Partie III : intervenants, autorités et activités clés en matière de cyberdéfense
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques

Table des matières

93. La cybersécurité est une responsabilité partagée dans l'ensemble du gouvernement. Chaque ministère est responsable de la sécurité de ses biens de technologie de l'information, mais trois organisations ont des obligations et offrent des services précis à l'ensemble du gouvernement, y compris en ce qui a trait au mandate particulier de la cyberdéfense. L'équipe tripartite chargée de la sécurité des technologies de l'information du gouvernement du Canada est formée du Secrétariat du Conseil du Trésor du Canada (SCT), qui relève du Conseil du Trésor, de Services partagés Canada et du Centre de la sécurité des télécommunications.

94. Les paragraphes qui suivent examinent en détail les rôles, les responsabilités, les fonctions et les activités liées à la cyberdéfense de l'équipe tripartite chargée de la sécurité des technologies de l'information. Ils présentent les responsabilités de chaque ministère en ce qui concerne la cybersécurité en adoptant une vision large de la portée des entités qui constituent le gouvernement du Canada. Une analyse des régimes législatifs, des politiques administratives et des autres pouvoirs des organisations tripartites en ce qui concerne la fourniture de services de cyberdéfense à des organismes gouvernementaux détermine les organismes qui peuvent recevoir des services de cybersécurité et de cyberdéfense, et dans quelle mesure. Cette approche permet d'obtenir une compréhension générale des responsabilités, des activités et de la fourchette de protection du cadre de cyberdéfense du gouvernement.

Conseil du Trésor du Canada et le Secrétariat du Conseil du Trésor du Canada

95. Créé sous forme de comité du Cabinet en 1869, le Conseil du Trésor du Canada joue un rôle fondamental dans le cadre de cyberdéfense du Canada. Le Conseil du Trésor prescrit les politiques, les normes et les directives en matière de cyberdéfense et détermine les organisations auxquelles les exigences s'appliquent. La loi habilitante du Conseil du Trésor, à savoir la Loi sur la gestion des financés publiques (LGFP), précise les rôles et les responsabilités des principaux représentants de l'ensemble du gouvernement et établit de façon générale un certain nombre des piliers stratégiques, administratifs et en matière de responsabilisation du cadre de cyberdéfense du gouvernement.

96. Le Conseil du Trésor est investi d'un vaste mandat pour l'ensemble du gouvernement. En vertu de la LGFP, Il est garant de la responsabilisation ministérielle et de la gestion financière du gouvernement, de même que de la surveillance réglementaire des programmes et des services du gouvernement; Il est également le principal employeur du gouvernement du Canada. La LGFP établit les exigences concernant un certain nombre de représentants clés et permet au Conseil du Trésor, par l'intermédiaire du Secrétariat du Conseil du Trésor du Canada (SCT), d'émettre des politiques, des directives, des normes et des lignes directrices sur la gestion et l'administration de la majorité des organisations fédérales. Le Conseil du Trésor est également responsable de surveiller les pratiques de gestion ministérielles et des résultats de programme, y compris dans les domaines de la politique de sécurité. Même si, historiquement, le Conseil du Trésor a joué un rôle nominatif en ce qui concerne les questions de sécurité nationale, ses fonctions concernant la gestion et l'administration du gouvernement en font un acteur central dans le cadre de cyberdéfense.

97. La LGFP définit des rôles et des responsabilités généraux; notamment pour le président du Conseil du Trésor, le secrétaire du Secrétariat du Conseil du Trésor du Canada (l'administrateur général du ministère) et le dirigeant principal de l'information du Canada (DPI du Canada). Leurs rôles et responsabilités clés comprennent les suivants :

Président du Conseil du Trésor : Il est le président du Conseil du Trésor et détermine le programme du gouvernement en ce qui concerne les personnes, l'argent et les technologies. Le président est également responsable du SCT en tant que ministère et détermine l'orientation stratégique de l'organisation.
Secrétaire du SCT du Canada : Il est l'administrateur général du Secrétariat et est nommé par le gouverneur en conseil. Le Conseil du Trésor peut déléguer tout pouvoir ou fonction au secrétaire qu'il a le droit d'exercer en vertu d'une loi fédérale ou d'un décret du gouverneur en conseil. Le secrétaire fournit des conseils sur l'interprétation des politiques, des directives ou des normes prescrites par le Conseil du Trésor.
DPI du Canada : Il détient des responsabilités pangouvernementales particulières en matière de leadership aux fins de l'orientation, de la surveillance et du renforcement des capacités en ce qui a trait à la gestion de l'information, aux technologies de l'information, à la sécurité du gouvernement et à la prestation de services gouvernementaux, ce qui inclut la surveillance des pratiques de gestion ministérielles et l'établissement de rapports sur la mise en oeuvre des objectifs et de l'orientation stratégique pour l'ensemble de l'entreprise, notamment dans les domaines de la cybersécurité. Le Conseil du Trésor peut également déléguer au DPI du Canada tout pouvoir ou fonction qu'il a le droit d'exercer en vertu d'une loi fédérale ou d'un décret du gouverneur en conseil en ce qui concerne les technologies de l'information. ^{Note de bas de page 139} Pour accomplir ce mandat, le Bureau du DPI du Canada compte environ 195 employés et dispose d'un budget d'environ 31 millions de dollars, dont 21 pour cent est alloué précisément aux besoins stratégiques en matière de politique et de cyberespace. ^{Note de bas de page 140}

98. Pour leur part, les administrateurs généraux des organisations fédérales doivent s'assurer que leurs ministères réalisent les priorités et le mandat du gouvernement tout en veillant à l'intégrité des programmes et des services. En ce qui a trait à la cyberdéfense, cela comprend l'obligation de s'assurer que les systèmes et les réseaux ministériels sont sécurisés.

Définition des organisations gouvernementales

99. Le Conseil du Trésor dénombre 169 organisations fédérales et 100 organisations « d'intérêt » fédéral. ^{Note de bas de page 141} Il est essentiel de comprendre la façon dont le gouvernement définit sa taille et sa portée afin de pouvoir déterminer et évaluer les organisations assujetties aux politiques du Conseil du Trésor et leurs obligations en matière de sécurisation des systèmes et des réseaux, et ultimement, la mesure dans laquelle elles sont protégées au sein du cadre de cyberdéfense.

100. La LGFP répartit la plupart des organisations fédérales en catégories précises, appelées « annexes », en fonction de leur mandat, de leurs responsabilités et de leur relation avec le gouvernement. Les six annexes de la LGFP sont directement pertinentes, puisque le Conseil du Trésor s'en sert pour déterminer l'applicabilité des politiques, des normes et des lignes directrices en matière de cybersécurité et de cyberdéfense.

L'annexe I comprend les « ministères », qui sont créés par voie législative. Leur mandat couvre de nombreux secteurs de politiques publiques dont sont chargés un ou plusieurs ministres du Cabinet. Ils sont financés par des crédits parlementaires. Entre autres exemples notables, on compte le ministère de la sécurité publique et de la Protection civile, le ministère des Affaires étrangères, du Commerce et du développement du Canada et le ministère de la Défense nationale.
L'annexe I.1 comprend les « organismes » et les « agents du Parlement ». En général, le mandat de ces organisations est défini plus étroitement, et elles exercent leurs activités avec divers degrés d'autonomie. Entre autres exemples notables, on compte le Centre de la sécurité des télécommunications, le Service canadien du renseignement de sécurité et Services partagés Canada.
L'annexe II comprend les « établissements publics » et les « organismes de services ». Les établissements publics comprennent des organismes qui fournissent des services hautement opérationnels qui n'engagent généralement aucune concurrence dans le secteur privé. Ils ont divers degrés d'autonomie et diverses structures de gestion. Entre autres exemples notables, on compte l'Agence des services frontaliers du Canada, la Commission canadienne de sûreté nucléaire et le Bureau de la sécurité des transports du Canada. Les organismes de service comptent trois organismes spécialisés établis par voie législative et financés par des crédits parlementaires et certains frais d'utilisation : l'Agence du revenu du Canada, l'Agence canadienne d'inspection des aliments et Pares Canada.
L'annexe III comprend les « sociétés d'État ». Ces organisations mènent leurs activités selon un modèle propre au secteur privé, mais elles ont généralement des objectifs stratégiques qui sont à la fois commerciaux et publics. Les sociétés d'État sont des sociétés qui relèvent directement du gouvernement du Canada. Parmi les exemples notables, on compte la Société canadienne d'hypothèques et de logement, Exportation et développement Canada et VIA Rail Canada. Il y a neuf autres sociétés d'État mère non énumérées dans cette annexe de la LGFP qui ont des modèles de gouvernance distincts Créés en vertu de lois. ^{Note de bas de page 142}
Les annexes IV et V comprennent d'autres « Secteurs de l'administration publique centrale » et des « Organismes distincts ». Il s'agit d'organisations auxquelles la partie I du Code canadien du travail ne s'applique pas ou pour lesquelles le ministre, le Conseil du Trésor ou le gouverneur en conseil a le droit d'établir des conditions d'emploi. Entre autres exemples notables, on compte les commissariats à l'information et à la protection de la vie privée (annexe IV) et l'Agence du revenu du Canada (annexe V, mais annexe Il également). Même si un certain nombre de ces organismes pourraient être inclus dans les annexes précédentes, les annexes IV et V comprennent d'autres entités fédérales autonomes qui n'ont pas été mentionnées auparavant. ^{Note de bas de page 143}

En vertu de la LGFP, un ministère est un organisme inclus dans les annexes I, et 1.1 (ci-dessus), toute société d'État et diverses autres organisations et effectifs. ^{Note de bas de page 144} Le Conseil du Trésor utilise également cette définition pour déterminer l'applicabilité de certains instruments de politique en matière de cyberdéfense. Com me on le mentionnera plus tard, les entités incluses a l'annexe III ne sont pas assujetties aux instruments.

101. Le gouvernement détient une participation dans un certain nombre d'autres organisations en plus de celles qui sont énumérées dans la LGFP. En général, ces « intérêts » incluent des organisations dans lesquelles le gouvernement détient des intérêts ou participe à la gestion et à la surveillance, mais qui ne font pas officiellement partie du gouvernement. ^{Note de bas de page 145} Voici des exemples d'intérêts fédéraux : institut canadien d'information sur la santé, Administration portuaire de Halifax et Autorité aéroportuaire du Grand Toronto. Il importe de souligner que la Chambre des communes et le Sénat ne sont pas considérés comme étant des entités gouvernementales et, par conséquent, ne sont pas assujettis aux politiques de la LGFP ou du Conseil du Trésor. ***.

Politiques fondamentales en matière de cyberdéfense

102. En vertu de la LGFP, le Conseil du Trésor a mis en place deux principaux instruments de politique ainsi qu'un plan stratégique afin de jeter les bases administratives de la position du gouvernement en matière de cybersécurité et de cyberdéfense. Il s'agit de la Politique sur la sécurité du gouvernement et de la Politique sur les services et le numérique ainsi que du Plan stratégique des opérations numériques ^{Note de bas de page 146} Ces instruments de politique et leurs composants secondaires s'appliquent à un éventail d'organisations fédérales. Dans cette structure administrative, les administrateurs généraux et les ministères sont responsables de la sécurisation de leurs systèmes et de leurs réseaux conformément aux politiques. Dans les cas où les ministères ne se conforment pas à ces politiques, les administrateurs généraux peuvent appliquer des mesures administratives, allant de la persuasion (p. ex. poursuivre le dialogue avec le ministère non conforme) à la restriction (p. ex. réorganiser une administration ou mettre fin a un emploi). ^{Note de bas de page 147} Le Comité a observé des cas de non-respect des directives du SCT, mais le SCT n'a donné aucun exemple de mesures administratives imposées pour la non-conformité aux instruments de politiques susmentionnés. Comme le DPI du Canada l'a souligné pendant une comparution devant le Comité, [traduction] « les administrateurs généraux sont ultimement responsables de satisfaire aux attentes décrites dans nos politiques [du Conseil du Trésor]. Il leur incombe notamment d'assurer la protection et la confidentialité de l'information et des biens des ministères. ^{Note de bas de page 148} »

Politique sur la sécurité du gouvernement

103. La politique sur la sécurité du gouvernement a deux principaux objectifs. Le premier consiste à « gérer de manière efficace les mesures de sécurité gouvernementales à l'appui de la prestation fiable des programmes et des services du gouvernement ainsi qu'à l'appui de la protection des renseignements, des personnes et des biens ». Le second objectif consiste à « donner à la population canadienne, aux partenaires, aux organismes de surveillance et aux autres intervenants une assurance à l'égard de la gestion de la sécurité au sein du gouvernement du Canada ^{Note de bas de page 149} ». La version actuelle de la Politique a été mise en œuvre le 1^er juillet 2019 et s'applique à 110 organisations fédérales. ^{Note de bas de page 150}

104. La Politique prescrit un ensemble d'exigences pour les ministères et les responsables. Elle confie au Conseil du Trésor les responsabilités qui suivent : établir une approche pangouvernementale en matière de gestion de la sécurité et effectuer la surveillance connexe; fournir un leadership, des conseils et une orientation stratégique en matière de sécurité au gouvernement; et assurer la surveillance et la coordination stratégique dans la gestion des événements liés à la sécurité qui peuvent entraîner des incidences sur l'ensemble du gouvernement. ^{Note de bas de page 151} Pour les organisations fédérales, la Politique oblige les administrateurs généraux à nommer un dirigeant principal de la sécurité chargé de fournir de la direction, de la coordination et de la supervision à l'égard des activités liées à la sécurité ministérielle.

105. En vertu de la Politique, les administrateurs généraux doivent approuver un plan triennal en matière de sécurité qui décrit une stratégie permettant de satisfaire aux exigences ministérielles de sécurité. Le plan doit prévoir huit contrôles de sécurité, à savoir des mesures administratives, opérationnelles, techniques, physiques ou juridiques de gestion des risques en matière de sécurité. Parmi les huit contrôles, quatre portent directement sur la cybersécurité et la cyberdéfense :

Les exigences, les pratiques et les mesures relatives à la sécurité des technologies de l'information sont définies, documentées, mises en oeuvre, évaluées, surveillées et tenues à jour à chaque étape du cycle de vie des systèmes d'information, ce qui permet de fournir une assurance raisonnable que les systèmes d'information sont en mesure de protéger adéquatement l'information, sont utilisés d'une façon acceptable, et appuient les programmes, les activités et les services gouvernementaux.
La gestion de la continuité des activités est menée de manière systématique et complétée. Elle fournit une assurance raisonnable qu'en cas de perturbation, le ministère pourra garantir un niveau acceptable de prestation des services et des activités critiques, et qu'il sera en mesure de reprendre rapidement les autres services et activités.
Les exigences, les pratiques et les mesures de sécurité de la gestion de l'information sont définies, documentées, élaborées, évaluées, surveillées et tenues à jour à chaque étape du cycle de vie de l'information afin de fournir une assurance raisonnable que l'information est adéquatement protégée d'une manière qui respecte les obligations juridiques et autres et pèse le risque de préjudice et de menaces avec le coût d'appliquer des mesures de protection.
Les pratiques relatives à la gestion des événements liés à la sécurité sont définies, documentées, mises en oeuvre et tenues à jour afin d'assurer la surveillance et le signalement des menaces, des vulnérabilités, des incidents et d'autres événements liés à la sécurité, de même que les interventions connexes, et de veiller à ce que de telles activités soient coordonnées de façon efficace au sein du ministère, avec les partenaires et dans l'ensemble du gouvernement, ce qui permet de gérer les incidences possibles, d'appuyer la prise de décisions et de mettre en oeuvre de mesures correctives.. ^{Note de bas de page 152}

106. En plus de ces exigences générales, la Politique sur la sécurité du gouvernement façonne le cadre administratif du gouvernement en matière de cyberdéfense grâce à la création de directives, de normes et de lignes directrices secondaires détaillées. A titre d'exemple, la Directive sur la gestion de la sécurité découle de la Politique sur la sécurité du gouvernement. Parmi un éventail d'exigences, la Directive définit les rôles et les responsabilités en matière de sécurité du dirigeant principal de la sécurité, des cadres supérieurs, des spécialistes de la sécurité et des employés dans l'ensemble du gouvernement et inclut un certain nombre d'annexes détaillées qui précisent davantage les contrôles en matière de cybersécurité.. ^{Note de bas de page 153} Une de ces annexes, intitulée Procédures obligatoires relatives aux mesures de sécurité des technologies de l'information, énonce les exigences et les pratiques en matière de technologie de l'information, les pratiques de gestion de projet, le cycle de vie et l'intégrité de la chaîne d'approvisionnement, les évaluations de la sécurité et les autorisations ainsi que la surveillance et les mesures correctives.. ^{Note de bas de page 154} Bref, la Politique sur la sécurité du gouvernement et ses instruments secondaires aident à jeter les bases de la cybersécurité et de la cyberdéfense au gouvernement.

Politique sur les services et le numérique

107. La Politique sur les services et le numérique est le deuxième principal outil de politique du cadre de cybersécurité et de cyberdéfense du gouvernement.. ^{Note de bas de page 155} Mise en œuvre le 1^er avril 2020, elle constitue « un ensemble intégré de règles qui décrit la façon dont les organisations du gouvernement du Canada gèrent la prestation de services, l'information et les données, la technologie de l'information et la cybersécurité à l'ère du numérique ».. ^{Note de bas de page 156} De concert avec sa directive secondaire sur les services et le numérique, elle regroupe et remplace un certain nombre de politiques et de directives antérieures. ^{Note de bas de page 157} Il importe de souligner que la Politique s'applique à 87 organisations fédérales, à savoir un domaine d'applicabilité plus étroit que celui de la Politique sur la sécurité du gouvernement. ^{Note de bas de page 158} Comme la Politique est entrée en vigueur récemment, ces organismes ont une période de mise en œuvre de deux années avant de devoir s'y conformer.

108. La Politique sur les services et le numérique comprend un certain nombre de pouvoirs délégués par le Conseil du Trésor à des fonctionnaires en particulier :

Le président du Conseil du Trésor a le pouvoir d'émettre, de modifier et d'annuler des directives liées à la Politique.
Le DPI du Canada a le pouvoir d'émettre, de modifier et d'annuler des normes, des procédures obligatoires et d'autres annexes liées à la Politique, ainsi que d'améliorer le cadre du gouvernement en vue de défendre ses réseaux de toute cyberattaque.

109. La Politique sur les services et le numérique définit davantage les rôles et les responsabilités des principaux cadres supérieurs en ce qui concerne la gouvernance et l'administration de la cybersécurité et de la cyberdéfense. Le secrétaire du Conseil du Trésor est responsable d'établir et de présider le Comité des sous-ministres sur les priorités et la planification opérationnelles, un organe de haut niveau qui fournit des conseils et des recommandations sur un certain nombre de questions relatives à la technologie de l'information, y compris la cybersécurité. ^{Note de bas de page 159} Le DPI du Canada doit:

définir les exigences en matière de cybersécurité pour s'assurer que les renseignements et les données, les applications, les systèmes et les réseaux gouvernementaux et ministériels sont sécurisés, fiables et dignes de confiance;
gérer les risques en matière de cybersécurité pour le gouvernement et exiger « de l'administrateur en général la mise en oeuvre d'une intervention particulière en réponse à des situations de cybersécurité, y compris de vérifier si une atteinte à la vie privée a eu lieu, de mettre en oeuvre des mesures de sécurité et de veiller à ce que les systèmes qui causent des risques au gouvernement du Canada soient déconnectés ou retirés, lorsqu'il est justifié de le faire »;
Approuver un plan pangouvernemental annuel pour la gestion intégrée des données, des technologies de l'information et de l'information et de la cybersécurité. La version la plus récente de ce plan, à savoir le Plan stratégique des opérations numériques de 2018 à 2022, est examinée plus en détail ci-après. ^{Note de bas de page 160}

110. La Politique sur les services et le numérique confie aux administrateurs généraux et aux ministères de nombreuses responsabilités à l'égard des technologies de l'information. Ils doivent préparer un plan stratégique annuel sur les technologies de l'information qui est harmonisé avec le Plan stratégique des opérations numériques du DPI du Canada (voir les paragraphes 119 à 124) et surveiller la conformité de l'organisation à la Politique sur les services et le numérique ainsi qu'à ses instruments de soutien. De plus, les administrateurs généraux ont des responsabilités clairement définies en matière de cybersécurité. Ils doivent établir une gouvernance et des exigences de production de rapports claires, ce qui comprend la nomination d'un agent responsable de mener la fonction ministérielle de gestion de la cybersécurité, à savoir l'agent désigné pour la cybersécurité. La Directive sur les services et le numérique (instrument secondaire) et la Ligne directrice sur les services et le numérique définissent les rôles et les responsabilités de cet agent désigné. Par exemple, l'agent désigné, en collaboration avec le dirigeant principal de l'information ministériel et le dirigeant principal de la sécurité ministérielle fournit une direction, une coordination et une surveillance pan ministérielles aux fins de l'intégration des exigences en matière de cybersécurité afin de protéger les services de technologie de l'information. ^{Note de bas de page 161} L'agent désigné doit également établir les rôles et les responsabilités relatifs au signalement des événements de cybersécurité (à savoir un incident qui pourrait nuire à la sécurité du gouvernement, y compris les menaces, les vulnérabilités et les incidents de sécurité). ^{Note de bas de page 162}

111. Dans leur ensemble, la Politique sur les services et le numérique et ses instruments secondaires exigent des cadres supérieurs qu'ils améliorent la prestation de services en misant sur les nouveaux services et les nouvelles technologies tout en prescrivant des fonctions et des responsabilités clés en matière de cybersécurité et de cyberdéfense. Un exemple important est la récente Stratégie d'adoption de l'informatique en nuage et l'orientation connexe sur la cybersécurité et la cyberdéfense incluse dans l'Orientation sur l'utilisation sécurisée des services commerciaux d'informatique en nuage.

Utilisation et protection de l'informatique en nuage : orientation du DPI du Canada

112. Les services d'informatique en nuage permettent aux personnes et aux organisations d'utiliser des logiciels, du matériel et des services qui peuvent être hébergés à l'extérieur des installations d'une entité et gérés par des organisations du secteur privé. ^{Note de bas de page 163} Voici la description du SCT :

On peut comparer l'informatique en nuage aux services publics utilisés pour livrer des produits, comme l'électricité. Au lieu d'acheter et d'exploiter l'infrastructure en tant que telle, une organisation acheté les services informatiques auprès d'un fournisseur. Comme pour l'électricité qui circule dans nos maisons, l'informatique en nuage est offerte sur demande, et le consommateur paie la quantité consommée. Le coût de l'infrastructure utilisée pour fournir le service (stockage et services dans le cas de l'informatique en nuage; poteaux électriques et lignes de transport d'énergie dans le cas de l'électricité) est couvert par les frais facturés au consommateur. ^{Note de bas de page 164}

113. Il y a trois types de services d'informatique en nuage : public, privé et hybride. Pour ce qui est du modèle public d'informatique en nuage, une entreprise du secteur privé offre le matériel, le logiciel et tout autre dispositif réseau requis par Internet. Dans ce type d'informatique en nuage, les entités (y compris des organismes gouvernementaux) louent de l'espace comme « locataires » et partagent ces mêmes services et le même espace avec d'autres organisations. ^{Note de bas de page 165} Un nuage privé comprend la prestation des mêmes services (matériel, logiciel, dispositifs réseau) sur un réseau privé utilisé exclusivement par une seule organisation. ^{Note de bas de page 166} Ces services peuvent également être offerts dans les installations physiques du locataire du nuage. L'approche hybride est une combinaison des modèles publics et prive. Parmi les fournisseurs de services notables au Canada, on compte Microsoft, avec ses plateformes Azure et Office365, et Amazon Web Services.

114. Les services d'informatique par nuage offrent plusieurs avantages. L'un des avantages peut etre la rationalisation des coûts, puisque les organisations n'effectuent plus la gestion ou l'entretien des biens de technologie de l'information dans l'environnement infonuagique (les exigences en matière d'entretien et de gestion sont désormais la responsabilité du fournisseur de services infonuagiques). Un autre avantage, c'est que le montant payé dépend de l'évolution des besoins informatiques. Le SCT décrit les avantages des services publics d'informatique en nuage pour le gouvernement de la façon suivante :

Qualité du service améliorée en raison des ressources informatiques adaptables et des niveaux de rendement découlant d'obligations contractuelles;
sécurité solide, puisque les fournisseurs de services infonuagiques offrent des accréditations reconnues à l'échelle internationale qu'une organisation unique aurait de la difficulté à obtenir;
Innovation grâce à la mise en place de nouveaux outils et de nouvelles technologies disponibles par abonnement qui ne nécessitent pas de grand investissement en capital;
Grande souplesse dans l'élaboration des programmes grâce au vaste éventail de ressources et de capacités offertes dans le nuage. ^{Note de bas de page 167}

Les environnements infonuagiques ne sont pas sans risque, toutefois. Les données du gouvernement hébergées dans le nuage pourraient quand même être compromises ou volées, et les activités gouvernementales qui emploient des services infonuagiques pourraient quand même être perturbées par les activités d'une cybermenace. Comme c'est le cas dans les environnements informatiques traditionnels, les services infonuagiques nécessitent des contrôles de sécurité adéquats afin d'atténuer les risques d'atteinte à la vie privée, de perte de données et liés à la continuité des activités. ^{Note de bas de page 168}

115. Depuis 2016, le gouvernement a mis en place une Stratégie sur l'adoption infonuagique en vue de maximiser les avantages et d'atténuer les risques. Le SCT souligne que l'adoption de l'informatique en nuage « aidera [le gouvernement] à maintenir l'excellence des services de la TI [technologie de l'information] durant une période de demande croissante pour des services numériques, et à maintenir un accès en temps opportun à des technologies émergentes. ^{Note de bas de page 169} » La Stratégie se veut également une directive stratégique qui met l'accent sur un certain nombre d'exigences pour les organisations fédérales :

une Stratégie d'adoption « l'infonuagique d'abord » selon laquelle le nuage est l'option retenue pour offrir des services de technologie de l'information et le nuage public com me solution privilégiée pour le déploiement du nuage;
une approche de gestion des risques pour la sécurité, qui sont associés à l'adoption de l'infonuagique, qui assure la protection des données et de la vie privée des Canadiens;
un ensemble de principes pour éclairer les dirigeants principaux de l'information à mesure qu'ils adoptent les services infonuagiques;
une vision permettant l'utilisation de nuages communautaires; plus précisément, un nuage communautaire pour le secteur public canadien, afin de réunir les acheteurs du secteur public canadien avec les fournisseurs de services infonuagiques publics offerts par l'entremise de courtiers et évalués sur le plan de la sécurité par le gouvernement du Canada. ^{Note de bas de page 170}

Cette Stratégie est harmonisée avec l'orientation du Conseil du Trésor incluse dans la Directive sur les services et le numérique et le Plan stratégique des opérations numériques. Ces documents établissent également les buts d'une prestation de service améliorée grâce à l'utilisation de services infonuagiques, et les ministères doivent les déterminer et les évaluer à titre de principale option de prestation de services. ^{Note de bas de page 171}

116. En fonction des exigences selon lesquelles les ministères doivent accorder la priorité aux services infonuagiques, le DPI du Canada a émis l'Orientation sur l'utilisation sécurisée des services commerciaux informatiques en nuage le 1er novembre 2017. Cette orientation permet de veiller à ce que des considérations en matière de sécurité soient intégrées à l'approche d'un ministère grâce à des obligations de politique particulière. ^{Note de bas de page 172} Par exemple, les environnements infonuagiques peuvent seulement être utilisés pour stocker des informations correspondant à une catégorie de sécurité donnée ou à une catégorie inférieure ^{Note de bas de page 173} . Cette orientation s'applique a 110 organisations fédérales. ^{Note de bas de page 174} .

117. Lors de l'acquisition de services d'informatique en nuage, Services partagés Canada (SPC) joue le rôle de courtier pour le gouvernement. Cela signifie que SPC conclut des marchés avec des fournisseurs de services infonuagiques, accrédit leur utilisation à des fins ministérielles et fournit un modèle de libre-service qui permet aux organisations fédérales de gérer leurs ressources infonuagiques. ^{Note de bas de page 175} Néanmoins, les ministères (par l'intermédiaire de leurs administrateurs généraux) demeurent ultimement responsables de la gestion et de la protection de leurs renseignements, y compris dans le nuage, aux termes de la LGFP. Conformément à l'Orientation sur l'utilisation sécurisée des services commerciaux informatiques en nuage, les ministères ont les obligations suivantes :

appliquer des mesures de protection progressives proportionnelles aux risques déterminés;
utiliser l'accréditation d'un tiers pour la conception sécurisée de son espace infonuagique;
effectuer des évaluations de sécurité avant que l'utilisation du service soit autorisée;
appliquer l'orientation distincte visant l'emplacement des données, qui oblige les ministères à stocker les données de nature délicate au Canada ^{Note de bas de page 176} ;
gérer les vulnérabilités touchant les systèmes d'information (p. ex. en éliminant les vulnérabilités);
établir des mécanismes adéquats afin de gérer les incidents en matière de sécurité et d'y répondre ^{Note de bas de page 177}

Pour appuyer davantage la mise en œuvre sécuritaire d'un nuage, un cadre d'opérationnalisation infonuagique (les mesures de sécurité infonuagique) a été établi en 2019 afin de fournir une direction et une orientation additionnelles. Ces mesures de sécurité ont réitéré les exigences énoncées dans l'Orientation sur l'utilisation sécurisée des services commerciaux d'informatique en nuage : Avis de mise en oeuvre de la Politique sur la sécurité, notamment que le SGT peut désactiver l'accès au nuage d'un ministère, si ce ministère ne satisfait pas à ces exigences en matière de sécurité dans les 30 jours qui suivent l'établissement d'un environnement infonuagique. ^{Note de bas de page 178}

118. En bref, la Stratégie d'adoption de l'informatique en nuage et l'orientation connexe sur son utilisation sécurisée visent à établir un équilibre entre les améliorations apportées aux technologies de l'information et les besoins correspondants en matière de cybersécurité et de cyberdéfense.

Plan stratégique des opérations numériques

119. Le troisième instrument de politique fondamental concernant la cyberdéfense est le Plan stratégique des opérations numériques. Établi conformément à la Politique sur les services et le numérique, le Plan stratégique des opérations numériques s'applique à 87 organismes. ^{Note de bas de page 179} De plus, conformément à la Politique sur les services et le numérique, le DPI du Canada doit produire un plan annuel prospectif en matière de technologie de l'information pour l'ensemble du gouvernement. Ces plans stratégiques établissent l'orientation pour les ministères relativement aux priorités en matière de gestion intégrée des services, de l'information, des données, des technologies de l'information et de la cybersécurité. Entre 2016 et 2019, le DPI du Canada a publié trois plans prospectifs : le Plan stratégique de gestion de l'information et de la technologie 2016-2020 du gouvernement du Canada, le Plan stratégique de gestion de l'information et de la technologie de l'information 2017-2021 et le Plan stratégique des opérations numériques 2018-2022 en vigueur. En raison de la pandémie, le DPI du Canada n'a pas préparé de plan en 2020, mais il a l'intention de publier une version pour la période allant de 2021 à 2024.

120. Le Plan stratégique des opérations numériques 2018-2022 s'appuie sur les deux versions antérieures. Il réitère l'énoncé de vision selon lequel le « gouvernement du Canada est une organisation ouverte et axée sur le service qui exploite et offre des programmes et des services aux particuliers et aux entreprises de manières simples, modernes et efficaces qui sont optimisées pour la voie numérique et disponibles n'importe quand, n'importe ou et sur n'importe quel appareil ». ^{Note de bas de page 180} Du point de vue de la cyberdéfense et de la cybersécurité, le Plan rend obligatoire l'élaboration d'une approche approfondie à plusieurs niveaux qui utilise des points d'interconnexion fiables (surveillés) offrant une passerelle vers les services infonuagiques. Dans l'ensemble, la Stratégie comprend quatre grandes catégories de mesure ou d'initiatives qui traitent des principales lacunes ou préoccupations en matière de cyberdéfense et de cybersécurité; chacune des catégories a un échéancier différent au sein du calendrier du plan stratégique. ^{Note de bas de page 181}

121. La première catégorie générale vise à renforcer la consolidation, la connectivité et la sécurité du réseau. Pendant qu'il effectue la consolidation de l'accès au réseau à des points de connexion externes dignes de confiance, le gouvernement veille à la protection adéquate de son périmètre de technologies de l'information. Dans le cadre de ces efforts, SPC réduira le nombre de connexions à Internet. De plus, Il effectuera le regroupement de 50 réseaux étendus existants des partenaires de SPC dans un réseau organisationnel unique. De même, SPC effectuera la migration de 61 ministères et organismes qui n'utilisent pas le Service Internet d'entreprise de SPC vers le réseau organisationnel géré par SPC (qui utilise les services Internet de SPC exclusivement et bénéficie de la protection des mesures de cyberdéfense *** du CST), pour un total de 104 ministères d'ici 2024. ^{Note de bas de page 182} Dans le cadre de la Stratégie d'adoption de l'informatique en nuage, le gouvernement mettra en place des connexions réseau dédiées avec les fournisseurs de services infonuagiques. Cela permettra d'assurer des canaux de communication sécurisés pour les données du gouvernement. De plus, le SCT, le CST et SPC établissent d'autres points d'interconnexion fiable entre le réseau du gouvernement et les partenaires externes. En définitive, ces mesures visent à consolider le périmètre du gouvernement en réduisant le nombre de points de contact externes, n'incluant qu'un nombre limité de connexions dignes de confiance et sores.

122. La deuxième grande catégorie d'initiative vise à protéger les dispositifs de points d'extrémité. Les dispositifs de points d'extrémité comprennent normalement les ordinateurs portables, les ordinateurs de bureau, les téléphones intelligents, les tablettes et les serveurs, ou les biens de technologie de l'information utilisés par les employés du gouvernement. En consultation avec le SCT et le CST, SPC élaborera des procédures normalisées visant à configurer de façon sécurisée les systèmes d'exploitation et les applications des dispositifs de points d'extrémité. Cela comprend deux éléments clés : la mise en place d'un système de prévention des intrusions aux points d'extrémité afin d'automatiser la collecte de renseignements permettant de déceler toute activité malveillante et de prévenir la compromission du dispositif; et l'établissement de contrôles pour accéder aux applications qui permettront aux administrateurs de système de déterminer et d'exécuter les programmes permis. Les initiatives comprises dans cette catégorie appuieront également la mise en œuvre d'outils et de processus qui surveilleront en temps réel l'état et la configuration des dispositifs de points d'extrémité (p. ex. l'état des versions du matériel et du logiciel, la version des systèmes d'exploitation et de l'installation de rustines). Cette capacité permettra de compléter les capteurs de systèmes hôtes du CST (voir les paragraphes 198 à 200), de faciliter la compréhension des dispositifs des points d'extrémité et d'accroître la vitesse et la capacité du gouvernement en ce qui concerne la correction des vulnérabilités des dispositifs de points d'extrémité touchant l'ensemble de l'organisation. On prévoit déterminer cette initiative en 2024. ^{Note de bas de page 183}

123. La troisième catégorie d'initiatives améliorera le contrôle des accès et le développement des applications. Ces améliorations concernent principalement les comptes pour les administrateurs de systèmes de technologie de l'information qui ont un accès privilégié aux systèmes de technologie de l'information ministériels. En 2019, le SCT, SPC et les ministères ont renforcé la gestion et le contrôle des privilèges administratifs afin d'empêcher l'utilisation à mauvais escient d'un compte ayant des privilèges accrus et pour s'assurer que ses comptes sont gérés, contrôlés et surveillés adéquatement. A l'avenir, le SCT améliorera la conception d'applications sécurisées en établissant un cadre de sécurité des applications. Les ministères mettront en œuvre ce cadre lorsqu'ils créeront et mettront en œuvre des services numériques. L'approche du gouvernement vise à assurer que la sécurité est un élément clé de la conception des applications dès le départ. Il s'agit d'une question permanente qui n'a pas d'achèvement.

124. La quatrième catégorie générale vise à accroître la sensibilisation aux cybermenaces et aux risques pour les systèmes et les réseaux du gouvernement. Comme les autres mesures comprises dans le Plan stratégique des opérations numériques, cet ensemble d'initiatives vise à accroître la sensibilisation aux risques et aux menaces cybernétiques grâce à une gouvernance et à une formation améliorées tout en renforçant la capacité du gouvernement à intervenir en cas d'incident cybernétique. Conformément aux améliorations susmentionnées permettant de voir en temps réel et de façon centralisée les dispositifs de points d'extrémité, le SCT propose de mettre en place une capacité centralisée pour mener des activités de gouvernance et de gestion du risque et de la conformité. Cela permettra de mieux connaître l'environnement général de technologie opérationnelle et facilitera la détermination de la surface d'attaque et des secteurs vulnérables dans l'ensemble du système. A l'heure actuelle, le SCT n'a pas fixé d'échéance pour ce projet. Par ailleurs, le SCT et le CST élaboreront un cadre de divulgation des vulnérabilités du gouvernement qui permettra de cerner et d'atténuer rapidement les vulnérabilités. Sur le plan de la formation, le Centre canadien pour la cybersécurité (CCC) fera la promotion d'une approche pangouvernementale qui améliorera la cybersécurité de tous les employés. Ces efforts aideront à veiller à ce que tous les utilisateurs du système contribuent à la sécurité et à l'intégrité du système. Enfin, le SCT mettra à jour le Plan de gestion des événements de cybersécurité du gouvernement du Canada (voir les paragraphes 224 a 236), ou l'on décrit « les intervenants et les mesures nécessaires pour veiller ace que les événements de cybersécurité soient traités de façon uniforme, coordonnée et rapide ». ^{Note de bas de page 184}

Résumé

125. Le Conseil du Trésor et le SCT jouent un rôle crucial pour assurer l'administration et la gestion adéquates du gouvernement. En ce qui concerne la cybersécurité et la cyberdéfense, le Conseil du Trésor prescrit des politiques et des directives que suivent la plupart (mais pas toutes) des organisations gouvernementales pour veiller à l'intégrité et à la sécurité de leurs biens de technologie de l'information et de ceux du gouvernement, à plus grande échelle. Quant aux différents ministères, ils sont ultimement responsables de l'assurance de la cybersécurité au sein de leur organisation et de la protection de l'information et des biens numériques. Selon ce modèle de responsabilité partagée, SPC et le CST jouent également des rôles cruciaux en offrant du soutien aux ministères pour qu'ils puissent respecter leurs obligations. Le Comité discute de ces organisations dans la section à venir.

Notes de bas de page

Note de bas de page 139

Loi sur la gestion des finances publiques, L.R.C. (1985), ch. F-11, https://laws-lois.justice.gc.ca/fra/lois/f-11/ et SCT, examen de la cyberdéfense : séance d'information à l'intention du CPSNR, comparution devant le CPSNR, 27 novembre 2020.

Retour à la référence de la note de bas de page 139

Note de bas de page 140

SCT, mot du DPI du Canada, comparution devant le CPSNR, 27 novembre 2020; SCT « NSICOP Review - TBS Comments on Draft Final Report(9-July-2021) », p. 2, 9 juillet 2021; et SCT, Politique sur les services et le numérique, 1^er avril 2020, https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=32603

Retour à la référence de la note de bas de page 140

Note de bas de page 141

SCT, Infobase du GC, Répertoire des organisations et intérêts fédéraux, 16 juin 2021, https://www.tbs-sct.gc.ca/ems-sgd/edb-bdd/index-fra.html#igoc/instc_form

Retour à la référence de la note de bas de page 141

Note de bas de page 142

Les neuf organisations sont la Banque du Canada, le Conseil des arts du Canada, l'Office d'investissement du régime de pensions du Canada, la Société Radio-Canada, la Fondation canadienne des relations raciales, le Centre de recherches pour le développement international, la Société du Centre national des Arts, l'Office d'investissement des régimes de pensions du secteur public et Téléfilm Canada.

Retour à la référence de la note de bas de page 142

Note de bas de page 143

L'information utilisée pour décrire les six annexes provient du SCT, Aperçu des organisations et intérêts fédéraux, 16 août 2016, https://www.canada.ca/fr/secretariat-conseil-tresor/services/etablissement-rapports-depenses/inventaire-organisations-qouvernement/apercu-types-institutions-definitions.html; et la Loi sur la gestion des finances publiques, L.R.C. (1985), ch. F-11, https://laws-lois.justice.gc.ca/fra/lois/f-11/.

Retour à la référence de la note de bas de page 143

Note de bas de page 144

Cette dernière catégorie comprend les commissions d'enquête créées en vertu de la Loi sur les enquêtes; le personnel de la Chambre des communes, du Sénat et de la Bibliothèque du Parlement; le Bureau du conseiller sénatorial en éthique, le Commissariat Aux Conflits d'intérêts et à l'éthique, le Bureau du directeur parlementaire du budget et le service de protection parlementaire. Loi sur la gestion des finances publiques, L.R.C. (1985), ch. F-11, https://laws-lois.justice.gc.ca/fra/lois/f-11/.

Retour à la référence de la note de bas de page 144

Note de bas de page 145

SCT, Aperçu des organisations et intérêts fédéraux, 16 août 2016, https://www.canada.ca/fr/secretariat-conseil-tresor/services/etablissement-rapports-depenses/inventaire-organisations-gouvernement/apercu-types-institutions-definitions.html.

Retour à la référence de la note de bas de page 145

Note de bas de page 146

SCT, « Cyber Defence Review: Briefing for National Security and Intelligence Committee of Parliamentarians », présentation, comparution devant le CPSNR, 27 novembre 2020.

Retour à la référence de la note de bas de page 146

Note de bas de page 147

Conseil du Trésor, « Cadre stratégique sur la gestion de la conformité », 2009, http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=17151

Retour à la référence de la note de bas de page 147

Note de bas de page 148

SGT, Mot du DPI du Canada, comparution devant le CPSNR, 27 novembre 2020.

Retour à la référence de la note de bas de page 148

Note de bas de page 149

SGT, Politique sur la sécurité du gouvernement, 1^er juillet 2019, https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=16578

Retour à la référence de la note de bas de page 149

Note de bas de page 150

La Politique sur la sécurité du gouvernement s'applique aux organismes énumérés aux annexes I, I.1 (colonne I), II, IV et V de la LGFP.

Retour à la référence de la note de bas de page 150

Note de bas de page 151

SCT, Politique sur la sécurité du gouvernement, 1^er juillet 2019, https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=16578; et SCT, Mandat: Implications pour le SCT et Méthode de collecte, 31 août 2020.

Retour à la référence de la note de bas de page 151

Note de bas de page 152

Le contenu des quatre puces provient du SCT, Politique sur la sécurité du gouvernement, 1^er juillet 2019, https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=16578.

Retour à la référence de la note de bas de page 152

Note de bas de page 153

SCT, Directive sur la gestion de la sécurité, 1^er juillet 2019, https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=32611.

Retour à la référence de la note de bas de page 153

Note de bas de page 154

Pour en savoir davantage, voir la Directive sur la gestion de la sécurité et ses outils de soutien : https://www.tbs-sct.gc.ca/pol/doc-fra.spx?id=32611.

Retour à la référence de la note de bas de page 154

Note de bas de page 155

La Politique sur les services et le numérique est mise en œuvre en vertu de l'article 7 de la LGFP, comme on l'a mentionné auparavant, et l'article 31 de la Loi sur l'emploi dans la fonction publique (LEFP). Le pouvoir de mettre en œuvre la Politique en vertu de la LEFP découle du pouvoir du Conseil du Trésor en qualité d'employeur du gouvernement d'établir les normes en matière de qualification qu'il juge nécessaire pour le travail à accomplir en lien avec la Politique.

Retour à la référence de la note de bas de page 155

Note de bas de page 156

SGT, Politique sur les services et le numérique, 2 août 2020, https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=32603

Retour à la référence de la note de bas de page 156

Note de bas de page 157

Les politiques et directives remplacées sont le Cadre stratégique pour l'information et la technologie, la Politique sur la gestion des technologies de l'information, la Politique sur la gestion de l'information , la Politique sur les services, la Politique sur l'utilisation acceptable des dispositifs et des réseaux, la Directive sur la gestion des technologies de l'information, la Directive sur les rôles et responsabilités en matière de gestion de l'information et la Directive sur la tenue des documents.

Retour à la référence de la note de bas de page 157

Note de bas de page 158

La Politique sur les services et le numérique s'applique aux organismes énumérés aux annexes I, I.1 (colonne I) et II de la LGFP.

Retour à la référence de la note de bas de page 158

Note de bas de page 159

SCT, « Deputy Minister Committee on Enterprise Priorities and Planning Terms of Reference », sans date.

Retour à la référence de la note de bas de page 159

Note de bas de page 160

SCT, Politique sur les services et le numérique, 2 août 2020, https://www.tbs-sct.qc.ca/pol/doc-fra.aspx?id=32603.

Retour à la référence de la note de bas de page 160

Note de bas de page 161

SCT, Ligne directrice sur les services et le numérique, 3 février 2021, https://canada.ca/fr/gouvernement/systeme/gouvernement-numerique/ligne-directrice-services-numerique.html.

Retour à la référence de la note de bas de page 161

Note de bas de page 162

SCT, Ligne directrice sur les services et le numérique, 3 février 2021 https://canada.ca/fr/gouvernement/systeme/gouvernement-numerique/ligne-directrice-services-numerique.html; et SCT, « Designated Officials for Cyber Security (DOCS): #SecureGCDigital Forum », présentation, 25 février 2021. La définition du terme « événement » provient du SCT, Politique sur la sécurité du gouvernement, 1^er juillet 2019, https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=16578.

Retour à la référence de la note de bas de page 162

Note de bas de page 163

SCT, Orientation sur l'utilisation sécurisée des services commerciaux d'informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité, 28 juillet 2020, https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/innovations-gouvernementales-numeriques/services-informatique-nuage/orientation-utilisation-securisee-services-commerciaux-informatique-nuage-amops.html.

Retour à la référence de la note de bas de page 163

Note de bas de page 164

SCT, Stratégie d'adoption de l'informatique en nuage du gouvernement du Canada : mise a jour de 2018, 28 juillet 2020, https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/innovations-gouvernementales-numeriques/services-informatique-nuage/strategie-adoption-information-nuage-gouvernement-canada.html.

Retour à la référence de la note de bas de page 164

Note de bas de page 165

Microsoft, « What are public, private and hybrid clouds? », sans date, https://azure.microsoft.com/fr-ca/overview/what-are-private-public-hybrid-clouds/

Retour à la référence de la note de bas de page 165

Note de bas de page 166

Microsoft, « What are public, private and hybrid clouds? », sans date, https://azure.microsoft.com/fr-ca/overview/what-are-private-public-hybrid-clouds/

Retour à la référence de la note de bas de page 166

Note de bas de page 167

SCT, Stratégie d'adoption de l'informatique en nuage du gouvernement du Canada : mise à jour de 2018, 28 juillet 2020, https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/innovations-gouvernementales-numeriques/services-informatique-nuage/strategie-adoption-information-nuage-gouvernement-canada.html

Retour à la référence de la note de bas de page 167

Note de bas de page 168

CST, « Avantage et risques liés à l'adoption des services fondés sur l'infonuagique pour votre organisation (ITSE.50.060) », 21 avril 2020, https://cyber.gc.ca/fr/orientation/avantages-et-risques-lies-ladoption-des-services-fondes-sur-linfonuagique-par-votre; et SCT, Orientation sur l'utilisation sécurisée des services commerciaux d'informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité, 28 juillet 2020, https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/innovations-gouvernementales-numeriques/services-informatique-nuage/orientation-utilisation-securisee-services-commerciaux-informatique-nuage-amops.html

Retour à la référence de la note de bas de page 168

Note de bas de page 169

SGT, Stratégie d'adoption de l'informatique en nuage du gouvernement du Canada : mise à jour de 2018, 28 juillet 2020, https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/innovations-gouvernementales-numeriques/services-informatique-nuage/strategie-adoption-information-nuage-gouvernement-canada.html

Retour à la référence de la note de bas de page 169

Note de bas de page 170

Retour à la référence de la note de bas de page 170

Note de bas de page 171

Voir le paragraphe 4.4.3.9 de la Directive sur les services et le numérique; et « Migration de la charge de travail et adoption de l'informatique en nuage », Plan stratégique des opérations numériques de 2018 à 2022.

Retour à la référence de la note de bas de page 171

Note de bas de page 172

SCT, « Orientation sur l'utilisation sécurisée des services commerciaux d'informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité », 28 juillet 2020, https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/innovations-gouvernementales-numeriques/services-informatique-nuage/orientation-utilisation-securisee-services-commerciaux-informatique-nuage-amops.html

Retour à la référence de la note de bas de page 172

Note de bas de page 173

Le gouvernement classe les informations en fonction du type de préjudice qui découlerait sa divulgation non autorisée. Le niveau de classification le plus élevé pouvant être utilisé sur le nuage est Protégé B, et il s'applique à des informations « dont la divulgation non autorisée pourrait vraisemblablement causé un préjudice grave à des intérêts autres que l'intérêt national, par exemple, la perte de réputation ou d'un avantage concurrentiel ». Pour obtenir des renseignements sur d'autres catégories de sécurité, voir SCT, « Directive sur la gestion de la sécurité - Annexe J : Norme sur la catégorisation de sécurité », 1^er juillet 2019, https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=32614

Retour à la référence de la note de bas de page 173

Note de bas de page 174

L'Orientation sur l'utilisation sécurisée des services commerciaux d'informatique en nuage s'applique à tous les ministères inclus dans les annexes I, I.1, II, IV et V de la LGFP.

Retour à la référence de la note de bas de page 174

Note de bas de page 175

SCT, « Stratégie d'adoption de l'informatique en nuage du gouvernement du Canada : mise à jour de 2018 », 28 juillet 2020. https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/innovations-gouvernementales-numeriques/services-informatique-nuage/strategie-adoption-information-nuage-gouvernement-canada.html; et SCT, « Orientation sur l'utilisation sécurisée des services commerciaux d'informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité », 28 juillet 2020, https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/innovations-gouvernementales-numeriques/services-informatique-nuage/orientation-utilisation-securisee-services-commerciaux-informatique-nuage-amops.html

Retour à la référence de la note de bas de page 175

Note de bas de page 176

L'Orientation relative à la résidence des données électroniques : Avis de mise en œuvre de la Politique sur la technologie de l'information a été mise en œuvre le 13 mars 2018 et donne des directives aux ministères et aux organismes en ce qui concerne le contrôle, l'accès et la détention des données électroniques du gouvernement. L'exigence selon laquelle « l'emplacement des données » doit être le Canada vise à assurer un accès continua ces données, a protéger ses données au moyen des lois canadiennes sur la protection de la vie privée, à protéger les renseignements de nature délicate dans l'intérêt de la sécurité nationale et d'appuyer des interventions plus rapides en cas de compromission des données. SCT, « Orientation relative à la résidence des données électroniques : Avis de mise en œuvre de la politique sur la technologie de l'information », 13 mars 2018, https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/innovations-gouvernementales-numerigues/services-informatique-nuage/orientation-relative-residence-donnees-electroniques.html

Retour à la référence de la note de bas de page 176

Note de bas de page 177

Retour à la référence de la note de bas de page 177

Note de bas de page 178

SCT, DPI du Canada, comparution devant le CPSNR, 27 novembre 2020; et SCT, « NSICOP Review - TBS Comments on Draft Final Report (9-July-2021) », p. 3, 9 juillet 2021 . Voir aussi « Government of Canada Cloud Guardrails » qui fait partie du « Cloud Operationalization Framework » au https://github.com/canada-ca/cloud-guardrails

Retour à la référence de la note de bas de page 178

Note de bas de page 179

Comme on l'a mentionné, la Politique sur les services et le numérique s'applique aux organismes inclus dans les annexes I, I.1 , et II de la LGFP.

Retour à la référence de la note de bas de page 179

Note de bas de page 180

SCT, « Plan stratégique des opérations numériques 2018 à 2022 », 29 mars 2019, https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/plans-strategiques-operations-numeriques-gouvernement-canada/plan-strategique-operations-numerique-2018-2022.html.

Retour à la référence de la note de bas de page 180

Note de bas de page 181

Les quatre prochains paragraphes résument les principales initiatives découlant du Plan stratégique des opérations numériques. Pour obtenir des renseignements additionnels, voir SCT, Plan stratégique des opérations numériques de 2018 à 2022, 29 mars 2019, https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/plans-strategiques-operations-numeriques-gouvernement-canada/plan-strategique-operations-numerique-2018-2022.html. Voir également les paragraphes 142 a 147, qui fournissent des précisions sur les projets de cybersécurité de SPC, dont bon nombre appuient les initiatives décrites ici.

Retour à la référence de la note de bas de page 181

Note de bas de page 182

Pour en savoir plus long sur le Service Internet d'entreprise de SPC, voir les paragraphes 139 à 141 et 149 à 150. Pour en savoir plus long sur les efforts déployés par SPC afin d'accroître le nombre de ministères qui utilisent le service (projet relatif aux petits ministères et organismes), voir le paragraphe 151.

Retour à la référence de la note de bas de page 182

Note de bas de page 183