, les responsabilités et les obligations redditionnelles des personnes ayant des responsabilités en matière de sécurité (p. ex. l’ASM, le CSTI et les responsables de la coordination de la réaction aux incidents) n’étaient pas définis ou communiqués de façon formelle. Les représentants de certains petits ministères ont mentionné qu’à leur avis, l’approche informelle actuelle répondait à leurs besoins compte tenu de la petite taille de leur ministère.

La communication formelle des rôles, des responsabilités et des obligations redditionnelles des personnes ayant des responsabilités en matière de sécurité favoriserait une compréhension accrue des attentes ainsi qu’une meilleure coordination des activités liées à la sécurité des TI.

[L’information a été retranchée].

La Politique sur la sécurité du gouvernement exige que les administrateurs généraux approuvent un PSM qui expose en détail les décisions en matière de gestion des risques liés à la sécurité et décrit les stratégies, les buts, les objectifs, les priorités et les échéanciers pour améliorer la sécurité ministérielle et favoriser sa mise en œuvre. La Directive sur la gestion de la sécurité ministérielle fournit d’autres lignes directrices sur les éléments exigés dans un PSM.

Le Plan de gestion des incidents de la TI du gouvernement du Canada exige que tous les ministères aient des processus et plans de gestion des incidents harmonisés avec le processus décrit dans le document et intégrés à leur PSM. La capacité de détecter les incidents et d’y donner suite de façon coordonnée et cohérente est essentielle pour assurer la sécurité des systèmes gouvernementaux.

[L’information a été retranchée].

Le Cadre de gestion du risque stipule que les administrateurs généraux sont chargés de gérer les risques auxquels leur organisation est exposée en dirigeant la mise en œuvre de pratiques efficaces de gestion du risque, de manière formelle et informelle. D’après les principes de ce cadre, la gestion efficace du risque dans la fonction publique fédérale devrait être intégrée et systématique. Cela implique une démarche systématique continue et proactive visant à comprendre, à gérer et à communiquer les risques du point de vue de l’ensemble de l’organisation. La gestion intégrée des risques favorise la prise de décisions stratégiques qui contribuent à l’atteinte des objectifs globaux.

Pour appuyer ces principes de gestion du risque, le CST a publié un instrument d’orientation (c.‐à‐d. le document ITSG‐33, annexe 1) qui recommande l’adoption d’une approche particulière pour assurer une gestion uniforme des risques liés à la sécurité des TI dans les ministères fédéraux.

L’audit a constaté que la plupart des grands ministères ont adopté des processus de gestion systématique du risque tenant compte des risques liés à la sécurité des TI. [L’information a été retranchée]

La Politique sur la sécurité du gouvernement exige que les administrateurs généraux veillent à l’exécution d’examens périodiques pour établir si le programme de sécurité ministérielle est efficace, si les buts, les objectifs stratégiques et les objectifs de contrôle précisés dans leur PSM ont été atteints, et si le PSM continue de répondre aux besoins du ministère et du gouvernement dans son ensemble.

La GSTI stipule que les ministères doivent effectuer une évaluation annuelle de leurs programmes et pratiques de sécurité des TI afin de vérifier leur conformité aux politiques et aux normes de sécurité du gouvernement et du ministère.

[L’information a été retranchée].

Cadres de gouvernance à l’échelle des ministères

Des cadres de gouvernance de la sécurité des TI sont en place dans les ministères. Ils sont harmonisés, pour la plupart, avec les orientations données par le Secrétariat et comprennent les éléments suivants : les politiques sur la sécurité des TI, les structures et comités de gouvernance, les plans de sécurité ministériels, et les processus de gestion systématique des risques portant sur la sécurité des TI.

Les grands et les petits ministères pourraient apporter les améliorations suivantes à leur cadre de gouvernance : mettre à jour en temps opportun leurs politiques sur la sécurité des TI; [L’information a été retranchée]

Recommandations – Gouvernance à l’échelle des ministères

  1. Les ministères devraient s’assurer de mettre à jour leurs politiques sur la sécurité des TI en temps opportun pour tenir compte de l’évolution de l’environnement opérationnel.
  2. [L’information a été retranchée] ministères devraient veiller à définir et à communiquer de façon formelle les rôles, les responsabilités et les obligations redditionnelles des personnes ayant des responsabilités en matière de sécurité.
  3. [L’information a été retranchée]
  4. [L’information a été retranchée]
  5. [L’information a été retranchée]

Constatation no 3 : Cadres de contrôle ministériels sélectionnés

Reconnaissant qu’une mesure ne peut prévenir toutes les cyberactivités malveillantes à elle seule, l’audit a concentré son examen sur les cadres de contrôle mis en place pour les systèmes gouvernementaux non classifié à l’échelle de l’infrastructure de TI (p. ex. les serveurs) ainsi que des ministères (p. ex. pour les postes de travail) [L’information a été retranchée].Voir la note en bas de page 26

Recommandation – Cadres de contrôle particuliers

  1. [L’information a été retranchée]

Conclusion

[L’information a été retranchée]

Réponse de l’équipe de gestion

Les constatations et les recommandations de l’audit ont été présentées à l’équipe de gestion des huit grands ministères, des quatre principaux organismes de sécurité (y compris le Secrétariat), de Services partagés Canada et des sept petits ministères visés par l’audit.

L’équipe de gestion de tous les ministères a accepté les constatations du présent rapport et prendra les mesures qui s’imposent pour donner suite à toutes les recommandations applicables.

Annexe A : Politiques, directives et guides pertinents

Politiques, directives et guides Description
Cette politique a pour objectif de veiller à ce que les administrateurs généraux gèrent efficacement les activités de sécurité au sein des ministères et contribuent à la gestion efficace de la sécurité à l’échelle du gouvernement.
Cette directive a pour objectif d’assurer une gestion efficace et responsable de la sécurité dans les ministères.

Les objectifs de cette directive sont les suivants :

  • Assurer l’utilisation efficace et efficace des TI à l’appui des priorités du gouvernement fédéral, de l’exécution des programmes, d’une capacité d’innovation et de production accrues et de l’amélioration des services.
  • Appuyer la gestion des TI à l’échelle du gouvernement en offrant des pratiques de gestion matures et éprouvées afin de réduire le chevauchement, de favoriser l’adoption d’autres modèles de services, notamment les services communs et partagés, de promouvoir l’harmonisation et l’interopérabilité, et d’optimiser la prestation des services.
Cette norme définit les exigences de sécurité de base que les ministères fédéraux doivent satisfaire pour assurer la sécurité des TI sous leur contrôle.
Cette publication du CST a été élaborée dans le but d’aider les ministères fédéraux à envisager les questions de sécurité dès le début d’un programme ou projet, afin d’assurer la prévisibilité et l’économie.
  • [L’information a été retranchée]
[L’information a été retranchée]
  • [L’information a été retranchée]
[L’information a été retranchée]
Le Plan de gestion des incidents de la TI du gouvernement du Canada établit un cadre opérationnel aux fins de la gestion des événements et des incidents de sécurité de la TI susceptibles d’avoir ou qui ont eu une incidence sur les réseaux informatiques du GC.

Annexe B : Ministères visés par l’audit

De grands et petits ministères ont été choisis aux fins de cet audit aux termes d’une évaluation des risques et d’un exercice de déclaration volontaire menés dans le cadre de la planification de l’audit axé sur les risques du Bureau du contrôleur général. Certains ministères ont été inclus à titre de ministère seulement. Le Secrétariat a été inclus à titre de ministère et de principal organisme chargé de la sécurité pour son rôle dans l’élaboration de politiques. Services partagés Canada a été inclus pour son rôle opérationnel à titre de fournisseur de services communs et le CST, le Bureau du Conseil privé et Sécurité publique Canada, pour leur rôle à titre de principal organisme de sécurité.

Les grands ministères suivants ont été sélectionnés aux fins d’inclusion dans l’audit :

Les petits ministères suivants ont été sélectionnés aux fins d’inclusion dans l’audit :

  • Agence de développement économique du Canada pour les régions du Québec (DECRQ)Voir la note en bas de page *
  • Commissariat aux langues officielles (CLO)
  • Commission canadienne des grains (CCG)
  • Commission canadienne de sûreté nucléaire (CCSN)Voir la note en bas de page *
  • Commission de l’immigration et du statut de réfugié du Canada (CISR)Voir la note en bas de page *
  • Office national de l’énergie (ONE)
  • Secrétariat des conférences intergouvernementales canadiennes (SCIC)

Annexe C : Champs d’enquête et critères d’audit

Les critères d’audit sont présentés dans le tableau ci-dessous par champ d’enquête.

Champ d’enquête Critère Source

1. Gouvernance de la sécurité des TI à l’échelle du gouvernement

Il existe à l’échelle de l’administration publique des cadres de gouvernance en matière de gestion de la sécurité des TI.

1.1 Un cadre de la politique de sécurité des TIVoir la note en bas de page 27 qui officialise les rôles, les responsabilités et les attentes en matière de sécurité des TI est en place et a été mis à jour pour tenir compte de l’environnement opérationnel.

PSGVoir la note en bas de page 28(Annexe B);

DGSMVoir la note en bas de page 29 (6.1.5)

1.2 Des organismes interministériels de surveillance de la gestion de la sécurité des TI ont été mis sur pied.

PSG (Annexe B);

DGSM (6.1.6)

1.3 Un plan de sécurité des TI rattaché aux priorités stratégiques pangouvernementales a été élaboré et communiqué.

PSG (Annexe B);

GSTIVoir la note en bas de page 30(4);

Directive sur la gestion de la sécurité ministérielle, sous-sections 8.1.2–8.1.4

1.4 Un plan de ressources humaines pour les professionnels de la sécurité des TI a été établi et est harmonisé avec les priorités et les plans à l’échelle du gouvernement.

PSG (Annexe B);

Plan d’action 2010-2015 de la Stratégie de cybersécurité du Canada;

Directive sur la gestion de la sécurité ministérielle (8.1.5);

COBITVoir la note en bas de page 31 (APO07)

1.5 Une approche de gestion des risques liés à la sécurité des TI applicable à l’échelle pangouvernementale a été établie.

PSG (Annexe B);

GSIT (4)

1.6 Il existe une surveillance et un compte rendu à l’échelle du gouvernement concernant la réalisation des attentes stratégiques, la conformité aux exigences, et le soutien offert par les principaux organismes de sécurité pour éclairer la prise de décisions.

PSG (6.3);

GSIT (12.11.1)

1.7 Des outils communs et des programmes coordonnés de formation et de sensibilisation en matière de sécurité des TI sont offerts à l’échelle du gouvernement. PSG (Annexe B)

2. Gouvernance de la sécurité des TI dans les ministères

Il existe au sein des ministères et organismes des cadres de gouvernance en matière de gestion de la sécurité des TI.

2.1 Des politiques ministérielles de sécurité des TI conformes au cadre gouvernemental de politiques sur la sécurité des TI ont été élaborées et communiquées dans les ministères.

GSTI (9.2 et 10);

DGSM (6.1.5)

2.2 Des organismes ministériels de surveillance de la gestion de la sécurité des TI ont été mis sur pied.

PSG (6.1.1);

DGSM (6.1.6);

DGTI (6.1.1)

2.3 Un plan de sécurité des TI conforme aux priorités ministérielles et pangouvernementales a été élaboré, communiqué et tenu à jour.

PSG (6.1.1 et 6.1.3–6.1.5);  

DGSM (6.1.1–6.1.4)

2.4 Un plan de ressources humaines pour les professionnels de la sécurité des TI a été établi et est harmonisé avec les priorités et les plans ministériels et pangouvernementaux.

GSTI (9.2, 11 et 12.13);

DGTI (6.1.2);

COBIT (APO07 – Gestion  RH)

2.5 Une approche ministérielle de gestion des risques liés à la sécurité des TI a été élaborée et mise en œuvre.

DGSM (6.1.7 et 6.1.8);

GSTI (4, 12.2, 12.3, 12.5 et 12.6);

ITSG-33Voir la note en bas de page 32

2.6 Des rapports ministériels portant sur la conformité aux politiques et le rendement du programme de sécurité des TI sont rédigés pour éclairer la prise de décisions.

PSG (6.3);

DGSM (6.1.9–6.1.12);  

GSTI (12.11, 18.4 et 18.6)

3. Cadres de contrôle ministériels de la sécurité des TI

Des cadres de contrôle particuliers sont en place dans les ministères pour surveiller et atténuer les risques liés à la sécurité des TI.

3.1 [L’information a été retranchée]. [L’information a été retranchée]Voir la note en bas de page 33,Voir la note en bas de page 34
3.2 [L’information a été retranchée]. [L’information a été retranchée]
3.3 [L’information a été retranchée]. [L’information a été retranchée]

Annexe D : Recommandations par ministère et niveau de priorité

Le tableau qui suit présente les ministères visés par les recommandations de l’audit et attribue un niveau de priorité fondé sur le risque (élevé, moyen, faible) à chaque recommandation. Le classement des risques est fonction de l’importance relative des recommandations et de la mesure dans laquelle celles-ci reflètent une non-conformité des politiques du Conseil du Trésor. L’annexe B contient le nom complet des ministères.

Recommandation Ministère concerné par cette recommandationVoir la note en bas de page 35 Niveau de prioritéVoir la note en bas de page 36
1. Le Secrétariat devrait s’assurer que des plans appropriés sont en place et qu’ils font l’objet d’une surveillance régulière pour accélérer le renouvellement de son cadre de politiques pour la sécurité des TI. [L’information a été retranchée]. SCT Élevé
2. [L’information a été retranchée] [L’information a été retranchée] [L’information a été retranchée]
3. [L’information a été retranchée] [L’information a été retranchée] [L’information a été retranchée]
4. [L’information a été retranchée] [L’information a été retranchée] [L’information a été retranchée]
5. [L’information a été retranchée] [L’information a été retranchée] [L’information a été retranchée]
6. Dans le cadre de son initiative de renouvellement de l’ensemble des politiques, le Secrétariat devrait évaluer le besoin de rendre compte de la mise en œuvre et de l’efficacité de ses instruments de politique actuels sur la sécurité (conformément aux exigences de la Politique sur la sécurité du gouvernement). SCT Moyen
7. [L’information a été retranchée] [L’information a été retranchée] [L’information a été retranchée]
8. Les ministères devraient s’assurer de mettre à jour leurs politiques sur la sécurité des TI en temps opportun pour tenir compte de l’évolution de l’environnement opérationnel. [L’information a été retranchée] Moyen
9. [L’information a été retranchée] ministères devraient veiller à définir et à communiquer de façon formelle les rôles, les responsabilités et les obligations redditionnelles des personnes ayant des responsabilités en matière de sécurité. [L’information a été retranchée] Moyen
10. [L’information a été retranchée] [L’information a été retranchée] [L’information a été retranchée]
11. [L’information a été retranchée] [L’information a été retranchée] [L’information a été retranchée]
12. [L’information a été retranchée] [L’information a été retranchée] [L’information a été retranchée]
13. [L’information a été retranchée] [L’information a été retranchée] [L’information a été retranchée]

Annexe E : Processus de gestion des risques liés à la sécurité des TI recommandé dans le guide ITSG-33Voir la note en bas de page 37

Pour gérer de façon efficace et efficiente les risques liés à la sécurité des TI, le guide ITSG-33 décrit une approche que les ministères peuvent adapter selon leur culture, leur mission et leurs objectifs opérationnels, les besoins de leur organisation en matière de sécurité, et les menaces liées à leurs activités opérationnelles.

La figure 1 illustre le processus de gestion des risques liés à la sécurité des TI proposé dans la norme ITSG-33. Elle montre que les activités de gestion des risques liés à la sécurité des TI y sont orchestrées à deux échelons au sein de l’organisation, soit à l’échelon ministériel et à l’échelon des systèmes d’information.

Figure 1 : Processus de gestion des risques liés à la sécurité des TI
Processus de gestion des risques liés à la sécurité des TI. Version textuelle ci-dessous:
Figure 1 - Version textuelle

La figure 1 illustre les activités de gestion des risques liés à la sécurité des TI de haut niveau ainsi que les activités de gestion des risques liés à la sécurité des systèmes d’information qui seront décrites plus loin dans le document. Elle met également en évidence la façon dont les activités de gestion des risques aux deux niveaux interagissent dans un processus continu pour maintenir et améliorer efficacement la posture de sécurité des systèmes d’information ministériels.

* Le présent audit a porté sur le processus recommandé dans le guide ITSG-33, annexe 1.

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :