PACP Rapport du Comité

En raison de l'absence généralisée de préoccupation au sujet des risques rattachés à la sécurité des TI, les systèmes comportent des faiblesses dont il est facile de tirer avantage. Il s'ensuit que l'organisation concernée court davantage le risque que des données de nature délicate, notamment des renseignements personnels sur des Canadiens, des données sur la paie, des opérations financières, de l'information sur les programmes et d'autres données essentielles soient divulguées ou modifiées sans autorisation, ou encore perdues, sans que l'incident ne soit détecté ^[1].

INTRODUCTION

Dans son rapport d’avril 2002, la vérificatrice générale présentait les conclusions d’une vérification de la sécurité des technologies de l’information (TI) au sein du gouvernement fédéral. Ces conclusions étaient accablantes. Les normes gouvernementales de sécurité des TI étaient incomplètes et bon nombre des normes en place étaient désuètes. Le gouvernement n’avait aucun plan visant leur mise à jour. Tant que ces normes ne seront pas actualisées, la Politique du gouvernement sur la sécurité de 2002, une version révisée de la politique de 1994, ne sera jamais pleinement efficace.

La vérificatrice générale a également constaté que le gouvernement n’avait pas surveillé l’application de sa politique de 1994 sur la sécurité des TI, de sorte qu’il ne possédait pas

suffisamment d'information pour évaluer l'état actuel de la sécurité des TI. Il ne dispose pas non plus d'une base adéquate pour déterminer la mesure dans laquelle les pratiques actuellement utilisées dans l'administration fédérale sont acceptables, ni une base de référence appropriée pour mesurer les progrès futurs ^[2].

M^me Fraser a fait remarquer que la politique révisée (2002) prévoyait la présentation d’un rapport sur l’efficacité de la politique, mais pas avant l’été 2004. Selon elle, le rapport aurait dû être déposé plus tôt. Une ébauche de rapport a été produite en mai 2005.

De nombreux services gouvernementaux sont offerts en format électronique, ce qui permet aux Canadiens d’y avoir accès, de la maison ou du travail, au moyen de leur ordinateur ou d’autres dispositifs. Leur faible coût, conjugué à leur facilité et rapidité d’accès pour une population disséminée sur un large territoire, garantit l’augmentation du nombre de ces services en ligne. Plus ces services prennent de l’expansion, plus il y a lieu de se préoccuper de la vulnérabilité des services électroniques et des systèmes de stockage de données. À l’extrême, les cyberattaques pourraient entraîner l’usurpation de renseignements personnels, la destruction de données essentielles, la divulgation de renseignements de nature délicate sur les activités du gouvernement ou l’arrêt des systèmes internes du gouvernement.

Le Comité a décidé d’examiner les conclusions de la vérification de suivi de la vérification de 2002 portant sur la sécurité des TI pour la raison précise que les faiblesses de ces systèmes posent des risques potentiels très graves pour la santé et la sécurité des Canadiens et la capacité fonctionnelle du gouvernement.

Pour faciliter son examen, le Comité a rencontré, le 23 mars 2005, la vérificatrice générale Sheila Fraser qui était accompagnée de M. Douglas Timmins (vérificateur général adjoint), M. Richard Brisebois (directeur principal) et M. Guy Dumas (directeur), du Bureau du vérificateur général du Canada. Au cours de cette rencontre, le Comité a également entendu Helen McDonald, dirigeante principale de l'information par intérim pour le gouvernement du Canada, qui relève du Secrétariat du Conseil du Trésor. M. Simon Gauthier, dirigeant principal adjoint de l’information, et M. Pierre Boucher, directeur principal adjoint, Architecture d’entreprise et normes, également du Secrétariat du Conseil du Trésor, accompagnaient M^me McDonald.

OBSERVATIONS ET RECOMMANDATIONS

Au terme de son examen, le Comité exprime de vives préoccupations qui nécessitent une solution dans les domaines suivants : l’état actuel des normes utilisées à l’appui de la sécurité des TI, le rôle du Secrétariat du Conseil du Trésor dans la surveillance de l’état de la sécurité des TI, le rôle des ministères et des organismes ainsi que les ressources disponibles à l’appui de la sécurité des TI.

Normes de sécurité des TI

Les normes gouvernementales de sécurité des TI prescrivent les exigences minimales que doivent respecter tous les ministères et organismes pour s’assurer que leurs systèmes sont protégés contre une intrusion de l’extérieur et la perte de données. En 2002, la vérificatrice générale avait fait savoir au Parlement que ces normes étaient désuètes, une observation troublante face à l’évolution rapide de la technologie de l’information. En 2005, malgré les signes d’amélioration constatés, la vérificatrice générale a fait savoir que dans l’ensemble, le gouvernement n’avait pas fait de « progrès satisfaisants » dans le renforcement de la sécurité des TI depuis sa vérification de 2002 (1.1).

La Politique du gouvernement sur la sécurité (la Politique) énonce des exigences générales en matière de sécurité dans un vaste éventail de domaines, dont les technologies de l’information. Ces exigences sont étayées par des « normes de sécurité » qui précisent ce que doivent faire les ministères et les organismes pour se conformer aux exigences de base de la Politique. Selon la vérificatrice générale, ces normes, de par leur existence, « … encouragent l'instauration de mesures de sécurité uniformes et l'échange de pratiques exemplaires entre les ministères » (1.25).

En 2002, au moment de l’entrée en vigueur de la Politique révisée, beaucoup des 40 normes à l’appui de la sécurité des TI n’étaient pas encore élaborées tandis que d’autres étaient désuètes. En mai 2004, le gouvernement a publié la Norme de gestion de la sécurité des technologies de l'information (GSTI). La GSTI porte sur 28 des 40 normes, il en reste donc 12 à élaborer. Les ministères et les organismes doivent attendre que les normes soient terminées avant d’évaluer dans quelle mesure ils respectent la Politique.

Le Secrétariat du Conseil du Trésor (SCT, le Secrétariat) a fait savoir que ces 12 normes recevraient la priorité dans un plan qu’il dévoilera au début de l’exercice financier 2005 2006. La dirigeante principale de l’information par intérim, Helen McDonald, a informé le Comité que 3 des 12 normes sont maintenant à l’état d’ébauche et que le SCT prévoyait les avoir toutes finalisées d’ici décembre 2006.

Le Secrétariat du Conseil du Trésor s’attend à ce que les ministères et les organismes se conforment à la norme GSTI d’ici décembre 2006. Il s’engage à surveiller l’élaboration des normes restantes et la conformité des ministères à ces normes.

Ce témoignage doit être placé dans son contexte. Lorsque l’ancienne dirigeante principale de l’information, Michelle d’Auray, s’est adressée au Comité au sujet de la vérification de la sécurité des TI effectuée en 2002, elle a reconnu que le gouvernement devait accélérer l’élaboration des norms. M^me d’Auray a également dit au Comité — il y a plus de deux ans — que le gouvernement avait « maintenant élaboré un plan exhaustif qui établit l'ordre de priorité des principales normes à mettre en place ».

Il y a donc trois questions à examiner. La première concerne l’établissement des normes dans les délais; ces normes prescrivent les exigences minimales que doivent respecter les ministères et les organismes pour assurer la sécurité de leurs systèmes de TI; sans ces normes, il est impossible de vérifier avec exactitude l’état actuel de la sécurité des TI à la grandeur du gouvernement. La deuxième est le roulement élevé au poste de dirigeant principal de l’information qui empêche le titulaire de faire des prévisions exactes et éclairées du temps et des efforts requis pour effectuer un changement urgent. Et la dernière question, qui découle de la précédente, concerne la crédibilité des déclarations similaires formulées par le SCT aujourd’hui.

Aucun retard n’est excusable dans le contexte actuel. C’est pourquoi le gouvernement doit s’empresser d’assurer la sécurité des TI. Le Comité recommande donc :

RECOMMANDATION 1

Que le Secrétariat du Conseil du Trésor accélère l’élaboration et la mise en œuvre de toutes les normes non encore élaborées de sécurité des TI afin qu’elles soient terminées bien avant l’échéance prévue de décembre 2006.

Dans un contexte en évolution, il est difficile de prévoir avec exactitude le temps nécessaire pour mener à terme des projets complexes. Toutefois, lorsque les représentants du Secrétariat du Conseil du Trésor prennent des engagements devant un comité parlementaire, ils doivent s’efforcer d’être précis et, par la suite, ne ménager aucun effort pour respecter leurs engagements. Lorsque, pour diverses raisons, leurs prévisions s’avèrent trop optimistes et compromettent les engagements pris en fonction de ces prévisions, ils doivent alors en informer le Parlement. C’est seulement de cette manière que le SCT pourra s’acquitter pleinement de son obligation redditionnelle et établir sa crédibilité — ou, dans le cas présent, la rétablir. Le Comité recommande donc :

RECOMMANDATION 2

Qu’à compter de septembre 2005, le Secrétariat du Conseil du Trésor présente au Comité permanent des comptes publics des rapports semestriels sur l’élaboration et la mise en œuvre des dernières normes de sécurité des TI.

Le Comité constate en outre qu’en 2002, le Secrétariat a approuvé toutes les recommandations de la vérificatrice générale. Étant donné que l’espoir suscité par cette réponse est déçu par les conclusions inacceptables de la récente vérification, le Comité recommande :

RECOMMANDATION 3

Que le Secrétariat du Conseil du Trésor présente au Comité permanent des comptes publics un plan d’action détaillé des mesures qu’il entend prendre pour mettre en œuvre les recommandations de la vérificatrice générale du Canada. Ce plan d’action doit préciser un calendrier de mise en œuvre et être présenté au Comité permanent des comptes publics au plus tard le 30 septembre 2005.