Partie III : intervenants, autorités et activités clés en matière de cyberdéfense
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques
93. La cybersécurité est une responsabilité partagée dans l'ensemble du gouvernement. Chaque ministère est responsable de la sécurité de ses biens de technologie de l'information, mais trois organisations ont des obligations et offrent des services précis à l'ensemble du gouvernement, y compris en ce qui a trait au mandate particulier de la cyberdéfense. L'équipe tripartite chargée de la sécurité des technologies de l'information du gouvernement du Canada est formée du Secrétariat du Conseil du Trésor du Canada (SCT), qui relève du Conseil du Trésor, de Services partagés Canada et du Centre de la sécurité des télécommunications.
94. Les paragraphes qui suivent examinent en détail les rôles, les responsabilités, les fonctions et les activités liées à la cyberdéfense de l'équipe tripartite chargée de la sécurité des technologies de l'information. Ils présentent les responsabilités de chaque ministère en ce qui concerne la cybersécurité en adoptant une vision large de la portée des entités qui constituent le gouvernement du Canada. Une analyse des régimes législatifs, des politiques administratives et des autres pouvoirs des organisations tripartites en ce qui concerne la fourniture de services de cyberdéfense à des organismes gouvernementaux détermine les organismes qui peuvent recevoir des services de cybersécurité et de cyberdéfense, et dans quelle mesure. Cette approche permet d'obtenir une compréhension générale des responsabilités, des activités et de la fourchette de protection du cadre de cyberdéfense du gouvernement.
Conseil du Trésor du Canada et le Secrétariat du Conseil du Trésor du Canada
95. Créé sous forme de comité du Cabinet en 1869, le Conseil du Trésor du Canada joue un rôle fondamental dans le cadre de cyberdéfense du Canada. Le Conseil du Trésor prescrit les politiques, les normes et les directives en matière de cyberdéfense et détermine les organisations auxquelles les exigences s'appliquent. La loi habilitante du Conseil du Trésor, à savoir la Loi sur la gestion des financés publiques (LGFP), précise les rôles et les responsabilités des principaux représentants de l'ensemble du gouvernement et établit de façon générale un certain nombre des piliers stratégiques, administratifs et en matière de responsabilisation du cadre de cyberdéfense du gouvernement.
96. Le Conseil du Trésor est investi d'un vaste mandat pour l'ensemble du gouvernement. En vertu de la LGFP, Il est garant de la responsabilisation ministérielle et de la gestion financière du gouvernement, de même que de la surveillance réglementaire des programmes et des services du gouvernement; Il est également le principal employeur du gouvernement du Canada. La LGFP établit les exigences concernant un certain nombre de représentants clés et permet au Conseil du Trésor, par l'intermédiaire du Secrétariat du Conseil du Trésor du Canada (SCT), d'émettre des politiques, des directives, des normes et des lignes directrices sur la gestion et l'administration de la majorité des organisations fédérales. Le Conseil du Trésor est également responsable de surveiller les pratiques de gestion ministérielles et des résultats de programme, y compris dans les domaines de la politique de sécurité. Même si, historiquement, le Conseil du Trésor a joué un rôle nominatif en ce qui concerne les questions de sécurité nationale, ses fonctions concernant la gestion et l'administration du gouvernement en font un acteur central dans le cadre de cyberdéfense.
97. La LGFP définit des rôles et des responsabilités généraux; notamment pour le président du Conseil du Trésor, le secrétaire du Secrétariat du Conseil du Trésor du Canada (l'administrateur général du ministère) et le dirigeant principal de l'information du Canada (DPI du Canada). Leurs rôles et responsabilités clés comprennent les suivants :
- Président du Conseil du Trésor : Il est le président du Conseil du Trésor et détermine le programme du gouvernement en ce qui concerne les personnes, l'argent et les technologies. Le président est également responsable du SCT en tant que ministère et détermine l'orientation stratégique de l'organisation.
- Secrétaire du SCT du Canada : Il est l'administrateur général du Secrétariat et est nommé par le gouverneur en conseil. Le Conseil du Trésor peut déléguer tout pouvoir ou fonction au secrétaire qu'il a le droit d'exercer en vertu d'une loi fédérale ou d'un décret du gouverneur en conseil. Le secrétaire fournit des conseils sur l'interprétation des politiques, des directives ou des normes prescrites par le Conseil du Trésor.
- DPI du Canada : Il détient des responsabilités pangouvernementales particulières en matière de leadership aux fins de l'orientation, de la surveillance et du renforcement des capacités en ce qui a trait à la gestion de l'information, aux technologies de l'information, à la sécurité du gouvernement et à la prestation de services gouvernementaux, ce qui inclut la surveillance des pratiques de gestion ministérielles et l'établissement de rapports sur la mise en oeuvre des objectifs et de l'orientation stratégique pour l'ensemble de l'entreprise, notamment dans les domaines de la cybersécurité. Le Conseil du Trésor peut également déléguer au DPI du Canada tout pouvoir ou fonction qu'il a le droit d'exercer en vertu d'une loi fédérale ou d'un décret du gouverneur en conseil en ce qui concerne les technologies de l'information. Note de bas de page 139 Pour accomplir ce mandat, le Bureau du DPI du Canada compte environ 195 employés et dispose d'un budget d'environ 31 millions de dollars, dont 21 pour cent est alloué précisément aux besoins stratégiques en matière de politique et de cyberespace. Note de bas de page 140
98. Pour leur part, les administrateurs généraux des organisations fédérales doivent s'assurer que leurs ministères réalisent les priorités et le mandat du gouvernement tout en veillant à l'intégrité des programmes et des services. En ce qui a trait à la cyberdéfense, cela comprend l'obligation de s'assurer que les systèmes et les réseaux ministériels sont sécurisés.
Définition des organisations gouvernementales
99. Le Conseil du Trésor dénombre 169 organisations fédérales et 100 organisations « d'intérêt » fédéral. Note de bas de page 141 Il est essentiel de comprendre la façon dont le gouvernement définit sa taille et sa portée afin de pouvoir déterminer et évaluer les organisations assujetties aux politiques du Conseil du Trésor et leurs obligations en matière de sécurisation des systèmes et des réseaux, et ultimement, la mesure dans laquelle elles sont protégées au sein du cadre de cyberdéfense.
100. La LGFP répartit la plupart des organisations fédérales en catégories précises, appelées « annexes », en fonction de leur mandat, de leurs responsabilités et de leur relation avec le gouvernement. Les six annexes de la LGFP sont directement pertinentes, puisque le Conseil du Trésor s'en sert pour déterminer l'applicabilité des politiques, des normes et des lignes directrices en matière de cybersécurité et de cyberdéfense.
- L'annexe I comprend les « ministères », qui sont créés par voie législative. Leur mandat couvre de nombreux secteurs de politiques publiques dont sont chargés un ou plusieurs ministres du Cabinet. Ils sont financés par des crédits parlementaires. Entre autres exemples notables, on compte le ministère de la sécurité publique et de la Protection civile, le ministère des Affaires étrangères, du Commerce et du développement du Canada et le ministère de la Défense nationale.
- L'annexe I.1 comprend les « organismes » et les « agents du Parlement ». En général, le mandat de ces organisations est défini plus étroitement, et elles exercent leurs activités avec divers degrés d'autonomie. Entre autres exemples notables, on compte le Centre de la sécurité des télécommunications, le Service canadien du renseignement de sécurité et Services partagés Canada.
- L'annexe II comprend les « établissements publics » et les « organismes de services ». Les établissements publics comprennent des organismes qui fournissent des services hautement opérationnels qui n'engagent généralement aucune concurrence dans le secteur privé. Ils ont divers degrés d'autonomie et diverses structures de gestion. Entre autres exemples notables, on compte l'Agence des services frontaliers du Canada, la Commission canadienne de sûreté nucléaire et le Bureau de la sécurité des transports du Canada. Les organismes de service comptent trois organismes spécialisés établis par voie législative et financés par des crédits parlementaires et certains frais d'utilisation : l'Agence du revenu du Canada, l'Agence canadienne d'inspection des aliments et Pares Canada.
- L'annexe III comprend les « sociétés d'État ». Ces organisations mènent leurs activités selon un modèle propre au secteur privé, mais elles ont généralement des objectifs stratégiques qui sont à la fois commerciaux et publics. Les sociétés d'État sont des sociétés qui relèvent directement du gouvernement du Canada. Parmi les exemples notables, on compte la Société canadienne d'hypothèques et de logement, Exportation et développement Canada et VIA Rail Canada. Il y a neuf autres sociétés d'État mère non énumérées dans cette annexe de la LGFP qui ont des modèles de gouvernance distincts Créés en vertu de lois. Note de bas de page 142
- Les annexes IV et V comprennent d'autres « Secteurs de l'administration publique centrale » et des « Organismes distincts ». Il s'agit d'organisations auxquelles la partie I du Code canadien du travail ne s'applique pas ou pour lesquelles le ministre, le Conseil du Trésor ou le gouverneur en conseil a le droit d'établir des conditions d'emploi. Entre autres exemples notables, on compte les commissariats à l'information et à la protection de la vie privée (annexe IV) et l'Agence du revenu du Canada (annexe V, mais annexe Il également). Même si un certain nombre de ces organismes pourraient être inclus dans les annexes précédentes, les annexes IV et V comprennent d'autres entités fédérales autonomes qui n'ont pas été mentionnées auparavant. Note de bas de page 143
En vertu de la LGFP, un ministère est un organisme inclus dans les annexes I, et 1.1 (ci-dessus), toute société d'État et diverses autres organisations et effectifs. Note de bas de page 144 Le Conseil du Trésor utilise également cette définition pour déterminer l'applicabilité de certains instruments de politique en matière de cyberdéfense. Com me on le mentionnera plus tard, les entités incluses a l'annexe III ne sont pas assujetties aux instruments.
101. Le gouvernement détient une participation dans un certain nombre d'autres organisations en plus de celles qui sont énumérées dans la LGFP. En général, ces « intérêts » incluent des organisations dans lesquelles le gouvernement détient des intérêts ou participe à la gestion et à la surveillance, mais qui ne font pas officiellement partie du gouvernement. Note de bas de page 145 Voici des exemples d'intérêts fédéraux : institut canadien d'information sur la santé, Administration portuaire de Halifax et Autorité aéroportuaire du Grand Toronto. Il importe de souligner que la Chambre des communes et le Sénat ne sont pas considérés comme étant des entités gouvernementales et, par conséquent, ne sont pas assujettis aux politiques de la LGFP ou du Conseil du Trésor. ***.
Politiques fondamentales en matière de cyberdéfense
102. En vertu de la LGFP, le Conseil du Trésor a mis en place deux principaux instruments de politique ainsi qu'un plan stratégique afin de jeter les bases administratives de la position du gouvernement en matière de cybersécurité et de cyberdéfense. Il s'agit de la Politique sur la sécurité du gouvernement et de la Politique sur les services et le numérique ainsi que du Plan stratégique des opérations numériques Note de bas de page 146 Ces instruments de politique et leurs composants secondaires s'appliquent à un éventail d'organisations fédérales. Dans cette structure administrative, les administrateurs généraux et les ministères sont responsables de la sécurisation de leurs systèmes et de leurs réseaux conformément aux politiques. Dans les cas où les ministères ne se conforment pas à ces politiques, les administrateurs généraux peuvent appliquer des mesures administratives, allant de la persuasion (p. ex. poursuivre le dialogue avec le ministère non conforme) à la restriction (p. ex. réorganiser une administration ou mettre fin a un emploi). Note de bas de page 147 Le Comité a observé des cas de non-respect des directives du SCT, mais le SCT n'a donné aucun exemple de mesures administratives imposées pour la non-conformité aux instruments de politiques susmentionnés. Comme le DPI du Canada l'a souligné pendant une comparution devant le Comité, [traduction] « les administrateurs généraux sont ultimement responsables de satisfaire aux attentes décrites dans nos politiques [du Conseil du Trésor]. Il leur incombe notamment d'assurer la protection et la confidentialité de l'information et des biens des ministères. Note de bas de page 148 »
Politique sur la sécurité du gouvernement
103. La politique sur la sécurité du gouvernement a deux principaux objectifs. Le premier consiste à « gérer de manière efficace les mesures de sécurité gouvernementales à l'appui de la prestation fiable des programmes et des services du gouvernement ainsi qu'à l'appui de la protection des renseignements, des personnes et des biens ». Le second objectif consiste à « donner à la population canadienne, aux partenaires, aux organismes de surveillance et aux autres intervenants une assurance à l'égard de la gestion de la sécurité au sein du gouvernement du Canada Note de bas de page 149 ». La version actuelle de la Politique a été mise en œuvre le 1er juillet 2019 et s'applique à 110 organisations fédérales. Note de bas de page 150
104. La Politique prescrit un ensemble d'exigences pour les ministères et les responsables. Elle confie au Conseil du Trésor les responsabilités qui suivent : établir une approche pangouvernementale en matière de gestion de la sécurité et effectuer la surveillance connexe; fournir un leadership, des conseils et une orientation stratégique en matière de sécurité au gouvernement; et assurer la surveillance et la coordination stratégique dans la gestion des événements liés à la sécurité qui peuvent entraîner des incidences sur l'ensemble du gouvernement. Note de bas de page 151 Pour les organisations fédérales, la Politique oblige les administrateurs généraux à nommer un dirigeant principal de la sécurité chargé de fournir de la direction, de la coordination et de la supervision à l'égard des activités liées à la sécurité ministérielle.
105. En vertu de la Politique, les administrateurs généraux doivent approuver un plan triennal en matière de sécurité qui décrit une stratégie permettant de satisfaire aux exigences ministérielles de sécurité. Le plan doit prévoir huit contrôles de sécurité, à savoir des mesures administratives, opérationnelles, techniques, physiques ou juridiques de gestion des risques en matière de sécurité. Parmi les huit contrôles, quatre portent directement sur la cybersécurité et la cyberdéfense :
- Les exigences, les pratiques et les mesures relatives à la sécurité des technologies de l'information sont définies, documentées, mises en oeuvre, évaluées, surveillées et tenues à jour à chaque étape du cycle de vie des systèmes d'information, ce qui permet de fournir une assurance raisonnable que les systèmes d'information sont en mesure de protéger adéquatement l'information, sont utilisés d'une façon acceptable, et appuient les programmes, les activités et les services gouvernementaux.
- La gestion de la continuité des activités est menée de manière systématique et complétée. Elle fournit une assurance raisonnable qu'en cas de perturbation, le ministère pourra garantir un niveau acceptable de prestation des services et des activités critiques, et qu'il sera en mesure de reprendre rapidement les autres services et activités.
- Les exigences, les pratiques et les mesures de sécurité de la gestion de l'information sont définies, documentées, élaborées, évaluées, surveillées et tenues à jour à chaque étape du cycle de vie de l'information afin de fournir une assurance raisonnable que l'information est adéquatement protégée d'une manière qui respecte les obligations juridiques et autres et pèse le risque de préjudice et de menaces avec le coût d'appliquer des mesures de protection.
- Les pratiques relatives à la gestion des événements liés à la sécurité sont définies, documentées, mises en oeuvre et tenues à jour afin d'assurer la surveillance et le signalement des menaces, des vulnérabilités, des incidents et d'autres événements liés à la sécurité, de même que les interventions connexes, et de veiller à ce que de telles activités soient coordonnées de façon efficace au sein du ministère, avec les partenaires et dans l'ensemble du gouvernement, ce qui permet de gérer les incidences possibles, d'appuyer la prise de décisions et de mettre en oeuvre de mesures correctives.. Note de bas de page 152
106. En plus de ces exigences générales, la Politique sur la sécurité du gouvernement façonne le cadre administratif du gouvernement en matière de cyberdéfense grâce à la création de directives, de normes et de lignes directrices secondaires détaillées. A titre d'exemple, la Directive sur la gestion de la sécurité découle de la Politique sur la sécurité du gouvernement. Parmi un éventail d'exigences, la Directive définit les rôles et les responsabilités en matière de sécurité du dirigeant principal de la sécurité, des cadres supérieurs, des spécialistes de la sécurité et des employés dans l'ensemble du gouvernement et inclut un certain nombre d'annexes détaillées qui précisent davantage les contrôles en matière de cybersécurité.. Note de bas de page 153 Une de ces annexes, intitulée Procédures obligatoires relatives aux mesures de sécurité des technologies de l'information, énonce les exigences et les pratiques en matière de technologie de l'information, les pratiques de gestion de projet, le cycle de vie et l'intégrité de la chaîne d'approvisionnement, les évaluations de la sécurité et les autorisations ainsi que la surveillance et les mesures correctives.. Note de bas de page 154 Bref, la Politique sur la sécurité du gouvernement et ses instruments secondaires aident à jeter les bases de la cybersécurité et de la cyberdéfense au gouvernement.
Politique sur les services et le numérique
107. La Politique sur les services et le numérique est le deuxième principal outil de politique du cadre de cybersécurité et de cyberdéfense du gouvernement.. Note de bas de page 155 Mise en œuvre le 1er avril 2020, elle constitue « un ensemble intégré de règles qui décrit la façon dont les organisations du gouvernement du Canada gèrent la prestation de services, l'information et les données, la technologie de l'information et la cybersécurité à l'ère du numérique ».. Note de bas de page 156 De concert avec sa directive secondaire sur les services et le numérique, elle regroupe et remplace un certain nombre de politiques et de directives antérieures. Note de bas de page 157 Il importe de souligner que la Politique s'applique à 87 organisations fédérales, à savoir un domaine d'applicabilité plus étroit que celui de la Politique sur la sécurité du gouvernement. Note de bas de page 158 Comme la Politique est entrée en vigueur récemment, ces organismes ont une période de mise en œuvre de deux années avant de devoir s'y conformer.
108. La Politique sur les services et le numérique comprend un certain nombre de pouvoirs délégués par le Conseil du Trésor à des fonctionnaires en particulier :
- Le président du Conseil du Trésor a le pouvoir d'émettre, de modifier et d'annuler des directives liées à la Politique.
- Le DPI du Canada a le pouvoir d'émettre, de modifier et d'annuler des normes, des procédures obligatoires et d'autres annexes liées à la Politique, ainsi que d'améliorer le cadre du gouvernement en vue de défendre ses réseaux de toute cyberattaque.
109. La Politique sur les services et le numérique définit davantage les rôles et les responsabilités des principaux cadres supérieurs en ce qui concerne la gouvernance et l'administration de la cybersécurité et de la cyberdéfense. Le secrétaire du Conseil du Trésor est responsable d'établir et de présider le Comité des sous-ministres sur les priorités et la planification opérationnelles, un organe de haut niveau qui fournit des conseils et des recommandations sur un certain nombre de questions relatives à la technologie de l'information, y compris la cybersécurité. Note de bas de page 159 Le DPI du Canada doit:
- définir les exigences en matière de cybersécurité pour s'assurer que les renseignements et les données, les applications, les systèmes et les réseaux gouvernementaux et ministériels sont sécurisés, fiables et dignes de confiance;
- gérer les risques en matière de cybersécurité pour le gouvernement et exiger « de l'administrateur en général la mise en oeuvre d'une intervention particulière en réponse à des situations de cybersécurité, y compris de vérifier si une atteinte à la vie privée a eu lieu, de mettre en oeuvre des mesures de sécurité et de veiller à ce que les systèmes qui causent des risques au gouvernement du Canada soient déconnectés ou retirés, lorsqu'il est justifié de le faire »;
- Approuver un plan pangouvernemental annuel pour la gestion intégrée des données, des technologies de l'information et de l'information et de la cybersécurité. La version la plus récente de ce plan, à savoir le Plan stratégique des opérations numériques de 2018 à 2022, est examinée plus en détail ci-après. Note de bas de page 160
110. La Politique sur les services et le numérique confie aux administrateurs généraux et aux ministères de nombreuses responsabilités à l'égard des technologies de l'information. Ils doivent préparer un plan stratégique annuel sur les technologies de l'information qui est harmonisé avec le Plan stratégique des opérations numériques du DPI du Canada (voir les paragraphes 119 à 124) et surveiller la conformité de l'organisation à la Politique sur les services et le numérique ainsi qu'à ses instruments de soutien. De plus, les administrateurs généraux ont des responsabilités clairement définies en matière de cybersécurité. Ils doivent établir une gouvernance et des exigences de production de rapports claires, ce qui comprend la nomination d'un agent responsable de mener la fonction ministérielle de gestion de la cybersécurité, à savoir l'agent désigné pour la cybersécurité. La Directive sur les services et le numérique (instrument secondaire) et la Ligne directrice sur les services et le numérique définissent les rôles et les responsabilités de cet agent désigné. Par exemple, l'agent désigné, en collaboration avec le dirigeant principal de l'information ministériel et le dirigeant principal de la sécurité ministérielle fournit une direction, une coordination et une surveillance pan ministérielles aux fins de l'intégration des exigences en matière de cybersécurité afin de protéger les services de technologie de l'information. Note de bas de page 161 L'agent désigné doit également établir les rôles et les responsabilités relatifs au signalement des événements de cybersécurité (à savoir un incident qui pourrait nuire à la sécurité du gouvernement, y compris les menaces, les vulnérabilités et les incidents de sécurité). Note de bas de page 162
111. Dans leur ensemble, la Politique sur les services et le numérique et ses instruments secondaires exigent des cadres supérieurs qu'ils améliorent la prestation de services en misant sur les nouveaux services et les nouvelles technologies tout en prescrivant des fonctions et des responsabilités clés en matière de cybersécurité et de cyberdéfense. Un exemple important est la récente Stratégie d'adoption de l'informatique en nuage et l'orientation connexe sur la cybersécurité et la cyberdéfense incluse dans l'Orientation sur l'utilisation sécurisée des services commerciaux d'informatique en nuage.
Utilisation et protection de l'informatique en nuage : orientation du DPI du Canada
112. Les services d'informatique en nuage permettent aux personnes et aux organisations d'utiliser des logiciels, du matériel et des services qui peuvent être hébergés à l'extérieur des installations d'une entité et gérés par des organisations du secteur privé. Note de bas de page 163 Voici la description du SCT :
On peut comparer l'informatique en nuage aux services publics utilisés pour livrer des produits, comme l'électricité. Au lieu d'acheter et d'exploiter l'infrastructure en tant que telle, une organisation acheté les services informatiques auprès d'un fournisseur. Comme pour l'électricité qui circule dans nos maisons, l'informatique en nuage est offerte sur demande, et le consommateur paie la quantité consommée. Le coût de l'infrastructure utilisée pour fournir le service (stockage et services dans le cas de l'informatique en nuage; poteaux électriques et lignes de transport d'énergie dans le cas de l'électricité) est couvert par les frais facturés au consommateur. Note de bas de page 164
113. Il y a trois types de services d'informatique en nuage : public, privé et hybride. Pour ce qui est du modèle public d'informatique en nuage, une entreprise du secteur privé offre le matériel, le logiciel et tout autre dispositif réseau requis par Internet. Dans ce type d'informatique en nuage, les entités (y compris des organismes gouvernementaux) louent de l'espace comme « locataires » et partagent ces mêmes services et le même espace avec d'autres organisations. Note de bas de page 165 Un nuage privé comprend la prestation des mêmes services (matériel, logiciel, dispositifs réseau) sur un réseau privé utilisé exclusivement par une seule organisation. Note de bas de page 166 Ces services peuvent également être offerts dans les installations physiques du locataire du nuage. L'approche hybride est une combinaison des modèles publics et prive. Parmi les fournisseurs de services notables au Canada, on compte Microsoft, avec ses plateformes Azure et Office365, et Amazon Web Services.
114. Les services d'informatique par nuage offrent plusieurs avantages. L'un des avantages peut etre la rationalisation des coûts, puisque les organisations n'effectuent plus la gestion ou l'entretien des biens de technologie de l'information dans l'environnement infonuagique (les exigences en matière d'entretien et de gestion sont désormais la responsabilité du fournisseur de services infonuagiques). Un autre avantage, c'est que le montant payé dépend de l'évolution des besoins informatiques. Le SCT décrit les avantages des services publics d'informatique en nuage pour le gouvernement de la façon suivante :
- Qualité du service améliorée en raison des ressources informatiques adaptables et des niveaux de rendement découlant d'obligations contractuelles;
- sécurité solide, puisque les fournisseurs de services infonuagiques offrent des accréditations reconnues à l'échelle internationale qu'une organisation unique aurait de la difficulté à obtenir;
- Innovation grâce à la mise en place de nouveaux outils et de nouvelles technologies disponibles par abonnement qui ne nécessitent pas de grand investissement en capital;
- Grande souplesse dans l'élaboration des programmes grâce au vaste éventail de ressources et de capacités offertes dans le nuage. Note de bas de page 167
Les environnements infonuagiques ne sont pas sans risque, toutefois. Les données du gouvernement hébergées dans le nuage pourraient quand même être compromises ou volées, et les activités gouvernementales qui emploient des services infonuagiques pourraient quand même être perturbées par les activités d'une cybermenace. Comme c'est le cas dans les environnements informatiques traditionnels, les services infonuagiques nécessitent des contrôles de sécurité adéquats afin d'atténuer les risques d'atteinte à la vie privée, de perte de données et liés à la continuité des activités. Note de bas de page 168
115. Depuis 2016, le gouvernement a mis en place une Stratégie sur l'adoption infonuagique en vue de maximiser les avantages et d'atténuer les risques. Le SCT souligne que l'adoption de l'informatique en nuage « aidera [le gouvernement] à maintenir l'excellence des services de la TI [technologie de l'information] durant une période de demande croissante pour des services numériques, et à maintenir un accès en temps opportun à des technologies émergentes. Note de bas de page 169 » La Stratégie se veut également une directive stratégique qui met l'accent sur un certain nombre d'exigences pour les organisations fédérales :
- une Stratégie d'adoption « l'infonuagique d'abord » selon laquelle le nuage est l'option retenue pour offrir des services de technologie de l'information et le nuage public com me solution privilégiée pour le déploiement du nuage;
- une approche de gestion des risques pour la sécurité, qui sont associés à l'adoption de l'infonuagique, qui assure la protection des données et de la vie privée des Canadiens;
- un ensemble de principes pour éclairer les dirigeants principaux de l'information à mesure qu'ils adoptent les services infonuagiques;
- une vision permettant l'utilisation de nuages communautaires; plus précisément, un nuage communautaire pour le secteur public canadien, afin de réunir les acheteurs du secteur public canadien avec les fournisseurs de services infonuagiques publics offerts par l'entremise de courtiers et évalués sur le plan de la sécurité par le gouvernement du Canada. Note de bas de page 170
Cette Stratégie est harmonisée avec l'orientation du Conseil du Trésor incluse dans la Directive sur les services et le numérique et le Plan stratégique des opérations numériques. Ces documents établissent également les buts d'une prestation de service améliorée grâce à l'utilisation de services infonuagiques, et les ministères doivent les déterminer et les évaluer à titre de principale option de prestation de services. Note de bas de page 171
116. En fonction des exigences selon lesquelles les ministères doivent accorder la priorité aux services infonuagiques, le DPI du Canada a émis l'Orientation sur l'utilisation sécurisée des services commerciaux informatiques en nuage le 1er novembre 2017. Cette orientation permet de veiller à ce que des considérations en matière de sécurité soient intégrées à l'approche d'un ministère grâce à des obligations de politique particulière. Note de bas de page 172 Par exemple, les environnements infonuagiques peuvent seulement être utilisés pour stocker des informations correspondant à une catégorie de sécurité donnée ou à une catégorie inférieure Note de bas de page 173 . Cette orientation s'applique a 110 organisations fédérales. Note de bas de page 174 .
117. Lors de l'acquisition de services d'informatique en nuage, Services partagés Canada (SPC) joue le rôle de courtier pour le gouvernement. Cela signifie que SPC conclut des marchés avec des fournisseurs de services infonuagiques, accrédit leur utilisation à des fins ministérielles et fournit un modèle de libre-service qui permet aux organisations fédérales de gérer leurs ressources infonuagiques. Note de bas de page 175 Néanmoins, les ministères (par l'intermédiaire de leurs administrateurs généraux) demeurent ultimement responsables de la gestion et de la protection de leurs renseignements, y compris dans le nuage, aux termes de la LGFP. Conformément à l'Orientation sur l'utilisation sécurisée des services commerciaux informatiques en nuage, les ministères ont les obligations suivantes :
- appliquer des mesures de protection progressives proportionnelles aux risques déterminés;
- utiliser l'accréditation d'un tiers pour la conception sécurisée de son espace infonuagique;
- effectuer des évaluations de sécurité avant que l'utilisation du service soit autorisée;
- appliquer l'orientation distincte visant l'emplacement des données, qui oblige les ministères à stocker les données de nature délicate au Canada Note de bas de page 176 ;
- gérer les vulnérabilités touchant les systèmes d'information (p. ex. en éliminant les vulnérabilités);
- établir des mécanismes adéquats afin de gérer les incidents en matière de sécurité et d'y répondre Note de bas de page 177
Pour appuyer davantage la mise en œuvre sécuritaire d'un nuage, un cadre d'opérationnalisation infonuagique (les mesures de sécurité infonuagique) a été établi en 2019 afin de fournir une direction et une orientation additionnelles. Ces mesures de sécurité ont réitéré les exigences énoncées dans l'Orientation sur l'utilisation sécurisée des services commerciaux d'informatique en nuage : Avis de mise en oeuvre de la Politique sur la sécurité, notamment que le SGT peut désactiver l'accès au nuage d'un ministère, si ce ministère ne satisfait pas à ces exigences en matière de sécurité dans les 30 jours qui suivent l'établissement d'un environnement infonuagique. Note de bas de page 178
118. En bref, la Stratégie d'adoption de l'informatique en nuage et l'orientation connexe sur son utilisation sécurisée visent à établir un équilibre entre les améliorations apportées aux technologies de l'information et les besoins correspondants en matière de cybersécurité et de cyberdéfense.
Plan stratégique des opérations numériques
119. Le troisième instrument de politique fondamental concernant la cyberdéfense est le Plan stratégique des opérations numériques. Établi conformément à la Politique sur les services et le numérique, le Plan stratégique des opérations numériques s'applique à 87 organismes. Note de bas de page 179 De plus, conformément à la Politique sur les services et le numérique, le DPI du Canada doit produire un plan annuel prospectif en matière de technologie de l'information pour l'ensemble du gouvernement. Ces plans stratégiques établissent l'orientation pour les ministères relativement aux priorités en matière de gestion intégrée des services, de l'information, des données, des technologies de l'information et de la cybersécurité. Entre 2016 et 2019, le DPI du Canada a publié trois plans prospectifs : le Plan stratégique de gestion de l'information et de la technologie 2016-2020 du gouvernement du Canada, le Plan stratégique de gestion de l'information et de la technologie de l'information 2017-2021 et le Plan stratégique des opérations numériques 2018-2022 en vigueur. En raison de la pandémie, le DPI du Canada n'a pas préparé de plan en 2020, mais il a l'intention de publier une version pour la période allant de 2021 à 2024.
120. Le Plan stratégique des opérations numériques 2018-2022 s'appuie sur les deux versions antérieures. Il réitère l'énoncé de vision selon lequel le « gouvernement du Canada est une organisation ouverte et axée sur le service qui exploite et offre des programmes et des services aux particuliers et aux entreprises de manières simples, modernes et efficaces qui sont optimisées pour la voie numérique et disponibles n'importe quand, n'importe ou et sur n'importe quel appareil ». Note de bas de page 180 Du point de vue de la cyberdéfense et de la cybersécurité, le Plan rend obligatoire l'élaboration d'une approche approfondie à plusieurs niveaux qui utilise des points d'interconnexion fiables (surveillés) offrant une passerelle vers les services infonuagiques. Dans l'ensemble, la Stratégie comprend quatre grandes catégories de mesure ou d'initiatives qui traitent des principales lacunes ou préoccupations en matière de cyberdéfense et de cybersécurité; chacune des catégories a un échéancier différent au sein du calendrier du plan stratégique. Note de bas de page 181
121. La première catégorie générale vise à renforcer la consolidation, la connectivité et la sécurité du réseau. Pendant qu'il effectue la consolidation de l'accès au réseau à des points de connexion externes dignes de confiance, le gouvernement veille à la protection adéquate de son périmètre de technologies de l'information. Dans le cadre de ces efforts, SPC réduira le nombre de connexions à Internet. De plus, Il effectuera le regroupement de 50 réseaux étendus existants des partenaires de SPC dans un réseau organisationnel unique. De même, SPC effectuera la migration de 61 ministères et organismes qui n'utilisent pas le Service Internet d'entreprise de SPC vers le réseau organisationnel géré par SPC (qui utilise les services Internet de SPC exclusivement et bénéficie de la protection des mesures de cyberdéfense *** du CST), pour un total de 104 ministères d'ici 2024. Note de bas de page 182 Dans le cadre de la Stratégie d'adoption de l'informatique en nuage, le gouvernement mettra en place des connexions réseau dédiées avec les fournisseurs de services infonuagiques. Cela permettra d'assurer des canaux de communication sécurisés pour les données du gouvernement. De plus, le SCT, le CST et SPC établissent d'autres points d'interconnexion fiable entre le réseau du gouvernement et les partenaires externes. En définitive, ces mesures visent à consolider le périmètre du gouvernement en réduisant le nombre de points de contact externes, n'incluant qu'un nombre limité de connexions dignes de confiance et sores.
122. La deuxième grande catégorie d'initiative vise à protéger les dispositifs de points d'extrémité. Les dispositifs de points d'extrémité comprennent normalement les ordinateurs portables, les ordinateurs de bureau, les téléphones intelligents, les tablettes et les serveurs, ou les biens de technologie de l'information utilisés par les employés du gouvernement. En consultation avec le SCT et le CST, SPC élaborera des procédures normalisées visant à configurer de façon sécurisée les systèmes d'exploitation et les applications des dispositifs de points d'extrémité. Cela comprend deux éléments clés : la mise en place d'un système de prévention des intrusions aux points d'extrémité afin d'automatiser la collecte de renseignements permettant de déceler toute activité malveillante et de prévenir la compromission du dispositif; et l'établissement de contrôles pour accéder aux applications qui permettront aux administrateurs de système de déterminer et d'exécuter les programmes permis. Les initiatives comprises dans cette catégorie appuieront également la mise en œuvre d'outils et de processus qui surveilleront en temps réel l'état et la configuration des dispositifs de points d'extrémité (p. ex. l'état des versions du matériel et du logiciel, la version des systèmes d'exploitation et de l'installation de rustines). Cette capacité permettra de compléter les capteurs de systèmes hôtes du CST (voir les paragraphes 198 à 200), de faciliter la compréhension des dispositifs des points d'extrémité et d'accroître la vitesse et la capacité du gouvernement en ce qui concerne la correction des vulnérabilités des dispositifs de points d'extrémité touchant l'ensemble de l'organisation. On prévoit déterminer cette initiative en 2024. Note de bas de page 183
123. La troisième catégorie d'initiatives améliorera le contrôle des accès et le développement des applications. Ces améliorations concernent principalement les comptes pour les administrateurs de systèmes de technologie de l'information qui ont un accès privilégié aux systèmes de technologie de l'information ministériels. En 2019, le SCT, SPC et les ministères ont renforcé la gestion et le contrôle des privilèges administratifs afin d'empêcher l'utilisation à mauvais escient d'un compte ayant des privilèges accrus et pour s'assurer que ses comptes sont gérés, contrôlés et surveillés adéquatement. A l'avenir, le SCT améliorera la conception d'applications sécurisées en établissant un cadre de sécurité des applications. Les ministères mettront en œuvre ce cadre lorsqu'ils créeront et mettront en œuvre des services numériques. L'approche du gouvernement vise à assurer que la sécurité est un élément clé de la conception des applications dès le départ. Il s'agit d'une question permanente qui n'a pas d'achèvement.
124. La quatrième catégorie générale vise à accroître la sensibilisation aux cybermenaces et aux risques pour les systèmes et les réseaux du gouvernement. Comme les autres mesures comprises dans le Plan stratégique des opérations numériques, cet ensemble d'initiatives vise à accroître la sensibilisation aux risques et aux menaces cybernétiques grâce à une gouvernance et à une formation améliorées tout en renforçant la capacité du gouvernement à intervenir en cas d'incident cybernétique. Conformément aux améliorations susmentionnées permettant de voir en temps réel et de façon centralisée les dispositifs de points d'extrémité, le SCT propose de mettre en place une capacité centralisée pour mener des activités de gouvernance et de gestion du risque et de la conformité. Cela permettra de mieux connaître l'environnement général de technologie opérationnelle et facilitera la détermination de la surface d'attaque et des secteurs vulnérables dans l'ensemble du système. A l'heure actuelle, le SCT n'a pas fixé d'échéance pour ce projet. Par ailleurs, le SCT et le CST élaboreront un cadre de divulgation des vulnérabilités du gouvernement qui permettra de cerner et d'atténuer rapidement les vulnérabilités. Sur le plan de la formation, le Centre canadien pour la cybersécurité (CCC) fera la promotion d'une approche pangouvernementale qui améliorera la cybersécurité de tous les employés. Ces efforts aideront à veiller à ce que tous les utilisateurs du système contribuent à la sécurité et à l'intégrité du système. Enfin, le SCT mettra à jour le Plan de gestion des événements de cybersécurité du gouvernement du Canada (voir les paragraphes 224 a 236), ou l'on décrit « les intervenants et les mesures nécessaires pour veiller ace que les événements de cybersécurité soient traités de façon uniforme, coordonnée et rapide ». Note de bas de page 184
Résumé
125. Le Conseil du Trésor et le SCT jouent un rôle crucial pour assurer l'administration et la gestion adéquates du gouvernement. En ce qui concerne la cybersécurité et la cyberdéfense, le Conseil du Trésor prescrit des politiques et des directives que suivent la plupart (mais pas toutes) des organisations gouvernementales pour veiller à l'intégrité et à la sécurité de leurs biens de technologie de l'information et de ceux du gouvernement, à plus grande échelle. Quant aux différents ministères, ils sont ultimement responsables de l'assurance de la cybersécurité au sein de leur organisation et de la protection de l'information et des biens numériques. Selon ce modèle de responsabilité partagée, SPC et le CST jouent également des rôles cruciaux en offrant du soutien aux ministères pour qu'ils puissent respecter leurs obligations. Le Comité discute de ces organisations dans la section à venir.