Suivi du rapport d’audit interne de janvier 2018 sur la gestion de la sécurité des technologies de l’information
Revue des pratiques et audit interneSuivi du rapport d’audit interne de janvier 2018 sur la gestion de la sécurité des technologies de l’information
Table des matières
- Aperçu
- Objectif
- Importance de cet audit interne de suivi
- Travaux effectués par l’équipe de la Revue des pratiques et de l’audit interne
- Information générale
- Observations
- Suivi de l’autoévaluation de la sécurité des technologies de l’information
- Suivi des recommandations formulées par l’équipe de la Revue des pratiques et de l’audit interneRPAI dans le rapport de janvier 2018
- Suivi des autres observations formulées par l’équipe de la RPAI dans le rapport de janvier 2018
- Recommandations
- Conclusion
- Heures consacrées à l’audit interne de suivi
- Annexe — Critères et sources
Aperçu
Le Bureau du vérificateur général du Canada a réalisé des progrès notables pour donner suite aux observations et aux recommandations du Rapport d’audit interne — La gestion de la sécurité des technologies de l’information de janvier 2018.
Le Bureau a respecté le calendrier qui avait été convenu au départ pour donner suite aux observations.
Objectif
L’objectif de l’audit interne de suivi était d’évaluer la mesure dans laquelle la direction de l’équipe de la sécurité des technologies de l’information (TI) :
- avait donné suite aux observations formulées dans le Rapport d’audit interne — La gestion de la sécurité des technologies de l’information, publié en janvier 2018;
- avait réalisé des progrès pour donner suite aux observations selon le calendrier convenu au départ.
Voir l’annexe pour les critères d’examen.
Importance de cet audit interne de suivi
Dans le rapport d’audit interne de janvier 2018 sur la gestion de la sécurité des technologies de l’information, nous avons conclu que le Bureau du vérificateur général du Canada avait mis au point un cadre adéquat pour appuyer la sécurité de ses systèmes de TI, mais que la façon dont le Bureau avait géré son cadre de sécurité des TI avait nui à son efficacité.
L’équipe d’audit interne avait alors présenté des recommandations à l’équipe de la sécurité des TI. La direction avait accepté les recommandations et élaboré un plan d’action. En raison de l’importance des observations, un audit interne de suivi avait été prévu afin de surveiller les progrès accomplis par la direction.
Travaux effectués par l’équipe de la Revue des pratiques et de l’audit interne
Dans le cadre de son audit interne de suivi, l’équipe d’audit interne a évalué si la direction avait donné suite aux observations et aux recommandations présentées dans le rapport. L’équipe d’audit interne a également testé de nouveau un échantillon statistique de scripts de tests pour évaluer les progrès accomplis par la direction quant à la réalisation des tâches de contrôle relatives à la sécurité des TI.
L’audit interne de suivi a porté sur la période allant du 1er janvier 2016 au 30 avril 2019.
Information générale
Comme nous l’avons indiqué précédemment, l’équipe d’audit interne avait conclu, en janvier 2018, que le Bureau du vérificateur général du Canada avait mis au point un cadre adéquat pour appuyer la sécurité de ses systèmes de technologie de l’information (TI). Cependant, la façon dont le Bureau avait géré son cadre de sécurité des TI avait nui à son efficacité. Plus particulièrement, la direction de la sécurité des TI n’avait pas systématiquement revu ses politiques, procédures et directives. Elle n’avait pas non plus mis en œuvre un grand nombre des contrôles exigés aux termes des lignes directrices et instruments de politique pertinents du Conseil du Trésor en matière de sécurité des TI.
Nous avions également indiqué que l’autoévaluation réalisée en 2016 avait été exhaustive et avait abouti à un plan d’action complet. Nous sommes arrivés à cette conclusion en examinant le processus établi par la direction pour mener son autoévaluation, notamment les tests des contrôles relatifs à la sécurité des TI. Pour chaque contrôle testé, la direction avait consigné ses travaux dans un script de test. Lors de l’audit interne initial, l’équipe d’audit interne avait accepté la conclusion de la direction après avoir refait les tests de 25 scripts.
Au terme de son autoévaluation, la direction avait déterminé que pour 69 % des tests effectués, les contrôles avaient satisfait en partie, satisfait en grande partie ou pas satisfait aux exigences. Ces contrôles avaient été sélectionnés conformément au guide de 2012 intitulé La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33), publié par le Centre de la sécurité des télécommunications du Canada, et ils avaient fait l’objet de tests sur certains systèmes du Bureau. La direction avait établi un plan d’action pour corriger toutes les déficiences relevées dans son autoévaluation.
Nous avons effectué un suivi du plan d’action de la direction.
Observations
Suivi de l’autoévaluation de la sécurité des technologies de l’information
La direction nous a informés que, depuis avril 2019, environ 96 % des contrôles relatifs à la sécurité des TI pour les systèmes visés par son autoévaluation avaient été mis en œuvre. Pour valider ces renseignements, nous avons testé à nouveau 34 scripts à l’aide d’un niveau d’assurance faible ou modéré en fonction du risque. Nous n’avons relevé aucun écart.
À la lumière des travaux effectués, nous avons conclu que :
- l’équipe d’audit interne pouvait se fonder sur la conclusion concernant la sécurité des TI obtenue par la direction à partir de l’analyse effectuée dans les scripts de tests;
- la direction de la sécurité des TI avait réalisé des progrès notables quant à la mise en œuvre de son plan d’action, et qu’elle respectait toujours le calendrier convenu au départ.
La direction nous a informés que les tâches qui n’avaient pas encore été réalisées étaient liées au renouvellement ou à l’acquisition d’outils de sécurité des TI et au renouvellement de notre architecture de sécurité.
Suivi des recommandations formulées par l’équipe de la RPAI dans le rapport de janvier 2018
Dans le cadre de son processus habituel, l’équipe de la Revue des pratiques et de l’audit interne (RPAI) a effectué un suivi continu de la mise en œuvre du plan d’action de la direction pour donner suite aux recommandations formulées dans le rapport d’audit interne sur la gestion de la sécurité des TI. Les activités de suivi de l’équipe de la RPAI étaient fondées sur les dates cibles de l’exécution des mesures de la direction. L’équipe a également préparé un rapport de suivi sommaire pour chaque réunion du Comité d’audit. Nous avons utilisé trois des recommandations du rapport comme critères pour cet audit interne de suivi (voir l’annexe). Une de ces recommandations a été mise en œuvre et les deux autres étaient en suspens au début de notre suivi.
Voici l’état d’avancement de ces deux recommandations :
- La direction avait mis en place des mesures adéquates pour assurer le suivi de la mise en œuvre des nouveaux instruments de politique et des nouvelles directives du Conseil du Trésor visant la sécurité des TI, qui sont en vigueur depuis le 1er juillet 2019. La direction nous a fait savoir qu’à la fin de juin 2019, elle avait terminé son évaluation de la conformité à ces nouvelles politiques.
- La direction avait mis en place des mesures adéquates pour évaluer annuellement ses procédures, normes et lignes directrices en matière de sécurité des TI. Elle voulait ainsi vérifier qu’elles étaient à jour et conformes aux instruments de politique et aux directives du Conseil du Trésor visant la sécurité des TI. La direction nous a informés qu’elle prévoyait bientôt supprimer les politiques actuelles en matière de sécurité du Bureau, étant donné que les nouvelles politiques et directives du Conseil du Trésor étaient entrées en vigueur. La direction nous a aussi indiqué que l’évaluation de conformité avait été effectuée et intégrée au processus annuel d’évaluation des risques du Bureau.
Suivi des autres observations formulées par l’équipe de la RPAI dans le rapport de janvier 2018
En janvier 2018, l’équipe d’audit interne avait indiqué qu’elle acceptait l’autoévaluation de la direction de la sécurité des TI, selon laquelle le Bureau présentait de nombreuses faiblesses liées aux risques de sécurité des TI. L’équipe d’audit interne a communiqué des constatations détaillées au sujet de ces faiblesses et a formulé certaines observations. Dans le cadre de son audit interne de suivi, l’équipe d’audit interne a examiné l’ensemble de ces observations et évalué les progrès réalisés par la direction à l’égard de ces observations.
La gouvernance — L’équipe d’audit interne avait constaté que trois descriptions de poste du personnel chargé de la sécurité des TI étaient désuètes, n’étaient pas conformes à la Norme opérationnelle de sécurité du Conseil du Trésor : Gestion de la sécurité des technologies de l’information (GSTI), ou ne concordaient pas avec les responsabilités actuelles du titulaire du poste.
Conclusion actualisée : À la lumière des travaux de l’audit interne de suivi, l’équipe d’audit interne a conclu que les problèmes concernant les descriptions de poste avaient été réglés de façon adéquate.
En janvier 2018, nous avions constaté un manque de surveillance de la part du conseil de gestion des changements liés aux TI. Ce conseil était présidé par un employé de l’équipe de la sécurité des TI qui n’a assisté qu’aux deux tiers des réunions. Aucun autre membre de l’équipe de la sécurité des TI n’avait été délégué pour remplacer cet employé en son absence. De plus, le mandat du conseil n’était pas à jour.
Conclusion actualisée : À la lumière des travaux de l’audit interne de suivi, l’équipe d’audit interne a conclu que le mandat du conseil avait été rédigé et approuvé, et qu’un employé de l’équipe de la sécurité des TI assistait à chaque réunion du conseil.
Nous avions également constaté un manque de surveillance de la part du comité de l’équipe de la sécurité virtuelle. Le comité n’avait aucun mandat et seulement quelques comptes rendus de décisions avaient été établis.
Conclusion actualisée : À la lumière des travaux de l’audit interne de suivi, l’équipe d’audit interne a conclu que le mandat du comité avait été rédigé et approuvé, et qu’un compte rendu était rédigé à chaque réunion du comité.
Par ailleurs, l’équipe d’audit interne avait indiqué que les outils automatisés du Bureau qui envoient des messages d’alerte pour surveiller les incidents de sécurité des TI devaient être améliorés.
Conclusion actualisée : À la lumière des travaux de l’audit interne de suivi, l’équipe d’audit interne a conclu que même si des améliorations avaient été apportées, il restait encore du travail à faire.
En outre, l’équipe d’audit interne avait indiqué que le Bureau n’avait pas officiellement avisé le personnel de la nomination de nouveaux membres clés du personnel de la sécurité des TI.
Conclusion actualisée : À la lumière des travaux de l’audit interne de suivi, l’équipe d’audit interne a conclu que cette question avait été réglée. Le Bureau a diffusé un message dans l’ensemble de l’organisation pour aviser ses employés de la nomination de nouveaux membres clés du personnel de la sécurité des TI.
En janvier 2018, l’équipe d’audit interne avait également indiqué qu’elle n’avait trouvé aucun élément démontrant que la direction du Bureau avait approuvé les politiques de sécurité des TI du Bureau.
Conclusion actualisée : À la lumière des travaux de l’audit interne de suivi, l’équipe d’audit interne a conclu que la direction du Bureau avait réglé cette question. La direction du Bureau nous a informés qu’au lieu de créer ses propres politiques, le Bureau adopterait les nouvelles politiques de sécurité du Conseil du Trésor, en vigueur depuis le 1er juillet 2019. La direction nous a également informés qu’elle avait récemment effectué son évaluation de la conformité aux nouvelles politiques.
La mise en œuvre du cadre de sécurité des TI — En janvier 2018, l’équipe d’audit interne avait indiqué que le Bureau n’avait pas mis en œuvre un grand nombre d’exigences de ses propres politiques et procédures, ou qu’il les avait mises en œuvre en partie seulement.
Conclusion actualisée : À la lumière des travaux de l’audit interne de suivi, l’équipe d’audit interne a conclu que cette observation n’était plus pertinente, car le Bureau avait décidé d’adopter les nouvelles politiques de sécurité du Conseil du Trésor plutôt que d’élaborer ses propres politiques de sécurité.
Plan de sécurité ministérielle — En janvier 2018, l’équipe d’audit interne avait indiqué que le Bureau n’avait pas mis à jour son plan de sécurité ministérielle en fonction des changements apportés à son profil de risques liés à la sécurité des TI.
Conclusion actualisée : À la lumière des travaux de l’audit interne de suivi, l’équipe d’audit interne a conclu que cette question avait été réglée. Un nouveau plan de sécurité ministérielle qui prenait en compte les risques actuels liés à la sécurité des TI avait été élaboré pour 2017-2020 et approuvé par le vérificateur général du Canada le 31 janvier 2018.
Évaluations des menaces et des risques — En janvier 2018, l’équipe d’audit interne avait indiqué que le Bureau n’avait pas régulièrement actualisé ses évaluations des menaces et des risques. Nous avions également indiqué que la direction avait depuis mis en œuvre un plan pour régler cette question.
Conclusion actualisée : À la lumière des travaux de l’audit interne de suivi, l’équipe d’audit interne a conclu que la direction avait réalisé des progrès notables à l’égard de son plan visant à examiner régulièrement les évaluations des menaces et des risques pour tous les systèmes de TI.
Rapports internes et externes — En janvier 2018, l’équipe d’audit interne avait indiqué que le processus de documentation des incidents liés à la sécurité des TI signalés était clair, pertinent et compréhensible. Toutefois, le processus était encore à l’étape d’ébauche.
Conclusion actualisée : À la lumière des travaux de l’audit interne de suivi, l’équipe d’audit interne a conclu qu’on avait donné suite à cette observation. La version finale de la documentation a été établie par la direction et approuvée par l’agent de la sécurité ministériel.
Contrats — En janvier 2018, l’équipe d’audit interne avait indiqué que, jusqu’en mai 2016, le processus de passation des contrats ne comprenait pas de vérification automatique des exigences relatives à la sécurité des TI.
Conclusion actualisée : À la lumière des travaux de l’audit interne de suivi, l’équipe d’audit interne a conclu qu’on avait donné suite à cette observation. L’équipe a noté que la liste de contrôle préparée par l’équipe de l’Approvisionnement comportait désormais l’exigence de consulter les responsables de la sécurité avant la passation de chaque contrat.
Risques liés au piratage psychologique — En janvier 2018, l’équipe d’audit interne avait indiqué que les tests de piratage psychologique constituaient un excellent outil pour évaluer les réactions du personnel à des cyberattaques. Cependant, le Bureau n’avait pas procédé à ce genre de test depuis 2011.
Conclusion actualisée : À la lumière des travaux de l’audit interne de suivi, l’équipe d’audit interne a conclu que la direction avait pris des mesures pour régler cette question en intégrant des tests de piratage psychologique à son plan de sécurité ministérielle.
Recommandations
Nous n’avons pas présenté de recommandations dans notre audit interne de suivi.
Conclusion
Nous avons conclu que le Bureau avait réalisé des progrès notables, selon le calendrier convenu au départ, pour donner suite aux observations et aux recommandations formulées dans notre rapport d’audit interne de janvier 2018 sur la gestion de la sécurité des technologies de l’information.
Nous avons remarqué que la direction poursuit ses travaux concernant les systèmes qui n’avaient pas été sélectionnés dans l’autoévaluation initiale. Les contrôles qui ont fait l’objet de tests lors de l’autoévaluation de 2016 avaient été sélectionnés en fonction d’une approche adaptée et conforme à l’environnement de risques du Bureau. Nous croyons comprendre que la direction continuera à appliquer cette approche dans le cadre de son évaluation annuelle de certains systèmes et contrôles.
Heures consacrées à l’audit interne de suivi
| Heures réelles 2019 (estimation) | Heures prévues 2019 | Écart | |
|---|---|---|---|
| Heures consacrées à l’audit | 300 | 300 | – |
Annexe — Critères et sources
| Critères | Sources |
|---|---|
|
La direction a pris des mesures adéquates pour surveiller la mise en œuvre des nouveaux instruments de politique et lignes directrices du Conseil du Trésor en matière de sécurité des TI (le cas échéant) et, au besoin, a pris des mesures correctives en temps opportun. |
Bureau du vérificateur général du Canada, Rapport d’audit interne — La gestion de la sécurité des technologies de l’information (recommandation numéro 48), janvier 2018 |
|
La direction a pris des mesures adéquates pour évaluer tous les ans les procédures, normes et directives relatives à la sécurité des TI afin de veiller à ce qu’elles restent à jour et soient conformes aux lignes directrices et instruments de politique pertinents du Conseil du Trésor en matière de sécurité des TI. Les mesures devraient comprendre une surveillance de la conformité aux exigences. |
Bureau du vérificateur général du Canada, Rapport d’audit interne — La gestion de la sécurité des technologies de l’information (recommandation numéro 49), janvier 2018 |
|
La direction a effectué les tâches suivantes :
|
Bureau du vérificateur général du Canada, Rapport d’audit interne — La gestion de la sécurité des technologies de l’information (recommandation numéro 50), janvier 2018 |
|
La direction a réalisé des progrès quant à la mise en œuvre de son plan d’action selon la date cible pour les mesures correctives. |
Bureau du vérificateur général du Canada, Rapport d’audit interne — La gestion de la sécurité des technologies de l’information (recommandation numéro 61), janvier 2018 |