Fiche descriptive : Comité permanent des comptes publics – 30 mars 2023
Navigation pour document « Comité permanent des comptes publics : 30 mars 2023 »
Information en lien à l’approvisionnement
Recommandation 7.7.2
Services publics et Approvisionnement Canada (SPAC) et Services partagés Canada devraient inclure des critères environnementaux dans le cadre de l’approvisionnement en services infonuagiques afin de favoriser la durabilité des pratiques d’approvisionnement et de contribuer à l’atteinte de l’objectif de carboneutralité du Canada :
- en date de janvier, Services publics et Approvisionnement Canada élabore des clauses liés aux objectifs de réduction des gaz à effet de serre qui seront intégrées aux clauses contractuelles résultantes de l’arrangement en matière d’approvisionnement pour les logiciels‑services et s’assure que le langage est aligné avec celui utilisé par Services partagés Canada dans ses ententes‑cadres sur les services infonuagiques
- SPAC et Services partagés Canada, dans le cadre du Groupe de travail sur l’approvisionnement infonuagique du gouvernement du Canada, recueillent les commentaires de l’industrie sur un projet de gabarit commun pour l’approvisionnement infonuagique qui sera amélioré au fil du temps. Le projet initial inclura des dispositions portant sur les considérations environnementales. Des sessions individuelles sont en cours avec les vendeurs à la suite d'une demande d'information qui a pris fin le 30 novembre 2022
Les recommandations 7.31 et 7.47
Les recommandations 7.31 et 7.47 sont dirigées au Secrétariat du Conseil du Trésor, mais impliquent SPAC. 7.31 indique: En consultation avec Services partagés Canada et Services publics et Approvisionnement Canada, le Secrétariat du Conseil du Trésor du Canada devrait faire ce qui suit : étendre les exigences relatives aux mesures de sécurité aux contrats de services infonuagiques qui découlent d’arrangements en matière d’approvisionnement établis par Services publics et Approvisionnement Canada. Préciser qui est responsable de la validation initiale et de la surveillance en continu des mesures de sécurité d’informatique en nuage ainsi que les processus à suivre.
- dans son Plan d’action, le Secrétariat du Conseil du Trésor (SCT) indique qu’il compte clarifier et prolonger les processus devant être suivis pour les contrats attribués aux fournisseurs de services infonuagiques par SPAC dans le cadre des mises à jour à la procédure normalisée d’exploitation pour valider les contrôles de protection du nuage d’ici décembre 2022
- en date de janvier 2023, le SCT travaille toujours sur cette orientation à l’intention des ministères. Le SCT pense actuellement que la gestion des contrôles de protection dans le cadre des contrats de SPAC serait principalement effectuée par les ministères clients
- dans son Plan d’action, le SCT indique qu’il va mettre à jour les contrôles de protection du nuage du gouvernement du Canada et la Directive sur les services et le numérique pour refléter les contrôles de protection qui s’appliquent aux services infonuagiques, y compris les services infonuagiques fournis par Services publics et Approvisionnement Canada d’ici janvier 2023
- en date de janvier 2023, le SCT n’a pas finalisé sa directive
Recommandation 7.47
Recommandation 7.47 indique: En consultation avec le Centre de la sécurité des télécommunications du Canada, Services partagés Canada, Services publics et Approvisionnement Canada et les ministères, le Secrétariat du Conseil du Trésor du Canada devrait documenter les rôles et responsabilités nécessaires pour concevoir, mettre en œuvre, valider, surveiller, coordonner et appliquer les contrôles de sécurité nécessaires pour protéger les renseignements sensibles et personnels stockés dans le nuage et communiquer ces rôles et responsabilités de façon proactive à tout ministère qui a recours aux services infonuagiques ou qui envisage d’y avoir recours. Le Secrétariat devrait revoir et actualiser ces rôles et responsabilités au moins tous les 12 mois :
- dans son Plan d’action, le SCT indique qu’il publiera la matrice des responsabilités liées à l’infonuagique afin d’indiquer officiellement les personnes responsables de valider et de surveiller de façon continue les contrôles de protection, de les superviser et d’en assurer la conformité d’ici la fin de septembre 2022
- en date de janvier 2023, SPAC supporte le SCT dans l’élaboration de la matrice des responsabilités liées à l’infonuagique, mais le SCT ne l’a pas encore finalisée
- dans son Plan d’action, le SCT indique qu’il effectuera aussi un examen pour faire en sorte que les rôles et les responsabilités requis à l’appui de la conception, de la mise en œuvre, de la validation, de la surveillance, de la coordination et de l’exécution de tous les contrôles de sécurité nécessaire pour protéger les renseignements personnels et de nature délicate dans le nuage sont pertinents, mis à jour et documenté dans la matrice des responsabilités liées à l’infonuagique d’ici mars 2023
- en date de janvier 2023, SPAC supporte le SCT dans l’élaboration de la matrice des responsabilités liées à l’infonuagique, mais le SCT ne l’a pas encore finalisée
Information relative à la surveillance ministérielle
Dans le cadre du modèle d’évaluation des fournisseurs de services infonuagiques à responsabilité partagée, le Programme de sécurité des contrats est responsable de ce qui suit :
- effectuer des inspections de sécurité matérielle, en examinant les « facteurs de sécurité physique et de sécurité du personnel » associés à l’exigence de résidence des données au Canada
- les inspections de sécurité physique comprennent une évaluation des diverses mesures de protection physique que le fournisseur doit mettre en place pour contrôler adéquatement l’accès aux locaux et aux données qui sont proportionnelles au niveau de classification des données qu’il détiendra. Dans le cas des fournisseurs de services infonuagiques hyperscale, nous nous intéressons plus particulièrement aux centres de données au Canada
- le facteur de sécurité du personnel fait référence à la vérification, par le biais de l’inspection de sécurité physique, que le personnel du fournisseur travaillant avec ces données et/ou dans les centres de données a la cote de sécurité du personnel appropriée pour le faire. Cela inclut les « utilisateurs privilégiés » qui ont besoin d’un niveau de filtrage de sécurité plus élevé que le niveau de sécurité des données auxquelles ils peuvent avoir accès en raison du fait qu’ils peuvent potentiellement avoir un large accès aux données agrégées réelles
Les ministères clients ont les responsabilités suivantes :
- effectuer une évaluation informatique locale avant l’exécution de chaque contrat individuel. Cela est nécessaire pour s’assurer que tous les risques résiduels sont acceptables pour eux avant qu’ils ne procèdent à l’exécution du contrat
- envoyer une nouvelle liste de vérification des exigences de sécurité au programme de sécurité des contrats chaque fois qu’il fait une demande d’utilisation d’un service auprès des fournisseurs de services cloud dans le cadre des véhicules d’approvisionnement établis, car c’est ce qui « déclenche » toute inspection de renouvellement des fournisseurs de cloud
Le Centre canadien pour la cybersécurité est responsable de :
- l’évaluation de la sécurité informatique des fournisseurs. L’évaluation comprend une évaluation de l’intégrité de la chaîne d’approvisionnement et garantit que l’infrastructure et les processus informatiques du fournisseur se situent dans des seuils de risque moyen à moyen
Réponses aux recommandations de la vérificatrice générale
- Services publics et Approvisionnement Canada a accepté les recommandations du vérificateur général et le Programme de sécurité des contrats a franchi l’étape provisoire clé [qui était] prévue pour le 30 décembre 2022 et est en voie d’atteindre le deuxième jalon provisoire prévu le 31 mars 2023
- [Caviardé]
Navigation pour document « Comité permanent des comptes publics : 30 mars 2023 »
Détails de la page
- Date de modification :