Automne 2012 — Rapport du vérificateur général du Canada Chapitre 3 — Protéger l’infrastructure canadienne essentielle contre les cybermenaces

Automne 2012 — Rapport du vérificateur général du Canada

Chapitre 3 — Protéger l’infrastructure canadienne essentielle contre les cybermenaces

Points saillants

Introduction

Objet de l’audit

Observations et recommandations

Protéger l’infrastructure essentielle contre les cybermenaces

Le gouvernement a accordé un financement de 780 millions de dollars pour la gestion des urgences et d’autres activités en matière de sécurité nationale, y compris la protection de l’infrastructure essentielle
L’absence de plans d’action nuit à la réalisation de progrès depuis 2001

Établir des partenariats pour protéger l’infrastructure essentielle

L’établissement de partenariats en vue de protéger l’infrastructure essentielle prend trop de temps
Des progrès ont été accomplis récemment en vue d’améliorer les communications

Surveiller les cybermenaces qui pèsent sur l’infrastructure essentielle

La surveillance des cybermenaces n’a pas été réalisée de façon complète ou en temps opportun

Protéger les systèmes d’information du gouvernement

Les systèmes d’information du gouvernement ont été vulnérables aux intrusions
La Politique sur la sécurité du gouvernement ne reflète pas les rôles et les responsabilités actuels en matière de sécurité des technologies de l’information

Conclusion

À propos de l’audit

Annexe — Tableau des recommandations

Pièces :

3.1 — Les audits du Government Accountability Office des États-Unis démontrent qu’il reste des défis à relever pour faire face aux cybermenaces

3.2 — Les engagements en vue de protéger l’infrastructure essentielle du Canada remontent à plus de 11 ans

3.3 — Les systèmes d’information du gouvernement du Canada ont été la cible d’une intrusion

3.4 — De nombreux organismes principaux chargés de la sécurité contribuent à la protection des systèmes du gouvernement contre les cybermenaces

 

Rapport d’audit de performance

Le présent rapport fait état des résultats d’un audit de performance réalisé par le Bureau du vérificateur général du Canada en vertu de la Loi sur le vérificateur général.

Un audit de performance est une évaluation indépendante, objective et systématique de la façon dont le gouvernement gère ses activités et ses ressources et assume ses responsabilités. Les sujets des audits sont choisis en fonction de leur importance. Dans le cadre d’un audit de performance, le Bureau peut faire des observations sur le mode de mise en œuvre d’une politique, mais pas sur les mérites de celle-ci.

Les audits de performance sont planifiés, réalisés et présentés conformément aux normes professionnelles d’audit et aux politiques du Bureau. Ils sont effectués par des auditeurs compétents qui :

Les audits de performance favorisent une fonction publique soucieuse de l’éthique et efficace, et un gouvernement responsable qui rend des comptes au Parlement et à la population canadienne.

Points saillants

Qu’avons-nous examiné?

L’infrastructure essentielle désigne les installations et l’équipement liés aux technologies de l’information, comme les réseaux électriques et de télécommunications, les systèmes bancaires et de fabrication, les réseaux de transport, de même que les systèmes d’information et les services gouvernementaux qui permettent aux administrations publiques de fonctionner efficacement et sans interruption. Les éléments qui forment l’infrastructure essentielle peuvent être autonomes ou interconnectés et interdépendants, aussi bien au sein des provinces, des territoires et des pays qu’entre eux. La plupart des éléments de l’infrastructure essentielle du Canada appartiennent au secteur privé ou aux administrations municipales, provinciales ou territoriales, et ils sont en grande partie reliés à d’autres systèmes.

Les cybermenaces qui pèsent sur l’infrastructure essentielle du Canada renvoient au risque d’une attaque électronique lancée à partir d’Internet. Une telle attaque peut causer des pannes ou permettre l’utilisation non autorisée ou la destruction de données ou d’infrastructures électroniques ou matérielles qui servent à traiter, à diffuser et à stocker ces données.

Notre audit visait à déterminer si les ministères et organismes fédéraux visés travaillent de concert avec les provinces et les territoires et avec le secteur privé pour protéger l’infrastructure essentielle du Canada contre les cybermenaces. Nous avons entre autres examiné les rôles et les responsabilités des principaux organismes chargés de la sécurité des systèmes d’information clés du gouvernement.

Les travaux d’audit dont il est question dans le présent chapitre ont été terminés le 17 juillet 2012. La section intitulée À propos de l’audit, à la fin du chapitre, donne des précisions sur l’exécution de l’audit.

Pourquoi est-ce important?

Les secteurs public et privé canadiens comptent sur les opérations d’une infrastructure d’information protégée, solide et stable pour mener leurs activités quotidiennes. Les systèmes informatiques, ainsi que leurs connexions à Internet et à des réseaux, forment la charpente de la majorité de l’infrastructure essentielle du Canada, notamment dans les secteurs de l’énergie, des finances, des télécommunications et de la fabrication, ainsi que celle des systèmes d’information du gouvernement. Notre mode de vie et le bien-être économique, politique et social du Canada dépendent du bon fonctionnement de l’infrastructure essentielle.

Des attaques contre l’infrastructure essentielle ont été signalées dans de nombreux pays, y compris le Canada. Le gouvernement a déclaré que la fréquence et la gravité des cybermenaces croissent et que la protection des Canadiens dans le cyberespace est un défi qui évolue constamment. Il craint d’ailleurs que les cybermenaces n’évoluent plus rapidement que sa capacité à les neutraliser.

Qu’avons-nous constaté?

Réaction des entités — Les entités acceptent toutes nos recommandations. Une réponse détaillée suit chacune des recommandations du chapitre.

Introduction

3.1 L’infrastructure essentielle du Canada désigne les installations et les équipements liés aux technologies de l’information, comme les réseaux électriques et de télécommunications, les systèmes bancaires et de fabrication, les réseaux de transport, de même que les systèmes d’information du gouvernement. Ces biens et systèmes contribuent à la sécurité et au bien-être économique des Canadiens.

3.2 Les différents éléments de l’infrastructure essentielle sont souvent interconnectés et interdépendants, aussi bien au sein des provinces, des territoires et des pays qu’entre eux. La protection de l’infrastructure essentielle contre les cybermenaces est une responsabilité que partagent le gouvernement du Canada, les provinces et territoires, ainsi que le secteur privé.

3.3 Par l’entremise d’Internet, les systèmes informatiques qui contrôlent l’infrastructure essentielle peuvent faire l’objet d’une cyberattaque lancée de n’importe où dans le monde et commise à l’aide de matériel et de logiciels peu coûteux. Au fil du temps, les pirates informatiques, les organisations criminelles, les terroristes et les États étrangers peuvent de manière sournoise et méthodique cibler les systèmes informatiques d’une infrastructure essentielle, tenter d’en vaincre les défenses et en gagner le contrôle. Une fois en contrôle, les intrus peuvent perturber ou détruire les systèmes, ou encore les utiliser à leurs propres fins, par exemple pour voler de l’information. Les pirates informatiques peuvent également tenter de dissimuler leur présence dans les systèmes en vue de les exploiter plus tard.

3.4 L’infrastructure essentielle du Canada et celle d’autres pays ont été la cible de cyberattaques à des fins criminelles, politiques et autres (voir la pièce 3.1). Les outils et les techniques employés pour perpétrer ces attaques ont rapidement évolué. Le gouvernement fédéral a d’ailleurs indiqué que la fréquence et la gravité des cybermenaces vont en augmentant et que la protection des Canadiens dans le cyberespace est un défi qui évolue constamment. On craint même que les cybermenaces n’évoluent plus rapidement que la capacité du gouvernement à les neutraliser.

Pièce 3.1 — Les audits du Government Accountability Office des États-Unis démontrent qu’il reste des défis à relever pour faire face aux cybermenaces

En 2011 et en 2012, le Government Accountability Office des États-Unis a indiqué que la protection des systèmes à l’appui de l’infrastructure essentielle des États-Unis était un domaine comportant un risque élevé pour le gouvernement. Il a constaté que les cybermenaces touchant l’infrastructure essentielle et les systèmes fédéraux évoluaient et s’intensifiaient. Au cours des six dernières années, le nombre d’incidents signalés par des organismes fédéraux a augmenté de près de 680 %. Parmi les incidents signalés récemment, mentionnons une attaque sophistiquée contre un système utilisé pour réglementer des procédés industriels, notamment dans les secteurs énergétique et nucléaire, et une autre attaque par des pirates visant à accéder aux renseignements personnels de centaines de milliers de clients d’une grande banque.

Le Government Accountability Office a déterminé que, malgré les mesures prises récemment, il restait plusieurs grands défis à relever pour accroître la sécurité de l’infrastructure essentielle qui dépend de l’informatique, notamment renforcer les partenariats entre les secteurs public et privé, plus particulièrement en ce qui concerne le partage d’information, et accroître la capacité nationale de produire des avertissements et des analyses.

Source : Rapports du Government Accountability Office des États-Unis

3.5 Une cyberattaque contre d’importants sites Web en Estonie, en 2007, montre bien les conséquences de telles attaques sur l’infrastructure essentielle. Pendant trois semaines, les sites Web de ministères, de fournisseurs de services, de banques et d’agences de presse ont été la cible d’une attaque concertée visant à bloquer l’accès aux utilisateurs. Cette attaque par déni de service a eu une incidence non seulement sur les grandes entités, comme les banques, les médias et les institutions du gouvernement, mais aussi sur les petites et moyennes entreprises, qui ont toutes vu leurs activités quotidiennes perturbées.

3.6 Le gouvernement du Canada joue un rôle de premier plan dans la protection de l’infrastructure du pays contre tous les types de danger, y compris les cybermenaces. Comme l’avait indiqué le premier ministre de l’époque en 2001 : « Il est indispensable de protéger l’infrastructure essentielle du Canada contre les risques de pannes ou de dérangements pour assurer la santé, la sécurité et le bien-être économique des Canadiens ». Le premier ministre avait alors annoncé la création du Bureau de la protection des infrastructures essentielles et de la protection civile (BPIEPC), chargé d’élaborer et de mettre en place une approche globale en matière de protection de l’infrastructure essentielle du Canada.

3.7 Sécurité publique Canada a ensuite été créé, en 2003, et a assumé les responsabilités du BPIEPC.

Objet de l’audit

3.8 Notre audit avait pour objectif de déterminer si les ministères et organismes visés contribuaient à protéger l’infrastructure essentielle du Canada contre les cybermenaces en dirigeant et en coordonnant les activités à cet égard en partenariat avec les provinces, les territoires et le secteur privé. Nous avons également examiné si les rôles de direction et les responsabilités à l’égard de la sécurité des systèmes d’information essentiels au bon fonctionnement du gouvernement du Canada étaient clairs et exercés comme il se doit.

3.9 Le présent audit a mis l’accent sur les mesures de prévention et de préparation requises pour protéger l’infrastructure essentielle du Canada contre les cybermenaces. Il ne portait pas sur les activités d’intervention et de rétablissement.

3.10 Conformément aux lois et aux politiques, un certain nombre de ministères et d’organismes fédéraux doivent diriger et coordonner les activités du gouvernement fédéral en vue d’assurer la sécurité de l’infrastructure essentielle et travailler au besoin avec les provinces, les territoires et les propriétaires d’éléments de cette infrastructure dans le secteur privé. Dans le cadre du présent audit, nous avons examiné les activités des ministères et organismes suivants :

3.11 Nous n’avons pas examiné les questions de compétence provinciale ou territoriale, ni les mesures prises par les provinces, les territoires et le secteur privé pour protéger l’infrastructure essentielle. Nous n’avons pas non plus examiné les systèmes classifiés ou les nouveaux pouvoirs conférés par des lois aux organismes d’application de la loi pour lutter contre les cybercrimes.

3.12 L’audit a porté sur la période comprise entre la publication du Rapport du Comité spécial du Sénat sur la sécurité et les services de renseignement, en janvier 1999, et le 31 mai 2012. La section intitulée À propos de l’audit, à la fin du chapitre, donne des précisions sur l’objectif, l’étendue et les critères de notre audit.

Observations et recommandations

Protéger l’infrastructure essentielle contre les cybermenaces

3.13 En 1996, le gouvernement fédéral a reconnu que les systèmes nécessaires au fonctionnement de l’infrastructure essentielle du Canada pourraient être la cible de cyberattaques et qu’il avait un rôle à jouer dans la protection de ces systèmes contre de telles attaques. En 1999, le Comité spécial du Sénat sur la sécurité et les services de renseignements a recommandé, dans un rapport, que le gouvernement procède à l’examen de sa capacité d’évaluer et de réduire les vulnérabilités de l’infrastructure, de prévenir les attaques matérielles et cybernétiques et d’intervenir le cas échéant.

3.14 Le gouvernement du Canada a mis sur pied le Groupe de travail sur la protection des infrastructures essentielles, en 2000, afin de fournir aux ministres des conseils sur le rôle du gouvernement fédéral à l’égard de la protection de l’infrastructure du pays. Le Groupe de travail a constaté qu’il fallait mettre en place une stratégie nationale pour renforcer la sécurité en raison de la protection limitée accordée à l’infrastructure essentielle du Canada, et de l’interconnexion et de l’interdépendance de celle-ci aussi bien au sein des provinces, des territoires et des pays qu’entre eux.

3.15 Le gouvernement est bien placé pour offrir aux propriétaires et aux exploitants d’éléments de l’infrastructure essentielle une connaissance de la situation en ce qui a trait à l’évolution de la cybermenace à l’échelle nationale et internationale puisqu’il a accès à des sources d’information, notamment des sources de renseignement étrangères, dont d’autres intervenants ne pourraient bénéficier. Le gouvernement peut recueillir et échanger de l’information sur les cybermenaces sans en compromettre la source et il peut profiter des partenariats en place pour informer rapidement tous les intervenants.

3.16 En réponse aux préoccupations soulevées par le Groupe de travail sur la protection des infrastructures essentielles, le gouvernement du Canada a créé, en 2001, le Bureau de la protection des infrastructures essentielles et de la protection civile (BPIEPC). Le BPIEPC avait pour mandat d’élaborer et de mettre en place une approche globale en matière de protection de l’infrastructure essentielle du Canada en établissant des partenariats, ainsi qu’en surveillant et en analysant les cyberattaques et les menaces qui pèsent contre les systèmes du gouvernement fédéral.

3.17 En décembre 2003, le gouvernement a annoncé que le BPIEPC ferait dorénavant partie de Sécurité publique Canada, un nouveau ministère créé pour consolider les activités d’intervention en cas d’urgence et pour travailler de concert avec les provinces, les territoires et les propriétaires et exploitants d’éléments de l’infrastructure essentielle du secteur privé. La pièce 3.2 présente en ordre chronologique les engagements pris par le gouvernement fédéral en vue de protéger l’infrastructure essentielle du Canada, notamment contre les cybermenaces.

Pièce 3.2 — Les engagements en vue de protéger l’infrastructure essentielle du Canada remontent à plus de 11 ans

Année Source Engagement du gouvernement fédéral

2001

Mandat du BPIEPC

Jouer un rôle de premier plan à l’échelle nationale afin d’assurer la protection de l’infrastructure essentielle du Canada, dans ses dimensions matérielle et virtuelle en :

  • établissant des partenariats et en encourageant le dialogue entre les propriétaires et les exploitants d’éléments de l’infrastructure essentielle du Canada;
  • surveillant jour et nuit l’infrastructure essentielle;
  • accroissant la capacité à l’échelle nationale;
  • assurant la sécurité des systèmes gouvernementaux.

2004

Politique de sécurité nationale

Pour s’assurer que le Canada soit prêt à faire face aux menaces présentes et futures, et qu’il puisse y répondre, notamment en réduisant la vulnérabilité du pays aux cyberattaques et aux cyberaccidents, le gouvernement du Canada s’est engagé à :

  • établir des partenariats;
  • travailler de concert avec les provinces, les territoires et le secteur privé pour accroître la capacité nationale sur le plan de la protection de l’infrastructure essentielle;
  • protéger les systèmes gouvernementaux en renforçant la capacité de prévoir et de contrer d’éventuelles cyberattaques;
  • moderniser la Loi sur la gestion des urgences pour y prévoir la protection de l’infrastructure essentielle et la cybersécurité;
  • établir une stratégie de protection de l’infrastructure essentielle;
  • élaborer une stratégie nationale de cybersécurité.

2005

Examen de la Politique de sécurité nationale

Le gouvernement a annoncé la création du Centre canadien de réponse aux incidents cybernétiques (CCRIC) qui a pour mandat de :

  • servir de point de coordination nationale pour se préparer et intervenir en matière de cybersécurité;
  • traiter, 24 heures sur 24, 7 jours sur 7, les menaces et les attaques ayant une incidence sur l’infrastructure cybernétique essentielle du Canada;
  • accroître la capacité nationale (au moyen de normes, de pratiques exemplaires, de la sensibilisation et de l’éducation).

2010

Stratégie nationale et plan d’action sur les infrastructures essentielles

Cette stratégie a pour but d’accroître la résilience de l’infrastructure essentielle du Canada en :

  • établissant des partenariats;
  • favorisant la communication en temps opportun et la protection d’information entre les partenaires.

2010

Stratégie de cybersécurité du Canada

Le Canada entend faire face aux cybermenaces en :

  • protégeant les systèmes gouvernementaux;
  • nouant des partenariats pour protéger les cybersystèmes essentiels à l’extérieur du gouvernement fédéral;
  • aidant les Canadiens à se protéger en ligne.

3.18 Conformément à la Loi sur le ministère de la Sécurité publique et de la Protection civile (2003), Sécurité publique Canada doit assumer un rôle de premier plan à l’échelle nationale en matière de sécurité publique et de protection civile. Il ne dirige toutefois pas les provinces, les territoires, les propriétaires d’éléments de l’infrastructure essentielle et les autres ministères quant à la manière d’exercer leurs activités. Selon le mandat du Bureau de la protection des infrastructures essentielles et de la protection civile, la Politique de sécurité nationale, la stratégie nationale et le plan d’action sur les infrastructures essentielles et la Stratégie de cybersécurité du Canada, Sécurité publique Canada doit assurer son rôle de direction et de coordination en offrant aux propriétaires et aux exploitants d’éléments de l’infrastructure essentielle un soutien et des services auxquels ils n’auraient peut-être pas accès autrement. Il peut notamment :

Le gouvernement a accordé un financement de 780 millions de dollars pour la gestion des urgences et d’autres activités en matière de sécurité nationale, y compris la protection de l’infrastructure essentielle

3.19 Afin de déterminer les montants accordés pour les activités de protection de l’infrastructure essentielle contre les cybermenaces, nous avons examiné les documents d’approbation du gouvernement. Nous avons noté que 13 ministères et organismes fédéraux avaient obtenu, de 2001 à 2011, des fonds nécessaires à leurs activités. Les dépenses avaient été approuvées dans quatre secteurs clés :

3.20 Nous avons observé que le gouvernement avait approuvé l’octroi d’environ 780 millions de dollars à ces 13 ministères et organismes pour la prise de mesures ayant notamment comme objectif la cybersécurité de l’infrastructure essentielle et des systèmes gouvernementaux. Nous avons toutefois constaté que les mesures approuvées comportaient plusieurs objectifs relatifs aux vastes catégories que sont la gestion des urgences et la sécurité nationale. Les demandes de financement approuvées ne précisaient pas de montants pour les activités de cyberprotection. Nous avons également constaté que les documents ministériels à l’appui de ces demandes ne précisaient pas non plus les montants prévus pour ces activités. Nous n’avons donc pas pu déterminer exactement quel montant, sur ces 780 millions de dollars, avait été consacré à des activités visant à protéger l’infrastructure essentielle contre les cybermenaces. Nous avons également noté que le gouvernement avait approuvé un financement permanent de 200 millions de dollars dans le but, entre autres, d’assurer la cybersécurité de l’infrastructure essentielle, mais nous n’avons pu faire correspondre ce financement à des activités de protection contre les cybermenaces.

3.21 Par ailleurs, des 780 millions de dollars octroyés, nous avons noté que le gouvernement avait approuvé l’attribution d’environ 570 millions de dollars au Centre de la sécurité des télécommunications Canada. Les représentants du Centre nous ont informés que, conformément aux approbations obtenues, ces fonds n’étaient pas uniquement réservés à la mise en place d’activités de protection contre les cybermenaces, mais aussi à l’amélioration de la capacité globale du Centre à exécuter ses programmes. Certains de ces fonds pourraient même contribuer directement ou indirectement à assurer la protection de l’infrastructure essentielle. Nous avons demandé de l’information aux représentants de Sécurité publique Canada au sujet des fonds accordés à d’autres ministères, mais nous avons constaté qu’il y avait très peu d’information sur les montants octroyés et la manière dont ces derniers avaient été utilisés. Les représentants de Sécurité publique Canada ont toutefois indiqué qu’environ 20,9 millions des 210 millions de dollars qui restaient avaient servi à protéger l’infrastructure essentielle contre les cybermenaces de 2001 à 2011.

L’absence de plans d’action nuit à la réalisation de progrès depuis 2001

3.22 Les plans d’action jouent un rôle important en ce qui a trait à la mise en œuvre de toute initiative. Nous avons cherché à déterminer si le gouvernement avait établi des plans d’action pour guider la réalisation de ses engagements visant à protéger l’infrastructure essentielle du Canada, tels qu’ils sont présentés à la pièce 3.2.

3.23 Nous avons demandé à Sécurité publique Canada de nous fournir des plans d’action précisant la manière dont les fonds réservés à la cybersécurité devaient être dépensés, ce qu’ils devaient permettre de réaliser et à quel moment. Cependant, le Ministère n’a pas été en mesure de nous remettre de plans, car aucun n’avait été établi, à l’exception de la stratégie nationale et du plan d’action sur les infrastructures essentielles.

3.24 Le gouvernement a réitéré son engagement de protéger l’infrastructure essentielle du Canada contre les cybermenaces dans le cadre de plusieurs stratégies et politiques depuis 2001. Nous avons toutefois observé que malgré les progrès réalisés en vue d’améliorer les cadres stratégiques, comme l’élaboration de la Stratégie de cybersécurité du Canada et de la stratégie nationale et du plan d’action sur les infrastructures essentielles, le gouvernement a réalisé peu de progrès en ce qui a trait à l’établissement de partenariats et à la surveillance des menaces. Selon nous, l’absence de plans d’action depuis l’annonce en 2001 des engagements touchant la cybersécurité a nui à la réalisation de progrès mesurables en général. Nous avons noté qu’il n’y a toujours pas de plan d’action pour orienter la mise en œuvre de la Stratégie de cybersécurité du Canada de 2010. Étant donné l’absence d’un tel plan, il est difficile de déterminer si les activités progressent comme on l’avait prévu et si les objectifs ont été atteints.

3.25 Recommandation — Sécurité publique Canada devrait établir un plan d’action interministériel, prévoyant des produits à livrer et des échéanciers, afin d’orienter la mise en œuvre de la Stratégie de cybersécurité du Canada (2010) et de mesurer les progrès accomplis.

Réponse du Ministère — Recommandation acceptée. Sécurité publique Canada émettra un plan d’action interministériel. Ce plan d’action sera basé sur un plan de mise en œuvre qui fut élaboré et approuvé avant le lancement de la Stratégie de cybersécurité du Canada en octobre 2010. Puisque certaines des activités figurant au plan de mise en œuvre étaient de nature délicate et traitaient de questions de sécurité nationale, le plan n’a pas été diffusé au public. Sécurité publique Canada mène l’élaboration d’une stratégie de mesure du rendement horizontale pour mesurer et faire état du progrès accompli vis-à-vis les engagements faits dans le plan de mise en œuvre.

Établir des partenariats pour protéger l’infrastructure essentielle

3.26 La plupart des éléments de l’infrastructure essentielle du Canada appartiennent au secteur privé ou sont gérés par d’autres ordres de gouvernement. Ces questions de propriété et de compétences font en sorte qu’il est difficile de diriger et de coordonner les activités que mènent les intervenants afin de protéger l’infrastructure essentielle du pays contre les cybermenaces, et ce pour plusieurs raisons :

3.27 Durant les consultations entreprises en 2001, le Bureau de la protection des infrastructures essentielles et de la protection civile a constaté que les propriétaires et exploitants avaient proposé une approche axée sur la collaboration pour assurer la protection de l’infrastructure essentielle. Le gouvernement a donc déterminé que le meilleur moyen d’assurer la collaboration nécessaire à la coordination des activités consistait à établir des partenariats avec tous les propriétaires et exploitants d’éléments de l’infrastructure essentielle. Depuis, il s’est engagé à maintes reprises à renforcer les partenariats avec ces derniers.

3.28 Comme l’indique le document de discussion sur le Programme national de fiabilité des infrastructures essentielles, le gouvernement fédéral a reconnu en 2003 qu’un dialogue avec les propriétaires et exploitants d’éléments de l’infrastructure essentielle était nécessaire pour établir des partenariats constructifs. Cette idée fut reprise dans l’Énoncé de position du gouvernement du Canada relativement à une stratégie nationale pour la protection des infrastructures essentielles de 2004. Sécurité publique Canada a été chargé de nouer les partenariats nécessaires pour diriger et coordonner la protection de l’infrastructure essentielle à l’échelle nationale.

3.29 De 2004 à 2008, Sécurité publique Canada a poursuivi ses efforts en vue d’établir de tels partenariats et de surveiller la nature et la portée des menaces qui pèsent sur l’infrastructure essentielle. En 2008, le Ministère a produit le document Aller de l’avant avec la Stratégie nationale et le plan d’action sur les infrastructures essentielles, dans lequel il proposait de renforcer la résilience de l’infrastructure essentielle du Canada en établissant des partenariats avec les provinces, les territoires et les propriétaires d’éléments de l’infrastructure essentielle du secteur privé.

3.30 En mai 2010, le gouvernement fédéral a rendu publique la stratégie nationale et le plan d’action sur les infrastructures essentielles. Dans ce document, il proposait d’établir des partenariats avec les provinces, les territoires et les propriétaires et exploitants du secteur privé en formant dix réseaux sectoriels, se donnant jusqu’à mai 2011 pour le faire.

L’établissement de partenariats en vue de protéger l’infrastructure essentielle prend trop de temps

3.31 Nous avons examiné les progrès accomplis par le gouvernement fédéral depuis qu’il s’est engagé pour la première fois à établir des partenariats avec le secteur privé, les provinces et les territoires.

3.32 Au moment de l’audit, soit onze ans après que le gouvernement se soit engagé pour la première fois à nouer des partenariats pour renforcer la protection de l’infrastructure essentielle du pays, nous avons constaté que les progrès réalisés en vue de mettre en place des réseaux sectoriels étaient inégaux. En nous fondant sur les activités de surveillance de Sécurité publique Canada, nous avons constaté que peu de progrès avaient été accomplis et que les réseaux sectoriels étaient à différents stades de développement. Le gouvernement a établi des profils de risque des secteurs et déterminé les ministères responsables pour les dix réseaux sectoriels, mais six de ces réseaux ne comptaient pas de représentants de tous les groupes de l’industrie considérés comme les principaux intervenants par Sécurité publique Canada. Nous avons également noté que la plupart des réseaux ont tenu des rencontres, mais que seulement cinq d’entre eux avaient discuté de la cybersécurité.

3.33 Les réseaux sectoriels de l’infrastructure essentielle sont des tribunes visant à favoriser les discussions et le partage d’information entre les intervenants de l’industrie d’un secteur donné et les gouvernements. La participation est volontaire. La stratégie nationale et le plan d’action sur les infrastructures essentielles précisent qu’on s’attend à ce que ces réseaux relèvent et règlent les questions liées aux interdépendances aussi bien au sein des secteurs qu’entre eux et à ce qu’ils permettent d’élaborer des plans et des programmes pour protéger l’infrastructure essentielle.

3.34 Nous avons constaté que le réseau du secteur de l’énergie et des services publics, qui est géré par Ressources naturelles Canada, se réunit régulièrement et bénéficie de la participation active de tous les intervenants. Nous avons examiné les résultats du sondage mené auprès des intervenants du réseau et nous avons constaté que le niveau de satisfaction et d’engagement des membres est élevé. Selon nous, ces résultats prouvent que les réseaux peuvent fonctionner et s’avérer une tribune utile pour échanger l’information nécessaire à la protection de l’infrastructure essentielle.

3.35 Nous avons également constaté que le réseau du secteur de la technologie de l’information et des communications avait été établi. Ce réseau devait compter des représentants de plusieurs sous-secteurs mentionnés dans le profil de risque du secteur établi par Sécurité publique Canada, lequel présente une liste des industries qui devraient faire partie du réseau. Nous avons toutefois constaté que ce réseau comptait seulement des fournisseurs de services de télécommunication, qui se réunissent régulièrement. Nous avons demandé à Industrie Canada, le ministère responsable du secteur, ainsi qu’à Sécurité publique Canada, pourquoi d’autres groupes, comme les services de radiodiffusion et de télédiffusion, de géolocalisation, de télédétection et de gestion de l’identité, n’étaient pas inclus. Ils ont répondu que l’on avait décidé de mettre l’accent sur les télécommunications pour l’instant et d’étendre le réseau à d’autres groupes plus tard.

3.36 Pour mettre en œuvre la Stratégie de cybersécurité du Canada, le gouvernement a adopté comme approche de se servir de réseaux sectoriels, dont font partie les propriétaires et exploitants d’éléments de l’infrastructure essentielle, pour établir les partenariats nécessaires à la protection des systèmes. Cependant, comme on ne fait que commencer à mettre sur pied ces réseaux, et que ces derniers ne s’étendent pas à tous les intervenants concernés, il manque l’un des principaux mécanismes prévus pour mettre en œuvre la Stratégie de cybersécurité du Canada.

3.37 Recommandation — Sécurité publique Canada devrait s’assurer que tous les réseaux sectoriels sont pleinement établis et fonctionnent comme le prévoient la stratégie nationale et le plan d’action sur les infrastructures essentielles, afin qu’ils deviennent un outil efficace pour protéger l’infrastructure essentielle et atteindre les objectifs de la Stratégie de cybersécurité du Canada.

Réponse du Ministère — Recommandation acceptée. Les réseaux sectoriels offrent un mécanisme utile pour atteindre les objectifs de mobilisation du secteur privé contenus dans la Stratégie de cybersécurité du Canada, notamment en ce qui a trait à l’échange d’information sur les cybermenaces et à l’établissement de partenariats avec les secteurs des infrastructures essentielles pour mener des activités de gestion des risques. Le Ministère continuera de collaborer avec les ministères et les organismes fédéraux responsables pour renforcer les réseaux sectoriels, échanger de l’information avec les intervenants du secteur (y compris l’information sur les cybermenaces) et fournir des outils en appui aux efforts de gestion des risques déployés par chaque secteur. Reconnaissant que chaque secteur est unique et que la représentation ne devrait pas être uniforme dans l’ensemble des secteurs des infrastructures essentielles, Sécurité publique Canada offrira aux ministères et aux organismes fédéraux responsables des conseils sur la couverture appropriée des réseaux sectoriels d’ici décembre 2013.

Des progrès ont été accomplis récemment en vue d’améliorer les communications

3.38 Depuis la publication de la Stratégie de cybersécurité du Canada et de la stratégie nationale et du plan d’action sur les infrastructures essentielles, nous avons constaté que des activités avaient été menées pour améliorer la communication entre les intervenants, par exemple :

Surveiller les cybermenaces qui pèsent sur l’infrastructure essentielle

3.39 Une surveillance constante des cybermenaces est nécessaire pour aider les intervenants à réduire les vulnérabilités et à protéger leurs systèmes. En 2003, on proposait dans le document de travail Programme national de fiabilité des infrastructures essentielles que le gouvernement du Canada fournisse des avertissements, des alertes, des avis et des évaluations pertinentes de la menace aux propriétaires et aux exploitants d’éléments de l’infrastructure essentielle. Les alertes, les avertissements et les évaluations de la menace provenant de sources gouvernementales sont importants, car ils fournissent aux propriétaires et aux exploitants de l’information à laquelle ils n’auraient peut-être pas accès autrement; cette information les aide à protéger leurs installations contre les cybermenaces.

3.40 En 2005, Sécurité publique Canada a mis sur pied le Centre canadien de réponse aux incidents cybernétiques (CCRIC), qui sert de point central au Canada pour surveiller et formuler des conseils sur les mesures d’atténuation des cybermenaces. Le CCRIC a le mandat d’aider les propriétaires et les exploitants à réduire les risques que représentent les cybermenaces contre l’infrastructure du pays :

3.41 Le rôle du CCRIC a été perçu comme celui d’un guichet d’information qui recueille des renseignements pertinents auprès des autres ministères fédéraux, des gouvernements provinciaux et territoriaux, du secteur privé et des alliés étrangers. Le Centre analyse cette information et communique les résultats aux intervenants afin qu’ils s’en servent pour mieux protéger et défendre leurs éléments de l’infrastructure essentielle.

La surveillance des cybermenaces n’a pas été réalisée de façon complète ou en temps opportun

3.42 Nous avons examiné si le Centre canadien de réponse aux incidents cybernétiques (CCRIC) remplissait son mandat de maintenir une connaissance de la situation relativement à l’évolution des cybermenaces au Canada. Notre recommandation se trouve au paragraphe 3.52.

3.43 Heures d’ouverture — Depuis sa création, le CCRIC n’a pas surveillé et analysé les cybermenaces 24 heures par jour, 7 jours par semaine. Le personnel en place au moment de l’audit permettait au Centre d’être ouvert de 8 h à 16 h (heure d’Ottawa), cinq jours par semaine. Les menaces ou les attaques cybernétiques signalées au CCRIC après les heures d’ouverture sont reçues par le Centre des opérations du gouvernement (COG), qui envoie un message par téléavertisseur à l’employé du CCRIC en disponibilité à ce moment-là. Cet employé communiquera avec le COG pour déterminer la nature de l’événement et décider des mesures à prendre.

3.44 Comme le CCRIC n’est pas ouvert en tout temps, il y a un risque de délai relativement à la transmission d’information essentielle liée à des vulnérabilités récemment découvertes ou à des incidents cybernétiques en cours signalés au CCRIC après les heures d’ouverture. Une restriction des heures de travail signifie que le CCRIC ne peut surveiller l’évolution des cybermenaces 24 heures par jour, comme le prévoit son mandat. Les représentants de Sécurité publique Canada nous ont affirmé que le Ministère s’affairait actuellement à prolonger ses heures d’ouverture de 6 h à 21 h (heure d’Ottawa), sept jours par semaine, même s’il n’a pas de plan d’établi en vue d’être éventuellement ouvert 24 heures par jour. D’après les discussions que nous avons eues avec les représentants du Ministère, nous sommes d’avis qu’il est important que le Centre soit ouvert en tout temps pour assurer la détection des cybermenaces et la diffusion des avertissements en temps opportun, ainsi que pour permettre une communication avec les équipes d’intervention en cas d’urgence cybernétique des alliés étrangers du Canada (qui travaillent dans un fuseau horaire différent).

3.45 Partage d’information en temps opportun — Si les propriétaires et les exploitants d’éléments de l’infrastructure communiquent directement avec les autres ministères et organismes fédéraux, le CCRIC ne fait pas partie de la discussion. Lorsque cette situation se produit, l’information n’est pas toujours transmise au CCRIC en temps opportun, ce qui limite sa connaissance de la situation et réduit la capacité de l’organisme à diffuser cette information comme il se doit. Certains propriétaires et exploitants d’éléments de l’infrastructure essentielle que nous avons rencontrés nous ont mentionné qu’ils n’étaient pas certains si les cyberincidents devaient être signalés au gouvernement du Canada et, le cas échéant, à quel organisme. Dans certains cas, ces propriétaires et exploitants communiquent directement avec d’autres organismes fédéraux dans le cadre de leurs réseaux sectoriels. D’autres ont mentionné qu’ils ne connaissaient pas l’existence du CCRIC ou qu’ils ignoraient qu’ils pouvaient partager des renseignements sur les cybermenaces.

3.46 En conséquence, le CCRIC ne reçoit pas, en temps opportun, de la part des propriétaires et des exploitants d’éléments de l’infrastructure essentielle, toute l’information requise pour exercer une surveillance complète de l’évolution des cybermenaces au Canada. À notre avis, des heures d’ouverture prolongées pour améliorer l’accès, ainsi que des réseaux sectoriels pleinement établis, pourraient améliorer la connaissance des intervenants relativement au CCRIC.

3.47 Dans le cadre de son mandat, et comme le stipule la Stratégie de cybersécurité du Canada, le CCRIC était responsable de surveiller l’évolution des cybermenaces au Canada (notamment au sein des systèmes du gouvernement fédéral), ce qui lui permettait d’ajouter les connaissances tirées de cette surveillance à ses propres alertes, avertissements et évaluations de la menace. Le CCRIC s’appuyait sur les ministères et les organismes pour se tenir au courant des menaces et des attaques cybernétiques. L’information que le Centre recueillait pouvait alors être transmise à l’ensemble des propriétaires et exploitants d’éléments de l’infrastructure essentielle.

3.48 Nous avons observé que, lors d’un incident où les systèmes du gouvernement fédéral avaient été la cible de pirates, le CCRIC n’avait été avisé par les organismes touchés que plus d’une semaine après la découverte de l’intrusion, ce qui va à l’encontre de la procédure.

3.49 En 2011, le CCRIC a transféré la responsabilité de la protection des systèmes d’information du gouvernement au Centre de la sécurité des télécommunications Canada (CSTC). Ce transfert a été effectué en raison de la capacité technique et du mandat connexe du CSTC en matière de protection des systèmes d’information du gouvernement contre les cybermenaces. Au moment du transfert, il a été convenu que le CSTC transmettrait au CCRIC de l’information complète et opportune au sujet des menaces repérées contre les systèmes du gouvernement. Nous avons constaté que ce n’était pas toujours le cas. Nous avons demandé aux représentants des deux organismes ce qui empêchait le CSTC de communiquer cette information. Le CSTC a indiqué qu’il hésitait à partager l’information qu’il recueillait en raison de sa nature délicate, par exemple les niveaux de classification ou le niveau de confidentialité de l’information des organismes clients. Cette question devait être réglée avant la fin d’août 2011, mais ce n’était toujours pas le cas au moment de l’audit. Le CSTC et le CCRIC ont accepté de régler cette question d’ici le 30 novembre 2012, et un employé du CCRIC travaille maintenant au sein du CSTC, à titre d’essai, pour faciliter un partage d’information plus fréquent et plus sécuritaire.

3.50 Conseils techniques — Dans le cadre de son mandat, le CCRIC formule des conseils techniques sur la façon de se protéger contre de nouvelles cybermenaces en se tenant au fait de la situation relative à l’évolution des cybermenaces, et ce, tant à l’échelle nationale qu’internationale. Ces conseils visent à aider les propriétaires et les exploitants d’éléments de l’infrastructure essentielle à protéger leurs systèmes contre de nouvelles menaces plus complexes. Toutefois, les difficultés qu’éprouve le CCRIC à recueillir de l’information complète et opportune sur les cybermenaces réduisent sa capacité à fournir rapidement de tels conseils.

3.51 Formation, sensibilisation et normes — Nous avons constaté que, depuis sa création en 2005, le CCRIC avait axé ses efforts sur l’analyse de l’évolution des cybermenaces et la diffusion d’alertes et d’avertissements à ses intervenants. Les progrès réalisés par le Centre ont été lents dans deux autres secteurs de son mandat : la formation et la sensibilisation au sujet des cybermenaces et des normes. Par contre, depuis 2010, soit à la suite du lancement de la Stratégie de cybersécurité du Canada, Sécurité publique Canada a transféré la responsabilité de ces secteurs à un autre groupe au sein du Ministère.

3.52 Recommandation — Sécurité publique Canada devrait renforcer la capacité du Centre canadien de réponse aux incidents cybernétiques à maintenir une connaissance de la situation relative aux cybermenaces qui pèsent contre l’infrastructure essentielle du Canada et à communiquer cette information aux propriétaires et aux exploitants d’éléments de l’infrastructure essentielle.

Réponse du Ministère — Recommandation acceptée. Pour accroître le soutien offert aux infrastructures essentielles et à d’autres partenaires, Sécurité publique Canada augmente la capacité opérationnelle et autres capacités du CCRIC, renforce les politiques et les processus du Centre, et améliore ses partenariats de partage d’information.

En 2012, le gouvernement a affecté 13 millions de dollars de plus sur cinq ans pour prolonger les heures d’activités du CCRIC à 15 heures par jour, sept jours par semaine. Les capacités du Centre ont été rehaussées par l’acquisition d’un laboratoire d’analyse de logiciels malveillants de classe mondiale auprès du Centre de recherches sur les communications ainsi que par la mise en place d’un banc d’essai des systèmes de contrôle industriels.

Le mandat du CCRIC a été actualisé afin d’être plus clair pour les partenaires internes et externes. Les procédures et les politiques normalisées sont mises à jour au besoin en appui à l’élargissement des activités du Centre, pour faire en sorte que ce dernier offre des services à valeur ajoutée efficients, efficaces et uniformes.

Enfin, le CCRIC améliore l’échange d’information grâce à la mise en place du Portail de la communauté du CCRIC, un environnement protégé permettant la collaboration, et à l’établissement d’ententes officielles d’échange d’information avec les partenaires des infrastructures essentielles; la première entente de ce genre a été récemment conclue. De plus, un projet pilote d’intervention en cas d’incident a été lancé en collaboration avec un certain nombre de partenaires. Les leçons qui en seront tirées amélioreront grandement tant la capacité d’intervention que le niveau de préparation en matière de cybersécurité de tous les partenaires.

Protéger les systèmes d’information du gouvernement

3.53 Dans la Politique de sécurité nationale (2004) et la Stratégie de cybersécurité du Canada (2010), le gouvernement s’est engagé à mieux protéger ses systèmes d’information contre les cyberattaques. Parmi ces systèmes, notons les réseaux sur lesquels le gouvernement stocke l’information délicate dans le cadre de ses activités quotidiennes et ceux qui permettent la distribution en temps opportun des paies et des prestations d’assurance-emploi. La sécurité des systèmes gouvernementaux est nécessaire pour assurer une prestation continue de services sur lesquels comptent les Canadiens et pour garantir le fonctionnement efficace et continu du gouvernement.

3.54 Dans le but de mieux protéger ses systèmes et d’améliorer le partage en temps opportun de l’information relative aux cybermenaces entre les organismes, le gouvernement a établi les trois objectifs suivants :

Les systèmes d’information du gouvernement ont été vulnérables aux intrusions

3.55 Nous avons examiné les progrès réalisés par le gouvernement en vue de l’atteinte de ces trois objectifs en tenant compte de l’évolution rapide de la cybermenace. Nous avons constaté que, depuis 2001, les progrès se sont avérés limités à cet égard, et ce, même si d’autres améliorations ont récemment été apportées en matière de protection des systèmes d’information du gouvernement.

3.56 Sécurité des systèmes — L’intrusion dans les systèmes du gouvernement en janvier 2011 a prouvé l’existence de faiblesses en ce qui a trait à leur protection (voir la pièce 3.3). Par la suite, le gouvernement a pris des mesures supplémentaires pour sécuriser ses systèmes. Les représentants du CSTC nous ont informés que l’incident de janvier 2011 n’aurait pas pu être détecté sans les améliorations que l’organisme avait apportées à ses procédures de surveillance et que ces améliorations avaient contribué à stopper des tentatives d’attaques subséquentes.

Pièce 3.3 — Les systèmes d’information du gouvernement du Canada ont été la cible d’une intrusion

En janvier 2011, des organismes fédéraux ont été la cible d’un cyberincident d’envergure. L’intrusion visait à obtenir l’accès aux systèmes d’information, à en prendre le contrôle et à extraire l’information de nature délicate qu’ils contenaient.

Dès que l’intrusion a été détectée, des mesures d’atténuation ont été prises pour prévenir d’autres dommages, par exemple bloquer l’accès du personnel à Internet. Les organismes touchés ont consacré des ressources pour faire face à l’intrusion, ce qui a entraîné des coûts de plusieurs millions de dollars en amélioration de l’équipement des TI, en mesure d’urgence de sécurité des TI, en heures supplémentaires et en productivité perdue. L’accès complet des employés à Internet n’a été restauré qu’en septembre 2011.

L’intrusion a également attiré l’attention médiatique au pays et à l’étranger, ce qui a soulevé des questions sur la capacité du gouvernement à protéger l’information gouvernementale délicate qu’il détient.

3.57 En 2010, à l’appui de la Stratégie de cybersécurité du Canada, le gouvernement a consacré 90 millions de dollars à l’atteinte des objectifs définis dans la Stratégie et a commencé la mise en place progressive de ces fonds au cours des cinq années suivantes, puis de 18 millions de dollars par année par la suite. Cette même année, les principaux organismes de sécurité du pays ont évalué les risques de sécurité qui pesaient contre les systèmes du gouvernement pour obtenir les fonds permettant la mise en œuvre de la Stratégie de cybersécurité du Canada.

3.58 L’exercice sur les leçons retenues réalisé après l’intrusion de janvier 2011 a révélé les vulnérabilités persistantes des systèmes gouvernementaux. Par conséquent, l’octroi de nouveaux fonds a été approuvé en avril 2012 pour accroître la capacité de Sécurité publique Canada, du CSTC, du Secrétariat du Conseil du Trésor du Canada et de Services partagés Canada à détecter les cybermenaces et pour renforcer la capacité du gouvernement à protéger ses systèmes. Environ 31 millions de dollars ont été attribués à ces quatre organismes pour l’exercice 2012-2013 afin de fournir des ressources supplémentaires pour la mise en œuvre de la Stratégie de cybersécurité du Canada.

3.59 Rôles et responsabilités — La Politique sur la sécurité du gouvernement stipule que tous les administrateurs généraux des organismes fédéraux doivent gérer les activités relatives à la sécurité de sorte que l’information, les installations et les services soient protégés. Toutefois, le grand nombre de ministères et d’organismes concernés a rendu difficiles le partage d’information sur les menaces et la coordination des mesures. Conformément à la Politique, plusieurs ministères et organismes – que l’on appelle les principaux organismes chargés de la sécurité – ont reçu la tâche de diriger et de coordonner les activités et la prestation de services pour faciliter la protection commune des systèmes du gouvernement. La pièce 3.4 décrit ces responsabilités qui, sous la direction du Secrétariat du Conseil du Trésor du Canada, ont été précisées et expliquées dans le Plan de gestion des incidents en matière de technologie de l’information du gouvernement du Canada.

Pièce 3.4 — De nombreux organismes principaux chargés de la sécurité contribuent à la protection des systèmes du gouvernement contre les cybermenaces

Organisme Responsabilités
Bureau du Conseil privé Conseiller et appuyer le Premier Ministre et le Cabinet en ce qui concerne les questions de sécurité nationale, coordonner les activités connexes des ministères et des organismes et fournir une orientation stratégique pangouvernementale sur les priorités relatives à la sécurité nationale et au renseignement.
Secrétariat du Conseil du Trésor du Canada Établir une orientation pangouvernementale, fixer des priorités ainsi que définir et officialiser les exigences en matière de sécurité informatique pour les ministères du gouvernement du Canada.
Sécurité publique Canada Coordonner les activités liées aux incidents de TI qui touchent le gouvernement du Canada et surveiller les menaces en matière de TI qui pèsent sur les services offerts aux Canadiens et sur le gouvernement.
Centre de la sécurité des télécommunications Canada Assurer la direction et la coordination des activités ministérielles en vue de protéger les systèmes de TI d’importance.
Travaux publics et Services gouvernementaux Canada Fournir des services de sécurité des TI, comme assurer la confidentialité, l’intégrité et la disponibilité des services communs de TI qui sont offerts aux organismes.
Service canadien du renseignement de sécurité Fournir des rapports et des évaluations du renseignement relativement à la sécurité des TI pour veiller à la protection des services et des systèmes essentiels du gouvernement du Canada.
Gendarmerie royale du Canada Offrir des services liés à l’application des lois et aux enquêtes, notamment dans les domaines de l’informatique judiciaire et de la cybercriminalité.
Source : Adapté de la Politique sur la sécurité du gouvernement, 2009

3.60 Nous avons toutefois constaté que le Plan de gestion des incidents en matière de technologie de l’information, publié en 2009 après la révision de la Politique sur la sécurité du gouvernement, contenait des points qui ne respectent pas la Politique. Par exemple, les rôles des organismes présentés dans la Politique étaient différents de ceux définis dans le Plan de gestion. L’examen des événements qui se sont produits en janvier 2011 a montré qu’en raison de cette confusion, l’information à propos de la cybermenace n’a pas été communiquée assez rapidement aux organismes appropriés.

3.61 Le Plan de gestion des incidents en matière de technologie de l’information a été mis à jour en mai 2012. Cette nouvelle version clarifie les rôles et les responsabilités des principaux organismes chargés de la sécurité. Elle traite également de la nécessité d’un signalement rapide des incidents. Des représentants du Secrétariat du Conseil du Trésor du Canada nous ont affirmé que, selon eux, ce plan révisé reflète mieux les pratiques et les changements structurels récemment apportés au sein du gouvernement, comme la création de Services partagés Canada.

3.62 Sensibilisation à la sécurité des TI — L’exercice sur les leçons retenues réalisé après l’intrusion de janvier 2011 a également montré que des renseignements délicats étaient stockés sur des systèmes du gouvernement qui ne respectaient pas les mesures de protection appropriées en matière de sécurité des TI. En conséquence, certains de ces renseignements, qui n’ont pas été protégés de façon appropriée contre un accès non autorisé, étaient vulnérables à une compromission. Des représentants du Secrétariat du Conseil du Trésor du Canada nous ont indiqué que le gouvernement remettait actuellement l’accent sur l’augmentation de la sensibilisation aux pratiques exemplaires en matière de sécurité des TI.

La Politique sur la sécurité du gouvernement ne reflète pas les rôles et les responsabilités actuels en matière de sécurité des technologies de l’information

3.63 Services partagés Canada (SPC) est un organisme fédéral établi en août 2011. Dans une présentation au Comité permanent des opérations gouvernementales et des prévisions budgétaires en décembre 2011, la ministre responsable a dit que « plus tôt cette année, nous avons établi Services partagés Canada pour réduire le chevauchement des services d’infrastructure de la technologie de l’information, ou TI, au sein du gouvernement du Canada, pour moderniser la façon dont nous offrons des services à la population canadienne et pour améliorer la sécurité de l’infrastructure de la TI fédérale ».

3.64 Nous avons examiné si les rôles et responsabilités de direction et de coordination de SPC en matière de protection des ressources et des systèmes de technologie de l’information du gouvernement du Canada avaient été définis et exercés.

3.65 SPC assure la sécurité des TI pour les systèmes de courriel, les centres de données et les réseaux électroniques de 43 organismes. Dans la version révisée du Plan de gestion des incidents en matière de technologie de l’information, SPC est chargé des rôles et des responsabilités en matière de sécurité des TI à l’égard des autres organismes. Nous avons constaté que Services partagés Canada ne figure pas dans la liste des principaux organismes chargés de la sécurité présentée dans la Politique sur la sécurité du gouvernement, puisqu’il a été créé après la diffusion de cette dernière. La différence entre la version révisée du Plan de gestion des incidents en matière de technologie de l’information et la Politique sur la sécurité du gouvernement pourrait créer de la confusion quant au rôle en matière de sécurité des TI que SPC doit assumer conformément au Plan de gestion et aux autres politiques du gouvernement.

3.66 Les représentants du gouvernement nous ont informés que la consolidation des services de TI sous SPC est une occasion unique d’élaborer une nouvelle définition conceptuelle pour la mise en œuvre de technologies de l’information au sein du gouvernement du Canada qui placerait la sécurité au cœur des activités. Au cours de la réunion avec le Comité permanent des opérations gouvernementales et des prévisions budgétaires en décembre 2011, la ministre responsable de SPC a affirmé que « grâce au regroupement des services et des actifs, nous pourrons plus facilement veiller à la fiabilité et à la sécurité de l’infrastructure de TI du gouvernement ». Ce regroupement vise à accroître la sécurité en améliorant le contrôle de l’accès. Le gouvernement fédéral s’attend à ce que la consolidation soit terminée d’ici 2020.

3.67 Recommandation — Le Secrétariat du Conseil du Trésor du Canada, en collaboration avec Services partagés Canada, devrait mettre à jour les politiques et les plans pertinents pour qu’ils tiennent compte des nouveaux rôles et responsabilités qu’assume SPC en matière de sécurité des TI.

Réponse du Ministère — Recommandation acceptée. Le Secrétariat du Conseil du Trésor du Canada a révisé le Plan de gestion des incidents en matière de technologie de l’information (TI) du gouvernement du Canada, qui définit les rôles et les responsabilités de Services partagés Canada (SPC) quant à la gestion des incidents. Le Plan de gestion des incidents en matière de TI du gouvernement du Canada a été approuvé par le dirigeant principal de l’information (DPI) du Canada en mai 2012. De plus, le Secrétariat a entrepris la mise à jour de la Politique sur la sécurité du gouvernement afin qu’elle reflète le rôle de SPC en tant qu’un des organismes fédéraux responsable de la sécurité des TI ainsi que ses rôles et responsabilités en matière de sécurité des TI. La politique révisée devrait être publiée en 2013.

Conclusion

3.68 Depuis 2001, le gouvernement du Canada s’est engagé à prendre des mesures à l’égard des cybermenaces qui pèsent contre l’infrastructure essentielle du Canada. Nous avons constaté que les progrès relatifs à ces engagements ont été lents malgré la mise en place de plusieurs stratégies et l’attribution de fonds. Par contre, depuis 2010, soit à la suite de la diffusion de la Stratégie de cybersécurité du Canada et de la stratégie nationale et du plan d’action sur les infrastructures essentielles, nous avons constaté que le gouvernement avait réalisé des progrès au chapitre de la protection de ses systèmes contre les cybermenaces et de l’établissement de certains partenariats avec les propriétaires et les exploitants d’éléments de l’infrastructure essentielle.

3.69 Le gouvernement a déterminé, en 2001, qu’il pourrait contribuer à protéger l’infrastructure essentielle grâce aux partenariats avec les propriétaires et les exploitants en partageant de l’information et en fournissant du soutien technique. Ces partenariats devaient être établis par la mise sur pied de 10 réseaux sectoriels. Toutefois, le gouvernement a réalisé peu de progrès à cet égard. Cette situation limite un des principaux mécanismes permettant à Sécurité publique Canada de communiquer avec les propriétaires et les exploitants d’éléments de l’infrastructure essentielle, comme le précise la Stratégie de cybersécurité du Canada.

3.70 Le gouvernement du Canada a créé le Centre canadien de réponse aux incidents cybernétiques (CCRIC) en 2005, afin qu’il soit le point central servant à surveiller les systèmes et à formuler des conseils sur les mesures d’atténuation des cybermenaces qui pèsent contre l’infrastructure essentielle. Le Centre devait être ouvert 24 heures par jour, 7 jours par semaine, et diriger l’intervention nationale en cas d’incident de cybersécurité. Après sept années d’existence, le CCRIC ne surveille toujours pas les cybermenaces contre l’infrastructure essentielle à temps plein. Le fait de ne pas être ouvert en tout temps empêche le CCRIC de connaître pleinement la situation relative à l’évolution des cybermenaces nationales et internationales. Les heures d’ouverture limitées nuisent également à la capacité du Centre à fournir aux intervenants de l’infrastructure essentielle de l’information et des analyses pertinentes, en temps opportun. Sans celles-ci, les propriétaires et les exploitants d’éléments de l’infrastructure essentielle peuvent plus difficilement réagir aux cyberattaques qui pourraient causer des perturbations.

3.71 L’exercice sur les leçons retenues réalisé après l’intrusion dans les systèmes du gouvernement de janvier 2011 a montré que les systèmes étaient vulnérables. En dépit des engagements et des investissements du gouvernement du Canada en matière de sécurité des systèmes, lesquels remontent à 2001, les cyberincidents n’ont pas été signalés rapidement et l’information sur les cybermenaces n’a pas été communiquée de façon adéquate aux organismes appropriés. En outre, les bonnes pratiques en matière de sécurité des technologies de l’information n’ont pas été systématiquement respectées. Les principaux organismes chargés de la sécurité ont commencé à prendre des mesures en mettant à jour le Plan de gestion des incidents en matière de technologie de l’information du gouvernement. Le gouvernement a attribué davantage de fonds pour accroître sa capacité à détecter les cybermenaces. De plus, il remet l’accent sur l’augmentation de la sensibilisation des employés aux pratiques exemplaires en matière de sécurité des TI.

3.72 Depuis 2001, nous avons constaté que les ministères et les organismes fédéraux visés avaient fait peu de progrès dans leurs efforts pour diriger et coordonner, avec leurs partenaires, la protection de l’infrastructure essentielle du Canada contre les cybermenaces. À la suite de la diffusion de la Stratégie de cybersécurité du Canada et de la stratégie nationale et du plan d’action sur les infrastructures essentielles en 2010, le gouvernement a instauré plusieurs mesures pour améliorer les communications, établir des partenariats et surveiller ses systèmes.

À propos de l’audit

Tous les travaux d’audit dont traite le présent chapitre ont été menés conformément aux normes relatives aux missions de certification établies par l’Institut Canadien des Comptables Agréés. Même si le Bureau du vérificateur général a adopté ces normes comme exigences minimales pour ses audits, il s’appuie également sur les normes et pratiques d’autres disciplines.

Objectif

L’audit avait pour objectif de déterminer si les ministères et les organismes visés du gouvernement fédéral dirigent et coordonnent les activités, avec leurs partenaires, en vue de protéger l’infrastructure essentielle du Canada contre les cybermenaces.

Étendue et méthode

L’audit visait la manière dont Sécurité publique Canada doit planifier, gérer et assumer ses responsabilités, d’une part en dirigeant les activités des entités fédérales en vue de protéger l’infrastructure essentielle du gouvernement du Canada et, d’autre part, en coordonnant les activités fédérales à celles des provinces, des territoires et des propriétaires d’éléments d’infrastructure essentielle du secteur privé. L’audit était principalement axé sur les mesures de prévention et de préparation nécessaires pour protéger l’infrastructure essentielle du pays contre les cybermenaces. Nous avons également examiné la façon dont Sécurité publique Canada accroît la sensibilisation aux cybermenaces et fait la promotion des pratiques sécuritaires en matière de cybernétique.

L’équipe d’audit a rencontré des membres du personnel (principalement des cadres supérieurs et des analystes) de Sécurité publique Canada et du Centre de sécurité des télécommunications Canada, ainsi que des représentants de la Direction du dirigeant principal de l’information. Les autres personnes rencontrées provenaient notamment de Services partagés Canada et du Service canadien du renseignement de sécurité.

Des questions précises d’audit ont également été posées au Bureau du Conseil privé, en raison de son rôle en matière d’orientation stratégique; au ministère de la Justice, puisqu’il formule des conseils et des opinions juridiques en appui aux éléments relatifs au partage d’information sur les menaces (particulièrement l’information délicate) entre les ministères et organismes fédéraux et avec les autres intervenants; ainsi qu’à la Gendarmerie royale du Canada, parce qu’elle assume un rôle de soutien quant à la collecte d’information sur les cyberincidents touchant l’infrastructure essentielle et à la prise de mesures en fonction de cette information.

Enfin, nous avons mené des entrevues avec Industrie Canada, Ressources naturelles Canada et le ministère des Finances, ainsi qu’avec les propriétaires et exploitants d’équipements et de systèmes de l’infrastructure essentielle du secteur privé.

Nous n’avons pas examiné les questions de compétence provinciale ou territoriale, ni les mesures prises par les provinces, les territoires et le secteur privé pour protéger l’infrastructure essentielle. Nous n’avons pas non plus examiné les systèmes classifiés ou les nouveaux pouvoirs conférés par des lois aux organismes d’application de la loi pour lutter contre les cybercrimes.

Critères

Critères Sources
Pour déterminer si les ministères et les organismes visés du gouvernement fédéral dirigent et coordonnent les activités, avec leurs partenaires, en vue de protéger l’infrastructure essentielle du Canada contre les cybermenaces, en partenariat avec les provinces, les territoires, le secteur privé et certains alliés étrangers, nous avons utilisé les critères suivants :

Les ministères et organismes visés dirigent les activités du gouvernement fédéral avec leurs partenaires afin de protéger l’infrastructure essentielle du Canada contre les cybermenaces.

  • Loi sur la gestion des urgences
  • Loi sur le ministère de la Sécurité publique et de la Protection civile
  • Sécurité publique Canada, Stratégie de cybersécurité du Canada
  • Conseil du Trésor, Politique sur la sécurité du gouvernement, 2009
  • Sécurité publique Canada, stratégie nationale et plan d’action sur les infrastructures essentielles
  • Sécurité publique Canada, Protéger une société ouverte : la politique canadienne de sécurité nationale

Les ministères et organismes visés coordonnent les activités de leurs partenaires en vue de protéger l’infrastructure du Canada contre les cybermenaces.

Pour déterminer si les rôles et responsabilités de direction et de coordination en vue de protéger l’infrastructure essentielle du gouvernement du Canada contre les cybermenaces sont assumés tels qu’ils ont été définis, nous avons utilisé les critères suivants :

Le rôle de direction en vue de protéger l’infrastructure essentielle du gouvernement du Canada contre les cybermenaces est assumé tel qu’il a été défini.

  • Loi sur le ministère de la Sécurité publique et de la Protection civile
  • Loi sur la gestion des urgences
  • Loi sur la gestion des finances publiques
  • Conseil du Trésor, Politique sur la sécurité du gouvernement, 2009
  • Sécurité publique Canada, stratégie nationale et plan d’action sur les infrastructures essentielles
  • Sécurité publique Canada, Stratégie de cybersécurité du Canada

Les activités visant à protéger l’infrastructure essentielle du gouvernement contre les cybermenaces sont coordonnées telles qu’il a été défini.

  • Loi sur le ministère de la Sécurité publique et de la Protection civile
  • Loi sur la gestion des urgences
  • Loi sur la gestion des finances publiques
  • Loi sur la défense nationale
  • Sécurité publique Canada, Politique de sécurité nationale
  • Conseil du Trésor, Politique sur la sécurité du gouvernement, 2009
  • Sécurité publique Canada, Politique fédérale en matière de gestion des urgences
  • Conseil du Trésor, Politique sur la structure de la gestion, des ressources et des résultats
  • Sécurité publique Canada, stratégie nationale et plan d’action sur les infrastructures essentielles
  • Sécurité publique Canada, Stratégie de cybersécurité du Canada
Pour déterminer si Sécurité publique Canada contribue à améliorer la sensibilisation des Canadiens à l’égard des cybermenaces, nous avons utilisé le critère suivant :

Sécurité publique Canada contribue à améliorer la sensibilisation à l’égard de la cybercriminalité et l’utilisation des mesures de sécurité en matière de cybernétique.

  • Loi sur la gestion des urgences
  • Conseil du Trésor, Politique sur la sécurité du gouvernement, 2009
  • Sécurité publique Canada, Stratégie de cybersécurité du Canada

La direction a examiné les critères de l’audit et elle en a reconnu la validité.

Période visée par l’audit

L’audit a porté sur la période comprise entre la publication du Rapport du Comité spécial du Sénat sur la sécurité et les services de renseignement, en janvier 1999, et le 31 mai 2012. Les travaux d’audit dont il est question dans le présent chapitre ont été terminés le 17 juillet 2012.

Équipe d’audit

Vérificatrice générale adjointe : Wendy Loschiuk
Directeur principal : Edward Wood
Directeur : Jean Goulet

Donna Ardelean
Jenna Lindley
Steven Mariani
Catherine Martin
Jeffrey Roy

Pour obtenir de l’information, veuillez téléphoner à la Direction des communications : 613-995-3708 ou 1-888-761-5953 (sans frais).

Annexe — Tableau des recommandations

Les recommandations formulées au chapitre 3 sont présentées ici sous forme de tableau. Le numéro du paragraphe où se trouve la recommandation apparaît en début de ligne. Les chiffres entre parenthèses correspondent au numéro des paragraphes où le sujet de la recommandation est abordé.

Recommandation Réponse
Protéger l’infrastructure essentielle contre les cybermenaces

3.25 Sécurité publique Canada devrait établir un plan d’action interministériel, prévoyant des produits à livrer et des échéanciers, afin d’orienter la mise en œuvre de la Stratégie de cybersécurité du Canada (2010) et de mesurer les progrès accomplis. (3.22-3.24)

Recommandation acceptée. Sécurité publique Canada émettra un plan d’action interministériel. Ce plan d’action sera basé sur un plan de mise en œuvre qui fut élaboré et approuvé avant le lancement de la Stratégie de cybersécurité du Canada en octobre 2010. Puisque certaines des activités figurant au plan de mise en œuvre étaient de nature délicate et traitaient de questions de sécurité nationale, le plan n’a pas été diffusé au public. Sécurité publique Canada mène l’élaboration d’une stratégie de mesure du rendement horizontale pour mesurer et faire état du progrès accompli vis-à-vis les engagements faits dans le plan de mise en œuvre.

Établir des partenariats pour protéger l’infrastructure essentielle

3.37 Sécurité publique Canada devrait s’assurer que tous les réseaux sectoriels sont pleinement établis et fonctionnent comme le prévoient la stratégie nationale et le plan d’action sur les infrastructures essentielles, afin qu’ils deviennent un outil efficace pour protéger l’infrastructure essentielle et atteindre les objectifs de la Stratégie de cybersécurité du Canada. (3.31-3.36)

Recommandation acceptée. Les réseaux sectoriels offrent un mécanisme utile pour atteindre les objectifs de mobilisation du secteur privé contenus dans la Stratégie de cybersécurité du Canada, notamment en ce qui a trait à l’échange d’information sur les cybermenaces et à l’établissement de partenariats avec les secteurs des infrastructures essentielles pour mener des activités de gestion des risques. Le Ministère continuera de collaborer avec les ministères et les organismes fédéraux responsables pour renforcer les réseaux sectoriels, échanger de l’information avec les intervenants du secteur (y compris l’information sur les cybermenaces) et fournir des outils en appui aux efforts de gestion des risques déployés par chaque secteur. Reconnaissant que chaque secteur est unique et que la représentation ne devrait pas être uniforme dans l’ensemble des secteurs des infrastructures essentielles, Sécurité publique Canada offrira aux ministères et aux organismes fédéraux responsables des conseils sur la couverture appropriée des réseaux sectoriels d’ici décembre 2013.

Surveiller les cybermenaces qui pèsent sur l’infrastructure essentielle

3.52 Sécurité publique Canada devrait renforcer la capacité du Centre canadien de réponse aux incidents cybernétiques à maintenir une connaissance de la situation relative aux cybermenaces qui pèsent contre l’infrastructure essentielle du Canada et à communiquer cette information aux propriétaires et aux exploitants d’éléments de l’infrastructure essentielle. (3.39-3.51)

Recommandation acceptée. Pour accroître le soutien offert aux infrastructures essentielles et à d’autres partenaires, Sécurité publique Canada augmente la capacité opérationnelle et autres capacités du CCRIC, renforce les politiques et les processus du Centre, et améliore ses partenariats de partage d’information.

En 2012, le gouvernement a affecté 13 millions de dollars de plus sur cinq ans pour prolonger les heures d’activités du CCRIC à 15 heures par jour, sept jours par semaine. Les capacités du Centre ont été rehaussées par l’acquisition d’un laboratoire d’analyse de logiciels malveillants de classe mondiale auprès du Centre de recherches sur les communications ainsi que par la mise en place d’un banc d’essai des systèmes de contrôle industriels.

Le mandat du CCRIC a été actualisé afin d’être plus clair pour les partenaires internes et externes. Les procédures et les politiques normalisées sont mises à jour au besoin en appui à l’élargissement des activités du Centre, pour faire en sorte que ce dernier offre des services à valeur ajoutée efficientes, efficaces et uniformes.

Enfin, le CCRIC améliore l’échange d’information grâce à la mise en place du Portail de la communauté du CCRIC, un environnement protégé permettant la collaboration, et à l’établissement d’ententes officielles d’échange d’information avec les partenaires des infrastructures essentielles; la première entente de ce genre a été récemment conclue. De plus, un projet pilote d’intervention en cas d’incident a été lancé en collaboration avec un certain nombre de partenaires. Les leçons qui en seront tirées amélioreront grandement tant la capacité d’intervention que le niveau de préparation en matière de cybersécurité de tous les partenaires.

Protéger les systèmes d’information du gouvernement

3.67 Le Secrétariat du Conseil du Trésor du Canada, en collaboration avec Services partagés Canada, devrait mettre à jour les politiques et les plans pertinents pour qu’ils tiennent compte des nouveaux rôles et responsabilités qu’assume SPC en matière de sécurité des TI. (3.63-3.66)

Recommandation acceptée. Le Secrétariat du Conseil du Trésor du Canada a révisé le Plan de gestion des incidents en matière de technologie de l’information (TI) du gouvernement du Canada, qui définit les rôles et les responsabilités de Services partagés Canada (SPC) quant à la gestion des incidents. Le Plan de gestion des incidents en matière de TI du gouvernement du Canada a été approuvé par le dirigeant principal de l’information (DPI) du Canada en mai 2012. De plus, le Secrétariat a entrepris la mise à jour de la Politique sur la sécurité du gouvernement afin qu’elle reflète le rôle de SPC en tant qu’un des organismes fédéraux responsable de la sécurité des TI ainsi que ses rôles et responsabilités en matière de sécurité des TI. La politique révisée devrait être publiée en 2013.

 


Définitions :

Cyberattaque — L’accès involontaire ou non autorisé à des renseignements électroniques et/ou des infrastructures électroniques ou matérielles utilisés pour traiter, communiquer ou entreposer cette information, ainsi que leur utilisation, leur manipulation, leur interruption ou leur destruction (par voie électronique).

Source : Gouvernement du Canada, Stratégie de cybersécurité du Canada (Retourner)

Connaissance de la situation — Avoir une compréhension de son environnement et de ce qui se passe pour comprendre comment les événements et les mesures influeront sur les objectifs opérationnels, maintenant et dans un proche avenir. Pour connaître la situation, il est essentiel de saisir les relations qui existent entre les services et les renseignements essentiels, les mécanismes de protection de l’infrastructure et des processus de technologie de l’information, de même que l’évolution des menaces. (Retourner)

Profil de risque des secteurs — Aperçu de chaque secteur mis au point par Sécurité publique Canada. Chaque profil comporte une liste des sous-secteurs qui devraient faire partie du réseau sectoriel. (Retourner)

 

Version PDF

Pour consulter la version PDF (format de document portable), vous devez avoir un lecteur PDF sur votre ordinateur. Si vous n’en avez pas déjà un, il existe de nombreux lecteurs PDF que vous pouvez télécharger gratuitement ou acheter dans Internet :