Examen spécial du contrat entre la GRC et Sinclair Technologies

Contexte

Sinclair Technologies est une entreprise d’équipement de communication qui conçoit et fabrique de l’équipement de radiofréquence (RF). Sa société mère, Norsat International, a été acquise par la société chinoise de télécommunications Hytera Communications en 2017. Le gouvernement chinois détient environ 10 p. 100 des parts de la société Hytera Communications par l’intermédiaire d’un fonds d’investissement.

Une offre à commandes attribuée par Services publics et Approvisionnement Canada (SPAC) à Sinclair Technologies pour l’acquisition d’équipement de communication a attiré l’attention des médias et été l’objet d’un examen attentif de la part des élus parlementaires en décembre 2022, en raison des liens entre le fournisseur et le gouvernement chinois. La GRC a suspendu l’offre en décembre 2022 afin d’examiner, à la demande du ministre de la Sécurité publique, certains aspects de l’offre à commandes (notamment la façon dont le marché a été accordé) et d’atténuer les risques potentiels.

Par la suite, l’État-major supérieur (EMS) de la GRC a demandé que le personnel de Vérification interne, Évaluation et Examen (VIEE) procède à un examen de la diligence raisonnable exercée dans les processus d’acquisition et de sécurité qui ont donné lieu à l’offre à commandes et aux contrats avec Sinclair Technologies afin de vérifier que les évaluations et les protocoles de sécurité étaient appropriés et de tirer des enseignements de cette situation.

Objectif et portée de l’examen

L’examen avait pour objectif de faire une évaluation indépendante des processus d’acquisition et de sécurité (y compris la détermination des exigences et les mesures de sécurité) qui ont donné lieu à l’offre à commandes de SPAC et aux contrats de la GRC avec Sinclair Technologies relatifs à l’équipement de RF et d’autre équipement, afin d’assurer qu’une diligence raisonnable a été exercée et que les précautions appropriées ont été prises. Les leçons apprises, s’il y a lieu, devaient aussi être examinées et consignées. L’examen portait sur les éléments et les actions relevant des pouvoirs, des processus et de la gestion de la GRC.

Plus précisément, l’examen consistait à évaluer les processus ayant donné lieu à l’offre à commandes attribuée à Sinclair Technologies pour l’acquisition d’équipement de RF et d’autre équipement ainsi qu’à trois commandes subséquentes en 2021 et 2022.^{note de bas de page 1} L’examen ne portait que sur les éléments relevant de la responsabilité de la GRC.

Observations générales et conclusion

La GRC a respecté les politiques et procédures applicables dans le cadre de l’attribution à Sinclair Technologies de l’offre à commandes relative à l’équipement de filtrage de RF. Bien que les experts en la matière aient confirmé que l’équipement visé par l’offre représente un risque faible et ne compromet pas les communications protégées selon l’utilisation qu’en fait la GRC, certaines leçons et possibilités d’amélioration ont été relevées en vue de mieux prendre en compte et définir les exigences de sécurité dans les processus d’acquisition. Ces améliorations nécessiteront de collaborer avec les organismes centraux et d’autres ministères. C’est pourquoi la GRC devrait élaborer une directive ou mettre des mesures en place afin de s’assurer que les exigences en matière de sécurité de la GRC sont décrites dans les contrats, de remédier aux lacunes de sécurité entourant la Liste de vérification des exigences relatives à la sécurité (LVERS) et de déterminer les circonstances où des contrôles de sécurité additionnels sont nécessaires.

Prochaines étapes

La réponse et le plan d’action de la direction à l’égard du présent rapport témoignent de la détermination des cadres supérieurs à donner suite aux conclusions et recommandations découlant de la vérification. L’équipe de la Vérification interne de la GRC suivra l’évolution de la mise en œuvre du plan d’action de la direction.

1.1. Contexte

Sinclair Technologies est une entreprise d’équipement de communication qui conçoit et fabrique de l’équipement de radiofréquence (RF). Sa société mère, Norsat International, a été acquise par la société chinoise de télécommunications Hytera Communications en 2017. Le gouvernement chinois détient environ 10 p. 100 des parts de la société Hytera Communications par l’intermédiaire d’un fonds d’investissement.

En octobre 2021, Services publics et Approvisionnement Canada (SPAC) a attribué, au nom de la GRC, une offre à commandes à Sinclair Technologies d’une valeur maximale estimée à 550 000 $ pour l’acquisition d’équipement de RF.^{note de bas de page 2} Plus d’information sur l’équipement de RF se trouve à l’annexe A.

Une offre à commandes attribuée par Services publics et Approvisionnement Canada (SPAC) à Sinclair Technologies pour l’acquisition d’équipement de communication a attiré l’attention des médias et été l’objet d’un examen attentif de la part des élus parlementaires en décembre 2022, en raison des liens entre le fournisseur et le gouvernement chinois. La GRC a suspendu l’offre en décembre 2022 afin d’examiner, à la demande du ministre de la Sécurité publique, certains aspects de l’offre à commandes (notamment la façon dont le marché a été accordé) et d’atténuer les risques potentiels.

Par la suite, l’État-major supérieur (EMS) de la GRC a demandé que le personnel de Vérification interne, Évaluation et Examen (VIEE) procède à un examen afin d’assurer qu’une diligence raisonnable a été exercée et d’obtenir une vue d’ensemble indépendante des processus d’acquisition et de sécurité qui ont donné lieu à l’offre à commandes et aux contrats avec Sinclair Technologies, dans le but de veiller à ce que les évaluations et les protocoles de sécurité appliqués étaient appropriés et de tirer des enseignements de la situation. Les équipes des Services radio nationaux (SRN) et des Moyens antitechniques d’intrusion (MAI) de la GRC ont inspecté un système de filtrage de RF récemment acquis auprès de Sinclair Technologies et l’ont soumis à des tests techniques. Aucune préoccupation en matière de sécurité n’a été relevée. L’équipe de VIEE a pris connaissance du rapport et des résultats, mais compte tenu des exigences techniques spécialisées de ces tests, elle n’avait pas l’expertise nécessaire pour vérifier de façon indépendante les résultats de l’inspection et des tests menés par les SRN. En décembre 2022, la Sous-direction de la sécurité ministérielle (SDSM) a consulté le Centre de la sécurité des télécommunications du Canada (CSTC), qui estime que l’équipement de filtrage de RF ne compromet pas les communications chiffrées selon l’utilisation qu’en fait la GRC. De plus, la GRC a été invitée à comparaître devant le Comité permanent de l’industrie et de la technologie (CPIT) le 30 janvier 2023. À cette occasion, la dirigeante principale des Finances et le sous-commissaire aux Services de police spécialisés (SPS) ont répondu à des questions sur le contrat accordé à Sinclair Technologiesnote de bas de page 3

1.2. Objectif

L’examen avait pour objectif de procéder à une évaluation indépendante des processus d’acquisition et de sécurité (y compris la détermination des exigences et les mesures de sécurité) qui ont donné lieu à l’offre à commandes de SPAC et aux contrats de la GRC avec Sinclair Technologies relatifs à l’équipement de RF et d’autre équipement, afin d’assurer qu’une diligence raisonnable a été exercée et que les précautions appropriées ont été prises. Les leçons apprises, s’il y a lieu, devaient aussi être examinées et consignées. L’examen portait sur les éléments et les actions relevant des pouvoirs, des processus et de la gestion de la GRC.

1.3. Portée

L’examen consistait à évaluer les processus ayant donné lieu à l’offre à commandes accordée à Sinclair Technologies pour l’acquisition d’équipement de RF et d’autre équipement ainsi qu’à trois commandes subséquentes en 2021 et 2022.^{note de bas de page 4} L’examen ne portait que sur les éléments relevant de la responsabilité de la GRC.

1.4. Méthodologie

L’examen de l’acquisition d’équipement de RF auprès de Sinclair Technologies a été effectué en trois phases : la planification, l’examen et le compte rendu.

Dans le cadre de la planification, des réunions ont été tenues avec des cadres supérieurs en vue de lancer l’examen, d’en élaborer le mandat, de recueillir les documents initiaux auprès des clients et de formuler les stratégies d’enquête pour la phase de l’examen. Cette phase consistait aussi à faire de la recherche et à réaliser des consultations sur les politiques et procédures internes et externes qui s’appliquaient.

L’examen a comporté l’étude de documents pertinents au dossier d’acquisition et des entrevues avec les principaux secteurs d’activité liés au processus d’acquisition ayant donné lieu à l’offre à commandes attribuée à Sinclair Technologies. Les experts en la matière consultés faisaient partie des secteurs suivants :

• les SRN de la GRC;
• la Gestion des acquisitions, du matériel et de l’actif (GAMA) de la GRC;
• la SDSM de la GRC;
• la Direction générale de la surveillance (DGS) de SPAC;
• le Programme des approvisionnements de SPAC.

Finalement, la phase de compte rendu a consisté à rédiger le rapport final et à consulter des intervenants pour valider les faits.

1.5. Énoncé de conformité

La mission d’examen est conforme aux normes applicables du Cadre international de référence des pratiques professionnelles de l’Institut des auditeurs internes et de la Directive sur la vérification interne du Conseil du Trésor, comme en font foi les résultats du programme d’assurance et d’amélioration de la qualité. 

2.1. Lancement du processus d’acquisition

Le processus d’acquisition à la GRC débute quand un besoin est constaté par un secteur d’activité de la GRC. Un expert en la matière de l’organisation, aussi appelé responsable technique, détermine les exigences techniques et de sécurité pour le processus d’acquisition. Le responsable technique définit les exigences techniques liées aux biens et aux services nécessaires et les consigne dans un énoncé des besoins ou un énoncé des travaux. Le responsable technique envoie ensuite le dossier à la GAMA. Ce dossier comprend l’énoncé des besoins ou des travaux, un formulaire de demande, une liste de vérification des exigences relatives à la sécurité (LVERS) et une Demande d’approbation préalable de biens et services de TI, si les biens et services sont considérés comme des éléments de TI. L’agent des acquisitions de la GAMA chargé du dossier détermine la meilleure stratégie d’acquisition ou le mécanisme de passation des marchés approprié. Les acquisitions dont la valeur dépasse les pouvoirs d’approbation de la GRC sont déléguées à SPAC, qui agit comme autorité contractante. Le personnel de SPAC examine les documents fournis et consulte l’agent des acquisitions et le responsable technique de la GRC pour clarifier les besoins et obtenir des documents supplémentaires, au besoin.

2.2. Évaluation de sécurité

Les exigences relatives à la sécurité sont évaluées au début du processus d’acquisition. Tout d’abord, le responsable technique évalue les risques au moyen de la LVERS, un document fort important dans la détermination des exigences relatives à la sécurité. La LVERS et les documents d’acquisition connexes sont examinés par la SDSM de la GRC, qui tient compte du personnel, de la GI-TI et des risques pour la sécurité matérielle et formule des recommandations sur le niveau de sécurité approprié. Si la SDSM recommande des exigences en matière de sécurité, elle doit fournir à la GAMA un guide qui explique les mesures de sécurité que doit prendre le fournisseur dans l’exécution du contrat. Si aucune exigence n’est recommandée, ce sera indiqué dans les formulaires de demande et aucune disposition relative à la sécurité ne figurera dans le contrat. La LVERS dûment remplie est signée par les représentants de la GAMA et de la SDSM et par le responsable technique, puis versée dans le dossier d’approvisionnement remis à SPAC, si celui-ci agit comme autorité contractante. Si la LVERS contient des exigences relatives à la sécurité pour une acquisition dont SPAC est responsable, la Direction générale de la surveillance (DGS) de SPAC fera un examen de la LVERS ainsi que de l’énoncé des besoins ou des travaux et de tout autre document pertinent et pourrait recommander d’autres mesures de sécurité, conformément à son mandat de responsable de la sécurité. La DGS de SPAC rédigera aussi les clauses de sécurité qui doivent se trouver dans l’offre à commandes et les commandes subséquentes (contrats). Après l’évaluation de la sécurité vient le processus de sollicitation.

Les employés de la SDSM et de SPAC consultés ont signalé que le formulaire de la LVERS date de 2004 et que les questions qu’il contient comportent des lacunes (p. ex., infonuagique, cybersécurité et autres éléments de nature délicate liés à la sécurité nationale). Il serait utile d’actualiser le formulaire en fonction des risques modernes à la sécurité. De plus, ce formulaire est utilisé par tous les ministères du gouvernement et ne tient donc pas compte de certaines subtilités liées aux processus de sécurité de la GRC (voir l’art. 3.2 ci-dessous pour plus d’information sur le sujet).

2.3. Sollicitation évaluation et attribution

À cette étape, une méthode d’approvisionnement est choisie. Lorsque la méthode privilégiée est une offre à commandes, les besoins sont consignés dans une demande d’offre à commandes (DOC) qui renferme les directives à l’intention des fournisseurs potentiels, le fondement de l’évaluation, les exigences techniques et les clauses contractuelles. La DOC est affichée sur le site du Service électronique d’appels d’offres du gouvernement. Quand la période de soumission se termine, le responsable technique de la GRC évalue l’aspect technique des soumissions reçues afin de déterminer si elles sont conformes aux exigences établies. Le SPAC évaluera les autres aspects, comme les prix.

L’offre à commandes est attribuée à un fournisseur conformément à la méthode de sélection décrite dans la DOC. Avant d’attribuer une offre à commandes pour toute acquisition de plus de 10 000 $, SPAC doit procéder à une vérification liée au Régime d’intégrité, conformément à la Politique d’inadmissibilité et de suspension de SPAC. Cette vérification permet de déterminer si le fournisseur est suspendu ou autrement inadmissible à recevoir le contrat, s’il est accusé ou a été déclaré coupable d’une infraction figurant sur la liste dans la politique.^{note de bas de page 5} Si la vérification ne relève aucun problème, l’offre à commandes est attribuée au soumissionnaire retenu. L’offre à commandes n’est pas un contrat. Il s’agit d’une offre déposée par un fournisseur éventuel qui propose de fournir, au besoin, des biens ou des services à des prix préétablis, selon des clauses et des conditions prédéfinies. Aucune obligation contractuelle n’existe tant qu’un utilisateur autorisé^{note de bas de page 6} passe une commande subséquente à l’offre à commandesnote de bas de page 7

2.4. Commandes subséquentes

Une commande subséquente à l’offre à commandes est préparée en vue d’obtenir des biens ou des services. La commande subséquente doit être conforme aux exigences décrites dans l’offre, y compris les utilisateurs admissibles de l’offre à commandes, les articles énumérés et leur prix, le prix de la main-d’œuvre et les exigences de sécurité, au besoin. Les commandes subséquentes doivent être faites conformément à la délégation de pouvoirs d’un utilisateur, donc normalement moins de 10 000 $ à la GRC, à l’exception du personnel des Acquisitions de la GRC.

Conformément à la Loi sur la gestion des finances publiques (LGFP), la signature en vertu de l’article 32 est apposée sur le formulaire de demande par le client, qui confirme que les fonds sont disponibles. Une fois que le contrat est exécuté par le fournisseur et qu’une facture est reçue, la signature en vertu de l’article 34 de la LGFP doit être apposée pour confirmer que les biens et services ont été reçus conformément au contrat.

3.1. Conformité

3.2. Sécurité des contrats de la GRC

3.3. Autres processus de sécurité externes

Évaluation de la participation, du contrôle et de l’influence de l’étranger

Dans le cadre de ses programmes de sécurité et de surveillance, SPAC peut offrir aux secteurs du gouvernement des évaluations de la participation, du contrôle et de l’influence de l’étranger (PCIE). Le processus vise à évaluer la participation, le contrôle et l’influence que pourraient avoir des intérêts étrangers sur une organisation canadienne. Ces évaluations peuvent être demandées par un secteur de programme lorsqu’elles sont justifiées selon la politique, en raison d’une clause d’approvisionnement ou d’une exigence réglementaire ou législative. Ces évaluations nécessitent un fondement stratégique, contractuel, réglementaire ou législatif parce qu’elles font partie d’un processus participatif où une partie tierce doit être encouragée, par la perspective d’un gain économique par exemple, ou appelée par la loi à participer à l’évaluation afin qu’elle soit fructueuse.

Lorsqu’elles sont employées dans le contexte du Programme de sécurité des contrats (PSC) de SPAC, ces évaluations permettent de cerner et d’atténuer le risque que des tiers non autorisés exercent une influence indue sur une organisation canadienne dans le but d’accéder à des renseignements et à des biens gouvernementaux classifiés.^{note de bas de page 9} Aux fins de l’administration du PSC, SPAC est responsable du processus d’évaluation de la PCIE. La GRC ne peut pas mener sa propre évaluation, même si elle est l’autorité contractante de ce marché. Pour qu’une évaluation de la PCIE soit nécessaire, une entité doit avoir besoin d’accéder à des communications, à des renseignements ou à des systèmes classifiés étrangers, de l’OTAN ou pour des questions de COMSEC. L’acquisition de l’équipement de filtrage de RF ne satisfaisait pas aux critères d’une évaluation de la PCIE. Une telle évaluation n’aurait pas été la mesure appropriée pour contourner toute menace à la chaîne d’approvisionnement.

Intégrité de la chaîne d’approvisionnement

Les évaluations de l’intégrité de la chaîne d’approvisionnement (ICA) permettent d’évaluer des produits et services des technologies de l’information et de la communication (TIC) qui seront utilisés dans l’infrastructure du gouvernement du Canada. Ces évaluations ont pour objectif de protéger la confidentialité, l’intégrité et la disponibilité des communications et des données du gouvernement du Canada en favorisant la résilience contre les vulnérabilités et les compromissions de la chaîne d’approvisionnement.^{note de bas de page 10} Le Centre canadien pour la cybersécurité (CCS) est responsable du processus. Chaque évaluation de l’ICA s’applique à un produit et est lancée au cas par cas. L’acquisition d’équipement de filtrage de RF ne satisfaisait pas aux critères d’une évaluation de l’ICA.

Exception relative à la sécurité nationale

L’exception relative à la sécurité nationale (ESN) permet au Canada de soustraire un achat à certaines ou à l’ensemble des modalités d’un accord commercial pertinent afin de protéger ses intérêts en matière de sécurité nationale.^{note de bas de page 11} À la GRC, la nécessité d’avoir recours à l’ESN est normalement soulevée par le responsable technique, en consultation avec la GAMA et la SDSM. S’il est justifié d’obtenir une telle exception, une demande est envoyée à SPAC, qui est responsable de la traiter et de l’approuver. L’acquisition d’équipement de filtrage de RF ne satisfaisait pas aux critères d’une ESN.

Vérification d’organisation désignée

La vérification d’organisation désignée (VOD) est une attestation de sécurité qui vise à évaluer la fiabilité d’une organisation qui doit accéder à des renseignements ou à des biens Protégé A ou B. L’obtention d’une attestation de VOD permet à l’organisation de demander le filtrage de sécurité pour ses employés ou des contractants en vue de l’obtention de cotes de fiabilité ou, dans des circonstances exceptionnelles, des cotes d’accès aux sites.^{note de bas de page 12} SPAC est responsable de la VOD et la GRC n’a ni pouvoir ni responsabilité en lien avec ce processus. **********************, l’offre à commandes pour l’équipement de filtrage de RF a été attribuée à l’entreprise en 2021, car l’offre et les commandes subséquentes n’étaient visées par aucune exigence relative à la sécurité qui aurait pu nécessiter la vérification de la sécurité de l’entreprise par l’autorité contractuelle avant l’attribution du contrat.

*******************************

Recommandation 1er

La SDSM et la GAMA devraient, en consultation avec d’autres ministères du gouvernement concernés :

1. élaborer une directive ou mettre des mesures internes en place pour veiller à ce que les exigences en matière de sécurité de la GRC soient incluses dans les prochains contrats et offres à commandes;
2. mettre en place des mesures d’atténuation, si nécessaire, pour combler les lacunes liées aux exigences de la GRC dans la LVERS, étant donné que ce formulaire appartient aux organismes centraux et ne relève pas de la responsabilité de la GRC.

Recommandation 2

La SDSM et la GAMA devraient, en consultation avec d’autres ministères concernés, élaborer des directives internes ou améliorer les directives existantes relatives aux mesures et processus de sécurité supplémentaires (comme les évaluations de PCIE ou de l’ICA ou les ESN) et définir les circonstances dans lesquelles ces processus doivent être demandés dans le cadre des acquisitions de la GRC.