Sélection de la langue

Auditor General of Canada Auditor General of Canada

Recherche

La cybersécurité des réseaux et des systèmes du gouvernement

L’approche du gouvernement fédéral en matière de défense contre les cybermenaces présente des lacunes
image de bannière

Métadonnées du rapport

Date de dépôt :
Entités vérifiées :
Centre de la sécurité des télécommunications Canada
Services partagés Canada
Secrétariat du Conseil du Trésor du Canada
Report type
Rapports de la vérificatrice générale
Communiqué
Demander un autre format

Survol

Dans l’ensemble, nous avons conclu que le gouvernement fédéral disposait d’outils pour protéger et défendre ses réseaux et ses systèmes contre les cyberattaques; toutefois, il y avait d’importantes lacunes dans les services de cybersécurité, la surveillance et les interventions lorsque des attaques se produisent. Au moment où les cyberattaques deviennent de plus en plus sophistiquées, répandues et graves, le gouvernement fédéral doit consolider continuellement ses mécanismes de défense.

La responsabilité de protéger les systèmes et opérations de technologie de l’information du gouvernement incombe conjointement au Secrétariat du Conseil du Trésor du Canada, au Centre de la sécurité des télécommunications Canada et à Services partagés Canada. Les organisations collaborent entre elles et avec les ministères et organismes pour prévenir le vol de données et limiter la perturbation des systèmes qui assurent la prestation de programmes et de services à la population canadienne. Toutefois, le fait que certaines organisations fédérales n’étaient pas assujetties aux mêmes politiques de sécurité a entraîné une utilisation incohérente des services de cybersécurité disponibles. Les lacunes dans les mécanismes de défense de cybersécurité empêchent le gouvernement de protéger les renseignements essentiels et de gérer les risques liés à la cybersécurité.

Pour protéger les réseaux et les systèmes fédéraux, le gouvernement doit également analyser les faiblesses potentielles de tous ses appareils, y compris les ordinateurs portables, les téléphones intelligents et les serveurs. Notre audit a révélé que Services partagés Canada et le Centre de la sécurité des télécommunications Canada ne disposaient pas d’un inventaire complet et à jour de tous les biens de technologie de l’information du gouvernement. En 2017, Services partagés Canada avait commencé à développer un projet de cybersécurité conçu pour fournir une vue complète des appareils dont dispose le gouvernement, mais le projet n’a pas été mené à terme. Faute de renseignements à jour sur les technologies de l’information à l’échelle de tous les ministères et organismes, le gouvernement fédéral risque de ne pas être bien informé des enjeux en matière de cybersécurité qui évoluent constamment, et encore moins d’y répondre rapidement.

Nous avons également constaté que la coordination entre les trois organisations n’était pas suffisante lorsque des attaques se produisaient. Par exemple, l’absence d’échange d’information a retardé la réponse du gouvernement à une cyberattaque majeure en janvier 2024, ce qui a permis au responsable de la cyberattaque d’accéder de façon prolongée à des renseignements personnels. Au moment de l’audit, aucun financement n’avait été accordé à une initiative visant à établir une plateforme de collaboration pour la cybersécurité et un outil de gestion des incidents.

Les constatations et les données clés

  • D’avril 2023 à mars 2024, les capteurs au niveau du réseau du Centre de la sécurité des télécommunications Canada ont permis de bloquer quelque 2,4 billions d’événements de cybersécurité suspects, allant des simples balayages de réseaux aux cyberattaques sophistiquées.
  • D’octobre 2023 à septembre 2024, le service Internet d’entreprise de Services partagés Canada a bloqué environ 6,6 billions d’événements de cybersécurité suspects.
  • En juin 2024, Services partagés Canada a suspendu le projet de gestion de l’information et des incidents de sécurité. Cette initiative visait à cerner les événements de cybersécurité suspects et à déclencher automatiquement des interventions en cas de détection de cyberattaques.
  • Dans le cadre du budget de 2024, le Secrétariat du Conseil du Trésor du Canada a reçu 11,1 millions de dollars sur 3 ans pour diriger la mise en œuvre d’une stratégie de cybersécurité. Nous avons constaté que cette stratégie, lancée en mai 2024, était solide et détaillée.

Pourquoi avons-nous effectué cet audit?

  • Dans un contexte de cyberattaques de plus en plus sophistiquées, fréquentes et dommageables, les mesures de protection du gouvernement fédéral doivent évoluer continuellement afin d’assurer la protection efficace de ses réseaux et systèmes, qui contiennent notamment des renseignements de nature délicate et des renseignements personnels des Canadiennes et Canadiens.
  • La gestion des risques liés à la cybersécurité nécessite une stratégie de cybersécurité solide et complète axée sur le gouvernement fédéral.
  • Les lacunes dans la cybersécurité des réseaux et des systèmes du gouvernement ainsi que l’intervention tardive en cas de cyberattaque augmentent la probabilité de réussite des cyberattaques. Or les vols de renseignements personnels ou de nature délicate et les dommages aux systèmes de technologie de l’information peuvent avoir des répercussions sur la prestation de programmes et de services à la population canadienne.

Aperçu de nos recommandations

  • Services partagés Canada, en collaboration avec le Centre de la sécurité des télécommunications Canada, devrait établir un plan d’action clair comprenant des critères définis et un échéancier pour mettre au point une application de gestion de l’information et des événements de sécurité qui corrige les lacunes existantes en matière de surveillance de la cybersécurité.
  • Services partagés Canada devrait s’assurer de disposer d’un inventaire central à jour des réseaux et des systèmes qu’il dessert dans l’ensemble des organisations fédérales, ainsi que d’un processus pour gérer les appareils qui ont besoin de correctifs, de mises à jour ou d’entretien, ou qui doivent être remplacés. Le Ministère devrait installer les correctifs requis, apporter les mises à jour nécessaires et assurer l’entretien et le remplacement des réseaux et des systèmes en conséquence.
  • Le Secrétariat du Conseil du Trésor du Canada, le Centre de la sécurité des télécommunications Canada et Services partagés Canada devraient réévaluer leurs pratiques de gestion des incidents de cybersécurité pour améliorer la coordination et favoriser la communication rapide de l’information essentielle requise pour intervenir lors de cyberattaques visant des organisations fédérales.

Visuels choisis

Événement de cybersécurité, incident de cybersécurité et cyberattaque
Pièce 1
Version textuelle

Ce graphique définit les termes « événement de cybersécurité », « incident de cybersécurité » et « cyberattaque » et donne des exemples pour chacun. Il montre également qu’un événement de cybersécurité comprend un incident de cybersécurité et qu’un incident de cybersécurité comprend une cyberattaque.

Dans un système ou un réseau, un incident de cybersécurité est défini comme tout événement ou changement observable susceptible d’être pertinent sur le plan de la sécurité. Les événements ne sont pas forcément synonymes d’atteinte à la sécurité ou de violation, mais peuvent devenir des incidents.Voici deux exemples d’événements de cybersécurité :

  • utilisatrice ou utilisateur qui se connecte à un système à une heure inhabituelle;
  • pare‑feu qui bloque une connexion.

Un incident de cybersécurité est un événement non autorisé ou perturbateur qui nuit aux systèmes informatiques, aux réseaux ou aux données. Il comprend les événements intentionnels (malveillants) et non intentionnels (accidentels). Les incidents de cybersécurité sont tous des événements, mais ne sont pas tous des attaques. Voici deux exemples d’incidents de cybersécurité :

  • accès non autorisé à un système;
  • divulgation accidentelle de données.

Une cyberattaque est un acte délibéré et malveillant visant à accéder à des systèmes informatiques, à des réseaux ou à des appareils, à y créer des perturbations ou des dommages ou à y voler de l’information. Toutes les cyberattaques constituent des incidents de cybersécurité. Voici trois exemples de cyberattaques :

  • attaque par rançongiciel;
  • attaque par déni de service;
  • vol de données.
Source : D’après des renseignements du Centre de la sécurité des télécommunications Canada et du Secrétariat du Conseil du Trésor du Canada
Objectifs et mesures clés de la Stratégie intégrée de cybersécurité du gouvernement du Canada
Pièce 2
Version textuelle

Ce graphique présente les objectifs et des exemples de mesures clés de la Stratégie intégrée de cybersécurité du gouvernement du Canada.

La vision de la stratégie est la suivante : « Construire un gouvernement fédéral de classe mondiale, durable et résilient pour réduire les risques liés à la cybersécurité afin que les ministères et les organismes puissent fournir des services numériques sûrs et fiables ». Les organisations fédérales responsables de la mise en œuvre de la stratégie sont le Secrétariat du Conseil du Trésor du Canada, le Centre de la sécurité des télécommunications Canada, Services partagés Canada et d’autres ministères et organismes.

Le graphique présente quatre objectifs de la stratégie et deux exemples de mesures clés pour chaque objectif. La stratégie comporte de nombreuses autres mesures. Les exemples énoncés ici représentent une partie des mesures ayant une portée pangouvernementale.

  • Objectif de la stratégie : Expliquer clairement les risques liés à la cybersécurité et leur incidence sur les opérations. Les deux exemples de mesures clés sont les suivants :
    • établir un programme pangouvernemental de conformité et d’assurance pour évaluer les mécanismes de défense ministériels en matière de cybersécurité afin de cerner les risques de cybersécurité et d’en établir les priorités;
    • créer un programme pangouvernemental de gestion des vulnérabilités afin de gérer et de réduire les vulnérabilités qui touchent les systèmes et les réseaux du gouvernement.
  • Objectif de la stratégie : Prévenir les cyberattaques et y résister plus efficacement. Les deux exemples de mesures clés sont les suivants :
    • déployer les mécanismes de défense en matière de cybersécurité dans les petits ministères et organismes;
    • établir un cadre permettant de mieux détecter et prévenir les activités frauduleuses visant les applications gouvernementales.
  • Objectif de la stratégie : Renforcer les capacités et la résilience à l’échelle du gouvernement du Canada. Les deux exemples de mesures clés sont les suivants :
    • établir un cadre permettant aux ministères de tenir des inventaires exacts des applications et systèmes du gouvernement. Mener tout au long de l’année des essais et des examens de la protection et des mécanismes de défense en matière de cybersécurité;
    • mettre en place une plateforme pangouvernementale de collaboration concernant les événements de cybersécurité afin de gérer les événements de cybersécurité et d’y répondre.
  • Objectif de la stratégie : Établir un effectif fédéral diversifié et doté des compétences nécessaires en cybersécurité. Les deux exemples de mesures clés sont les suivants :
    • développer les talents en matière de cybersécurité grâce à des programmes de formation interfonctionnelle;
    • favoriser une culture de gestion des talents afin de recruter et de retenir des candidats qualifiés.

La stratégie comporte de nombreuses autres mesures. Les exemples énoncés ici représentent une partie des mesures ayant une portée pangouvernementale.

Source : D’après des renseignements contenus dans la Stratégie intégrée de cybersécurité du gouvernement du Canada, Secrétariat du Conseil du Trésor du Canada, 2024

Le Centre de la sécurité des télécommunications Canada a conçu trois types de capteurs de défense de cybersécurité pour détecter et atténuer les événements de cybersécurité et les cyberattaques
Pièce 3
Version textuelle

Ce graphique présente les trois types de capteurs de défense de cybersécurité mis au point par le Centre de la sécurité des télécommunications, ainsi que l’année de mise en œuvre de chacun.

En 2010, le Ministère a mis en œuvre le capteur au niveau du réseau, qui détecte et atténue les incidents sur les réseaux du gouvernement. Ce capteur est habituellement intégré au service Internet d’entreprise de Services partagés Canada.

En 2012, le Ministère a mis en œuvre le capteur au niveau de l’hôte, qui détecte les cyberattaques sur les terminaux informatiques tels que les ordinateurs portables, les serveurs et les réseaux locaux. Le capteur analyse et traite l’information recueillie afin de détecter des événements de cybersécurité suspects survenant sur un appareil hôte. L’information recueillie sert à signaler les anomalies et les faiblesses aux organisations fédérales concernées.

En 2019, le Ministère a mis en œuvre le capteur infonuagique, qui fonctionne dans l’infrastructure infonuagique des organisations fédérales de pair avec les mécanismes de défense des fournisseurs de services infonuagiques. Le capteur automatise la collecte de l’activité consignée dans le nuage et analyse l’information afin de détecter et d’atténuer les événements de cybersécurité suspects.

Source : D’après des renseignements du Centre de la sécurité des télécommunications Canada
Les 119 organisations fédérales qui n’étaient pas tenues de recourir aux services de cybersécurité de Services partagés Canada et du Centre de la sécurité des télécommunications Canada étaient encouragées à y recourir, mais beaucoup ont choisi de ne pas le faire
Pièce 4
Version textuelle

Cette pièce comprend deux graphiques; le premier présente le nombre d’organisations fédérales qui ont choisi d’utiliser le service Internet d’entreprise de Services partagés Canada, et le deuxième présente le nombre d’organisations fédérales qui ont choisi d’utiliser les capteurs de défense de cybersécurité du Centre de la sécurité des télécommunications Canada.

Sur les 119 organisations fédérales qui n’étaient pas tenues de recourir au service Internet d’entreprise de Services partagés Canada, 24 organisations (soit 20 %) avaient choisi de l’utiliser volontairement, tandis que 95 (soit 80 %) ne l’utilisaient pas.

Par ailleurs, sur ces 119 organisations, 76 (soit 64 %) avaient choisi d’utiliser un ou des capteurs de défense de cybersécurité du Centre de la sécurité des télécommunications Canada, tandis que 43 (soit 36 %) ne l’avaient pas fait.

Source : D’après des données de Services partagés Canada et du Centre de la sécurité des télécommunications Canada

Infographies

Alors que les cyberattaques deviennent de plus en plus sophistiquées, répandues et graves, le gouvernement fédéral se doit de consolider continuellement ses mécanismes de défense pour protéger ses réseaux et ses systèmes numériques.
Infographie 1
infographie 1
Version textuelle

Le service Internet d’entreprise de Services partagés Canada a bloqué des billions de cybermenaces.

6,6 billions de menaces ont été bloquées en seulement 12 mois, dont des attaques, des actes malveillants et des événements externes.

Cela équivaut à 18 milliards de tentatives par jour.

Infographie 2
Infographie 2
Version textuelle

Les organisations n’utilisent pas toutes les outils de cybersécurité de Services partagés Canada et du Centre de la sécurité des télécommunications Canada.

Sur un total de 204 organisations fédérales, 119 ne sont pas tenues de recourir au service Internet d’entreprise. 24 de ces 119 organisations, soit 20 %, ont néanmoins adopté ce service pour se protéger contre les sites malveillants.

Les 85 organisations restantes sont tenues d’avoir recours au service Internet d’entreprise de Services partagés Canada pour assurer leur sécurité, filtrer les sites Web et bénéficier de la surveillance du Centre de la sécurité des télécommunications Canada. Or, seulement 63 de ces organisations ont recours à ce service obligatoire.

Infographie 3
Infographie 3
Version textuelle

Un inventaire incomplet des biens de technologie de l’information représente un risque pour la sécurité.

En septembre 2024, on comptait 770 000 appareils surveillés et protégés par le Centre de la sécurité des télécommunications Canada.

Un nombre indéterminé d’autres appareils étaient absents de l’inventaire ou ne disposaient pas des capteurs de défense de cybersécurité du Centre de la sécurité des télécommunications Canada.

Rapport(s) connexe(s)

Rapports de la vérificatrice générale

Rapport 9 — La validation numérique de l’identité pour accéder aux services

Lire la suite →
Rapports de la vérificatrice générale

Rapport 7 — La lutte contre la cybercriminalité

Lire la suite →
Rapports de la vérificatrice générale

Rapport 7 — La modernisation des systèmes de technologie de l’information

Lire la suite →
Rapports de la vérificatrice générale

Rapport 8 — Le programme de Modernisation du versement des prestations

Lire la suite →
Rapports de la vérificatrice générale

Rapport 7 — La cybersécurité des renseignements personnels dans le nuage

Lire la suite →
Rapports de la vérificatrice générale

Rapport 1 — L’approvisionnement en solutions de technologies de l’information complexes

Lire la suite →

Détails de la page

2026-02-02