PACP Rapport du Comité

OBSERVATIONS ET RECOMMANDATIONS

Ressources disponibles à l’appui de la sécurité des TI

Les décisions relatives à la répartition des ressources dans le budget de fonctionnement des ministères incombent aux sous ministres. La vérification a démontré que de nombreux sous ministres ne connaissaient pas l’état de la sécurité des TI au sein de leur propre ministère ou n’y attachaient pas suffisamment d’importance. Cette constatation permet de conclure que la sécurité des TI au sein des ministères ne reçoit pas les ressources requises pour faire face aux défis de plus en plus nombreux dans ce domaine. Le Comité recommande donc :

RECOMMANDATION 12

Que le bureau du dirigeant principal de l’information effectue un examen pangouvernemental afin de vérifier le niveau total des ressources humaines, technologiques et financières consacrées à la sécurité des TI, au cours de l’exercice financier 2005-2006, au sein des ministères et organismes, qu’il en analyse les résultats afin de déterminer si ces ressources sont adéquates et qu’il présente ses conclusions au Parlement au plus tard le 30 avril 2006.

CONCLUSION

Au Canada comme ailleurs, les faiblesses inhérentes à l’utilisation des communications informatiques, au stockage des données et aux systèmes de transmission de données sont très connus. Les menaces à l’endroit de ces systèmes se multiplient au fur et à mesure que notre société et nos gouvernements deviennent plus dépendants de ces systèmes pour gérer et fournir une énorme quantité de transactions et de services publics et privés. Bon nombre de ces transactions sont d’une nature commerciale ou financière ou encore concernent la santé et la sécurité du public.

Le gouvernement fédéral est la plus importante entité au Canada. Le volume de ses échanges avec des groupes et des particuliers est énorme et, comme la population est disséminée sur un vaste territoire, il ne pourra faire autrement que de grossir. Les services deviendront plus complexes, plus étendus et, du point de vue des consommateurs, moins chers et plus faciles à obtenir et à utiliser.

En plus de stocker une vaste quantité de données sensibles, le gouvernement est l’un des principaux fournisseurs de services et de renseignements aux Canadiens par voie électronique. Bon nombre de ses services sont considérés essentiels, par exemple, le Régime de pensions du Canada, le Régime d’assurance emploi et d’autres prestations sociales, les paiements aux fournisseurs, les transferts de fonds à d’autres paliers de gouvernement, les communications inter- et intra gouvernementales concernant la santé, la sécurité et d’autres enjeux d’importance.

Dans ce contexte, il est impératif d’assurer un niveau maximal de sécurité afin de protéger ces interactions et la multitude de données contre toute intrusion. Toute lacune ou défaillance du système de sécurité des TI aurait de graves conséquences sur les citoyens canadiens et la disponibilité des services de tout genre dont ils dépendent. En outre, comme dans tout régime démocratique, les institutions du gouvernement ne fonctionnent que dans la mesure où elles sont perçues comme légitimes et dignes de confiance par les citoyens. À titre de gardien de données parmi les plus personnelles de ses citoyens, le gouvernement doit donc prendre des précautions extrêmes pour conserver ces renseignements. Autrement, selon la vérificatrice générale, « si, en raison d'une faiblesse du côté de la sécurité, une personne arrivait à accéder à une base de données ou à des renseignements confidentiels, la confiance des Canadiens à l'endroit du gouvernement serait sérieusement ébranlée » (1.4).

De l’avis du Comité, il est impossible de sous estimer les répercussions néfastes susceptibles de découler d’une incapacité à protéger efficacement les systèmes de TI du gouvernement contre une intrusion ou une panne. Ceux qui se sont vu confier la responsabilité de protéger ces systèmes — les titulaires de postes de direction au sein des organismes centraux et des ministères et organismes — doivent être pleinement conscients des risques élevés associés à tout défaut d’exercer une surveillance adéquate des systèmes de sécurité des TI et de prendre les mesures correctives immédiates lorsque des lacunes sont constatées.

Dans les semaines qui ont suivi l’examen du Comité, les résultats d’une vérification interne, obtenus suite à une demande d’accès à l’information, indiquaient qu’il y avait des motifs de s’inquiéter. Selon un article de journal, une vérification interne menée en 2004 à l’Agence du revenu du Canada a révélé que les ordinateurs portatifs utilisés à l’extérieur du bureau n’étaient pas verrouillés correctement, que les renseignements confidentiels contenus dans les ordinateurs étaient à la merci des pirates et que les employés ignoraient qu’ils étaient tenus de signaler toute activité criminelle. Des 3 000 employés interrogés, plus de la moitié ne savaient pas comment signaler un incident mettant en péril la sécurité. Les gestionnaires ont indiqué qu’ils ne savaient pas quoi faire pour surveiller les systèmes informatiques de l’Agence ^[4]. L’article ajoute que quatre ordinateurs volés en 2003 dans un bureau de l’Agence du revenu de Laval (Québec) contenaient des données sur 120 000 Canadiens, dont leur numéro d’assurance sociale. Cet article et les conclusions de l’enquête de la vérificatrice générale démontrent clairement que la sécurité des TI est menacée dans toutes les entités gouvernementales, y compris dans les grandes institutions responsables du traitement des données personnelles les plus sensibles concernant les citoyens canadiens.

Le Comité s’attend donc à ce que le gouvernement et le Secrétariat du Conseil du Trésor s’acquittent, de toute urgence, des engagements qu’ils ont pris pour régler les lacunes en ce qui concerne la sécurité des TI, mettent en œuvre les recommandations de la vérificatrice générale et s’assurent que les Canadiens ont un accès sûr et digne de confiance aux programmes et services électroniques du gouvernement.