Audit de la sécurité ministérielle
Rapport final

Le 7 octobre 2019

Audit de la sécurité ministérielle (1.32 Mo)

Si vous avez besoin d'aide pour accéder aux formats suppléants, tels que PDF visitez la section d'aide sur les formats suppléants.

Table des matières

1. Sommaire

Objectif de l’audit

L’objectif de l’audit était d’évaluer l’efficacité du programme de sécurité ministériel d’Infrastructure Canada (INFC) ainsi que sa conformité à la Politique sur la sécurité du gouvernement du Conseil du Trésor du Canada (CT) adoptée en 2009 et à d’autres politiques, directives et normes.

Pourquoi est-ce important?

INFC compte beaucoup sur son personnel ainsi que sur les biens et les renseignements dont il dispose pour assurer la prestation de ses programmes et de ses services. Un problème de sécurité physique, par exemple un accès non autorisé à l’une de ses installations, pourrait se traduire par une menace de violence pour ses employés et en une perte de biens physiques et de renseignements de valeur, en plus de compromettre la prestation de services essentiels d’INFC.

En date du 31 mars 2019, INFC comptait environ 593 employés, répartis dans quatre emplacements différents à Ottawa et à Montréal. Parmi ses actifs, le Ministère compte du mobilier de bureau, des véhicules et de l’équipement de technologie de l’information (TI) ainsi que des biens immobiliers (comme des terrains, des ponts et des infrastructures routières) liés au projet de corridor du nouveau pont Champlain (CNPC). Pour les besoins du présent audit, les actifs du projet de CNPC ont été exclus, de même que les actifs gérés par un partenaire privé dans le cadre d’une entente de partenariat public-privé. INFC détient un grand nombre de documents électroniques, la plupart étant non classifiés ou Protégé A.

Forces

INFC profite de la révision en cours des politiques du CT pour mettre à jour et simplifier ses politiques et ses directives ministérielles en matière de sécurité. De plus, INFC ajustera le cadre de référence de sa structure de gouvernance afin qu’elle soit conforme aux nouveaux instruments de politique sur la sécurité. Maintenant que les nouveaux instruments de politique du CT sont en vigueur (depuis le 1er juillet 2019), il est important que le Ministère définisse un calendrier pour terminer le processus de mise à jour afin d’assurer son entière conformité.

Des contrôles de sécurité physiques adéquats sont en place pour assurer l’identification des biens physiques, le filtrage de sécurité du personnel, la délivrance des insignes d’identité, le zonage ainsi que le stockage, et l’élimination et la destruction des supports de TI.

Un programme de sensibilisation à la sécurité complet, qui comprend des formations, des messages contextuels sur les ordinateurs, des affiches, des courriels et des documents d’orientation, est en place au sein du Ministère.

INFC dispose d’un cadre de gestion de projets qui fonctionne bien et prévoit des contrôles de sécurité pour les diverses phases de l’élaboration des projets.

Un plan de continuité des activités (PCA) mis à l’essai et à jour, conforme à la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA) du CT, est en place.

Possibilités d’amélioration

Gestion des risques pour la sécurité : Un lien peut être établi entre le plan de sécurité ministériel et le profil de risque ministériel, toutefois aucun registre officiel n’est en place pour que tous les risques importants soient détectés et évalués, et que des mesures d’atténuation soient prises.

Les 10 principales mesures de sécurité des TI du Centre de la sécurité des télécommunications (CST) : Bien que le Ministère ait déployé certains efforts pour appuyer directement les 10 mesures de sécurité des TI dont il est responsable, il n’a pas effectué d’évaluation officielle de la cybersécurité en fonction de ces mesures.Note de bas de page 1

Non-respect des politiques et des directives sur la sécurité au sein du personnel d’INFC : Au moment de l’audit, 55 %Note de bas de page 2des employés du Ministère avaient suivi le cours obligatoire de sensibilisation à la sécurité, mais les derniers ratissages de sécurité ont révélé qu’il y avait encore un grand nombre d’infractions à la sécurité. De plus, aucune corrélation n’a pu être établie, lors du ratissage de sécurité de février 2019, entre les employés qui avaient suivi le cours et ceux qui avaient commis une infraction à la sécurité.

Conformité à la Politique sur la sécurité du gouvernement : La plupart des systèmes de TI à INFC, en particulier les anciens systèmes, sont en fonction malgré l’absence d’un rapport d’évaluation de sécurité et d’autorisation valide, comme le requiert la Politique sur la sécurité du gouvernement du CT. Par l’entremise du processus d’évaluation de sécurité et d’autorisation, il aurait été plus simple de repérer les faiblesses soulevées lors de l’audit dans les domaines de la gestion des comptes privilégiés et de la planification de la continuité des TI. Les nouveaux systèmes (c.-à-d. le Système d’information sur les bénéficiaires des infrastructures [SIBI] et GCdocs) implantés au cours de la dernière année sont entrés en production, car ils bénéficient d’une autorisation provisoire d’exploitation.

Incidents de sécurité : Ce ne sont pas tous les incidents de sécurité qui sont détectés, consignés, atténués et signalés correctement.

Contrôle de l’équipement électronique : Un nouveau système d’inventaire est en place pour consigner tous les articles de TI, toutefois personne ne procède périodiquement à l’inventaire des biens physiques et les dossiers comptent un certain nombre d’articles, comme des ordinateurs portables, des tablettes et des clés USB, dont le propriétaire et l’emplacement sont inconnus.

Conclusion

De modestes améliorations doivent être mises en œuvre au sein d’INFC afin que le Ministère dispose d’un programme de sécurité bien défini, entièrement efficace et conforme à la Politique sur la sécurité du gouvernement du CT ainsi qu’à d’autres politiques, directives et normes pertinentes. Le plus important défi que devra relever INFC sera de transformer sa culture afin d’augmenter sa vigilance envers la sécurité et de mettre en œuvre la nouvelle politique du CT ainsi que d’autres politiques, directives et normes ministérielles pertinentes dans l’avenir.

Recommandations

La liste complète des recommandations se trouve à la section 7, Réponse et plan d’action de la direction..

2. Contexte

La Politique sur la sécurité du gouvernement de 2009 du CT est une composante essentielle du cadre de sécurité national du gouvernement du Canada. Elle définit les responsabilités des administrateurs généraux pour empêcher la compromission des renseignements, des biens et des services du gouvernement et pour protéger son personnel contre la violence en milieu de travail. Maintenant que les instruments de politique du CT sont entrés en vigueur (depuis le 1er juillet 2019), la structure de gouvernance d’INFC sera ajustée afin d’assurer sa conformité avec les nouveaux instruments de politique sur la sécurité.

3. Approche de l’audit

3.1 Objectifs et portée

L’objectif global de l’audit était d’évaluer l’efficacité du programme de sécurité ministériel d’INFC ainsi que sa conformité avec la Politique sur la sécurité du gouvernement de 2009 du CT et d’autres politiques, directives et normes pertinentes. Les sous-objectifs de l’audit étaient expressément d’évaluer :

Seules les activités liées à la sécurité sous la responsabilité d’INFC ont été évaluées dans le cadre de l’audit. La portée de l’audit se limite à l’aspect de la sécurité des biens physiques, de la gestion de l’information et de la gestion des projets. L’équipe de l’audit a procédé à l’examen des communications entre INFC et ses partenaires (comme Services partagés Canada [SPC]), sans effectuer d’évaluation directe des pratiques et des systèmes employés. L’audit ne couvrait également pas les biens détenus par INFC dans le cadre de projets, comme le nouveau pont Champlain. Les travaux liés à l’audit ont été réalisés à Ottawa, mais une visite des bureaux de Montréal a également été effectuée.

3.2 Approche et méthodologie

La mission d’audit a été menée conformément à la Politique sur l’audit interne du CT (entrée en vigueur le 1er avril 2017) et aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes (Institute of Internal Auditors).

La mission d’audit comportait divers essais jugés nécessaires pour obtenir une garantie raisonnable de la bonne gestion du programme de sécurité ministériel. Les essais suivants ont notamment été effectués, sans s’y limiter :

  1. la réalisation d’entrevues avec le personnel concernant la gestion de la sécurité ministérielle et les activités connexes;
  2. la révision des instruments de politique et des procédures applicables du Ministère et du CT concernant la gestion des fonctions de sécurité ministérielle;
  3. l’évaluation de la documentation pertinente, de la participation aux réunions, des révisions de processus et des examens analytiques.

La phase d’exécution de l’audit était essentiellement achevée en date du 29 mars 2019.

3.3 Évaluation des risques

Lors de la phase de planification préliminaire, une approche axée sur les risques a été utilisée pour établir les objectifs, la portée et l’approche de la mission d’audit. L’approche consistait notamment à réaliser des entrevues avec le personnel et à examiner les documents importants. Voici le résumé des principaux risques inhérents pris en considération :

3.4 Critères de l’audit

Les critères détaillés de l’audit ont été établis en fonction des risques inhérents mentionnés ci-dessus. C’est à partir de ces critères que les activités d’audit sur le terrain ont été réalisées et que la conclusion, qui présente de manière globale l’engagement d’INFC, a été rédigée. La prochaine section présente les résultats de l’audit en fonction de chacun des critères.

Veuillez vous reporter à l’annexe A pour connaître les critères détaillés.

4. Principales constatationsNote de bas de page 3

4.1 Gouvernance

Sous-objectif : Déterminer si la structure de gouvernance en place favorise une planification et une prise de décisions transparentes concernant la sécurité ministérielle.

Politiques, directives et lignes directrices

Critère : Des politiques, des directives et des lignes directrices complètes, approuvées et à jour sont en place pour garantir la sécurité ministérielle.

Les principaux instruments de politique en matière de sécurité au moment de l’audit étaient la Politique sur la sécurité du gouvernement du CT (2009) et la Politique ministérielle sur la sécurité d’Infrastructure Canada (2007), et les deux étaient désuets. Le renouvellement des politiques sur la sécurité du CT a été approuvé par les ministres du Conseil le 12 avril 2019 et est entré en vigueur le 1er juillet 2019.

Le Secrétariat du Conseil du Trésor (SCT) a adopté des directives, des normes et des lignes directrices afin de compléter la Politique sur la sécurité du gouvernement, et INFC profite du renouvellement des politiques du CT pour simplifier et mettre à jour ses propres directives et lignes directrices ministérielles en matière de sécurité. Bien qu’une grande part du travail concernant les politiques sur la sécurité d’INFC soit terminée, il reste certaines tâches à accomplir.

Rôles et responsabilités

Critère : Les rôles et les responsabilités dans la gestion du programme de sécurité ministériel sont bien définis, ont été diffusés et ont été attribués aux personnes concernées.

À INFC, la sécurité ministérielle relève de la Direction de la gestion de l’information et des technologies de l’information (GI-TI) au sein de la Direction générale des services ministériels. La Direction de la GI-TI comporte deux divisions : les Services des applications et la division Soutien aux opérations, sécurité et gestion de l’information (dont fait partie le groupe de la sécurité).

L’agent de sécurité du Ministère (ASM) est chargé de la gestion du programme de sécurité ministériel et relève du sous-ministre (SM). Les rôles et les responsabilités de l’ASM sont bien définis dans les instruments de Politique sur la sécurité du gouvernement du Canada et d’INFC. L’équipe de l’audit, accompagnée du dirigeant principal de l’information et de l’ASM, a préparé un tableau RACINote de bas de page 4présenté à l’annexe B., afin de définir les rôles et les responsabilités en matière de sécurité à INFC et d’en faciliter la compréhension.

Les responsabilités et les rôles actuels en matière de sécurité sont conformes aux instruments de politique existants du CT. Des changements devront être apportés à la structure de gouvernance afin d’assurer sa conformité avec la Politique sur la sécurité du gouvernement et la directive sur la gestion intégrée des services, de l’information, des TI et de la cybersécurité du CT. Par exemple, la nouvelle Politique sur la sécurité du gouvernement exige que le sous-ministre désigne un dirigeant principal de la sécurité, qui remplacera l’ASM désigné en vertu de la politique de 2009 et sera chargé d’assurer le leadership, la coordination et la surveillance des activités de gestion de la sécurité ministérielle. La nouvelle directive du CT sur la gestion intégrée des services, de l’information, des TI et de la cybersécurité exige la création d’un comité d’examen de l’architecture (CEA) dont le mandat est d’évaluer et d’approuver l’architecture de tous les services de TI du Ministère. Le dirigeant principal de l’information a indiqué que les discussions avec la haute direction d’INFC au sujet des changements requis allaient bon train.

En conclusion, les rôles et les responsabilités de l’ASM sont définis et appuyés par des ouvrages précis. Des ajustements devront être apportés à la structure de gouvernance d’INFC en raison de la récente approbation de la nouvelle Politique sur la sécurité du gouvernement du CT et de la nouvelle directive sur la gestion intégrée des services, de l’information, des TI et de la cybersécurité.

Communications

Critère : Une stratégie de communication a été mise en place pour que les employés soient bien informés de leurs rôles et de leurs responsabilités en matière de sécurité.

Comme l’exige la Politique sur la sécurité du gouvernement du CT, INFC a élaboré et approuvé un plan de sécurité ministériel, qui définit les risques pour la sécurité et les contrôles de sécurité connexes, présente son plan d’action triennal et décrit les rôles et les responsabilités concernant la production de rapports sur le rendement. Le plan de sécurité ministériel d’INFC est le principal document utilisé pour diffuser les rôles, les responsabilités et les obligations de rendre compte à INFC.

Le plan de sécurité ministériel n’est pas distribué à tous les employés, mais il est présenté au Comité de gestion des investissements (CGI) et au Comité de gestion ministériel (CGM), est approuvé par le SM et est transmis au SCT. Il s’agit d’un outil utile pour faire état de la posture actuelle en matière de sécurité du Ministère et de ses initiatives futures. La Politique, quant à elle, est facilement accessible à tout le personnel sur l’intranet du Ministère (INFRAnet) et un message contextuel apparaît au démarrage des ordinateurs pour encourager le personnel à consulter les politiques en matière de GI-TI. La directive sur le ratissage de sécurité et plusieurs autres ressources, comme les Lignes directrices pour un bureau bien rangé et un guide d’utilisation des clés USB chiffrées, viennent compléter le plan de sécurité. Tous les membres du personnel sont informés de leurs rôles et de leurs responsabilités en matière de sécurité lors du processus d’accueil et d’intégration à INFC et doivent suivre le cours obligatoire de sensibilisation à la sécurité au cours de leur premier mois au Ministère.

En conclusion, plusieurs outils et activités de communication sont en place pour que les employés soient bien informés de leurs rôles et de leurs responsabilités en matière de sécurité.

Gestion des risques

Critère : Les risques en matière de sécurité sont déterminés, consignés et évalués systématiquement, et des mesures sont prises pour les atténuer.

Le secteur public est un milieu complexe et dynamique, et la gestion des risques joue un rôle crucial dans le renforcement de la capacité du gouvernement à répondre activement aux changements et à l’incertitude en mettant à profit les données axées sur le risque pour prendre des décisions plus efficaces. Une capacité démontrée à cerner les risques en matière de sécurité, à les évaluer, à les communiquer et à les gérer renforce la confiance au sein d’INFC, mais aussi au sein de l’ensemble du gouvernement.

L’un des principaux messages abordés dans la Politique sur la sécurité du gouvernement du CT est la gestion des risques en matière de sécurité. En effet, la Politique cible l’évaluation continue des risques comme mesure nécessaire à la gestion de la sécurité, ce qui comprend la mise en œuvre, la surveillance et le maintien de contrôles internes appropriés, notamment en matière de prévention, de détection, de réponse et de reprise des activités. La directive connexe du CT sur la gestion de la sécurité ministérielle indique que l’ASM est chargé d’élaborer, de consigner, de mettre en œuvre et de tenir à jour les processus de gestion systématique des risques pour la sécurité, ce qui assure une adaptation constante à l’évolution des besoins de l’organisation et des menaces.

Le plan de sécurité ministériel d’INFC pour l’année 2018 à 2021 décrit les risques en matière de sécurité comme étant les plus susceptibles de nuire à la capacité d’INFC d’accomplir son mandat. Le plan établit des liens avec le profil de risque ministériel et les risques connexes en matière de sécurité. Par exemple, dans le profil de risque ministériel pour l’année 2019 à 2021, sous la catégorie « gouvernance et gestion des risques », on peut lire que « le modèle d’exploitation actuel pourrait ne plus servir les besoins nouveaux et changeants de l’organisme, ce qui pourrait affecter la capacité d’INFC à mettre à profit la gérance de ses quatre secteurs fonctionnels. » Un énoncé du risque connexe indique que, si les processus d’embauche ne permettent pas de vérifier convenablement la fiabilité des employés, des personnes mal intentionnées pourraient avoir accès à des renseignements de nature délicate d’INFC et à ses installations. Un autre énoncé indique finalement que des renseignements de nature de délicate d’INFC risquent d’être compromis à la suite d’une négligence ou en cas de divulgation délibérée non autorisée par un employé, ce qui pourrait mettre INFC dans l’embarras.

INFC a effectué une évaluation des risques en matière de sécurité en examinant les versions précédentes et actuelles du plan de sécurité ministériel, du profil de risque ministériel et des évaluations des menaces et des risques de ses installations. Pour chacun des risques ciblés, les contrôles de sécurité existants ont été évalués et le risque résiduel a été déterminé.

INFC ne dispose pas de registre ministériel des risques en matière de sécurité (ou d’aucun autre outil) pour cibler et évaluer systématiquement les risques, prendre des mesures d’atténuation ou accepter le risque résiduel en matière de sécurité. Un registre des risques devrait être employé pour évaluer le risque résiduel et signaler les risques qui dépassent les limites d’acceptabilité établies. Un certain nombre de risques connus pour la sécurité ne sont pas consignés, et le risque résiduel qui en découle n’est pas officiellement accepté par la direction et aucun mécanisme de contrôle compensatoire n’est mis en œuvre. Voici les risques en question :

Au cours des deux dernières années, INFC a effectué des évaluations des menaces et des risques à ses quatre emplacements (au 180, rue Kent et au 427, rue Laurier à Ottawa, ainsi qu’au 800, boul. René-Lévesque et au bureau de chantier à Montréal) pour s’assurer que son personnel était en sécurité au sein de ses installations, et que ses biens tangibles et ses renseignements étaient protégés selon le niveau approprié. Les évaluations ont révélé plusieurs sources de préoccupation, pour lesquelles des recommandations et des plans d’action ont été préparés.

INFC compte dix-huit applications de TI dans son portefeuille d’applications (annexe E), comme le Système de gestion de l’information sur les projets (SGIP) et le SIBI. De ces dix-huit applications, quinze n’ont pas été soumises au processus d’évaluation de sécurité et d’autorisation. Les trois autres ont uniquement reçu une autorisation d’exploitation provisoire, parce qu’elles présentaient des lacunes supérieures au seuil acceptable de risque « faible ». L’autorisation d’exploitation provisoire du SGIP venait à échéance en septembre 2016 et n’a pas été prolongée. Il est impossible de savoir si les applications d’INFC comportent des lacunes supérieures au niveau de risque résiduel acceptable d’INFC sans qu’elles soient soumises au processus de certification.

Le Centre de la sécurité des télécommunications (CST), dont la mission est d’assurer la prestation et la protection de renseignements d’intérêt national par l’entremise de technologies à la fine pointe, a publié une liste des dix mesures de sécurité des TI les plus efficaces pour protéger les réseaux Internet et l’information.

Les 10 mesures de sécurité des TI visant à protéger les réseaux Internet et l’informationNote de bas de page 5 du CST
Rang Mesure Responsabilité (INFC, SPC ou partagée)
1 Intégrer, surveiller et défendre les passerelles Internet SPC
2 Appliquer les correctifs aux systèmes d’exploitation (SE) et aux applications SPC
3 Mettre en vigueur la gestion des privilèges d’administrateurs SPC/INFC
4 Renforcer les systèmes d’exploitation (SE) et les applications SPC/INFC
5 Segmenter et séparer les informations SPC/INFC
6 Offrir de la formation et de la sensibilisation sur mesure INFC
7 Protéger l’information au niveau organisationnel SPC/INFC
8 Assurer la protection au niveau de l’hôte SPC
9 Isoler les applications Web SPC
10 Mettre en œuvre une liste blanche des applications SPC/INFC

Bien que la plupart des mesures de sécurité des TI soient applicables à l’infrastructure des TI et sont la responsabilité de SPC, certaines d’entre elles relèvent d’une responsabilité partagée entre SPC et INFC, ou seulement d’INFC. Par exemple, INFC est chargé de réduire au minimum le risque lié au nombre d’utilisateurs disposant de privilèges d’administrateurs et d’effectuer des évaluations des vulnérabilités d’ordre technique afin de détecter les vulnérabilités de ses applications.

Le plan de sécurité ministériel comprend un plan d’action triennal énonçant la liste des activités, des mesures et des contrôles de sécurité visant à réduire davantage le risque résiduel. Par contre, en l’absence d’un registre des risques, il est difficile de déterminer les mesures permettant de réduire les risques résiduels qui dépassent le seuil de tolérance au risque de la direction ou de pallier les lacunes observées en ce qui concerne le respect des exigences des politiques.

En conclusion, INFC doit renforcer ses pratiques en matière de gestion des risques pour la sécurité. En l’absence de mesures pour déterminer et gérer efficacement les risques au sein du Ministère, les renseignements de nature délicate d’INFC pourraient être compromis, par exemple en cas de négligence ou de divulgation délibérée non autorisée, ou d’accès à des renseignements de nature délicate par une personne mal intentionnée, ce qui pourrait mettre INFC dans l’embarras. Des ressources peuvent également être mises en place pour réduire le risque à un niveau bien plus faible que le seuil de tolérance de la direction.

Bien qu’INFC ait déployé certains efforts directement en vue de se conformer aux mesures de sécurité proposées par le CST dont il est responsable, le Ministère n’a pas effectué d’évaluation officielle de la cybersécurité en fonction de ces mesures. Bien qu’elle ne soit pas obligatoire, cette évaluation, ainsi que les mesures correctives qui en découlent, contribuerait à réduire le risque d’exposition du Ministère à des cyberattaques et à d’autres menaces.

Recommandation no 1 :

Il est recommandé que le SMA, Services ministériels, élabore et mette en œuvre, en consultation avec l’ASM, une procédure pour que tous les principaux risques en matière de sécurité soient déterminés, évalués et gérés. Le rendement du Ministère par rapport aux dix mesures de sécurité du CST dont il est responsable doit notamment être évalué afin d’assurer le respect des pratiques exemplaires visant à protéger les réseaux et les renseignements d’INFC.

4.2 Contrôles de sécurité

Sous-objectif : Déterminer si les contrôles de sécurité ministériels en place sont suffisants et adéquats pour assurer la sécurité des personnes, des installations, des biens physiques, de la gestion de l’information et des systèmes de TI.

Contrôles d’accès

Critère : Des contrôles d’accès ont été mis en œuvre et sont examinés périodiquement afin de protéger les installations et les systèmes de TI.

Contrôles d’accès physiques

La Norme opérationnelle sur la sécurité matérielle du SCT, modifiée pour la dernière fois en février 2013, exige que tous les ministères contrôlent l’accès aux zones d’accès restreint par des mécanismes accordant uniquement l’accès au personnel autorisé et aux visiteurs sans contrevenir aux exigences en matière de sécurité.

INFC a récemment effectué des évaluations des menaces et des risques dans ses quatre emplacements pour en évaluer la sécurité physique. Les évaluations mentionnent la présence de mécanismes de sécurité, comme des lecteurs de carte d’accès, des serrures, des dispositifs d’accès aux escaliers et aux ascenseurs, de l’équipement vidéo en circuit fermé, des caméras et un stationnement étagé équipé de dispositifs de sécurité.

Les quatre évaluations comportent un certain nombre de recommandations visant à aider INFC à renforcer sa posture de sécurité (l’état de la sécurité de ses réseaux, de ses renseignements et de ses systèmes) et assurer la sécurité de son personnel lorsqu’il travaille dans ses installations. Aucun des risques en matière de sécurité ciblés n’a été qualifié de « problème critique ». Plusieurs étaient liés au fait qu’INFC occupe des édifices privés dotés d’espaces commerciaux aux étages inférieurs. INFC ne pourrait pas, par exemple, décider de verrouiller l’accès au rez-de-chaussée lors d’un événement nécessitant un confinement sur place.

En conclusion, INFC a récemment procédé à l’examen des contrôles d’accès physiques à tous ses emplacements, et gère adéquatement les risques ciblés.

Contrôles d’accès aux TI

L’audit était principalement axé sur les contrôles de gestion des accès des utilisateurs, et une attention particulière a été portée à la gestion des comptes privilégiésNote de bas de page7pour les applications d’INFC.

La gestion des accès des utilisateurs est le processus qui permet de gérer qui a accès à quelle information au fil du temps. Il s’agit de bien plus que d’une fonction de TI, puisque la gestion des accès a des répercussions sur toutes les fonctions et sur chacun des utilisateurs des systèmes de TI au sein du Ministère. Bien que SPC soit responsable de la gestion des contrôles d’accès pour plusieurs des systèmes de TI d’INFC, comme son réseau et sa messagerie électronique, INFC est responsable de gérer les droits d’accès à ses propres applications et de réviser la liste des utilisateurs autorisés des systèmes de TI qui ne sont pas sous sa responsabilité afin de s’assurer que la gestion des accès au Ministère est fondée sur les principes du droit d’accès minimal et du besoin de savoir.

Aucune procédure n’est en place à INFC pour assurer la révision périodique des listes d’accès des utilisateurs et de leurs privilèges. Une telle révision permettrait d’identifier les utilisateurs qui ont quitté le Ministère ou qui ont maintenant des responsabilités différentes et n’ont plus besoin d’accéder à certaines parties du système. La procédure contribuerait également à trouver les comptes génériques ou les utilisateurs disposant de comptes privilégiés qui ne sont plus requis. L’examen des comptes d’utilisateurs n’a pas été fait depuis plusieurs années. Cette mesure est importante, parce qu’une faiblesse dans les contrôles d’accès aux TI pourrait provoquer une exposition involontaire et la perte ou la compromission de renseignements de nature délicate, ce qui, au bout du compte, pourrait mettre le Ministère dans l’embarras.

Les contrôles d’accès des utilisateurs ont été mis à l’essai pour trois des dix-huit applications d’INFC. Des faiblesses ont été notées pour chacune d’entre elles, notamment l’utilisation d’un compte générique de super-utilisateur.

Recommandation no 2 :

Il est recommandé que le SMA, Services ministériels, effectue, en consultation avec le directeur, Services des applications, un examen périodique des accès des utilisateurs aux systèmes de TI d’INFC en accordant une attention particulière aux utilisateurs disposant de droits d’accès privilégiés ou d’administrateurs.

Sensibilisation à la sécurité

Critère : Un programme de sensibilisation à la sécurité a été établi pour guider les employés et faire en sorte qu’ils comprennent et assument leurs responsabilités en matière de sécurité, et qu’ils ne compromettent pas involontairement la sécurité.

Le principal objectif du programme de sensibilisation à la sécurité est d’informer les employés de leurs responsabilités envers la protection de la confidentialité, de la disponibilité et de l’intégrité des renseignements d’INFC. La sécurité de l’information est donc la responsabilité de tous, et pas seulement celle de la division de la sécurité.

INFC dispose d’un programme de formation et de sensibilisation à la sécurité complet et à jour, qui comprend une séance d’information sur la sécurité donnée aux employés lors du processus d’accueil et d’intégration, des articles INFRAmation, des conseils, des lignes directrices et des affiches sur la sécurité ainsi que des ratissages de sécurité. Tous les membres du personnel sont également tenus de suivre le cours de sensibilisation à la sécurité A230 de l’École de la fonction publique du Canada au cours du premier mois suivant leur arrivée à INFC.

Lorsque les employés comprennent bien et respectent les politiques, les procédures et les pratiques exemplaires en matière de sécurité du Ministère, celui-ci est mieux protégé contre les cyberactivistes et les cybercriminels qui parcourent le Web afin de trouver des cibles ou des failles. De plus, le risque d’exposition aux attaques à l’intégrité des données et aux autres menaces peut également s’en trouver réduit.

Malgré le programme de formation et de sensibilisation à la sécurité, un problème de non-conformité aux politiques et aux directives de sécurité est observé au sein du personnel d’INFC. Au cours du ratissage de sécurité effectué en février 2019, 41 % des 135 bureaux évalués ne se conformaient pas à la Politique sur la sécurité du gouvernement du CT et à la Directive sur le ratissage de sécurité d’INFC. Des documents non protégés (Protégé A, Protégé B et Protégé C, ou classifiés Confidentiel et Secret) ont notamment été découverts, de même que des ordinateurs portables sur lesquels le numéro d’identification personnel (NIPNote de bas de page8) par défaut était utilisé pour l’application BitLockerNote de bas de page9). Ces découvertes sont importantes parce que les utilisateurs finaux sont considérés comme l’un des maillons faibles de la chaîne de la cybersécurité. L’équipe chargée de l’audit a toutefois été informée par les Services de sécurité de la GI-TI, lors du ratissage de sécurité du 25 juin 2019, que le nombre d’infractions avait diminué de façon significative, car 88 % des 149 bureaux ayant fait l’objet du ratissage respectaient les exigences de sécurité.

Au moment du ratissage de sécurité de février 2019, 55 % du personnel avait suivi le cours obligatoire de sensibilisation à la sécurité. Le 31 mars 2019, ce nombre atteignait 67 %, ce qui est toujours loin de l’exigence de 100 %. Le cours sur la sécurité fait partie des formations obligatoires d’INFC depuis plusieurs années, et il est difficile d’expliquer les raisons pour lesquelles environ le tiers des employés ne l’ont pas encore suivi. De plus, selon les analyses effectuées lors du ratissage de sécurité de 2019, il n’y a aucune corrélation entre les employés ayant suivi le cours et ceux ayant commis une infraction à la sécurité. Bien que le cours offre une bonne vue d’ensemble de la sécurité, il ne semble pas efficace pour réduire les infractions à la sécurité.

Offrir une formation et une sensibilisation sur mesure fait partie des dix mesures de sécurité des TI proposées par le CST. « Les organismes devraient entreprendre régulièrement des activités de sensibilisation aux vulnérabilités actuelles liées aux utilisateurs et aux comportements acceptables des utilisateurs. Les programmes et les activités de sensibilisation à la sécurité des TI doivent être fréquemment révisés, mis à jour et mis à la disposition de tous les utilisateurs ayant accès aux systèmes organisationnels. Certes, les mesures de protection des systèmes endigueront l’effet des activités malveillantes sur les réseaux, mais il n’en demeure pas moins que l’élément humain continuera de poser un risque. Certains cas avérés d’hameçonnage et de traitement inadéquat des supports amovibles démontrent clairement que la sensibilisation est toujours de mise. Qui plus est, il conviendra de signaler toute tentative de compromission à la gestion, ce qui devrait favoriser l’adoption de comportements exemplaires au sein de l’organisme. Quand il est question de protection de l’information, le rôle de la direction dans les processus décisionnels est essentiel, notamment lorsqu’il s’agit de choisir des contrôles de sécurité appropriés. »

En conclusion, bien que des efforts aient été déployés pour favoriser la sensibilisation et la formation sur la sécurité, des améliorations sont nécessaires pour inciter les employés à assumer leurs responsabilités en matière de sécurité. Dans le contraire, une atteinte à la réputation d’INFC et de ses employés pourrait faire partie des conséquences potentielles. Il est important que le personnel soit au courant des potentielles conséquences négatives pour le Ministère.

Recommandation no 3 :

Il est recommandé que le SMA, Services ministériels, procède, en consultation avec l’ASM, à l’examen et à la révision des initiatives de sensibilisation afin de s’assurer que les employés sont adéquatement informés des principaux secteurs de risque, y compris la conformité avec la politique pour un bureau bien rangé, et que les initiatives sont mises à l’essai pour garantir leur efficacité.

Recommandation no 4 :

Il est recommandé que le SMA, Services ministériels, établisse, en consultation avec l’ASM, des paramètres pour évaluer la culture de sécurité, comme des statistiques sur les infractions découvertes lors des ratissages de sécurité, et transmette périodiquement ces données à la haute direction et au SM.

Gestion des incidents

Critère : Un processus efficace est en place pour détecter les incidents de sécurité, en faire le suivi, les analyser, les évaluer et les signaler le plus rapidement possible.

La Politique sur la sécurité du gouvernement du CT définit les incidents de sécurité comme « tout acte de violence en milieu de travail manifestée à l’endroit d’un employé ou tout acte, événement ou omission pouvant entraîner la compromission d’informations, de biens ou de services ». Il y a deux grandes catégories d’incidents de sécurité : les infractions à la sécurité et les atteintes à la sécurité. Une infraction à la sécurité correspond à l’acte de violer une politique ou une procédure en matière de sécurité, ce qui pourrait mener à la compromission de renseignements de nature délicate ou de biens. Par exemple, INFC effectue régulièrement des ratissages de sécurité pour s’assurer de la conformité de son personnel avec les politiques et les procédures gouvernementales et ministérielles en matière de sécurité, et pourrait détecter des infractions à la sécurité. Une atteinte à la sécurité, quant à elle, correspond à une omission, délibérée ou accidentelle, qui entraîne une compromission réelle de la sécurité, comme la perte d’une clé USB chiffrée contenant des renseignements de nature délicate. Il est important de signaler les infractions à la sécurité le plus rapidement possible pour que des mesures correctives puissent être prises avant que les infractions se transforment en atteintes à la sécurité ou que des incidents de sécurité se produisent.

La procédure actuelle de gestion des incidents est présentée dans la Politique ministérielle sur la sécurité d’Infrastructure Canada (2007). Elle exige que tous les incidents de sécurité – les infractions comme les atteintes à la sécurité – soient signalés à l’ASM pour la réalisation d’une enquête et la tenue de dossiers détaillés. Deux boîtes de messagerie génériques consacrées à la sécurité, Services de sécurité et Services de sécurité des TI, ont été créées afin que le personnel d’INFC puisse signaler les incidents de sécurité. Le personnel de la sécurité examine régulièrement le contenu des boîtes de messagerie et transmet les courriels aux agents de sécurité pertinents, en fonction de la question abordée. Les incidents de sécurité peuvent également être signalés à l’ASM en personne, par téléphone ou par courriel.

Un total de six incidents de sécurité ont été consignés dans le registre des incidents de sécurité d’INFC entre janvier 2017 et décembre 2018 : deux courriels suspects, une clé de salle de conférence perdue, un sac perdu qui contenait potentiellement des documents secrets; un registre des activités manquantNote de bas de page10et des renseignements personnels transmis sur une clé USB chiffrée. Il n’y a actuellement pas de système en place à INFC pour garantir que tous les incidents de sécurité signalés sont consignés dans le registre des incidents de sécurité. Un examen des deux boîtes de messagerie consacrées à la sécurité a révélé que les incidents de sécurité sont souvent gérés directement par un échange de courriels entre divers intervenants sans que les incidents soient consignés dans le registre. Dans certains cas, la série de courriels était incomplète, et aucune preuve ne permettait de déterminer comment l’incident avait été résolu.

De plus, plusieurs incidents de sécurité potentiels ont été relevés dans les documents d’INFC et n’avaient pas été consignés comme des incidents de sécurité. En voici quelques exemples :

INFC reçoit des rapports techniques hebdomadaires de la part du Centre canadien pour la cybersécurité (CCC). Ces rapports présentent les faits saillants des incidents survenus au sein des ministères du gouvernement du Canada. Le coordonnateur de la sécurité des TI d’INFC passe en revue ces rapports hebdomadaires afin de repérer les incidents qui pourraient s’appliquer à INFC, mais aucune trace de cet examen n’est conservée.

En conclusion, la procédure de gestion des incidents de sécurité à INFC doit être améliorée. À l’heure actuelle, il n’y a aucune garantie que tous les incidents de sécurité sont détectés et consignés adéquatement, que des enquêtes sont effectuées et que les incidents sont résolus et signalés. Il est important d’employer les mécanismes appropriés pour consigner tous les incidents de sécurité de sorte que le Ministère dispose d’un portrait fidèle du nombre et du type d’incidents survenus. Grâce à cette mesure, INFC pourra établir le niveau global de menace auquel il doit faire face et agir en conséquence.

Recommandation no 5 :

Il est recommandé que le SMA, Services ministériels, mette en œuvre, en consultation avec l’ASM, une procédure pour détecter et consigner adéquatement les incidents de sécurité, effectuer des enquêtes et résoudre et signaler tous les incidents.

Contrôle des biens

Critère : Des contrôles adéquats sont en place pour prévenir les dommages causés aux biens physiques, aux renseignements et aux biens de TI de l’organisation, de même que la perte, le vol et la compromission de ces biens.

L’audit était principalement axé sur les dispositifs portatifs, comme les ordinateurs portables, les tablettes et les clés USB chiffrées, et sur les renseignements. Les contrôles visant le mobilier, comme les chaises et les bureaux, n’ont pas été évalués.

Sécurité des biens de TI

La Politique ministérielle sur la sécurité d’Infrastructure Canada (2007) exige que le Ministère dresse l’inventaire de ses biens de TI et le tienne à jour. La Politique de gestion des biens d’INFC indique que : [traduction] « un inventaire des biens de TI devrait être dressé et tenu à jour afin d’y consigner les renseignements concernant tous les biens et d’assurer un suivi tout au long de leur cycle de vie. Les articles attrayants devraient être étroitement surveillés et faire l’objet d’un suivi régulier afin de prévenir la perte, le vol ou les abus. » Dans ses Contrôles de cybersécurité de base publiés en mars 2019, le CCC recommande que de puissants contrôles soient mis en place pour tous les dispositifs de stockage, y compris les dispositifs portatifs, et demande l’utilisation du chiffrement sur tous ces dispositifs.

Toutes les données se trouvant sur les dispositifs de stockage portatifs d’INFC, comme les ordinateurs portables, les tablettes et les clés USB chiffrées, sont chiffrées. De plus, une étiquette d’inventaire est apposée sur tous les biens de TI d’INFC, ou leur appartenance à INFC peut être retrouvée au moyen du numéro de série électronique (c’est le cas par exemple des clés USB chiffrées). Dans le cadre du processus d’accueil et d’intégration, les membres du personnel sont informés des mesures à prendre pour protéger les biens de TI qui leur sont remis, et diverses lignes directrices sur la sécurité accessibles sur l’INFRAnet leur sont présentées, y compris la Politique sur l’utilisation acceptable des dispositifs et des réseaux et la publication Utilisation sécurisée des supports de stockage de données portatifs au gouvernement du Canada.

INFC tient à jour une liste complète de ses biens de TI. En date du 11 février 2019, INFC comptait 9 112 articles dans son inventaire, dont 1 736 moniteursNote de bas de page11, 1 580 téléphones cellulairesNote de bas de page12689 tablettes, 490 ordinateurs portables et 340 clés USB chiffrées. En février 2019, un nouveau logiciel (Cherwell) a été déployé pour remplacer le logiciel existant (BassetPro). Tous les dossiers d’inventaire ont toutefois été transférés dans le nouveau système sans avoir été nettoyés ou validés. Les dossiers d’inventaire actuels n’indiquent pas la valeur de chacun des articles ou quels articles sont considérés comme attrayants.

INFC n’a pas procédé à l’inventaire physique de ses biens de TI depuis plusieurs années. Par conséquent, les dossiers d’inventaire actuels contiennent un certain nombre d’imprécisions, et il est difficile d’évaluer le nombre d’articles perdus ou volés. Par exemple, le propriétaire et l’emplacement de 119 articles de l’inventaire sont inconnus.

Sécurité des renseignements

Selon la Norme opérationnelle de sécurité sur l’identification et la catégorisation des biens, les ministères doivent déterminer le degré d’importance et de délicatesse de leurs renseignements sur les plans de la confidentialité, de l’intégrité, de la disponibilité et de la valeur. Le plan de sécurité ministériel d’INFC exige que le gestionnaire, Gestion de l’information, en collaboration avec l’ASM et le coordonnateur de la sécurité des TI, établisse des normes et des procédures en matière de sécurité de la GI et s’assure du respect des mécanismes de sécurité applicables à la sécurité de l’information, en particulier en ce qui concerne la catégorisation et la désignation de l’information, l’évaluation des menaces et des risques et l’évaluation des mécanismes proposés pour la GI.

Au moment de l’audit, la majorité des documents électroniques d’INFC étaient stockés sur des lecteurs partagés et dans des boîtes de messagerie Outlook. INFC avait commencé la mise en œuvre de GCdocs (un système de stockage, de gestion et de partage de documents électroniques du gouvernement du Canada) pour remplacer les lecteurs partagés et se conformer à la Directive sur la tenue de documents du SCT. INFC ne connaît pas exactement le pourcentage de documents classifiés papier ou électroniques qu’il possède, mais compte tenu de ses activités, on estime que la quantité de renseignements de nature délicate traités est relativement limitée et, par conséquent, la nécessité d’y appliquer une protection supplémentaire est également limitée.

Les lecteurs partagés d’INFC offrent plusieurs plateformes de partage de l’information en fonction de l’accès et des processus opérationnels. Ils sont hébergés et gérés par SPC et sont approuvés pour le traitement de renseignements classifiés jusqu’au niveau Protégé A sans protection supplémentaire, comme le chiffrement, et conçus pour réduire le risque résiduel du Ministère à un niveau acceptable. L’audit a révélé que des renseignements dont le niveau de sécurité était supérieur au niveau approuvé étaient stockés sans protection supplémentaire sur la plupart des lecteurs partagés examinés, comme des documents du Cabinet classés Secret (définis comme pouvant causer des préjudices graves à l’intérêt national en cas de divulgation non autorisée conformément à l’annexe CNote de bas de page13L’équipe de l’audit n’a pas tenté de déterminer si un niveau de sécurité trop élevé ou pas assez élevé avait été attribué aux documents.

Bien que la plupart des postes à INFC nécessitent une cote de sécurité de niveau Secret, au moment de l’audit, environ 115 d’entre eux avaient seulement une cote Fiabilité. Restreindre l’accès à l’information en fonction de l’autorisation de sécurité du personnel est un élément fondamental de la Politique sur la sécurité du gouvernement du CT, mais l’audit a révélé que certains membres du personnel avaient accès à des documents électroniques dont le niveau de sécurité était supérieur à l’autorisation. Par exemple, le disque G: est accessible à tout le personnel, et 19 documents cotés Secret s’y trouvaient, sans protection supplémentaire.

L’équipe de l’audit n’a pas tenté de déterminer si la cote de sécurité adéquate avait été attribuée aux différents postes selon la nature du travail. Le Ministère est toutefois au courant du risque que certains postes soient mal classifiés. Les services de la sécurité et les ressources humaines emploient actuellement un outil pour déterminer les exigences en matière d’autorisation de sécurité des nouveaux postes et le niveau d’accès requis aux documents (p. ex., documents protégés ou classifiés). Un plan sera mis sur pied pour évaluer les autorisations de sécurité des postes existants.

Des entrevues avec des hauts fonctionnaires d’INFC ont révélé que les problèmes avec les lecteurs partagés du Ministère sont bien connus. Bien que la mise en œuvre de GCdocs constitue une solution à une grande part des problèmes, les lecteurs partagés continueront d’exister pendant un moment, en attendant que GCdocs soit mis en place dans l’ensemble du Ministère. Il est important de souligner que GCdocs peut accueillir des documents jusqu’au niveau Protégé B seulement.

En conclusion, il est possible de renforcer les contrôles pour assurer une protection adéquate des TI et des renseignements. Les contrôles employés pour dresser l’inventaire des TI doivent être améliorés, et les dossiers, mis à jour.

Recommandation no 6 :

Il est recommandé que le SMA, Services ministériels, en consultation avec l’ASM, effectue ce qui suit :

Sécurité dans l’élaboration des systèmes

Critère : Des contrôles de sécurité adéquats sont prévus dans le processus d’élaboration des systèmes de TI afin d’éviter que les systèmes soient mis en œuvre sans être protégés par les mécanismes de sécurité adéquats.

La Politique sur la sécurité du gouvernement du CT exige que tous les systèmes de TI soient soumis à une évaluation de sécurité et reçoivent une autorisation de sécurité (par l’entremise du processus d’évaluation de sécurité et d’autorisation) avant d’être utilisés. INFC dispose d’un cadre de gestion de projets en trois phases, qui comportent chacune un ou plusieurs jalons devant être atteints avant le passage à l’étape ou à la phase suivante. La sécurité dans l’élaboration des systèmes est évaluée lors des jalons planification et exécution du projet.

Un certain nombre d’exigences en matière de sécurité doivent être respectées avant qu’un système puisse entrer en production. Lors de la phase de planification, une description du profil du système, qui comprend un plan de sécurité, un énoncé de sensibilité et les principes de fonctionnement, est préparée et approuvée. Avant la mise en œuvre, une évaluation des contrôles de sécurité est réalisée, ce qui comprend l’examen de la matrice de traçabilité des exigences en matière de sécurité, une évaluation des facteurs relatifs à la vie privée et une évaluation de la vulnérabilité. Le coordonnateur de la sécurité des TI gère le processus d’évaluation de la sécurité et prépare le rapport d’évaluation de sécurité et d’autorisation, qui indique si l’attribution d’une autorisation complète ou provisoire d’exploitation du système est recommandée, ou si l’attribution d’une autorisation n’est pas recommandée.

Dans le cadre de l’audit, les deux grands projets de TI figurant dans le Plan d’investissement d’INFC de 2018-2019 à 2022-2023 ont été examinés. Le SIBI, dont le coût total est de 3,6 millions de dollars, a été mis en œuvre en 2018, et GCdocs, un système de stockage, de gestion et de partage de documents électroniques du gouvernement du Canada, est en cours de mise en œuvre au sein d’INFC, pour un coût total estimé de 2,15 millions de dollars.

GCdocs est le système de gestion des documents et des dossiers électroniques normalisé adopté par le gouvernement du Canada. Cet outil aidera INFC à remplir ses obligations relatives à la gestion du cycle de vie de l’information et remplacera les outils de TI sur bureau ainsi que le recours à des lecteurs partagés pour la gestion de l’information. L’analyse de rentabilisation de GCdocs a été approuvée en janvier 2018. Le système est entré en production en octobre 2018 et sera déployé dans l’ensemble de l’organisation au cours de l’année 2019-2020.

En conclusion, INFC dispose d’un cadre de gestion de projets et d’un processus d’évaluation de sécurité et d’autorisation conformes à la Politique sur la sécurité du gouvernement du CT et à d’autres instruments de politique. Bien que ce ne soient pas tous les anciens systèmes qui disposent de certifications de sécurité à jour, les contrôles de sécurité applicables à l’élaboration des systèmes sont adéquats pour les nouveaux systèmes.

Contrôles de sécurité physique

Critère : Des contrôles de sécurité physiques adéquats sont en place dans les domaines ci-dessous afin d’assurer la protection des renseignements et des biens :

La Norme opérationnelle sur la sécurité matérielle de 2013 du SCT comporte à la fois des exigences et des mécanismes de sécurité recommandés pour assurer la sécurité physique. La Norme sur le filtrage de sécurité de 2014 du SCT porte sur les pratiques offrant une assurance raisonnable que des personnes fiables protègent les informations, les biens et les installations du gouvernement et s’acquittent de leurs fonctions de manière digne de confiance. Bien qu’elles ne soient pas tout à fait récentes, ces normes présentent toujours des pratiques fiables en matière de sécurité.

INFC a effectué des évaluations des menaces et des risques au moyen de la méthodologie harmonisée d’évaluation des menaces et des risques du gouvernement du Canada dans ses quatre emplacements au cours de l’année 2017-2018. Plusieurs sources de préoccupation ont été soulevées lors des évaluations, qui étaient accompagnées d’une liste de recommandations. Par exemple, après la réalisation de l’évaluation des menaces et des risques au 180, rue Kent, il a été recommandé d’installer des caméras de surveillance en circuit fermé aux portes des ascenseurs des étages d’INFC pour dissuader ceux qui tenteraient d’effectuer un passage en double et pour faciliter l’identification des personnes qui accèdent aux différents étages. INFC a joint un résumé des constatations de l’évaluation des menaces et des risques dans son plan de sécurité ministériel. Au moment de l’audit, INFC avait déjà pris des mesures pour un certain nombre de recommandations de l’évaluation, avait prévu des activités pour répondre à d’autres préoccupations et, dans certains cas, avait accepté les risques associés à certaines vulnérabilités. L’équipe de l’audit a examiné les rapports d’évaluation et s’est en grande partie fiée aux résultats présentés. De plus, l’équipe de l’audit a constaté que les contrôles physiques décrits dans les évaluations, par exemple le port d’insignes d’identité par les membres du personnel, étaient réellement appliqués lors de la période d’évaluation.

INFC a la responsabilité de s’assurer que les personnes qui ont accès aux renseignements et aux biens du gouvernement font l’objet d’un filtrage de sécurité au niveau approprié avant d’entreprendre leurs tâches. Seul le personnel bénéficiant d’une autorisation de sécurité peut accéder aux lieux de travail et aux systèmes d’information d’INFC. Le filtrage de sécurité du personnel est un processus clé pour déterminer les accès physiques et les accès à l’information qui seront accordés à une personne. Il existe quatre types d’autorisations de sécurité différentes : Fiabilité, Confidentiel, Secret et Très secret. À INFC, le processus est bien défini pour faire en sorte que tous les membres du personnel et les entrepreneurs disposent de l’autorisation de sécurité adéquate. Un niveau d’autorisation de sécurité prédéterminé est associé à chaque poste d’INFC, que le titulaire du poste doit respecter. Les contrats des experts-conseils indiquent l’autorisation de sécurité requise. Le processus de filtrage de sécurité du personnel fonctionnait bien lors de la période d’évaluation.

Les responsables de la Gestion de la sécurité d’INFC ont par ailleurs soulevé un risque, soit le fait qu’une seule personne est responsable du filtrage de sécurité, et peu de personnes sont disponibles pour la remplacer. Étant donné que le Ministère prend de l’ampleur et continue de faire face à un roulement de personnel, et que toutes les demandes des nouveaux employés passent par une même personne, il serait préférable qu’INFC prenne des mesures pour atténuer ce risque.

En ce qui a trait à l’élimination, au nettoyage ou à la destruction des supports de stockage électroniques, INFC suit les directives de la publication ITSG-06 Effacement et déclassification des supports d’information électroniques du CST et du document Contrôles de cybersécurité de base pour les petites et les moyennes organisations publié en mars 2019. INFC emploie les méthodes de nettoyage des données recommandées par le CST avant d’éliminer ou de détruire des supports de TI.

Les supports de TI d’INFC constituent majoritairement des téléphones cellulaires, des tablettes, des ordinateurs portables et des clés USB chiffrées. Les données se trouvant sur ces supports doivent être chiffrées. Les données des téléphones cellulaires sont effacées, et ceux-ci sont retournés à SPC à la fin du contrat, celles des clés USB chiffrées sont également effacées afin que ces dernières puissent être réutilisées ou détruites physiquement, et les données des tablettes et ordinateurs sont effacées pour que ceux-ci soient transférés aux biens de la Couronne ou remis à un programme scolaire.

En conclusion, des contrôles physiques adéquats sont en place pour faciliter l’identification des biens physiques, le filtrage de sécurité du personnel, la délivrance des insignes d’identité, le zonage et la gestion des supports de TI.

4.3 Planification de la continuité des activités

Sous-objectif : Déterminer si le Ministère possède un programme de planification de la continuité des activités qui assure la disponibilité continue de ses services essentiels et de ses biens connexes.

Critère : Des plans de continuité des activités ont été établis en fonction des résultats de l’analyse des répercussions sur les activités, ont été dûment approuvés et sont régulièrement mis à l’essai.

Plan de continuité des activités (PCA)

L’établissement d’un PCA est un processus de planification proactif qui assure la prestation des services et des produits essentiels au cours d’une interruption. Ces produits et services sont ceux qu’un organisme doit fournir pour assurer la survie et éviter les blessures, ou pour remplir ses obligations de nature légale ou autre. Selon la Politique sur la sécurité du gouvernement de 2009 du CT, la Politique sur la planification de la continuité des activités de 2008 d’INFC et la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA) de 2004 du SCT, la prestation continue de services gouvernementaux doit être assurée par l’entremise d’exigences de base en matière de sécurité, d’une planification de la continuité des activités – y compris d’une planification de la continuité des TI et de la GI – et une gestion continue des risques. Les PCA devraient être établis en fonction des résultats d’une analyse des répercussions sur les activités, dûment approuvés et mis à l’essai régulièrement.

INFC a élaboré un PCA pour la reprise de ses services ministériels à chacun de ses emplacements. Il est important de noter que lors de l’analyse des répercussions sur les activités, aucune fonction et aucun système de TI essentiels à la mission du Ministère n’ont été ciblés.

INFC a actualisé son PCA en 2018. Dans le cadre du processus, des entrevues ont notamment été réalisées avec des experts en la matière pour préparer l’analyse des répercussions sur les activités, une équipe d’intervention pour la continuité des activités (EICA) a été mise sur pied, des mises à jour ont été apportées au PCA et deux exercices de simulation ont été effectués. De plus, bien que le plan n’ait pas été mis en œuvre après la survenue des tornades qui ont frappé la région de la capitale nationale en septembre 2018, le PCA a été mis à jour d’après une analyse rétrospective des événements. Le plan a été présenté au CGI et au CGM avant d’être approuvé par l’ASM en novembre 2018. L’EICA s’est réunie à plusieurs reprises en 2018 pour s’assurer que les renseignements contenus dans le PCA, comme les coordonnées des personnes-ressources, étaient à jour.

Toutes les parties du programme de planification de la continuité des activités mises à l’essai lors de l’audit étaient à jour, conformes aux politiques et aux normes du CT et d’INFC et avaient été mises à l’essai. Le PCA comporte les éléments suivants :

Planification de la continuité des activités des TI

Normalement, des objectifs de délai de rétablissementNote de bas de page16 doivent avoir été établis pour tous les systèmes de TI, et un plan de reprise après sinistre (PRAS) conforme au PCA doit avoir été préparé et mis à l’essai.

Bien qu’INFC ne compte aucun système de TI essentiel à sa mission, l’exécution des processus opérationnels de plusieurs de ses programmes repose sur des systèmes de TI. INFC a établi des objectifs de délai de rétablissement pour chacun de ses systèmes de TI dans le cadre du processus d’établissement de son PCA, mais ces objectifs reflètent les attentes des responsables des systèmes plutôt que la durée maximale tolérable d’une panne pour éviter des répercussions inacceptables sur les processus opérationnels. Par exemple, les objectifs de délai de rétablissement de huit des dix-huit systèmes de TI faisant partie du PCA sont de 24 heures ou moins, ce qui est habituellement réservé aux applications essentielles à la mission, puisque le système doit être entièrement redondant pour permettre l’atteinte de cet objectif.

INFC n’a pas déterminé les coûts associés à l’atteinte des objectifs de délai de rétablissement établis, et ceux-ci ne font pas partie de l’entente de niveau de service (ENS) avec SPC. De plus, SPC n’a pas confirmé à INFC qu’il était possible d’atteindre les objectifs de délai de rétablissement, ou si les objectifs de délai de rétablissement étaient régulièrement mis à l’essai. En fait, SPC s’assurera de la reprise des systèmes de TI d’INFC dans la mesure du possible, et le tableau des objectifs de délai de rétablissement servira de base pour établir l’ordre de priorité des systèmes pour la reprise.

En conclusion, le programme de planification de la continuité des activités d’INFC est complet, et comprend une analyse des répercussions sur la sécurité et un PCA. Le PCA est à jour et a été mis à l’essai deux fois en 2018. Étant donné qu’INFC ne compte aucune application essentielle à sa mission, la portion du PCA consacrée à la continuité des activités des TI devrait être révisée afin que les objectifs de délai de rétablissement des systèmes de TI soient plus réalistes. Dans le cas contraire, les responsables des systèmes et la direction pourraient avoir l’impression que les systèmes en place peuvent atteindre les objectifs établis en cas de panne ou de catastrophe, même si ce n’est pas le cas.

5. Conclusion et recommandations

De modestes améliorations doivent être apportées au sein d’INFC afin que le Ministère dispose d’un programme de sécurité bien défini, entièrement efficace et conforme à la Politique sur la sécurité du gouvernement du CT ainsi qu’à d’autres politiques, directives et normes pertinentes. Le plus important défi que devra relever INFC sera de transformer sa culture afin d’augmenter sa vigilance envers la sécurité et de mettre en œuvre la nouvelle politique du CT ainsi que d’autres politiques, directives et normes ministérielles pertinentes dans l’avenir.

La liste complète des recommandations est présentée à la section 7, Réponse et plan d’action de la direction

6. Déclaration de conformité

En ma qualité de dirigeante principale de l’audit et de l’évaluation, j’atteste que l’audit est conforme aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes et à la Politique sur l’audit interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.

____________________________
Isabelle Trépanier
Dirigeante principale de l’audit et de l’évaluation
Direction générale de l’audit et de l’évaluation, Infrastructure Canada

7. Réponse et plan d’action de la direction

Les Services de sécurité d’INFC continuent de chercher des façons d’améliorer la posture générale de sécurité du Ministère dans son contexte opérationnel. Pour y parvenir, le Ministère devra notamment augmenter la sensibilisation à la sécurité et appliquer les mesures d’atténuation du risque approuvées dans le cadre du processus de gouvernance établi.

No Recommandations Niveau de priorité Réponse et plan d’action de la direction BPR et date limite
1 Il est recommandé que le SMA, Services ministériels, élabore et mette en œuvre, en consultation avec l’ASM, une procédure pour que tous les principaux risques en matière de sécurité soient déterminés, évalués et gérés. Le rendement du Ministère par rapport aux dix mesures de sécurité du CST dont il est responsable doit notamment être évalué afin d’assurer le respect des pratiques exemplaires visant à protéger les réseaux et les renseignements d’INFC. Risque élevé Un registre des risques central sera créé et mis en œuvre. Le registre des risques sera examiné annuellement. Une évaluation annuelle de la conformité aux 10 mesures de sécurité des TI du CST sera effectuée. ASM 29 novembre 2019 31 mars 2020 March 31, 2020 (Sept 30 for subsequent years in line with Cyber Security Month in October)
2 Il est recommandé que le SMA, Services ministériels, en consultation avec le directeur, Services des applications, effectue un examen périodique des accès des utilisateurs aux systèmes de TI d’INFC en accordant une attention particulière aux utilisateurs disposant de droits d’accès privilégiés ou d’administrateurs. Risque moyen Un examen annuel des comptes sera instauré pour les systèmes de TI d’INFC et sera principalement axé sur les droits d’accès privilégiés et d’administrateurs. Directeur, Services des applications September 30, 2019
3 Il est recommandé que le SMA, Services ministériels, procède, en consultation avec l’ASM, à l’examen et à la révision des initiatives de sensibilisation afin de s’assurer que les employés sont adéquatement informés des principaux secteurs de risque, y compris la conformité avec la politique pour un bureau bien rangé, et que les initiatives sont mises à l’essai pour garantir leur efficacité. Risque moyen Les initiatives de sensibilisation seront révisées et évaluées deux fois par année par les responsables de la gouvernance de la sécurité ministérielle. 29 novembre 2019 (30 septembre et 31 mars pour les années subséquentes)
4 Il est recommandé que le SMA, Services ministériels, établisse, en consultation avec l’ASM, des paramètres pour évaluer la culture de sécurité, comme des statistiques sur les infractions découvertes lors des ratissages de sécurité, et transmette périodiquement ces données à la haute direction et au SM. Risque moyen Des rapports sur la sécurité seront produits deux fois par année et examinés par les responsables de la gouvernance de la sécurité ministérielle. ASM 29 novembre 2019 (30 septembre et 31 mars lors des années subséquentes)
5 Il est recommandé que le SMA, Services ministériels, mette en œuvre, en consultation avec l’ASM, une procédure pour détecter et consigner adéquatement les incidents de sécurité, effectuer des enquêtes et résoudre et signaler tous les incidents. Risque élevé Une procédure de suivi sera mise en œuvre afin de détecter et de consigner les incidents de sécurité, et d’assurer le suivi des enquêtes et des solutions connexes, peu importe la gravité des incidents. ASM 31 mars 2020.
6 Il est recommandé que le SMA, Services ministériels, en consultation avec l’ASM, effectue ce qui suit :
  • procéder au nettoyage des dossiers d’inventaire des biens;
  • établir un cadre de contrôle des biens fondé sur les risques afin de protéger les biens de TI attrayants;
  • mettre en œuvre des contrôles compensatoires, par exemple pour surveiller la manière dont les documents sont stockés et faire le suivi de leur emplacement, et augmente la formation de sensibilisation des employés d’INFC pour atténuer les risques associés à la mauvaise gestion des documents classifiés;
  • s’assurer, dans le cadre de la mise en œuvre de GCdocs, que des contrôles supplémentaires sont mis en place pour protéger les documents dont le niveau de sécurité est supérieur à Protégé B.
Risque faible ASM
  • Un inventaire à jour des biens de TI sera dressé.
31 mars 2020
  • Les risques associés aux contrôles des dispositifs de stockage électroniques et aux biens de TI attrayants seront consignés dans le registre des risques, lequel sera examiné annuellement.
29 novembre 2019
  • Un outil d’analyse des postes est utilisé pour les nouveaux postes afin de déterminer les exigences en matière d’autorisation de sécurité et le niveau d’accès requis aux documents (p. ex., aux documents protégés ou classifiés).
4 avril 2019
  • Des mesures d’atténuation seront prévues pour les infractions répétées, conformément à la politique pour un bureau bien rangé.
31 mars 2020
  • Les paramètres de sécurité de GCdocs seront configurés de façon à restreindre l’accès aux documents en fonction des rôles.
31 mars 2020
  • Un rapport sera produit deux fois par année pour faire état des documents Protégé B consignés dans GCdocs.
31 mars 2020
  • Les risques associés aux documents Secret seront consignés dans le registre des risques, lequel sera examiné annuellement.
29 novembre 2019

Annexe A : Sous-objectifs et critères de l'audit

Sous-objectifs de l’audit Critères de l'audit
1. Gouvernance Déterminer si la structure de gouvernance en place favorise une planification et une prise de décisions transparentes concernant la sécurité ministérielle. 1.1 Des politiques et des directives complètes, approuvées et à jour sont en place pour garantir la sécurité ministérielle.
1.2 Les rôles et les responsabilités dans la gestion du programme de sécurité ministérielle sont bien définis, ont été diffusés et ont été attribués aux personnes concernées.
1.3 Une stratégie de communication a été mise en place pour que les employés soient bien informés de leurs rôles et de leurs responsabilités en matière de sécurité.
1.4 Les risques en matière de sécurité sont déterminés, consignés et évalués systématiquement, et des mesures sont prises pour les atténuer.
2. Contrôles de sécurité Déterminer si les contrôles de sécurité ministérielle en place sont suffisants et adéquats pour assurer la sécurité des personnes, des installations, des biens physiques, de la gestion de l’information et des systèmes de TI. 2.1 Des contrôles d’accès ont été mis en œuvre et sont examinés périodiquement afin de protéger les installations et les systèmes de TI.
2.2 Un programme de sensibilisation à la sécurité a été établi pour guider les employés et faire en sorte qu’ils comprennent et assument leurs responsabilités en matière de sécurité, et qu’ils ne compromettent pas involontairement la sécurité.
2.3 Un processus efficace est en place pour détecter les incidents, en faire le suivi, les analyser, les évaluer et les signaler le plus rapidement possible.
2.4 Des contrôles adéquats sont en place pour prévenir les dommages causés aux biens physiques, aux renseignements et aux biens de TI de l’organisation, de même que la perte, le vol et la compromission de ces biens.
2.5 Des contrôles de sécurité adéquats sont prévus dans le processus d’élaboration des systèmes de TI afin d’éviter que les systèmes soient mis en œuvre sans être protégés par les mécanismes de sécurité adéquats.
2.6 Des contrôles de sécurité physiques adéquats sont en place dans les domaines ci-dessous afin d’assurer la protection de l’information et des biens :
  • l’identification et la catégorisation des biens physiques;
  • le filtrage de sécurité du personnel
  • la délivrance des insignes d’identité;
  • le zonage;
  • le stockage des supports de TI, leur élimination et leur destruction.
3. Plan de continuité des activités Déterminer si le Ministère possède un programme de planification de la continuité des activités qui assure la disponibilité continue des services et des biens et des ressources connexes. 3.1 Des plans de continuité des activités ont été établis en fonction des résultats de l’analyse des répercussions sur les activités, ont été dûment approuvés et sont régulièrement mis à l’essai.

Source: Les objectifs et les critères de l’audit reposent en grande partie sur la Politique sur la sécurité du gouvernement, la Politique sur la gestion de l’information, la norme sur la gestion de la sécurité des technologies de l’information et la norme sur la sécurité matérielle du Conseil du Trésor (CT), la Politique ministérielle sur la sécurité d’Infrastructure Canada, le COBIT 5 et la norme ISO 27001.

Annexe B : Tableau RACI de la sécurité d’INFC

  ACTIVITÉS Fonctions
CGM CGI Sous-ministre SMA, Services ministériels Dirigeant principal de l'information Agent de sécurité du Ministère Gestionnaire, Sécurité Coordonnateur de la sécurité des TI Gestionnaire, Gestion de l'infomration Gestionnaire, Services de réseau Directeur, Services des applications Responsable des processus opérationnels SCT – DDPI Services partagés Canada
1 Élaborer et tenir à jour les politiques et les normes sur la sécurité du gouvernement du Canada. I I I C I C I I I I I I A/R  
2 Élaborer et tenir à jour les politiques, les directives et les normes sur la sécurité d'INFC. I I I C C A R C C C C I    
3 Créer un tenir à jour le plan de sécurité ministériel.   I A C C R C C C I I I I  
4 Tenir à jour et surveiller le registre des risques pour la sécurité.         I A R(1) R(2) C C C      
5 Établir un système de classification des données sur la sécurité, le tenir à jour et en assurer la surveillance.       I A C C C R          
6 Gérer l'inventaire des biens physiques.           A R              
7 Gérer l'inventaire des renseignements.         A       R          
8 Gérer l'inventaire des TI.         A         R        
9 S'assurer que des contrôles de sécurité adéquats sont appliqués lors de l'élaboration des projets.         C A R(1) R(2)     C/R C    
10 Gérer les exigences en matière de sécurité des applications et en faire le suivi (processus d'ESA).           A C R     C/R C    
11 Prévoir, mettre en œuvre et surveiller les activités de sensibilisation à la sécurité. I I I I C A R C C C C I    
12 Établir et revoir périodiquement les droits et les privilèges d'accès (physiques).           A R              
13 Établir et revoir périodiquement les privilèges d'accès (TI).         C C   C   R A C   R(3)
14 Définir et surveiller les incidents de sécurité.           A R(1) R(2)            
15 Effectuer régulièrement des évaluations des vulnérabilités.           A R(1) R(2)       I    
16 Élaborer, tenir à jour et mettre à l'essai le PCA.       I I A R         C I C

R : Responsabilité – personne qui effectue l'activité ou exécute le travail.
A : Approbation – personne responsable d'accepter et de rejet les décisions, qui dispose d'un droit de veto.
C : Consultation – personne qui doit donner son avis et contribuer à l'activité.
I : Information – personne qui doit être informée des décisions ou des mesures.

(1) : Sécurité ministérielle
(2) : Sécurité des TI
(3) : Infrastructure des TI

Annexe C : Classification des documents

Classification Risque Exemples
Protégé A La divulgation non autorisée pourrait porter préjudice à une personne, à une organisation ou au gouvernement. Atteinte au caractère confidentiel ou embarras.
  • Contrats et soumissions
  • Date de naissance
  • Adresse et numéro de téléphone résidentiel
  • Code d’identification de dossier personnel (CIDP)
  • Lettres d’offre
Protégé B La divulgation non autorisée pourrait causer un grave préjudice à une personne, à une organisation ou au gouvernement.

Traitement préjudiciable, perte de réputation ou d’avantage concurrentiel.
  • Documents du Conseil du Trésor
  • Numéro d’assurance sociale (NAS)
  • Privilège du secret professionnel d’un avocat
  • Documents de négociation de contrat
  • Évaluations du risque
  • Documents de prise de décision du gouvernement
  • Dossiers criminels, médicaux, psychiatriques ou psychologiques
Protégé C La divulgation non autorisée pourrait causer un préjudice extrêmement grave à une personne, à une organisation ou au gouvernement.

Perte financière importante, perte de la vie.
  • Dossiers identifiant des personnes propageant intentionnellement une maladie infectieuse mortelle
  • Renseignements pouvant conduire à une faillite
  • Témoignage défavorable envers une autre personne
Confidentiel La divulgation non autorisée pourrait porter préjudice à l’intérêt national.
  • Affaires fédérales-provinciales
  • Affaires internationales et défense
  • Opinions personnelles de fonctionnaires non destinées à être divulguées
  • Information dont la divulgation prématurée nuirait aux projets ou aux intentions du gouvernement
Secret La divulgation non autorisée pourrait causer un grave préjudice à l’intérêt national
  • Documents du Cabinet
  • Information vitale concernant l’application de la loi
  • Plans pour la protection de secteurs et d’installations
  • Détails du budget fédéral avant sa diffusion officielle

Annexe D : Portefeuille des applications d’INFC

Nom de l'application Description
1. TeamMate Logiciel d'audit servant à gérer les documents de travail électroniquement.
2. SGIP Système de gestion de l'information sur les programmes.
3. LEXIQUE Lexique.
4. Cognos BI Veille stratégique intégrée.
5. WebCIMS Outil de suivi de la correspondance au sein du Ministère.
6. LaserFiche Outil utilisé pour gérer les demandes d'accès à l'information.
7. Quotes Logiciel de soumissions.
8. SPGB Outil facilitant la gestion des finances et des contrats entre les centres de financiers.
9. JIRA Application de suivi des problèmes et des flux de travail.
10. CA Bank Logiciel bancaire.
11. TFS Outil Team Foundation Server.
12. Central Collab Outil de collaboration central pour le partage de fichiers électroniques avec les partenaires externes.
13. SIBI Système d'information sur les bénéficiaires des infrastructures.
14. SIFI Application utilisée par les gestionnaires délégués et les employés pour faciliter la gestion du budget, les prévisions et la production de rapports.
15. GSTI Outil de gestion des services de TI.
16. Keep Plateforme servant à gérer l'infrastructure de sécurité.
17. GCDocs Système de gestion de documents électroniques.
18. Skype Outil de vidéoconférence.

Annexe E: Abréviations

Abréviation Terme
ARA Analyse des répercussions sur les activités
ASM Agent de sécurité du Ministère
CGI Comité de gestion des investissements
CGM Comité de gestion ministériel
CGP Cadre de gestion de projets
CSTC Centre de la sécurité des télécommunications Canada
CT Conseil du Trésor du Canada
DPI Dirigeant principal de l’information
EFVP Évaluation des facteurs relatifs à la vie privée
EICA Équipe d’intervention pour la continuité des activités
EMR Évaluation des menaces et des risques
ENS Entente de niveau de service
ERIC-GC Équipe de réponse aux incidents cybernétiques du gouvernement du Canada
ESA Évaluation de sécurité et autorisation
ES Énoncé de sensibilité
EV Évaluation de la vulnérabilité
EVCF Équipement vidéo en circuit fermé
GCdocs Système de stockage, de gestion et de partage de documents électroniques du gouvernement du Canada
GI Gestion de l’information
INFC Infrastructure Canada
ITSG Conseils en matière de sécurité des technologies de l’information
MTES Matrice de traçabilité des exigences relatives à la sécurité
ODR Objectif de délai de rétablissement
PCA Plan de continuité des activités
PRM Profil de risque ministériel
PSG Politique sur la sécurité du gouvernement du CT
PSM Plan de sécurité ministériel d’INFC
RACI Responsabilité, approbation, consultation et information
SCT Secrétariat du Conseil du Trésor du Canada
SIBI Système d’information sur les bénéficiaires des infrastructures
SM Sous-ministre
SMA Sous-ministre adjoint
TI Technologies de l’information
USB Bus série universel
Date de modification :