Comité permanent des comptes publics: Rapport de la vérificatrice générale sur la cybersécurité des réseaux et des systèmes du gouvernement
Déclaration
Scott Jones
Président
Services partagés Canada
Ottawa (Ontario)
26 janvier 2026
Je vous remercie, Monsieur le Président, de nous donner l’occasion de discuter du rapport de la vérificatrice générale sur la cybersécurité des réseaux et des systèmes du gouvernement.
Avant de commencer, je tiens à reconnaître que nous sommes sur le territoire traditionnel non cédé du peuple anishinabé algonquin.
Je suis ici aujourd’hui avec Patrice Nadeau, sous-ministre adjoint principal de la Direction générale des services de connectivité et de sécurité.
Introduction
Services partagés Canada (SPC) accueille favorablement les conclusions de la vérificatrice générale et travaille à résoudre les problèmes soulevés.
Il est important de noter que la vérificatrice générale a constaté que le gouvernement disposait d’outils pour protéger et défendre ses réseaux et que le plan de cybersécurité du gouvernement était solide et complet.
En tant que fournisseur de services informatiques aux ministères et aux organismes, SPC joue un rôle central.
En effet, SPC bloque environ 6,5 trillions de cybermenaces par année, soit en moyenne 18 milliards par jour. Cela permet d’assurer le fonctionnement ininterrompu des services gouvernementaux.
Pour ce faire, nous disposons d’une infrastructure d’entreprise de pointe et de solutions de cybersécurité commerciales modernes qui défendent les systèmes gouvernementaux contre un large éventail de cybermenaces.
SPC utilise plusieurs niveaux de défense, notamment des pare feu, des systèmes de défense des réseaux, des mesures contre le déni de service, des outils antivirus et anti maliciels, le cryptage, des réseaux privés virtuels (RPV) ainsi que des services d’identification et d’authentification robustes.
Nous avons un excellent partenariat avec le Secrétariat du Conseil du Trésor (SCT) et le Centre de la sécurité des télécommunications (CST).
Comme l’a souligné la vérificatrice générale, cette collaboration est absolument indispensable, et nous continuons à l’améliorer. Nous effectuons régulièrement des analyses rétrospectives des cyberévénements afin de déterminer comment nous améliorer.
Ensemble, SPC et le Centre canadien pour la cybersécurité du CST fournissent des cyberdéfenses hautement sophistiquées qui vont au delà des capacités commerciales. Nous offrons l’une des cyberdéfenses les plus avancées au monde.
La cybersécurité est un domaine qui évolue rapidement et nous travaillons continuellement pour rester à la fine pointe de la technologie.
Cela dit, il reste encore beaucoup à faire, comme l’a souligné à juste titre la vérificatrice générale.
Nous partageons les préoccupations de la vérificatrice générale concernant les organisations qui n’utilisent pas le service Internet d’entreprise de SPC. L’environnement des menaces évoluant rapidement et il est clair que ce modèle doit évoluer.
C’est pourquoi SPC travaille à la prestation de services de connectivité et de sécurité pour 43 petits ministères et organismes. Le travail devrait être achevé d’ici la fin mars 2027.
La vérificatrice générale a également mis l’accent sur un projet appelé « Visibilité, sensibilisation et sécurité des points d’extrémité (VSSPE) ». C’est l’un des outils que SPC ajoute à son environnement de cybersécurité.
Le projet VSSPE identifiera automatiquement les points d’extrémité connectés aux réseaux, tels que les ordinateurs de bureau et les serveurs, et vérifiera qu’ils répondent aux exigences de sécurité. Contrairement à notre système semi manuel, le projet VSSPE est automatisé et permet d’évaluer les vulnérabilités et les impacts en temps réel.
Le projet VSSPE offrira aussi une réponse automatisée en réaction aux cyberévénements.
Bien que ce projet ait connu des retards, notre organisation en a tiré un certain nombre de leçons. Le projet a maintenant atteint un point tournant et, depuis le début de sa mise en œuvre en juillet 2025, plus de 36 000 déploiements ont été complétés.
La vérificatrice générale a également souligné notre projet d’élaboration d’un système de gestion des informations et des événements de sécurité (GIES). Je tiens à vous assurer que nous sommes en bonne voie pour attribuer un marché concurrentiel pour ce projet au début de 2026.
En outre, SPC exploite une capacité provisoire de GIES qui lui permet de répondre aux besoins prioritaires et de soutenir une intervention efficace face aux cybermenaces.
Conclusion
Monsieur le Président, depuis la création de SPC, nous avons transformé le modèle opérationnel du gouvernement, passant d’un modèle cloisonné et décentralisé à une approche d’entreprise pangouvernementale.
Cela permet non seulement de réduire les coûts, mais aussi de renforcer la sécurité à l’échelle du gouvernement. Il est plus facile de surveiller, de corriger et de réparer un seul système que 45 systèmes distincts.
Nous n’avons cependant pas fini. SPC simplifie la gestion des appareils et des logiciels en centralisant l’approvisionnement et les opérations. Cela permet de réaliser des économies considérables et de réduire les risques d’incohérences dans les politiques de sécurité.
Nous continuons également de réduire le dédoublement en remplaçant des outils administratifs cloisonnés par des outils standardisés à l’échelle du gouvernement.
Les vieux systèmes sont également plus vulnérables aux cybermenaces. La modernisation des systèmes existants améliore donc notre position en matière de sécurité.
En bref, tout ce que nous faisons pour consolider et moderniser les systèmes informatiques est essentiel pour améliorer la cybersécurité.
Monsieur le président, les rapports de la vérificatrice générale sont aussi un outil important qui nous permet de rendre des comptes et d’améliorer nos opérations.
La cybersécurité est un domaine en constante évolution avec des acteurs qui ne suivent pas nos règles. Les améliorations sont essentielles pour protéger les systèmes informatiques du gouvernement.
Je vous remercie de m’avoir donné l’occasion de m’exprimer sur ce dossier important et je serai heureux de répondre à vos questions.