Vérification de la gestion de la sécurité des technologies de l'information

Numéro de projet 6B206
Rapport de vérification
26 octobre 2011

Table des matières

Liste des acronymes

ASM
Agent de sécurité ministérielle
CRG
Cadre de responsibilisation de gestion
CSTI
Coordonnateur de la sécurité des technologies de l'information
DPI
Dirigeant principal de l'information
EMR
Évaluation de la menace et des risques
GCC
Garde côtière canadienne
GSTI
Gestion de la sécurité des technologies de l'information (la norme)
ICP
Infrastructure à clés publiques
MPO
Ministère des Pêches et des Océans
PSM
Plan de sécurité ministériel
SCT
Secrétariat du Conseil du Trésor
STI
Sécurité des technologies de l'information

1.0 Sommaire

La gestion efficace de la sécurité et de la continuité des activités est une priorité de gestion sur la base de laquelle le Ministère est évalué dans le Cadre de responsabilisation de gestion (CRG) du Secrétariat du Conseil du Trésor (SCT). Le Ministère doit aussi se conformer à la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (norme de GSTI), selon laquelle une vérification de la sécurité des technologies de l’information (TI) doit être effectuée aux cinq ans.

L’objectif global de la vérification était d’évaluer le caractère adéquat et l’efficacité du cadre de contrôle en place pour assurer la sécurité des TI au MPO ainsi que le respect des politiques gouvernementales et ministérielles pertinentes et des lignes directrices en sécurité des TI.

Les vérificateurs ont examiné et évalué la gestion et les responsabilités en matière de sécurité des TI au MPO, ce qui inclut la Garde côtière canadienne (GCC). Ils ont notamment vérifié si le Ministère se conforme aux politiques et aux normes gouvernementales, comme la Politique sur la sécurité du gouvernement du SCT et la norme de GSTI édictée par le SCT.

Bien que l’ensemble du cadre de contrôle de gestion régissant la gestion de la sécurité des TI au MPO a beaucoup évolué au cours des dernières années, il reste un certain nombre de secteurs pour lequel des améliorations ont été identifiées. Voici un résumé des observations et des possibilités d’amélioration en ce qui concerne la sécurité des TI.

Planification de la sécurité des TI – Un plan de sécurité des TI est en place et vise à améliorer la conformité à la norme de GSTI et à identifier des projets de TI pour financement. Le Ministère élabore actuellement un plan de sécurité ministériel pour se conformer à la Directive sur la gestion de la sécurité ministérielle édictée par le SCT. Le Ministère a jusqu’au 30 juin 2012 pour se conformer à la Directive.

Surveillance de la sécurité des TI et rapports sur l’état de la sécurité des TI – La mise au point du cadre de mesure du rendement prévu n’a pas été achevée. Par conséquent, le Ministère n’est pas en mesure de surveiller le rendement de son programme de sécurité des TI au-delà de la conformité à la norme de GSTI, de la gestion des incidents et de la sécurité du développement des applications. Un cadre de mesure du rendement bien développé permettrait de mesurer et de surveiller le rendement du Programme de sécurité des TI, notamment son efficacité, et d’identifier les lacunes et les problèmes liés aux contrôles de la sécurité qui doivent être corrigés.

Organisation des TI – Les différents rôles et responsabilités du dirigeant principal de l’information (DPI), de l’agent de sécurité ministérielle, du coordonnateur de la sécurité des TI (CSTI) de la GCC et du CSTI du Ministère ne sont pas bien documentés, ce qui peut donner lieu à un manque de clarté dans les responsabilités et les pouvoirs. Ce problème pourrait entraîner un dédoublement des efforts ou des lacunes en matière de sécurité, et rendre le Programme de sécurité des TI inefficace et inefficient. Un protocole d’entente est en cours d’élaboration pour définir les rôles et les responsabilités ainsi que les voies de communication entre le coordonnateur de la sécurité des TI de la GCC, le coordonnateur de la sécurité des TI du MPO, le DPI et l’agent de sécurité ministérielle.

Contrôle des autorisations et de l’accès – La vérification a permis de cerner les possibilités d’améliorer les mesures de protection techniques pour assurer la confidentialité, l’intégrité et la disponibilité des systèmes de TI et de l’information connexe.

Formation et sensibilisation en matière de sécurité – La vérification a révélé que la formation obligatoire sur la sensibilisation à la sécurité n’était pas soumise à une surveillance pour vérifier que tous les nouveaux employés reçoivent la formation obligatoire dans les six mois suivant la date de leur embauche.

Communication électronique et stockage de l’information – Nos tests ont révélé des irrégularités dans le stockage et la transmission des données classifiées et protégées. Selon un examen des pratiques en place au Ministère, la surveillance régulière du stockage et de la transmission des données protégées n’est pas effectuée pour assurer la conformité aux politiques et normes gouvernementales et ministérielles.

Réaction aux incidents et récupération – Le MPO n’a pas de processus ministériel documenté pour vérifier régulièrement les copies de sauvegarde et les procédés de restauration pour assurer que les données peuvent être récupérées efficacement et dans le délai prévu. De plus, le Ministère n’a pas de norme documentée concernant les exigences de sauvegarde du cycle chronologique des données stockées sur ruban (p. ex. tous les jours, toutes les semaines, tous les mois, tous les ans).

Détection des incidents – La vérification a relevé des possibilités d’amélioration dans la surveillance des contrôles de détection.

2.0 Introduction

2.1 Contexte

Les technologies de l’information (TI) évoluent rapidement, et, parallèlement, le nombre et la gravité potentielle des menaces, des vulnérabilités et des incidents augmentent au même rythme. Les ministères doivent être conscients de cette constante évolution et gérer leur programme de sécurité des TI de manière à pouvoir réagir. Un programme efficace de sécurité des TI fait intervenir le personnel, les processus et les technologies. Les cadres supérieurs, les gestionnaires des programmes et des services, le personnel de la sécurité, des opérations de TI et des ressources humaines ainsi que les autres intervenants doivent travailler de manière concertée afin d’atteindre un niveau élevé de sécurité des TI.

Selon la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (norme de GSTI), édictée par le Secrétariat du Conseil du Trésor (SCT), la sécurité des TI fait partie intégrante de la prestation continue des programmes et des services et il faut la concevoir comme étant un impératif organisationnel et un outil de prestation de services. La norme de GSTI établit les exigences sécuritaires de base auxquelles les ministères fédéraux doivent satisfaire afin de garantir la sécurité de l’information et des biens de TI placés sous leur contrôle.

La gestion efficace de la sécurité et de la continuité des activités est l’une des priorités de gestion établies par le SCT et elle fait partie de l’évaluation du Cadre de responsabilisation de gestion (CRG) (composante de gestion : gestion efficace de la sécurité). Lors de l’évaluation du CRG de 2007 (ronde V), le Ministère avait obtenu la cote « Attention requise », mais depuis, il a apporté des améliorations continues à la sécurité des TI, de sorte qu’il a obtenu la cote « Acceptable » lors des évaluations du CRG de 2009 (ronde VII) et de 2010 (ronde VIII).

La Direction générale de la vérification interne a effectué en 2005 une vérification du programme de sécurité à la suite de laquelle il a été déterminé que le Ministère devait procéder à une évaluation de la menace et des risques (EMR) afin de définir les processus et procédures de sécurité à haut risque ainsi que les catégories d’installations. En 2008, on a préparé une EMR de la TI et du Ministère, évaluation dont le Ministère s’est servi pour prioriser les enjeux et risques de sécurité et élaborer des stratégies d’atténuation connexes. Le dernier profil de risque de TI du Ministère remonte à 2007, et qualifiait de modérés les risques que la sécurité et la continuité des activités soient compromises.

Description du Cadre de gestion

Le Cadre du Programme de sécurité des technologies de l’information du MPO est fondé sur les politiques du Conseil du Trésor. Il a été mis en œuvre en 2008. Il explique comment établir des processus et procédures efficaces de gestion de la sécurité des TI pour protéger les précieuses ressources en TI du Ministère contre les menaces internes et externes.

Certaines mesures de contrôle matérielles et personnelles constituent des facettes importantes de la sécurité, et elles relèvent de l’agent de sécurité ministérielle (ASM). Il s’agit par exemple des enquêtes de sécurité des employés, ou de la protection de l’accès aux immeubles. Ces mesures sont donc décrites plus amplement dans le Cadre stratégique et de responsabilisation en matière de sécurité et de protection du MPO.

Afin de pouvoir exécuter ses programmes à un niveau de risque tolérable, le MPO a élaboré ce cadre qui régit la mise en œuvre du programme de sécurité des TI. Le diagramme ci‑dessous illustre le cadre du Programme de sécurité des TI.

Diagramme du cadre du Programme de sécurité des TI

2.2 Objectifs et portée de la vérification

L’objectif global de la vérification était d’évaluer le caractère adéquat et l’efficacité du cadre de contrôle en place pour assurer la sécurité des TI au MPO ainsi que le respect des politiques gouvernementales et ministérielles pertinentes et des lignes directrices en sécurité des TI.

Les vérificateurs ont examiné et évalué la gestion et les responsabilités en matière de sécurité des TI au MPO (ce qui inclut la GCC). Ils ont notamment vérifié si le Ministère se conforme aux politiques et aux normes gouvernementales, comme la Politique sur la sécurité du gouvernement du SCT et la norme de GSTI, édictée par le SCT.

Voici les secteurs d’intérêt auxquels l’équipe de vérification s’est intéressée pour effectuer sa mission de vérification :

  • Secteur d’intérêt 1 : Le cadre de sécurité des TI est bien établi et en phase avec les politiques et les lignes directrices gouvernementales et ministérielles. Il comprend un processus de planification et un suivi continu.
  • Secteur d’intérêt  2 : Les rôles et les responsabilités relatifs à la sécurité des TI sont bien établis, en phase avec les exigences de la politique, et efficaces.
  • Secteur d’intérêt  3 : La sécurité des systèmes de technologies de l’information (matériel informatique, réseaux et logiciels) est bien gérée.
  • Secteur d’intérêt  4 : Les principaux contrôles de gestion de la sécurité des TI ou mesures de protection techniques assurent que les biens de TI et les renseignements sont protégés et appuient la prestation sécuritaire et ininterrompue des services du MPO.

2.3 Énoncé d'assurance

Les procédés de vérification appliqués et les éléments probants recueillis sont suffisants et appropriés pour étayer l’opinion formulée dans le présent rapport. L’étendue de l’examen a été planifiée de manière à fournir un niveau d’assurance raisonnable à l’égard des critères de vérification. L’opinion présentée est fondée sur une comparaison des conditions qui existaient et des critères de vérification établis au préalable et acceptés par la direction. L’opinion s’applique uniquement à l’entité examinée, compte tenue de la portée de la vérification, telle qu’elle est indiquée dans le présent document. Les éléments probants ont été recueillis conformément à la politique, aux directives et aux normes du Conseil du Trésor en matière de vérification interne, et les procédés appliqués respectent les normes professionnelles de l’Institut des vérificateurs internes. Les éléments probants réunis sont suffisants pour convaincre la haute direction du bien-fondé de l’opinion découlant de la vérification interne.

2.4 Méthode de vérification

L’équipe de vérification a rempli son mandat selon les normes de vérification interne du gouvernement fédéral énoncées dans la Politique sur la vérification interne du SCT. La méthode comportait les activités suivantes :

  • Évaluation des risques – Conformément aux normes de vérification interne, une évaluation des risques a été menée dans le cadre de l’analyse préliminaire pour définir l’orientation de vérification.
  • Mandat – Le mandat de la vérification a été approuvé par le Comité ministériel de vérification, endossé par le dirigeant principal de l’information, le commissaire de la GCC et l’agent de sécurité ministérielle, avant d’être signé par le sous-ministre adjoint des Ressources humaines et des Services intégrés.
  • Examen des documents – Un examen approfondi des documents a été mené à l’étape de la planification et de la mise en œuvre. L’examen des documents était davantage ciblé à l’étape de la mise en œuvre, à mesure que l’équipe de vérification déterminait de quels documents elle avait besoin.
  • Entrevues – Les vérificateurs ont mené des entrevues avec les cadres du Ministère, dans le Secteur de la gestion de l’information et des services de la technologie (GIST), à la Direction des services techniques intégrés de la GCC ainsi qu’avec la Direction ministérielle de Sécurité et Santé du Secteur des ressources humaines et des services intégrés.
  • Essais de conformité – Des essais ont été effectués pour évaluer la conformité à divers critères de la norme de GSTI. De plus, les vérificateurs ont pris un échantillon de six applications de TI pour évaluer la sécurité des réseaux du MPO et de la GCC.
  • Visites sur place – L’équipe de vérification s’est rendue dans les régions des Maritimes et du Québec durant la phase de mise en œuvre.
  • Programme interne d’assurance et d’amélioration de la qualité – La fonction d’assurance de la qualité de la Direction générale de la vérification interne a examiné et approuvé tous les documents de travail qui traitent de tous les aspects de la mission de vérification interne.

Les vérificateurs ont consulté des cadres de contrôle comme le Control Objectives for Information and related Technology (CobiT), le document de l’Association des professionnels de la vérification et du contrôle des systèmes d'information intitulé IT standards, guidelines and tools and techniques for Audit and Assurance and Control Professionals et le document du SCT intitulé Sécurité des technologies de l'information - guide de vérification.

3.0 Observations et recommandations

L’ensemble du cadre de contrôle de gestion régissant la gestion de la sécurité des TI au MPO a beaucoup évolué ces dernières années. En particulier, le Secteur de la GIST a fait d’énormes progrès aux chapitres de la mise en œuvre et de l’amélioration continue du programme de sécurité des TI, comme en témoigne la hausse constante des cotes obtenues au CRG pour la sécurité des TI. Des possibilités d’amélioration ont été identifiées aux chapitres de la planification de la sécurité des TI, de la surveillance, de l’organisation des TI, du contrôle des autorisations et de l’accès, de la formation et de la sensibilisation à la sécurité, de la communication électronique et du stockage de l’information, de la réaction aux incidents et de la détection des incidents.

3.1 Planification de la sécurité des TI

Un plan de sécurité des TI est en place et vise à améliorer la conformité à la norme de GSTI et à identifier des priorités. Le Ministère élabore actuellement un plan de sécurité ministériel pour se conformer à la Directive sur la gestion de la sécurité ministérielle édictée par le SCT. Le Ministère a jusqu’au 30 juin 2012 pour se conformer à la Directive.

Recommandation :

1. L’agent de sécurité ministérielle devrait travailler avec les coordonnateurs de la sécurité des TI à l’élaboration d’un plan de sécurité ministériel qui intègre le plan de sécurité des TI, afin que les exigences décrites dans la Directive sur la gestion de la sécurité ministérielle soient respectées.

3.2 Surveillance de la sécurité des TI et rapports sur l'état de la sécurité des TI

Selon la Stratégie provisoire de GIST de mai 2010, un cadre de mesure du rendement assorti de toutes les mesures connexes s’appliquant à l’ensemble du MPO, y compris la GCC, sera articulé pour produire tous les rapports internes et externes exigés (p. ex. le CRG). Un cadre provisoire de mesure du rendement a été présenté pour discussion lors d’une réunion du Comité de direction de l’informatique, le 14 janvier 2011.

La mise au point du cadre de mesure du rendement prévu n’a pas été achevée. Par conséquent, le Ministère n’est pas en mesure de surveiller le rendement de son programme de sécurité des TI au-delà de la conformité à la norme de GSTI, de la gestion des incidents et de la sécurité du développement des applications. Un cadre de mesure du rendement bien développé permettrait de mesurer et de surveiller le rendement du Programme de sécurité des TI, notamment son efficacité, et d’identifier les lacunes et les problèmes liés aux contrôles de sécurité qui doivent être corrigés.

Recommandation :

2. Le dirigeant principal de l’information devrait finaliser le cadre de mesure du rendement et les principaux indicateurs connexes, et s’assurer que le cadre définisse les exigences en matière de surveillance et de production de rapports.

3.3 Organisation des technologies de l'information

Au MPO, il y a deux coordonnateurs de la sécurité des TI (CSTI) : le CSTI ministériel et celui de la GCC. Le CSTI ministériel relève du dirigeant principal de l’information et entretient un rapport hiérarchique fonctionnel avec l’ASM, mais le lien hiérarchique fonctionnel entre l’agent de sécurité ministérielle, le dirigeant principal de l’information et le CSTI de la GCC n’est pas clairement défini.

Le fait que le Ministère n’ait pas documenté les rôles et responsabilités du dirigeant principal de l’information, de l’agent de sécurité ministérielle, du CSTI de la GCC et du CSTI ministériel pourrait brouiller les responsabilités et les pouvoirs. Cela pourrait entraîner un dédoublement des tâches ou laisser des manques dans la couverture de sécurité, et rendre le programme de sécurité des TI inefficient et inefficace. Un protocole d’entente est en cours de rédaction dans le but de définir les rôles et les responsabilités ainsi que les lignes de communication entre le CSTI de la GCC, le CSTI du MPO, le dirigeant principal de l’information et l’agent de sécurité ministérielle.

Recommandation :

3. Le sous-ministre adjoint des Ressources humaines et des Services intégrés devrait veiller à ce que les rôles et responsabilités en matière de sécurité, ce qui inclut la sécurité des TI, entre l’agent de sécurité ministérielle, le coordonnateur de la sécurité des TI et le coordonnateur de la sécurité des TI de la Garde côtière canadienne, soient clairement définis et documentés. Il faudrait également définir et documenter le rapport hiérarchique des deux coordonnateurs de la sécurité des TI avec l’agent de sécurité ministérielle.

3.4 Contrôle des autorisations et de l'accès

La section 16.4.3, Autorisation et contrôle de l’accès, de la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information, dans la section 16.4, Mesures de protection techniques, stipule que les ministères doivent limiter l’accès des TI et de l’information aux personnes qui ont fait l’objet d’une enquête de sécurité et qui ont été autorisées, qui ont été identifiées et authentifiées, et qui ont un accès sélectif. Les ministères ne doivent accorder que des privilèges d’accès minimums de manière à ce que les personnes ne puissent accomplir avec ceux-ci que les tâches liées à l’exercice de leurs fonctions (c.-à-d. principe du droit d’accès minimal) et veiller à ce que les privilèges d’accès soient mis à jour régulièrement pour correspondre exactement aux responsabilités actuelles de la personne. Les ministères doivent retirer les privilèges d’accès à toute personne (y compris les étudiants, entrepreneurs et autres personnes possédant un droit d’accès à court terme) qui quittent l’organisation, et revoir les privilèges d’accès lorsque des personnes sont mutées à un poste qui ne requiert pas le même niveau d’accès.

La vérification a permis de cerner les possibilités d’améliorer les mesures de protection techniques pour assurer la confidentialité, l’intégrité et la disponibilité des systèmes de TI et de l’information connexe.

Recommandations :

4. Le sous-ministre adjoint des Ressources humaines et des Services intégrés devrait revoir les procédures actuelles pour veiller à ce que les propriétaires fonctionnels connaissent et assument leurs responsabilités en matière d’accès aux ressources de technologies de l’information.

5. Le dirigeant principal de l’information devrait revoir les processus actuels, de même que les rôles et responsabilités, et il devrait uniformiser la surveillance et la gestion de l’accès des utilisateurs aux réseaux informatiques pour assurer que l’autorisation et l’accès aux ressources de technologies de l’information sont gérés adéquatement.

3.5 Formation et sensibilisation en matière de sécurité

Le MPO offre des séances de sensibilisation à la sécurité à tous ses nouveaux employés. Les nouveaux employés doivent obligatoirement s’inscrire à cette séance dans les six mois suivant leur entrée en fonction. Il est également conseillé que les employés se réinscrivent à ce cours une fois tous les trois ans pour se tenir au courant des questions de sécurité.

L’équipe de vérification a obtenu des Ressources humaines une liste de tous les employés recrutés en 2010. Les vérificateurs ont choisi au hasard vingt nouveaux employés qui travaillent dans le Ministère depuis plus de six mois (période déterminée, indéterminée et occasionnels) pour vérifier s’ils ont assisté à la séance obligatoire de sensibilisation à la sécurité. Les noms de ces personnes ont été donnés aux Systèmes de gestion des ressources humaines (analyste technique PeopleSoft) ainsi qu’aux agents de sécurité de la Direction ministérielle de Sécurité et Santé. La vérification a révélé que seulement deux des vingt employés avaient assisté à la séance.

Recommandation :

6. Le sous-ministre adjoint des Ressources humaines et des Services intégrés devrait établir un processus par le biais duquel les Ressources humaines pourraient aviser l’agent de sécurité ministérielle des nouvelles embauches, pour permettre à Sécurité et Santé de contrôler et de repérer la formation sur la sensibilisation à la sécurité au sein du Ministère. Le processus devrait aussi inclure une exigence d’indiquer aux chefs de secteur qui, parmi les employés, n’a pas suivi la formation obligatoire sur la sensibilisation dans les délais impartis.

3.6 Communication électronique et stockage de l'information

Le réseau du Ministère, DFONet, est de niveau « Protégé A ». Selon le Guide de la Direction de la sécurité des TI intitulé Procédures de traitement et de stockage d’information sensible, les renseignements de niveau « Protégé B » peuvent être stockés sur le réseau si des mesures de sécurité supplémentaires sont prises, par exemple si les renseignements sont chiffrés. Pour transmettre des données « Protégé B », les utilisateurs doivent les chiffrer en utilisant les services de l’Infrastructure à clés publiques (ICP). L’ICP protège les renseignements personnels en garantissant que les communications électroniques ne sont pas interceptées et lues ou modifiées par des personnes non autorisées.

Nos tests ont révélé des irrégularités dans le stockage et la transmission des données classifiées et protégées. Selon la norme de GSTI, le coordonnateur de la sécurité des TI doit surveiller la conformité du Ministère à la norme et aux documents connexes. Selon un examen des pratiques en place au Ministère, la surveillance régulière du stockage et de la transmission des données protégées n’est pas effectuée pour assurer la conformité aux politiques et normes gouvernementales et ministérielles.

Recommandation :

7. Le sous-ministre adjoint des Ressources humaines et des Services intégrés devrait élaborer et mettre en œuvre un processus de surveillance aléatoire des communications électroniques et des renseignements stockés dans le Milieu de gestion des connaissances électroniques (MGCE) ainsi que sur le réseau du MPO et il devrait informer les chefs de secteur et directeurs généraux régionaux des résultats de leur région ou de leur secteur respectif.

8. Le sous-ministre adjoint des Ressources humaines et des Services intégrés devrait veiller à ce que les chefs de secteur et directeurs généraux régionaux soient conscients de l’importance de communiquer et de stocker correctement les renseignements protégés et classifiés et à ce qu’ils soient au courant de leurs responsabilités à cet égard.

3.7 Réaction aux incidents et récupération

Le MPO n’a pas de processus ministériel documenté pour vérifier régulièrement les copies de sauvegarde et les procédés de restauration pour assurer que les données peuvent être récupérées effectivement et dans le délai prévu. De plus, le Ministère n’a pas de norme documentée concernant les exigences de sauvegarde du cycle chronologique des données stockées sur ruban (p. ex. tous les jours, toutes les semaines, tous les mois, tous les ans).

En 2010, le MPO a révisé ses processus de sauvegarde décentralisés et a lancé une initiative pour centraliser les procédés de sauvegarde dans la région de la capitale nationale. La centralisation des sauvegardes se fait de façon graduelle par le Ministère et, au moment de la vérification, elle n’était pas terminée. Par conséquent, certaines régions et certains bureaux qui hébergent et exploitent leurs propres réseaux sont encore responsables d’effectuer les sauvegardes et de tenir à jour un processus de restauration.

Recommandation :

9. Le dirigeant principal de l’information devrait continuer à élaborer et à mettre en œuvre une norme ministérielle de récupération des données dans laquelle seraient documentées les exigences en matière de méthodes de vérification des sauvegardes et de restauration conformes à la norme GSTI. Le dirigeant principal de l’information devrait considérer des exigences supplémentaires en fonction des besoins et/ou des différences en matière de vérification des sauvegardes et de restauration des systèmes essentiels à la mission.

3.8 Détection des incidents

On a appris récemment par les médias que plusieurs ministères fédéraux avaient été victimes de harponnage, ce qui démontre que les programmes de sécurité de l’information doivent comprendre à la fois des mesures de contrôle préventives et des mesures de détection.

Par mesure de prévention, on entend les technologies ou les procédures conçues pour empêcher un attaquant ou un utilisateur non autorisé d’effectuer des activités non prévues. Par mesure de détection, on entend les technologies et techniques utilisées pour détecter les activités inappropriées, indiquant qu’une attaque est en cours, et en aviser les représentants de la TI.

Il est préférable d’utiliser des mesures de prévention pour empêcher les tentatives de piratage malveillant de ses réseaux des TI. Cependant, il faut être bien conscient que les programmes de sécurité de l’information doivent s’adapter à une ère où il est probable que des attaquants persistants, très compétents et très motivés parviendront éventuellement à accéder jusqu’à un certain point aux systèmes informatiques du Ministère. Dans un pareil contexte, le Ministère a besoin de capacités informatisées et en temps réel pour détecter les attaquants ou les employés malveillants qui obtiennent l’accès non autorisé aux ressources d’information.

Les vérificateurs ont toutefois relevé des possibilités d’amélioration dans le domaine de la détection des incidents.

Recommandation :

10. Le dirigeant principal de l’information devrait s’assurer que le périmètre et les mesures de protection techniques internes répondent aux besoins de sécurité du Ministère.

4.0 Conclusion

Depuis quelques années, le Secteur de la GIST a fait d’énormes progrès aux chapitres de la mise en œuvre et de l’amélioration continue du programme de sécurité des TI, comme en témoigne la hausse constante des cotes obtenues au CRG pour la sécurité des TI.

Étant donné les menaces récentes à la sécurité des TI, la question demeurera très préoccupante pour les ministères fédéraux. À mesure que de nouvelles menaces surgissent, les ministères doivent s’y adapter et prendre leurs décisions de sécurité en matière de TI en fonction des risques et de sérieuses analyses coûts-bénéfices afin de s’assurer que leurs stratégies seront rentables.

Dans l’ensemble, il est évident que le Ministère a beaucoup fait pour améliorer la qualité et l’efficacité du Cadre de contrôle qui régit la gestion de la sécurité des TI. Cependant, les observations présentées dans le présent rapport démontrent qu’il y a place à l’amélioration dans les domaines de la planification, de la surveillance, de la formation et de la sensibilisation, de la réaction aux incidents et de la mesure du rendement. Les recommandations des vérificateurs devraient contribuer à resserrer le Cadre de contrôle de la gestion de la sécurité des TI au MPO.

5.0 Plan d'action de la gestion

Recommandations

Plan d'action de gestion

Mise à jour du rapport

Mesures achevées

Mesures en cours

Échéance

1. L'agent de sécurité ministérielle devrait travailler avec les coordonnateurs de la sécurité des TI à l'élaboration d'un plan de sécurité ministériel qui intègre le plan de sécurité des TI, afin que les exigences décrites dans la Directive sur la gestion de la sécurité ministérielle soient respectées.

L'agent de sécurité ministérielle collaborera avec les coordonnateurs de la sécurité des TI pour veiller à ce que le plan de sécurité des TI soit intégré au plan de sécurité ministériel.

 

Embaucher un expert-conseil pour élaborer le plan de sécurité ministériel.

Le 30 septembre 2011

Élaborer le plan de sécurité ministériel.

Le 30 juin 2012

2. Le dirigeant principal de l'information devrait finaliser le cadre de mesure du rendement et les principaux indicateurs connexes, et s'assurer que le cadre définisse les exigences en matière de surveillance et de production de rapports.

La Direction générale de la gestion de l'information et des services de la technologie a défini sa stratégie de mesure du rendement et continue à travailler sur la mise en œuvre de celle-ci, selon la disponibilité des ressources.

On a présenté la stratégie de mesure du rendement à Évaluation en décembre pour qu'elle l'examine. 

La stratégie de mesure du rendement a été présentée au Comité de direction de l'informatique.

Le groupe de travail sur les indicateurs de rendement clés (IRC) a été établi.

Adopter la stratégie de mesure du rendement axée sur les clients, pour GIST.

Le 30 juin 2011

Le groupe de travail sur les IRC :

• concevra les IRC initiaux axés sur les clients;

• déterminera les propriétaires d'IRC;

• les présentera à la gouvernance et les mettra en œuvre.

Le 30 septembre 2011

3. Le sous-ministre adjoint des Ressources humaines et des Services intégrés devrait veiller à ce que les rôles et responsabilités en matière de sécurité, ce qui inclut la sécurité des TI, entre l'agent de sécurité ministérielle, le coordonnateur de la sécurité des TI et le coordonnateur de la sécurité des TI de la Garde côtière canadienne, soient clairement définis et documentés. Il faudrait également définir et documenter le rapport hiérarchique des deux coordonnateurs de la sécurité des TI avec l'agent de sécurité ministérielle.

Le Cadre de responsabilisation et de politique de Sûreté et sécurité sera mis à jour pour que les rôles et responsabilités en matière de sécurité, ce qui inclut la sécurité des TI, entre l'agent de sécurité ministérielle, le coordonnateur de la sécurité des TI et le coordonnateur de la sécurité des TI de la Garde côtière canadienne soient clairement définis et documentés. Il faudrait également définir et documenter le rapport hiérarchique des deux coordonnateurs de la sécurité des TI avec l'agent de sécurité ministérielle.

 

Il a fallu retarder le suivi de ce point en attendant l'arrivée du nouvel agent de sécurité ministérielle (2 mai 2011). La mise à jour de ce document a commencé cet été (2011).

Le 31 mars 2012

4. Le sous-ministre adjoint des Ressources humaines et des Services intégrés devrait revoir les procédures actuelles pour veiller à ce que les propriétaires fonctionnels connaissent et assument leurs responsabilités en matière d'accès aux ressources de technologies de l'information.

Par l'entremise du Comité sur la fiche de départ nationale, on tient des réunions avec des intervenants pour discuter des leçons retenues, assurer l'amélioration continue de la fiche de départ nationale et examiner des enjeux régionaux liés à cette fiche. Ces réunions permettront d'examiner la procédure appropriée pour informer les propriétaires fonctionnels.

On a transmis des notes de breffage signées par des directeurs généraux des RHSI à des gestionnaires de centres de responsabilités, à l'aide d'Au courant.

Des courriels ont été envoyés aux gestionnaires en septembre 2010 pour leur rappeler leurs responsabilités en tant que propriétaires fonctionnels et qu'ils soient informés du processus relatif aux départs d'employés.

Le Comité national sur les fiches de départ se réunira pour évaluer la réussite de la fiche de départ nationale et apporter des modifications selon les besoins.

Le 30 septembre 2011

Élaborer un processus pour informer les propriétaires fonctionnels du départ ou de la mutation d'un employé et contrôler le suivi.

Le 31 décembre 2011

5. Le dirigeant principal de l'information devrait revoir les processus actuels, de même que les rôles et responsabilités, et il devrait uniformiser la surveillance et la gestion de l'accès des utilisateurs aux réseaux informatiques pour assurer que l'autorisation et l'accès aux ressources de technologie de l'information sont gérés adéquatement.

Le Centre de données s'alignera sur la procédure de l'agent de sécurité ministérielle.

Les systèmes de bases de données et d'applications spécifiques et autonomes qui ne sont pas gérés par le Centre de données relèveront de la responsabilité des propriétaires des biens et/ou des applications.

Services professionnels en informatique centrés sur les tâches assurés par trois des quatre entrepreneurs sur le site. La date prévue par le GP est le 1er juin.

Évaluation de la phase I terminée.

Échéancier de la gouvernance :

Juin - Comité de gestion de l'information et de gestion des services technologiques

Juillet - Comité de direction de l'informatique, Comité régional de coordination de l'informatique.

Le 15 décembre 2011

Mise à l'essai de la phase II.

10 800 stations de travail et 800 serveurs dans 327 sites doivent être modifiés.

Le 30 mai 2011

Plan de déploiement.

Le 30 juin 2011

Échéancier prévu pour la conversion en pourcentage cible : 30 %

Le 31 juillet 2011

Échéancier prévu pour la conversion en pourcentage cible : 60 %

Le 30 septembre 2011

Échéancier prévu pour la conversion en pourcentage cible : 90 %

Le 31 décembre 2011

6. Le sous-ministre adjoint des Ressources humaines et des Services intégrés devrait établir un processus par le biais duquel les Ressources humaines pourraient aviser l'agent de sécurité ministérielle des nouvelles embauches, pour permettre à Sécurité et Santé de contrôler et de repérer la formation sur la sensibilisation à la sécurité au sein du Ministère. Le processus devrait aussi inclure une exigence d'indiquer aux chefs de secteur qui, parmi les employés, n'a pas suivi la formation obligatoire sur la sensibilisation dans les délais impartis.

Sécurité et Santé collaborera avec le personnel des Ressources humaines pour élaborer un processus pour assurer le suivi, la surveillance et la production de rapports relativement aux nouveaux employés qui ont effectué la formation obligatoire sur la sécurité.

 

Élaborer un plan de communication pour aviser les employés des exigences requises pour effectuer la formation sur la sensibilisation à la sécurité.

Le 30 septembre 2011

Élaborer un processus et des outils pour assurer le suivi, la surveillance et la production de rapports relativement aux nouveaux employés qui ont effectué la formation obligatoire sur la sécurité.

Le 30 novembre 2011

Élaborer un processus qui permet d'indiquer aux chefs de secteur qui, parmi les nouvelles recrues, n'a pas reçu la formation sur la sensibilisation à la sécurité.

Le 30 novembre 2011

Mettre en œuvre le processus au sein du Ministère.

Le 30 janvier 2012

7. Le sous-ministre adjoint des Ressources humaines et des Services intégrés devrait élaborer et mettre en œuvre un processus de surveillance aléatoire des communications électroniques et des renseignements stockés dans le Milieu de gestion des connaissances électroniques (MGCE) ainsi que sur le réseau du MPO et il devrait informer les chefs de secteur et directeurs généraux régionaux des résultats de leur région ou de leur secteur respectif.

Dans le cadre de sa mise en œuvre actuelle de Services de TI, GIST est en mesure d'évaluer le niveau de sensibilité de l'information traitée et stockée sur les biens de TI du Ministère.  Malgré cela, il importe de respecter les attentes raisonnables des employés en ce qui concerne la protection de la vie privée.

Dans les limites juridiques, GIST élaborera et mettra en œuvre des procédures automatisées pour surveiller de façon aléatoire les communications électroniques et l'information stockée sur MGCE, et le réseau du MPO en conformité avec la politique sur la gestion de l'information.

Fichier de renseignements personnels enregistré (numéro de RDA : 98/001, numéro de fichier : PSE 922).

L'information concernant les exigences en matière de classification, de stockage et de transmission de données électroniques est incluse dans les documents actuels relatifs à la formation et à la sensibilisation.

Élaborer et mettre à l'essai des scripts de surveillance.

Le 31 mars 2011

Mettre en œuvre la nouvelle procédure.

Le 31 mai 2011

8. Le sous-ministre adjoint des Ressources humaines et des Services intégrés devrait veiller à ce que les chefs de secteur et directeurs généraux régionaux soient conscients de l'importance de communiquer et de stocker correctement les renseignements protégés et classifiés et à ce qu'ils soient au courant de leurs responsabilités à cet égard.

On élaborera des documents et des outils sur la sensibilisation pour donner suite aux recommandations.

On assurera la sensibilisation et la formation d'utilisateurs ciblés en fonction des constatations issues de la surveillance du réseau et des bases de données.

Un outil de formation en matière de sensibilisation à la sécurité ministérielle est maintenant disponible en ligne pour tous les employés du Ministère. On a envoyé un avis à tous les employés à l'aide d'Au courant le 11 février 2011.

On a élaboré un plan de sensibilisation en matière de sécurité des TI.

On a élaboré des documents à l'appui destinés à des groupes d'employés assumant des responsabilités  similaires. (Groupes des Affaires juridiques et de la Vérification - D'autres détails à venir)

Le plan d'action a été élaboré, et il a été approuvé le 28 octobre 2010.

Des présentations générales ont été élaborées pour tous les employés, de même que des outils et du contenu spécialisés sur la sensibilisation.

Des paramètres sont repérés pour surveiller les progrès et l'utilisation par les employés du MPO de la formation en ligne sur la sensibilisation à la sécurité au sein du Ministère.

Le sous-ministre adjoint des RHSI a envoyé une note de service aux membres du Conseil de gestion du Ministère pour leur rappeler l'importance de communiquer et de stocker correctement les renseignements protégés et classifiés et leurs responsabilités à cet égard.

Le 30 juin 2011

Mettre en œuvre un plan axé sur les activités pour la formation sur la sensibilisation à la sécurité des TI : Promotion continue de la sensibilisation à la sécurité en ligne au sein du Ministère;

En cours

Mettre en œuvre un plan axé sur les activités pour la formation sur la sensibilisation à la sécurité des TI : Présentations de la sensibilisation à la sécurité en ligne au sein du Ministère à des groupes d'employés;

Juin 2011

Mettre en œuvre un plan axé sur les activités pour la formation sur la sensibilisation à la sécurité des TI : Présentations axées sur les clients;

Septembre 2011

Mettre en œuvre un plan axé sur les activités pour la formation sur la sensibilisation à la sécurité des TI : Semaine de la sensibilisation à la sécurité du gouvernement du Canada.

Février 2012

9. Le dirigeant principal de l'information devrait continuer à élaborer et à mettre en œuvre une norme ministérielle de récupération des données dans laquelle seraient documentées les exigences en matière de méthodes de vérification des sauvegardes et de restauration conformes à la norme GSTI. Le dirigeant principal de l'information devrait considérer des exigences supplémentaires en fonction des besoins et/ou des différences en matière de vérification des sauvegardes et de restauration des systèmes essentiels à la mission.

Le Centre de données à établi des calendriers de sauvegarde types que l'on peut adapter en fonction de la valeur des données et de l'importance des applications. Il appliquera tout besoin opérationnel aux sauvegardes lorsque les propriétaires des données ou des applications l'en aviseront.

Aujourd'hui, on effectue quotidiennement des essais de restauration, mais d'autres essais axés sur des applications ou des clients déterminés sont disponibles sur demande.

Le logiciel de sauvegarde standard a maintenant été mis en œuvre dans les trois centres de données de classe A.

Le Centre de données procèdera au déploiement et à la mise en œuvre d'une solution de sauvegarde normalisée.

Le 31 mars 2012

10. Le dirigeant principal de l'information devrait s'assurer que le périmètre et les mesures de protection techniques internes répondent aux besoins de sécurité du Ministère.

La Gestion de l'information et des services de la technologie validera les besoins en mesures de protection techniques et mettra en œuvre les ajouts recommandés.

Le suivi de l'activité du périmètre et des registres de sécurité est régulier.

La validation des besoins est complétée.

L'acquisition des ressources/systèmes.

Le 30 septembre 2011

Mise en œuvre des ressources/systèmes.

Le 31 décembre 2011

Validation de l'efficacité des changements.

Le 31 mars 2012