ARCHIVÉ - Réponse du gouvernement au quatorzième rapport du Comité permanent des comptes publics

Cette page a été archivée.

Introduction

Le gouvernement accueille le Rapport du Comité, en partage les préoccupations et convient de ses objectifs. Dans plusieurs cas, le gouvernement a proposé une démarche de rechange ou de nouveaux calendriers pour atteindre les objectifs visés par les recommandations du Comité. Cette approche permettra de raffermir la position de la sécurité des TI au sein des ministères et organismes fédéraux, puis la sécurité, la fiabilité et la sûreté des services que le gouvernement fédéral offre aux Canadiennes et aux Canadiens.

La Politique du gouvernement sur la sécurité prescrit des mesures de protection à l'égard des systèmes d'information, et elle appuie les initiatives énoncées dans la Politique canadienne de sécurité nationale, de même que les initiatives du gouvernement en matière de prestation de services. Dans le cadre de la Politique du gouvernement sur la sécurité, la Norme de gestion de la sécurité des technologies de l'information (GSTI) établit les exigences de sécurité auxquelles les ministères et les organismes doivent se conformer pour garantir la sécurité des actifs technologies de l'information (TI) et de l'information qu'ils contrôlent.

Recommandation 1

Que le Secrétariat du Conseil du Trésor accélère l'élaboration et la mise en œuvre de toutes les normes non encore élaborées de sécurité des TI afin qu'elles soient terminées bien avant l'échéance prévue de décembre 2006.

Le Secrétariat du Conseil du Trésor s'engage à achever toutes les normes de sécurité opérationnelle énoncées dans le rapport diffusé en 2005 par le Bureau du vérificateur général. Les normes à priorité absolue seront achevées en décembre 2005 et toutes les autres le seront avant la fin de juillet 2006.

Jusqu'à présent, le Secrétariat a achevé les normes de sécurité opérationnelle suivantes : procédure administrative pour la Loi sur la protection de l'information, planification de la continuité des activités, gestion de la sécurité des technologies de l'information, sécurité matérielle et niveaux de préparation des installations du gouvernement fédéral. Plusieurs normes seront bientôt prêtes : sécurité des marchés, identification et catégorisation des biens, filtrage de sécurité, et formation et sensibilisation. Le Secrétariat accélérera les travaux dans la mesure du possible et, tout particulièrement, accordera la priorité à l'achèvement de la norme sur la gestion du risque de sécurité et la norme touchant le programme de sécurité d'ici décembre 2005, à la suite des recommandations du Bureau du vérificateur général et du Comité. En ce qui a trait aux normes à achever, des ébauches ont été rédigées pour les normes suivantes : enquêtes et sanctions; filtrage de sécurité; gestion des incidents; et détection d'intrusion. La rédaction des ébauches des normes sur le « partage de l'information » et la « protection des employés » n'a toujours pas débuté. En outre, les ébauches de normes portant sur l'orientation et la consultation seront transmises aux ministères pour s'assurer que des directives soient données le plus tôt possible.

Des directives techniques et opérationnelles seront élaborées de façon continue pour satisfaire aux besoins du contexte relatif au risque dynamique. Dans le cadre de cette activité, le Secrétariat établira un comité chargé d'examiner les secteurs nécessitant de nouvelles normes de sécurité des TI. Les normes consolidées et un plan de documentation technique seront mis à la disposition des ministères et ils seront actualisés de façon périodique. De plus, le Secrétariat du Conseil du Trésor et les organismes de file en matière de sécurité surveillent de façon continue les autres activités nationales et internationales en matière de normes, et adoptent ou adaptent celles-ci, au besoin.

Recommandation 2

Qu'à compter de septembre 2005, le Secrétariat du Conseil du Trésor présente au Comité permanent des comptes publics des rapports semestriels sur l'élaboration et la mise en œuvre des dernières normes de sécurité des TI.

Le Secrétariat du Conseil du Trésor remettra un rapport d'étape au Comité en septembre 2005 dans le cadre du plan d'action détaillé visant à mettre en œuvre les recommandations formulées par la vérificatrice générale du Canada. Le Secrétariat examinera et actualisera périodiquement l'état d'avancement du plan d'élaboration des normes et si des retards importants sont anticipés, il en avisera le Comité et lui fournira une justification.

Recommandation 3

Que le Secrétariat du Conseil du Trésor présente au Comité permanent des comptes publics un plan d'action détaillé des mesures qu'il entend prendre pour mettre en œuvre les recommandations de la vérificatrice générale du Canada. Ce plan d'action doit préciser un calendrier de mise en œuvre et être présenté au Comité permanent des comptes publics au plus tard le 30 septembre 2005.

Un plan d'action détaillé sera présenté directement au Comité avant la fin de septembre 2005.

Recommandation 4

Que le Secrétariat du Conseil du Trésor se conforme aux exigences énoncées à l'annexe A de la Politique du gouvernement sur la sécurité et s'efforce de s'acquitter de sa fonction qui consiste à « fournir des conseils et de l'aide en matière de sécurité » et de surveiller « la mise en œuvre de la [P]olitique et l'état de la sécurité au sein du gouvernement du Canada ».

Le Secrétariat du Conseil du Trésor joue un rôle actif pour conseiller et aider les ministères et organismes à mettre en œuvre la politique de sécurité.

Le Secrétariat du Conseil du Trésor a tenu six ateliers interministériels pour aider les ministères à gérer la mise en œuvre des normes de gestion de la sécurité des TI (GSTI). Le Secrétariat continuera d'offrir ces ateliers pendant toute la période de mise en œuvre de la GSTI.

Le Secrétariat du Conseil du Trésor a établi un forum de collaboration interactive sur site Web à l'intention des coordonnateurs de la sécurité des TI et d'autres praticiens de la sécurité des TI pour leur permettre de partager l'information et des pratiques exemplaires, discuter des nouveautés et des questions d'intérêt commun, déterminer les problèmes et les préoccupations, et poser des questions. Le forum compte actuellement plus de 140 membres.

Le Secrétariat du Conseil du Trésor a également instauré la Semaine annuelle de sensibilisation en matière de sécurité pour tous les ministères et organismes fédéraux. En prévision de cette manifestation, le Secrétariat organise une Journée annuelle sur la politique de sécurité du gouvernement à l'intention des professionnels de la sécurité du gouvernement du Canada. En 2005, plus de 600 praticiens de la sécurité ont pris part à cette activité.

Les principaux organismes chargés de la sécurité offrent annuellement cinq séances d'information, incluant des mises à jour de la menace, aux agents de la sécurité des ministères.

La surveillance et la supervision de la sécurité des TI constituent une grande priorité du Secrétariat du Conseil du Trésor. En ce moment, le Secrétariat élabore et applique de nouvelles mesures pour améliorer l'évaluation du rendement, le surveillance et la supervision de la mise en œuvre de la politique et de « l'état de la sécurité des TI au sein du gouvernement du Canada ». Ces mesures constitueront le fondement des recommandations du Bureau du vérificateur général et du Comité à l'égard du surveillance et de la supervision.

La première étape de la mise au point du programme portant sur la surveillance et la supervision de la sécurité des TI consiste à établir un cadre intégré de mesure du rendement à l'égard de la sécurité des TI. Ce cadre reposera sur les résultats prévus afin de protéger les services offerts aux Canadiennes et aux Canadiens, et de sauvegarder l'information et les activités fédérales à l'appui de la prestation des services. On mettra au point des indicateurs de rendement clés qui ne sont pas fondés exclusivement sur la conformité, mais qui tiennent également compte de l'efficacité. Le cadre de mesure du rendement prendra également en compte les pratiques exemplaires et la vaste documentation disponible en la matière au sein du gouvernement de même qu'auprès d'organismes de normalisation, du secteur privé et d'autres administrations publiques.

Lorsque le cadre de mesure du rendement sera en place, le Secrétariat du Conseil du Trésor mettra au point un processus de surveillance et de supervision, et il le documentera dans la nouvelle norme sur les programmes de sécurité. Il exigera que les ministères élaborent un calendrier annuel de leurs activités prévues de surveillance de la sécurité des TI et que le Secrétariat en suive la mise en œuvre. La norme déterminera les méthodes de déclaration du rendement qu'il faudra appliquer pour que la haute direction à tous les niveaux du gouvernement dispose de l'information dont elle a besoin pour gérer la sécurité, notamment des rapports annuels au dirigeant principal de l'information et au secrétaire du Conseil du Trésor concernant la mise en œuvre de la Politique sur la sécurité et l'état de la sécurité des TI au sein du gouvernement du Canada.

Le Secrétariat élaborera également les outils nécessaires pour appuyer la mesure du rendement et les rapports connexes. On y retrouvera entre autres des autoévaluations,  des banques de données et des structures de rapport pour la direction. Les principaux organismes du domaine de la sécurité joueront un rôle actif pour appuyer la supervision et la surveillance en effectuant des analyses transversales des plans de continuité des activités, des vulnérabilités et des incidents. Le Secrétariat du Conseil du Trésor envisagera également la possibilité d'effectuer des vérifications transversales de la sécurité des TI dans le cadre du régime de surveillance.

La mesure et la surveillance du rendement en matière de sécurité des TI seront conformes aux méthodes actuelles et elles réutiliseront l'information déjà offerte ou fournie par les ministères. Le Secrétariat intégrera la sécurité des TI dans les cadres existants, le cas échéant, y compris le cadre de responsabilisation de la gestion (CRG). Le Secrétariat prendra des mesures pour veiller à ce que les évaluations ministérielles du rendement de la sécurité des TI soient incluses dans les évaluations futures du CRG. Ces dernières seront améliorées une fois établi le cadre de mesure du rendement de la sécurité des TI.

La mise en œuvre du programme de surveillance sera coordonnée avec celle de la GSTI. À la fin de 2005, la Dirigeante principale de l'information remettra un rapport d'étape au Secrétaire du Conseil du Trésor sur les plans d'action de la GSTI qui renfermera une meilleure indication de l'état de la sécurité des TI. Pour assurer la surveillance de la mise en œuvre de la GSTI après décembre 2006, on mettra en place un processus de mesure et de surveillance plus complet qui sera utilisé pour fournir un rapport détaillé au Secrétaire du Conseil du Trésor, et ce, dès le début de 2007. La conformité à la norme de GSTI constituera un point de départ commun qui nous permettra de continuer d'intégrer et d'améliorer la sécurité des TI. Un programme continu et durable devant assurer la gestion du rendement relatif à la sécurité des TI s'effectuera sur une base annuelle.

Recommandation 5

Que le Secrétariat du Conseil du Trésor présente, dans ses rapports ministériels annuels sur le rendement, de l'information sur ses activités de surveillance exercées conformément aux dispositions de l'annexe A de la Politique du gouvernement sur la sécurité. Il doit indiquer la fréquence et la portée de ses activités de surveillance, les résultats obtenus et les mesures correctives prises. Il doit commencer à fournir ces données dans son rapport couvrant la période ayant pris fin le 31 mars 2005.

Le Secrétariat intégrera des activités de surveillance dans ses rapports ministériels annuels sur le rendement à compter de la période prenant fin le 31 mars 2006. Ce rapport énoncera les résultats de la surveillance relative à la mise en œuvre de la GSTI à l'été et à l'automne de 2005, de même que l'état d'avancement de la mise en œuvre d'un vaste programme de mesure du rendement, de surveillance et de supervision de la sécurité des TI.

Recommandation 6

Que le gouvernement vérifie si les ressources et les pouvoirs dont dispose le bureau du dirigeant principal de l'information lui permettent de diriger les activités de sécurité des TI à la grandeur du gouvernement, explore la possibilité de regrouper les ressources et les pouvoirs au sein d'un seul organisme qui assumerait l'entière responsabilité de la sécurité des TI à la grandeur du gouvernement et présente ses conclusions au Comité des comptes publics au plus tard le 31 décembre 2005.

La vérificatrice générale a noté l'amélioration de la coopération et de la coordination interagence. De concert avec les principaux organismes de sécurité, le Secrétariat du Conseil du Trésor continue de raffermir la gouvernance de la sécurité des TI.

Le gouvernement estime qu'il est trop tôt pour envisager des changements organisationnels quant aux rôles et responsabilités des principaux organismes de sécurité. De l'avis du gouvernement, les changements organisationnels ne doivent pas constituer la première étape des améliorations visant le programme de sécurité des TI à la grandeur du gouvernement. Tout en appliquant des activités telles la mise en œuvre de la GSTI et le passage à une infrastructure et à des services communs, le Secrétariat du Conseil du Trésor procédera à une vaste analyse pour déterminer la portée et la suffisance du programme de sécurité des TI à la grandeur du gouvernement. Les sous‑ministres doivent transmettre leurs plans d'action de la GSTI au Secrétariat d'ici le 26 août 2005. Le Secrétariat procédera à une analyse détaillée de ces plans et déterminera si des changements doivent être apportés au programme de sécurité des TI afin d'atteindre les objectifs de la GSTI. Les résultats de ces analyses seront mis à la disposition du Secrétariat du Conseil du Trésor. En outre, le Secrétariat effectuera une analyse détaillée des répercussions, sur la sécurité, de la mise en œuvre des solutions d'entreprise pangouvernementales visant à consolider l'infrastructure et les services de GI/TI (par exemple, les services de détection des intrusions offerts par la Voie protégée).

Lorsque les enjeux sous‑jacents auront été mieux compris, le Secrétariat du Conseil du Trésor, de concert avec les ministères et les principaux organismes de sécurité, étudiera les besoins en ressources et examinera la meilleure façon de coordonner et d'aligner les activités de sécurité des TI au sein du gouvernement.

Recommandation 7

Que le Secrétariat du Conseil du Trésor détermine les raisons du changement fréquent des titulaires du poste de dirigeant principal de l'information, analyse les résultats et présente au Comité des comptes publics un rapport ainsi qu'un plan d'action décrivant les mesures qu'il prendra en vue de porter à cinq ans le mandat du titulaire de ce poste, au plus tard le 31 décembre 2005.

Depuis la création de la DDPI en 1997, trois DPI ont été confirmés dans le poste. Le dernier DPI ayant été confirmé a occupé le poste pendant trois ans et neuf mois. Il s'agit là d'une période qui dépasse le roulement habituel de la plupart des autres postes de sous-ministre adjoint à l'échelle du gouvernement.

Recommandation 8

Que le Secrétariat du Conseil du Trésor élabore et mette en œuvre un plan de sensibilisation des cadres supérieurs, surtout des sous‑ministres, à l'importance de la sécurité des TI et fournisse au Comité permanent des comptes publics une copie de ce plan au plus tard le 30 septembre 2005.

Le Secrétariat du Conseil du Trésor a déjà pris des mesures afin de mieux sensibiliser la haute direction au sujet de la sécurité des TI, notamment :

• Des mesures intégrées portant sur la sécurité et la protection des renseignements personnels ont déjà été instaurées aux fins d'étalonnage de la gestion de l'information et des TI dans le Cadre de gestion de la responsabilisation.
• En mai 2005, le secrétaire du Conseil du Trésor a avisé les administrateurs généraux qu'ils doivent signer et transmettre au Secrétariat les plans ministériels de mise en œuvre de la GSTI d'ici août 2005. Cette mesure permettra de sensibiliser davantage les sous‑ministres à la sécurité des TI.
• Le Forum sur la cyberprotection a été tenu en 2005 afin de favoriser la collaboration avec les intervenants qui établissent l'orientation gouvernementale, formulent des politiques et administrent des programmes. Parmi les délégués, on notait des cadres supérieurs, des dirigeants principaux de l'information, des directeurs, des décisionnaires en matière d'investissement dans les entreprises et dans les TI, et des gestionnaires supérieurs de programmes.
• Le Centre de sécurité des télécommunications offre des modules de formation sur la sécurité dans le cadre de cours donnés par l'École de la fonction publique du Canada. L'un des objectifs consiste à faire fructifier ces initiatives pour intégrer de la formation en sécurité dans les cours de gestion.

En outre, les ministères devront faire rapport une fois l'an à leurs sous‑ministres au sujet de l'état de la sécurité et remettre ces rapports au Secrétariat du Conseil du Trésor. Ainsi, on portera en permanence les problèmes liés à la sécurité des TI à l'attention des sous‑ministres.

Un rapport complet sur la sensibilisation sera inclut dans le plan d'action qui sera fourni au Comité en septembre 2005.

Recommandation 9 et RECOMMANDATION 10

Qu'un lien hiérarchique direct obligatoire soit établi pour les agents de sécurité des ministères et les coordonnateurs de la sécurité des TI par rapport à leurs sous‑ministres.

Que les agents de sécurité des ministères occupent un poste stratégique au sein des ministères et des organismes afin qu'ils puissent exercer une influence réelle sur les stratégies pangouvernementales en matière de sécurité des TI et participer aux décisions budgétaires touchant la sécurité.

La Politique sur la sécurité recommande déjà que l'agent de sécurité du ministère « occupe un poste stratégique au sein de l'organisation de sorte à [sic] pouvoir fournir des conseils et une orientation stratégique aux cadres supérieurs de celle‑ci ». Le Secrétariat du Conseil du Trésor examinera les rapports de vérification interne portant sur la sécurité pour déterminer la façon dont les ministères mettent en œuvre cette exigence.

Dans le cadre de son programme de normes, le Secrétariat du Conseil du Trésor élaborera une norme sur le programme de sécurité qui offrira une orientation au sujet de l'organisation et de la gouvernance ministérielles pour que les agents de la sécurité des ministères et les coordonnateurs de la sécurité des TI disposent de l'accès requis aux SM et aux cadres de direction des ministères. À ce titre, ils répondront, entre autres, à d'importants incidents ou problèmes de sécurité qui exigent l'attention du SM (p. ex. le refus d'autorisation de sécurité), de même que les rapports sur les risques pour la sécurité et l'état de la sécurité.

La norme sur la gestion du risque de sécurité renfermera une exigence, à savoir que les ministères doivent déterminer et évaluer leurs principaux risques et défis en matière de sécurité, et déterminer le niveau de risque acceptable dans le cadre du profil de risque. La haute direction doit approuver le profil de risque lié à la sécurité.

Recommandation 11

Que les ministères et organismes soient tenus d'élaborer, en priorité, un plan de continuité des activités, de le mettre à l'essai au moins tous les deux ans et de communiquer les résultats de l'essai au bureau du dirigeant principal de l'information au Secrétariat du Conseil du Trésor.

En vertu de la Politique de sécurité nationale, Sécurité publique et Protection civile Canada (SPPCC) est le ministère chargé de la mise à l'essai et de la vérification des responsabilités et activités clés des ministères fédéraux en matière de sécurité. Cette mesure comprend un examen des plans des ministères fédéraux visant à les rendre capables de maintenir leur fonctionnement en cas d'urgence. À ce titre, SPPCC élabore un vaste programme d'assurance de la qualité qui inclut la surveillance, les essais et l'évaluation des plans de continuité des activités. Les ministères feront rapport des résultats de ces essais et des activités de vérification à SPPCC. À son tour, ce dernier fera rapport une fois l'an au Secrétariat du Conseil du Trésor au sujet des résultats de la surveillance et des essais appliqués aux plans de continuité des activités afin de fournir une intervention précieuse au sujet de l'état global de la sécurité au sein du gouvernement.

Le Secrétariat du Conseil du Trésor et SPPCC ont accordé la priorité à l'exécution des plans de continuité des activités. L'obligation imposée aux ministères, à savoir élaborer des plans de continuité des activités, est énoncée dans la norme opérationnelle sur la planification de la continuité des activités diffusée par le Secrétariat en avril 2004. Pour faciliter la mise en œuvre de la norme, le Secrétariat du Conseil du Trésor, de concert avec SPPCC et l'École de la fonction publique du Canada, ont préparé un cours sur des plans de continuité des activités accessible partout au Canada. Par ailleurs, à l'automne de 2005, SPPCC fera parvenir un questionnaire d'analyse rapide aux ministères afin de vérifier leur conformité à la norme relative aux plans de continuité des activités.

La norme opérationnelle renferme une exigence d'essai et de validation périodique de tous les plans. Le gouvernement est d'accord en principe avec l'exigence de faire l'essai des plans tous les deux ans. En collaboration avec les ministères, SPPCC établira les essais appropriés pour le cycle proposé de deux ans. Dans le cadre de son programme de plans de continuité des activités et d'assurance de la qualité, SPPCC évaluera la suffisance des programmes d'essai des ministères.

Recommandation 12

Que le bureau du dirigeant principal de l'information effectue un examen pangouvernemental afin de vérifier le niveau total des ressources humaines, technologiques et financières consacrées à la sécurité des TI, au cours de l'exercice financier 2005-2006, au sein des ministères et organismes, qu'il en analyse les résultats afin de déterminer si ces ressources sont adéquates et qu'il présente ses conclusions au Parlement au plus tard le 30 avril 2006.

Le Secrétariat convient sans réserve de la nécessité d'un examen des dépenses relatives à la sécurité des TI. Il prévoit de mettre au point une vue d'ensemble des dépenses relative à la sécurité des TI, de même que le cadre d'une vaste démarche permettant de gérer les investissements dans la sécurité des TI; cependant, il est extrêmement difficile de satisfaire ce besoin, et nous ne serons pas en mesure d'y parvenir avant avril 2006 en raison de la complexité du travail à effectuer .

Le Secrétariat du Conseil du Trésor a déjà commencé à recueillir des renseignements sur les dépenses de sécurité des TI. L'examen des Services des technologies de l'information mené en 2004‑2005 a permis de recueillir des données sur les dépenses touchant la sécurité des TI auprès de 48 ministères et organismes qui représentent 94 % de l'investissement total en GI/TI pour le gouvernement en 2003‑2004. Bien que ces renseignements soient très valables, ils ne fournissent pas un tableau complet de toutes les dépenses relatives à la sécurité des TI parce qu'une partie importante est enchâssée dans divers programmes ministériels. Les résultats de l'examen des dépenses ont indiqué qu'il serait possible de réaliser des gains d'efficience au moyen des services et de l'infrastructure des TI. Cette conclusion s'applique également à la sécurité des TI, et des options portant sur les services communs de sécurité des TI seront examinées de plus près dans le cadre de l'élaboration de solutions d'entreprise pangouvernementales.

Il est extrêmement difficile de tracer un tel concept puisqu'il n'existe aucune définition universelle de la sécurité des TI ou de moyen pour définir et effectuer un suivi des coûts. De plus, ces coûts sont souvent intégrés à de nombreux secteurs de programmes. Par exemple, les mesures de protection relatives à la sécurité sont intégrées dans presque chaque composante de TI, y compris les licences logicielles, les ordinateurs de bureau, les applications et les réseaux. Les marchés concurrentiels à prix fixe peuvent également ne pas fournir le genre de répartition détaillée des prix requise pour saisir tous les frais relatifs à la sécurité. Dans d'autres cas, il n'est pas facile de déterminer les éléments à prendre en compte dans les dépenses relatives à la sécurité.

En outre, de nombreuses variables permettent de préciser le niveau convenable de coûts liés à la sécurité des TI. Par exemple, les coûts doivent être proportionnels au profil de risque du ministère, qui fluctue sensiblement dans l'ensemble du gouvernement. Par conséquent, les coûts liés à la sécurité des TI doivent être envisagés dans le contexte du cadre global d'évaluation du rendement en matière de sécurité des TI.

Ce problème n'est pas exclusif au gouvernement. Les renseignements sur les dépenses en sécurité sont incertains et souvent peu fiables dans le secteur privé pour des motifs semblables à ceux susmentionnés.

Le Secrétariat du Conseil du Trésor continuera d'évaluer les démarches utilisées pour régler ce problème dans le but de préciser et d'étalonner les dépenses relatives à la gestion des TI au gouvernement. Des analyses de rentabilisation seront effectuées aux fins de l'élaboration et de la mise en œuvre de services de sécurité communs dans le but d'accroître l'efficience. L'analyse de l'accès à des ressources suffisantes et le niveau convenable d'investissement constitueront un facteur important dans le cadre de l'examen des plans de mise en œuvre de la GSTI et, par la suite, de la conformité de la GSTI au plus tard en décembre 2006. Les résultats de cette analyse seront pris en compte dans les rapports sur la conformité de la GSTI qui seront remis au secrétaire du Conseil du Trésor à la fin de 2005 et au début de 2007.