Secrétariat du Conseil du Trésor du Canada
Symbole du gouvernement du Canada

ARCHIVÉ - Vérification de sécurité - juin 2002

Avertissement Cette page a été archivée.

Information archivée dans le Web

Information archivée dans le Web à  des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à  jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à  la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à  la page « Contactez-nous Â».





Vérification de sécurité
juin 2002






Table des matières

1.0 Sommaire

2.0 Introduction

3.0 Résultats de la vérification

4.0 Recommandations

Annexe A





1.0 Sommaire

La présente vérification a pour but de formuler une opinion sur la conformité du Secrétariat du Conseil du Trésor (TBS) aux normes de sécurité et aux normes opérationnelles de la Politique du gouvernement sur la sécurité (PGS) et d'évaluer l'efficience et l'efficacité du programme de sécurité du SCT. La présente vérification porte sur l'évaluation des politiques, procédures, processus, systèmes et mesures de contrôle prévus dans ce programme. L'évaluation ne porte pas sur le ministère des Finances, bien que celui-ci partage un grand nombre de services ministériels avec le SCT.

La présente vérification s'appuie sur les guides de vérification élaborés pour la PGS et les normes opérationnelles sur la sécurité de la technologie de l'information (STI). Les guides de vérification ont été élaborés dans le but d'aider la collectivité de la vérification interne à effectuer des vérifications portant sur la mise en oeuvre de la PGS et des normes opérationnelles sur la STI. Bien qu'une nouvelle version de la PGS ait été publiée en février 2002, il faudra un certain temps pour mettre à jour les normes opérationnelles et les guides de vérification afférents. Nous avons donc décidé de vérifier la conformité du SCT en fonction de la version de la PGS qui est entrée en vigueur en juillet 1994. Nous avons examiné la version actuelle et nous sommes convaincus que toutes nos constatations et nos recommandations demeurent pertinentes.

Au cours des entrevues et des essais, nous avons constaté que le programme de sécurité du SCT est pleinement conforme à sept (7) des trente deux (32) objectifs de contrôle visés par la vérification et il y a vingt-quatre (24) autres objectifs de contrôle ou le Ministère a été jugé partiellement conformes. Pour neuf (9) de ces dernières nous avons trouvé que le Ministère a instauré des procédures appropriées mais elles n'étaient pas suffisamment documentées. Il y a un objectif de contrôle ou le Ministère n'était pas conforme. Nous avons constaté la nécessité de prendre des mesures correctives dans le but d'accroître l'efficience et l'efficacité du programme de sécurité du SCT. Compte tenu de ces lacunes, nous sommes d'avis que le programme de sécurité du SCT n'est pas pleinement conforme à la PGS et aux normes opérationnelles de la PGS.

La section 4 contient des recommandations relatives aux secteurs partiellement conformes ou non conformes à la PGS et aux normes opérationnelles de la PGS que nous avons relevés au cours de notre vérification. Nos constatations sont difficiles à classer par catégories puisqu'elles se rapportent souvent à des questions importantes qui touchent l'ensemble du programme de sécurité du SCT. Néanmoins, l'absence de procédures officielles, la rareté des examens et des enquêtes internes sur la sécurité et le manque de documentation adéquate ont été les thèmes dominants relevés tout au long de notre vérification. Par conséquent, nous estimons que la capacité du SCT de comprendre et de corriger les lacunes et les vulnérabilités de son système de sécurité peut être compromise. Nous recommandons de prendre immédiatement les mesures suivantes: enquêter rapidement sur les incidents de sécurité, préparer des évaluations judicieuses de la menace et des risques et élaborer un processus officiel d'autoévaluation. En préparant des réponses à ces questions, la direction doit aussi tenir compte du fait que les répondants ont été nombreux à invoquer le manque de ressources pour expliquer la non-conformité du SCT à la PGS.

Réponse de la direction

Nous acceptons les constatations et les recommandations de la vérification interne à l'égard de la conformité à la Politique du gouvernement sur la sécurité (PGS) et nous estimons que dans l'ensemble, elle constitue un outil de gestion valable pour améliorer la situation. Bien qu'il y ait certains secteurs où la conformité n'est pas entière, le Ministère a respecté l'esprit des exigences de la politique dans la plupart de ces secteurs, sans toutefois documenter les procédures officielles comme l'exige la PGS.

Dans certains secteurs, les recommandations peuvent facilement être mises en application. En fait, des mesures ont déjà été prises à l'égard de beaucoup des recommandations mentionnées dans le rapport de vérification. Ainsi, la Division des services de sécurité a déjà instauré une nouvelle procédure pour structurer le processus d'enquête sur les atteintes à la sécurité et des discussions sont en cours en vue d'élaborer un programme d'autoévaluation. Le SCT poursuivra ses efforts visant à intégrer une méthodologie fondée sur les risques dans la préparation d'évaluations de la menace et des risques (EMR) et il continuera d'accorder la priorité aux secteurs à risque élevé. Par ailleurs, le Ministère s'efforcera de rendre ce processus plus rigoureux à l'avenir.

Le SCT s'engage à prendre les mesures nécessaires pour se conformer intégralement à la nouvelle version de la PGS et à ajuster ses politiques et ses pratiques au fur et à mesure que les normes opérationnelles révisées deviendront disponibles. Bien que nous soyons d'avis qu'aucun secteur du SCT n'est indûment exposé à des risques, nous sommes déterminés à corriger les lacunes relevées dans le cadre de la vérification. Toutes les recommandations seront mises en application d'ici la fin de l'exercice 2002-2003.


2.0 Introduction

2.1 Contexte

Le Secrétariat du Conseil du Trésor (SCT) a approuvé la Politique du gouvernement sur la sécurité (PGS) et les normes afférentes en décembre 1989. Au départ, la PGS a été conçue dans le but d'édicter des normes de sécurité pour les programmes des ministères en matière de gestion de l'organisation, des biens matériels, des ressources humaines et de la technologie de l'information. En juin 1994, la PGS a été mise à jour afin de prendre en compte l'évolution récente de l'économie du Canada et de l'économie mondiale, ainsi que les normes stratégiques et opérationnelles sur la gestion des marchés et des mesures d'urgence. La nouvelle version de la PGS a été émise en février 2002. Toutefois, étant donné que les normes opérationnelles afférentes ne seront pas disponibles dans un proche avenir, il a été décidé que la vérification du SCT serait effectuée sur la base de l'ancienne version de la PGS.

Afin d'aider les ministères à réaliser des vérifications internes pour évaluer leur conformité à la PGS et aux normes opérationnelles de la PGS, le SCT a préparé les guides de vérification suivants :

  •  
  • Guide de vérification de la sécurité, 1990 (mis à jour en juin 1996);
  • Guide de vérification - sécurité des technologies de l'information, septembre 1995.

Ces guides de vérification visent à orienter la collectivité de la vérification interne dans la préparation d'évaluations sur la mise en oeuvre de la PGS et des normes opérationnelles sur la sécurité de la technologie de l'information (STI). Plus précisément, ils ont pour but d'aider les organisations à évaluer :

  • la conformité à la PGS et aux normes opérationnelles sur la STI;
  • l'efficacité de la mise en application de la PGS et des normes opérationnelles de la PGS;
  • l'efficience de la mise en application de la PGS et des normes opérationnelles de la PGS.

La dernière vérification de sécurité au SCT a été réalisée en mars 1994.

2.2 But de la vérification

Le but de la présente vérification est de formuler une opinion sur la conformité du SCT aux normes de sécurité de la PGS et aux normes opérationnelles sur la STI, et sur l'efficience et l'efficacité du programme de sécurité du SCT. En ce qui concerne les secteurs où nous avons relevé des manquements à la conformité ou à la sécurité, nous avons fait des recommandations susceptibles de minimiser la vulnérabilité du Ministère et d'accroître l'efficience et l'efficacité du programme de sécurité du SCT.

2.3 Portée de la vérification

La présente vérification porte sur l'évaluation des politiques, procédures, processus, systèmes et contrôles inclus dans le programme de sécurité du SCT. Le ministère de Finances n'était pas visé par la présente vérification, bien que ce ministère et le SCT partagent un grand nombre de services ministériels.

Notre vérification a porté sur l'intégralité du programme de sécurité du SCT, qui comprend les divisions ou groupes suivants :

  • services de sécurité;
  • services informatiques;
  • gestion des documents;
  • gestion des installations;
  • télécommunications;
  • gestion des marchés;
  • services d'orientation / ressources humaines.

2.4 Approche / méthodologie de la vérification

La présente vérification s'appuie sur les guides de vérification élaborés pour la PGS et les normes opérationnelles sur la STI. L'approche adoptée comprend les procédures de vérification suivantes :

  • Examen des politiques et procédures de sécurité documentées et des autres documents utilisés dans le cadre du programme de sécurité du SCT;
  • Entrevues avec les principaux responsables de la gestion de la sécurité;
  • Examen des processus actuels d'administration et de surveillance de la sécurité;
  • Au besoin, réalisation de tests sur échantillonnages pour déterminer si les activités de sécurité se sont déroulées comme prévu;
  • Évaluation des processus de sécurité en vigueur en fonction des objectifs de sécurité dans le but de déceler les lacunes;
  • Recommandation visant à corriger les lacunes.

L'annexe A contient la liste des employés du SCT que nous avons interrogés ou qui ont participé à des tests dans le cadre de la vérification.

2.5 Le modèle de sécurité du gouvernement

On décrit souvent la sécurité comme étant la protection des personnes, de l'information sensible et des biens matériels contre les menaces au moyen de mesures de protection conçues en vue d'assurer la confidentialité, l'intégrité et la disponibilité et le bien-être.

Lorsque le gouvernement a élaboré la PGS et les normes opérationnelles, il s'attendait à ce que les ministères conçoivent leur propre modèle de programme de sécurité composé des éléments suivants :

  • Structure organisationnelle;
  • Procédures administratives;
  • Cinq sous-systèmes :
  • sécurité matérielle,
  • sécurité de la technologie de l'information,
  • sécurité du personnel,
  • gestion de la sécurité et des mesures d'urgence,
  • gestion de la sécurité et des marchés.

L'efficience et l'efficacité du programme de sécurité dépendent du rendement de chacun de ces éléments et de leur interaction les uns avec les autres. Ainsi, lorsque la responsabilité des divers sous-systèmes incombe à des unités organisationnelles différentes ou lorsqu'elle est décentralisée, les sous-systèmes doivent être structurés de manière à obtenir une approche coordonnée en matière de planification, de gestion et d'administration.

Le sous-ministre adjoint, Direction des services ministériels, a été désigné à titre de haut fonctionnaire responsable de la coordination et de la direction des activités courantes liées à la mise en oeuvre de la PGS et des normes opérationnelles de la PGS pour le SCT. La gestion du programme de sécurité incombe au directeur, Division des services de sécurité (DSS).


3.0 Résultats de la vérification

La vérification a pour but de présenter à la haute direction une évaluation de l'efficacité et de l'efficience du programme de sécurité du SCT et de sa conformité à la PGS et aux normes opérationnelles de la PGS. On trouvera ci-dessous notre évaluation générale de la conformité du SCT à chacun des objectifs de vérification contenus dans les guides de vérification. Ayant décelé un certain nombre de secteurs nécessitant des améliorations, nous sommes d'avis que le programme de sécurité du SCT n'est pas entièrement conforme à la PGS et aux normes opérationnelles de la PGS. Compte tenu de la conformité partielle ou de la non-conformité du SCT à certains objectifs de vérification, des mesures correctives devront être prises dans le but d'accroître l'efficience et l'efficacité du programme de sécurité du Ministère. On trouvera à la section 4.0 des précisions et des recommandations à l'égard des vulnérabilités et des faiblesses qui ont été relevées.

3.1 Guide de vérification de la sécurité - Objectifs de la vérification

Objectif de la vérification

L'objectif a-t-il été atteint?

Recommandations

Oui

En partie

Non

P et P(1)

Autre

Organisation de la sécurité1

1. Faire en sorte qu'une structure de gestion de la sécurité soit mise en place, qu'elle intègre la responsabilité de gérer l'ensemble du programme de sécurité du Ministère, y compris la sécurité administrative et matérielle, la sécurité de la technologie de l'information et celle du personnel, la gestion de la sécurité et des mesures d'urgence et la gestion des marchés, et que cette structure réponde aux besoins du Ministère.

X

       

Administration de la sécurité

2. Faire en sorte que l'agent de sécurité du Ministère (ASM) mette en oeuvre un programme de sécurité efficace, bien intégré à l'ensemble des programmes du Ministère et répondant aux exigences de la PGS et des normes opérationnelles.

 

X

 

4.1

 

3. Faire en sorte que des programmes adéquats de sensibilisation et de formation en matière de sécurité soient mis en place.

 

X

 

4.1

4.2

4. Faire en sorte que l'information et les biens sensibles soient classifiés et désignés conformément aux exigences de la PGS et des normes opérationnelles et que les classifications et les désignations soient réduites ou supprimées lorsque l'information et les biens deviennent moins sensibles ou perdent leur caractère sensible.

 

X

   

4.3, 4.4

5. Faire en sorte que les mesures prises dans le but de protéger l'information et les biens sensibles ainsi que les employés qui en sont responsables soient fondées sur des normes obligatoires et sur une méthodologie de gestion des risques.

 

X

 

4.1

4.5, 4.6

6. Faire en sorte que les atteintes éventuelles à la sécurité et les autres incidents de sécurité fassent l'objet d'une enquête, que des mesures soient prises afin de minimiser les pertes et que des mesures administratives et disciplinaires appropriées soient prises, s'il y a lieu.

 

X

 

4.1

4.6

7. Faire en sorte que des mesures appropriées soient mises en place pour protéger l'information sensible provenant de sources officielles extérieures au Ministère ou communiquée à ces sources.

X

       

Sécurité matérielle

8. Faire en sorte qu'il soit envisagé de désigner des installations où l'information et les biens sensibles ainsi que les employés qui en sont responsables sont exposés à des menaces et à des risques, en vue de les réduire ou de les éliminer.

 

X

 

4.1

4.7

9. Faire en sorte que des mesures de protection matérielle appropriées soient mises en place pour garantir la sécurité de l'information et des biens sensibles.

 

X

 

4.1

4.7

10. Faire en sorte que des mesures de protection matérielle appropriées soient mises en place afin de garantir la sécurité des employés.

X

       

11. Faire en sorte que les mesures de protection matérielle soient examinées et mises à l'essai à intervalles réguliers.

   

X

 

4.7

Sécurité du personnel

12. Faire en sorte qu'un filtrage de sécurité du personnel soit effectué conformément aux exigences de la PGS et de la Norme sur la sécurité du personnel.

 

X

 

4.1

 

13 Faire en sorte que les cotes de sécurité nécessaires soient autorisées, refusées ou révoquées conformément à la PGS et à la Norme sur la sécurité du personnel et qu'elles le soient de manière équitable et objective.

 

X

 

4.1

 

14. Faire en sorte que la décision de mettre fin à un emploi [par voie de licenciement ou de mutation] soit exécutée de manière à réduire ou éliminer tout risque pour l'information et les biens sensibles et pour les systèmes essentiels du Ministère.

 

X

 

4.1

4.8

Gestion de la sécurité et des mesures d'urgence

15. Faire en sorte que les gestionnaires des installations à l'échelle du Ministère aient pris les mesures nécessaires pour protéger l'information et les biens sensibles ainsi que les employés qui en sont responsables, dans toute situation d'urgence.

 

X

 

4.1

4.9

16. Faire en sorte que des plans soient élaborés à l'échelle du Ministère pour assurer la reprise des opérations essentielles à la suite d'une interruption imprévue.

 

X

 

4.1

4.9

Sécurité et gestion des marchés

17. Faire en sorte que les exigences en matière de sécurité soient prises en compte au même titre que les autres exigences des marchés, lorsque ceux-ci présupposent l'accès à de l'information ou à des biens sensibles.

 

X

 

4.1

 

3.2 Guide de vérification des normes sur la technologie de l'information - Objectifs de la vérification

Objectif de la vérification

L'objectif a-t-il été atteint?

Recommandations

Oui

En partie

Non

P et P(2)

Autre

Organiser et administrer la STI

1. Faire en sorte qu'une structure de gestion de la STI soit mise en place et qu'elle réponde aux besoins du Ministère.

 

X

 

4.1

 

2. Faire en sorte que des mesures de protection de la STI soient appliquées, mises à jour, surveillées et ajustées dans un contexte de gestion des risques.

 

X

   

4.2, 4.10

3. Faire en sorte que les ressources de la technologie de l'information (TI) soient adéquatement gérées.

 

X

   

4.7

4. Faire en sorte que la gestion, la réparation, l'entretien et l'aliénation du matériel nécessaire à la STI soient effectués adéquatement.

 

X

 

4.1

4.7, 4.10

5. Faire en sorte que la gestion, la réparation, l'entretien et l'aliénation du matériel de chiffrement soient effectués adéquatement.

X

       

6. Faire en sorte que la STI fasse l'objet d'une surveillance et d'un examen systématiques au Ministère.

 

X

   

4.7

Sécurité du personnel

7. Faire en sorte que le personnel ayant accès aux systèmes, réseaux et applications informatiques permettant de traiter, de transmettre ou d'entreposer de l'information sensible fasse l'objet d'un contrôle de sécurité au préalable et qu'il connaisse ses responsabilités en matière de sécurité.

 

X

 

4.1

4.2

Sécurité physique

8. Faire en sorte que le développement et la maintenance de la TI s'effectuent en tenant compte des exigences matérielles et environnementales afférentes.

 

X

   

4.7

Sécurité du matériel

9. Faire en sorte que le développement et la maintenance de la TI s'effectuent en tenant compte des exigences de sécurité relatives au matériel.

 

X

 

4.1

 

Sécurité des logiciels

10. Faire en sorte que le développement et la maintenance de la TI s'effectuent en tenant compte des exigences de sécurité relatives aux logiciels.

 

X

 

4.1

 

Sécurité des communications

11.Faire en sorte que le développement et la maintenance de la TI s'effectuent en tenant compte des exigences de sécurité relatives aux communications.

X

       

12.Faire en sorte que le développement et la maintenance des réseaux et des applications de réseaux s'effectuent en tenant compte des exigences de sécurité afférentes.

 

X

 

4.1

 

13. Faire en sorte que le développement et la maintenance de la TI s'effectuent en tenant compte des exigences de sécurité concernant l'autorisation et l'authentification électroniques.

X

       

14. Faire en sorte que le développement et la maintenance de la TI s'effectuent en tenant compte des exigences de sécurité relatives aux émanations.

X

       

Sécurité des opérations

15. Faire en sorte que des opérations soient mises en place pour assurer la sécurité de la TI et qu'elles répondent aux besoins du Ministère.

 

X

 

4.1

 

4.0 Recommendation

Les recommandations qui suivent ont été élaborées dans le but de corriger les faiblesses et les vulnérabilités qui ont été relevées au cours de notre vérification du programme de sécurité du SCT. Tout au long de cette vérification, nous avons constaté que bon nombre de répondants ont invoqué le manque de ressources pour expliquer la non-conformité du SCT à plusieurs dispositions de la PGS.

4.1 Politiques et procédures ministérielles

La PGS et les normes opérationnelles de la PGS ont été élaborées en guise de document d'orientation générale, en tenant pour acquis que les ministères établiraient des politiques et procédures détaillées pour chaque secteur de leur programme de sécurité. Bien que le programme de sécurité du SCT s'appuie sur la PGS et sur les normes opérationnelles de la PGS, nous avons relevé de nombreux secteurs où le Ministère n'a pas élaboré de politiques ou de procédures spécifiques et où les politiques et procédures en vigueur sont désuètes. Voici une liste de secteurs où des politiques et procédures devront être élaborées.

Guide de vérification de sécurité

  • Gérer les risques et préparer des évaluations de la menace et des risques
  • Signaler les atteintes et les menaces à la sécurité, faire enquête et résoudre les problèmes
  • Évaluer les exigences en matière de sécurité pour les nouveaux sites ou les sites rénovés et préparer des énoncés sur la sécurité
  • Gérer et surveiller le fonctionnement des éléments de sécurité matérielle
  • Octroyer, refuser et révoquer des autorisations de sécurité
  • Récupérer et protéger les biens confiés à un employé lorsque celui-ci quitte le Ministère
  • Mettre à jour et tester les plans de reprise des activités
  • Améliorer les exigences de sécurité en fonction des marchés externes et des mesures de surveillance

Guide de vérification - Norme de sécurité sur la technologie de l'information

  • Planifier, mettre en oeuvre et maintenir la gestion de l'information et la TI
  • Gérer, réparer, entretenir et aliéner le matériel de traitement de l'information
  • Maintenir et surveiller l'accès aux systèmes
  • Sécurité de la TI - Politiques et procédures opérationnelles

Nous recommandons d'entreprendre l'élaboration de politiques et de procédures ministérielles s'appliquant à tous les éléments de sécurité mentionnés dans la PGS et les normes opérationnelles de la PGS. La réalisation de ce projet doit mettre à contribution toutes les divisions du SCT qui sont visées par ces politiques et procédures. Une fois terminées, les politiques et procédures devront être mises à la disposition du personnel concerné et la responsabilité de les garder à jour devra être attribuée.

Réponse de la direction :

La DSS continuera d'utiliser la Politique du gouvernement sur la sécurité à titre de document d'orientation générale et elle élaborera des politiques et procédures détaillées, s'il y a lieu, pour répondre à des besoins particuliers (p. ex. la Politique sur l'utilisation des réseaux électroniques) ou lorsque la nécessité d'élaborer des politiques et procédures plus précises sera établie dans le cadre d'une évaluation de la menace et des risques. Une version électronique de toutes les nouvelles politiques et procédures sera mise à la disposition des employés qui utilisent l'intranet du SCT (InfoSite).

4.2 Programme de sensibilisation et de formation en matière de sécurité

En vertu de la PGS, les ministères sont tenus de s'assurer que les personnes ayant des fonctions spécifiques liées à la sécurité reçoivent une formation pertinente et adéquate. Les ministères doivent également mettre en place un programme de sensibilisation à la sécurité afin d'informer les employés et de leur rappeler régulièrement qu'ils ont des responsabilités permanentes à cet égard et de leur signaler les menaces récentes à la sécurité de l'information et des biens sensibles, ainsi que les modifications à la politique et aux procédures. Les besoins de formation particuliers qui sont déterminés au moment de l'évaluation annuelle du rendement de l'employé n'ont pas nécessairement un lien direct avec les exigences du programme de sécurité. La sensibilisation se fait en partie grâce aux énoncés sur la sécurité communiqués aux nouveaux employés et à la publication occasionnelle de bulletins sur la sécurité. Par contre, il n'existe pas de stratégie officielle et aucune formation subséquente n'est donnée, sauf dans des cas exceptionnels (p. ex. la politique relative à l'utilisation acceptable d'Internet).

Nous recommandons que la DSS mette en oeuvre un programme officiel de sensibilisation et de formation en matière de sécurité. Ce programme devrait soutenir la vision stratégique de la DSS et répondre aux besoins et aux exigences en matière de sécurité. Par ailleurs, nous recommandons de créer sur l'intranet un dépôt pour les bulletins et les alertes de sécurité et de le rendre disponible à tous les préposés à la sécurité. La mise sur pied d'un programme officiel de sensibilisation et de formation en sécurité devrait permettre de renseigner les employés, notamment les préposés à la sécurité, sur la répartition des responsabilités au sein du programme de sécurité, les menaces auxquelles est exposé le SCT et ses vulnérabilités face à ces menaces.

Réponse de la direction :

D'ici l'automne ou l'hiver 2002, la DSS mettra sur pied un programme de sensibilisation et de formation qui répondra aux exigences et aux besoins actuels en matière de sécurité. Ce programme sera élargi au moment où les nouvelles normes opérationnelles de la PGS deviendront disponibles. Les bulletins et alertes de sécurité seront affichés sur l'intranet (InfoSite) auquel tous les employés ont accès.

4.3 Gestion des documents - Dossiers à volumes multiples

Le groupe responsable de la gestion des documents au SCT emploie des dossiers à volumes multiples et classifie tous les volumes selon la plus haute classification attribuée à un document contenu dans le dossier. Cette pratique, qui a déjà été très répandue, contrevient maintenant aux dispositions de la PGS car elle donne lieu à une surclassification de l'information.

Nous recommandons que le personnel affecté à la gestion des documents cesse d'utiliser des dossiers à volumes multiples et que les documents soient entreposés en fonction de leur classification initiale.

Réponse de la direction :

L'utilisation de dossiers à volumes multiples cessera immédiatement. Tous les nouveaux documents seront entreposés en fonction de leur classification initiale.

4.4 Gestion des documents - Réduction ou suppression de la classification

Le Guide de classification et de désignation de l'information établit clairement que les documents classifiés et désignés doivent faire l'objet d'un examen constant et que leur classification doit être réduite ou supprimée par des personnes autorisées dès qu'une telle mesure devient nécessaire. Bien que le SCT ait élaboré un programme de déclassification pour un certain nombre de documents, la déclassification n'a pas été effectuée.

Nous recommandons que les programmes de classification du Guide de classification et de désignation de l'information soient examinés et approuvés par la ou les personnes autorisées et que des mesures soient prises pour réduire la classification des documents comme l'exige le programme.

Réponse de la direction :

La suppression et la réduction de la classification d'un document incombent au rédacteur ou aux autorités désignées. Par conséquent, nous aviserons les rédacteurs de la nécessité de suivre la pratique décrite dans le Guide de classification et de désignation de l'information pour l'établissement, la suppression ou la réduction de la classification des documents. Les pratiques que nous adopterons en matière de gestion de l'information incluent la consultation auprès des clients pour établir les dates auxquelles les nouveaux documents classifiés feront l'objet d'une déclassification.

Nous prévoyons entreprendre un examen à l'automne 2002 dans le but de mettre à jour le Guide de classification et de désignation de l'information. Ce guide qui, pour le moment, n'existe que sur papier sera rendu disponible en format électronique sur l'intranet afin que tous les employés puissent y avoir accès.

4.5 Préparation d'évaluations de la menace et des risques

En vertu de la PGS, les ministères sont tenus d'évaluer constamment les menaces et les risques en vue de déterminer la nécessité d'adopter des mesures de protection additionnelles. Les ministères doivent notamment mettre à jour leur évaluation lorsqu'il se produit des changements en ce qui concerne le contexte de la menace ou l'information et les biens sensibles à protéger, par exemple, s'il se produit des atteintes à la sécurité ou d'autres incidents de sécurité graves. La DSS appuie la préparation d'évaluations de la menace et des risques (EMR). Nous avons toutefois relevé plusieurs situations où il n'a pas été possible de réaliser une EMR complète en raison de contraintes de ressources et de temps, et où on a dû recourir à des évaluations moins rigoureuses des vulnérabilités. Par ailleurs, le SCT utilise encore des EMR désuètes, qui doivent être mises à jour. À titre d'exemple, l'EMR du réseau a été préparée en septembre 1995. Il n'y a pas eu de modifications importantes à la configuration du réseau depuis, mais le contexte de la menace a changé, ce qui devrait conduire le SCT à envisager d'autres domaines de risque.

Nous recommandons que la DSS prenne des mesures pour s'assurer que des EMR complètes et à jour sont réalisées pour toutes les activités opérationnelles qui touchent la protection des employés et/ou des biens, entre autres, la rénovation des installations, l'instauration de systèmes, d'applications ou de réseaux nouveaux ou modifiés, et tout autre changement dans le contexte de la menace. La préparation des EMR doit s'inscrire dans le cadre du programme de sensibilisation à la sécurité afin que tout le personnel, notamment les employés responsables des services informatiques, des télécommunications et des installations, soient bien renseignés sur la nécessité de préparer des EMR. La DSS peut participer à l'élaboration des EMR, au besoin.

Réponse de la direction :

Dans le passé, la DSS a préparé des évaluations des risques portant sur les problèmes qui présentaient les risques les plus sérieux pour le SCT. Elle a également réalisé des examens de haut niveau sur les problèmes qui présentaient des risques moins élevés. La DSS examinera ses pratiques actuelles et les modifiera dès qu'elle sera en mesure de le faire.

Par ailleurs, la DSS participera activement au processus de gestion intégrée des risques afin de s'assurer de bien évaluer les risques auxquels est exposé le SCT. Des EMR complètes seront préparées pour tous les risques de gravité moyenne à élevée et des examens de haut niveau continueront d'être effectués pour les risques peu élevés.

4.6 Enquêtes sur les atteintes à la sécurité

Les enquêtes sur les atteintes à la sécurité et la résolution des problèmes afférents sont un élément important du programme de sécurité d'un ministère. Ces activités de suivi permettent au Ministère de mieux comprendre les changements qui se produisent dans le contexte de la menace et de réagir rapidement pour atténuer les vulnérabilités. Bien que le SCT ait connu très peu d'atteintes à la sécurité, nous avons constaté que le Ministère ne procède pas à des enquêtes exhaustives en temps voulu et ne prépare pas toujours des rapports de sécurité détaillés sur ces incidents, qui se produisent bel et bien. Les menaces à la sécurité et les vulnérabilités peuvent donc se poursuivre sans être détectées.

Nous recommandons qu'un processus soit mis en place pour déceler les atteintes à la sécurité, faire enquête et résoudre les problèmes. Le Ministère devrait préparer un manuel de procédures décrivant les mesures requises pour chaque incident signalé et comprenant des modèles standard pour documenter la communication initiale et la résolution des atteintes à la sécurité. Un tel processus devrait comprendre la préparation d'une évaluation de la menace et des risques, au besoin. La haute direction devrait participer à l'examen et à l'approbation des mesures afin de veiller à ce qu'elles soient adaptées à la situation.

Réponse de la direction :

La DSS a déjà élaboré des modèles permettant de déceler les atteintes à la sécurité, de faire enquête et de résoudre les problèmes. La haute direction continuera de participer à l'examen des incidents de sécurité importants.

4.7 Exigences en matière de sécurité matérielle

Dans la PGS, la sécurité matérielle est définie comme faisant partie intégrante du programme de sécurité d'un ministère. La sécurité matérielle comprend la configuration et l'aménagement appropriés des installations et le recours à des mesures pour retarder ou empêcher l'accès non autorisé aux biens du gouvernement. Au cours de notre évaluation, nous avons constaté qu'il y aurait lieu d'améliorer certains éléments du programme de sécurité matérielle du SCT.

a) Aménagement des installations :

La PGS établit que les ministères sont tenus de faire en sorte que la sécurité soit pleinement intégrée au processus de planification, de sélection, d'aménagement et de modification de leurs installations. Ce processus doit comprendre la préparation d'énoncés de sécurité sur le site et l'aménagement des installations, une participation constante à l'étape de l'aménagement du site et des inspections matérielles avant que celui-ci soit occupé. À l'heure actuelle, la DSS participe très peu à la définition des exigences de sécurité relatives à l'aménagement des installations. En général, elle n'intervient qu'à la fin du processus, elle ne prépare pas d'énoncés de sécurité et elle ne procède pas à des inspections matérielles une fois le site terminé. Au cours de nos entrevues, nous avons constaté que la répartition des rôles et des responsabilités entre la DSS et la Division des installations n'est pas claire et que la DSS devrait participer davantage à l'aménagement des installations.

Nous recommandons que la répartition des rôles et des responsabilités entre la DSS et la Division des installations soit clairement définie et qu'elle obtienne l'accord des deux divisions. La définition des responsabilités permettrait notamment de déterminer les exigences de sécurité au moment de l'aménagement des installations, de concevoir des mesures de protection matérielle pour les lieux éloignés et d'approuver l'aménagement des sites. Dans le but d'instaurer un climat de collaboration, il faudrait que les deux divisions se réunissent régulièrement pour faire le point, discuter des projets à venir, définir les priorités et élaborer des plans d'action. Un agent de sécurité matérielle devrait être nommé au sein de la DSS afin de résoudre le problème du manque de ressources. L'agent représenterait la DSS dans le cadre des projets d'installations et il aurait la responsabilité d'examiner l'aménagement, de préparer des énoncés de sécurité et d'inspecter les sites. Le Bureau de la protection civile et les agents de santé et de sécurité pourraient prendre part aux projets d'installations afin de donner des conseils en matière de santé et de sécurité et de partager leur connaissance des codes, des politiques et des normes.

Réponse de la direction :

La Direction de l'architecture et des normes (DAN) et la DSS doivent travailler de concert pour définir les rôles et responsabilités, déterminer les exigences de sécurité relatives à l'aménagement des installations, définir les mesures de protection et approuver l'aménagement des sites. La DSS et la Division des installations se réunissent régulièrement depuis l'automne 2001. La DSS examinera la nécessité de nommer un agent de sécurité matérielle de façon permanente.

b) Gestion des clés :

Un certain nombre de zones névralgiques du SCT sont protégées par des jeux de clés non approuvés et composés de clés reproductibles. Il est donc facile de copier les clés et la protection de la clé principale ne peut pas être assurée. De plus, les clés sont souvent entreposées dans des endroits mal protégés. Ces vulnérabilités augmentent les risques auxquels sont exposés les biens ou l'information sensible.

Nous recommandons que dans toutes les installations, la gestion des clés soit confiée à un seul groupe. Les clés devraient être mises en sûreté dans un contenant approprié dont l'accès serait donné à un nombre restreint de personnes. Un tableau d'autorisation et un registre de sortie devraient être utilisés. Dans les zones névralgiques, les portes devraient être munies de serrures complètes utilisant des jeux de clés approuvés et composés de clés non reproductibles.

Réponse de la direction :

La DSS fera l'examen des entrées de clés dans les zones névralgiques afin de vérifier si elles sont adéquates. Il convient de souligner, toutefois, que toutes les zones névralgiques du SCT sont protégées par un système d'alarme après les heures de travail, ce qui rend moins nécessaire l'installation de serrures de haute sécurité. La DSS collaborera avec la DAN en vue d'améliorer les procédures de gestion des clés de bureaux.

c) Serrures mécaniques à combinaison :

L'accès à plusieurs zones névralgiques du SCT, notamment le centre de traitement des données, les placards contenant les câbles et les salles d'ordinateurs, est contrôlé au moyen de serrures mécaniques à combinaison. Il n'existe pas de politique ou de procédure régissant le contrôle de sécurité de ces serrures, ni de disposition précisant la durée d'utilisation d'une combinaison. C'est pourquoi les combinaisons sont rarement modifiées et ne le sont pas toujours lorsque des employés quittent le Ministère, ce qui accentue les risques auxquels sont exposés les biens et l'information sensibles.

Nous recommandons l'établissement d'une politique officielle exigeant que les combinaisons soient modifiées de façon périodique (par exemple, tous les six mois). Nous recommandons également, par mesure de précaution, de modifier une combinaison dès qu'un employé qui la connaît quitte le Ministère ou lorsqu'il se produit une atteinte à la sécurité.

Réponse de la direction :

La question de la modification des combinaisons sur les serrures mécaniques de type Unican sera abordée dans le cadre du programme de sensibilisation à la sécurité. Soulignons de nouveau que les zones névralgiques sont protégées des intrusions par un système d'alarme après les heures de travail, ce qui atténue considérablement les risques relevés dans le rapport de vérification.

d) Examens internes des mesures de protection matérielle :

La PGS établit qu'il est essentiel d'examiner constamment les mesures de protection matérielle pour s'assurer qu'elles tiennent compte du contexte de la menace et qu'elles font appel à de nouvelles technologies génératrices d'économies. En raison du manque de ressources, DSS n'a pas procédé récemment à des essais ou à des examens internes des plans, procédures ou systèmes de sécurité matérielle. La dernière vérification de sécurité a eu lieu en mars 1994 et, selon la direction de la DSS, aucune vérification n'a été faite par un organisme externe (p. ex. la GRC ou le SCRS), exception faite de la vérification annuelle de la sécurité des télécommunications effectuée par le Centre de la sécurité des télécommunications.

Nous recommandons que la DSS et la Division de la vérification interne élaborent ensemble un programme d'autoévaluation pour veiller à ce que les éléments du programme de sécurité, notamment les mesures de protection matérielle, soient examinés à intervalles réguliers. Ce programme devrait être élaboré dans l'optique de la gestion des risques et prendre en compte les menaces et les vulnérabilités actuelles du SCT. Il devrait prévoir des autoévaluations et des examens internes ainsi que des vérifications périodiques par des organismes indépendants.

Réponse de la direction :

La DSS consultera la Division de la vérification interne et élaborera avec elle un programme d'autoévaluation d'ici la fin de l'année 2002-2003.

4.8 Récupération des biens du Ministère lors du départ d'un employé

Au cours de la dernière année, le Centre d'orientation et la DSS ont préparé une liste de contrôle à utiliser lors du départ d'un employé, afin d'assurer la récupération de tous les biens ministériels qui lui ont été confiés, en particulier les cartes d'accès, le matériel de communication, les ordinateurs portables et les clés. Au cours de nos entrevues, il a été déterminé que cette liste de contrôle n'est pas utilisée uniformément pour tous les employés qui quittent le Ministère. Le Centre d'orientation remplit cette liste pour tous les employés dont il administre les dossiers mais lorsque les directions se chargent elles-mêmes des procédures de départ de leurs employés, ceux-ci quittent le Ministère sans passer par le Centre d'orientation. En conséquence, le Ministère risque de perdre des biens de valeur et la sécurité matérielle des installations pourrait être compromise.

Nous recommandons que le processus de départ en voie d'élaboration au Centre d'orientation soit mis en pratique dès que possible. Pour veiller à ce que tous les biens du Ministère soient récupérés, les gestionnaires ou les adjoints administratifs devraient être tenus responsables de s'assurer que le formulaire de départ fasse mention de tous les privilèges et biens affectés à l'employé et qu'un exemplaire signé du formulaire soit remis au Centre d'orientation avant le départ. La liste de contrôle doit préciser les biens qui doivent être récupérés en fonction de divers scénarios, entre autres, un départ définitif, une mutation temporaire, une absence autorisée et un emploi temporaire ou à contrat.

Réponse de la direction :

Le Centre d'orientation est en train de terminer l'élaboration d'un processus de départ qui pourra être mis en oeuvre d'ici la fin du premier trimestre.

4.9 Plan de reprise des activités

En décembre 1999, le SCT a élaboré un plan de reprise des activités (PRA) détaillé ayant pour but d'assurer la continuité des services et des biens essentiels dans l'éventualité d'un sinistre. Le SCT n'a pas revu son PRA et ne l'a pas mis à l'essai depuis sa mise en vigueur, en décembre 1999. De plus, étant donné que le PRA a été conçu expressément pour le problème de l'an 2000, il est peut-être devenu moins pertinent dans le contexte actuel. Pour résoudre ce problème, la DSS a entrepris une mise à jour du PRA, dont la version révisée devrait être disponible en mai 2002.

Nous recommandons que la DSS poursuive la mise à jour du PRA et conçoive un programme pour l'examiner et le mettre à l'essai sur une base annuelle. Les essais devraient être effectués sur tous les éléments du plan et permettre d'évaluer son applicabilité et sa pertinence selon différents scénarios. La haute direction doit faire en sorte que les descriptions de travail établissent clairement le rôle des employés dans la mise en oeuvre du programme de protection civile, en particulier celui des employés des services administratifs et des gardiens de sécurité.

Réponse de la direction :

La DSS collabore étroitement avec le comité responsable de la mise à jour du PRA du SCT. La question de la mise à l'essai sera abordée au moment où le plan sera soumis à l'approbation de la haute direction, à l'automne 2002.

4.10 Méthodologie de conception des systèmes

À l'heure actuelle, le SCT n'emploie pas une méthodologie ou une approche normalisée pour la conception ou la maintenance des systèmes, des réseaux ou des logiciels. Les décisions et les approbations importantes sont souvent communiquées officieusement par courriel et ne sont pas suffisamment utilisées pour étayer les modifications aux systèmes. En raison de l'absence de méthode normalisée pour la conception des systèmes, des lacunes peuvent survenir au chapitre de l'autorisation, de la mise à l'essai et de l'approbation des programmes, des rapports, des activités de personnalisation et des applications avant leur intégration au milieu de production.

Nous sommes d'avis que le processus actuel ne prévoit pas de contrôles adéquats permettant d'éviter la mise en oeuvre de modifications non autorisées ou incorrectes. Voici certaines recommandations qui devraient être prises en compte.

  •  
  • Le processus entourant les changements de logiciels, la production de rapports et la personnalisation des applications devrait être normalisé et documenté. L'adoption d'une méthodologie pour la conception des systèmes permettra de garantir un niveau adéquat et uniforme de qualité et de contrôle dans le cadre des activités entourant les changements de logiciels. Cette méthodologie exigerait que l'on documente officiellement la nature et la portée des changements, l'élaboration de procédures de sortie et l'identification des personnes chargées d'effectuer et d'examiner les changements et d'en vérifier la pertinence. Pour garantir le fonctionnement constant des systèmes, les procédures régissant la modification et la mise à niveau des logiciels devraient faire en sorte que seules les modifications autorisées et testées soient mises en production. La méthodologie comprendrait des directives pour assurer et maintenir la sécurité et pour préparer des documents à cette fin, notamment un document sur le plan et les exigences de sécurité des systèmes, un énoncé de sensibilité, une évaluation de la menace et des risques et une accréditation de sécurité.
  • Les utilisateurs qui demandent un logiciel devraient être tenus de l'approuver et de l'accepter avant qu'il soit mis en production. Bien que les procédures actuelles prévoient l'approbation officieuse, par courriel, des changements de logiciels, il faudrait envisager de les faire approuver et accepter de manière officielle. Le fait d'exiger que les utilisateurs approuvent un logiciel avant qu'il soit mis en production permet de garantir que seuls les changements autorisés sont mis en oeuvre, mais aussi d'établir la responsabilité des utilisateurs de s'assurer que les changements de logiciels répondent à leurs besoins.

Réponse de la direction :

La Division des services informatiques (DSI) a adopté une série de procédures et de processus pour gérer la conception et la maintenance des systèmes, des réseaux et des logiciels dont elle est responsable. À titre d'exemple, chaque groupe de la Division prépare des plans de gestion du changement pour tous les changements prévus aux systèmes, aux réseaux et aux applications. Les tables des matières de ces plans comprennent des sections traitant de la définition des objectifs, l'analyse de la justification et des avantages, l'analyse des incidences et des risques, ainsi qu'une description détaillée des tâches et un échéancier du projet (amorce, essais de premier niveau, essais de deuxième niveau, mise en oeuvre, évaluation et analyse après-mise en oeuvre. Ces plans sont examinés et approuvés lors des réunions de la Division, qui ont lieu deux fois par semaine. Par ailleurs, la DSI utilise abondamment le courriel pour communiquer ses décisions aux clients et obtenir leur appui. L'utilisation du courriel pour exécuter des fonctions internes, comme recevoir l'approbation des clients à l'égard d'un logiciel ou de modifications aux procédures administratives pour les opérations internes du Ministère, fait partie intégrante de notre méthodologie de conception des systèmes et nous a permis de nous adapter au caractère d'urgence que revêt le plus souvent la conception des applications.

La DSI reconnaît la nécessité de mieux documenter et consolider sa méthodologie de conception des systèmes. Un projet en ce sens sera entrepris en 2002-2003 dans le but de répondre aux recommandations du rapport et de veiller à ce que les documents à produire (énoncé de sensibilité et évaluation de la menace et des risques) soient inclus dans les plans de gestion du changement.

Étant donné que la responsabilité de la conception et de la maintenance des applications s'étend également à d'autres secteurs du SCT, il faudra élargir la méthodologie en vue de la faire adopter à l'échelle du Ministère. Cette question doit aussi être examinée dans le cadre de l'élaboration de la stratégie de GI/TI du Ministère, prévue en 2002-2003.


Annexe A

Voici la liste des employés du SCT que nous avons interrogés ou qui ont participé à des essais dans le cadre de notre vérification.

Len MacPherson, directeur de la sécurité

Services de sécurité

Mike Pellerin, gestionnaire, Opérations de sécurité

Services de sécurité

Lillian Noel, gestionnaire, Sécurité de la TI et coordonnatrice de la STI

Services de sécurité

Pat Johnston, agent de sécurité de la TI

Services de sécurité

Linda Marchard, agent de sécurité

Services de sécurité

John Evans, agent de santé et de sécurité au travail

Services de sécurité

Karen Koster, gestionnaire

Installations

Mark Marion, agent d'administration des biens immobiliers

Installations

Raymond Boutlier, agent d'administration des biens immobiliers

Installations

Gregory Howes, chef, groupe de gestion des réseaux

Services informatiques

Maureen Lamb, groupe de conception des systèmes

Services informatiques

Sue Arsenault, gestionnaire

Centre d'orientation

Mike Giles, agent principal des contrats

Contrats

Clarence Smith, gestionnaire

Salle du courrier

Bernadette Provost, gestionnaire

Gestion des documents

Simone Lauriault, superviseur

Gestion des documents

Marianne Pelletier, analyste des systèmes

Gestion des documents

Sylvie Cloutier, agent des relations de travail

Ressources humaines


Notes

(1) Étant donné que certains objectifs de contrôle n'ont pas été atteints en raison de l'absence de politiques et de procédures (P et P) documentées au niveau ministériel, nous avons isolé cette recommandation dans le tableau ci-dessus.

(2) Étant donné que certains objectifs de contrôle n'ont pas été atteints en raison de l'absence de politiques et de procédures (P et P) documentées au niveau ministériel, nous avons isolé cette recommandation dans le tableau ci-dessus.