Examens des activités de cyberdéfense réalisés
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques
Examens externes
18. Plusieurs examens, audits et évaluations ont été menés sur des aspects du cadre de cyberdéfense du gouvernement. Ils ont tous été réalisés par des organes d'examen ou d'audit indépendants et externes, des comités parlementaires, le commissaire du CST (l'ancien organisme consacré à l'examen des activités du CST) et des organismes internes du gouvernement. Comme toile de fond à l'examen du Comité, la présente section résume chacun d'entre eux, à tour de rôle. La mise en œuvre des recommandations formulées dans ces examens n'a pas été vérifiée dans le cadre du présent examen.
19. Les examens ou audits externes suivants contenaient des références précises à la protection des systèmes d'information du gouvernement contre les cybermenaces.
- Bureau du vérificateur général du Canada - Chapitre 3 : Protéger l'infrastructure essentielle contre les cybermenaces (2012) : Une partie de cet audit examinait la façon dont le gouvernement protège ses systèmes d'information et les rôles et responsabilités des ministères touchés. On y recommandait que le Secrétariat du Conseil du Trésor du Canada mette à jour les politiques pertinentes afin de tenir compte des nouveaux rôles et des nouvelles responsabilités de Services partagés Canada (SPC) concernant la sécurité de l'information. Note de bas de page 6
- Bureau du vérificateur général du Canada - Rapport 4 : Services partagés en technologies de l'information (2015) : Cet audit portait sur la façon dont SPC fournit des services de technologie de l'information à d'autres ministères, y compris la sécurité des technologies de l'information. On y recommandait que SPC définisse les attentes ou fournisse de l'information sur des éléments centraux de la sécurité aux partenaires afin qu'ils puissent se conformer aux politiques, aux lignes directrices et aux normes du gouvernement en matière de sécurité des technologies de l'information. Note de bas de page 7
- Comité sénatorial permanent des banques et du commerce - Les cyberattaques : Elles devraient vous empêcher de fermer l'œil (2018) : Ce rapport examinait principalement la façon d'améliorer la cybersécurité pour les Canadiens et les entreprises. Cependant, Il s'est aussi penché sur la façon d'améliorer le cadre de cybersécurité du gouvernement et de renforcer la surveillance des nombreux ministères dont la cybersécurité fait partie du mandat. Dans le rapport, on recommandait la création d'un ministre fédéral de la cybersécurité qui serait responsable de la politique entourant la cybersécurité au Canada et qui coordonnerait les efforts en matière de cybersécurité avec les gouvernements provinciaux et territoriaux et le secteur privé. Note de bas de page 8
Le commissaire du CST
20. Entre 1996 et 2019, le commissaire du CST avait pour mandat d'examiner les activités du CST pour en vérifier la conformité avec les lois ainsi qu'avec les orientations politiques prescrites par le ministre de la Défense nationale. Dans le rapport final qu'il a déposé en 2019, le commissaire a rapporté que le CST avait agréé et mis en oeuvre 166 dès 175 recommandations formulées depuis 1997 relativement aux divers volets du mandat du CST, ce qui représente un taux de mise en oeuvre de 95 %. Entre 2001 et 2019, le commissaire du CST a réalisé un certain nombre d'examens des activités de cyberdéfense du CST, lesquelles étaient désignées par diverses appellations, notamment tests actifs de sécurité réseau, évaluation de la posture de sécurité, opérations de cyberdéfense et activités de sécurité des technologies de l'information. En résumé, le commissaire du CST a examiné les programmes d'activités ou les divers aspects des activités du CST en matière de cyberdéfense, et ce, dans le but de vérifier si :
- les autorisations ministérielles pour les activités de cyberdéfense répondaient aux conditions énoncées dans la Loi sur la défense nationale;
- les activités de cyberdéfense avaient été menées conformément aux exigences législatives, ministérielles et stratégiques;
- le CST avait dirigé ses activités de cyberdéfense contre des Canadiens ou des personnes se trouvant au Canada;
- Les communications privées interceptées par le CST étaient vraiment essentielles à la reconnaissance, à l'isolement et à la prévention des dommages pouvant être causés aux systèmes et réseaux informatiques du Canada.
21. En octobre 2006, le commissaire du CST a remarqué que la haute direction avait été mise au courant de la possibilité que des activités de cyberdéfense n'aient pas été conformes aux politiques et aux procédures opérationnelles. En outre, le commissaire a noté que la gestion n'accordait pas suffisamment d'attention aux conditions ou aux règles de conformité énoncées dans les autorisations ministérielles, et que le cadre de contrôle s'appliquant au déroulement des activités permises par les autorisations ministérielles aurait pu être plus clair, cohérent, complet et actuel. L'effet cumulatif de ces difficultés a suscité des doutes quant à la conformité du CST aux dispositions de la Loi sur la protection des renseignements personnels et de la Loi sur la défense nationale. En conséquence, le CST a interrompu les activités de cyberdéfense qu'il menait en vertu des autorisations ministérielles le temps qu'une enquête interne soit réalisée. Ces activités ont repris en octobre 2007 suivant une refonte du programme des autorisations ministérielles et du cadre stratégique. Note de bas de page 9
22. Depuis 2007, le commissaire du CST juge que les autorisations ministérielles visant les activités de cyberdéfense répondent aux exigences de la Loi sur la défense nationale et que ces activités sont menées conformément aux lois de même qu'aux politiques du CST. Note de bas de page 10 Le commissaire du CST a également été en mesure de confirmer que le CST ne dirigeait pas ses activités de cyberdéfense contre des Canadiens ou des personnes se trouvant au Canada. Or, entre 2001 et 2019, le commissaire du CST a tout de même formule un certain nombre de recommandations ayant pour objet de veiller ace que les activités de cyberdéfense du CST com portent :
- des définitions concrètes, de nouvelles classifications de documents et des calendriers clairement définis pour la conservation et l'élimination des renseignements personnels; Note de bas de page 11
- des politiques adéquates en matière de classement, de conservation et d'élimination des renseignements clés obtenus en vertu d'une autorisation ministérielle; Note de bas de page 12
- des descriptions plus précises et complétés des autorisations ministérielles permettant de comprendre sans équivoque ce que le ministre est appelé à autoriser; Note de bas de page 13
- une transparence accrue de la Loi sur la défense nationale sur le plan des autorisations pouvant poser un risque d'interception des communications privées. Note de bas de page 14
23. En 2019, la Loi sur la sécurité nationale entraînait la création de deux nouveaux organismes. Le premier est l'Office de surveillance des activités en matière de sécurité nationale et de renseignement, qui a pris en charge les activités d'examen du commissaire du CST. Le second est le commissaire au renseignement qui, entre autres, examine les autorisations annuelles pour la cybersécurité que le ministre de la Défense nationale délivre au CST. Note de bas de page 15 Ces autorisations permettent au CST d'accéder aux infrastructures de l'information des institutions fédérales ou d'organisations non fédérales désignées sans enfreindre les lois du Parlement (p. ex. le Code criminel) et sans contrevenir aux attentes raisonnables des Canadiens ou des personnes se trouvant au Canada en matière de respect de la vie privée. Depuis la création de son commissariat en 2019, le commissaire au renseignement a jugé que toutes les autorisations de cybersécurité qu'il avait examinées s'étaient avérées raisonnables. Toutefois, le commissaire au renseignement a également noté qu'au chapitre de la mise en oeuvre, les autorisations de cybersécurité comportaient de nombreuses incohérences, notamment, l'absence de description des résultats et des services de cybersécurité reçus par les clients ou des conditions prescrites par le ministre à l'égard de ces autorisations. Toutefois, ces questions n'ont aucunement influé sur l'évaluation du commissaire au renseignement quant à la raisonnabilité des conclusions du ministre.
Examen interne
24. Les examens ou les audits internes suivants présentent un intérêt particulier pour le cadre de cyberdéfense du gouvernement.
- Secrétariat du Conseil du Trésor du Canada - Report on Cyber Security of Government Systems (2016) : Cette étude analysait les aspects de la cybersécurité dans l'ensemble du gouvernement et a déterminé qu'il manquait une prise de décisions claire au niveau de l'entreprise du gouvernement. Elle suggérait de nommer un haut dirigeant chargé de pallier les lacunes en matière de responsabilité et de faciliter les initiatives d'entreprise. Elle suggérait aussi de réduire les redondances entre les comités de gouvernance. Note de bas de page 16
- Bureau du contrôleur général du Canada-Audit interne horizontal de la sécurité des technologies de l'information dans les grands et les petits ministères (2016) : Mène dans le cadre d'un effort sur plusieurs années comportant plusieurs étapes, cet audit a examiné les cadres de gouvernance et de contrôle qui encadrent la sécurité des technologies de l'information pour les réseaux non classifiés du gouvernement. Il a constaté que de tels cadres étaient en place et que le Secrétariat du Conseil du Trésor du Canada avait établi une orientation stratégique pour la sécurité des technologies de l'information. Toutefois, l'audit a souligné que les instruments politiques étaient désuets et qu'une précision des rôles et responsabilités était nécessaire, y compris pour SPC, afin de définir davantage les attentes pour rendre sécuritaires les systèmes patrimoniaux. L'audit a aussi permis de révéler que plusieurs comités gouvernant les instruments politiques sur la technologie de l'information devraient améliorer les relations de coordination et de communication des données. D'autres étapes étaient prévues pour les exercices 2019-2020 et 2021-2022. Note de bas de page 17
- Sécurité publique Canada - Évaluation horizontale de la Stratégie de cybersécurité du Canada (2017) : Cet examen portait sur les avancées du gouvernement pour lutter contre les cyberattaques. Malgré des améliorations, Il a constaté que de la confusion subsistait entre les ministères relativement à leurs rôles et responsabilités, surtout entre le CST et le Centre canadien de réponse aux incidents cybernétiques de sécurité publique Canada de l'époque. Le secteur privé a soulevé cette préoccupation, en ajoutant que les organisations du secteur privé ne savaient pas vraiment où signaler les incidents de cybersécurité ou à qui demander de l'aide. L'examen a aussi constaté que le gouvernement devait continuer de renforcer sa capacité de prévenir et de détecter les cyberattaques, d'y répondre et de reprendre ses activités par la suite. Il recommandait que le gouvernement renforce sa gouvernance horizontale de la cybersécurité en évaluant de nouveau la participation à des comités et en élaborant des mandats afin de mieux définir les rôles et responsabilités des ministères. Note de bas de page 18