Secrétariat du Conseil du Trésor du Canada
Symbole du gouvernement du Canada

ARCHIVÉ - Réponse du gouvernement au quatorzième rapport du Comité permanent des comptes publics

Avertissement Cette page a été archivée.

Information archivée dans le Web

Information archivée dans le Web à  des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à  jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à  la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à  la page « Contactez-nous ».

Introduction

Le gouvernement accueille le Rapport du Comit, en partage les proccupations et convient de ses objectifs. Dans plusieurs cas, le gouvernement a propos une dmarche de rechange ou de nouveaux calendriers pour atteindre les objectifs viss par les recommandations du Comit. Cette approche permettra de raffermir la position de la scurit des TI au sein des ministres et organismes fdraux, puis la scurit, la fiabilit et la sret des services que le gouvernement fdral offre aux Canadiennes et aux Canadiens.

La Politique du gouvernement sur la scurit prescrit des mesures de protection l'gard des systmes d'information, et elle appuie les initiatives nonces dans la Politique canadienne de scurit nationale, de mme que les initiatives du gouvernement en matire de prestation de services. Dans le cadre de la Politique du gouvernement sur la scurit, la Norme de gestion de la scurit des technologies de l'information (GSTI) tablit les exigences de scurit auxquelles les ministres et les organismes doivent se conformer pour garantir la scurit des actifs technologies de l'information (TI) et de l'information qu'ils contrlent.

Recommandation 1

Que le Secrtariat du Conseil du Trsor acclre l'laboration et la mise en œuvre de toutes les normes non encore labores de scurit des TI afin qu'elles soient termines bien avant l'chance prvue de dcembre 2006.

Le Secrtariat du Conseil du Trsor s'engage achever toutes les normes de scurit oprationnelle nonces dans le rapport diffus en 2005 par le Bureau du vrificateur gnral. Les normes priorit absolue seront acheves en dcembre 2005 et toutes les autres le seront avant la fin de juillet 2006.

Jusqu' prsent, le Secrtariat a achev les normes de scurit oprationnelle suivantes : procdure administrative pour la Loi sur la protection de l'information, planification de la continuit des activits, gestion de la scurit des technologies de l'information, scurit matrielle et niveaux de prparation des installations du gouvernement fdral. Plusieurs normes seront bientt prtes : scurit des marchs, identification et catgorisation des biens, filtrage de scurit, et formation et sensibilisation. Le Secrtariat acclrera les travaux dans la mesure du possible et, tout particulirement, accordera la priorit l'achvement de la norme sur la gestion du risque de scurit et la norme touchant le programme de scurit d'ici dcembre 2005, la suite des recommandations du Bureau du vrificateur gnral et du Comit. En ce qui a trait aux normes achever, des bauches ont t rdiges pour les normes suivantes : enqutes et sanctions; filtrage de scurit; gestion des incidents; et dtection d'intrusion. La rdaction des bauches des normes sur le  partage de l'information  et la  protection des employs  n'a toujours pas dbut. En outre, les bauches de normes portant sur l'orientation et la consultation seront transmises aux ministres pour s'assurer que des directives soient donnes le plus tt possible.

Des directives techniques et oprationnelles seront labores de faon continue pour satisfaire aux besoins du contexte relatif au risque dynamique. Dans le cadre de cette activit, le Secrtariat tablira un comit charg d'examiner les secteurs ncessitant de nouvelles normes de scurit des TI. Les normes consolides et un plan de documentation technique seront mis la disposition des ministres et ils seront actualiss de faon priodique. De plus, le Secrtariat du Conseil du Trsor et les organismes de file en matire de scurit surveillent de faon continue les autres activits nationales et internationales en matire de normes, et adoptent ou adaptent celles-ci, au besoin.

Recommandation 2

Qu' compter de septembre 2005, le Secrtariat du Conseil du Trsor prsente au Comit permanent des comptes publics des rapports semestriels sur l'laboration et la mise en œuvre des dernires normes de scurit des TI.

Le Secrtariat du Conseil du Trsor remettra un rapport d'tape au Comit en septembre 2005 dans le cadre du plan d'action dtaill visant mettre en œuvre les recommandations formules par la vrificatrice gnrale du Canada. Le Secrtariat examinera et actualisera priodiquement l'tat d'avancement du plan d'laboration des normes et si des retards importants sont anticips, il en avisera le Comit et lui fournira une justification.

Recommandation 3

Que le Secrtariat du Conseil du Trsor prsente au Comit permanent des comptes publics un plan d'action dtaill des mesures qu'il entend prendre pour mettre en œuvre les recommandations de la vrificatrice gnrale du Canada. Ce plan d'action doit prciser un calendrier de mise en œuvre et tre prsent au Comit permanent des comptes publics au plus tard le 30 septembre 2005.

Un plan d'action dtaill sera prsent directement au Comit avant la fin de septembre 2005.

Recommandation 4

Que le Secrtariat du Conseil du Trsor se conforme aux exigences nonces l'annexe A de la Politique du gouvernement sur la scurit et s'efforce de s'acquitter de sa fonction qui consiste  fournir des conseils et de l'aide en matire de scurit  et de surveiller  la mise en œuvre de la [P]olitique et l'tat de la scurit au sein du gouvernement du Canada .

Le Secrtariat du Conseil du Trsor joue un rle actif pour conseiller et aider les ministres et organismes mettre en œuvre la politique de scurit.

Le Secrtariat du Conseil du Trsor a tenu six ateliers interministriels pour aider les ministres grer la mise en œuvre des normes de gestion de la scurit des TI (GSTI). Le Secrtariat continuera d'offrir ces ateliers pendant toute la priode de mise en œuvre de la GSTI.

Le Secrtariat du Conseil du Trsor a tabli un forum de collaboration interactive sur site Web l'intention des coordonnateurs de la scurit des TI et d'autres praticiens de la scurit des TI pour leur permettre de partager l'information et des pratiques exemplaires, discuter des nouveauts et des questions d'intrt commun, dterminer les problmes et les proccupations, et poser des questions. Le forum compte actuellement plus de 140 membres.

Le Secrtariat du Conseil du Trsor a galement instaur la Semaine annuelle de sensibilisation en matire de scurit pour tous les ministres et organismes fdraux. En prvision de cette manifestation, le Secrtariat organise une Journe annuelle sur la politique de scurit du gouvernement l'intention des professionnels de la scurit du gouvernement du Canada. En 2005, plus de 600 praticiens de la scurit ont pris part cette activit.

Les principaux organismes chargs de la scurit offrent annuellement cinq sances d'information, incluant des mises jour de la menace, aux agents de la scurit des ministres.

La surveillance et la supervision de la scurit des TI constituent une grande priorit du Secrtariat du Conseil du Trsor. En ce moment, le Secrtariat labore et applique de nouvelles mesures pour amliorer l'valuation du rendement, le surveillance et la supervision de la mise en œuvre de la politique et de  l'tat de la scurit des TI au sein du gouvernement du Canada . Ces mesures constitueront le fondement des recommandations du Bureau du vrificateur gnral et du Comit l'gard du surveillance et de la supervision.

La premire tape de la mise au point du programme portant sur la surveillance et la supervision de la scurit des TI consiste tablir un cadre intgr de mesure du rendement l'gard de la scurit des TI. Ce cadre reposera sur les rsultats prvus afin de protger les services offerts aux Canadiennes et aux Canadiens, et de sauvegarder l'information et les activits fdrales l'appui de la prestation des services. On mettra au point des indicateurs de rendement cls qui ne sont pas fonds exclusivement sur la conformit, mais qui tiennent galement compte de l'efficacit. Le cadre de mesure du rendement prendra galement en compte les pratiques exemplaires et la vaste documentation disponible en la matire au sein du gouvernement de mme qu'auprs d'organismes de normalisation, du secteur priv et d'autres administrations publiques.

Lorsque le cadre de mesure du rendement sera en place, le Secrtariat du Conseil du Trsor mettra au point un processus de surveillance et de supervision, et il le documentera dans la nouvelle norme sur les programmes de scurit. Il exigera que les ministres laborent un calendrier annuel de leurs activits prvues de surveillance de la scurit des TI et que le Secrtariat en suive la mise en œuvre. La norme dterminera les mthodes de dclaration du rendement qu'il faudra appliquer pour que la haute direction tous les niveaux du gouvernement dispose de l'information dont elle a besoin pour grer la scurit, notamment des rapports annuels au dirigeant principal de l'information et au secrtaire du Conseil du Trsor concernant la mise en œuvre de la Politique sur la scurit et l'tat de la scurit des TI au sein du gouvernement du Canada.

Le Secrtariat laborera galement les outils ncessaires pour appuyer la mesure du rendement et les rapports connexes. On y retrouvera entre autres des autovaluations,  des banques de donnes et des structures de rapport pour la direction. Les principaux organismes du domaine de la scurit joueront un rle actif pour appuyer la supervision et la surveillance en effectuant des analyses transversales des plans de continuit des activits, des vulnrabilits et des incidents. Le Secrtariat du Conseil du Trsor envisagera galement la possibilit d'effectuer des vrifications transversales de la scurit des TI dans le cadre du rgime de surveillance.

La mesure et la surveillance du rendement en matire de scurit des TI seront conformes aux mthodes actuelles et elles rutiliseront l'information dj offerte ou fournie par les ministres. Le Secrtariat intgrera la scurit des TI dans les cadres existants, le cas chant, y compris le cadre de responsabilisation de la gestion (CRG). Le Secrtariat prendra des mesures pour veiller ce que les valuations ministrielles du rendement de la scurit des TI soient incluses dans les valuations futures du CRG. Ces dernires seront amliores une fois tabli le cadre de mesure du rendement de la scurit des TI.

La mise en œuvre du programme de surveillance sera coordonne avec celle de la GSTI. la fin de 2005, la Dirigeante principale de l'information remettra un rapport d'tape au Secrtaire du Conseil du Trsor sur les plans d'action de la GSTI qui renfermera une meilleure indication de l'tat de la scurit des TI. Pour assurer la surveillance de la mise en œuvre de la GSTI aprs dcembre 2006, on mettra en place un processus de mesure et de surveillance plus complet qui sera utilis pour fournir un rapport dtaill au Secrtaire du Conseil du Trsor, et ce, ds le dbut de 2007. La conformit la norme de GSTI constituera un point de dpart commun qui nous permettra de continuer d'intgrer et d'amliorer la scurit des TI. Un programme continu et durable devant assurer la gestion du rendement relatif la scurit des TI s'effectuera sur une base annuelle.

Recommandation 5

Que le Secrtariat du Conseil du Trsor prsente, dans ses rapports ministriels annuels sur le rendement, de l'information sur ses activits de surveillance exerces conformment aux dispositions de l'annexe A de la Politique du gouvernement sur la scurit. Il doit indiquer la frquence et la porte de ses activits de surveillance, les rsultats obtenus et les mesures correctives prises. Il doit commencer fournir ces donnes dans son rapport couvrant la priode ayant pris fin le 31 mars 2005.

Le Secrtariat intgrera des activits de surveillance dans ses rapports ministriels annuels sur le rendement compter de la priode prenant fin le 31 mars 2006. Ce rapport noncera les rsultats de la surveillance relative la mise en œuvre de la GSTI l't et l'automne de 2005, de mme que l'tat d'avancement de la mise en œuvre d'un vaste programme de mesure du rendement, de surveillance et de supervision de la scurit des TI.

Recommandation 6

Que le gouvernement vrifie si les ressources et les pouvoirs dont dispose le bureau du dirigeant principal de l'information lui permettent de diriger les activits de scurit des TI la grandeur du gouvernement, explore la possibilit de regrouper les ressources et les pouvoirs au sein d'un seul organisme qui assumerait l'entire responsabilit de la scurit des TI la grandeur du gouvernement et prsente ses conclusions au Comit des comptes publics au plus tard le 31 dcembre 2005.

La vrificatrice gnrale a not l'amlioration de la coopration et de la coordination interagence. De concert avec les principaux organismes de scurit, le Secrtariat du Conseil du Trsor continue de raffermir la gouvernance de la scurit des TI.

Le gouvernement estime qu'il est trop tt pour envisager des changements organisationnels quant aux rles et responsabilits des principaux organismes de scurit. De l'avis du gouvernement, les changements organisationnels ne doivent pas constituer la premire tape des amliorations visant le programme de scurit des TI la grandeur du gouvernement. Tout en appliquant des activits telles la mise en œuvre de la GSTI et le passage une infrastructure et des services communs, le Secrtariat du Conseil du Trsor procdera une vaste analyse pour dterminer la porte et la suffisance du programme de scurit des TI la grandeur du gouvernement. Les sous‑ministres doivent transmettre leurs plans d'action de la GSTI au Secrtariat d'ici le 26 aot 2005. Le Secrtariat procdera une analyse dtaille de ces plans et dterminera si des changements doivent tre apports au programme de scurit des TI afin d'atteindre les objectifs de la GSTI. Les rsultats de ces analyses seront mis la disposition du Secrtariat du Conseil du Trsor. En outre, le Secrtariat effectuera une analyse dtaille des rpercussions, sur la scurit, de la mise en œuvre des solutions d'entreprise pangouvernementales visant consolider l'infrastructure et les services de GI/TI (par exemple, les services de dtection des intrusions offerts par la Voie protge).

Lorsque les enjeux sous‑jacents auront t mieux compris, le Secrtariat du Conseil du Trsor, de concert avec les ministres et les principaux organismes de scurit, tudiera les besoins en ressources et examinera la meilleure faon de coordonner et d'aligner les activits de scurit des TI au sein du gouvernement.

Recommandation 7

Que le Secrtariat du Conseil du Trsor dtermine les raisons du changement frquent des titulaires du poste de dirigeant principal de l'information, analyse les rsultats et prsente au Comit des comptes publics un rapport ainsi qu'un plan d'action dcrivant les mesures qu'il prendra en vue de porter cinq ans le mandat du titulaire de ce poste, au plus tard le 31 dcembre 2005.

Depuis la cration de la DDPI en 1997, trois DPI ont t confirms dans le poste. Le dernier DPI ayant t confirm a occup le poste pendant trois ans et neuf mois. Il s'agit l d'une priode qui dpasse le roulement habituel de la plupart des autres postes de sous-ministre adjoint l'chelle du gouvernement.

Recommandation 8

Que le Secrtariat du Conseil du Trsor labore et mette en œuvre un plan de sensibilisation des cadres suprieurs, surtout des sous‑ministres, l'importance de la scurit des TI et fournisse au Comit permanent des comptes publics une copie de ce plan au plus tard le 30 septembre 2005.

Le Secrtariat du Conseil du Trsor a dj pris des mesures afin de mieux sensibiliser la haute direction au sujet de la scurit des TI, notamment :

  • Des mesures intgres portant sur la scurit et la protection des renseignements personnels ont dj t instaures aux fins d'talonnage de la gestion de l'information et des TI dans le Cadre de gestion de la responsabilisation.
  • En mai 2005, le secrtaire du Conseil du Trsor a avis les administrateurs gnraux qu'ils doivent signer et transmettre au Secrtariat les plans ministriels de mise en œuvre de la GSTI d'ici aot 2005. Cette mesure permettra de sensibiliser davantage les sous‑ministres la scurit des TI.
  • Le Forum sur la cyberprotection a t tenu en 2005 afin de favoriser la collaboration avec les intervenants qui tablissent l'orientation gouvernementale, formulent des politiques et administrent des programmes. Parmi les dlgus, on notait des cadres suprieurs, des dirigeants principaux de l'information, des directeurs, des dcisionnaires en matire d'investissement dans les entreprises et dans les TI, et des gestionnaires suprieurs de programmes.
  • Le Centre de scurit des tlcommunications offre des modules de formation sur la scurit dans le cadre de cours donns par l'cole de la fonction publique du Canada. L'un des objectifs consiste faire fructifier ces initiatives pour intgrer de la formation en scurit dans les cours de gestion.

En outre, les ministres devront faire rapport une fois l'an leurs sous‑ministres au sujet de l'tat de la scurit et remettre ces rapports au Secrtariat du Conseil du Trsor. Ainsi, on portera en permanence les problmes lis la scurit des TI l'attention des sous‑ministres.

Un rapport complet sur la sensibilisation sera inclut dans le plan d'action qui sera fourni au Comit en septembre 2005.

Recommandation 9 et RECOMMANDATION 10

Qu'un lien hirarchique direct obligatoire soit tabli pour les agents de scurit des ministres et les coordonnateurs de la scurit des TI par rapport leurs sous‑ministres.

Que les agents de scurit des ministres occupent un poste stratgique au sein des ministres et des organismes afin qu'ils puissent exercer une influence relle sur les stratgies pangouvernementales en matire de scurit des TI et participer aux dcisions budgtaires touchant la scurit.

La Politique sur la scurit recommande dj que l'agent de scurit du ministre  occupe un poste stratgique au sein de l'organisation de sorte [sic] pouvoir fournir des conseils et une orientation stratgique aux cadres suprieurs de celle‑ci . Le Secrtariat du Conseil du Trsor examinera les rapports de vrification interne portant sur la scurit pour dterminer la faon dont les ministres mettent en œuvre cette exigence.

Dans le cadre de son programme de normes, le Secrtariat du Conseil du Trsor laborera une norme sur le programme de scurit qui offrira une orientation au sujet de l'organisation et de la gouvernance ministrielles pour que les agents de la scurit des ministres et les coordonnateurs de la scurit des TI disposent de l'accs requis aux SM et aux cadres de direction des ministres. ce titre, ils rpondront, entre autres, d'importants incidents ou problmes de scurit qui exigent l'attention du SM (p. ex. le refus d'autorisation de scurit), de mme que les rapports sur les risques pour la scurit et l'tat de la scurit.

La norme sur la gestion du risque de scurit renfermera une exigence, savoir que les ministres doivent dterminer et valuer leurs principaux risques et dfis en matire de scurit, et dterminer le niveau de risque acceptable dans le cadre du profil de risque. La haute direction doit approuver le profil de risque li la scurit.

Recommandation 11

Que les ministres et organismes soient tenus d'laborer, en priorit, un plan de continuit des activits, de le mettre l'essai au moins tous les deux ans et de communiquer les rsultats de l'essai au bureau du dirigeant principal de l'information au Secrtariat du Conseil du Trsor.

En vertu de la Politique de scurit nationale, Scurit publique et Protection civile Canada (SPPCC) est le ministre charg de la mise l'essai et de la vrification des responsabilits et activits cls des ministres fdraux en matire de scurit. Cette mesure comprend un examen des plans des ministres fdraux visant les rendre capables de maintenir leur fonctionnement en cas d'urgence. ce titre, SPPCC labore un vaste programme d'assurance de la qualit qui inclut la surveillance, les essais et l'valuation des plans de continuit des activits. Les ministres feront rapport des rsultats de ces essais et des activits de vrification SPPCC. son tour, ce dernier fera rapport une fois l'an au Secrtariat du Conseil du Trsor au sujet des rsultats de la surveillance et des essais appliqus aux plans de continuit des activits afin de fournir une intervention prcieuse au sujet de l'tat global de la scurit au sein du gouvernement.

Le Secrtariat du Conseil du Trsor et SPPCC ont accord la priorit l'excution des plans de continuit des activits. L'obligation impose aux ministres, savoir laborer des plans de continuit des activits, est nonce dans la norme oprationnelle sur la planification de la continuit des activits diffuse par le Secrtariat en avril 2004. Pour faciliter la mise en œuvre de la norme, le Secrtariat du Conseil du Trsor, de concert avec SPPCC et l'cole de la fonction publique du Canada, ont prpar un cours sur des plans de continuit des activits accessible partout au Canada. Par ailleurs, l'automne de 2005, SPPCC fera parvenir un questionnaire d'analyse rapide aux ministres afin de vrifier leur conformit la norme relative aux plans de continuit des activits.

La norme oprationnelle renferme une exigence d'essai et de validation priodique de tous les plans. Le gouvernement est d'accord en principe avec l'exigence de faire l'essai des plans tous les deux ans. En collaboration avec les ministres, SPPCC tablira les essais appropris pour le cycle propos de deux ans. Dans le cadre de son programme de plans de continuit des activits et d'assurance de la qualit, SPPCC valuera la suffisance des programmes d'essai des ministres.

Recommandation 12

Que le bureau du dirigeant principal de l'information effectue un examen pangouvernemental afin de vrifier le niveau total des ressources humaines, technologiques et financires consacres la scurit des TI, au cours de l'exercice financier 2005-2006, au sein des ministres et organismes, qu'il en analyse les rsultats afin de dterminer si ces ressources sont adquates et qu'il prsente ses conclusions au Parlement au plus tard le 30 avril 2006.

Le Secrtariat convient sans rserve de la ncessit d'un examen des dpenses relatives la scurit des TI. Il prvoit de mettre au point une vue d'ensemble des dpenses relative la scurit des TI, de mme que le cadre d'une vaste dmarche permettant de grer les investissements dans la scurit des TI; cependant, il est extrmement difficile de satisfaire ce besoin, et nous ne serons pas en mesure d'y parvenir avant avril 2006 en raison de la complexit du travail effectuer .

Le Secrtariat du Conseil du Trsor a dj commenc recueillir des renseignements sur les dpenses de scurit des TI. L'examen des Services des technologies de l'information men en 2004‑2005 a permis de recueillir des donnes sur les dpenses touchant la scurit des TI auprs de 48 ministres et organismes qui reprsentent 94 % de l'investissement total en GI/TI pour le gouvernement en 2003‑2004. Bien que ces renseignements soient trs valables, ils ne fournissent pas un tableau complet de toutes les dpenses relatives la scurit des TI parce qu'une partie importante est enchsse dans divers programmes ministriels. Les rsultats de l'examen des dpenses ont indiqu qu'il serait possible de raliser des gains d'efficience au moyen des services et de l'infrastructure des TI. Cette conclusion s'applique galement la scurit des TI, et des options portant sur les services communs de scurit des TI seront examines de plus prs dans le cadre de l'laboration de solutions d'entreprise pangouvernementales.

Il est extrmement difficile de tracer un tel concept puisqu'il n'existe aucune dfinition universelle de la scurit des TI ou de moyen pour dfinir et effectuer un suivi des cots. De plus, ces cots sont souvent intgrs de nombreux secteurs de programmes. Par exemple, les mesures de protection relatives la scurit sont intgres dans presque chaque composante de TI, y compris les licences logicielles, les ordinateurs de bureau, les applications et les rseaux. Les marchs concurrentiels prix fixe peuvent galement ne pas fournir le genre de rpartition dtaille des prix requise pour saisir tous les frais relatifs la scurit. Dans d'autres cas, il n'est pas facile de dterminer les lments prendre en compte dans les dpenses relatives la scurit.

En outre, de nombreuses variables permettent de prciser le niveau convenable de cots lis la scurit des TI. Par exemple, les cots doivent tre proportionnels au profil de risque du ministre, qui fluctue sensiblement dans l'ensemble du gouvernement. Par consquent, les cots lis la scurit des TI doivent tre envisags dans le contexte du cadre global d'valuation du rendement en matire de scurit des TI.

Ce problme n'est pas exclusif au gouvernement. Les renseignements sur les dpenses en scurit sont incertains et souvent peu fiables dans le secteur priv pour des motifs semblables ceux susmentionns.

Le Secrtariat du Conseil du Trsor continuera d'valuer les dmarches utilises pour rgler ce problme dans le but de prciser et d'talonner les dpenses relatives la gestion des TI au gouvernement. Des analyses de rentabilisation seront effectues aux fins de l'laboration et de la mise en œuvre de services de scurit communs dans le but d'accrotre l'efficience. L'analyse de l'accs des ressources suffisantes et le niveau convenable d'investissement constitueront un facteur important dans le cadre de l'examen des plans de mise en œuvre de la GSTI et, par la suite, de la conformit de la GSTI au plus tard en dcembre 2006. Les rsultats de cette analyse seront pris en compte dans les rapports sur la conformit de la GSTI qui seront remis au secrtaire du Conseil du Trsor la fin de 2005 et au dbut de 2007.