Passer au contenu
Début du contenu

PACP Rapport du Comité

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.


RÉPONSE DU GOUVERNEMENT AU QUATORZIÈME RAPPORT DU COMITÉ PERMANENT DES COMPTES PUBLICS

LA SÉCURITÉ DES TECHNOLOGIES DE L'INFORMATION

INTRODUCTION

Le gouvernement accueille le Rapport du Comité, en partage les préoccupations et convient de ses objectifs. Dans plusieurs cas, le gouvernement a proposé une démarche de rechange ou de nouveaux calendriers pour atteindre les objectifs visés par les recommandations du Comité. Cette approche permettra de raffermir la position de la sécurité des TI au sein des ministères et organismes fédéraux, puis la sécurité, la fiabilité et la sûreté des services que le gouvernement fédéral offre aux Canadiennes et aux Canadiens.

La Politique du gouvernement sur la sécurité prescrit des mesures de protection à l'égard des systèmes d'information, et elle appuie les initiatives énoncées dans la Politique canadienne de sécurité nationale, de même que les initiatives du gouvernement en matière de prestation de services. Dans le cadre de la Politique du gouvernement sur la sécurité, la Norme de gestion de la sécurité des technologies de l'information (GSTI) établit les exigences de sécurité auxquelles les ministères et les organismes doivent se conformer pour garantir la sécurité des actifs technologies de l'information (TI) et de l'information qu'ils contrôlent.

RECOMMANDATION 1

Que le Secrétariat du Conseil du Trésor accélère l'élaboration et la mise en œuvre de toutes les normes non encore élaborées de sécurité des TI afin qu'elles soient terminées bien avant l'échéance prévue de décembre 2006.

Le Secrétariat du Conseil du Trésor s'engage à achever toutes les normes de sécurité opérationnelle énoncées dans le rapport diffusé en 2005 par le Bureau du vérificateur général. Les normes à priorité absolue seront achevées en décembre 2005 et toutes les autres le seront avant la fin de juillet 2006.

Jusqu'à présent, le Secrétariat a achevé les normes de sécurité opérationnelle suivantes : procédure administrative pour la Loi sur la protection de l'information, planification de la continuité des activités, gestion de la sécurité des technologies de l'information, sécurité matérielle et niveaux de préparation des installations du gouvernement fédéral. Plusieurs normes seront bientôt prêtes : sécurité des marchés, identification et catégorisation des biens, filtrage de sécurité, et formation et sensibilisation. Le Secrétariat accélérera les travaux dans la mesure du possible et, tout particulièrement, accordera la priorité à l'achèvement de la norme sur la gestion du risque de sécurité et la norme touchant le programme de sécurité d'ici décembre 2005, à la suite des recommandations du Bureau du vérificateur général et du Comité. En ce qui a trait aux normes à achever, des ébauches ont été rédigées pour les normes suivantes : enquêtes et sanctions; filtrage de sécurité; gestion des incidents; et détection d'intrusion. La rédaction des ébauches des normes sur le « partage de l'information » et la « protection des employés » n'a toujours pas débuté. En outre, les ébauches de normes portant sur l'orientation et la consultation seront transmises aux ministères pour s'assurer que des directives soient données le plus tôt possible.

Des directives techniques et opérationnelles seront élaborées de façon continue pour satisfaire aux besoins du contexte relatif au risque dynamique. Dans le cadre de cette activité, le Secrétariat établira un comité chargé d'examiner les secteurs nécessitant de nouvelles normes de sécurité des TI. Les normes consolidées et un plan de documentation technique seront mis à la disposition des ministères et ils seront actualisés de façon périodique. De plus, le Secrétariat du Conseil du Trésor et les organismes de file en matière de sécurité surveillent de façon continue les autres activités nationales et internationales en matière de normes, et adoptent ou adaptent celles-ci, au besoin.

RECOMMANDATION 2

Qu'à compter de septembre 2005, le Secrétariat du Conseil du Trésor présente au Comité permanent des comptes publics des rapports semestriels sur l'élaboration et la mise en œuvre des dernières normes de sécurité des TI.

Le Secrétariat du Conseil du Trésor remettra un rapport d'étape au Comité en septembre 2005 dans le cadre du plan d'action détaillé visant à mettre en œuvre les recommandations formulées par la vérificatrice générale du Canada. Le Secrétariat examinera et actualisera périodiquement l'état d'avancement du plan d'élaboration des normes et si des retards importants sont anticipés, il en avisera le Comité et lui fournira une justification.

RECOMMANDATION 3

Que le Secrétariat du Conseil du Trésor présente au Comité permanent des comptes publics un plan d'action détaillé des mesures qu'il entend prendre pour mettre en œuvre les recommandations de la vérificatrice générale du Canada. Ce plan d'action doit préciser un calendrier de mise en œuvre et être présenté au Comité permanent des comptes publics au plus tard le 30 septembre 2005.

Un plan d'action détaillé sera présenté directement au Comité avant la fin de septembre 2005.

RECOMMANDATION 4

Que le Secrétariat du Conseil du Trésor se conforme aux exigences énoncées à l'annexe A de la Politique du gouvernement sur la sécurité et s'efforce de s'acquitter de sa fonction qui consiste à « fournir des conseils et de l'aide en matière de sécurité » et de surveiller « la mise en œuvre de la [P]olitique et l'état de la sécurité au sein du gouvernement du Canada ».

Le Secrétariat du Conseil du Trésor joue un rôle actif pour conseiller et aider les ministères et organismes à mettre en œuvre la politique de sécurité.

Le Secrétariat du Conseil du Trésor a tenu six ateliers interministériels pour aider les ministères à gérer la mise en œuvre des normes de gestion de la sécurité des TI (GSTI). Le Secrétariat continuera d'offrir ces ateliers pendant toute la période de mise en œuvre de la GSTI.

Le Secrétariat du Conseil du Trésor a établi un forum de collaboration interactive sur site Web à l'intention des coordonnateurs de la sécurité des TI et d'autres praticiens de la sécurité des TI pour leur permettre de partager l'information et des pratiques exemplaires, discuter des nouveautés et des questions d'intérêt commun, déterminer les problèmes et les préoccupations, et poser des questions. Le forum compte actuellement plus de 140 membres.

Le Secrétariat du Conseil du Trésor a également instauré la Semaine annuelle de sensibilisation en matière de sécurité pour tous les ministères et organismes fédéraux. En prévision de cette manifestation, le Secrétariat organise une Journée annuelle sur la politique de sécurité du gouvernement à l'intention des professionnels de la sécurité du gouvernement du Canada. En 2005, plus de 600 praticiens de la sécurité ont pris part à cette activité.

Les principaux organismes chargés de la sécurité offrent annuellement cinq séances d'information, incluant des mises à jour de la menace, aux agents de la sécurité des ministères.

La surveillance et la supervision de la sécurité des TI constituent une grande priorité du Secrétariat du Conseil du Trésor. En ce moment, le Secrétariat élabore et applique de nouvelles mesures pour améliorer l'évaluation du rendement, le surveillance et la supervision de la mise en œuvre de la politique et de « l'état de la sécurité des TI au sein du gouvernement du Canada ». Ces mesures constitueront le fondement des recommandations du Bureau du vérificateur général et du Comité à l'égard du surveillance et de la supervision.

La première étape de la mise au point du programme portant sur la surveillance et la supervision de la sécurité des TI consiste à établir un cadre intégré de mesure du rendement à l'égard de la sécurité des TI. Ce cadre reposera sur les résultats prévus afin de protéger les services offerts aux Canadiennes et aux Canadiens, et de sauvegarder l'information et les activités fédérales à l'appui de la prestation des services. On mettra au point des indicateurs de rendement clés qui ne sont pas fondés exclusivement sur la conformité, mais qui tiennent également compte de l'efficacité. Le cadre de mesure du rendement prendra également en compte les pratiques exemplaires et la vaste documentation disponible en la matière au sein du gouvernement de même qu'auprès d'organismes de normalisation, du secteur privé et d'autres administrations publiques.

Lorsque le cadre de mesure du rendement sera en place, le Secrétariat du Conseil du Trésor mettra au point un processus de surveillance et de supervision, et il le documentera dans la nouvelle norme sur les programmes de sécurité. Il exigera que les ministères élaborent un calendrier annuel de leurs activités prévues de surveillance de la sécurité des TI et que le Secrétariat en suive la mise en œuvre. La norme déterminera les méthodes de déclaration du rendement qu'il faudra appliquer pour que la haute direction à tous les niveaux du gouvernement dispose de l'information dont elle a besoin pour gérer la sécurité, notamment des rapports annuels au dirigeant principal de l'information et au secrétaire du Conseil du Trésor concernant la mise en œuvre de la Politique sur la sécurité et l'état de la sécurité des TI au sein du gouvernement du Canada.

Le Secrétariat élaborera également les outils nécessaires pour appuyer la mesure du rendement et les rapports connexes. On y retrouvera entre autres des autoévaluations, des banques de données et des structures de rapport pour la direction. Les principaux organismes du domaine de la sécurité joueront un rôle actif pour appuyer la supervision et la surveillance en effectuant des analyses transversales des plans de continuité des activités, des vulnérabilités et des incidents. Le Secrétariat du Conseil du Trésor envisagera également la possibilité d'effectuer des vérifications transversales de la sécurité des TI dans le cadre du régime de surveillance.

La mesure et la surveillance du rendement en matière de sécurité des TI seront conformes aux méthodes actuelles et elles réutiliseront l'information déjà offerte ou fournie par les ministères. Le Secrétariat intégrera la sécurité des TI dans les cadres existants, le cas échéant, y compris le cadre de responsabilisation de la gestion (CRG). Le Secrétariat prendra des mesures pour veiller à ce que les évaluations ministérielles du rendement de la sécurité des TI soient incluses dans les évaluations futures du CRG. Ces dernières seront améliorées une fois établi le cadre de mesure du rendement de la sécurité des TI.

La mise en œuvre du programme de surveillance sera coordonnée avec celle de la GSTI. À la fin de 2005, la Dirigeante principale de l'information remettra un rapport d'étape au Secrétaire du Conseil du Trésor sur les plans d'action de la GSTI qui renfermera une meilleure indication de l'état de la sécurité des TI. Pour assurer la surveillance de la mise en œuvre de la GSTI après décembre 2006, on mettra en place un processus de mesure et de surveillance plus complet qui sera utilisé pour fournir un rapport détaillé au Secrétaire du Conseil du Trésor, et ce, dès le début de 2007. La conformité à la norme de GSTI constituera un point de départ commun qui nous permettra de continuer d'intégrer et d'améliorer la sécurité des TI. Un programme continu et durable devant assurer la gestion du rendement relatif à la sécurité des TI s'effectuera sur une base annuelle.

RECOMMANDATION 5

Que le Secrétariat du Conseil du Trésor présente, dans ses rapports ministériels annuels sur le rendement, de l'information sur ses activités de surveillance exercées conformément aux dispositions de l'annexe A de la Politique du gouvernement sur la sécurité. Il doit indiquer la fréquence et la portée de ses activités de surveillance, les résultats obtenus et les mesures correctives prises. Il doit commencer à fournir ces données dans son rapport couvrant la période ayant pris fin le 31 mars 2005.

Le Secrétariat intégrera des activités de surveillance dans ses rapports ministériels annuels sur le rendement à compter de la période prenant fin le 31 mars 2006. Ce rapport énoncera les résultats de la surveillance relative à la mise en œuvre de la GSTI à l'été et à l'automne de 2005, de même que l'état d'avancement de la mise en œuvre d'un vaste programme de mesure du rendement, de surveillance et de supervision de la sécurité des TI.

RECOMMANDATION 6

Que le gouvernement vérifie si les ressources et les pouvoirs dont dispose le bureau du dirigeant principal de l'information lui permettent de diriger les activités de sécurité des TI à la grandeur du gouvernement, explore la possibilité de regrouper les ressources et les pouvoirs au sein d'un seul organisme qui assumerait l'entière responsabilité de la sécurité des TI à la grandeur du gouvernement et présente ses conclusions au Comité des comptes publics au plus tard le 31 décembre 2005.

La vérificatrice générale a noté l'amélioration de la coopération et de la coordination interagence. De concert avec les principaux organismes de sécurité, le Secrétariat du Conseil du Trésor continue de raffermir la gouvernance de la sécurité des TI.

Le gouvernement estime qu'il est trop tôt pour envisager des changements organisationnels quant aux rôles et responsabilités des principaux organismes de sécurité. De l'avis du gouvernement, les changements organisationnels ne doivent pas constituer la première étape des améliorations visant le programme de sécurité des TI à la grandeur du gouvernement. Tout en appliquant des activités telles la mise en œuvre de la GSTI et le passage à une infrastructure et à des services communs, le Secrétariat du Conseil du Trésor procédera à une vaste analyse pour déterminer la portée et la suffisance du programme de sécurité des TI à la grandeur du gouvernement. Les sous-ministres doivent transmettre leurs plans d'action de la GSTI au Secrétariat d'ici le 26 août 2005. Le Secrétariat procédera à une analyse détaillée de ces plans et déterminera si des changements doivent être apportés au programme de sécurité des TI afin d'atteindre les objectifs de la GSTI. Les résultats de ces analyses seront mis à la disposition du Secrétariat du Conseil du Trésor. En outre, le Secrétariat effectuera une analyse détaillée des répercussions, sur la sécurité, de la mise en œuvre des solutions d'entreprise pangouvernementales visant à consolider l'infrastructure et les services de GI/TI (par exemple, les services de détection des intrusions offerts par la Voie protégée).

Lorsque les enjeux sous-jacents auront été mieux compris, le Secrétariat du Conseil du Trésor, de concert avec les ministères et les principaux organismes de sécurité, étudiera les besoins en ressources et examinera la meilleure façon de coordonner et d'aligner les activités de sécurité des TI au sein du gouvernement.

RECOMMANDATION 7

Que le Secrétariat du Conseil du Trésor détermine les raisons du changement fréquent des titulaires du poste de dirigeant principal de l'information, analyse les résultats et présente au Comité des comptes publics un rapport ainsi qu'un plan d'action décrivant les mesures qu'il prendra en vue de porter à cinq ans le mandat du titulaire de ce poste, au plus tard le 31 décembre 2005.

Depuis la création de la DDPI en 1997, trois DPI ont été confirmés dans le poste. Le dernier DPI ayant été confirmé a occupé le poste pendant trois ans et neuf mois. Il s'agit là d'une période qui dépasse le roulement habituel de la plupart des autres postes de sous-ministre adjoint à l'échelle du gouvernement.

RECOMMANDATION 8

Que le Secrétariat du Conseil du Trésor élabore et mette en œuvre un plan de sensibilisation des cadres supérieurs, surtout des sous-ministres, à l'importance de la sécurité des TI et fournisse au Comité permanent des comptes publics une copie de ce plan au plus tard le 30 septembre 2005.

Le Secrétariat du Conseil du Trésor a déjà pris des mesures afin de mieux sensibiliser la haute direction au sujet de la sécurité des TI, notamment :

  • Des mesures intégrées portant sur la sécurité et la protection des renseignements personnels ont déjà été instaurées aux fins d'étalonnage de la gestion de l'information et des TI dans le Cadre de gestion de la responsabilisation.
  • En mai 2005, le secrétaire du Conseil du Trésor a avisé les administrateurs généraux qu'ils doivent signer et transmettre au Secrétariat les plans ministériels de mise en œuvre de la GSTI d'ici août 2005. Cette mesure permettra de sensibiliser davantage les sous-ministres à la sécurité des TI.
  • Le Forum sur la cyberprotection a été tenu en 2005 afin de favoriser la collaboration avec les intervenants qui établissent l'orientation gouvernementale, formulent des politiques et administrent des programmes. Parmi les délégués, on notait des cadres supérieurs, des dirigeants principaux de l'information, des directeurs, des décisionnaires en matière d'investissement dans les entreprises et dans les TI, et des gestionnaires supérieurs de programmes.
  • Le Centre de sécurité des télécommunications offre des modules de formation sur la sécurité dans le cadre de cours donnés par l'École de la fonction publique du Canada. L'un des objectifs consiste à faire fructifier ces initiatives pour intégrer de la formation en sécurité dans les cours de gestion.

En outre, les ministères devront faire rapport une fois l'an à leurs sous-ministres au sujet de l'état de la sécurité et remettre ces rapports au Secrétariat du Conseil du Trésor. Ainsi, on portera en permanence les problèmes liés à la sécurité des TI à l'attention des sous-ministres.

Un rapport complet sur la sensibilisation sera inclut dans le plan d'action qui sera fourni au Comité en septembre 2005.

RECOMMANDATION 9

Qu'un lien hiérarchique direct obligatoire soit établi pour les agents de sécurité des ministères et les coordonnateurs de la sécurité des TI par rapport à leurs sous-ministres.

RECOMMANDATION 10

Que les agents de sécurité des ministères occupent un poste stratégique au sein des ministères et des organismes afin qu'ils puissent exercer une influence réelle sur les stratégies pangouvernementales en matière de sécurité des TI et participer aux décisions budgétaires touchant la sécurité.

La Politique sur la sécurité recommande déjà que l'agent de sécurité du ministère « occupe un poste stratégique au sein de l'organisation de sorte à [sic] pouvoir fournir des conseils et une orientation stratégique aux cadres supérieurs de celle-ci ». Le Secrétariat du Conseil du Trésor examinera les rapports de vérification interne portant sur la sécurité pour déterminer la façon dont les ministères mettent en œuvre cette exigence.

Dans le cadre de son programme de normes, le Secrétariat du Conseil du Trésor élaborera une norme sur le programme de sécurité qui offrira une orientation au sujet de l'organisation et de la gouvernance ministérielles pour que les agents de la sécurité des ministères et les coordonnateurs de la sécurité des TI disposent de l'accès requis aux SM et aux cadres de direction des ministères. À ce titre, ils répondront, entre autres, à d'importants incidents ou problèmes de sécurité qui exigent l'attention du SM (p. ex. le refus d'autorisation de sécurité), de même que les rapports sur les risques pour la sécurité et l'état de la sécurité.

La norme sur la gestion du risque de sécurité renfermera une exigence, à savoir que les ministères doivent déterminer et évaluer leurs principaux risques et défis en matière de sécurité, et déterminer le niveau de risque acceptable dans le cadre du profil de risque. La haute direction doit approuver le profil de risque lié à la sécurité.

RECOMMANDATION 11

Que les ministères et organismes soient tenus d'élaborer, en priorité, un plan de continuité des activités, de le mettre à l'essai au moins tous les deux ans et de communiquer les résultats de l'essai au bureau du dirigeant principal de l'information au Secrétariat du Conseil du Trésor.

En vertu de la Politique de sécurité nationale, Sécurité publique et Protection civile Canada (SPPCC) est le ministère chargé de la mise à l'essai et de la vérification des responsabilités et activités clés des ministères fédéraux en matière de sécurité. Cette mesure comprend un examen des plans des ministères fédéraux visant à les rendre capables de maintenir leur fonctionnement en cas d'urgence. À ce titre, SPPCC élabore un vaste programme d'assurance de la qualité qui inclut la surveillance, les essais et l'évaluation des plans de continuité des activités. Les ministères feront rapport des résultats de ces essais et des activités de vérification à SPPCC. À son tour, ce dernier fera rapport une fois l'an au Secrétariat du Conseil du Trésor au sujet des résultats de la surveillance et des essais appliqués aux plans de continuité des activités afin de fournir une intervention précieuse au sujet de l'état global de la sécurité au sein du gouvernement.

Le Secrétariat du Conseil du Trésor et SPPCC ont accordé la priorité à l'exécution des plans de continuité des activités. L'obligation imposée aux ministères, à savoir élaborer des plans de continuité des activités, est énoncée dans la norme opérationnelle sur la planification de la continuité des activités diffusée par le Secrétariat en avril 2004. Pour faciliter la mise en œuvre de la norme, le Secrétariat du Conseil du Trésor, de concert avec SPPCC et l'École de la fonction publique du Canada, ont préparé un cours sur des plans de continuité des activités accessible partout au Canada. Par ailleurs, à l'automne de 2005, SPPCC fera parvenir un questionnaire d'analyse rapide aux ministères afin de vérifier leur conformité à la norme relative aux plans de continuité des activités.

La norme opérationnelle renferme une exigence d'essai et de validation périodique de tous les plans. Le gouvernement est d'accord en principe avec l'exigence de faire l'essai des plans tous les deux ans. En collaboration avec les ministères, SPPCC établira les essais appropriés pour le cycle proposé de deux ans. Dans le cadre de son programme de plans de continuité des activités et d'assurance de la qualité, SPPCC évaluera la suffisance des programmes d'essai des ministères.

RECOMMANDATION 12

Que le bureau du dirigeant principal de l'information effectue un examen pangouvernemental afin de vérifier le niveau total des ressources humaines, technologiques et financières consacrées à la sécurité des TI, au cours de l'exercice financier 2005-2006, au sein des ministères et organismes, qu'il en analyse les résultats afin de déterminer si ces ressources sont adéquates et qu'il présente ses conclusions au Parlement au plus tard le 30 avril 2006.

Le Secrétariat convient sans réserve de la nécessité d'un examen des dépenses relatives à la sécurité des TI. Il prévoit de mettre au point une vue d'ensemble des dépenses relative à la sécurité des TI, de même que le cadre d'une vaste démarche permettant de gérer les investissements dans la sécurité des TI; cependant, il est extrêmement difficile de satisfaire ce besoin, et nous ne serons pas en mesure d'y parvenir avant avril 2006 en raison de la complexité du travail à effectuer.

Le Secrétariat du Conseil du Trésor a déjà commencé à recueillir des renseignements sur les dépenses de sécurité des TI. L'examen des Services des technologies de l'information mené en 2004-2005 a permis de recueillir des données sur les dépenses touchant la sécurité des TI auprès de 48 ministères et organismes qui représentent 94 % de l'investissement total en GI/TI pour le gouvernement en 2003-2004. Bien que ces renseignements soient très valables, ils ne fournissent pas un tableau complet de toutes les dépenses relatives à la sécurité des TI parce qu'une partie importante est enchâssée dans divers programmes ministériels. Les résultats de l'examen des dépenses ont indiqué qu'il serait possible de réaliser des gains d'efficience au moyen des services et de l'infrastructure des TI. Cette conclusion s'applique également à la sécurité des TI, et des options portant sur les services communs de sécurité des TI seront examinées de plus près dans le cadre de l'élaboration de solutions d'entreprise pangouvernementales.

Il est extrêmement difficile de tracer un tel concept puisqu'il n'existe aucune définition universelle de la sécurité des TI ou de moyen pour définir et effectuer un suivi des coûts. De plus, ces coûts sont souvent intégrés à de nombreux secteurs de programmes. Par exemple, les mesures de protection relatives à la sécurité sont intégrées dans presque chaque composante de TI, y compris les licences logicielles, les ordinateurs de bureau, les applications et les réseaux. Les marchés concurrentiels à prix fixe peuvent également ne pas fournir le genre de répartition détaillée des prix requise pour saisir tous les frais relatifs à la sécurité. Dans d'autres cas, il n'est pas facile de déterminer les éléments à prendre en compte dans les dépenses relatives à la sécurité.

En outre, de nombreuses variables permettent de préciser le niveau convenable de coûts liés à la sécurité des TI. Par exemple, les coûts doivent être proportionnels au profil de risque du ministère, qui fluctue sensiblement dans l'ensemble du gouvernement. Par conséquent, les coûts liés à la sécurité des TI doivent être envisagés dans le contexte du cadre global d'évaluation du rendement en matière de sécurité des TI.

Ce problème n'est pas exclusif au gouvernement. Les renseignements sur les dépenses en sécurité sont incertains et souvent peu fiables dans le secteur privé pour des motifs semblables à ceux susmentionnés.

Le Secrétariat du Conseil du Trésor continuera d'évaluer les démarches utilisées pour régler ce problème dans le but de préciser et d'étalonner les dépenses relatives à la gestion des TI au gouvernement. Des analyses de rentabilisation seront effectuées aux fins de l'élaboration et de la mise en œuvre de services de sécurité communs dans le but d'accroître l'efficience. L'analyse de l'accès à des ressources suffisantes et le niveau convenable d'investissement constitueront un facteur important dans le cadre de l'examen des plans de mise en œuvre de la GSTI et, par la suite, de la conformité de la GSTI au plus tard en décembre 2006. Les résultats de cette analyse seront pris en compte dans les rapports sur la conformité de la GSTI qui seront remis au secrétaire du Conseil du Trésor à la fin de 2005 et au début de 2007.

ANNEXE : PLAN D'ACTION EN MATIÈRE DE SÉCURITÉ DES TI

INTRODUCTION

Le 21 septembre 2005, le gouvernement a soumis sa réponse au Quatorzième rapport du Comité permanent des comptes publics (PACP), intitulé Chapitre 1, La sécurité des technologies de l'information du Rapport de février 2005 du vérificateur général du Canada.

Comme l'indique cette réponse, le Secrétariat du Conseil du Trésor s'engage à soumettre directement au Comité des plans d'action détaillés d'ici le 30 septembre 2005. Le présent plan répond spécifiquement aux recommandations 3 (recommandations 1.22, 1.38, 1.46, 1.71, 1.74, 1.75 du BVG) et 8 du PACP. Ce plan s'inspire de la réponse du gouvernement pour l'améliorer.

PLANS D'ACTION POUR LA MISE EN ŒUVRE DES RECOMMANDATIONS DU VÉRIFICATEUR GÉNÉRAL DU CANADA

RECOMMANDATION 3 DU CPP

Que le Secrétariat du Conseil du Trésor présente un plan d'action détaillé au Comité permanent des comptes publics décrivant les mesures qu'il prendra pour mettre en œuvre les recommandations de la vérificatrice générale du Canada. Ce plan d'action doit stipuler les dates cibles de la mise en œuvre et être présenté au Comité permanent des comptes publics, au plus tard le 30 septembre 2005.

RECOMMANDATION 1.28 DU BVG

Le Secrétariat du Conseil du Trésor devrait terminer l'élaboration de toutes les normes de sécurité soutenant la Politique du gouvernement sur la sécurité et la norme GSTI (Gestion de la sécurité des technologies de l'information). Il devrait, en particulier :

  • traiter en priorité les normes de sécurité des TI (technologies de l'information) qui ont été identifiées et qui n'ont pas encore été élaborées;
  • préparer un plan d'action assorti d'un échéancier pour chaque norme;
  • identifier de façon continue les aspects de la sécurité des TI pour lesquels des normes sont requises.

Comme le gouvernement l'a indiqué dans sa réponse, le Secrétariat du Conseil du Trésor du Canada accélère l'élaboration du plan des normes. Le tableau suivant donne des précisions sur la situation et le calendrier du projet.

NORME SITUATION PUBLICATION
Niveau de préparation des installations du gouvernement fédéral Publiée.
(Nota : Une version non classifiée a été publiée dans le site Web du gouvernement; une version classifiée est mise à la disposition des membres du personnel autorisés à accéder à l'information de niveau Secret.)		 Octobre 2002
Procédures administratives associées à la Loi sur la protection de l'information Publiée.
Cette norme est en cours de révision conformément à son article 8, lequel prévoit un examen par le Secrétariat du Conseil du Trésor, de concert avec les ministères, deux ans après publication.		 Mars 2003
Planification de la continuité opérationnelle Publiée. Avril 2004
Gestion de la sécurité des technologies de l'information Publiée. Mai 2004
Sécurité matérielle Publiée. Novembre 2004
Gestion du risque de sécurité Première ébauche rédigée.
Les consultations interministérielles débuteront en septembre 2005.		 Décembre 2005
Programme de sécurité Première ébauche en cours de rédaction. Décembre 2005
Sécurité dans le cadre des marchés Première ébauche rédigée.
Les consultations interministérielles débuteront en septembre 2005.		 Décembre 2005
Formation et sensibilisation en matière de sécurité Première ébauche rédigée.
Les consultations interministérielles débuteront en septembre 2005.		 Décembre 2005
Identification des biens Première ébauche rédigée.
Les consultations interministérielles débuteront en septembre 2005.		 Décembre 2005
Gestion des incidents relatifs à la cybersécurité Première ébauche rédigée.
Lignes directrices provisoires disponibles en octobre 2005.
Les consultations interministérielles débuteront en septembre 2005.		 Mars 2006
Protection des employés Première ébauche en cours de rédaction. Mars 2006
Vérifications de fiabilité et de sécurité Première ébauche rédigée; consultation juridique en cours.
Les consultations interministérielles débuteront en septembre 2005.		 Mars 2006
Partage d'information La rédaction n'a pas commencé. Juillet 2006
Enquêtes de sécurité et sanctions Première ébauche en cours de rédaction.
Doit être publiée en juillet 2006.		 Juillet 2006
Détection des intrusions Lignes directrices provisoires publiées en avril 2004.
Première ébauche terminée; consultation juridique en cours.		 Juillet 2006

RECOMMANDATION 1.38 ET 1.39 DU BVG

Les ministères et les organismes assujettis à la Politique du gouvernement sur la sécurité devraient préparer un plan d'action donnant le calendrier qu'ils entendent suivre pour se conformer pleinement aux exigences en matière de sécurité des TI de la Politique et de la norme sur la gestion de la sécurité des technologies de l'information. Ce plan d'action devrait être approuvé par l'administrateur général ou son délégué et présenté au Secrétariat du Conseil du Trésor.

Le Secrétariat du Conseil du Trésor devrait exiger que les ministères et les organismes assujettis à la Politique du gouvernement sur la sécurité préparent des plans d'action opportuns en matière de sécurité des TI; fassent un suivi de ces plans peu après décembre 2006; et fassent rapport au secrétaire du Conseil du Trésor sur les organisations qui ne s'y conforment pas.

Le Secrétariat du Conseil du Trésor du Canada (SCT) continue son travail avec les ministères et les organismes pour mettre en place les recommandations de la vérificatrice générale. En date du 15 septembre, soixante et un pour cent des ministères et des organismes avaient présentés leurs plans sur la gestion de la sécurité en technologie de l'information (GSTI). À cause de circonstances uniques, neuf pour cent des ministères et organismes ont indiqués qu'ils ne présenteraient pas leurs plans, tandis que vingt pour cent des ministères et organismes présenteront leurs rapports en retard. Le SCT fera le suivi des dix pour cent restant pour confirmer la date de remise de leurs plans.

Le SCT procède actuellement à une analyse et ne prévoit pas de retard au calendrier actuel.

MESURE DATE CIBLE
Lettre aux sous ministres concernant les plans d'action relatifs à la gestion de la sécurité des TI (GSTI) Le 11 mai 2005
Consultation des ministères En cours
Séances d'information interministérielles sur la GSTI Bimensuelles
Présentation au Secrétariat du Conseil du Trésor des plans d'action sur la GSTI Le 26 août 2005
Examen et analyse des plans d'action relatifs à la GSTI Octobre 2005
Rapport au secrétaire Décembre 2005
Lettre aux sous ministres concernant l'état de la GSTI Janvier 2006
Date cible pour l'application de la norme GSTI dans les ministères Décembre 2006
Rapports ministériels Janvier 2007
Vérification et évaluation de la sécurité des TI Mars 2007
Examen et analyse de la conformité des ministères à la norme GSTI Avril 2007
Rapport au secrétaire sur la GSTI Mai 2007
Suivi en cas de manquements à la norme Au besoin

RECOMMANDATION 1.46 ET 1.47

La haute direction des ministères et des organismes devrait s'assurer que les risques liés à la sécurité des TI sont pris en compte lors de la préparation du profil de risque de l'organisation, et ce en identifiant, en évaluant les principaux risques et enjeux liés à la sécurité des TI et en déterminant le niveau de risque acceptable.

Le Secrétariat du Conseil du Trésor devrait fournir aux ministères et aux organismes des consignes et des outils pour qu'ils intègrent la sécurité des TI en tant qu'élément essentiel dans le profil de risque de leur organisation.

La norme en matière de gestion de la sécurité de l'information, qui devrait être établie en décembre 2005, demandera aux ministères et organismes d'identifier leurs principaux risques et défis, et de déterminer le niveau de risque de leur profil de risque ministériel. La haute direction devra approuver leur profil de risque et le Secrétariat surveillera la conformité dans le cadre du programme de contrôle et de surveillance.

De plus, la norme de la GSTI exige que les gestionnaires de programme et de prestation de services, au nom des sous-ministres, pour s'assurer d'un niveau approprié de sécurité de leurs programmes et services. Les gestionnaires doivent déterminer les exigences en matière de sécurité de la TI de leurs programmes et services, et accepter le risque résiduel associé. Le Secrétariat s'assurera de la conformité à ces exigences en examinant les plans d'action de la GSTI et les rapports de conformité en 2007.

Le Secrétariat fournit des conseils et des outils aux ministères et aux organismes pour inclure la sécurité en TI à titre d'élément clé de leur profil de risque ministériel par l'entremise des initiatives suivantes :

  • Le Secrétariat du Conseil du Trésor a mené six ateliers interministériels pour aider les ministères dans leur gestion de la mise en œuvre de la norme de sécurité en TI (GSTI). Le Secrétariat poursuivra ces ateliers tout au long de la mise en œuvre de la GSTI.
  • Le Secrétariat du Conseil du Trésor a établi un forum de collaboration interactive sur le Web pour les coordonnateurs de la sécurité en TI et les autres professionnels en sécurité de la TI. Ce forum permet de partager de l'information et des pratiques exemplaires, de discuter des développements et sujets courants d'intérêt commun, et de préciser les questions et les préoccupations concernant l'identification et la réduction des risques. Jusqu'à maintenant, le forum a attiré plus de 140 membres.
  • Les organismes chef de file en sécurité préparent des séances de breffage.
  • Le Centre de la sécurité des télécommunications et la GRC fournissent la formation en gestion du risque pour éduquer les ministères et organismes à identifier et réduire le risque.
  • La GRC et le Centre de la sécurité des télécommunications travaillent à mettre au point un guide cohérent d'évaluation de la menace et des risques ainsi que des outils pour aider les ministères à identifier et réduire le risque.
  • Le Centre de la sécurité des télécommunications et le Secrétariat du Conseil du Trésor parrainent le développement d'un outil d'approvisionnement pour aider les ministères et les organismes à obtenir l'expertise et les compétences en vue de services complets de gestion du risque en sécurité de la TI. Cet Arrangement en matière d'approvisionnement pour la cyberprotection comprendra :
    • Des évaluations techniques de la vulnérabilité sur les lieux
    • Des évaluations de la menace et du risque
    • La certification et l'accréditation
    • La planification de la continuité des activités (PCA)
    • Les services de planification de plan de reprise après sinistre
MESURE DATE CIBLE
Séances de breffage pour agents ministériels de la sécurité Bimensuelles
Séances de breffage pour les coordonnateurs en sécurité de la technologie de l'information Bimensuelles
Mettre en place le Forum sur la sécurité du Web Établi en juin 2004
Formation en gestion du risque au Centre de la sécurité des télécommunications et de la GRC En cours
Norme sur la Gestion du risque de sécurité Décembre 2005
Guide uniformisé d'évaluation de la menace et des risques Mars 2006
Entente en matière d'approvisionnement pour la cyberprotection Mai 2006

RECOMMENDATION 1.71, 1.74 ET 1.75

Les ministères et les organismes assujettis à la Politique du gouvernement sur la sécurité devraient présenter au Secrétariat du Conseil du Trésor le calendrier annuel de leurs activités prévues en matière de surveillance de la sécurité des TI, y compris les autoévaluations, les évaluations de la vulnérabilité et les travaux de vérification interne. Ils devraient également transmettre au Secrétariat un exemplaire de leurs rapports de vérification interne dans les trois mois qui suivent la vérification.

Le Secrétariat du Conseil du Trésor devrait surveiller les ministères et les organismes afin de d'assurer qu'ils effectuent des vérifications en temps opportun et mènent d'autres activités de surveillance liées à la sécurité des TI.

Le Secrétariat du Conseil du Trésor devrait produire, de façon ponctuelle, le rapport à mi terme sur l'efficacité de la Politique du gouvernement sur la sécurité, tel que le prescrit la politique en question.

Le Secrétariat élabore et met en œuvre un programme amélioré de contrôle et de surveillance de la sécurité en TI qui dépasse les recommandations de la vérificatrice générale. Ce programme comprend les activités suivantes, qui sont décrites en détail dans la réponse du gouvernement :

  • La préparation d'un cadre de la mesure de rendement pour la sécurité en TI qui établira les indicateurs clés sur le rendement en se basant sur la conformité et l'efficacité.
  • La norme de sécurité du programme, à terminer d'ici décembre 2005, qui exigera que les ministères et organismes soumettent un échéancier annuel de leurs activités prévues en matière de surveillance de la TI au Secrétariat. L'élément des rapports sur le rendement permettra de s'assurer que la haute direction, à tous les ordres de gouvernement, possède l'information nécessaire pour gérer la sécurité.
  • Le développement d'outils, tels que les autoévaluations, les bases de données et des structures de rapports à la direction, exige de soutenir une mesure de rendement et la préparation de rapports.
  • Des analyses horizontales, la surveillance et la contrôle des plans de continuité des activités, les vulnérabilités et les incidents seront menées en collaboration avec les principaux ministères et organismes.
  • La sécurité en TI sera incorporée dans l'évaluation du futur cadre de gestion de la responsabilisation (CGR), à compter de 2005-2006.
  • Le Secrétariat prendra des mesures pour s'assurer que les ministères et organismes soumettent leurs plans et rapports de vérification interne. Le Secrétariat croit présenter une vérification interne de la sécurité en TI en 2007.
MESURE DATE CIBLE
Rapport à mi terme sur l'efficacité de la Politique du gouvernement sur la sécurité Terminé en août 2005
Cadre de mesure du rendement en matière de sécurité des TI Novembre 2005
Exigences de contrôle et de surveillance stipulées dans la norme du Programme de sécurité Décembre 2005
Évaluations de la sécurité en matière de TI dans le Cadre de responsabilisation de gestion Annuellement à partir de 2005-2006
Surveillance comprise dans le Rapport sur le rendement du Secrétariat du Conseil du Trésor Annuellement à partir de 2005-2006
Plans ministériels de contrôle de la sécurité en matière de TI Annuellement à partir de 2006-2007
Rapports sur le rendement ministériel en matière de cybersécurité Annuellement à partir de 2006-2007
Rapport au secrétaire concernant l'état de la sécurité Annuellement à partir de 2006-2007

PLAN D'ACTION SUR L'AMÉLIORATION DE LA SENSIBILISATION DE LA HAUTE DIRECTION

RECOMMANDATION 8 DU CPP

Le Secrétariat et du Conseil du Trésor développe et met en oeuvre un plan sur la sensibilisation à l'importance de la sécurité en TI parmi les gestionnaires ministériels, en mettant l'emphase sur les sous-ministres, et fournit au Comité permanent des comptes publics une copie de ce plan, au plus tard le 30 septembre 2005.

Le Secrétariat prend des mesures pour améliorer d'une manière significative la sensibilisation à la sécurité. Tel que décrit ci-haut, une partie du programme de sensibilisation se concentre sur la haute direction et les sous-minitres.

Pour ce faire, on a demandé aux sous-ministres d'approuver les plans d'action ministériels sur la GSTI. Ce qui permettra la participation des SM au processus d'approbation de planification visant la conformité à la GSTI, d'ici décembre 2006.

La norme de sensibilisation à la sécurité et à la formation stipulera les exigences de la sensibilisation de la haute direction. Le Secrétariat développera, par la suite, un module de sensibilisation à l'intention de la haute direction et travaillera en collaboration avec l'École de la fonction publique du Canada afin de veiller à ce que ces modules soient incorporés de façon appropriée dans le cadre des cours qu'elle offre. À la suite de ces efforts, la haute direction et les sous-ministres participeront activement à la surveillance et au contrôle de la sécurité en TI, grâce à des rapports ministériels annuels de rendement sur la sécurité qui seront inclus au rapport pangouvernemental annuel sur l'« état de la sécurité » qui sera présenté au Secrétariat du Conseil du Trésor. De plus, le Secrétariat inclura les indicateurs de sécurité en TI dans le cadre de gestion de la responsabilisation qui décrit les attentes en vue d'une saine gestion dans la fonction publique.

Ce plan permettra d'accroître la participation de la haute direction et par conséquent la compréhension, l'engagement et la surveillance de la sécurité en TI.

MESURE DATE CIBLE
Approbation par les sous ministres des plans d'action ministériels en matière de GSTI Le 26 août 2005
Évaluations de la sécurité en matière de TI dans le Cadre de responsabilisation de gestion Annuellement à partir de 2005-2006
Rapports sur le rendement ministériel en matière de cybersécurité aux SM Annuellement à partir de 2006-2007
Rapport au secrétaire concernant le rapport sur « l'état de la sécurité » à l'échelle du gouvernement Annuellement à partir de 2006-2007
Norme sur la sensibilisation et la formation en matière de sécurité Décembre 2005
Cours sur la politique et les normes du gouvernement en matière de sécurité donné par l'École de la fonction publique du Canada Décembre 2006
Module de sensibilisation à l'intention de la haute direction (présentation par les responsables de la sécurité dans les ministères) Décembre 2006