Audit de la sécurité de la technologie de l’information : Mise en œuvre de la feuille de route

Mai 2016

7050-33-10 (SMA(Svcs Ex))

Revu par le SMA(Svcs Ex) conformément à la Loi sur l'accès à l'information. Renseignements NON CLASSIFIÉS.

Acronymes et abréviations

 

ASM

Agent de sécurité du ministère

BPR

Bureau de première responsabilité

CCSS

Comité consultatif supérieur sur la sécurité

CEMD

Chef d'état-major de la défense

CGI

Conseil de gestion de l'information

DGSD

Directeur général – Sécurité de la défense

Dir Sécur GI

Directeur – Sécurité (Gestion de l'information)

CTSRI

Comité des techniques de sécurité relatives à l'information

GI

Gestion de l'information

PSM

Plan de sécurité ministérielle

SM

Sous-ministre

SMA(GI)

Sous-ministre adjoint (Gestion de l'information)

SMA(Svcs Ex)

Sous-ministre adjoint (Services d'examen)

TI

Technologie de l'information

VCEMD

Vice-chef d'état-major de la défense

MDN/FAC

Ministère de la Défense nationale et Forces armées canadiennes

Sommaire des résultats

Évaluation globale

  • Security governance structure needs to further evolve to provide authoritative direction and expectations, and effective coordination with the Defence Security Program.
  • Processes to support management of and accountability for IT security plans need

À la suite de l'examen de l'équipe de réforme de la sécurité en 2013, il y a eu une évolution considérable du Programme de sécurité du ministère de la Défense nationale (MDN) et des Forces armées canadiennes (FAC) et un engagement renouvelé de la haute direction visant à améliorer la façon dont le Programme est régi et géré. Par exemple, le vice-chef d'état-major de la défense (VCEMD) a établi l'organisation du Directeur général – Sécurité de la défense (DGSD), et on a attribué à ce poste la désignation d'agent de sécurité du Ministère (ASM). Parallèlement, le DGSD a délégué l'entière autorité fonctionnelle pour le Programme de la sécurité de la défense, et le sous-ministre adjoint (Gestion de l'information) (SMA(GI)) a conservé l'autorité fonctionnelle pour la sécurité de la TI, qui est l'une des composantes du Programme de sécurité.

Le SMA(GI) est appuyé par le coordonnateur de la sécurité de la TI, à savoir le Directeur – Sécurité (Gestion de l'information) (Dir Sécur GI), qui est également l'autorité déléguée pour la sécurité de la TI au sein du Ministère. Même si un nouveau cadre pour le Programme de sécurité de la défense a été établi afin d'appuyer l'autorité fonctionnelle de l'ASM, le Ministère n'a pas mené d'examen équivalent du cadre de gouvernance de la sécurité de la TI. Par conséquent, le Programme de sécurité de la TI n'a pas évolué de la même manière.

Aux termes de l'autorité d'une directive du VCEMD, le Dir Sécur GI a été désigné responsable de l'élaboration d'une feuille de route de la sécurité de la TI, qui allait fournir un aperçu du Programme de sécurité de la TI. L'état final attendu était une liste d'activités coordonnée et définie par ordre de priorité à l'échelle du Ministère, qui garantirait que les priorités en matière de sécurité de la TI sont traitées de la manière la plus efficace et la plus rapide possible, avec le moins de dédoublements possible.

Le Plan d'audit axé sur les risques de 2014-2015 à 2015-2016 comprenait un audit de la sécurité de la TI. L'objectif de l'audit consistait à évaluer les pratiques de gouvernance et de contrôle mises en place pour garantir la mise en œuvre de la feuille de route de la sécurité de la TI. L'audit a mis en évidence une possibilité de consolider les pratiques de gouvernance et de contrôle pour le Programme de sécurité de la TI afin d'appuyer le SMA(GI) dans l'exercice efficace de son autorité fonctionnelle pour la sécurité de la TI dans l'ensemble du Ministère. La consolidation des pratiques de gouvernance et de contrôle servirait égale de base à l'attribution des responsabilités en ce qui a trait aux objectifs, aux priorités et aux attentes en matière de sécurité de la TI au sein du MDN et des FAC, tel qu'il est décrit dans la feuille de route de la sécurité de la TI.

Conclusions et recommandations

Conclusion. Le Programme de sécurité de la TI doit être appuyé par une orientation claire pour les objectifs et les priorités du programme, sur la base d'une compréhension commune des risques, des contrôles existants et des lacunes connexes. Les autorités qui doivent établir et gérer le Programme de sécurité de la TI sont définies; cependant, les autorités déléguées n'ont pas été exercées efficacement et les organes de gouvernance et de processus de soutien n'avaient pas été déployés. L'évolution du cadre de gouvernance appuiera le SMA(GI) dans l'exercice de l'autorité fonctionnelle pour la sécurité de la TI et permettra une meilleure coordination avec le Programme de sécurité de la défense.

On recommande que le SMA(GI) procède aux tâches suivantes :

  • élaborer le cadre de gouvernance en vue d'appuyer l'exercice de l'autorité fonctionnelle pour la sécurité de la TI à l'échelle du MDN et des FAC;
  • établir des processus visant à définir les objectifs et les priorités du Programme de sécurité de la TI dans le contexte du cadre de gouvernance (à élaborer) et des risques repérés.

Conclusion. Les processus nécessaires pour donner l'assurance que les organisations responsables offrent des ressources et exécutent des plans de sécurité de la TI n'ont pas été établis. Le Dir Sécur GI a affecté du personnel à l'élaboration et à la mise en œuvre de processus afin de garantir, de manière horizontale, la coordination, la surveillance et la production de rapports liées à la mise en œuvre de la feuille de route de la sécurité de la TI. Une fois établis, ces processus doivent fournir les renseignements nécessaires pour considérer les organisations responsables comme étant garantes de leur contribution à l'atteinte des objectifs et de leur incidence sur le risque résiduel. Ils doivent également fournir de l'information précieuse qui pourrait être utilisée pour réévaluer les risques et les objectifs et priorités à l'échelle du programme.

On recommande que le SMA(GI) procède aux tâches suivantes :

  • établir des processus en vue d'assurer, de manière horizontale, la coordination, la surveillance et la production de rapports concernant les objectifs, les priorités et les activités du Programme de sécurité de la TI;
  • concevoir des mécanismes de responsabilisation dans le contexte du cadre de gouvernance de la sécurité de la TI (à concevoir) afin d'inclure les progrès, le rendement et les répercussions sur le risque résiduel au niveau du Ministère, du programme et du système.

Remarque : Veuillez consulter l'Annexe A—Plan d'action de la direction pour la réponse de la direction aux recommandations du SMA(Svcs Ex).

1.0 Introduction

1.1 Contexte

En réponse aux nombreux audits soulignant le besoin d'amélioration dans l'ensemble du Programme de sécurité de la défense, le sous-ministre (SM) et le VCEMD ont mis sur pied une équipe de réforme de la sécurité en mars 2013. Cette équipe était chargée de mener un examen complet du Programme de sécurité de la défense, de fournir des recommandations afin d'élaborer un programme plus robuste et plus habilitant et de gérer les risques définis au cours d'audits antérieurs. Ses recommandations ont été approuvées par le SM et le VCEMD, donnant lieu à des modifications significatives au Programme. De nouvelles structures de gestion ont été établies, des politiques ont été renouvelées, des ressources ont été attribuées et des plans ont été élaborés pour gérer les domaines à risque cernés.

La feuille de route de la sécurité de la TI a été élaborée en mars 2014 à la suite de l'approbation des recommandations de l'équipe de réforme de la sécurité, afin de fournir un aperçu du Programme de sécurité de la TI, qui est l'une des composantes du Programme de sécurité de la défense. L'effet désiré était de fournir une base pour s'assurer que les priorités en matière de sécurité de la TI étaient traitées dans l'ensemble du Ministère de la manière la plus efficace et la plus rapide possible.

Le Plan d'audit axé sur les risques de 2014-2015 à 2015-2016 comprenait un audit de la sécurité de la TI. Un nouvel accent sur la gestion efficace et l'exécution du Programme de sécurité de la Défense a rendu opportun cet audit visant à examiner la gouvernance à l'appui et les mécanismes de contrôle en place pour garantir que la feuille de route de sécurité de la TI serait mise en œuvre en vue de gérer les risques connexes en matière de sécurité.

1.1.1 Politique du gouvernement du Canada sur la sécurité du gouvernement

Cette politique cerne les exigences qui permettront d'obtenir l'assurance que les administrateurs généraux gèrent efficacement les activités de sécurité au sein des ministères et qu'ils contribuent à l'efficacité de la gestion de la sécurité à l'échelle du gouvernement.

Le SM et le chef d'état-major de la défense (CEMD), à titre d'administrateurs généraux pour le MDN et les FAC, sont chargés1 d'établir un programme de sécurité qui :

  • repose sur une structure de gouvernance assortie de responsabilités claires;
  • comporte des objectifs précis qui cadrent avec les politiques, les priorités et les plans ministériels et pangouvernementaux;
  • est suivi, évalué et fait l'objet de rapports afin de mesurer les efforts, les ressources et les réussites de la direction à l'égard de l'atteinte des résultats escomptés.

Le SM et le CEMD sont responsables de la désignation d'un ASM pour gérer le programme de sécurité. Cette gestion inclut des responsabilités en ce qui a trait à la planification, à l'établissement de gouvernance, à la gestion des risques liés à la sécurité, à la supervision, à la mesure et à l'évaluation du rendement ainsi qu'à la prestation de soutien pangouvernemental. L'ASM doit relever du SM ou du CEDM dans le cadre de l'exécution de ses tâches.

Pour la sécurité de la TI, les ministères doivent désigner un coordonnateur de la sécurité de la TI qui relève au moins du dirigeant principal de l'information (DPI) du Ministère et de l'ASM.2 Les responsabilités du coordonnateur de la sécurité de la TI comprennent l'établissement et la gestion d'un programme ministériel de sécurité de la TI dans le cadre d'un programme coordonné de sécurité du Ministère, de la prestation de conseils, de la surveillance de la conformité, et de l'intervention à titre de personne-ressource principale du Ministère en matière de sécurité de la TI.

Les ministères sont chargés de sélectionner, de mettre en œuvre, de surveiller et de maintenir des contrôles durables de sécurité pour atteindre des objectifs de contrôle en matière de sécurité.3 La Directive sur la gestion de la sécurité ministérielle du Secrétariat du Conseil du Trésor cerne 15 domaines pour les objectifs de contrôle de sécurité, y compris la sécurité de la TI, devant être atteints par les ministères. Ces derniers peuvent sélectionner et mettre en œuvre des contrôles de sécurité supplémentaires fondés sur les résultats de leurs évaluations des risques. Un plan de sécurité ministérielle (PSM) est requis pour décrire en détail les décisions de gestion des risques liés à la sécurité ainsi que les stratégies, les objectifs et les calendriers en lien avec les améliorations.

1.1.2 Programme de sécurité de la défense

Avec l'approbation des recommandations de l'équipe de réforme de la sécurité, le VCEMD a établi l'organisation du DGSD, tandis que le SM et le CEMD ont délégué l'autorité fonctionnelle de l'ASM4 pour l'ensemble du Programme de sécurité de la défense à ce poste. La capacité de l'organisation à traiter les problèmes de sécurité a depuis évolué rapidement vers une certaine maturité. Malgré le fait que certaines composantes du programme de sécurité (p. ex. sécurité du personnel, sécurité physique) étaient centralisées sous le DGSD, les autorités fonctionnelles pour d'autres composantes de sécurité du programme, y compris la sécurité de la TI, sont restées en dehors de la compétence de l'organisation du DGSD. Pour permettre à l'ASM d'exercer son autorité à l'égard du Programme de sécurité de la défense, une coordination étroite avec d'autres autorités fonctionnelles ainsi que la production de rapports périodiques par ces autorités, est requise.

En plus de ces changements apportés à la structure organisationnelle, il a été recommandé que des organismes de gouvernance soient établis pour soutenir l'exécution du Programme de sécurité de la défense. Le Comité consultatif supérieur sur la sécurité (CCSS) a été rétabli en tant qu'organisme consultatif pour le SM et le CEMD, fournissant des conseils et une supervision liés à des problèmes de sécurité touchant le Ministère. Le CCSS est présidé par le VCEMD et appuyé par l'ASM. Ses responsabilités, qui sont énumérées dans le mandat,5 comprennent les suivantes :

  • fournir des directives en matière de gestion des risques liés à la sécurité et prendre des décisions qui garantissent que tous ces risques sont documentés, évalués et traités comme il se doit, proportionnellement à la tolérance du risque résiduel;
  • veiller à ce que les résultats des évaluations de risques liés à la sécurité soient intégrés dans un profil de risque de l'organisation, qui garantit l'harmonisation des priorités en matière de sécurité avec l'Architecture d'alignement des programmes, le Rapport sur les plans et les priorités, le Rapport ministériel sur le rendement, et les autres plans et rapports stratégiques;
  • assurer un leadership collaboratif en vue de garantir que des mesures de sécurité appropriées, des stratégies d'atténuation des risques et des ressources sont en place pour la gestion efficace et efficiente de la sécurité au sein du MDN et des FAC afin d'inclure l'acheminement de sujets de sécurité par l'intermédiaire de la chaîne de commandement, et ce, aux fins de discussion et de décision appropriées;
  • examiner les résultats des mesures du rendement, des audits et des évaluations afin de cerner les domaines d'amélioration et de suivre les progrès vers l'atteinte des résultats désirés;
  • appuyer l'élaboration et l'exécution du PSM.

Quatre sous-comités ont également été établis et se sont vu confier la responsabilité de soumettre les préoccupations en matière de sécurité de leur domaine respectif à l'attention du CCSS, y compris celles qui touchent la sécurité de la TI.

Le nouvel accent sur la sécurité ministérielle a également donné lieu à la promulgation de plusieurs documents clés. Un nouveau cadre politique appelé « Ordonnances et directives de sécurité de la Défense nationale » a été publié en juin 2015, et a préséance sur les instruments politiques antérieurs. Ce nouveau cadre politique a servi à mettre à jour les autorités, les rôles et les responsabilités du DGSD, des organismes de Niveau 16 et de l'ensemble du personnel du MDN et des FAC relativement au programme de sécurité. Il a également permis de mettre à jour les exigences des politiques ministérielles dans l'ensemble des composantes du programme de sécurité, y compris la gestion des risques liés à la sécurité, la sécurité de la TI, la supervision et la conformité.

En outre, le premier PSM a été approuvé par le SM et le CEMD en mai 2015, respectant ainsi l'exigence de la Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor (2009). Les principaux objectifs du PSM étaient de détailler des décisions en matière de gestion des risques liés à la sécurité et de décrire les stratégies, les objectifs, les priorités et les calendriers pour l'amélioration de la sécurité au cours des trois prochaines années.

Le processus utilisé pour élaborer le PSM a été documenté et est fondé sur une méthode d'évaluation des risques liés à la sécurité décrite comme étant en concordance avec les lignes directrices du Secrétariat du Conseil du Trésor et le profil de risque du MDN et des FAC. L'élaboration du PSM constituait la première tentative de collecte et d'évaluation d'information sur les risques liés à la sécurité dans l'ensemble du Ministère, du point de vue des programmes, du domaine des objectifs de contrôle de la sécurité et des organisations du Niveau 1. Sur la base de cette évaluation, des plans étaient requis pour traiter les domaines à risque évalués comme étant au-dessus du seuil de tolérance acceptable. Le DGSD devrait fournir des rapports d'étape périodiques sur la mise en œuvre du PSM au CCSS.

Le MDN et les FAC ont adopté les 15 domaines de contrôle de sécurité mandatés par le Conseil du Trésor et applicables à tous les ministères fédéraux, à la gestion de l'identité, à la protection des forces et à la sécurité des voyages pour un total de 18 domaines de contrôle de sécurité en particulier. La sécurité de la TI en fait partie. Dans le cadre de l'élaboration du PSM, le SMA(GI) ou des organisations subordonnées ont été définis comme responsables de la mise en œuvre des plans de traitement des risques visant à régler les risques liés à la sécurité de la TI cernés par le PSM. À la suite des évaluations des risques par des organisations de Niveau 1, le PSM a noté que les risques liés à la sécurité de la TI ou à l'assurance de l'information touchaient la plupart des organisations de Niveau 1. Au moins dix organisations de Niveau 1 en dehors du SMA(GI) ont cerné des risques liés à la sécurité de la TI et se sont engagées à mettre en œuvre des activités d'atténuation. Bien qu'il ne soit pas nécessairement responsable de l'exécution de ces activités, le SMA(GI) a été défini comme ayant un rôle secondaire à jouer dans leur mise en œuvre.

1.1.3 Programme de sécurité de la TI

Le SMA(GI) est chargé d'établir l'orientation stratégique et les structures de gouvernance pour toutes les activités liées à la gestion de l'information et à la technologie de l'information (GI/TI), y compris la sécurité de la TI. Même si l'ASM est l'autorité fonctionnelle pour le Programme de sécurité de la défense, le SMA(GI) se voit déléguer l'autorité fonctionnelle pour la sécurité de la TI au sein du MDN et des FAC. Le rôle du coordonnateur de la sécurité de la TI pour le Ministère est attribué au Dir Sécur GI. Selon la politique sur la sécurité de la TI du MDN et des FAC,7 le Dir Sécur GI est responsable de ce qui suit :

  • assumer le rôle de coordonnateur de la sécurité de la TI et agir à titre d'autorité de la sécurité de la TI au sein du Ministère;
  • établir et gérer le Programme de sécurité de la TI dans le cadre du Programme coordonné de sécurité du Ministère;
  • servir de personne-ressource principale en matière de sécurité de la TI pour le MDN et les FAC.

Conformément à la politique du Secrétariat du Conseil du Trésor, la politique ministérielle stipule que le coordonnateur de la sécurité de la TI relève tant de l'ASM (DGSD) que du dirigeant principal de l'information (SMA(GI)). Cette relation reconnaît la sécurité de la TI comme un croisement entre les programmes de sécurité et les programmes de GI/TI. Services partagés Canada est également chargé de la TI à l'échelle pangouvernementale, ce qui rend le Programme de sécurité de la TI encore plus complexe. En ce qui concerne la sécurité de la TI uniquement, Services partagés Canada est « chargé de protéger l'infrastructure et les données connexes qui sont acheminées, stockées et utilisées.»8 Des autorités partagées pour la sécurité des actifs du MDN et des FAC augmentent l'importance d'une compréhension commune des risques liés à la sécurité et des niveaux de tolérance. Cette compréhension commune doit servir de base pour établir clairement les priorités et garantir que les activités et les ressources sont harmonisées, de façon à gérer les risques liés à la sécurité comme il se doit.

Le principal organisme de gouvernance en place pour appuyer le SMA(GI) dans la gestion des activités de GI/TI au sein du MDN et des FAC est le Conseil de gestion de l'information (CGI). Le CGI assure le leadership stratégique et recommande des priorités quant à toutes les questions liées à la mise en œuvre et au soutien de la GI/TI au sein du MDN et des FAC. Il régit également le compte ministériel utilisé pour enregistrer les dépenses à l'appui des systèmes de la TI et des services d'infrastructure à l'échelle du Ministère, et donne des conseils stratégiques et des approbations en ce qui a trait aux activités, plans et politiques majeurs de GI/TI. Le CGI est coprésidé par le SMA(GI) et le VCEMD/chef de programme. Alors que les membres du CCSS comprennent le SMA(GI), le DGSD n'est pas membre du CGI, compte tenu de son mandat qui consiste à gérer des activités de GI/TI dans l'ensemble du Ministère.

Jusqu'à récemment, divers intervenants en sécurité de la TI ont participé au Groupe de travail sur la coordination de la sécurité de la TI, présidé par le chef d'état-major (GI). Le mandat de ce Groupe incluait l'identification des risques et des priorités liés à sécurité de la TI, ainsi que l'établissement et le maintien de la stratégie et du plan ministériels en matière de sécurité de la TI. Le Groupe devait soumettre des rapports sur ces éléments au CGI. Toutefois, il a été dissous en janvier 2014 et devait être remplacé par le Comité de la sécurité de la TI. Même si le mandat pour ce nouveau comité a été ébauché en octobre 2015, il n'avait pas encore été approuvé, et le Comité n'avait pas encore été mis sur pied.

On prévoit que les programmes de GI/TI subissent des changements dans le cadre des initiatives de renouvellement de la Défense. Ces initiatives sont utilisées, en partie, pour améliorer la structure de gouvernance et consolider l'autorité fonctionnelle du SMA(GI) pour le programme de GI/TI.

1.1.4 Feuille de route de la sécurité de la TI

L'un des mécanismes qu'utilise le SMA(GI) pour définir l'orientation est la stratégie de GI/TI de la Défense. La plus récente stratégie a été publiée en octobre 2014 et décrivait trois facteurs stratégiques : la réussite dans les opérations, un environnement d'information protégé, fiable et intégré, et un programme de GI/TI abordable et durable. La feuille de route de la sécurité de la TI a été initialement rédigée en juin 2010, à l'appui du deuxième facteur stratégique. Elle a été actualisée par le Dir Sécur GI en mars 2014 afin de fournir un aperçu du Programme de sécurité de la TI. L'état final attendu était une liste d'activités coordonnée et définie par ordre de priorité à l'échelle du Ministère, garantissant que les priorités en matière de sécurité de la TI sont traitées de la manière la plus efficace et la plus rapide possible, avec le moins de dédoublements possible.

La feuille de route de la sécurité de la TI possède quatre objectifs qui reflètent les caractéristiques d'un Programme de sécurité de la TI établi. À ce titre, elle stipule que le Programme doit :

  1. respecter le cadre de sécurité du MDN et des FAC;
  2. être en concordance avec les politiques de sécurité et être fondé sur des normes;
  3. permettre d'exercer une supervision par un modèle de gouvernance clair uniforme au sein du MDN et des FAC et dans l'ensemble du gouvernement du Canada;
  4. mesurer la réussite du Programme de sécurité.

Ces objectifs doivent être appuyés par 42 activités distinctes assorties de dates définies établies de 2014 à 2024. Conformément à la Norme opérationnelle de sécurité concernant la Gestion de la sécurité des technologies de l'information (GSTI) du Secrétariat du Conseil du Trésor, les activités de la feuille de route de la sécurité de la TI sont réparties entre quatre piliers : la gouvernance, le personnel, le processus et la technologie. Plusieurs organisations ministérielles sont définies comme jouant un rôle dans l'exécution des activités de la feuille de route de la sécurité de la TI. Ces organisations sont les suivantes :

  • Organisations du SMA(GI) : chef d'état-major (GI), Directeur général – Opérations (Gestion de l'information), J6 Coordination, Groupe des opérations d'information des Forces canadiennes, Centre d'opérations des réseaux des Forces canadiennes, Directeur général – Technologie et planification stratégique (Gestion de l'information), Dir Sécur GI, et Directeur – Ingénierie et intégration (Gestion de l'information)
  • Organisation du VCEMD : Directeur général – Cyberespace
  • Commandement du renseignement des Forces canadiennes

Toutes ces organisations s'inscrivent notamment en dehors de la compétence du Dir Sécur GI, et ni l'ASM ni Services partagés Canada ne sont définis comme étant responsables, en tout ou en partie, de ces activités.

1.2 Objectifs

L'objectif de l'audit consistait à évaluer les pratiques de gouvernance et de contrôle mises en place pour garantir la mise en œuvre de la feuille de route de la sécurité de la TI.

1.3 Étendue

L'étendue de l'audit englobait la feuille de route de la sécurité de la TI (mars 2014), de même que les progrès relatifs à cette dernière jusqu'en septembre 2015. Les activités de Services partagés Canada ont été exclues du présent audit.

1.4 Méthodologie

Les résultats de l'audit sont fondés sur ce qui suit :

  • des entrevues avec le personnel et des représentants du DGSD issus de cinq organisations de SMA(GI), y compris le Dir Sécur GI, qui sont responsables de l'exécution de la majorité des activités de la feuille de route de la sécurité de la TI;
  • des examens du gouvernement du Canada et des politiques de sécurité ministérielles;
  • des examens et des analyses des documents clés du MDN et des FAC, comme le profil de risque de l'organisation, le PSM, la stratégie de GI/TI de la Défense, la feuille de route de la sécurité de la TI, le mandat, les ordres du jour, la documentation à l'appui, de même que les rapports de décisions provenant d'organismes de gouvernance clés.

1.5 Critères d'audit

Les critères d'audit se trouvent à l'Annexe B.

1.6 Énoncé de conformité

Les constatations et conclusions de l'audit figurant dans le présent rapport reposent sur des preuves d'audit suffisantes et appropriées recueillies en application des procédures conformes aux Normes internationales pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes. L'audit est donc conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du Programme d'assurance et d'amélioration de la qualité. Les opinions exprimées dans le présent rapport reposent sur les conditions existant au moment de l'audit et elles ne s'appliquent qu'à l'entité examinée.

2.0 Conclusions et recommandations

2.1 Objectifs et priorités en matière de sécurité de la TI

Le cadre de gouvernance et les processus de soutien connexes n'étaient pas clairement établis pour faciliter la détermination des objectifs et des priorités requis au niveau de programme pour atténuer les risques en matière de sécurité de la TI, et ce, à un niveau acceptable.

La réussite du Programme de sécurité de la TI dépend de l'établissement d'objectifs clairs et mesurables ainsi que de l'établissement de priorités et d'activités permettant d'atténuer d'une manière efficace et efficiente les risques en matière de sécurité et de combler les lacunes prioritaires touchant les contrôles de sécurité. L'établissement des objectifs et des priorités repose sur un cadre de gouvernance qui permet de fixer des orientations et de prendre des décisions en s'appuyant sur l'information relative aux risques en matière de sécurité, sur les contrôles existants, ainsi que sur une tolérance prédéterminée au risque résiduel. Alors que le Programme de sécurité général a fait l'objet de changements importants au niveau de sa structure de gouvernance, aucune amélioration similaire n'a été apportée à la structure de gouvernance du Programme de sécurité de la TI.

2.1.1 Gouvernance de la sécurité de la TI

Bonne pratique

Les autorités en matière de sécurité de la TI ont été définies et un coordonnateur de la sécurité de la TI a été nommé.

Bien que le SMA(GI) soit l'autorité fonctionnelle en matière de sécurité de la TI, le Dir Sécur GI occupe la fonction de coordonnateur de la sécurité de la TI et détient l'autorité d'établir et de gérer le Programme de sécurité de la TI dans le cadre d'un Programme de sécurité de la défense coordonné. Le Dir Sécur GI est également désigné comme personne-ressource principale pour la sécurité de la TI au sein du MDN et des FAC. Toutefois, les autorités attribuées en matière de sécurité de la TI n'ont pas été appliquées ou soutenues par une structure de gouvernance efficace.

Par exemple, c'est l'organisation du Dir Sécur GI qui était l'organisation principale chargée de l'élaboration de la feuille de route pour la sécurité de la TI. Bien que la feuille de route ait été élaborée en mars 2014, aucun élément probant n'a montré que les risques, les objectifs et les priorités en matière de sécurité de la TI, ou la feuille de route comme telle, aient fait l'objet de discussions ou d'une approbation officielle. En dépit de la nomination du Dir Sécur GI comme coordonnateur de la sécurité de la TI, les membres du personnel ont indiqué qu'ils ne disposaient pas de l'autorité requise pour attribuer des tâches à d'autres organisations, ni à l'intérieur, ni à l'extérieur de l'organisation du SMA(GI).

Parce que la feuille de route pour la sécurité de la TI n'a jamais été approuvée ni communiquée ou attribuée de façon officielle, ce n'est pas tout le monde qui était au courant de son existence ni de la responsabilité de mettre en œuvre les activités attribuées. Pendant que l'organisation du Dir Sécur GI élaborait la feuille de route, d'autres organisations ayant des responsabilités en matière de sécurité de la TI étaient aussi en train d'élaborer des plans liés à la sécurité de la TI, et ce, sans coordonner ou harmoniser explicitement ces plans avec la feuille de route pour la sécurité de la TI. Par exemple, les plans de traitement des risques du PSM faisaient référence à une « feuille de route pour la sécurité de la TI » qui était en voie d'élaboration par une autre direction au sein de l'organisation du SMA(GI). De multiples plans élaborés de façon distincte par diverses organisations ayant des responsabilités et des degrés de visibilité différents au sein du Ministère affaiblissent l'autorité déléguée du Dir Sécur GI pour l'établissement et la gestion du Programme de sécurité de la TI, et pour assurer la fonction de personne-ressource principale en matière de sécurité de la TI au sein du Ministère.

Bonne pratique

La sécurité de la TI a été cernée de façon constante comme un aspect prioritaire dans des documents clés comme le PSM, le document sur les priorités de la Défense, le Plan de la Défense, le Plan de campagne du SMA(GI), le document de Planification fonctionnelle et d'orientation du SMA(GI) et la Stratégie en matière de sécurité de la TI.

On n'a pas non plus mis sur pied le Comité de la sécurité de la TI, un sous-comité du CCSS. Sa fonction est de fournir une orientation claire et cohérente, et d'assurer une supervision en appui à l'autorité du SMA(GI) en matière de sécurité de la TI. Au moins neuf organisations extérieures à celle du Dir Sécur GI ont été identifiées comme étant responsables de la mise en œuvre des activités prévues par la feuille de route pour la sécurité de la TI. Bien que l'on ait désigné toutes les activités de la feuille de route comme hautement prioritaires, des représentants interviewés de l'organisation du SMA(GI), extérieurs à l'organisation du Dir Sécur GI, ont indiqué que ces activités ne reflétaient pas nécessairement les priorités de leurs propres organisations. Ces priorités étaient plutôt dictées par leurs chaînes de commandement respectives et non dans le cadre du Programme de sécurité de la TI. En raison de l'impossibilité, pour le Dir Sécur GI, d'exercer efficacement son autorité, et du fait que le Comité de la sécurité de la TI n'a pas encore été mis sur pied, il existe une lacune, au niveau du programme, pour pouvoir évaluer horizontalement les risques en matière de sécurité de la TI et donner une orientation claire dans ce domaine aux organisations de Niveau 1 concernant les objectifs et les priorités pour la mise en œuvre des activités connexes à l'échelle du Ministère.

2.1.2 Élaboration de la feuille de route pour la sécurité de la TI

La feuille de route pour la sécurité de la TI comprend quatre objectifs et 42 activités distinctes. Toutes ces activités ont été mises en correspondance avec les quatre objectifs. Pour chacune des activités, on a identifié au moins une organisation responsable et une approche en matière de financement, ainsi que des jalons dont les dates sont échelonnées de 2014 à 2024. Aucune des activités n'a été reliée au quatrième objectif (Mesure du rendement du Programme de sécurité de la TI).

Le processus suivi pour établir les objectifs, les priorités et les activités de la feuille de route pour la sécurité de la TI n'a pas été défini, et il n'était pas clair si des renseignements sur les risques étaient disponibles, recueillis ou utilisés. Les personnes interviewées ont également mentionné régulièrement qu'elles craignaient que le risque lié à la sécurité de la TI ne fût pas bien compris ou géré au sein du MDN et des FAC. Conséquemment, il n'était pas clair si les objectifs, les priorités et les activités de la feuille de route pour la sécurité de la TI étaient appropriés aux risques qui avaient été cernés au moment de l'élaboration de la feuille de route, ou aux nouveaux risques qui ont émergé depuis lors.

Depuis 2013, le profil de risque du MDN et des FAC a établi le niveau de tolérance au risque à moyen, mais le risque résiduel est considéré comme important. Afin d'avoir une incidence sur le niveau de risque résiduel évalué, les plans de programme auraient dû inclure les mesures requises pour faire progresser le Ministère vers le niveau de risque résiduel souhaité (c.-à-d. moyen). En l'absence d'une compréhension des risques, des contrôles actuels et des lacunes correspondantes, il n'est pas clair comment ont été prises les décisions concernant la mise en œuvre d'activités précises en matière de sécurité de la TI et quelle incidence ces activités étaient censées avoir sur le niveau de risque résiduel pour la sécurité ministérielle.

La feuille de route pour la sécurité de la TI doit donner une orientation provenant de l'autorité en matière de sécurité de la TI et représenter une base pour l'affectation des ressources ainsi que pour la coordination et la surveillance de la mise en œuvre, et la production de rapports sur celle-ci, afin de s'assurer que les activités prévues sont exécutées. Les représentants interviewés des organisations chargées de l'exécution de la feuille de route pour la sécurité de la TI n'étaient pas en mesure de dire clairement quels étaient la portée, les éléments de sortie, les mesures du rendement ou les attentes dans le cas de l'activité attribuée. En présence d'un manque de clarté concernant les attentes, il n'y a pas de base pour mesurer et surveiller le rendement du Programme de sécurité de la TI, ni pour produire des rapports sur celui-ci, et le Ministère n'est pas bien positionné pour veiller à ce que les activités de la feuille de route pour la sécurité de la TI soient mises en œuvre. En novembre 2014, le Dir Sécur GI a créé le poste de gestionnaire de la coordination de la sécurité de la TI et confié la responsabilité pour l'élaboration des mesures du rendement qui seront utilisées pour surveiller la mise en œuvre de la feuille de route pour la sécurité de la TI et du Programme de sécurité de la TI connexe, et pour faire rapport sur ceux-ci. Au moment de l'audit, on élaborait les mesures du rendement en matière de sécurité de la TI, en coordination avec le Dir Sécur GI et deux autres directions du SMA(GI), c'est-à-dire Directeur – Ingénierie et intégration (Gestion de l'information) et Directeur – Planification de la défense (Gestion de l'information).

2.1.3 Intégration des processus de planification

Les processus de planification de la feuille de route pour la sécurité de la TI et le PSM n'ont pas été intégrés. La feuille de route pour la sécurité de la TI a été élaborée avant le PSM, et ce, de façon distincte. Le processus d'élaboration du PSM comprenait une évaluation des risques en matière de sécurité cernés dans le programme et dans le contrôle de la sécurité, ainsi que du point de vue d'organisations de Niveau 1.

À mesure que s'amélioreront les processus d'évaluation des risques utilisés pour élaborer la version établie du PSM ainsi que la compréhension, par le Ministère, de l'information sur les risques, ces processus pourraient être mis à contribution pour obtenir un degré d'assurance plus élevé voulant que l'ordre de priorité des plans d'action en matière de sécurité de la TI est établi de façon cohérente pour atténuer les risques cernés. Cette approche permettrait de s'assurer que le Programme de sécurité de la TI est aligné sur le Programme de sécurité de la défense, tout en soutenant les objectifs et les priorités des programmes de GI/TI. En outre, on pourrait compter sur le Dir Sécur GI, en tant qu'autorité pour la sécurité de la TI, pour s'assurer que les risques cernés en matière de sécurité de la TI dans le PSM (au niveau de programme, de secteur de contrôle de la sécurité et des organisations de Niveau 1) sont exacts. Si les processus de planification ne sont pas coordonnés et alignés, le SMA(GI) risque de perdre l'élan et l'engagement requis pour utiliser la feuille de route pour la sécurité de la TI comme document de niveau de programme aux fins de la communication, de la coordination et de la surveillance de l'orientation stratégique, ainsi que pour la production de rapports sur celle-ci.

2.1.4 Conclusion

Sans le soutien d'un cadre de gouvernance de la sécurité de la TI clair et intégré, le SMA(GI) et le Dir Sécur GI continueront à faire face à des défis dans l'exercice efficace de leurs autorités déléguées. Des processus sont nécessaires pour faire en sorte que les activités de la feuille de route pour la sécurité de la TI soient approuvées, communiquées ou attribuées officiellement, et qu'elles soient comprises par les organisations concernées.

Les processus de planification n'ont pas été coordonnés ou fondés sur une compréhension ou une évaluation commune de l'information relative aux risques en matière de sécurité. Pour cette raison, il n'était pas clair si les objectifs, les priorités et les plans d'action connexes ciblaient les principaux risques en matière de TI et les lacunes prioritaires. Des processus de planification intégrés et coordonnés offriraient une base pour l'affectation des ressources en fonction de la capacité financière et de l'incidence sur le risque résiduel, tout en établissant un cadre de responsabilisation pour les résultats.

Recommandation du SMA(Svcs Ex)

1.         Le SMA(GI) doit peaufiner le cadre de gouvernance en vue d'appuyer l'exercice de l'autorité fonctionnelle pour la sécurité de la TI à l'échelle du MDN et des FAC.

Les principales considérations pour l'élaboration d'un plan d'action de gestion sont les suivantes :

  • en coordination avec le DGSD, un souci accordé à l'alignement et à l'intégration des objectifs, des priorités et des résultats du Programme de sécurité de la TI aux programmes de la GI/TI et de la sécurité de la défense, y compris les niveaux de tolérance au risque connexes;
  • une orientation claire, cohérente et faisant autorité pour les plans d'action à l'échelle du Ministère;
  • des mesures du rendement pour formuler des attentes claires;
  • la mise sur pied du Comité de la sécurité de la TI;
  • une responsabilisation pour les résultats.

BPR : SMA(GI)

Recommandation du SMA(Svcs Ex)

2.         Le SMA(GI) devrait établir des processus visant à définir les objectifs et les priorités du Programme de sécurité de la TI dans le contexte du cadre de gouvernance (à élaborer) et des risques repérés.

Les principales considérations pour l'élaboration d'un plan d'action de gestion sont les suivantes :

  • l'identification et l'application d'un point central comme source faisant autorité pour la planification et la gestion du Programme de sécurité de la TI à l'échelle du MDN et des FAC;
  • l'utilisation du point central cerné pour intégrer les plans du Programme de sécurité de la TI à d'autres processus de planification et de production de rapports qui sont susceptibles d'avoir des horizons temporels différents (p. ex. l'orientation pour la planification fonctionnelle, l'exercice financier, la planification des activités et le PSM);
  • la détermination de la manière dont les renseignements sur les menaces et les risques seront recueillis, tant à l'interne qu'à l'externe, évalués (probabilités et incidence), communiqués et utilisés en appui à la prise de décisions et à l'adaptation de plans d'action;
  • l'établissement des liaisons nécessaires avec d'autres organisations qui disposent de renseignements essentiels, pour faire en sorte que les objectifs, les priorités et les plans en matière de sécurité de la TI soient compris de façon uniforme et reflètent les priorités, les besoins administratifs et opérationnels ainsi que les niveaux de tolérance au risque du MDN, des FAC et du gouvernement du Canada.

BPR : SMA(GI)

2.2 Mise en œuvre des plans du Programme de sécurité de la TI

Aucun processus n'a été établi pour coordonner et surveiller les objectifs, les priorités et les activités du Programme de sécurité de la TI, et pour faire rapport de façon globale au sujet de ceux-ci ainsi que sur leur incidence sur le risque résiduel.

La mise en œuvre de la feuille de route pour la sécurité de la TI dépend de l'établissement de processus permettant d'organiser et d'orienter les organisations responsables de la réalisation des activités de la feuille de route. Ces processus doivent soutenir une gestion et une responsabilisation efficaces pour l'orientation établie par l'intermédiaire du cadre de gouvernance. Ils doivent également faire en sorte que les priorités et les activités reçoivent les ressources requises et soient réalisées, que les risques soient gérés de façon appropriée et que les organisations rendent compte de la réalisation des objectifs fixés et des attentes en matière de rendement.

Bonne pratique

Le Dir Sécur GI a affecté récemment des ressources pour la coordination et la surveillance de la mise en œuvre de la feuille de route pour la sécurité de la TI ainsi que pour la production de rapports sur cette mise en œuvre.

2.2.1 Coordination, surveillance et production de rapports

Étant donné que la feuille de route pour la sécurité de la TI n'a pas été approuvée officiellement, il est compréhensible que l'on n'ait pas établi ou lancé des processus pour coordonner et surveiller la mise en œuvre de la feuille de route, de même que pour faire rapport sur celle-ci dans une optique holistique. La feuille de route pour la sécurité de la TI n'a pas énoncé de façon précise les responsabilités ou les exigences relatives à la coordination, à la surveillance et à la production de rapports. Toutefois, le Dir Sécur GI a reconnu l'existence de cette lacune en exerçant ses autorités déléguées pour le Programme de sécurité de la TI, de sorte que l'on a créé, en novembre 2014, un poste de chef de section gestionnaire de la coordination de la sécurité de la TI. Le gestionnaire de la coordination de la sécurité de la TI est responsable de l'élaboration des processus requis (p. ex. pour la coordination, la surveillance et la production de rapports) pour soutenir le Dir Sécur GI dans la gestion du Programme de sécurité de la TI.

L'attribution d'activités figurant sur la feuille de route pour la sécurité de la TI ne reflétait pas la pleine portée des rôles et responsabilités formulés dans les politiques, notamment en ce qui a trait à la coordination qui serait requise entre les intervenants, y compris d'autres organisations de Niveau 1 et Services partagés Canada. Par exemple, on n'a pas attribué de rôle à l'ASM dans la feuille de route pour la sécurité de la TI, et ce, en dépit du fait que l'ASM est responsable du Programme de sécurité général. Cela dit, la structure du Programme de sécurité de la défense a été approuvée juste avant l'élaboration de la feuille de route pour la sécurité de la TI. À ce moment-là, les rôles et les responsabilités ont été établis, et en octobre 2015, la feuille de route n'avait pas encore été révisée pour refléter ces modifications de programme.

La surveillance de la feuille de route pour la sécurité de la TI ainsi que la production de rapports sur celle-ci ont été limitées. Il n'y avait pas d'éléments probants indiquant que la mise en œuvre de la feuille de route a été surveillée dans une optique holistique. Toutefois, les ordres du jour du CGI—l'organe de gouvernance du Programme de GI/TI—incluaient des projets particuliers en matière de sécurité de la TI, qui concordent avec certaines des activités figurant sous le pilier technologique de la feuille de route pour la sécurité de la TI. Des rapports de décisions indiquent que les briefings et les discussions du CGI à propos de ces projets étaient centrés sur l'état de ces derniers et les dépenses connexes. Bien que l'accent mis sur ces aspects concorde avec le mandat de l'organe précité, qui consiste à gérer le compte ministériel, à fournir des conseils stratégiques et à avaliser les activités de GI/TI d'envergure, il n'y avait pas d'éléments probants indiquant que la CGI a surveillé intégralement la mise en œuvre de la feuille de route pour la sécurité de la TI, un plan de GI/TI et un plan de sécurité important.

En outre, en octobre 2015, le Comité de la sécurité de la TI n'avait pas encore été mis sur pied pour soutenir l'orientation faisant autorité, s'assurer que les plans étaient mis en œuvre et porter les préoccupations en matière de sécurité de la TI à l'attention du CCSS. Une fois qu'il sera mis sur pied, ce comité pourrait également remettre en question, mettre à contribution et coordonner des efforts individuels à l'échelle du Ministère, évaluer la progression et le rendement des mesures mises en œuvre, de même que réévaluer les risques, les lacunes et les priorités connexes du Programme de sécurité de la TI.

2.2.2 Ressources

La Norme opérationnelle de sécurité du Secrétariat du Conseil du Trésor : Gestion de la sécurité des technologies de l'information (GSTI) exige que les ministères mettent à jour leurs plans d'action pour la sécurité de la TI et déterminent quelles sont les ressources requises pour mettre en œuvre ces plans lorsqu'on a cerné des lacunes et déterminé les mesures correctives qui s'imposent. La feuille de route pour la sécurité de la TI comprenait une approche recommandée en matière de financement (c.-à-d. crédit 1 ou crédit 5) pour chacune des activités. Elle n'incluait pas des estimations des coûts, des sources de financement confirmées ou des lacunes à combler en matière de ressources pour réaliser les jalons prévus. En outre, les activités de sécurité de la TI du MDN et des FAC ainsi que les ressources connexes ne sont pas gérées de manière centralisée. Ces activités et ces ressources sont dispersées partout au sein du Ministère—dans des organisations, des projets et des systèmes. Il n'y a pas de processus en place pour examiner horizontalement les activités ministérielles en matière de sécurité de la TI, ou les ressources connexes, au niveau ministériel, de programme ou de système, et pour en déterminer l'ordre de priorité.

Toutefois, il existe un certain nombre d'occasions pour faire en sorte que les ressources soient alignées dans l'ensemble de la feuille de route pour la sécurité de la TI. Par exemple, dans le cadre de l'initiative de renouvellement de la Défense, la rationalisation du Programme de GI/TI a commencé par l'identification de tous les plans de GI/TI et de toutes les dépenses liées à ces plans. En outre, le PSM offre une plus grande visibilité aux plans d'action pour la sécurité de la TI au sein de l'organisation du SMS(GI) et de toutes les organisations de Niveau 1. On a également essayé d'attirer l'attention sur des plans d'action visant à atténuer des risques de sécurité au sein du Ministère, et de financer ces plans. Au niveau stratégique, le Plan de la Défense (2015) a requis que les organisations de Niveau 1 financent leurs plans de traitement des risques à même le PSM dans leur processus de planification des activités pour l'exercice 2016-2017. Enfin, on a approuvé un montant de 12 millions de dollars comme financement de base pour un programme d'amélioration de la sécurité de la TI visant à atténuer les risques et les menaces dans ce domaine par l'intermédiaire de solutions technologiques.

Bien que tous ces événements soient indépendants les uns des autres, ils montrent la priorité accrue qui est accordée au financement d'activités liées à la sécurité et la visibilité plus centrale associée aux plans et aux dépenses de GI/TI à l'échelle du Ministère. Le Programme de sécurité de la TI pourrait profiter de ces tendances en effectuant un examen horizontal des ressources ministérielles et en alignant celles-ci sur les activités prioritaires.

2.2.3 Conclusion

Compte tenu du nombre d'organisations participant à la mise en œuvre de la feuille de route pour la sécurité de la TI, les processus permettant la coordination horizontale et la surveillance des efforts (y compris les occasions de mettre à contribution et d'aligner des ressources), ainsi que la production de rapports sur les progrès et les résultats représentent une exigence essentielle. La création du poste de gestionnaire de la coordination de la sécurité de la TI est un pas positif pour la coordination et la surveillance des processus ainsi que pour la production de rapports sur ces processus. En l'absence de tels processus, il sera difficile d'aligner les ressources et d'évaluer les progrès ou l'incidence des efforts ministériels sur l'état de la sécurité de la TI au sein du MDN et des FAC. Ces processus doivent fournir l'information nécessaire pour demander des comptes aux personnes responsables de la mise en œuvre d'activités et, au sujet des résultats connexes, par rapport aux attentes énoncées par l'intermédiaire du cadre de gouvernance. Cette information pourrait aussi être utilisée pour réévaluer les risques, les objectifs et les priorités en matière de sécurité de la TI au sein du MDN et des FAC.

Recommandation du SMA(Svcs Ex)

3.         Le SMA(GI) doit poursuivre l'établissement de processus en vue de la coordination et de la surveillance horizontales des objectifs, des priorités et des activités du programme de sécurité de la TI et de la production de rapports connexes.

Les principales considérations pour l'élaboration d'un plan d'action de gestion sont les suivantes :

  • clarification et application des rôles et les responsabilités;
  • détermination et mise à contribution des ressources et des efforts à l'échelle du Ministère;
  • détermination de la fréquence et du format des rapports;
  • évaluation de l'incidence des progrès et du rendement sur le risque résiduel;
  • détermination des circonstances et des mécanismes permettant de porter à la connaissance de la haute direction les aspects qui requièrent davantage d'attention ou d'engagement de la part de celle-ci (p. ex. les ressources, les niveaux de risque résiduel).

BPR : SMA(GI)

Recommandation du SMA(Svcs Ex)

4.         Le SMA(GI) doit concevoir des mécanismes de responsabilisation dans le contexte du cadre de gouvernance de la sécurité de la TI (à concevoir) afin d'inclure les progrès, le rendement et les répercussions sur le risque résiduel au niveau du Ministère, du programme et du système.

BPR : SMA(GI)

3.0 Conclusion générale

Le SMA(GI) dispose de l'autorité fonctionnelle pour le Programme de sécurité de la TI et est appuyé par le Dir Sécur GI à titre de coordonnateur de la sécurité des TI. Toutefois, le programme profiterait des améliorations à la structure de gouvernance et des processus de gestion connexes nécessaires afin d'effectuer ce qui suit :

  • fournir une orientation officielle, cohérente et claire;
  • veiller à ce que les efforts et les ressources ministériels soient coordonnés et qu'ils cadrent horizontalement avec les priorités;
  • surveiller les progrès et le rendement en lien avec les objectifs et le risque résiduel, et produire des rapports connexes.

Sans cadre de gouvernance ni processus de gestion efficace, il est difficile de faire respecter une orientation, d'attribuer une responsabilité et de veiller à ce que les mesures adéquates soient prises à l'échelle du Ministère. La gouvernance et les pratiques de contrôle du programme de sécurité de la TI doivent évoluer davantage pour appuyer le SMA(GI) dans l'exercice de son autorité fonctionnelle en matière de sécurité de la TI dans le cadre d'un programme de sécurité de la Défense coordonné et affiné. On s'assurera ainsi que des plans précis sont élaborés, hiérarchisés, dotés des ressources adéquates et mis en application afin d'atténuer les risques repérés à un niveau acceptable.

Annexe A—Plan d'action de la direction

Le SMA(Svcs Ex) emploie les critères de recommandation fondés sur l'importance qui suivent :

 

Très élevée—Il n'y a aucun contrôle en place. D'importants problèmes nuiront considérablement aux activités.

Élevée—Les contrôles ne conviennent pas. Il y a d'importants problèmes pouvant nuire à la réalisation des objectifs du programme ou des opérations.

Moyenne—Il y a des contrôles en place, mais ils ne sont pas suffisamment respectés. Des problèmes peuvent nuire à l'efficience et à l'efficacité des opérations.

Faible—Il y a des contrôles en place, mais le niveau de conformité est variable.

Très faible—Il y a des contrôles en place, de même qu'un niveau de conformité constant.

Objectifs et priorités en matière de sécurité de la TI

Recommandation du SMA(Svcs Ex) (Élevée)

1.         Le SMA(GI) doit peaufiner le cadre de gouvernance en vue d'appuyer l'exercice de l'autorité fonctionnelle pour la sécurité de la TI à l'échelle du MDN et des FAC.

Mesures de gestion

1.1 Le SMA(GI) déploie des efforts de renouvellement de la gouvernance du programme de GI/TI aux termes du mandat de l'initiative 3.3 de renouvellement de la Défense, Rationalisation du programme de GI/TI de la Défense. Dans le cadre de ces efforts, qui en sont à l'étape de mise en œuvre, des changements coordonnés sont effectués à l'ensemble du cadre de gouvernance de GI/TI.

L'initiative de renouvellement de la gouvernance du programme de GI/TI permettra l'exercice de l'autorité ministérielle de sécurité de la TI. Le rôle de l'autorité de sécurité de la TI a été intégré dans la conception du cadre de gouvernance de GI/TI de diverses façons afin de s'assurer que :

  • les responsabilités et les autorités liées à la sécurité de la TI sont clairement définies et formulées dans le cadre stratégique de GI/TI;
  • les exigences en matière de sécurité de la TI du programme de GI/TI de la Défense peuvent être cernées et formulées;
  • les activités de sécurité de la TI sont planifiées de façon coordonnée avec l'ensemble des activités de GI/TI;
  • la perspective de sécurité de la TI est incluse dans le cadre décisionnel de développement des capacités de GI/TI;
  • la perspective de sécurité de la TI est incluse dans le processus d'examen de l'architecture, qui comprend la vérification de la conformité aux normes stratégiques;
  • les services liés à la sécurité de la TI sont inclus dans le catalogue de services et gérés en conséquence.

BPR : SMA(GI)

Date cible : Mars 2017

Recommandation du SMA(Svcs Ex) (Élevée)

2.         Le SMA(GI) doit établir des processus visant à définir les objectifs et les priorités du Programme de sécurité de la TI dans le contexte du cadre de gouvernance (à élaborer) et des risques repérés.

Mesures de gestion

2.1 Le Comité de la sécurité des technologies de l'information (CSTI) sera établi. Ce comité relèvera du CCSS, qui lui fournira une orientation sur la tolérance au risque. Le CSTI agira également à titre d'autorité de hiérarchisation pour les activités figurant sur la feuille de route de la sécurité de la TI. Cette hiérarchisation sera fondée notamment sur les commentaires provenant des évaluations des risques ministériels, sur les résultats de l'évaluation de la sécurité et autorisation (registre des risques), sur les résultats obtenus par le processus de gestion des incidents du système d'information, de même que sur les rapports de surveillance et de conformité. Le CSTI établira des liens avec le Conseil de gestion de l'information de GI/TI pour veiller à ce que les priorités en matière de sécurité de la TI cadrent avec l'ensemble des priorités en matière de GI/TI du MDN et des FAC.

BPR : SMA(GI)

Date cible : Juin 2016

Mise en œuvre des plans du programme de sécurité de la TI

Recommandation du SMA(Svcs Ex) (Très élevée)

3.         Le SMA(GI) doit poursuivre l'établissement de processus en vue de la coordination et de la surveillance horizontales des objectifs, des priorités et des activités du programme de sécurité de la TI, et de la production de rapports connexes.

Mesures de gestion

3.1 Le SMA(GI) revitalisera et mettra à jour la feuille de route de la sécurité de la TI. Celle-ci doit être mise à jour aux fins de présentation au CSTI. Après cette revitalisation, il incombera au Dir Sécur GI D4 de tenir à jour le document grâce à une coordination directe avec les intervenants.

BPR : SMA(GI)

Date cible : Septembre 2016

3.2 Le mandat du Forum d'échange sur la sécurité des systèmes d'information sera examiné et révisé. La feuille de route de la sécurité de la TI regroupe les activités sous quatre piliers : gouvernance, personnel, processus et technologie. Le mandat du Forum doit être revu afin d'indiquer qu'il s'agira du groupe responsable de la gestion des activités liées à la gouvernance, au personnel et aux processus à l'appui du CSTI. Les intervenants seront représentés (au niveau de travail) au sein du Forum, dont les participants s'efforceront de se réunir régulièrement pour faire état des progrès et cerner tout problème nécessitant l'intervention du CSTI.

BPR : SMA(GI)

Date cible : Septembre 2016

3.3 Le mandat du Groupe de travail sur la coordination de la cybersécurité sera examiné et révisé. La feuille de route de la sécurité de la TI regroupe les activités sous quatre piliers : gouvernance, personnel, processus et technologie. Le mandat du Groupe de travail doit être revu afin d'indiquer qu'il s'agira du groupe responsable de la gestion des activités techniques à l'appui du CSTI. Tous les intervenants seront représentés (au niveau de travail) au sein du Groupe de travail, dont les participants s'efforceront de se réunir régulièrement pour faire état des progrès et cerner tout problème nécessitant l'intervention du CSTI.

BPR : SMA(GI)

Date cible : Septembre 2016

3.4 Le rôle et les responsabilités du Dir Sécur GI D4 seront peaufinés afin de cadrer avec le présent plan de mesures d'action. Son rôle comprendra la coordination de tous les intervenants (Commandement du renseignement des Forces canadiennes, Groupe des opérations d'information des Forces canadiennes, DGSD, etc.) et l'intégration avec le plan de sécurité ministérielle.

BPR : SMA(GI)

Date cible : Avril 2016

Recommandation du SMA(Svcs Ex) (Élevée)

4.         Le SMA(GI) doit concevoir des mécanismes de responsabilisation dans le contexte du cadre de gouvernance de la sécurité de la TI (à concevoir) afin d'inclure les progrès, le rendement et les répercussions sur le risque résiduel au niveau du Ministère, du programme et du système.

Mesures de gestion

4.1 Le rôle et les responsabilités du Dir Sécur GI D4 seront peaufinés. En étroite collaboration avec les intervenants des activités figurant sur la feuille de route, le Dir Sécur GI D4 aidera ces derniers à établir des mesures de rendement, effectuera un suivi des progrès et fera état de ceux-ci au CSTI et au Dir Sécur GI.

BPR : SMA(GI)

Date cible : Avril 2016

4.2 Le SMA(GI) poursuivra la mise en œuvre du processus d'évaluation de la sécurité et d'autorisation ministériel et augmentera la fréquence de la publication du registre des risques à une fréquence trimestrielle comme outil permettant de comprendre en quoi consiste le risque résiduel. Les résultats exprimés dans le registre des risques de TI seront utilisés par chaque responsable des opérations pour gérer les risques au niveau du système de sa compétence, de même que par l'agent de sécurité du Ministère lors de la consignation de l'ensemble des risques ministériels.

BPR : SMA(GI)

Date cible : Novembre 2016

Annexe B—Critères d'audit

Évaluation des critères

Les critères d'audit ont été évalués en fonction des niveaux suivants :

Niveau d'évaluation et description

 

Niveau 1 : Satisfaisant

Niveau 2 : Légères améliorations nécessaires

Niveau 3 : Améliorations modérées nécessaires

Niveau 4 : Importantes améliorations nécessaires

Niveau 5 : Insatisfaisant

Gouvernance

Critères

  1. Les objectifs et priorités sont établis et correspondent aux risques repérés.

Niveau 4 – Les objectifs et priorités ne sont pas clairs et ne correspondent pas aux risques repérés ni aux niveaux de tolérance au risque du Ministère.

  1. Les objectifs et priorités ont été traduits en activités particulières assignées conformément aux rôles et responsabilités, et ce, aux fins d'exécution.

Niveau 3 – Les objectifs de la feuille de route de la sécurité de la TI ont été traduits en activités et en étapes. Les BPR des activités n'étaient pas avisés que des activités avaient été assignées à leur organisation. L'assignation d'activités figurant sur la feuille de route de la sécurité de la TI n'illustrait pas la pleine portée des rôles et responsabilités formulés dans la politique, particulièrement lorsqu'une coordination entre les intervenants serait nécessaire.

  1. Les activités de sécurité de la TI sont coordonnées pour assurer l'atteinte des objectifs.

Niveau 4 – À ce jour, aucun effort n'a été déployé pour assurer la coordination et la surveillance de la mise en œuvre de la feuille de route de la sécurité de la TI et la production de rapports connexes.

  1. La mesure du rendement et les attentes en matière de rapports sont définies, ont été transmises et ont été respectées.

Niveau 4 – La mesure de rendement et les attentes en matière de rapports n'étaient pas définies, elles n'ont pas été transmises ou elles n'ont pas été respectées. Aucun processus n'est établi pour communiquer, assigner, coordonner et surveiller de façon générale les objectifs, les priorités et les activités du programme et produire les rapports connexes. La feuille de route de la sécurité de la TI ne comprenait aucune mesure de rendement précise.

Sources des critères

Committee of Sponsoring Organizations of Treadway Commission. Internal Control—Integrated Framework, 2013

Institut Canadien des Comptables Agréés. Cadre pour les critères de contrôle, 1995

Secrétariat du Conseil du Trésor. Critères de vérification liés au Cadre de responsabilisation de gestion : outil à l'intention des vérificateurs internes, 2013Référence aux éléments suivants : AC-1, RM-4, RM-5, G-3, G-4, G-5, LICM-2, ST-1, ST-17, ST-18, ST-20, RP-1, RP-2, RP-3

Secrétariat du Conseil du Trésor. Politique sur la sécurité du gouvernement, 2009 Référence aux éléments suivants : article 3.5, article 6.1, article 6.2

Secrétariat du Conseil du Trésor. Directive sur la gestion de la sécurité ministérielle, 2009Référence aux éléments suivants : article 3, paragraphes 6.1.1.1, 6.1.1.4, 6.1.2, 6.1.4, 6.1.15, 6.1.22, et 6.1.23, Annexe C

Secrétariat du Conseil du Trésor. Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'informationRéférence aux éléments suivants : partie 2, article 9; partie 3, article 12

Information System Audit and Control Association. CoBIT 5 Framework, 2012

National Institute of Standards and Technology. Special Publication 800-53A, 2010Référence aux éléments suivants : PM-4, PM-14

___________________________________________________________________________________________________________________________

Note de bas de page 1 Secrétariat du Conseil du Trésor. Politique sur la sécurité du gouvernement, 1er juillet 2009.

Note de bas de page 2 Secrétariat du Conseil du Trésor. Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI).

Note de bas de page 3 Secrétariat du Conseil du Trésor. Directive sur la gestion de la sécurité ministérielle, 1er juillet 2009.

Note de bas de page 4 Une autorité fonctionnelle établit les normes, communique des attentes claires et définit une orientation fonctionnelle au nom du SM ou du CEMD pour un domaine de responsabilité attribué. Elle assure également une surveillance afin de veiller à la conformité avec l'orientation et de créer un cadre de gestion à l'intérieur duquel le SM ou le CEMD peuvent tenir les commandants supérieurs et les conseillers dans l'ensemble de l'organisation responsables de la conformité.

Note de bas de page 5 Mandat, CCSS, 31 octobre 2014.

Note de bas de page 6 Un organisme de Niveau 1 est défini comme un organisme principal, civil ou militaire, qui relève directement du SM ou du CEMD, p. ex. le SMA(GI) ou le commandant de l'Armée canadienne.

Note de bas de page 7 Directive et ordonnance administrative de la Défense (DOAD) 6003-0, Sécurité des technologies de l'information, avril 2012.

Note de bas de page 8 Site Web de Services partagés Canada, Cybersécurité et sécurité de la technologie de l'information, http://ssc-spc.gc.ca/pages/cyber-fra.html.

Date de modification :