Andrew Hayes, sous-vérificateur général
Bureau du vérificateur général du Canada
Le 26 janvier 2026
Bonjour Monsieur le Président. Je vous remercie de nous donner l’occasion de témoigner devant votre comité aujourd’hui pour discuter de notre rapport sur la cybersécurité des réseaux et des systèmes du gouvernement, qui a été déposé le 21 octobre 2025. Je tiens d’abord à reconnaître que nous nous trouvons sur le territoire traditionnel non cédé du peuple algonquin anishinaabe. Je suis accompagné de Jean Goulet, le directeur principal qui était responsable de l’audit.
La responsabilité centrale de protéger les systèmes et opérations de technologie de l’information du gouvernement incombe conjointement au Secrétariat du Conseil du Trésor du Canada, au Centre de la sécurité des télécommunications Canada et à Services partagés Canada. Ces organisations collaborent entre elles et avec les ministères et organismes pour prévenir le vol de données et limiter la perturbation des systèmes qui assurent la prestation de programmes et de services à la population canadienne.
Nous avons constaté que, bien que le gouvernement fédéral disposait d’outils pour protéger et défendre ses réseaux et ses systèmes contre les cyberattaques, il y avait d’importantes lacunes dans les services de défense de cybersécurité, la surveillance et les interventions lorsque des attaques se produisaient.
Seuls 42 % des organisations fédérales sont tenues, dans le cadre de politiques du Conseil du Trésor, d’utiliser les services de défense de cybersécurité offerts par Services partagés Canada et par le Centre de la sécurité des télécommunications Canada. D’autres ont choisi de les utiliser, mais cette utilisation incohérente des services nuit à la capacité du gouvernement fédéral à protéger les renseignements essentiels et à gérer les risques.
Nous avons également constaté que la coordination entre les trois organisations était trop lente lorsque des cyberattaques se produisaient. Par exemple, une mauvaise coordination a retardé la réponse du gouvernement à une cyberattaque majeure il y a deux ans. Cela a prolongé la durée pendant laquelle les auteurs de la cyberattaque ont eu accès aux renseignements personnels de fonctionnaires.
Pour protéger les réseaux et les systèmes fédéraux, il faut analyser les faiblesses potentielles de tous les appareils informatiques du gouvernement, y compris les ordinateurs portables, les téléphones intelligents et les serveurs. Nous avons constaté que Services partagés Canada et le Centre de la sécurité des télécommunications Canada ne disposaient pas d’un inventaire complet de tous les appareils du gouvernement. Faute de renseignements à jour, le gouvernement fédéral risque de ne pas pouvoir répondre rapidement à l’environnement de cybersécurité qui évolue constamment.
Les actes malveillants, les événements externes et les attaques ciblant les systèmes numériques du gouvernement canadien sont fréquents et plus sophistiqués. Une approche coordonnée et exhaustive quant à la posture de cybersécurité du gouvernement, une meilleure collaboration et un inventaire à jour des appareils sont essentiels pour protéger les renseignements de la population canadienne.
Monsieur le Président, je termine ainsi ma déclaration d’ouverture. Nous serions heureux de répondre aux questions des membres du Comité.