Constatations de la GRC relatives à la vérification interne horizontale par le Bureau du contrôleur général sur la sécurité des technologies de l'information (TI)

Rapport épuré

février, 2016

Ce rapport fut revu en considération de la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels. Certaines parties du texte comprises dans ces documents ne peuvent pas être publiées et sont identifiées comme suit : [ *** ]; l'information publiée est NON-CLASSIFIÉE.

Table des matières

Acronymes et Abbréviations

ASM
Agent de la sécurité ministérielle
BCG
Bureau du contrôleur général
CSTC
Centre de la sécurité des télécommunications du Canada
CSTI
Coordonnateur de la sécurité des TI
CT
Conseil du Trésor
DG
Directeur général
DPI
Dirigeant principal de l'Information
GRC
Gendarmerie royale du Canada
GSTI
Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information
PAG
Plan d'action de la gestion
PROGRAMME DE GI-TI
Programme de gestion et de technologie de l'information
PSM
Plan de sécurité ministérielle
SCT
Secrétariat du Conseil du Trésor
SDSM
Sous-direction de la sécurité ministérielle
***
***
SPC
Services partagés Canada
TI
Technologie de l'information
VI
Vérification interne

Sommaire

La Gendarmerie royale du Canada (GRC) faisait partie des douze grands et sept petits ministères choisis par le Bureau du contrôleur général (BCG) aux fins de sa vérification interne horizontale sur la sécurité des technologies de l'information (TI). La vérification avait pour objectifs de déterminer si des cadres de gouvernance liés à la sécurité des TI étaient en place au sein des ministères, ainsi qu'à l'échelle du gouvernement, et si les ministères avaient mis en place des cadres de contrôle pour atténuer les risques en matière de sécurité des TI. La vérification portait notamment sur la gouvernance et les cadres de contrôle liés à la sécurité des TI liés aux réseaux non classifiés du gouvernement au 31 mars 2014. La phase de planification de la vérification, qui consistait à en définir les objectifs, la portée et les critères, a été réalisée par le BCG. La Vérification interne (VI) de la GRC a été invitée à effectuer la vérification en suivant la méthodologie élaborée par le BCG et à rendre compte de ses constatations et de ses conclusions au BCG afin que celles-ci soient incluses dans un rapport consolidé. ***

Le présent rapport d'accompagnement donne le contexte et des précisions propres à la GRC en ce qui concerne les constatations du BCG. Les constatations consolidées du BCG concordent avec la situation observée à la GRC. Bien que des éléments du cadre de gouvernance lié à la sécurité des TI soient en place ***

Réponse de la gestion à la vérification

La Sous-direction de la sécurité ministérielle (SDSM) souscrit aux constatations issues de la vérification interne horizontale de la sécurité des TI effectuée par le BCG et aux constatations de la GRC concernant cette vérification. Ces rapports ont soulevé *** dans les secteurs suivants : ***

  • la gouvernance interministérielle, y compris l'actualisation des politiques; ***

Le contexte opérationnel actuel comporte des responsabilités clés qui doivent être clairement réparties entre la GRC, Services partagés Canada (SPC), le CSTC et le Conseil du Trésor (CT). La SDSM, en partenariat avec le Programme de GI-TI, assumera le rôle de leader qui est nécessaire au sein de l'organisation pour aller de l'avant dans la mise en œuvre des recommandations. ***

Peter Henschel, sous-commissaire
Services de police spécialisés
Gendarmerie royale du Canada

1.0 Contexte

La technologie de l'information (TI) facilite les activités du gouvernement mais crée aussi un risque pour la confidentialité, l'intégrité et la disponibilité des renseignements dont le gouvernement a besoin pour mener ses activités. *** Le BCG a choisi de faire porter la vérification interne horizontale sur douze grands et sept petits ministères, dont la GRC. Les objectifs fixés par le BCG consistaient à déterminer si des cadres de gouvernance liés à la sécurité des TI étaient en place au sein des ministères, ainsi qu'à l'échelle du gouvernement, et si les ministères avaient mis en place des cadres de contrôle pour atténuer les risques en matière de sécurité des TI liés aux réseaux non classifiés.

La sécurité des TI englobe les mesures de protection visant à préserver la confidentialité, l'intégrité, la disponibilité, l'utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique. Elle inclut également les mesures de protection appliquées aux biens utilisés pour recueillir, traiter, recevoir, afficher, transmettre, reconfigurer, balayer, entreposer ou détruire l'information par voie électroniqueNotes de bas de page 1.

À la GRC, la sécurité des TI est une responsabilité partagée : la Sous-direction de la sécurité ministérielle (SDSM) en est le centre de décision, le Programme de gestion et de technologie de l'information (GI-TI) assure la prestation des services de TI dans toute l'organisation ***. Des organismes externes jouent aussi un rôle dans la sécurité des TI à la GRC : Services partagés Canada (SPC) est le fournisseur de services pour l'infrastructure réseau ainsi que pour l'acquisition de matériel et de logiciels et le soutien connexeNotes de bas de page 2.

La Vérification interne (VI) de la GRC a été invitée à procéder à la phase d'examen de la vérification horizontale en fonction de la méthode élaborée par le BCG et des critères déterminés par celui-ci (voir l'annexe A). À la fin de son examen, la VI de la GRC a transmis ses constatations au BCG afin qu'elles soient incluses dans un rapport consolidé. Ce rapport consolidé a été présenté par le BCG au Comité de vérification du gouvernement du Canada en octobre 2015 et sera déposé de façon définitive devant ce même comité en février 2016.

Le rapport du BCG présente trois constatations principales et des recommandations connexes : la gouvernance à l'échelle du gouvernement, la gouvernance à l'échelle du ministère et les cadres de contrôle ministériels. *** Par conséquent, le présent rapport renferme de l'information détaillée et le contexte propre à la GRC ***. ***

2.0 Objectifs, portée et méthode

2.1 Objectifs

La vérification interne horizontale du BCG visait à déterminer :

  1. si des cadres de gouvernance liés à la sécurité des TI étaient en place au sein des ministères, ainsi qu'à l'échelle du gouvernement;
  2. si les ministères avaient mis en place des cadres de contrôle pour atténuer les risques en matière de sécurité des TI.

Les critères utilisés pour évaluer les objectifs à la GRC se trouvent à l'annexe A.

Le présent rapport vise à mettre en contexte les constatations et les recommandations adressées à la GRC et à fournir de l'information détaillée à leur sujet.

2.2 Portée

La vérification portait notamment sur la gouvernance et les cadres de contrôle liés à la sécurité des TI liés aux réseaux non classifiés du gouvernement au 31 mars 2014. La vérification portait principalement sur les réseaux non classifiés ***.

2.3 Méthode

Le BCG a réalisé la phase de planification et a décidé de la méthode que les ministères devaient utiliser durant la phase d'examen. Les ministères visés ont transmis leurs résultats au BCG, qui a élaboré un rapport consolidé.

Durant la phase d'examen, l'équipe de la VI de la GRC a interviewé des employés clés de la Sous-direction de la sécurité ministérielle (SDSM), du Programme de gestion et de technologie de l'information (GI-TI) ***. Elle a aussi recueilli et analysé des documents fournis par ces groupes.

3.0 Constatations

3.1 Gouvernance à l'échelle du ministère

Selon le rapport du BCG, les grands et les petits ministères pourraient apporter les améliorations suivantes à leur cadre de gouvernance de la sécurité des TI : mettre à jour régulièrement leurs politiques sur la sécurité des TI ***. ***

3.1.1 Politique de sécurité des TI

La politique sur la sécurité des TI de la GRC est conforme au cadre stratégique de sécurité des TI du gouvernement.

Conformément à la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI) du Secrétariat du Conseil du Trésor (SCT), tous les ministères doivent avoir une politique ministérielle de sécurité des TI qui est approuvée par la haute direction. Cette politique doit définir les rôles et responsabilités des parties intéressées et être remise à ces dernières. Afin que la politique demeure pertinente, elle doit tenir compte du contexte changeant.

Au moment de la vérification, une politique ministérielle de sécurité des TI était en vigueur ***.

Conformément aux exigences de la norme GSTI, la politique de sécurité des TI de la GRC définit les rôles et les responsabilités concernant la sécurité des TI. ***

3.1.2 Gouvernance de la sécurité des TI

Des structures de gouvernance à l'appui de la coordination des activités liées à la sécurité des TI sont en place à la GRC.

Conformément à la Politique sur la sécurité du gouvernement du Conseil du Trésor (CT), les ministères doivent nommer un agent de la sécurité ministérielle (ASM), qui relève fonctionnellement de l'administrateur général ou du comité exécutif ministériel, pour gérer le programme de sécurité du ministère. La Directive sur la gestion de la sécurité ministérielle du Secrétariat du Conseil du Trésor (SCT) exige que les ministères mettent en place des appareils de gouvernance de la sécurité (comités, groupes de travail) pour assurer la coordination et l'intégration des activités de sécurité et faciliter la prise de décisions.

Le directeur général (DG) de la SDSM de la GRC a été nommé ASM. À ce titre, il est chargé de tous les systèmes informatisés contrôlés ou gérés par la GRC et s'occupe de planifier les inspections des systèmes informatiques et les consultations liées à ceux-ci et de coordonner la mise en œuvre des recommandations formulées à cet égard. Relevant de l'ASM, le directeur des communications liées à la sécurité des TI est le coordonnateur de la sécurité des TI (CSTI) de la GRC. Comme la GRC est l'un des partenaires de Services partagés Canada (SPC), ce dernier prend aussi part aux activités de gouvernance de la sécurité des TI de la GRC.

*** Les décisions en la matière sont prises par les comités auxquels siègent l'ASM et le CSTI. ***

3.1.3 Plan de sécurité ministérielle

Au moment de la vérification, le plan de sécurité ministérielle (PSM) de la GRC était en cours d'élaboration. Il a depuis été achevé et approuvé.

La Politique sur la sécurité du gouvernement du CT exige que les administrateurs généraux approuvent un PSM qui expose en détail les décisions en matière de gestion des risques liés à la sécurité et qui décrit les stratégies, les buts, les objectifs, les priorités et les échéanciers pour améliorer la sécurité ministérielle. ***

Au moment de la vérification, le PSM de la GRC était en cours d'élaboration et devait cadrer avec les objectifs en matière de contrôle de la sécurité de la Directive sur la gestion de la sécurité ministérielle du SCT. ***

Un PSM *** aiderait l'organisation à mieux coordonner les ressources pour gérer efficacement les risques liés à la sécurité des TI de manière proactive et pour faire face efficacement aux incidents. Une fois la vérification terminée, à l'été de 2015, la GRC a achevé son premier PSM ***. ***

3.1.4 ***

***

Compte tenu de l'évolution continue des menaces dans le domaine de la sécurité des TI, une démarche systématique pour comprendre, gérer et communiquer les risques est importante pour optimiser l'utilisation des ressources. À titre d'organisme de sécurité principal, le Centre de la sécurité des télécommunications du Canada (CSTC) a recommandé l'adoption d'une démarche précise pour gérer les risques pour la sécurité des TI systématiquement (La gestion des risques liée à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33), annexe 1).

Au moment de la vérification, ***

3.1.5 ***

***

La Politique sur la sécurité du gouvernement du CT exige que les administrateurs généraux veillent à l'exécution d'examens périodiques pour établir si le programme de sécurité ministérielle est efficace. La norme GSTI exige également une évaluation annuelle du programme de sécurité des TI et des pratiques mises en place pour veiller au respect des normes et des politiques organisationnelles et gouvernementales relatives à la sécurité.

***

3.2 ***

4.0 ***

5.0 ***

Annexe A – Objectifs et critères de la vérification

Les objectifs et critères qui suivent ont été établis par le BCG et s'appliquent à la GRC. Le rapport du BCG intitulé Audit interne horizontal de la sécurité des technologies de l'information dans les grands et les petits ministères sera présenté sous sa forme définitive en février 2016.

Objectif 2Note de bas de page 3 : Gouvernance de la sécurité des TI dans les ministères

Il existe au sein des ministères et organismes des cadres de gouvernance en matière de gestion de la sécurité des TI.

Critère 2.1 : Des politiques ministérielles de sécurité des TI conformes au cadre gouvernemental de politiques sur la sécurité des TI ont été élaborées et communiquées dans les ministères.

Critère 2.2 : Des organismes ministériels de surveillance de la gestion de la sécurité des TI ont été mis sur pied.

Critère 2.3 : Un plan de sécurité des TI conforme aux priorités ministérielles et pangouvernementales a été élaboré, communiqué et tenu à jour.
Critère 2.4 : Un plan de ressources humaines pour les professionnels de la sécurité des TI a été établi et est harmonisé avec les priorités et les plans ministériels et pangouvernementaux.
Critère 2.5 : Une approche ministérielle de gestion des risques liés à la sécurité des TI a été élaborée et mise en œuvre.
Critère 2.6 : Des rapports ministériels portant sur la conformité aux politiques et le rendement du programme de sécurité des TI sont rédigés pour éclairer la prise de décisions.
*** ***
***
***
Date de modification :