DEPARTMENTAL ACTION PLAN

PLAN D’ACTION MINISTÉRIEL

SUR LA

CYBERSÉCURITÉ

RÉPONSE AUX CONCLUSIONS DE LA VÉRIFICATION ET AUX RECOMMANDATIONS FORMULÉES

DANS LE CHAPITRE 3 DU RAPPORT DU VÉRIFICATEUR GÉNÉRAL DU CANADA DE L’AUTOMNE 2012, INTITULÉ

« PROTÉGER L’INFRASTRUCTURE CANADIENNE ESSENTIELLE CONTRE LES CYBERMENACES »

PRÉSENTÉ PAR

LE SECRÉTARIAT DU CONSEIL DU TRÉSOR

Le 23 avril 2013

INTRODUCTION

Dans son Rapport de l’automne 2012, le vérificateur général du Canada a fait valoir que si le gouvernement avait accompli des progrès dans le renforcement de la sécurité des systèmes d’information, il y avait encore beaucoup à faire pour suivre le rythme de l’évolution rapide de la menace. Plus particulièrement, il a indiqué que le gouvernement du Canada devait améliorer ses interventions en cas d’incidents liés à la technologie de l'information (TI) sur ses réseaux.

Le vérificateur général a aussi noté que le rôle de Services partagés Canada (SPC), une organisation créée en août 2011 pour réduire les chevauchements, moderniser la prestation des services et améliorer la sécurité de l’infrastructure fédérale de TI, n’était pas clairement et uniformément mentionné dans tous les instruments de politique. Le rapport avançait que la différence entre les instruments de politique pourrait créer la confusion au sujet du rôle de sécurité en matière de TI que SPC devrait jouer au sein du gouvernement du Canada (GC).

Ainsi, le Secrétariat du Conseil du Trésor du Canada (SCT) s’est vu confier la tâche de mettre à jour les politiques pertinentes et les plans connexes afin de tenir compte des nouveaux rôles et des nouvelles responsabilités de SPC en matière de sécurité de la TI. En réponse à cette recommandation, le SCT s’est engagé à revoir le Plan de gestion des incidents de TI du GC ainsi que la Politique sur la sécurité du gouvernement afin de tenir compte du rôle de SPC en tant qu’organisme responsable de la sécurité et pour définir ses rôles et ses responsabilités en conséquence.

Recommandation du Bureau du vérificateur général du Canada

Réponse

Mesures et échéances

Recommandation 3.67 du BVG :

3.67 Recommandation – Le Secrétariat du Conseil du Trésor du Canada, en collaboration avec Services partagés Canada, devrait mettre à jour les politiques et les plans pertinents pour qu’ils tiennent compte des nouveaux rôles et responsabilités qu’assume SPC en matière de sécurité de la TI.

Réponse du Secrétariat du Conseil du Trésor du Canada à la recommandation du BVG :

Recommandation acceptée.

Le Secrétariat du Conseil du Trésor du Canada a révisé le Plan de gestion des incidents en matière de technologie de l’information (TI) du gouvernement du Canada, qui définit les rôles et les responsabilités de Services partagés Canada (SPC) quant à la gestion des incidents. Le Plan de gestion des incidents en matière de TI du gouvernement du Canada a été approuvé par le dirigeant principal de l’information (DPI) du Canada en mai 2012. De plus, le Secrétariat a entrepris la mise à jour de la Politique sur la sécurité du gouvernement afin qu’elle reflète le rôle de SPC en tant qu’un des organismes fédéraux responsables de la sécurité de la TI ainsi que ses rôles et responsabilités en matière de sécurité de la TI. La Politique révisée devrait être publiée en 2013.

Mesures connexes que prendra le SCT dans la foulée de sa réponse au BVG :

Plan de gestion des incidents de TI (PGI de TI)

Un PGI de TI révisé a été publié officiellement en juillet 2012 et est disponible en ligne à l’adresse suivante : http://www.tbs-sct.gc.ca/sim-gsi/publi/spin-amps/2012/2012-02-fra.asp.

Politique sur la sécurité du gouvernement (PSG)

Une révision de mi-cycle de la Politique est en cours pour tenir compte de la création de SPC et préciser les rôles et responsabilités des organismes responsables de la sécurité et des fournisseurs de services communs.
La publication de la version révisée de la PSG est prévue pour l’automne 2013.