Partie III : intervenants, autorités et activités clés en matière de cyberdéfense
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques

Services partagés Canada

126. Services partagés Canada (SPC) est le deuxième membre du groupe tripartite sur la sécurité des technologies de l'information. SPC veille à ce que l'infrastructure de la technologie de l'information du gouvernement du Canada protège les biens technologiques du gouvernement et les données en sa possession. Note de bas de page 185 La prochaine section traite de l'évolution du mandat de SPC, des services et des projets clés du SPC visant à renforcer la posture de cybersécurité générale du gouvernement et ceux se rapportant plus particulièrement à la cyberdéfense, ainsi que des partenaires et clients de SPC.

Mandat de SPC

127. Avant 2011, les ministères étaient considérés comme isolés en ce qui a trait à leurs propres exigences en matière de technologie de l'information. Par conséquent, l'uniformisation entre eux était presque absente : les ministères étaient chacun responsables de l'acquisition et de la gestion de leur infrastructure de technologie de l'information, des ordinateurs et appareils, et de la protection de leurs biens électroniques. Note de bas de page 186 SPC a été créé en 2011 afin de changer fondamentalement cette approche. Le préambule de la Loi sur Services partagés Canada (Loi sur SPC) énonce comme objectif « uniformiser et regrouper, au sein d'une même entité de services partagés, certains services administratifs à l'appui des institutions fédérales; qu'il sera ainsi possible de fournir ces services plus efficacement et d'utiliser les fonds publics de façon optimale Note de bas de page 187  ». En pratique, Il s'agit de regrouper la prestation des services de courriel, de centre de données et de réseau vers un groupe central de ministères partenaires et de coordonner l'achat et la fourniture d'équipement de technologie de l'information pour le gouvernement. Note de bas de page 188 Même si on estimait au départ que cette consolidation allait être une mesure permettant de couper dans les dépenses, l'étendue des changements requis a nécessité des investissements considérables dans les années qui ont suivi. Note de bas de page 189

128. Les pouvoirs sur lesquels se fonde SPC ont évolué. SPC a été créé par décret en 2011. Le ministère a ensuite été fondé dans la loi le 29 juin 2012, lorsque la Loi sur SPC a reçu la sanction royale. La Loi sur SPC permet à un ministre d'être désigné comme le responsable de SPC - a l'heure actuelle, le ministre responsable est le ministre d'État (gouvernement numérique) Note de bas de page 190  - et donne au ministre le pouvoir de coordonner les services de télécommunications pour les ministères et organismes. SPC doit:

  • déterminer et fournir des solutions et les services habituels de la technologie de l'information dans l'ensemble des organisations gouvernementales;
  • planifier et élaborer des services consolidés, standardisés et axes vers l'avenir pour répondre aux besoins des ministères partenaires et clients;
  • gérer et maintenir l'infrastructure de technologie de l'information actuelle, y compris tous les services permanents et le soutien de maintenance nécessaires;
  • fournir les biens et les services assurant la prestation des services de technologie de l'information habituels aux ministères partenaires et clients;
  • appuyer la gestion de l'information et la sécurité des technologies de l'information à l'échelle du gouvernement en partenariat avec le Centre de la sécurité des télécommunications (CST), y compris le Centre canadien pour la cybersécurité (CCC), et d'autres partenaires de la sécurité du gouvernement. Note de bas de page 191

129. Au total, le gouvernement a fait passer 21 décrets pour modifier le mandat de SPC, nommer les présidents de l'organisation et augmenter le nombre d'organisations auxquelles SPC doit fournir des services ou pour lesquelles SPC doit intervenir pour fournir de l'équipement et des services. Note de bas de page 192 Des 21 décrets, quatre sont particulièrement pertinents pour l'examen.

  • En 2011, le gouvernement a promulgué deux décrets qui ont transféré six unités liées à la technologie de l'information de l'ancien Travaux publics et Services gouvernementaux Canada Note de bas de page 193 , ainsi que les unités de services de courriel, de centre de données et de réseau de 42 ministères a SPC, créant ainsi les 43 « partenaires » principaux de SPC. Note de bas de page 194
  • En 2012, le gouvernement a fait passer un décret qui a circonscrit le mandat de SPC en stipulant qu'il ne fournirait pas de services de courriel, de centre de données ou de réseau à un ministère autorisé à traiter des renseignements Très secret ou lorsque quatre organisations précises se servaient de systèmes particuliers pour opérer des navires, des aéronefs ou des véhicules ou pour soutenir des opérations dans les domaines de la défense nationale, de la sécurité nationale ou de la sécurité publique. Note de bas de page 195 En 2015, le gouvernement a fait passer un décret pour élargir le mandat de SPC au-delà des 43 partenaires principaux du départ afin d'inclure 40 « clients obligatoires » qui recevraient un sous-ensemble de services liés aux services de courriel, de centres de données et de réseau sur un principe de recouvrement des coûts. Le décret a aussi augmenté le nombre d'organisations gouvernementales qui devaient se procurer les appareils pour utilisateurs (comme les ordinateurs de bureau et les imprimantes) auprès de SPC, et a Créé une catégorie de « clients facultatifs » qui peuvent obtenir des services de SPC sur un principe de recouvrement des coûts (la définition comprenait les sociétés d'État et d'autres paliers de gouvernement). Note de bas de page 196

130. En somme, la promulgation périodique de décrets a établi le mandat et la composition des clients du SPC et a précisé sa prestation de services relativement aux courriels, aux centres de données et aux réseaux, et la fourniture de dispositifs de technologie en milieu de travail pour les utilisateurs. A l'heure actuelle, SPC fournit ses services en partie ou intégralement à 160 des 169 organisations fédérales (le Comité explore plus loin la question des ministères en question). Voir le Tableau 1 pour obtenir un aperçu de la division des responsabilités entre SPC et chaque ministère.

Tableau 1 : Distribution des responsabilités et secteurs de service pour les services de technologie de l'information du gouvernement du Canada Note de bas de page 197
Responsabilité Courriels, centres de données et réseaux Appareils finaux Applications
Gestion et prestation de service Services partagés Canada (obligatoire ou facultatif pour certains ministères comme précisé dans les décrets) Ministères Ministères
Approvisionnement Services partagés Canada (obligatoire ou facultatif pour certains ministères comme précisé dans les décrets) Services partagés Canada Services publics et Approvisionnement Canada
Établissement de politiques et de normes Secrétariat du Conseil du Trésor du Canada Secrétariat du Conseil du Trésor du Canada Secrétariat du Conseil du Trésor du Canada

Services et projets de SPC

131. SPC joue un rôle fondamental dans la protection des biens et de l'information numériques du gouvernement. Sa prestation de services de courriels, de réseau et de centre de données signifie qu'il fournit l'infrastructure qui héberge et transporte l'information importante appartenant aux Canadiens et au gouvernement. L'infrastructure soutient la prestation des programmes gouvernementaux, et les Canadiens comptent sur un service constant et fiable de ces programmes et en dépendent. La menace incessante de cyberattaque contre cette infrastructure signifie que la cybersécurité comporte un risque considérable. En effet, si les contrôle de sécurité techniques ou opérationnels sont inadéquats, ou si les vulnérabilités en matière de sécurité ne sont pas traitées, les systèmes du gouvernement restent vulnérables aux cyberactivités malveillantes. Note de bas de page 198 Comme l'indique SPC, la sécurité de l'infrastructure de la technologie de l'information du gouvernement est donc « cruciale Note de bas de page 199  ».

132. Le Comité considère que l'exercice des responsabilités de SPC est réparti en deux grandes catégories. La première est la protection continue des biens et des communications numériques du gouvernement grâce à la gestion appropriée des technologies de l'information (services de SPC). La deuxième est la mise en œuvre d'un plan d'infrastructure en matière de technologie de l'information qui s'applique a l'ensemble du gouvernement et qui vise a mieux protéger les systèmes gouvernementaux contre les menaces à la sécurité (projets de SPC). Note de bas de page 200 Le Comité aborde chaque point l'un après l'autre.

Cyberdéfense et services de SPC

133. La taille, la fonction et le mandat des réseaux et des données que SPC doit protéger varient grandement. Ces différences traduisent bien la variabilité dans la prestation de programmes et de services gouvernementaux. Certaines organisations possèdent peu de renseignements sensibles sur leurs réseaux et font donc face a relativement peu de menaces à la sécurité, tandis que d'autres conservent beaucoup de renseignements sensibles et sont confrontées à des menaces considérablement plus grandes. Note de bas de page 201 Pour répondre à ces menaces et ainsi repérer les acteurs malveillants et les empêcher d'accéder aux réseaux gouvernementaux, SPC utilise une série de mesures de cybersécurité, y compris des services de coupe-feu, d'antivirus et d'anti maliciel, ainsi que des outils d'identification et d'authentification. Note de bas de page 202 SPC est responsable de l'infrastructure du réseau Secret du gouvernement et collabore avec le CCC pour gérer le périmètre du réseau du gouvernement en exerçant une surveillance de sécurité spécialisée des points d'accès Internet (voir la section « Le Centre de la sécurité des télécommunications ») qui ont amélioré la capacité du gouvernement de repérer et de prévenir les cyberactivités malveillantes. Note de bas de page 203 Au total, SPC offre à ses partenaires et clients 34 différents services qui sont regroupés dans cinq catégories comportant au moins un service qui se rapporte au rôle de SPC dans la défense des réseaux gouvernementaux contre les cyberattaques. Les prochains paragraphes décrivent brièvement chacun des services et leur applicabilité à la cyberdéfense.

Services numériques

134. Les services numériques sont la plus grande catégorie de services qu'offre SPC. Des 12 services de ce domaine, quatre jouent un rôle dans la cyberdéfense. Les deux premiers sont la fourniture de comptes de courriels pour les employés du gouvernement et leur accès à distance au moyen de connexions sécurisées au réseau. Ces deux services sont assujettis aux contrôles de gestion de l'identité et des justificatifs d'identité, et surveillés en vue de la détection de virus et de pourriels. Le troisième service est la fourniture d'appareils mobiles (téléphones cellulaires) pour la connectivité téléphonique, courriel et internet. Note de bas de page 204 Le quatrième service est un système de validation de l'identité en vue d'assurer un contrôle et une gestion synchronisés et à l'échelle du système des justificatifs d'identité de l'utilisateur pour fournir un accès aux systèmes gouvernementaux et à l'information se trouvant sur les nuages et sur les réseaux habituels « sur place ». Note de bas de page 205

Services de sécurité

135. Les services de sécurité de SPC authentifient les personnes afin qu'elles accèdent aux services et aux comptes gouvernementaux, sur les réseaux gouvernementaux internes et externes. Trois éléments de ce secteur de service se rapportent à la défense des réseaux gouvernementaux :

  • Gestion interne des justificatifs d'identité : SPC gère l'infrastructure à clé publique qui facilite l'authentification de l'accès sécurisé aux applications et aux réseaux gouvernementaux. Note de bas de page 206 Le service permet aux utilisateurs de s'envoyer des courriels chiffres jusqu'à un certain niveau de classification et d'accéder de façon sécuritaire aux applications qui traitent des renseignements personnels sensibles (comme l'information sur la paie). Note de bas de page 207
  • Gestion de l'accès sécurisé à distance : Ce service utilise l'infrastructure à clé publique (ci-dessus) pour que les utilisateurs transmettent et reçoivent de l'information de façon sécurisée à partir de postes de travail à distance tout en maintenant la disponibilité, la confidentialité et l'intégrité des données. Note de bas de page 208
  • Gestion externe des justificatifs d'identité : SPC gère une infrastructure à clé publique qui fournit un service de cyberauthentification standardisé aux Canadiens, aux entreprises et à d'autres personnes afin de permettre des opérations en ligne sécurisées avec différents programmes et services gouvernementaux. Note de bas de page 209 Ce service est obligatoire pour les ministères et organismes. Note de bas de page 210

Services de matériel et de logiciel

136. SPC offre aux ministères des choix d'approvisionnement pour les appareils comme les ordinateurs et l'équipement d'impression, ainsi qu'un éventail de logiciels, y compris pour la connectivité, les appareils individuels et les besoins en matière de sécurité. Les services qui se rapportent à la cyberdéfense comprennent les suivants.

  • Approvisionnement et fourniture de matériel : SPC fournit des appareils de technologie en milieu de travail (matériel) pour ses partenaires et clients, y compris des ordinateurs de bureau, des ordinateurs portatifs et des tablettes. Note de bas de page 211
  • Approvisionnement et fourniture de logiciel : SPC fournit des logiciels à ses partenaires et clients pour des appareils (com me des systèmes d'exploitation), des services (com me la configuration d'un logiciel de bureau), la connectivité (com me des services d'impression), la productivité (com me des navigateurs Web) et la sécurité (comme l'authentification des utilisateurs). Note de bas de page 212

137. Tous les services d'approvisionnement en matériel et logiciels sont assujettis à la Norme d'intégrité de la chaîne d'approvisionnement de SPC. Cette norme vise à définir et à évaluer tout processus d'approvisionnement qui « pourrait être compromi[s] ou utilis[é] pour compromettre la sécurité de l'équipement, des logiciels, des services ou de l'information du Canada » et à veiller à ce que le matériel et les logiciels demandes fassent l'objet d'une évaluation de sécurité (notamment par une communication avec le CST), que les contrats soient vérifiés et que les éléments définis com me représentant un risque élevé puissent être évités, rappelés ou retirés des systèmes du gouvernement. Note de bas de page 213

Services de centre de données

138. SPC offre neuf services de centre de données. Bien qu'il s'agisse principalement de services d'infrastructure et d'hébergement de bases de données, ce service comprend deux éléments importants pour la cyberdéfense.

  • Service de courtage infonuagique : Conformément à l'Orientation sur l'utilisation sécurisée des services commerciaux d'informatique en nuage de 2017 du Conseil du Trésor, SPC fournit un service de courtage aux ministères en vue de cerner les fournisseurs de services d'infonuagique appropriés avec lesquels SPC a conclu des contrats. SPC fournit ce service a ses 43 partenaires, a ses 23 clients obligatoires et à ses 15 clients facultatifs. Note de bas de page 214
  • Infrastructure secrète du gouvernement du Canada : SPC gère et entretient cette infrastructure afin de permettre la création, le traitement, l'entreposage et la communication d'information classifiée au niveau Secret. Ce service utilise le réseau étendu du gouvernement pour transmettre des données chiffrées entre les utilisateurs et les ministères. Les risques de la protection de l'information plus sensible de niveau Secret sont partagés entre SPC et le ministère ou l'organisme client; SPC est responsable du maintien de l'intégrité, de l'assurance et de l'efficacité des contrôle de sécurité pour les utilisateurs approuvés, et les ministères sont responsables de gérer l'accès des utilisateurs à leurs applications et données 215. Note de bas de page 215

Services de réseau

139. Les services de réseau de SPC comprennent la fourniture de Wi-Fi, de services Internet et de connectivité satellite. Les services de réseau comportent huit éléments, dont les deux suivants sont essentiels au cadre de cyberdéfense du gouvernement.

  • Réseau étendu du gouvernement du Canada (RE du GC) : Le RE du GC est un service de réseau entièrement administré qui relie les locaux des partenaires ou des clients à l'échelle métropolitaine, régionale, nationale et internationale. Il connecte les utilisateurs et les ordinateurs entre eux et à Internet, et Il soutient les communications vocales et vidéo et la communication de données en simultané, ainsi que la transmission d'information classifiée au moyen de méthodes de chiffrement appropriées. Les services du RE du GC sont jumelés à une surveillance de sécurité et à des protocoles de sécurité renforcés (comme des services de connexion et de détection des intrusions). Note de bas de page 216
  • Service Internet d'entreprise : Le Service Internet d'entreprise de SPC fournit une connectivité sécurisée aux utilisateurs du gouvernement pour accéder à Internet et au public pour accéder aux sites Web du gouvernement. SPC fournit le Service Internet d'entreprise a toutes les organisations partenaires et selon un principe de rémunération des services pour ses clients. Le service demande une connexion au RE du GC et donne la protection la plus élevée, en raison de protocoles de sécurité renforcés et de la surveillance de sécurité intégrée fournis par l'intégration des mesures de cyberdéfense *** du CST aux passerelles du Service Internet d'entreprise. Le Comité se penche sur l'avantage de cette intégration dans la discussion sur le CST ci-dessous. Note de bas de page 217

Dans l'ensemble, la création du Service Internet d'entreprise de SPC et son adoption progressive par les ministères ont joué un rôle de base dans le renforcement du cadre de cyberdéfense du gouvernement. Son évolution est décrite ci-dessous.

Connectivité Internet sécurisée: L'évolution vers le Service Internet d'entreprise

140. Les origines du Service Internet d'entreprise de SPC datent de 2002, lorsque le gouvernement a lancé le Réseau de la Voie de communication protégée pour que les organisations fédérales puissent offrir de façon sécurisée leurs services les plus utilisés en ligne. Note de bas de page 218 Le Réseau de la Voie de communication protégée visait à réduire les coûts opérationnels et liés à la maintenance au moyen d'une infrastructure de réseau commune pour le gouvernement qui comprenait un accès à Internet surveillé, protégé et redondant. Note de bas de page 219 En 2006, le Conseil du Trésor a instauré une-directive rendant obligatoire l'utilisation du Réseau de la Voie de communication protégée et, en 2008, 75 ministères y avaient migré. En 2010 et en 2011, la Chine a mené des attaques à grande échelle contre de nombreux ministères, entraînant la perte d'une quantité considérable de données sensibles (voir l'étude de cas 1). En réponse, le dirigeant principal de l'information du Canada a publié à nouveau des directives demandant aux ministères de migrer au Réseau de la Voie de communication protégée pour :

[traduction] réduire les risques auxquels nous faisons tous face en raison du nombre de cyberattaques externes qui ne cessent d'augmenter. L'approche clé pour atténuer ces risques est de réduire le nombre de connexions Internet indépendantes des ministères et de les remplacer par un accès commun solide, hautement performant et très sécurisé pour [le gouvernement]. En diminuant le nombre de points d'accès Internet-et en protégeant ces points-on réduit le risque de sécurité global [de technologie de l'information] pour le gouvernement, ce qui facilite la prévention et la lutte contre les attaques visant à perturber nos opérations ou à voler de l'information sensible ou des renseignements personnels. Note de bas de page 220

En 2012, le nombre de ministères utilisant le Réseau de la Voie de communication protégée était passé de 75 à 87. Note de bas de page 221 .

Partenaires et clients de SPC

141. En 2015, le Réseau de la Voie de communication protégée est devenu le Service Internet d'entreprise et le nombre de ministères qui l'utilisent est passé à 90. Tous les partenaires principaux de SPC sont passés au Service Internet d'entreprise (à l'exception du ministère de la Défense nationale, qui migrera en 2021-2022), comme de nombreux clients obligatoires et des clients facultatifs de SPC. Note de bas de page 222 Cependant, l'adoption du Service Internet d'entreprise à l'échelle du gouvernement demeure un défi. En 2018, le Conseil du Trésor a réitéré sa directive aux ministères de migrer au Service Internet d'entreprise:

Pour gérer les risques pour son réseau, le gouvernement normalise la protection et crée un périmètre pangouvernemental sécurisé qui protégera les données du gouvernement sur place et dans le nuage. Le SCT, le CST et SPC établiront des points d'interconnexion fiables entre le réseau [de base] du gouvernement et les partenaires externes afin : d'offrir une connectivité uniformisée et sécurisée avec des partenaires externes et à Internet; de faire office de porte d'entrée aux services d'informatique en nuage; [et de protéger les charges de travail en nuage contre les attaques directes provenant d'Internet]. Les ministères qui n'utilisent pas actuellement les services Internet de SPC effectueront une migration vers le réseau opérationnel géré par SPC, et recourront exclusivement aux services de ce dernier. Note de bas de page 223

Il est logique d'exiger cette migration. Comme il est indiqué plus en détail à la section sur le CST (paragraphes 1544 à 213), le CST et SPC gèrent un système très efficace de capteurs et d'outils de défense (classifiés et disponibles sur le marché) qui protègent les organisations gouvernementales au sein du Service Internet d'entreprise contre les menaces habituelles et, le plus important, contre les auteurs de cybermenaces les plus expérimentés. En date d'août 2021, SPC fournit le Service Internet d'entreprise à 94 organisations. Note de bas de page 224 Le Corné traite de la directive du Conseil du Trésor et du nombre de ministères qui utilisent le Service Internet d'entreprise de SPC dans son évaluation.

Étude de cas 1 : Un coup de semonce - consolidation des réseaux et des défenses dynamiques

[*** Quatre paragraphes ont été revus pour retirer l'information préjudiciable ou privilégiée. ***] En février 2010, le CST a déployé ses capteurs réseau passifs sur le Réseau de la Voie de communication protégée du gouvernement, soit la première fois que le CST utilisait cette ressource ailleurs que dans trois ministères: Affaires étrangères et Commerce international (maintenant Affaires mondiales Canada), le ministère de la Défense nationale et le CST lui-même. Note de bas de page 225 Le CST a immédiatement découvert une compromission importante et de longue date des réseaux gouvernementaux par un acteur étatique chinois. L'acteur chinois était connu pour s'en prendre à des réseaux gouvernementaux du monde entier pour trouver des renseignements sur les ressources naturelles et l'énergie, la défense, les finances mondiales, la politique étrangère et le commerce. Le CST a déterminé que l'acteur cherchait à obtenir des documents, des notes de breffage et des stratégies sur la posture du Canada relativement à des négociations multilatérales liées à plusieurs organismes internationaux.

Entre août 2010 et août 2011, la Chine a ciblé 31 ministères, dont huit ont subi de graves compromissions. Les pertes d'information étaient considérables, notamment des communications par courriel de hauts dirigeants gouvernementaux; une exfiltration de masse d'information provenant de plusieurs ministères, y compris des notes de breffage, des documents de stratégie et de l'information de niveau Secret; ainsi que des mots de passe et des données de systèmes de classement. Le Secrétariat du Conseil du Trésor du Canada et le ministère des Finances étaient les plus touchés. En effet, ils ont perdu des ensembles complets de mots de passe de réseaux.

Le CST a lancé une réponse à trois volets. D'abord, il a fourni une surveillance passive continue des activités malveillantes au moyen de ses capteurs réseau. Ensuite, il a fourni des conseils et une orientation aux ministères afin d'améliorer la gestion et la sécurité des systèmes. Enfin, il a contribué à l'atténuation stratégique des compromissions, au moyen de ses informations afin de mieux comprendre les intentions et les moyens de l'attaquant. Pour leur part, le Secrétariat du Conseil du Trésor du Canada et le ministère des Finances ont été forcés à déconnecter leurs réseaux d'Internet afin d'atténuer la compromission.

L'incident a été un coup de semonce pour le gouvernement concernant l'étendue de sa cybervulnérabilité et le besoin de défenses proportionnelles. Avant cela, les réseaux gouvernementaux étaient une cible facile et précieuse pour les auteurs de menace étatiques chinois, puisqu'ils étaient essentiellement sans défense et servaient à entreposer de l'information classifiée en l'absence d'un moyen sécurisé. Le déploiement de capteurs réseau du CST dans ce réseau étendu a été un [traduction] « point tournant de l'histoire de la cyberdéfense au gouvernement » - il a confirmé le besoin de points d'accès regroupés à Internet qui peuvent être surveillés contre les menaces et d'un réseau d'entreprise unique à l'échelle du gouvernement pour bien protéger les systèmes gouvernementaux contre les cyberattaques. Note de bas de page 226

Cyberdéfense et projets de SPC

142. La deuxième grande catégorie de responsabilités de SPC est la mise en œuvre d'un plan d'infrastructure de technologie de l'information à l'échelle du gouvernement visant à mieux protéger les systèmes gouvernementaux contre les menaces pour la sécurité, c'est-à-dire les projets de SPC. SPC utilise une approche de type « sécurisé dès la conception » pour intégrer ses activités de cybersécurité à ses tâches principales. Note de bas de page 227 Par conséquent, les services et les activités de SPC sont conçus et élaborés de façon à incorporer les normes applicables de génie et de sécurité, et à respecter les politiques en matière de sécurité du gouvernement En pratique, SPC dispose de ses propres instruments politiques internes en matière de sécurité, chacun servant de guide en vue de la mise en œuvre uniforme d'une norme de sécurité des technologies de l'information. Note de bas de page 228 SPC dirige actuellement 12 projets de cybersécurité actifs, organisés en trois secteurs: identité et contrôle de l'accès, connectivité, et surveillance. Ces secteurs et leur pertinence à la cyberdéfense sont vus ci-dessous.

Identité et contrôle de l'accès

143. La vérification de l'identité d'un utilisateur et le contrôle de son accès aux éléments requis d'une infrastructure numérique ministérielle sont essentiels à la sécurité des systèmes numériques. Note de bas de page 229 . Les contrôles liés à l'identité et à l'accès visent à vérifier qu'un utilisateur est autorisé à accéder seulement aux ressources numériques dont il a besoin, selon son rôle au sein d'une organisation. Par le passé, le gouvernement a utilisé l'approche « château et douves », où l'objectif principal était de sécuriser le périmètre du réseau, authentifiant et accordant l'accès aux utilisateurs autorisés à des points d'entrée sécurisés, et superposant les systèmes de défense (comme des coupe-feux) pour filtrer l'accès au réseau. SPC l'a décrit comme étant [traduction] « une posture approfondie de défense employant une série de mécanismes superposés pour protéger les données et l'information d'intérêt. Si un mécanisme échoue, un autre passe à l'action pour contrecarrer immédiatement une attaque Note de bas de page 230  ».

144. SPC indique que cette approche est de moins en moins viable dans un environnement numérique marqué par la prolifération d'appareils et d'options de connexion et les exigences accrues des utilisateurs en ce qui a trait à la mobilité. Par conséquent, il met en œuvre plusieurs projets en vue de moderniser les contrôles liés à l'identité et à l'accès. Ils reposeront sur des moyens de défense des périmètres efficaces permettant la vérification et l'autorisation continues des utilisateurs et des appareils. Voici les plus importants.

  • Authentification des appareils sur le réseau (Network Device Authentication) : L'authentification des appareils sur le réseau sert à améliorer l'authentification d'appareils sur les réseaux gouvernementaux (par opposition à chaque utilisateur et à ses comptes). Le projet vise à améliorer les contrôles d'accès, les fonctions de vérification et l'analyse judiciaire des appareils qui accèdent à un réseau, le dernier représentant une lacune importante dans la réponse aux compromissions des systèmes gouvernementaux. Note de bas de page 231
  • Modernisation de l'accès à distance sécurisé (Secure Remote Access Modernization): À l'heure actuelle, chaque ministère est chargé de l'accès sécurisé à distance aux réseaux gouvernementaux. Ce projet vise à migrer l'accès sécurisé à distance vers un système d'entreprise consolidé à l'échelle du gouvernement. Le projet améliorera les fonctions de cyberdéfense liées à la connectivité à distance, y compris les journaux de connectivité, l'analyse liée à la détection des menaces et la gestion du volume du trafic. Note de bas de page 232
  • Service de contrôle de l'accès administratif (Administrative Access Controls Service) : Les administrateurs de réseau partagent et réutilisent souvent des mots de passe, ce qui réduit le nombre d'obstacles que doivent franchir les cyberattaquants tentant d'obtenir un accès étendu à de multiples réseaux au sein d'un ministère et entre ministères. Le projet vise à éliminer cette pratique en normalisant et en appliquant la gestion des privilèges d'administration. Note de bas de page 233
  • Gestion des comptes du répertoire des justificatifs d'identité (Directory Credential Account Management) : Le projet est conçu pour accroître la collaboration des partenaires et des clients de SPC dans les environnements d'infonuagique en synchronisant les justificatifs d'identité des utilisateurs au moyen d'un service d'authentification des utilisateurs centralisé dans le nuage. Il permettra à SPC d'authentifier l'identité d'un utilisateur entre les lieux de travail sur nuage et hors nuage. Note de bas de page 234
  • Service d'authentification centralisé interne (Internal Centralized Authentication Service) : Le projet fournira des justificatifs d'identité (p. ex. les noms d'utilisateur et les mots de passe) standardisés à l'échelle du gouvernement, et un service d'authentification centralisé pour appuyer l'accès Web aux applications internes peu importe l'organisation. Il permettra la transition vers une technologie de sécurité par justificatifs d'identité plus robuste et la mise hors service de technologies de navigateur ayant des vulnérabilités liées à la sécurité. Note de bas de page 235

Connectivité

145. La gestion de la connectivité numérique pour les utilisateurs et les systèmes du gouvernement représente un défi important en matière de cyberdéfense. Le réseau actuel du gouvernement est un mélange complexe de connectivité de télécommunications à environ 4 000 emplacements, 5 000 immeubles et des centaines de milliers d'appareils numériques fixes et mobiles pour les employés et les sous-traitants du gouvernement au Canada et à l'étranger. Note de bas de page 236 Par le passé, les ministères exploitaient plus de 720 centres de données d'un bout à l'autre du Canada, sans infrastructure partagée, normes de configuration ou de connectivité de réseau, procédures d'exploitation ou niveaux de service standardisés en ce qui a trait à la redondance et à la disponibilité. Note de bas de page 237 Pour s'attaquer aux nombreuses difficultés que cette situation représente, SPC prévoit de regrouper les centres de données patrimoniales en quatre points centraux régionaux, de mettre en œuvre une approche « sans-fil d'abord » pour la connectivité au sein d'un immeuble et d'adopter de nouvelles technologies (comme le 5G et l'utilisation élargie de la technologie mobile). Note de bas de page 238 L'évolution des mesures de connectivité de SPC demandera des mesures de sécurité proportionnelles pour protéger les réseaux, les centres de données et leurs utilisateurs. Les projets de connectivité de SPC dans ce domaine comprennent ce qui suit :

  • Sécurité du périmètre d'entreprise (Enterprise Perimeter Security) : Le projet vise à améliorer la visibilité des cybermenaces qui ciblent les réseaux du gouvernement et leurs connexions aux environnements d'infonuagique ministériels. En tirant parti des projets sur l'identité et le contrôle de l'accès, ce projet permet une connectivité sécurisée à distance aux réseaux gouvernementaux, de n'importe où, y compris par l'entremise de liens de connexion physiques ou virtuels. Ce projet offrira également à SPC et au CCC une visibilité additionnelle sur les cybermenaces. Note de bas de page 239
  • Mise en œuvre et défense d'un nuage sécurisé (Secure Cloud Enablement and Defence) : Le projet offrira les contrôles de connectivité et de sécurité (points d'accès contrôlés et surveillés) nécessaires pour que les ministères accèdent aux informations sensibles sur les réseaux d'infonuagique et les y sauvegardent. Les contrôles comprendront une connexion et une surveillance centralisées afin de repérer et de gérer les événements liés à la sécurité qui touchent les données sur les nuages et les menaces aux réseaux gouvernementaux qui peuvent provenir d'un environnement d'infonuagique et cibler le réseau de base du gouvernement. Semblable au projet de sécurité du périmètre d'entreprise, ce projet augmentera la visibilité sur les cybermenaces pour SPC et le CCC. Note de bas de page 240
  • Développement de l'infrastructure secrète (Secret Infrastructure Expansion) : SPC gère une infrastructure consacrée à l'entreposage et à la transmission d'information classifiée Secret. À l'heure actuelle, 31 ministères profitent de l'infrastructure, et ce projet la développera pour en faire profiter certains nouveaux clients et augmentera les services offerts pour un certain nombre de ses clients. Note de bas de page 241 Ce projet corrigera une importante lacune. En effet, par le passé, certains ministères traitaient des renseignements Secret sur leur réseau non classifié, entraînant la perte d'information classifiée au profit d'acteurs étatiques. Note de bas de page 242
  • Téléphone intelligent pour réseau classifié (SmartPhone for Classified) : Certains représentants gouvernementaux ont besoin de communiquer de façon sécurisée au moyen de leur téléphone et de données mobiles pour soutenir les opérations. Ce projet s'appuiera sur un principe de validation du CST pour offrir une capacité initiale de 2 000 utilisateurs du gouvernement au Canada et à certains emplacements à l'étranger, dont l'extensibilité peut atteindre jusqu'à 10 000 utilisateurs. Note de bas de page 243

Surveillance

146. La surveillance relative à la sécurité de l'infrastructure de la technologie de l'information du gouvernement assure son rendement constant et fiable, et contribue à la poursuite des activités du gouvernement et à la prestation de services aux Canadiens. La surveillance des activités comprend le repérage d'événements liés à l'identification et à l'authentification des utilisateurs sur un réseau ou un appareil, la surveillance du trafic de réseau qui passe par une liaison de communications du gouvernement, et l'utilisation d'applications sur des appareils d'utilisateurs. Une surveillance proactive réussie permet aux administrateurs de repérer les événements de sécurité sur les appareils du réseau et de s'employer à les résoudre rapidement. Ce n'est pas la situation à l'heure actuelle. La surveillance relative à la sécurité des réseaux du gouvernement est incohérente; les réseaux sont parfois surveillés par SPC, les partenaires principaux de SPC ou des organisations qui n'ont pas de lien avec SPC. De plus, le propre système d'information de sécurité et de gestion des événements de SPC n'est pas standard pour tous ses clients. Note de bas de page 244 D'une manière générale, SPC n'a pas une vue complète des réseaux gouvernementaux pour repérer les risques et répondre rapidement aux incidents, faisant en sorte que la responsabilité de la surveillance des réseaux de l'ensemble du gouvernement est incohérente. Note de bas de page 245

147. Prenant appui sur le regroupement des centres de données du gouvernement, SPC met en œuvre trois projets pour centraliser sa surveillance relative à la sécurité en vue d'accroître sa connaissance des activités sur les réseaux du gouvernement et d'accroître la rapidité et la coordination des ressources de réponse aux incidents. Note de bas de page 245 Ces projets :

  • améliorent la connaissance en temps réel de SPC de la posture de sécurité des appareils de points finaux (p. ex. des ordinateurs portatifs, des ordinateurs de bureau, des tablettes et des serveurs) Note de bas de page 247 ;
  • améliorent la connaissance de SPC des vulnérabilités de sécurité dans les grands ensembles d'éléments de la technologie de l'information d'entreprise du gouvernement (p. ex. au sein des centres de données) Note de bas de page 248 ;
  • surveillent les communications de réseau en ce qui a trait aux événements qui peuvent indiquer un possible incident de sécurité et informer les utilisateurs de SPC qu'ils doivent prendre les mesures pour étudier le problème et y répondre au besoin. Note de bas de page 249

Pour les trois projets, SPC se concentre sur l'automatisation de la surveillance des connexions réseau et des appareils déployés, ainsi que l'évaluation de leur posture de sécurité par rapport aux vulnérabilités connues et aux cybermenaces émergentes. Chaque projet est élaboré pour améliorer la connaissance de SPC de la situation et corriger les lacunes relevées quant à la sécurité du réseau du gouvernement (p. ex. le manque de connaissances sur les correctifs les plus récents pour les vulnérabilités en matière de sécurité). Dans le cas d'un cyberincident grave, les projets visent à accroître la capacité d'évaluer, en temps réel, les faiblesses du réseau d'entreprise et à réduire le temps nécessaire pour repérer un cyberincident, y répondre et s'en remettre.

Partenaires et clients de SPC

148. SPC fournit des services aux trois catégories de ministères et organismes suivantes. Les catégories déterminent le type de services fournis, la latitude de certaines organisations à choisir les services de SPC qu'elles utiliseront et la façon dont les coûts liés aux services sont répartis :

  • Partenaires principaux : Depuis 2011, SPC est responsable de la gestion de l'infrastructure du réseau pour 43 ministères et organismes partenaires. À l'époque, ces organisations ont transféré leurs budgets et leur effectif respectifs pour les services de courriel, de centre de données et de réseau à SPC, et ont donc reçu tous les services de SPC sans coûts additionnels.
  • Clients obligatoires : En 2015, le mandat de SPC a été élargi afin d'inclure des clients obligatoires. Ces organisations, qui comprennent de petits ministères et organismes, doivent utiliser certains services de SPC pour ce qui est des courriels, des centres de données, des réseaux et des appareils finaux, ou pour obtenir une autre infrastructure numérique. À l'heure actuelle, SPC compte 39 clients obligatoires qui paient les services de SPC selon un principe de recouvrement des coûts. Note de bas de page 250
  • Clients facultatifs : En 2015, le mandat de SPC a été élargi afin d'inclure des clients facultatifs. Ces clients peuvent demander les services de SPC selon un principe de recouvrement des coûts, et peuvent comprendre un gouvernement provincial ou une municipalité, un organisme d'aide canadien, une organisation de la santé publique, une organisation intergouvernementale ou un gouvernement étranger. SPC compte 78 clients facultatifs. Note de bas de page 251

À l'heure actuelle, SPC fournit une partie ou la totalité de ses services à 160 des 169 organisations du gouvernement fédéral.

149. L'éventail des organisations qui reçoivent des services de SPC a de grandes incidences sur le cadre de cyberdéfense du gouvernement. Au fur et à mesure de son évolution, SPC a mis en place des mesures de plus en plus exhaustives pour protéger les infrastructures numériques (comme la réduction des points de connexion à Internet et l'introduction des capteurs et des moyens de défense pointus du CST dans les passerelles Internet de SPC) et, dans le cadre de ses projets visant à moderniser l'infrastructure numérique du gouvernement, a élaboré une approche de type « sécurisé dès la conception » aux solutions relatives aux courriels, aux centres de données et aux réseaux. Note de bas de page 252 Même si cette évolution a comporté d'importantes difficultés pour SPC et ses organisations partenaires, les 43 partenaires principaux de SPC ont profité automatiquement des avantages en raison de leur statut à titre d'organisations qui reçoivent tous les services de SPC. Note de bas de page 253

150. La situation ne s'applique pas aux clients obligatoires et facultatifs de SPC. Ces clients varient considérablement sur le plan de la taille, du mandat, de la complexité, de la modernité de leur infrastructure numérique et de leur budget lié à la technologie numérique et à la sécurité. Note de bas de page 254 Certaines des organisations obtiennent des services de SPC par l'entremise de liens avec les partenaires principaux de SPC Note de bas de page 255 ; d'autres ont seulement recours à une sélection de services de SPC; d'autres obtiennent un mélange de services de technologie de l'information de SPC et de fournisseurs de services privés; et d'autres ne se connectent pas du tout à un réseau du gouvernement. Note de bas de page 256 Bon nombre de ces organisations sont connues comme étant de petits ministères et organismes, définies comme ayant un effectif de moins de 500 employés et un budget annuel de moins de 300 millions de dollars. Ces ministères et organismes représentent un risque pour la sécurité des réseaux gouvernementaux pour trois raisons :

  • leur connectivité aux points d'accès sécurisés à Internet de SPC et à l'accès infonuagique sécurisé fourni par courtage de SPC peut être absente. Dans de tels cas, les ministères .et organismes ne profiteraient pas de la cybersurveillance de pointe du CCC;
  • ils emploient différents services de connectivité à Internet, souvent en provenance de multiples endroits, et maintiennent une connectivité à d'autres ministères;
  • ils possèdent des ressources limitées (personnel ou ressources financières) pour répondre aux problèmes de sécurité Internet, entraînant des mesures de cyberdéfense non uniformes. Note de bas de page 257

Notamment, SPC a relevé quatre ministères et organismes qui représentaient des risques élevés ou critiques pour les réseaux du gouvernement en raison de leurs connexions simultanées aux réseaux du gouvernement et aux services Internet d'un tiers dont les mesures de défense sont inexistantes ou faibles. Note de bas de page 258 En Résumé, ces organisations détiennent des données gouvernementales et ont souvent des liens électroniques avec les ministères, mais ne profitent pas nécessairement de l'éventail des mesures de cyberdéfense de SPC (et du CST) ni des projets « sécurisés dès la conception » de SPC visant à moderniser l'infrastructure numérique du gouvernement. (La situation s'applique aussi aux clients obligatoires qui n'utilisent pas le Service Internet d'entreprise de SPC.) Par conséquent, les cyberattaques contre des organisations (y compris la perte de données) peuvent passer inaperçues et le gouvernement pourrait ne pas être en mesure de réagir de façon efficace ou tout court aux cyberincidents sensibles. L'incapacité de ces organisations à se protéger adéquatement est un risque pour leur propre infrastructure numérique et potentiellement pour d'autres organisations gouvernementales.

151. En 2020, SPC a monté un projet sur quatre ans pour agir face aux problèmes causés par les organisations qui sont connectées aux réseaux du gouvernement du Canada sans devoir installer des moyens de cyberdéfense solides ou être l'objet de la surveillance de SPC ou du CCC. Le projet pour les petits ministères et organismes (Small Departments and Agencies Project) vise à faire passer le niveau de sécurité réseau de tous les petits ministères et organismes et des clients obligatoires (61 au total) au niveau maximum de la sécurité réseau de SPC en leur fournissant un accès au réseau de base du gouvernement (RE du GC), une sécurité réseau complète au même niveau que les partenaires principaux de SPC, une surveillance par le CCC et la mise en œuvre par SPC de toutes les améliorations à la sécurité réseau. Note de bas de page 259 Le projet cible les objectifs principaux suivants :

  • faire entrer tous les clients obligatoires et les petits ministères et organismes « à l'intérieur de l'enceinte de sécurité » afin qu'ils puissent se servir des points d'accès à Internet sécurisés de SPC, ce qui réduirait le nombre de connexions externes aux réseaux ministériels;
  • regrouper les points de connexion à Internet au moyen des points centraux régionaux de communications de SPC, ce qui améliorerait la visibilité du trafic réseau de SPC et du CCC, et permettrait à ces derniers d'appliquer des mesures de cyberdéfense plus élevées en vue de repérer et de limiter les entrées non autorisées, l'exfiltration de données et d'autres activités malveillantes;
  • améliorer la posture du gouvernement en matière de cybersécurité en éliminant différentes classes de sécurité réseau pour les partenaires et les clients obligatoires de SPC Note de bas de page 260 .

Nonobstant l'importance de ce projet, aucun budget ni calendrier n'y est associé. Note de bas de page 261

Gestion des événements de cybersécurité

152. Dans le cadre de ses responsabilités élargies, SPC coordonne avec ses partenaires les interventions face aux cyberincidents graves. SPC est responsable:

  • de bloquer les activités de cybermenace ciblant les réseaux gérés par SPC et d'atténuer leurs répercussions;
  • de répondre aux recommandations du CCC et de veiller à ce que les mises à jour et les mesures d'atténuation soient appliquées en temps opportun;
  • de mettre en œuvre les efforts de prévention, d'atténuation et de reprise des activités (entre autres, il pourrait s'agir de fermer ou d'isoler des réseaux précis);
  • de participer à l'identification des événements de cybersécurité au sein du gouvernement et à leur atténuation, à l'évaluation des risques, à la reprise des activités et aux analyses après événement;
  • d'évaluer l'incidence à l'échelle du gouvernement des événements, des menaces et des vulnérabilités de cybersécurité sur la prestation des programmes et des services;
  • d'établir des rapports après événement, y compris la chronologie des événements et une analyse des causes premières, et de les soumettre au CCC Note de bas de page 262

Comme il est indiqué, ces responsabilités sont coordonnées avec les partenaires principaux, notamment le CCC et le SCT (par l'entremise du dirigeant principal de l'information du Canada).

Résumé

153. SPC a été créé en 2011 afin de fournir des services de technologie de l'information à un groupe d'organisations fédérales qui représentaient la majorité des dépenses du gouvernement liées à l'infrastructure numérique. Au fil des années, le mandat de SPC a évolué, tout comme son offre de services de sécurité et de défense à ses partenaires et clients. Depuis sa création à titre d'organisation au service de 43 partenaires principaux, SPC a grandi et fournit maintenant des services à 160 différentes organisations au sein du gouvernement du Canada. Même si l'approche de type « sécurisé dès la conception » de SPC a facilité une posture de sécurité solide pour les organisations qui recevaient ses principaux services de cybersécurité et de cyberdéfense, les incohérences dans la prestation de service aux clients obligatoires et facultatifs ont présenté des difficultés et des risques de cybersécurité pour le reste du gouvernement. Le Comité reprend cette considération dans son évaluation.