Rapport d’audit interne

Audit de la sécurité des technologies de l'information

Projet 6B279
Date : 9 décembre 2016


Table des matières



1.0 SOMMAIRE

L'objectif de cet audit était de s'assurer que Pêches et Océans Canada (MPO), y compris la Garde côtière canadienne (GCC), possèdent un cadre de contrôle adéquat et efficace pour appuyer la sécurité des technologies de l’information (TI). L’audit portait sur la gouvernance; la planification des ressources humaines (RH); la formation sur la sécurité des TI et sensibilisation à l'égard de la sécurité; le cadre de sécurité des TI; et les principaux contrôles de sécurité des TI, y compris la gestion des comptes et l'application de correctifs. Le réseau opérationnel et les applications de la GCC étaient visés par cet audit et un échantillon de système a été choisi afin d’obtenir une opinion des systèmes de sécurité des TI du MPO. L’audit comprenait également un suivi des recommandations de l’audit interne de 2011-2012 sur la gestion de la sécurité des TI. Le plan de continuité des activités (PCA) du Ministère et la Sécurité physique ont été exclus de la portée de l’audit, car le PCA a déjà fait l'objet d'un audit en 2010-2011 et un audit de la sécurité physique est prévu en 2017-2018.

Pourquoi est-ce important?

La sécurité des TI se rapporte aux mesures de protection visant à préserver la confidentialité, l'intégrité, la disponibilité, l'utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique. Elle comprend aussi les mesures de protection qui s'appliquent aux biens utilisés pour recueillir, traiter et conserver ou détruire des renseignements par voie électronique. Les systèmes du MPO sont de plus en plus reliés les uns aux autres pour mieux servir les Canadiens et les entreprises. L'utilisation généralisée des TI pour traiter, stocker et transmettre de l'information, combinée au recours croissant à ces systèmes interconnectés et à la rapidité à laquelle les TI évoluent, expose le MPO à un éventail de risques liés à la sécurité des TI. Étant donné ces risques et le vaste mandat du Ministère, l'effectif, les renseignements et les biens de l'organisation font face à plusieurs menaces internes et externes.

Principales constatations

Les vérificateurs ont constaté qu'il était possible d'apporter des améliorations pour veiller à ce que le MPO, y compris la GCC, ait un cadre de contrôle adéquat et efficace pour appuyer la sécurité des technologies de l'information. Des structures de gouvernance sont bien en place, mais les rôles et les responsabilités de la sécurité des TI doivent être mieux documentés afin de s'assurer que le programme de sécurité des TI du Ministère soit géré adéquatement et efficacement. Les dernières orientations en matière de sécurité des TI remontent assez loin dans le temps, mais des mises à jour sont en cours.

Il est possible d'améliorer le programme de sécurité des TI du MPO en mettant en œuvre des améliorations aux processus de gestion des comptes et de gestion des correctifs et en s'assurant que les menaces et les risques liés à la sécurité des TI font l'objet d'une évaluation et d'une surveillance régulières. Des processus et des procédures sont en place pour gérer et surveiller l'accès des utilisateurs aux applications; ''''''''''''''''' '''''''''' ''''''''''''''''''' '''''' ''''''' ''''''''''''''''''' ''''''''''' ''''''''''''''''''''''''' ''''''''' ''''''' ''''''''''''''' ''''''' ''''''''''''''' '''' ''''''''''''''''''''''''' '''''''''''''''' ''''''' ''''''''' ''''''' ''''''''' '''''''''''' '''''''''''''''' '''''' '''''''''''''' '''''''''''''''' ''''''''''''''''''''''''''''' '''''''''''' '''''''' ''''''''''''' '''''' ''''''' '''''''''''' '''' ''''''''''''''''''''' ''''' ''' ''''''''''''''' ''''''''''' '''''''''''''''''''''''''' '''''''''''' ''''''''''''''''''' ''''' ''''''' ''''''''' ''''' '''''''''''' '''''''''' '''' '''''''''''''''''''' ''''''''''''''''' '''''' ''''''''''''''''''''''''''' ''''''' '''''''''' '''''''''''''''''' '''' ''''''' '''''''''''''''' '''''''''' ''''''''''' ''''''''' '''''''''''''' '''''''''''' '''' ''''''' '''''''''''''''''''''''

'''''''''' ''''''''''''' ''''''''' '''''''''' ''''''''''''''''''''''''' ''''' '''''''''''''''' ''''''''''''' ''''''''''''''''''''''''''''' '''''''''' '''''''''''''''' ''''''''' ''''''' ''''''''''''''''''''''''''' ''''''''''''' '''''' ''''''''''' ''''''''''' ''''''''''''''''''''' ''''' ''''''' ''''''''''''''''' ''''''''''''''''''''' ''''''' '''' '''''''''''''''' ''''''''''''''' '''' '''''''''''''''''' ''''''''''''''''''' ''''''' ''''''''''''''''' '''' '''''''''' '''''''''''''''''''''''''''''''' ''' ''''''' '''''''''''''''''' ''''' ''' ''''''''''''' '''''''''' '''' ''''''''''''' ''''''''' ''''''' ''''''''''' ''''''''''''''''''''''' ''''''''''''' '''' '''''''''''''''''''''''' '''' '''''''''''''''''''' ''''''''' '''' ''''''''''''''''' ''''''''''' '''''''''''''''' ''''''''''' '''''''''''''''''''''''''' '''''''''' '''''''''''' '''''''''''''' ''' ''''''' '''' '''''''''''''''''''''''' ''''''''''' ''''''''''''''''''''''''''''''''' '''''''''''''''''''''''''''''' '''''''''''''''' '''' ''''''''''''''' '''''''''''''' ''''''' ''''''''''''''''''''''''''''''''' ''''''''''''' '''''''''''''' '''''''''''' ''''''''' ''''''' '''''''''''''''''''''''''''' '''''' ''''''''''''' ''''''' ''''''''''''''' '''''' ''''''' ''''''' '''''''''''''''''''''''''

Conclusion

L’audit a révélé qu'il était nécessaire d'améliorer la gouvernance et les mesures de contrôle de la sécurité des TI pour accroître l'efficacité du cadre de contrôle en place et pour s'assurer que des mesures de sécurité importantes sont prises pour protéger les systèmes ministériels.

Réponse de la direction

La direction a approuvé les constatations de l’audit, a accepté les recommandations formulées dans le rapport et a élaboré un plan d’action de gestion pour assurer leur mise en œuvre. Ce plan a été intégré au présent rapport.

Approbations

Le rapport d’audit interne de la sécurité des technologies de l'information a été présenté au Comité ministériel de vérification le 9 décembre 2016. Le rapport a été recommandé aux fins d'approbation par le Comité ministériel de vérification et approuvé par la sous-ministre.

2.0 CONTEXTE

La sécurité des technologies de l’information (TI) se rapporte aux mesures de protection visant à préserver la confidentialité, l'intégrité, la disponibilité, l'utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique. Elle comprend aussi les mesures de protection qui s'appliquent aux biens utilisés pour recueillir, traiter et conserver ou détruire des renseignements par voie électronique. Comme le Ministère, y compris la Garde côtière canadienne (GCC), s'expose à des risques importants et croissants liés à la sécurité des TI, ce domaine a été évalué comme étant un risque élevé dans le cadre du processus de planification de la vérification annuelle, puis un audit de la sécurité des TI a été inclus au plan pluriannuel de vérification axé sur les risques de 2016 à 2019.

À l'heure actuelle, le gouvernement du Canada (GC) normalise, consolide et restructure sa façon de mener ses activités à l'interne. Dans le cadre de la Stratégie de modernisation des TI du GC, Services partagés Canada (SPC) a été créé en 2011 afin de maintenir et d'améliorer la prestation des services de TI, de réaliser des économies et de mettre en œuvre des solutions pangouvernementales modernes, fiables et sûres. La gouvernance de la sécurité des TI est devenue intrinsèquement complexe, car il s'agit maintenant d'une responsabilité partagée entre SPC et Pêches et Océans Canada (MPO). SPC est responsable du périmètre de sécurité, de la gestion des réseaux, de la gestion du stockage et de l'approvisionnement des serveurs, à l’exception du réseau opérationnel de la GCC. Le MPO, y compris la GCC, demeure responsable de la gestion des ordinateurs de bureau, des bases de données et des applications.

Les systèmes du MPO sont de plus en plus reliés les uns aux autres pour mieux servir les Canadiens et les entreprises. L'utilisation intensive des TI pour traiter, stocker et transmettre de l'information, combinée à l'interconnectivité croissante des systèmes de TI, au recours à ces systèmes et à la rapidité à laquelle les TI évoluent, expose le MPO à un éventail de risques liés à la sécurité des TI. Étant donné ces risques et le vaste mandat du Ministère, l'effectif, les renseignements et les biens de l'organisation font face à plusieurs menaces internes et externes. '''''''''''''''' '''''''''''''' '''''''''''''' ''''''''''''''''''''''''''' ''''''''' ''''''''''''' '''''''''''''''' ''''''''''''''''''' '''' ''''''''''' '''''''''''''' ''''''''''''''''''''''' '''''''''''''''''''' ''''''' ''''''''''''''''''' ''''''''''''''''''' '''' ''''''''''''''' '''''''''''''''''''''''''''' ''''''''''''''''''''''''' ''''''' ''''''''''''''''''' ''''''''''''''''''''' '''''''''' ''''''' '''''''''''''''''''''' '''''''' ''''''''''''''' '''' ''''''''''''''''''''''''''' '''''''' '''''''''''''''''''''' ''''''''''''' '''''''''''''' ''''''''''''' '''''''''''''' ''''''' ''''' ''''''''''''''''' '''''''''''''''''' '''''''''''''''''' '''''''' '''''''''''''''' '''''''''''''''''''''''' '''''''' '''''''''' ''''''''''''' ''''''''''''''' '''' '''' ''''''' '''''''''''' ''''' ''''''''''''''''''''''

Le Programme de sécurité informatique du MPO vise à protéger la confidentialité, l'intégrité et la disponibilité de l'information et des biens informatiques par des moyens techniques et non techniques, conformément au mandat du MPO, à la législation, aux règlements et aux politiques du Gouvernement du Canada. À ce titre, l'agent principal de l'information (DPI) et l'agent de sécurité ministériel (DSO) travaillent ensemble pour s'assurer que les contrôles de sécurité appropriés soient appliqués à tous les dossiers ministériels, aux biens, aux activités et aux processus de la GI-TI. Les résultats escomptés du programme de sécurité des TI consistent à adopter une approche systématique et cohérente de la planification, du fonctionnement et du suivi des activités internes de sécurité des TI et à sensibiliser les employés à leurs obligations en matière de sécurité informatique.

3.0 OBJECTIF DE L'AUDIT

L'objectif de cet audit était de fournir l’assurance que le MPO, y compris la GCC avait mis en place un cadre de contrôle adéquat et efficace afin d’appuyer la sécurité des technologies de l'information (TI).

4.0 PORTÉE DE L'AUDIT

L’audit portait sur la gouvernance; la planification des RH; la formation sur la sécurité des TI et sensibilisation à l'égard de la sécurité; le cadre de sécurité des TI; et les principaux contrôles de sécurité des TI . Le réseau opérationnel et les applications de la GCC étaient visés par cet audit. Un échantillon de système a été choisi afin d'obtenir une opinion des systèmes de sécurité des TI du MPO. Le plan de continuité des activités (PCA) et la Sécurité physique du Ministère ont été exclus de la portée de cet audit, car le PCA a déjà fait l'objet d'un audit en 2010-2011 et un audit de la sécurité physique est prévu en 2017-2018.

L’audit comprenait également un suivi sur les recommandations découlant de l’audit interne de la gestion de la sécurité des TI réalisée en 2011-2012, afin de déterminé dans quelle mesure les correctifs avaient été mis en œuvre. L’audit de 2011-2012, a examiné la conformité aux politiques et normes gouvernementales comme la Politique sur la sécurité du gouvernement (PSG) et la Norme opérationnelle de sécurité sur la Gestion de la sécurité des technologies de l’information (GSTI) du Conseil du Trésor (CT). Dix recommandations ont été formulées et visaient les domaines suivants : planification de la sécurité des TI, surveillance et production de rapports, gouvernance des TI, autorisation et contrôle d’accès, formation et sensibilisation en matière de sécurité, communication électronique et stockage d'information, intervention en cas d'incident et récupération, et détection des incidents.

5.0 MÉTHODE DE L'AUDIT

L'équipe d’audit a exécuté son mandat conformément à la Politique sur la vérification interne et aux normes relatives à la vérification interne au sein du gouvernement du Canada du Conseil du Trésor. Diverses techniques ont été employées dans le cadre de cet audit, dont une évaluation des risques de l’entité vérifiée, des entrevues, ainsi que des examens et des analyses de la documentation et de l’information.

6.0 CONSTATATIONS DE L'AUDIT

La présente section énonce les observations et les recommandations qui découlent de l’audit effectué. Bien que l’audit ait été mené en fonction des éléments d’enquête et des critères d’audit définis pendant la phase de planification (voir Annexe A), la structure de ce rapport suit les principaux thèmes ci-dessous:

  • Gouvernance
  • Cadre de sécurité des TI
  • Contrôles de sécurité des TI
  • Surveillance et production de rapports
  • Formation en matière de sécurité des TI

Selon l’audit effectué et notre jugement professionnel, le risque associé à chaque observation a été noté à l’aide d’une échelle en trois points. Le classement des risques (élevé, modéré, faible) est fonction du niveau d’exposition au risque potentiel qui pourrait avoir, selon nous, des répercussions sur la réalisation des objectifs de Pêches et Océans Canada, et indique la priorité que la direction devrait accorder aux recommandations qui relèvent de cette observation. Les critères suivants ont servi à déterminer le niveau d’exposition au risque :

Tableau no. 1 : Critères de classement des risques
ÉlevéLes contrôles sont inexistants ou inadéquats.
La conformité aux lois et aux règlements est insuffisante.
On a cerné des enjeux importants qui pourraient avoir des effets négatifs sur la réalisation des objectifs du programme et des activités.
ModéréDes contrôles sont en place, mais ne sont pas suffisamment respectés.
Il existe un manque de conformité avec les politiques des organismes centraux et des ministères, et avec les procédures établies.
On a cerné certains enjeux qui pourraient avoir des effets négatifs sur l’efficience et l’efficacité des activités.
FaibleIl y a des contrôles en place, mais le niveau de conformité varie.
La conformité aux politiques des organismes centraux et des ministères, de même qu'aux procédures établies, varie.
Les enjeux relevés sont moins importants, mais il existe des possibilités qui pourraient améliorer les activités.

6.1 GOUVERNANCE '''''''''''''''''''''' '''''''''

La gouvernance est la combinaison des processus et des structures mis en place afin d'informer, de diriger, de gérer et de piloter les activités de l'organisation en vue de réaliser ses objectifs. Elle contribue à l'orientation stratégique, à la supervision, à la prise de décisions et à la responsabilisation afin que l'organisation atteigne ses objectifs. La surveillance permet à la direction d'assurer un contrôle sur des activités telles que la détermination de l'orientation stratégique, l'affectation des ressources qui conviennent, l'analyse des activités liées à l'exposition aux risques et la détermination des contre-mesures nécessaires.

La documentation décrivant les rôles, les responsabilités et les obligations de rendre des comptes est désuète

Nous nous attendions à ce que les rôles, les responsabilités et les obligations de rendre des comptes en matière de sécurité informatique soient clairement définis, documentés et communiqués.

La Politique sur la sécurité du gouvernement (PSG) prévoit que les administrateurs généraux sont responsables de la mise en œuvre et de l'administration efficace de la gestion de la sécurité de leur ministère, et ont la responsabilité commune d'assurer la sécurité du gouvernement dans son ensemble. Elle exige également que les ministères nomment un agent de sécurité ministériel (ASM) relevant de l'administrateur général ou du comité exécutif ministériel pour gérer le programme de sécurité du ministère. La Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI), pour sa part, exige que les ministères nomment un coordonnateur de la sécurité des technologies de l'information (CSTI) ayant au moins un rapport hiérarchique fonctionnel à la fois avec le DPI et l'ASM. Le CSTI est responsable de mettre en place et de gérer un programme ministériel de sécurité des TI dans le cadre d'un programme ministériel de sécurité coordonné.

Le DPI et l’ASM collaborent pour s’assurer que des contrôles appropriés de sécurité sont appliqués à l’ensemble des dossiers du Ministère ainsi qu’aux actifs, aux activités et aux processus de la gestion de l’information et des TI. Au sein du MPO, le directeur, Génie informatique et Sécurité des TI, agit comme CSTI et est responsable de la sécurité des TI du Ministère. Le CSTI a un rapport hiérarchique fonctionnel avec l'ASM et un lien hiérarchique direct avec le DPI. La GCC a également un groupe de sécurité informatique pour le réseau opérationnel de la GCC, au sein de la Direction des services techniques intégrés (STI) de la GCC, qui a un rapport hiérarchique fonctionnelle avec le CSTI du MPO. Le CSTI du MPO est le point de contact en cas d'incident et agit comme point de contact pour les communications avec les organismes de sécurité principaux concernant l'intervention dans l'ensemble du gouvernement.

Bien que les principaux rôles et responsabilités en matière de sécurité des TI soient consignés dans divers documents de gouvernance, l’audit a révélé que ceux-ci étaient désuets ou sous forme d'ébauche. En outre, l’audit interne de 2011-2012 de la GSTI du MPO, a recommandé de préciser les rôles et les responsabilités entre la GCC et le MPO. Un protocole d'entente (PE) a été préparé à ce moment-là, mais n'a jamais été approuvé. De plus, les entrevues menées ont confirmé la nécessité d'examiner et de préciser la relation entre la Gestion de l'information et services de la technologie (GI-ST) du MPO et les STI de la GCC à la lumière de l'initiative de transformation des TI du gouvernement du Canada. Comme les rôles et les responsabilités entre la GI-ST et la GCC ne sont pas clairement établis, le CSTI du MPO pourrait ne pas être en mesure de s'acquitter de ses responsabilités en matière de surveillance et de production de rapports sur la sécurité des TI du Ministère.

Par ailleurs, à l’exception du réseau opérationnel de la GCC, le Ministère dépend maintenant de SPC pour son infrastructure de TI, y compris son réseau et ses serveurs. Les responsabilités actuelles du MPO et de SPC, à l’exception du réseau opérationnel de la GCC, sont illustrées dans le diagramme no. 1.

Diagramme no.1, intitulé Responsabilités du MPO et SPC, illustre les responsabilités de Services partagés Canada (SPC), qui incluent le périmètre de sécurité, la gestion des réseaux, la gestion du stockage et l’approvisionnement des serveurs. La gestion de sécurité du MPO pour ordinateurs de bureau et applications est responsable de la protection des ordinateurs de bureau et des applications du MPO / GCC dans le périmètre de la SPC. La source de ce diagramme est la présentation de cybersécurité 2016 de GI-ST au CG de la GI-TI.

En tant que fournisseur de services partagés et propriétaire d'une infrastructure de TI partagée qu'utilisent 43 organisations partenaires, SPC est tenu de définir ses rôles, ses responsabilités et ses obligations de rendre des comptes aux organisations partenaires. Dans son audit des Services partagés de technologie de l’information qu'il a réalisée à l'automne 2015, le Bureau du vérificateur général a indiqué que l'absence d'entente sur les niveaux de service et de suivi à cet égard constituait un point faible à régler. À l'heure actuelle, aucune entente sur les niveaux de service n'est conclue entre SPC et le MPO concernant la sécurité des TI, et peu de documents consignent les rôles et les responsabilités des deux ministères à cet égard.

Recommandation 1 : Il est recommandé que la sous-ministre adjointe, Ressources humaines et Services intégrés, en collaboration avec la GCC, évalue, définisse et consigne clairement les rôles, les responsabilités et les obligations de rendre compte en matière de sécurité des principaux postes au sein du MPO, y compris la GCC et de SPC.

Réponse de la direction : Le dirigeant principal de l'information (DPI) de Pêches et Océans Canada (MPO), en collaboration avec la GCC, l'agent de sécurité du Ministère (ASM) et conformément aux nouvelles politiques et directives du gouvernement du Canada en matière de sécurité, définira plus clairement les rôles, les responsabilités et les obligations du Ministère en ce qui concerne la sécurité des TI en :

  • mettant à niveau et à jour les documents de gouvernance qui décrivent les rôles et les responsabilités au sein du MPO, y compris la Garde côtière canadienne (GCC);
  • veillant à ce que la sécurité des TI du Ministère soit gérée conformément aux politiques et aux normes du gouvernement du Canada, quel que soit l'endroit;
  • continuant à fournir des commentaires sur les exigences et les mandats ministériels liés à la sécurité des TI dans le cadre du partenariat et de l'engagement avec Services partagés Canada (SPC).

Date d'achèvement : mars 2017

Les organismes ministériels de surveillance ne reçoivent pas régulièrement des rapports sur la sécurité des TI

Nous nous attendions à ce que des organismes ministériels de surveillance chargés de la gestion de la sécurité des TI soient mis en place et fonctionnent efficacement.

La structure de gouvernance ministérielle pour la sécurité des TI était composée de trois principaux comités : le Comité national consultatif de l’informatique (CNCI), le Conseil de gestion de la Gestion de l’information et technologie de l’information (CG de la GI/TI) et le Comité de surveillance, de la sûreté, de la sécurité et de la gestion des urgences (CSSSGU), tel qu’illustré dans le diagramme no. 2. Le CNCI a pour responsabilité de fournir aux secteurs et aux régions du MPO ainsi qu'à la GCC un forum pour la gestion stratégique de la GI/TI à l'échelle de l'organisation. Auparavant, ce comité relevait du Comité de gestion des directeurs généraux (CGDG) et du Comité de gestion du sous-ministre (CGSM), mais il relève maintenant du CG de la GI/TI. Le CG de la GI/TI est un organisme décisionnel principal qui a été créé en septembre 2015 et qui était présidé par le sous-ministre délégué (SMD); il est actuellement présidé par la commissaire de la GCC. Le CNCI et le CG de la GI/TI sont maintenant les deux principaux comités responsables de la sécurité des TI; toutefois, la documentation n'a pas été mise à jour pour refléter ce changement. Par conséquent, il est nécessaire de préciser la nouvelle structure de gouvernance ainsi que les rôles et les responsabilités de ces comités.

Diagramme no. 2

Diagramme no. 2, intitulé Structure de gouvernance ministérielle pour la sécurité des TI, illustre que la Table de haute direction assure la surveillance de deux comités chargés de la sécurité des TI: le Comité de surveillance, de la sûreté, de la sécurité et de la gestion des urgences (CSSSGU), présidé par le sous-ministre délégué (SMD) et se réunit trimestriellement ou à l’appel du président; et le Conseil de gestion de la Gestion de l’information et technologies de l’information (CG de la GI-TI) qui est présidé par le Commissaire de la GCC et se réunit toutes les 4-6 semaines ou au besoin. Le CG de la GI-TI assure la surveillance du Comité national consultatif de l’information (CNCI), qui est présidé par le Dirigeant principal de l’information (DPI) et l’agent principal de la gestion de l’information (APGI).

Le Comité de surveillance, de la sûreté, de la sécurité et de la gestion des urgences (CSSSGU) est un organisme décisionnel principal présidé par le SMD, et compte parmi ses membres le dirigeant principal de l'information (DPI). Il assure la surveillance par la haute direction de tous les aspects des programmes de sûreté, de sécurité et de gestion des urgences, y compris de la sécurité des TI, afin d'assurer la conformité aux politiques et aux orientations de programme de l'ensemble du gouvernement, ainsi qu'aux politiques et aux exigences de programme du Ministère.

D'après une analyse de la documentation relative à ces comités, l'équipe d’audit a conclu que ceux-ci se réunissaient à la fréquence voulue et qu'ils consignaient les décisions et les mesures de suivi; cependant le sujet de TI n'était pas souvent abordé lors des réunions. Compte tenu de l'importance des risques associés à la sécurité informatique, un manque de supervision par les comités de gouvernance principaux en ce qui concerne des questions de sécurité des TI pourrait exposer le Ministère à des vulnérabilités à cet égard.

Recommandation 2 : Il est recommandé que la sous-ministre adjointe, Ressources humaines et Services intégrés, mette à jour le mandat des principaux comités de gouvernance de la sécurité des TI afin de préciser leurs rapports hiérarchiques et de veiller à ce qu'ils discutent régulièrement des questions de sécurité des TI.

Réponse de la direction : Les cadres de référence du Comité national consultatif de l'informatique (CNCI) et du Conseil de gestion de la Gestion de l'information et de la technologie de l'information (CG de la GI/TI) ont été modifiés pour veiller à ce que ces comités abordent la question de la sécurité des TI. Gestion de l'information et services de la technologie (GI-ST) collaborera avec les principaux comités de gouvernance de la sécurité des technologies de l'information (TI) pour mettre à jour leurs cadres de référence et ainsi assurer un alignement plus cohérent de leurs structures avec les exigences et mandats ministériels en matière de sécurité des TI.

Date d'achèvement : mars 2017

6.2 CADRE DE SÉCURITÉ DES TI '''''''''''''''''''' '''''''''

Conformément à l'orientation en matière de GSTI, chaque ministère doit posséder une politique ministérielle sur la sécurité des TI, fondée sur la PSG et d'autres politiques, normes et documents techniques connexes. Il peut s'agir d'un document distinct ou d'énoncés de politique à l'intérieur d'une politique ministérielle sur la sécurité. Une politique ministérielle et un cadre de planification devraient permettre d'établir des politiques et des pratiques en matière de sécurité des TI en fonction de leur pertinence pour le Ministère, des risques liés à la sécurité des TI et de la conformité aux exigences externes.

Le cadre ministériel de sécurité informatique est désuet ''''''' '''''' ''''''''''''''''''''''' ''''''''''''' ''''''''''''''' ''''''' '''''''''''''''''''''' '''''''''''''''''''''''' '''''''' ''''''''' ''''''''''''''''' ''''''''''''''''''''''' ''''' ''' ''''''''''''''

Nous nous attendions à ce que des politiques, des normes, des directives et des plans ministériels sur la sécurité des TI soient élaborés, à jour, conformes au cadre de sécurité des TI du gouvernement et bien communiqués au sein du Ministère. Pour pouvoir offrir des solutions de sécurité des TI uniformes, efficaces et sûres dans l'ensemble de l'organisation, un forum doit être mis en place afin de fournir des politiques, des directives, des normes et des conseils sur les produits de sécurité et afin d'évaluer la conformité à ces normes et lignes directrices. De plus, l'orientation en matière de GSTI oblige tous les ministères et organismes fédéraux à élaborer une stratégie de gestion de la sécurité des TI qui prévoit un cadre global pour la gestion efficace des processus et des procédures de sécurité des TI.

Nous avons constaté que les politiques du MPO sont en place pour la plupart, et des éléments de preuve démontrent qu'elles sont harmonisées aux politiques et aux normes existantes du gouvernement et que les politiques et les normes du MPO sont bien communiqués aux intervenants. La plupart de ces documents ont été publiés il y a plusieurs années et peuvent nécessiter une révision considérable afin d'être mis à jour et de tenir compte des changements opérationnels et techniques qui ont été apportés depuis leur dernière publication. La GI-ST a commencé à mettre à jour les politiques et les normes du MPO sur la sécurité des TI; cependant, celles-ci n'ont pas encore été approuvées en raison de la publication prévue prochainement d'une nouvelle série de politiques du SCT et de la volonté de la direction du MPO d'harmoniser ses politiques à cette série lorsqu'elle sera publiée. ''''''''''' '''' '''''''''''''' ''''''''''''''' '''''''''''''''''''''''''''' '''' '''''''''''''' '''''''''''''' '''''''''''''''''' '''''''' '''''''''''''''''' ''''''''''''''' '''''' ''''''' '''' '''''''''''''''' ''''''''''''' ''''''''''''''''''''''''' '''' '''''''' ''''''''''''''''' ''''''''''''''''''' ''''''' '''''''''''''''''''''' '''''''''''''

Au moment de l’audit, le Plan ministériel relatif à la sûreté, la sécurité et la gestion des urgences (PM-SSGU) était en voie d'être approuvé, ''''''' '''''''''' '''''''' ''''''''''''''''' '''''''''''''''''' ''''''''''''''''''''' '''''' ''''''' '''' '''''''''''''' '''''''''''''''' ''''''' ''''''''''''''''' Le PM-SSGU inclut un plan d’action de trois ans qui met l'accent sur l'atténuation des principaux risques suivants : risque lié à la sécurité des employés, risque lié à la sécurité des renseignements et risque lié aux actifs et à la prestation des services indispensables. Le PM-SSGU comprenait des contributions d'autres secteurs de programme de l'organisation ainsi qu'une analyse de l'information sur les risques recueillie lors de l'examen approfondi de la sûreté, de la sécurité et de la gestion des urgences à l'échelle des programmes, des régions et du Ministère. ''''''''''''''''' '''''' ''''''''''''''''''''''''''''' ''''''''''''' '''' ''''''''''' '''''' '''''' '''''''''''''' ''' '''''''''''''''''' ''''''''''''''''''''''' '''''''''''''''''''' '''' '''' ''''''''''''''''' '''''''' '''''''''''''' '''''''''''''''''''''''' '''' '''''' ''''''''''''''''' ''''''''' ''''''''''''' ''''' ''''''' '''' '''''''''''''''' '''''''''''''''''' ''''''''''' ''''''''''''''''''''' '''' ''' '''''''' '''' '''''''''''''''''''''' '''' ''''''''' '''' '''''''''''''''' '''''''''''''''' ''''''''''''''''''

Recommandation no 3 : Il est recommandé que la sous-ministre adjointe de Ressources humaines et Services intégrés, en collaboration avec la GCC, veille à ce que les politiques, directives et normes de sécurité informatique du MPO soient mises à jour ''''''' ''''''''' ''''''''''''' '''''''''''''''' '''' ''''''' '''''''''''''' ''''''''''''' ''''''''' ''''''''''''''''''''''''''' ''''''''''''''''''''''' ''''' '''''' '''' '''''''''''''' ''''''''''''''''' ''''''' ''''''''''''''''

Réponse de la direction : Sécurité des TI mettra à niveau et à jour la série de politiques en informatique de gestion des incidents liés à la sécurité des TI du MPO afin de veiller à ce qu'ils cadrent mieux avec les rôles et les responsabilités de la Direction de la sécurité et de la sûreté et avec l'élaboration du Plan ministériel relatif à la sûreté, la sécurité et la gestion des urgences (PM-SSGU) pour tous les incidents du MPO.

Date d'achèvement : juin 2017

''' '''''''''''''''''''''''''' '''' '''''''''''''' ''''''''''''' ''''''' ''''''' '''''''''''''''''''''' ''''''' '''''' ''''''''' '''''''''''''''''

''''''' ''''''''''''''''''' '''' ''''''' ''' '''''''''''' ''''''''''''''''''''''' ''''' '''''' ''''''''''''''''''''''' '''' '''''''''''''''' '''''''' ''''''''' ''''' ''''' '''' '''''''''''''''' '''''''''''''' '''''''' ''''''' ''''''''''''''''''''''''' ''''' ''''''''''''''' '''' '''''' '''''''''''''''''''''''''''' '''''''''''''''' ''''''''''''''''''''''''''' ''''''''''''''''''' ''''''''''''' ''''''''''''''''''''' '''''''''''''''''''' ''''''''''''''' '''''''''''''''' ''''' '''' ''''''''''''''' '''''''' '''''''''''''''''''''''''' '''''''''''''''''''' ''''' ''''''' ''''''''''''''''''''''''''''''''''''''' ''''' '''''''''''' '''''''' ''''' '''' ''''''''''''''' ''''''''''' ''''''' '''''''' ''''''''''''''''''''' ''''''''''' ''''''' '''''' ''''''''' ''''''''''''''''''' '''' ''''''''''''''' '''' ''''''''''''''' ''''''' ''' '''''''''' ''' ''''''''''''''' '''' '''''''''''''''' ''''''' '''''' '''' '''''' '''''''''''''' '''''' '''' '''''''''''''''''' '''''''' '''''''''''''''''' ''''''''' ''''''' ''''''' ''''''''' ''''''''''''''' '''''''''''''''''''' '''' '''''''''''''''''''' ''''''''''''''''''''''''''''''' ''''''' ''''''''''''' '''' '''''''''''''''''''' ''''''' '''''''''''''''''' ''''''''''''''''''''''' ''' '''''' ''''''''''' '''''''''''' ''''''''''''''''''''' ''''''''''''''' '''''' '''''''''''''''''''''''''''' ''''''''''' '''' ''''''''''''' ''''''' ''''''''''''''''''''''''''' ''''''''''''''' ''''''' ''''''''''''''''''' ''''' '''''''''''''''''''''''' ''''''' '''' ''''''''''''

Certains risques liés à la sécurité des TI ont été cernés dans le cadre du processus de gestion des risques de l'organisation, ''''''''' ''''''' '''''''''''''''' '''''''''''''''''''' ''''''' ''''''''''''' ''''''''''' ''''''''''''''''''' '''' ''''''''''''''' ''''''''' '''' ''''''' '''''''''''''' '''' '''''''''' '''''''''''''''' ''''''''''''' ''''' '''''''' '''''''''' On a récemment présenté au Comité de surveillance de la sûreté, de la sécurité et de la gestion des urgences (CSSSGU) l'examen approfondi de la SSGU '''''''' '''''''''''''''''' ''''''''''''' '''' '''''''''''''''' ''''''''''''''' ''''' ''' '''''''''''''''' ''''''''''''''''''' '''''''''''''''''''''''' '''' '''' '''''''''''''''' '''''''' ''''''' '''''''''''''''''''' '''''''' ''''''''''''''' ''''' '''' ''''''''''''''''' ''''''''''''' '''' ''''''' ''''''''''''''''''''''''''''''' '''' '''''''''''''''''' ''''''''''''''' '''''''''''''' ''''''' ''''''' ''''''''''''''''''' '''' ''''''''''''''''' ''''''''''''''''''''''' '''''''' ''''''''''''''''''''''''''' ''''''''''' '''''' '''' '''''''''''''''' '''''''''''' '''''''''''''''''''''' '''' ''''''''''

Pour ce qui est des applications, le Ministère a adopté une méthode de gestion des risques bien élaborée. Les applications ministérielles avaient déjà été examinées dans le cadre de l'ancien processus de certification et accréditation (C et A) afin de déterminer leur niveau de risque et les contrôles qui devaient être appliqués pour l'atténuer. De plus, la Direction de la sécurité des TI s'est employée de façon proactive à mettre en œuvre le nouveau processus d'EAS prévu par l'ITSG-33. ''''' '''''''''' '''''' ''''''''''''''''''''''' '''''''' '''''''''''''''''''''' ''''''' ''''''''''''''''''''''' ''''''''''''' ''''''''' ''''''' '''''''''' ''''''''''' ''''''''''''''''''''' La Sécurité des TI du MPO procède également à des examens des progrès réalisés par les propriétaires d'applications dans l'application des contrôles nécessaires pour assurer la sécurité des systèmes.

Recommandation no 4 : Il est recommandé que la sous-ministre adjointe de Ressources humaines et Services intégrés, en collaboration avec la GCC, ''''''''''''' '''''''''''''''' ''''''' '''''''''''''''''''''' ''' ''''''''''''''''''''''''''''' '''''' ''''''''''''' '''' '''' ''''''''''''''' '''''''''

Réponse de la direction : '''''''' '''''''' '''' ''''''''''''''''''''''''' '''''''''' ''''''' ''''''''' ''''''' '''''' ''''''' '''''' ''''''''''''''' '''''''''''''''' ''''''' '''''''''' ''''''''''''' ''''''''''' ''''''' '''''''''''' '''''''''''''''''''''''''''''' '''''''' ''''''''''''''''''''''''''''''' ''''''''''''''' ''''' ''''''' '''''' '''''''''''''''''''''''' '''''''''''''' '''''' '''' '''''''''''''' '''''''' '''''''''''' '''''' '''''''''''''''''''''' Des définitions sont requises pour les responsabilités, les obligations et les rôles collaboratifs du coordonnateur de la sécurité des TI du MPO, de l'agent de sécurité du Ministère et de l'équipe de la sécurité des TI de la GCC. '''''''' '''' '''''''''''''''' ''''''' '''''''''''''''''''''''''' ''''''''''''''' '''''' ''''' ''''''''''''''''''''' ''''''' ''''''' ''''''''''''''' ''''''''''' '''''''''''''''''''''''''' '''''''''' '''' ''''''''''''''' '''''''''''''''''''''''

Date d'achèvement : juin 2017

6.3 CONTRÔLES DE SÉCURITÉ DES TI '''''''''''''''''''''' ''''''''''

Gestion des comptes

La gestion des comptes est l'une des dix mesures de sécurité les plus efficaces énumérées dans la liste du Centre de la sécurité des télécommunications Canada (CSTC) intitulée : Les dix mesures de sécurité des TI visant à protéger les réseaux Internet et l'information du gouvernement du Canada. Les contrôles d'accès sont des fonctions de sécurité qui contrôlent la façon dont les utilisateurs et les systèmes communiquent et interagissent avec les autres systèmes et ressources. La Directive de sécurité sur l'accès aux systèmes de TI du MPO exige que l'accès aux systèmes de TI du MPO soit limité aux personnes dont l'identité a été authentifiée, qui détiennent au moins une cote de fiabilité et qui ont besoin d'accéder aux systèmes.

'''''''''''''''''''' '''''''' '''''''''''''''''''' ''''''''''''''''''''''''' ''''''' '''''''''''' '''' ''''''''''''''''''''''' '''''''''''' ''''''''''''' ''''''''''''''''''''''

'''''' ''''''''''''''''' '''''' '''''''''''''''''''''' '''' ''''''''' ''''''''''''''''''''''''''' ''''''''''''''' ''''''''''''''''''''''' '''''''''''''''' ''''''''' '''''''''''' ''''''' ''''''''''''''''''''''''''''''' ''''''''''''''''' ''''''' ''''''''''''''''''''' ''''' '''' ''''''''''''' ''''''' '''''''''''''''''''' ''''''''''' ''''''''''''''' '''''''''''''' '''''''' '''''''''''''''''''' '''' ''''''''''''''''''' ''' ''''''''' ''''''''''''''' ''''' '''''''''''''''' '''''''''''''''' '''''''''''''''''' ''''''''''''' '''''''''''' ''''''''''''''' ''''''' ''''''''''''''''''''' ''''' '''''''''''''''' ''''''''''''''' '''''''' ''''''''' '''''''''''''''''''''''''''''' ''''''''''''''''' ''''''' '''''' '''''''''''' '''' ''''''''''''''' '''''''''''''''''''''''' '''''' '''''''''' '''''''' '''''''''' ''''' ''''''' '''''''''''''''''''' ''''''''''''''''' '''''' ''''''' ''''''''''''' ''''' '''' ''''''' ''''''''''''''''''' ''''''''''''''''' '''''''''''''''''''' ''''''' '''''''''''''''' ''''''' ''''''''' ''''''''''''''''''''''' '''''''' '''''''''''''''''''''''''''' '''''' '''''''''''' ''''''' ''''''' ''''''''' '''''''' ''''''''''''' '''' '''''''''''''''''''' ''''' ''''''''''''''''''' ''''''' ''''''''' ''''''''' '''''''''''''''' '''''''' '''''''''''''''''''' '''''' ''''''' ''' '''''''''' ''''''''''''''''' '''''' ''''''''' ''''''''''''''''' ''''''''''''''''' '''' ''''''''''''' '''''''''' '''''''''''''''''' ''''''''''''' ''''' '''' ''''''''''''''''' ''''''''''''''''' '''''' ''''''''''' '''''''''' '''' '''''''''''''''''' '''''''''' ''''''''''''' '''''' '''''''''' '''''''''''''''' '''''''''''''''''''

Le processus de gestion des comptes de la GI-ST décrit les mesures de protection qui doivent être en place afin de garantir la confidentialité, l'intégrité et la disponibilité des actifs de TI. La Politique sur l'I et A stipule que des mécanismes d'I et A doivent être appliqués aux réseaux de longue portée et aux réseaux locaux du MPO, particulièrement pour les applications et les systèmes essentiels à la mission. La Politique sur le contrôle d'accès pour la sécurité des TI du MPO indique que les propriétaires des données et de ressources de système doivent adhérer au principe du droit d'accès minimal, et énonce que lorsqu'une personne quitte le MPO, tous ses privilèges d'accès aux TI doivent être révoqués immédiatement. La Politique stipule également que l'accès est donné aux utilisateurs selon les tâches et les responsabilités qui leur sont confiées, et que toutes les listes des contrôles d'accès (LCA) doivent être examinées régulièrement afin de s'assurer qu'elles répondent aux exigences opérationnelles.

L'ébauche de la Norme opérationnelle du MPO en matière de sécurité des TI sur le contrôle d'accès établit les exigences de sécurité de base pour le contrôle de l'accès aux systèmes de TI du MPO. L'annexe A de l'ébauche de la Norme décrit les exigences du MPO relatives aux comptes et aux mots de passe : ''''''' ''''''''''''''''' ''''''''' ''''''''''' ''''''''''''''''''''''' ''''' '''''''''''''''' '''''''''''''''''''''''''' '''''''' '''''''''' '''''''''''''''''' ''''''''''' ''''''''' ''''''' ''''''''' '''''''''''''''' ''''''' ''''' '''''''''''''''' '''''''''' ''''' '''''''''''''''''''''''' '''''''''''' '''''''''' ''''''''''''''''''' ''''''' '''''''''''''''''''''''' ''''''''''' '''''''''' ''''' ''''''''''''''''' ''''''' ''''''''''''' ''' '''''' '''''''''''''''''''' '''''''' ''''''''''''''''' '''''''''''''''''''''' '''' '''''''''' ''''''''''''''''''' ''''''' ''''''' '''''''''' ''''''''''''''' '''''''''''''''''''' ''''''''''''''''''' '''''''''''''''' ''''''''' '''''''' '''''''''''''''''''' '''''''''' '''''''''' ''''''''''''''''''''

''''''' ''''''''''''''''' ''''''''' ''''''''''' ''''''''''''''''''''''' ''''' '''''''''''''''' '''''''''''''''''''''''''' ''''''''''' ''''''''' '''''''''''''''''''' '''''''''''''''''' ''''''''''''''''''''''''''''' '''''' et que tout utilisateur ou employé disposant de droits administratifs d'accès au réseau doit détenir et conserver une cote de sécurité valide de niveau « secret ». ''''''' ''''''''''''''''' ''''''''' ''''''''''' ''''''''''''''''''''''' ''''' '''''''''''''''' '''''''''''''''''''''''''' ''''''''''' ''''''''' '''''''''''''''''''' '''''''''''''''''' ''''''''''''''''''''''''''''' '''''' ''''''''' '''''''' '''''''''' '''''''' ''''''''' '''''''''' '''''''''''''''' '''''''''''''''''' '''''''''''''''''''''' ''''''' ''''''''' '''''' ''''' ''''' ''''''''''''''''''' '''''''''' ''''''''''' ''''' '''''''''''''''''' ''''''''''''''' '''' '''''''''''' ''''''''' ''''''''''' '''''''''''''''''' ''''''''''''' ''''''''''''''''' ''''''' '''''''''''''''''''''''''' ''''' ''''''' ''''''''''' '''''''''''''' ''''''''''''''' '''''''''''''''''''''''''''''''' '''''''' ''''''''' '''''''''''' ''''''''' '''''''''''''''' '''''''''' ''''''' '''''''''''''''''''' ''''''' ''''''''''''''''''''''' '''' ''''''''' '''''' ''''''''''''''''' ''''''' '''''''''''''''''''' '''''''''''''''''''''''' '''''''' ''''''''''''' ''''''''''' '''''''''''''''''' '''''' ''''''' '''''''''''''''''''' ''''''''''' ''''''''''''''''''''''''

'''''' '''''''''''''''' ''' ''''''''''''' '''' ''''''''''' ''''''''''''''''''' '''''''''''''''''''''''''''''' ''''''''''''''' ''''''''''''''''''''''' '''''''''''' '''''''''' '''''''' '''''''' ''''''' '''''''''''''''''''''''' '''''''''''''''' ''''' ''''''' '''' ''''''''''''''' '''''''''''''' '''''''''''' ''''' ''''''' ''''''''' ''''''''''''''''''''' ''''''''''''''''' '''''' ''''''''''''''' ''''''''''''' ''''''' ''''''''' ''''''''''' '''''''' '''''''''''''''' ''''''''' '''''''''' ''''' '''''''''''''''''''''''''' ''''''''''''''''''''''''' ''''' ''''''''''' ''''''''''''''''''''''' ''''''' ''''''''''''' '''''''' '''''''''''''''''''''''' ''''''''''''''' '''''''''' ''''''' ''''''''''''''' '''''''''' ''''''''' '''''''''''' '''''''' '''''''''''''''''' ''''''' '''''' ''''''' ''''''''''''' '''''''''''''' '''' '''''''''' ''''''''''''' '''''''''' ''''''' '''''''''''''''''''''' '''''''''''''' ''''''' '''''''''''''' ''''''' '''''''''''''''' '''' '''''''''''''''''''''''''' '''''''''''''''''' '''''''' ''''''''' ''''''' '''''''''''' '''' '''''''''' '''''''''''''''''' ''''''' ''''''''''''' '''''' '''''' '''' ''''''''''''''''''' ''''''''' '''''''' '''''' ''''''''''''''' ''''''''''''''''''' '''' '''''''''''''' '''''''' ''''''' ''''''''''''' '''''''''''''''' ''''''' ''''''' '''''''''''''''''''''''' '''''''''''''''''''''''''''' ''''''''''' '''''''' '''''''''''''''' '''''' '''''' '''''''''''' ''''' ''''''''''''''''''' ''''' ''' '''''''''''''' ''''''''' ''''''' ''''''''' ''''' '''''' '''' ''''''' '''''''''''''''''' '''''''''' '''''''' ''' ''''''''' ''''''''''''' '''''''''''''' ''''''''''''''''''' '''' '''''''''''''''''' '''''' ''''''''''' ''''''''' ''''''''''''''''''''''''' '''''''''''' ''''' ''''''' '''''''''''''' '''''''''''''''''''''''' '''' ''''''''''''''''''''' ''''' '''''' '''''''''' '''''''''''''''''''' '''''''''' ''''' '''''''' ''''''''''' ''''''''''''' '''''''' ''''' ''' ''''''''''''''''' '''''''''''''''''' '''''' '''''''' ''''''''''''''''''' ''''''' '''' '' ''''''''''''' '''''''''''''''' '''' '''''''''''''''''''' ''''''''''''' ''''''' ''''''''''''''''''''''''

'''''''''''''''''''''''''' '''''''''''''' '''''''' ''''''''''' '''' '''''''''''''''' ''''''''''''''''''''''' '''''''''''''''''' '''''''' ''''''''''''' ''''''''' ''''''''''' ''''''''''''''''''''''' '''''' ''''''''''

'''''' '''''''''''''''' ''' ''''''''''''' '''' '''''''''' ''''''''''''''''''''' ''''''''''''' ''''''''''' ''''''' ''''''''''''''''' '''' '''''''' ''' '''''''''''''''''''''' '''''''''' '''''''''' ''''''' ''''''''''''''' '''''''' ''''''' '''''''''' '''''' '''''''''''''''''''' '''''''''''''' ''''''''''''''' ''' ''''''''''' '''''''''''''' '''''''''''''''' '''' ''''''''''' ''''''' ''' ''''''''''''' ''''''''' '''' '''''' ''''''''''''''''''' ''''''''''''''''''' ''''''''''''''''''''' ''''''''''''''''''''' ''''''''''''' '''''' ''''''''' ''''''''''' ''''''''''''''''' ''''''''''''' ''''''''''''''''''' '''''' ''''''''''' ''''''' '''''''''''' ''''''''''''''''''' ''''''''''' ''''''' ''''''' ''''''''' ''''''' '''' ''''''' '''''''''''''''''' ''''''''''''''''''''''''''''' ''''''' '''' '''''' '''' '''''''''''''''''' '''' ''''''' ''''''''''' ''''''''''''''''''' ''''''''''''' ''''' ''''''' ''''''' '''''''''' ''''' '''''''''''''''''''''' '''''''''''''''' '''''''''''''''''' ''''''''''' '''' ''''''''''''''''' ''''''''''' ''' ''''' '''''''''''''''''' ''''''''' '''''' '''''' ''''' '''''''''''' ''''''''''''''''''' ''''''''''''' ''''''' '''''''''''''''' ''''''''' ''' ''''''' ''''''''''''''''''''''

'''''' '''''''''''''''' ''' ''''''''''''' '''' '''''''''' ''''''''''''''''''''' ''''''''''''' ''''''''''' ''''''' ''''''''''''''''' '''' '''''''' ''' '''''''''''''''''''''' '''''''''' '''''''''' ''''''' ''''''''''''''' '''''''' ''''''' '''''''''' '''''' '''''''''''''''''''' '''''''''''''' ''''''''''''''' ''' ''''''''''' '''''''''''''' '''''''''''''''' '''' ''''''''''' ''''''' ''' ''''''''''''' ''''''''' '''' '''''' ''''''''''''''''''' ''''''''''''''''''' ''''''''''''''''''''' ''''''''''''''''''''' ''''''''''''' '''''' ''''''''' ''''''''''' ''''''''''''''''' ''''''''''''' ''''''''''''''''''' '''''' ''''''''''' ''''''' '''''''''''' ''''''''''''''''''' ''''''''''' ''''''' ''''''' ''''''''' ''''''' '''' ''''''' '''''''''''''''''' ''''''''''''''''''''''''''''' ''''''' '''' '''''' '''' '''''''''''''''''' '''' ''''''' ''''''''''' ''''''''''''''''''' ''''''''''''' ''''' ''''''' ''''''' '''''''''' ''''' '''''''''''''''''''''' '''''''''''''''' '''''''''''''''''' ''''''''''' '''' ''''''''''''''''' ''''''''''' ''' ''''' '''''''''''''''''' ''''''''' '''''' '''''' ''''' '''''''''''' ''''''''''''''''''' ''''''''''''' ''''''' '''''''''''''''' ''''''''' ''' ''''''' ''''''''''''''''''''''

Recommandation no 5 : Il est recommandé que la sous-ministre adjointe de Ressources humaines et Services intégrés s'assure que :

  1. les registres d'accès sont vérifiés régulièrement;
  2. '''' '''''''''''''''''''''''' '''''''''''' '''''''''''' ''''''' '''''''''''''''''' ''''' '''''' ''''''''''''''''' ''''''''''''''''''''''''''''
  3. ''''''''''''''''''''' '''''''''''''' '''''''''''''' ''''''' '''''''''''''''''''''''''' ''''''' '''''''''''''''''''''''''''''' ''''''' ''''''''''''''''' '''''''''' '''''''
  4. ''''''''''''''''''''''''' ''''''' ''''''''''''''''''' ''''''''''' ''''''''' ''''''' '''''''''''''''''''''''' ''''''''''''''' '''''''''''''''''' ''''''''''

Réponse de la direction : ''''''' ''''''' ''''''' '''''''''''''''''''''' '''''''''''''''' ''''''' '''''''''''''' ''''''''''''' ''''''''''''''''' '''''''''''''''' ''''''' ''''''''''''''''''''''''' ''''''' '''''''''''''''''''' ''''' ''''''''''' ''''''''''''' Le DPI du MPO mettra à jour les politiques, directives et normes de sécurité des TI du MPO qui se rapportent à l'identification et l'authentification ainsi qu'au contrôle d'accès.

Date d'achèvement : mars 2017

Gestion des correctifs

La gestion des correctifs est un ensemble de processus exécutés au sein du Ministère permettant de gérer les correctifs incrémentiels apportés aux systèmes de production. Les fournisseurs de logiciels diffusent des correctifs afin de résoudre les failles dans leurs logiciels au fur et à mesure qu'elles sont découvertes. L'apport des correctifs aux systèmes d'exploitation et aux applications est l'une des dix mesures de sécurité les plus efficaces énumérées dans la liste du CSTC intitulée : Les dix mesures de sécurité des TI visant à protéger les réseaux Internet et l'information du gouvernement du Canada. '''' ''''''''''' '''''''''''''''''''''''''' '''''''''''' ''''''' '''''''''''''''''' '''''''''''''''' ''''''''''''''' '''''''''' '''' ''''' '''''''''''''' '''' ''' '''''''''''' '''''''''''''' ''''''''''' '''''' ''''' '''''''''''''''''' ''''''''''' ''''''''''''''''''''''''''' ''''''''''''''

''''''' '''''''''' ''''''''''''''''''''''' '''''''''''''' ''' '''''' '''''''''''''''''''' ''''' ''' ''''''''''''' ''''''''''

''''''' ''''''''''''''''' ''''''''' '''''''''''' '''''''''''''''''''''''''' '''''' '''''''''' '''''''''' '''''''''''''''''''''' ''''''' '''''''''''''''''' '''''''''''''' ''' ''''''''''''''''''''''''''' ''''''' ''''''''''''''''''''''''' ''''''' ''''''''''''''' ''''''''''''''''''''' ''' ''''''''''''''''''''' ''''''''''''''''''' '''''''' '''''''''''''''''''''' '''''''''' ''''''''''''''''''''''''''' '''''''''''''' '''''''''''''''' ''''''''''''''''''''' ''''''' '''''''''''''''' '''' '''''' '''''''''''' ''''''''''' ''''' ''' '''''''''''''' ''''''''' '''' ''''''''''''' ''''''''' '''''' '''''''''''''''''''''''' '''''''''' '''''''''''''''''''''''''' '''''''''''''' '''' '''''''''''''''''''''''''''' ''''' '''''''''''''''''' ''' ''''''''''''''' ''''''' '''''''' ''''''''''''''''''''' '''''''''''''''''' ''''''' '''''''''''''''' ''''''''''' ''''''''''''''''''''' ''' ''''''''''''''''''''' ''''''''''''''''''' '''''''' '''''''''''''''''''''' '''''''''' ''''''''''''''''''''''''''' '''''''''''''' '''''''''''''''' ''''''''''''''''''''' ''''''' '''''''''''''''' '''' '''''' '''''''''''' ''''''''''' ''''' ''' '''''''''''''' ''''''''' ''''

Le MPO a adopté un processus documenté de gestion des correctifs pour le système d'exploitation Windows et les logiciels bureautiques essentiels dont la responsabilité incombe au groupe Génie informatique du MPO. Ce groupe reçoit des avis par l'intermédiaire de l'Équipe de réponse aux incidents cybernétiques du Canada lorsqu'un correctif est disponible pour un des logiciels normalisés du MPO. Une fois l'avis reçu, Génie informatique suit un processus normalisé de consignation du correctif dans le registre des correctifs, puis de mise à l'essai et de mise en œuvre du correctif. Les membres du groupe sont en mesure de surveiller les progrès du déploiement des correctifs sur les postes de travail à l'aide de SCCM, qui fait le suivi du pourcentage d'ordinateurs ayant installé les correctifs. De plus, l'efficacité globale du processus de gestion des correctifs peut être surveillée à l'aide du registre de suivi des correctifs.

Pour ce qui est des logiciels bureautiques non essentiels, les propriétaires d'applications d'entreprise sont responsables de la mise en œuvre et de la surveillance d'un processus de gestion des correctifs pour leurs applications. '''''' ''''''''''''''' ''' '''''''''''''''''''''' ''''''''''''''' '''' ''''''''''' ''''''' '''''''' ''''''''''''''''''''''' ''''''''' '''''' '''''' '''' '''''''''''''' '''''''''''' ''''''''''''''''''''''''' ''''''' ''''''''''' '''''''''''''' '''''''''''''''''''''''''''' '''''''''''''''''''''' ''''''' ''''''''''' ''''''''''''''''''''''''' ''''''''''''' '''''' '''''''''' ''''''''''''''''''''' ''''''' ''''''' '''''''''' ''''''' ''''''' ''''''' ''''''' ''''''''''''''''''''' ''''''''''''''''' ''''''''''''''''''''' ''''' ''''''''''' '''''''''''''''''''''' '''''''''''''''''''' '''''' ''''''''''''''''''' '''''''''''''''''''''''''' ''''' ''' '''''''''''' '''''''''''''''''''''' ''''''''''''' ''''''''' '''''''''''''''''''''' '''''''''' ''''''''' '''''''''''''''''' ''''''' '''''''''' '''' '''''''''''''''''' ''''''''''' ''''''''''''''''''''''''' '''''''''''''''' ''''''' ''''''' '''''''''' ''''''''''''''''''' '''''''''''' '''''' '''''''''''''''''''' ''''''''''''' '''''' '''''''''' ''''''''''''' '''''''''' ''' '''''''''''' ''''' ''''''''' '''''''''''''' '''''' '''''''''' '''''''''''''''''''''''''''' '''''''' ''''' ''''''' '''''''''''''' '''''' ''''''''' ''''''''' '''''''''''''''''' ''''''' ''''''''''''''''''''''' '''' ''''''''''''' '''''''''' '''''''''''''''''''''''''''''''' ''''''' '''''' ''''''''' '''''''''' '''''' '''''''''''''''''''''' ''''''''''''''''' '''' '''''''''''''''' '''''' '''''''''''' ''''''''''''''''''''''''' '''' ''''''' ''''''''''' ''''''''''''''''''''''''' '''''''''''''''''

'''''''''''' ''''''''''''' '''''' ''''''' ''''''''''''''''''''''' ''''' ''' '''''''''''' '''''''''

''''''' ''''''''' ''''''''' ''''''''''''''''' '''''''''''''''' '''' ''''''' '''''''''''''' ''''''''' ''''''''''''''''''''''''''' ''''''''''' ''''''' '''''''''''''''''' ''''''''''''''''''' ''''''' ''''' ''''''' '''''''''''''''''''''''''' ''''''''''''' ''' ''''''''''''' ''''''''''''''''' '''''''''''''''''''''' ''''' '''''''''''''''' '''''''''''''''''''''''' ''''' ''''''''''''''''''' ''''''' ''''''''' ''''''''''''''''' ''''''''' '''''''''''''''''''''' '''''''''''' ''''''''''''''''' ''''''''' ''' '''''''''''''' '''''''''''''''''''''' '''''''''''''' '''' ''''' '''''''''''' '''''''''' ''''''' '''''''''' '''''''''''''' '''''''' ''''''' '''''''''''''''''' '''''' ''''''''''''''' '''' '''''''''' ''''''''' '''''''''' '''''''''''''' '''' '''''''''''''' '''' ''''''''''''' '''''''''''''''''''' ''''''''''' '''''''' '''''''''''''''' ''''' '''''''''''''''' '''''' ''''' ''''''''''' '''''''''''''' '''''''' ''''''''''' ''''''' ''''''''' ''''''''' '''' '''''' '''''''''''''' '''''''''' ''''''''''''''''' '''' ''''' ''''''' '''''''' '''''''' '''' '''''''''''''''' ''''''''' ''''''''''''''''' '''' '''''''''''''' '''''''''''' ''''''' ''''''''''''''''''''''' '''''''''''''''''''''' ''''''' ''''''''''''''''' ''' '''''''''''''' '''' '''''''''' ''''''''''''''' ''''''''''''' '''''''' '''''''''''''''' '''''' ''''''''''' '''''''''''''' ''''''' ''''''' '''''''''''' ''''''' '''''''''' ''''' '''''''''''' ''''''''''''''' '''''''''' ''''''''''''''''''''''''' ''''''''' ''''''' ''''''' '''' ''''''' '''''''''''' '''''''''''''''' ''''''''''''''' '''''''' '''''''''''''''''''''''' ''''''''''''' '''''' '''''''''''''''''''''' '''''''''''' ''''''''' ''''''' '''''''' '''''''' '''' ''''''' '''''''''' '''''''''''''''' ''''''''''''' ''''''''''''''''''' '''''''' ''' '''''''' '''''''''''''''''''''''' ''''''''''''''

''''''' '''''''''' '''''''' ''''''''''' ''''''' ''''''''''''''' '''''''''''''''''''' ''''''''' '''' ''''''''''' ''''''''''''''' ''''''''''''' ''''''' ''''''''''''''''''''''''' '''' ''''''''' ''''''''''''''' ''''''''' ''' ''''''''''''''''''''''' '''''' '''''''' '''''''' ''''''''''' '''''''''''''''''''''''''' ''''''''''''''' ''''''' '''''''' ''''''''''' ''''''''' ''''''' '''''''''''''''''''' '''' '''''' ''''''''''''' '''''''' '''' '''''''''''''' ''''''' '''''''''''' ''''''' ''''''''''''''''''' '''''' ''''''''''''''' ''''''''''''''' '''' ''' ''''''''''' '''''''''''' '''' ''' ''''''' ''''''' ''' ''''''''''' '''''''''' ''''' ''''''''''''''''''''''''''' '''''''''''''' ''''''' '''''''''' '''''''''''' ''''''''''''''' '''''''''''''''''''''' ''' ''''''' ''''''''''''''''''''''''''' ''' ''''''''''''''''''''''' ''''''''' '''' ''''''''''''''''''''''''''' ''' '''''''' '''''''''''''''''' '''' ''''''''''''''' '''''''''''' ''' ''''''''''' ''''' '''''''''''''''''''''' ''''''''''''''''''''' ''''''' '''''' '''''''''''''' ''' '''''''' '''' '''''''''''''' ''''''''''''''''''''''''' '''''''''''''''''''''''' ''''''''''''''' ''''''''''''''''''' ''''''''' '''''''''''''''' ''''''' '''''''' '''''''''''''''''' ''''''''' '''''''''''''''''''' ''''''''''''''''''' ''''' '''''''''''''''' ''''''' '''''''''''''''' '''''''''''' ''''''''''''''''''''''' ''''''''''''''' '''''' '''' '''''''''''''''''''''' ''''''' '''''''''''''''''''''''' '''' '''''''' ''''''''''''''''''''''''' '''''''''''''''''' '''' ''''''''''''''''''' '''''''''' '''''''''''''''''''''' ''''' '''''''''''''''''''''''''''' '''''''''''''''''''' '''''''''''''''' ''''''' ''''''''''' '''''''''' '''''''''''' '''''''''''''

''''''''''' ''''''' ''''''''''''''' ''''''''''''' '''''' ''''''''''''''''''''' '''''' '''''''''' ''''''''''''''''''''''''''' ''''''' ''''''' '''''''''''''''' ''''''''''' ''''''''''''''''''''''''''' ''''''''' '''''' ''''''''''' '''''''''' '''''''''''''''' ''''''''''''''''''' '''''''''''''''''''''' '''' ''''''''''' ''''''''''''''''''''''''' '''''''''''''''''' '''''''''' ''' '' ''''''' '''' '''''''''''''''''''''' '''''''''''' ''''''''''''''''''''''''''''''''' ''''''''''''''''''''' ''''''''''''''''' ''''''' ''''''''''''' '''' '''''''''''''' '''''''''''''''' ''''''''''' ''''''''''' '''' '''''''''''''''''' ''''''''''''''''''' '''' '''''''''''''''' '''''''''''''''''''''''''''' '''' ''''''''''''''''' ''' ''''''' '''' '''''''''''''''''''''''''' ''''' '''''''''''' ''''''''''''''''''''''''' '''''''''''''''''''' ''''''''''''' '''''''''''''''''''''' '''' ''''''' ''''''' '''' ''''''''''''''' '''''''''''''''' ''''''''''''' '''''''''''''' '''''' ''''''''''' '''''''''''''''''''''''' '''''''''''''''''' '''' ''''''''''''' ''''''''''''''''''' '''''''''''' ''''''''''''''''''''''''''''

Recommandation no 6 : Il est recommandé que la sous-ministre adjointe de Ressources humaines et Services intégrés s'assure que :

'''''' ''''''''''''''''''''''' ''''''' '''''''''' '''''''''''''''''''''''' '''''''''''''''' '''' ''''''''''''''' ''''''' '''''''''''''''''''''''''' ''''''''''''''''''''''''''''''' ''''''''''''''''''''''''''''''''' ''''' '''''''''''''''''''' '''''''''' '''''''''''''''''''''''''' '''''''''' ''''''''''' '''''' ''' ''''''''''''' ''''''''''

Réponse de la direction : ''''''' '''' ''''''''''''''' ''''''''''''''''''''''''' '''' '''''''''''''''''''''''' ''''''''' ''''''''''' ''''''''''' ''''''' ''''''''''''' '''''''''''''''' ''''''''''''' '''''''''' '''''''''''' ''''''' ''''''''''''' ''''''' ''''''''''''''''''''''''' ''''''' '''''''''''' '''''''''''''''''''''''' ''''''''''''''''

''''''' ''''''' ''''''' ''''''''''''''''''''' '''''''' ''''''''''''''' '''''''''''''''' ''''''' ''''''''''''''''''''''''' ''''''' '''''''''' '''''''''''''''''''''''''' '''''''''''''' '''''''''''''''''''''''' ''''''''''''' ''''''' '''''''''''''''''''''''

Date d'achèvement : juin 2017

Processus de sauvegarde et de récupération de base de données

Le terme sauvegarde désigne le fait de copier des dossiers physiques ou virtuels ou des bases de données vers un site secondaire aux fins de préservation en cas de défaillance de l'équipement ou de toute autre catastrophe. Le processus de sauvegarde des données est essentiel à la réussite d'un plan de reprise après sinistre.

'''''' ''''''''''''''''' '''''' '''''''''''''''''''''''' ''''' '''''''''' ''''''''''''''''''''''''

''''''' ''''''''''''''''' '''''' '''''''''''''''''''''''' ''''' '''''''''' '''''''''''''''''''''''' ''''''''''''''''' '''''' '''''''''''''' '''''''' ''''''''''''''''''' ''''''''' '''''''''' '''''''''' '''''''' ''''''''''''''''''''''''''' '''''''''''''''' ''''''''' ''''''' '''''''' '''''''' ''''' '''''''''''''''''' '''''''' ''''''''''''''' ''''''''''''' ''' '''''''''' '''''''''''' '''''''''''''''' '''''' '''''''''''' '''''''' ''''''''''' '''''''''''''''''''' '''''' ''''''''''''''' ''''''' '''''''''''''''''' ''''''' ''''''' ''''''''''''''''''''''''' '''' '''''''''''''''''''''''''' ''''''' '''''''''''''''''''''''' '''''''''''''''''' '''''''''''' ''''''' ''''''' ''''''''''' ''''''''''' ''''''''''' '''''' ''''''''''''''''' '''' ''''''' ''''''' ''''''' ''''''' '''''''' '''''''''''''''''' ''''''' '''''''''''''' '''''''''''''''''''''''''' '''''''''' ''''''''''''''''''''' ''''' ''''''''' '''''''''''''''''''''''''' ''''''''''''''''''' '''''' ''''''''''''''' ''''''' '''''''''''''''''' '''''''''''' '''''' ''''''''''''''

''''''' ''''''''' ''''''' ''''''''''' ''''''''' '''''''''''''' '''''''''''''' ''''''' '''''''''''''''' ''''''''' ''''''' '''''''''''''''''''''''''''' '''''' '''''' '''''''' '''''''''''''''''''''''''' ''''''''' '''' ''''''''' ''''''''''' ''''''' '''''''' ''''''''''''''' '''''''' ''''''' '''''''''''''''''''' ''''' ''''' '''''''' '''''''''''''''''''''''''''' ''''''''''''''' '''''''''''''''' ''''''' '''''''''''''' ''''' '''''''' '''''''''' '''''''''''''''' ''''''''''''''''' ''''' '''''''''''''''' ''''''''''''''''' ''''''' ''''''''''''' ''''''''' '''''' '''''''''''''''''''''' '''' '''''''''' '''''''''''''''' '''''''' '''''''' '''''''''''''' ''''''' '''''''''''''''' '''''''''''''''''''''''''''' '''''''''' ''''''''''''''''''''''' '''' ''''''''' '''''''''' ''''''' ''''''''''''''''''' '''' ''''''' '''''''' '''''''''''''''''''''''' ''''''''''''''''' ''''''' '''''''''''' '''''''''''''''''''' '''''''''''''''' '''''''''''''' '''''''' '''''''''''''''''' '''''''''''' ''''''''''''''''''''''''''' '''''''' '''''''''''''''''''''''''''' '''''' '''''''''''''''''''''' '''''''' ''''''''''''''' '''' ''' ''''''''''''' '''''''''''''''''' ''''' '''''''''''''' ''''''' ''''''''''''''''''''''' '''''''''''''''' ''''' ''''''''' '''''''''''''''' '''' '''''''' ''''''''''''''''''''''''' '''''''''' '''''''''''''''''''' ''''''' ''''''''''''' ''''''''''''' '''' ''''''''' ''''''''''''''''' ''''''' ''''''' '''''''''''''''' '''''' '''''' '''''''''''''''''''''''''' ''''''''''''''''''' '''''''''' '''''''''' '''''' ''''''''''''''' '''' ''''''''

SPC a récemment publié le document intitulé : Cadre de contrôle général des TI pour les services d'infrastructure de TI – Contrôles internes, qui identifie SPC comme étant responsable de mener les activités de sauvegarde et de récupération pour les ministères partenaires et d'assurer que l'environnement de ceux-ci est sauvegardé conformément à leurs objectifs de récupération. Les responsabilités du MPO comprennent communiquer ses exigences en matière de sauvegarde et de récupération à SPC; inclure une liste mise à jour des applications et des services opérationnels essentiels; tenir à jour une liste des sites désignés, y compris des emplacements; communiquer toute demande de renseignements au Centre de services de SPC en temps opportun et la mise à l'essai des sauvegardes afin d'assurer la capacité de récupération des données.

Recommandation no 7: Il est recommandé que la sous-ministre adjointe de Ressources humaines et Services intégrés s'assure que des normes sur la sauvegarde et la récupération soient documentées, et que les rôles et les responsabilités entre le MPO et SPC soient clairement définis.

Réponse de la direction : Le DPI du MPO obtiendra et coordonnera la mise en œuvre des normes de sauvegarde et de récupération auprès de SPC et collaborera avec SPC pour veiller à ce que les rôles et responsabilités soient clairement définis au sein de ces normes.

Date d'achèvement : mars 2017

6.4 SURVEILLANCE ET PRODUCTION DE RAPPORTS ''''''''''''''''''' ''''''''

Afin d'assurer la surveillance efficace du programme de sécurité des TI, les rapports produits doivent être exacts et uniformes de manière à pouvoir mesurer les efforts, les ressources et les réussites de la direction quant à l'atteinte des objectifs prévus. Tel que noté dans la Directive du SCT sur la gestion des TI qui soutient la Politique sur la gestion des technologies de l’information, le DPI est responsable de surveiller la conformité à la présente Directive et de conseiller l'administrateur général sur la façon de rendre compte des résultats dans les Rapports ministériels sur le rendement (RMR) annuels et le Cadre de responsabilisation de gestion (CRG).

''''''' '''''''''''''''' '''' '''''''' ''' ''''''''''''''''''''''''' '''''''''''''''''''''''''' ''''''''''''''' '''' '''''''''' ''''''''''''''''''''' ''''''' ''''''''''''''''''' ''''''''''''' '''''''' ''''''''''''''''''''''''' ''''''''''''''''''' '''''''''' '''' ''' '''''''''''''''' ''''' ''' ''''''''''''''''''''''''''''' '''''''''' ''''''' '''''''''''''''''''''' '''''''''''''' ''''''''''' '''' '''''' ''''''''''''''''''''''' '''' '''' ''''''''''''''''' '''''' ''''''''''''''''''' '''' ''''''' ''''''''' ''' '''''''''''''''' ''''' '''''''''''''' '''''' '''''''''''''''''''''''''''' '''''''''''''''''' '''''''' ''''''''''''''''''' '''''''''''''''''''''' '''''''' '''''' '''''''''' '''''''''''''''''''''''''''''' '''' '''''''''''' ''''''''''''''''''''''' ''''' ''''''''''''''''''''''' '''''''''''''''''' '''''''' '''' ''''''''''''

''' '''''''''''' ''''''''''''''''''''''''''' ''''''''''''''''''''''''' ''''''''''''''''''''''''''' '''''''''''''' '''''' '''' ''''''''''''' '''''''' ''''''' ''''''''

'''''''''''' ''' ''''''''''''' '''''''''''''''''''''' '''''''''''''''''''''''' ''''''''''''''''' '''''''''' '''''' '''''''''' '''''' '''' '''''''''''''''''' des rapports sont produits sur certains paramètres et des rapports de situation sur le rendement en matière de sécurité des TI ont été présentés à la haute direction. La Sécurité des TI du MPO a également soumis des évaluations du CRG du Secrétariat du Conseil du Trésor (SCT) au sujet d'éléments de sécurité de la Gestion de la sécurité des technologies de l’information (GSTI) et de la conformité du Ministère avec les avis de mise en œuvre de la Politique sur la sécurité du CSTC, y compris la gestion des correctifs, la gestion des comptes et les dix mesures de sécurité du CSTC. En janvier 2016, le dirigeant principal de l'information (DPI) a présenté au Comité de gestion du sous-ministre (CGSM) de plus amples renseignements sur la sécurité des TI, y compris les progrès réalisés par rapport à neuf objectifs en matière de contrôle de la sécurité des TI cernés dans la Directive sur la gestion de la sécurité ministérielle du SCT.

Recommandation no 8 : Il est recommandé que la sous-ministre adjointe de Ressources humaines et Services intégrés ''''''''''''' ''''''' '''' '''''''''''''''' '''''''''''''''''''''''' '''''''''''''''''''''''''''' ''''''''''''''''''''' '''' ''''''' '''''''' '''''''''''''''''''''''''''''''''''' ''''''''''''''''''''''''''' ''''''''''''''''''' ''''''' '''''''''''''''' '''''''''''''' ''''''''''''''''''' ''''''' ''''''''''''''''''' '''' ''''''''''''''''''''''''''' '''' '''''''''''''''' ''''''''''''''''''''''''

Réponse de la direction : La GI-ST ''''''''''''''' '''''' '''' '''''''''''''''' '''''''''''''''''''''''' '''''''''''''''''''''''''' ''''''''''''''''' ''''''''''''''' ''''''' '''''''''''''''''''''''''' ''''''''''''''''''' '''''''''''' ''''''' augmentera la surveillance régulière et la production de rapports.

Date d'achèvement : mars 2017

'''''''''''''' '''''''''''''''''''''' ''''' ''''''''''''''''' '''''''''''''''''''''''''''''' ''''''' '''''''''''''' '''' '''''''''''''''' ''''''' '''''''''''''''' ''''''''''''''''''''' ''' '''''' '''''''''''' '''''''''''

''''''' ''''''' '''''''''' ''''''''' ''''''''''''' ''''''''''''''''''''''' '''' '''''''''''''''''' '''''''''''''''''''''''''' ''''''' ''''''''''''''' ''''' '''''''''''''''''' '''''''' ''''''''''''''''' ''''''''''''''''''''' ''' ''''''' ''''''''''''' ''''''''''' ''''''' '''' '''''''''''' ''' ''''''''''''''''' '''''''''''''''''' '''''' ''''''''''''''''' ''''''''''''''''''''''''' '''''''''''''' ''''''''''''''''''''''''''''' ''''''' '''''''''''''''' ''''''' '''''''''' ''''''''''''''''''''' ''''''' '''''''''''''''''''''''' ''''''''''''''''' ''''''''' '''''' '''''''''''''''''''''''''''' '''''''''''''''''' '''''''''''''''''' ''''''''''''''''''''''''''' '''''''''''''' ''''''''''''''''''' '''''''''''''''''''' ''''''''''''''''''''''''' '''''''''''''''''''''''''' '''''''''''''''' '''' '''''''''' '''''''''' '''' ''' ''''''' '''''''' ''''''''' ''''''''''' '''''' ''''''''''''' '''''''''''' ''''' ''''''''''''''''''' ''''''' ''''''''''''''''' ''''''''''''''''''''''''' '''''''''''' ''''' '' ''''''''' '''' ''''''''''''''' ''''''''''''''''''' '''''''''''''''''''''''''' ''''''''' ''' ''''''' ''''''''''''''''''''''' ''''''' ''''''''''' ''''''' ''''''''''''''' ''''''''''''' ''''''''''''''''' '''''''''''''''''''''' ''''''''''''''''''' '''' ''' ''''''''''''' ''''''''' '''''''''' '''''''''''''''''''''''''''' ''''''''''' '''''''''''''' ''''''''''' '''''''' ''' '''''''''''''''''''''''''''''' '''' '''''''''''''''' ''''''''''''' ''''''' '''''''' ''''''''''''''''''''' '''''''''' '''''' '''''' ''''''''' '''''''''''''''''''' '''''''''''''''' '''''' '''''''''''''''''''''' '''' ''''''''''''' ''''''' '''' ''''''''''''' '''' '''''''''''''''''''''' ''''''' '''' '''''''''''' '''''''''''''''''''''''''''

Toutefois, des progrès sont réalisés en ce qui concerne la protection des communications électroniques et le stockage des renseignements protégés et classifiés du Ministère, comme la nouvelle Norme sur la sécurité de l'information qui est harmonisée aux politiques du SCT sur le stockage et la sécurité des données. De plus, afin de réduire les risques liés aux dispositifs de stockage portatifs, le Ministère a désactivé la fonction d'écriture de renseignements sur CD/DVD et disquettes,''''''''''''' ''''''' '''''''''''''' ''''''' ''''''''''''''''''''''' '''' ''''''''''''''''''' ''''''' '''''''''''''''' '''''''''''''''''''''''' ''''

Recommandation no 9 : ll est recommandé que la sous-ministre adjointe de Ressources humaines et Services intégrés ''''''''''''' ''''''' '''''''''''''' ''''''' ''''''''''''''''''''''' '''' ''''''''''''''''''' ''''''' '''''''''''''''' '''''''''''''''''''''''' '''' ''''''''''''''''''''' ''''''' ''''''''' ''''''' ''''''''''''''''''' '''''''''''''''''' ''''''''''''' ''''''''''''''''' ''''''' ''''''''''''''''''''''''''

Réponse de la direction : Le DPI du MPO et l'ASM travailleront à accroître la sensibilisation à l'égard de la classification et de la désignation de l'information et à l'égard du stockage et de la transmission des renseignements protégés et classifiés. Dans le cadre des efforts de sensibilisation en matière de sécurité, les employés seront informés de l'existence du système de gestion des documents et des dossiers, afin d'accroître l'utilisation de ce système approuvé par le Ministère pour sauvegarder l'information protégée et classifiée.

La GI-ST mettra en œuvre le système de gestion des documents GCDocs afin de répondre aux exigences de stockage pour les informations protégées B.

Date d'achèvement : avril 2017

6.5 FORMATION EN MATIÈRE DE SÉCURITÉ DES TI '''''''''''''''''''''' ''''''''

La Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI) exige que les ministères offre en permanence une formation sur la sécurité des TI à toutes les personnes assumant des responsabilités importantes en la matière. Le Plan stratégique sur la technologie de l’information du gouvernement du Canada 2016-2020 a révélé que la prestation de services TI exige une main-d’œuvre de la TI compétente, souple, branchée et hautement productive qui possède des connaissances commerciales et technologiques. Les professionnels de la TI doivent pouvoir suivre le rythme de l’évolution de la technologie. Afin de faciliter la mise en place d’une main-d’œuvre de la TI stratégique et hautement productive, des investissements devront être faits de façon continue dans la gestion de la carrière et du talent.

''' ''''''''''''''' '''''''''''''''''' ''''''' '''''''''''''''''''' '''''''''''''''''' '''''' '''''' ''''''''''''''' '''''''''''''' ''''''''''''''

'''''' '''''''''''''''' ''''''''' '''''''''''''' '''' '''''''''''''''''' '''' '''' ''''''''''''''' ''''''''''''''''''' ''''''' ''''''''''''''''''' '''''''''''''''''''''''' '''''''' ''''''''' '''''''''''''''''''''' '''' '''''''''''''''''''

Les priorités de la GI-ST pour 2016-2017 comprenaient une stratégie à long terme visant à harmoniser les compétences et la capacité des employés en vue de répondre à la demande de nouvelles activités des programmes, y compris celles requises pour satisfaire aux exigences en matière de sécurité des TI. Afin de simplifier les efforts de recrutement, de dotation, de perfectionnement professionnel et d'apprentissage, le DPI a créé un exercice d'évaluation continue des capacités en ressources tirant parti des descriptions de travail génériques, des aptitudes liées au travail et des énoncés de travail qui ont été créés par la Direction générale du dirigeant principal des ressources humaines (DGDPI) et le Bureau du dirigeant principal des ressources humaines (BDPRH) au Secrétariat du Conseil du Trésor (SCT). Une autre réorganisation est en cours au sein de la GI-ST en vue d'améliorer et de rationaliser la prestation des services.

Par ailleurs, la GCC a réalisé une étude sur la prestation de services de TI qui comprenait une évaluation environnementale, des évaluations des compétences, des connaissances et des capacités requises pour le poste, et une analyse des lacunes. L'organisation est en train de créer un groupe chargé de la prestation des services de TI qui comprendra un volet renforcé sur la sécurité des TI ainsi qu'un CSTI spécialisé pour le réseau opérationnel de la GCC. La GCC utilise également les descriptions de travail génériques, les aptitudes liées au travail et les énoncés de travail de la DGDPI, y compris ceux ayant des volets touchant à la sécurité des TI.

Bien que le MPO et la GCC aient effectué des évaluations de la main-d'œuvre, nous avons constaté que les exigences en matière de formation pour les professionnels et les spécialistes de la sécurité des TI et les développeurs d'applications du MPO doivent être mises à jour afin de tenir compte que le MPO a adopté le Conseil en matière de sécurité des technologies de l'information – La gestion des risques liés à la sécurité des TI (ITSG-33). Ces exigences renouvelées en matière de formation doivent être communiquées et faire l'objet d'un suivi afin d'atténuer les vulnérabilités et les risques liés à la sécurité des TI. '''''''''''''''''''''''''''' '''''' '''''''''''''' ''''' ''''''''''''''' '''''' '''''''' '''' '''''''''''''' ''''''''''''''''''' '''''''''''''''' '''''''''' ''''''''''' ''''''''''''''''''' '''' ''''''''''''' ''' ''''''''''''''''' '''''''''''''''' '''' ''''''''''''' ''''''''''''''' ''''''' ''''''''''''''' '''' '''''''''''''''''''' '''''' ''''''''''''''' '''' '''''' ''''''''''''''' '''' ''' '''''''''''' ''''''' ''''''' '''' '''''''''''''''''''''''''''' ''''''''''''''''' '''''''' ''''''''''''''''''' ''''''''''''''''''' '''''''''' '''''''''' ''''''''' '''' '''''''' '''''' ''''''''''''''''''''' '''''''''''''''' '''' ''''''''''''''''' ''''''''' '''''''''''''''''''''''''

Recommandation 10 : Il est recommandé que la sous-ministre adjointe, Ressources humaines et Services intégrés, détermine les exigences en matière de formation pour les spécialistes de la sécurité des TI et les développeurs d'applications en fonction de l'orientation actuelle en matière de sécurité des TI, et qu'elle surveille les progrès à cet égard.

Réponse de la direction : Le DPI du MPO, en collaboration avec l'ASM et les équipes de la GCC, apportera les changements suivants aux activités de planification des ressources humaines au sein du MPO, y compris la GCC, les spécialistes de la sécurité des TI et les développeurs d'applications :

  • Élargir davantage le programme de la sécurité des TI afin de déterminer les connaissances, les aptitudes et les compétences nécessaires;
  • Travailler en collaboration avec les équipes pour déterminer les exigences de formation en matière de sécurité des TI qui permettrait de combler les lacunes existantes;
  • Recommander qu'un processus de suivi soit mis sur pied pour jumeler les connaissances, les aptitudes et les compétences requises avec la formation acquise.

Date d'achèvement : septembre 2017

7.0 OPINION DU VÉRIFICATEUR

L’audit a conclu qu'il y a des possibilités d'amélioration pour veiller à ce que le MPO, y compris la GCC, ait un cadre de contrôle adéquat et efficace pour appuyer la sécurité des TI. Bien que les structures de gouvernance existent, les rôles et les responsabilités de la sécurité des TI devraient être mieux définis pour veiller à ce que le programme de sécurité des technologies de l'information soit géré de façon adéquate et efficace. Tandis que les directives en matière de sécurité des TI sont dépassées, les mises à jour sont en cours et peuvent être davantage renforcées en assurant une mise en œuvre efficace. Il est possible d'améliorer le programme de sécurité des TI du MPO ''''' ''''''''''''''''''''''''' ''''''' '''''''''''''''' '''''''''''''''''''''''' ''''''' ''''''''''' '''''''''''''''''''''''' ''''''''''''''''''' '''''''' '''' '''''''''''''''' ''''''''' '''''''''''' ''''''' ''''''''' '''''' '''''''''''''''''' '''''''''''''''' '''''''' ''''''''''''''''''''''

8.0 ÉNONCÉ DE CONFORMITÉ

D’après mon jugement professionnel à titre de dirigeante principal de la vérification, les procédures d’audit suivies et les données probantes recueillies suffisent à confirmer l’exactitude des conclusions énoncées dans le présent rapport. L’étendue de l’examen a été planifiée de manière à fournir un niveau d’assurance raisonnable à l’égard des critères d’audit. Cette opinion repose sur une comparaison des conditions telles qu’elles existaient au moment de l’audit et des critères d’audit préétablis convenus avec la direction. Cette opinion s’applique uniquement à l’entité vérifiée et à la portée décrite dans les présentes. Les données probantes ont été réunies conformément à la Politique et à la Directive du Conseil du Trésor sur la vérification interne. L’audit est conforme aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les procédures utilisées respectent les normes professionnelles de l’Institut des vérificateurs internes. Les données probantes recueillies ont été suffisantes pour convaincre la haute direction du bien-fondé de l’opinion découlant de la vérification interne.

ANNEXE A: ÉLÉMENTS D'ENQÊETE ET CRITÉRES D'AUDIT

Les critères d’audit sont présentés dans le tableau ci-dessous, par élément d'enquête.

Critères d’audit
Critères d’audit
ÉLÉMENT D'ENQUÊTE 1 : Une gouvernance est en place pour la gestion de la sécurité des TI
Critère 1.1 : Des organismes ministériels de surveillance chargés de la gestion de la sécurité des TI ont été mis en place et fonctionnent efficacement.
Critère 1.2 : Les rôles, les responsabilités et les obligations de rendre compte sont clairement définis, consignés et communiqués.
ÉLÉMENT D'ENQUÊTE 2: Un plan des ressources humaines pour la sécurité des TI est en place et des séances de formation et de sensibilisation en matière de sécurité des TI sont offertes et font l'objet d'un suivi.
Critère 2.1 : Un plan des ressources humaines harmonisé aux priorités et aux plans du gouvernement et du Ministère est établi et assure une capacité professionnelle adéquate en matière de sécurité des TI.
Critère 2.2 : Des séances de formation et de sensibilisation en matière de sécurité des TI sont offertes et la participation fait l'objet d'une surveillance.
ÉLÉMENT D'ENQUÊTE 3 : Un cadre de sécurité des TI est bien établi
Critère 3.1 : Des politiques, des directives, des lignes directrices et des normes ministérielles sur la sécurité des TI ont été élaborées, sont conformes au cadre de sécurité des TI du gouvernement, sont à jour et sont bien communiquées au sein du Ministère.
Critère 3.2 : Un plan de sécurité des TI harmonisé aux priorités du gouvernement et du Ministère est établi, est à jour et est bien communiqué au sein du Ministère.
Critère 3.3 : Une approche ministérielle servant à l'évaluation et à la gestion des risques liés à la sécurité des TI a été élaborée et mise en œuvre.
Critère 3.4 : Des rapports sur le rendement du programme de sécurité des TI et la conformité avec les politiques, les directives, les lignes directrices et les normes du SCT et du MPO sont produits afin d'éclairer la prise de décisions.
ÉLÉMENT D'ENQUÊTE 4 : Les contrôles recommandés par le SCT et les organismes responsables choisis sont en place à l'échelle du Ministère afin d'atténuer les risques liés à la sécurité des TI
Critère 4.1 : ''''''''''' ''''''''''''''''''''''' '''''' ''''''''' '''''''''' ''''''''''''''''''''' ''''''' ''''''''''''''''''' ''''''''''''''' '''' ''''''''''''''''''''''''''
Critère 4.2 : ''''''''''''''''' '''''''''''''' ''''''''''''''''''''''''' '''''''''''''''' '''''''' '''''''''''''' '''''' '''''''''''''''''''''''''''''' ''''''''''''''''' ''''''' '''''''''''''''''' '''' '''' '''''''''''' '''''' '''''''''''''''''''''''''''
Critère 4.3 : '''''''''''''''''''''' '''' ''''''''''''''''''' '''''''''''''''''''''''''''''' ''''''' ''''''''''''''' '''' '''''''''''''''''' ''''''' ''''''''''''''''' ''''''''''''''''''''''' '''' ''''''''''''' ''''''''''' ''''''''''''' ''''''''''''''''''''''''' ''''''''''' ''''''' ''''''''''''''''''
Critère 4.4 : Le Ministère dispose de normes documentées pour la sauvegarde et la récupération, les responsabilités et les rôles sont clairement définis entre le MPO et Services partagés Canada (SPC), et des essais de récupération sont effectués.

ANNEXE B: LISTE DES ACRONYMES

ANS :
Accords sur les niveaux de service
AQ :
Assurance de la qualité
ASM :
Agent de sécurité du Ministère
BDPRH :
Bureau du dirigeant principal des ressources humaines
C et A :
Certification et accréditation
CG de la GI-TI :
Conseil de gestion de la Gestion de l'information et technologie de l'information
CGDG :
Comité de gestion des directeurs généraux
CGSM :
Comité de gestion de la sous-ministre
CNCI :
Comité national consultatif de l’informatique
CRG :
Cadre de responsabilisation de gestion
CSSSGU :
Comité de surveillance, de la sûreté, de la sécurité et de la gestion des urgences
CSTC :
Centre de la sécurité des télécommunications Canada
CSTI :
Coordonnateur de la sécurité des technologies de l'information
CT :
Conseil du Trésor
DDPI :
Direction du dirigeant principal de l'information
DPI :
Dirigeant principal de l'information
EAS :
Évaluations et autorisations de sécurité
EMR :
Évaluation des menaces et des risques
GC :
Gouvernement du Canada
GCC :
Garde côtière canadienne
GCDocs :
Titres de programme pour la gestion des documents (Gouvernement canadien)
GI :
Gestion de l'information
GI-ST :
Gestion de l’information et services de la technologie
GI-TI :
Gestion de l’information et technologie de l’information
GSTI :
Gestion de la sécurité des technologies de l’information
GT-SSGU :
Groupe de travail ministériel sur la sûreté, la sécurité et la gestion des urgences
I et A :
Identification et authentification
ITSG-33 :
Conseil en matière de sécurité des technologies de l'information – La gestion des risques liés à la sécurité des TI
LCA :
Liste des contrôles d'accès
MGCE :
Milieu de gestion de connaissances électroniques
MPO :
Pêches et Océans Canada
PCA :
Plan de continuité des activités
PE :
Protocole d’entente
PM-SSGU :
Plan ministériel relatif à la sûreté, la sécurité et la gestion des urgences
PRO :
Profil de risque de l'organisation
PSG :
Politique sur la sécurité du gouvernement
RH :
Ressources humaines
RHSI :
Ressources humaines et Services intégrés
SCCM :
System Center Configuration Manager
SCT :
Secrétariat du Conseil du Trésor du Canada
SPC :
Services partagés Canada
SSGU :
Sûreté, sécurité et gestion des urgences
STI :
Services techniques intégrés
TI :
Technologie de l’information
WSUS :
Windows Software Update Services