Passer au contenu

PACP Rapport du Comité

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

PDF

CHAPITRE 1, LA SÉCURITÉ DES TECHNOLOGIES DE L’INFORMATION DU RAPPORT DE FÉVRIER 2005 DU VÉRIFICATEUR GÉNÉRAL DU CANADA

OBSERVATIONS ET RECOMMANDATIONS

  1. Rôle du Secrétariat du Conseil du Trésor

    2. Le bureau du dirigeant principal de l’information se trouve au Secrétariat du Conseil du Trésor, l’organisme central chargé d’assurer la coordination, le leadership, la surveillance et le contrôle de la sécurité des TI à la grandeur du gouvernement.

    Le Secrétariat est tenu, aux termes de la Politique du gouvernement sur la sécurité (la Politique), de surveiller les vérifications internes de sécurité des TI et de présenter au Conseil du Trésor un rapport semestriel sur l’efficacité de la Politique.

    Le Comité a donc été troublé de constater que le Secrétariat « ne joue pas pleinement son rôle » de contrôle et de surveillance de l’état de la sécurité au sein des ministères et des organismes (1.23). La vérification a permis de constater, par exemple, que le Secrétariat n’avait pas « de processus officiel en place pour demander aux ministères et aux organismes de présenter leurs rapports de vérification [sur la sécurité interne des TI] ou pour analyser les constatations communiquées dans ces rapports » (1.72). Depuis 2002, le Secrétariat n’a reçu que 10 rapports de vérification (1.72); or, la vérificatrice générale a constaté que 37 ministères et organismes avaient vérifié leurs programmes de sécurité des TI au cours des deux dernières années (1:70). Autrement dit, le Secrétariat n’a aucun mécanisme officiel pour obliger ces derniers à produire leurs rapports de vérification des systèmes de sécurité des TI. Cela semble s’expliquer par l’empressement du Secrétariat à refiler aux ministères et organismes le fardeau de la conformité à ses politiques, dans l’espoir que tout se passera bien.

    Le Comité est convaincu que, comme dans bien d’autres domaines relevant de sa responsabilité, le Secrétariat du Conseil du Trésor doit abandonner cette approche passive et surveiller activement l’application des politiques qu’il adopte. Le Comité recommande donc :

    RECOMMANDATION 4

    Que le Secrétariat du Conseil du Trésor se conforme aux exigences énoncées à l’annexe A de la Politique du gouvernement sur la sécurité et s’efforce de s’acquitter de sa fonction qui consiste à « fournir des conseils et de l’aide en matière de sécurité » et de surveiller « la mise en œuvre de la [P]olitique et l’état de la sécurité au sein du gouvernement du Canada ».

    RECOMMANDATION 5

    Que le Secrétariat du Conseil du Trésor présente, dans ses rapports ministériels annuels sur le rendement, de l’information sur ses activités de surveillance exercées conformément aux dispositions de l’annexe A de la Politique du gouvernement sur la sécurité. Il doit indiquer la fréquence et la portée de ses activités de surveillance, les résultats obtenus et les mesures correctives prises. Il doit commencer à fournir ces données dans son rapport couvrant la période ayant pris fin le 31 mars 2005.

    Le Comité se préoccupe de la capacité du Secrétariat à appliquer la Politique. Il constate que le personnel affecté au bureau du dirigeant principal de l’information (DPI) est peu nombreux et que les titulaires du poste changent fréquemment. Il constate également que la responsabilité de la sécurité des TI est souvent répartie entre le Secrétariat du Conseil du Trésor et les 10 principaux organismes. Paul Rummell, un ancien dirigeant principal de l’information, a dit que la sécurité des TI continuera de poser un problème pour le gouvernement tant que la responsabilité de la mise en œuvre de la politique et des opérations ne sera pas confiée à un organisme unique [3]. Même si la vérificatrice générale a constaté une amélioration de la coopération et de la coordination entre les organismes, le Comité partage l’inquiétude de M. Rummel. Il recommande donc :

    RECOMMANDATION 6

    Que le gouvernement vérifie si les ressources et les pouvoirs dont dispose le bureau du dirigeant principal de l’information lui permettent de diriger les activités de sécurité des TI à la grandeur du gouvernement, explore la possibilité de regrouper les ressources et les pouvoirs au sein d’un seul organisme qui assumerait l’entière responsabilité de la sécurité des TI à la grandeur du gouvernement et présente ses conclusions au Comité des comptes publics au plus tard le 31 décembre 2005.

    RECOMMANDATION 7

    Que le Secrétariat du Conseil du Trésor détermine les raisons du changement fréquent des titulaires du poste de dirigeant principal de l’information, analyse les résultats et présente au Comité des comptes publics un rapport ainsi qu’un plan d’action décrivant les mesures qu’il prendra en vue de porter à cinq ans le mandat du titulaire de ce poste, au plus tard le 31 décembre 2005.
  2. Rôle des ministères et organismes

    3. Conformément à la Politique du gouvernement sur la sécurité, les sous ministres doivent s’assurer que leur ministère a les moyens de se conformer aux exigences de la Politique et de ses normes connexes. Cette responsabilité englobe la conduite d’évaluations des menaces et des risques afin de déterminer si les ministères ont besoin de garanties autres que celles prescrites par la Politique. La Politique oblige également les ministères à surveiller activement la mise en œuvre de leur programme de sécurité, à faire des vérifications internes périodiques et à en communiquer les résultats au Secrétariat du Conseil du Trésor.

    La vérificatrice générale a fait savoir que les systèmes informatiques ministériels étaient vulnérables et que la majorité des ministères ne « satisfaisaient pas aux normes minimales de sécurité » fixées par le Secrétariat du Conseil du Trésor (1.3). Le Comité a notamment été troublé d’apprendre que dans bon nombre de ministères et d’organismes, la haute direction n’est pas « au courant des risques liés à la sécurité des TI et qu'elle ne sait pas comment les atteintes à la sécurité informatique risquent de nuire aux activités et de miner la crédibilité du gouvernement » (1.4).

    Les sous-ministres ont pourtant la responsabilité de déterminer l’importance que les ministères accordent à la sécurité des TI et le niveau des ressources affectées à cette fin. La situation ne pourra pas s’améliorer tant que les sous ministres ne seront pas pleinement au courant de l’état de la sécurité des TI et des risques associés aux lacunes non résolues au sein de leur ministère respectif.

    Conformément à la Politique du gouvernement sur la sécurité, le Secrétariat du Conseil du Trésor a la responsabilité de coordonner les activités de formation et de sensibilisation dans le domaine de la sécurité. Conscient de la nécessité de sensibiliser les cadres supérieurs à l’importance de la sécurité des TI, le Secrétariat oblige les sous ministres à approuver des plans d’action visant à assurer la conformité de leur ministère aux normes d’ici l’automne 2005. Le Comité est d’avis que ces activités devraient s’insérer dans un vaste effort de sensibilisation des cadres supérieurs. Il recommande donc :

    RECOMMANDATION 8

    Que le Secrétariat du Conseil du Trésor élabore et mette en œuvre un plan de sensibilisation des cadres supérieurs, surtout des sous ministres, à l’importance de la sécurité des TI et fournisse au Comité permanent des comptes publics une copie de ce plan au plus tard le 30 septembre 2005.

    Tous les ministères et organismes ont désigné un agent ministériel de la sécurité et un coordinateur de la sécurité des TI, mais il n’existe aucune assurance que ces personnes rendent compte directement au sous ministre. Puisque ces personnes doivent nécessairement avoir un accès direct au sous ministre pour lui faire part de l’état de la sécurité et des besoins à cet égard afin que des mesures soient prises, le Comité recommande :

    RECOMMANDATION 9

    Qu’un lien hiérarchique direct obligatoire soit établi pour les agents de sécurité ministériels et les coordonnateurs de la sécurité des TI par rapport à leurs sous-ministres.

    Le Comité constate également que certains agents de sécurité ministériels ne sont pas en mesure d’influencer les décisions à l’échelle du ministère en matière de sécurité. Il s’agit là d’une grave lacune qui doit être corrigée le plus rapidement possible. Le Comité recommande donc :

    RECOMMANDATION 10

    Que les agents de sécurité ministériels occupent un poste stratégique au sein des ministères et des organismes afin qu’ils puissent exercer une influence réelle sur les stratégies pangouvernementales en matière de sécurité des TI et participer aux décisions budgétaires touchant la sécurité.

    Malgré les meilleures mesures de précaution et de surveillance, les systèmes essentiels de TI des ministères risquent toujours d’être mis hors de service en cas de cyberattaque. C’est pourquoi la Politique du gouvernement sur la sécurité oblige les ministères et les organismes à élaborer des plans de continuité des activités afin de pouvoir demeurer fonctionnels même en cas d’attaque. La vérificatrice a constaté que plus de la moitié des ministères (53 sur 82, soit 65 p. 100) avaient élaboré un tel plan, mais que seulement 24 l’avaient mis à l’essai au cours des deux dernières années. Cela est inacceptable. Le Comité recommande :

    RECOMMANDATION 11

    Que les ministères et organismes soient tenus d’élaborer, en priorité, un plan de continuité des activités, de le mettre à l’essai au moins tous les deux ans et de communiquer les résultats de l’essai au bureau du dirigeant principal de l’information au Secrétariat du Conseil du Trésor.

[3] “Feds respond to Auditor General’s IT security critique,” ITBusiness.ca, 18 février 2005 (Le gouvernement fédéral répond à la critique de la vérificatrice générale concernant la sécurité des TI).

Page précédente Table des matières Page suivante