Partie III : intervenants, autorités et activités clés en matière de cyberdéfense
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques

Table des matières

Services partagés Canada

126. Services partagés Canada (SPC) est le deuxième membre du groupe tripartite sur la sécurité des technologies de l'information. SPC veille à ce que l'infrastructure de la technologie de l'information du gouvernement du Canada protège les biens technologiques du gouvernement et les données en sa possession. ^{Note de bas de page 185} La prochaine section traite de l'évolution du mandat de SPC, des services et des projets clés du SPC visant à renforcer la posture de cybersécurité générale du gouvernement et ceux se rapportant plus particulièrement à la cyberdéfense, ainsi que des partenaires et clients de SPC.

Mandat de SPC

127. Avant 2011, les ministères étaient considérés comme isolés en ce qui a trait à leurs propres exigences en matière de technologie de l'information. Par conséquent, l'uniformisation entre eux était presque absente : les ministères étaient chacun responsables de l'acquisition et de la gestion de leur infrastructure de technologie de l'information, des ordinateurs et appareils, et de la protection de leurs biens électroniques. ^{Note de bas de page 186} SPC a été créé en 2011 afin de changer fondamentalement cette approche. Le préambule de la Loi sur Services partagés Canada (Loi sur SPC) énonce comme objectif « uniformiser et regrouper, au sein d'une même entité de services partagés, certains services administratifs à l'appui des institutions fédérales; qu'il sera ainsi possible de fournir ces services plus efficacement et d'utiliser les fonds publics de façon optimale ^{Note de bas de page 187} ». En pratique, Il s'agit de regrouper la prestation des services de courriel, de centre de données et de réseau vers un groupe central de ministères partenaires et de coordonner l'achat et la fourniture d'équipement de technologie de l'information pour le gouvernement. ^{Note de bas de page 188} Même si on estimait au départ que cette consolidation allait être une mesure permettant de couper dans les dépenses, l'étendue des changements requis a nécessité des investissements considérables dans les années qui ont suivi. ^{Note de bas de page 189}

128. Les pouvoirs sur lesquels se fonde SPC ont évolué. SPC a été créé par décret en 2011. Le ministère a ensuite été fondé dans la loi le 29 juin 2012, lorsque la Loi sur SPC a reçu la sanction royale. La Loi sur SPC permet à un ministre d'être désigné comme le responsable de SPC - a l'heure actuelle, le ministre responsable est le ministre d'État (gouvernement numérique) ^{Note de bas de page 190} - et donne au ministre le pouvoir de coordonner les services de télécommunications pour les ministères et organismes. SPC doit:

déterminer et fournir des solutions et les services habituels de la technologie de l'information dans l'ensemble des organisations gouvernementales;
planifier et élaborer des services consolidés, standardisés et axes vers l'avenir pour répondre aux besoins des ministères partenaires et clients;
gérer et maintenir l'infrastructure de technologie de l'information actuelle, y compris tous les services permanents et le soutien de maintenance nécessaires;
fournir les biens et les services assurant la prestation des services de technologie de l'information habituels aux ministères partenaires et clients;
appuyer la gestion de l'information et la sécurité des technologies de l'information à l'échelle du gouvernement en partenariat avec le Centre de la sécurité des télécommunications (CST), y compris le Centre canadien pour la cybersécurité (CCC), et d'autres partenaires de la sécurité du gouvernement. ^{Note de bas de page 191}

129. Au total, le gouvernement a fait passer 21 décrets pour modifier le mandat de SPC, nommer les présidents de l'organisation et augmenter le nombre d'organisations auxquelles SPC doit fournir des services ou pour lesquelles SPC doit intervenir pour fournir de l'équipement et des services. ^{Note de bas de page 192} Des 21 décrets, quatre sont particulièrement pertinents pour l'examen.

En 2011, le gouvernement a promulgué deux décrets qui ont transféré six unités liées à la technologie de l'information de l'ancien Travaux publics et Services gouvernementaux Canada ^{Note de bas de page 193} , ainsi que les unités de services de courriel, de centre de données et de réseau de 42 ministères a SPC, créant ainsi les 43 « partenaires » principaux de SPC. ^{Note de bas de page 194}
En 2012, le gouvernement a fait passer un décret qui a circonscrit le mandat de SPC en stipulant qu'il ne fournirait pas de services de courriel, de centre de données ou de réseau à un ministère autorisé à traiter des renseignements Très secret ou lorsque quatre organisations précises se servaient de systèmes particuliers pour opérer des navires, des aéronefs ou des véhicules ou pour soutenir des opérations dans les domaines de la défense nationale, de la sécurité nationale ou de la sécurité publique. ^{Note de bas de page 195} En 2015, le gouvernement a fait passer un décret pour élargir le mandat de SPC au-delà des 43 partenaires principaux du départ afin d'inclure 40 « clients obligatoires » qui recevraient un sous-ensemble de services liés aux services de courriel, de centres de données et de réseau sur un principe de recouvrement des coûts. Le décret a aussi augmenté le nombre d'organisations gouvernementales qui devaient se procurer les appareils pour utilisateurs (comme les ordinateurs de bureau et les imprimantes) auprès de SPC, et a Créé une catégorie de « clients facultatifs » qui peuvent obtenir des services de SPC sur un principe de recouvrement des coûts (la définition comprenait les sociétés d'État et d'autres paliers de gouvernement). ^{Note de bas de page 196}

130. En somme, la promulgation périodique de décrets a établi le mandat et la composition des clients du SPC et a précisé sa prestation de services relativement aux courriels, aux centres de données et aux réseaux, et la fourniture de dispositifs de technologie en milieu de travail pour les utilisateurs. A l'heure actuelle, SPC fournit ses services en partie ou intégralement à 160 des 169 organisations fédérales (le Comité explore plus loin la question des ministères en question). Voir le Tableau 1 pour obtenir un aperçu de la division des responsabilités entre SPC et chaque ministère.

Tableau 1 : Distribution des responsabilités et secteurs de service pour les services de technologie de l'information du gouvernement du Canada ^{Note de bas de page 197}
Responsabilité	Courriels, centres de données et réseaux	Appareils finaux	Applications
Gestion et prestation de service	Services partagés Canada (obligatoire ou facultatif pour certains ministères comme précisé dans les décrets)	Ministères	Ministères
Approvisionnement	Services partagés Canada (obligatoire ou facultatif pour certains ministères comme précisé dans les décrets)	Services partagés Canada	Services publics et Approvisionnement Canada
Établissement de politiques et de normes	Secrétariat du Conseil du Trésor du Canada	Secrétariat du Conseil du Trésor du Canada	Secrétariat du Conseil du Trésor du Canada

Services et projets de SPC

131. SPC joue un rôle fondamental dans la protection des biens et de l'information numériques du gouvernement. Sa prestation de services de courriels, de réseau et de centre de données signifie qu'il fournit l'infrastructure qui héberge et transporte l'information importante appartenant aux Canadiens et au gouvernement. L'infrastructure soutient la prestation des programmes gouvernementaux, et les Canadiens comptent sur un service constant et fiable de ces programmes et en dépendent. La menace incessante de cyberattaque contre cette infrastructure signifie que la cybersécurité comporte un risque considérable. En effet, si les contrôle de sécurité techniques ou opérationnels sont inadéquats, ou si les vulnérabilités en matière de sécurité ne sont pas traitées, les systèmes du gouvernement restent vulnérables aux cyberactivités malveillantes. ^{Note de bas de page 198} Comme l'indique SPC, la sécurité de l'infrastructure de la technologie de l'information du gouvernement est donc « cruciale ^{Note de bas de page 199} ».

132. Le Comité considère que l'exercice des responsabilités de SPC est réparti en deux grandes catégories. La première est la protection continue des biens et des communications numériques du gouvernement grâce à la gestion appropriée des technologies de l'information (services de SPC). La deuxième est la mise en œuvre d'un plan d'infrastructure en matière de technologie de l'information qui s'applique a l'ensemble du gouvernement et qui vise a mieux protéger les systèmes gouvernementaux contre les menaces à la sécurité (projets de SPC). ^{Note de bas de page 200} Le Comité aborde chaque point l'un après l'autre.

Cyberdéfense et services de SPC

133. La taille, la fonction et le mandat des réseaux et des données que SPC doit protéger varient grandement. Ces différences traduisent bien la variabilité dans la prestation de programmes et de services gouvernementaux. Certaines organisations possèdent peu de renseignements sensibles sur leurs réseaux et font donc face a relativement peu de menaces à la sécurité, tandis que d'autres conservent beaucoup de renseignements sensibles et sont confrontées à des menaces considérablement plus grandes. ^{Note de bas de page 201} Pour répondre à ces menaces et ainsi repérer les acteurs malveillants et les empêcher d'accéder aux réseaux gouvernementaux, SPC utilise une série de mesures de cybersécurité, y compris des services de coupe-feu, d'antivirus et d'anti maliciel, ainsi que des outils d'identification et d'authentification. ^{Note de bas de page 202} SPC est responsable de l'infrastructure du réseau Secret du gouvernement et collabore avec le CCC pour gérer le périmètre du réseau du gouvernement en exerçant une surveillance de sécurité spécialisée des points d'accès Internet (voir la section « Le Centre de la sécurité des télécommunications ») qui ont amélioré la capacité du gouvernement de repérer et de prévenir les cyberactivités malveillantes. ^{Note de bas de page 203} Au total, SPC offre à ses partenaires et clients 34 différents services qui sont regroupés dans cinq catégories comportant au moins un service qui se rapporte au rôle de SPC dans la défense des réseaux gouvernementaux contre les cyberattaques. Les prochains paragraphes décrivent brièvement chacun des services et leur applicabilité à la cyberdéfense.

Services numériques

134. Les services numériques sont la plus grande catégorie de services qu'offre SPC. Des 12 services de ce domaine, quatre jouent un rôle dans la cyberdéfense. Les deux premiers sont la fourniture de comptes de courriels pour les employés du gouvernement et leur accès à distance au moyen de connexions sécurisées au réseau. Ces deux services sont assujettis aux contrôles de gestion de l'identité et des justificatifs d'identité, et surveillés en vue de la détection de virus et de pourriels. Le troisième service est la fourniture d'appareils mobiles (téléphones cellulaires) pour la connectivité téléphonique, courriel et internet. ^{Note de bas de page 204} Le quatrième service est un système de validation de l'identité en vue d'assurer un contrôle et une gestion synchronisés et à l'échelle du système des justificatifs d'identité de l'utilisateur pour fournir un accès aux systèmes gouvernementaux et à l'information se trouvant sur les nuages et sur les réseaux habituels « sur place ». ^{Note de bas de page 205}

Services de sécurité

135. Les services de sécurité de SPC authentifient les personnes afin qu'elles accèdent aux services et aux comptes gouvernementaux, sur les réseaux gouvernementaux internes et externes. Trois éléments de ce secteur de service se rapportent à la défense des réseaux gouvernementaux :

Gestion interne des justificatifs d'identité : SPC gère l'infrastructure à clé publique qui facilite l'authentification de l'accès sécurisé aux applications et aux réseaux gouvernementaux. ^{Note de bas de page 206} Le service permet aux utilisateurs de s'envoyer des courriels chiffres jusqu'à un certain niveau de classification et d'accéder de façon sécuritaire aux applications qui traitent des renseignements personnels sensibles (comme l'information sur la paie). ^{Note de bas de page 207}
Gestion de l'accès sécurisé à distance : Ce service utilise l'infrastructure à clé publique (ci-dessus) pour que les utilisateurs transmettent et reçoivent de l'information de façon sécurisée à partir de postes de travail à distance tout en maintenant la disponibilité, la confidentialité et l'intégrité des données. ^{Note de bas de page 208}
Gestion externe des justificatifs d'identité : SPC gère une infrastructure à clé publique qui fournit un service de cyberauthentification standardisé aux Canadiens, aux entreprises et à d'autres personnes afin de permettre des opérations en ligne sécurisées avec différents programmes et services gouvernementaux. ^{Note de bas de page 209} Ce service est obligatoire pour les ministères et organismes. ^{Note de bas de page 210}

Services de matériel et de logiciel

136. SPC offre aux ministères des choix d'approvisionnement pour les appareils comme les ordinateurs et l'équipement d'impression, ainsi qu'un éventail de logiciels, y compris pour la connectivité, les appareils individuels et les besoins en matière de sécurité. Les services qui se rapportent à la cyberdéfense comprennent les suivants.

Approvisionnement et fourniture de matériel : SPC fournit des appareils de technologie en milieu de travail (matériel) pour ses partenaires et clients, y compris des ordinateurs de bureau, des ordinateurs portatifs et des tablettes. ^{Note de bas de page 211}
Approvisionnement et fourniture de logiciel : SPC fournit des logiciels à ses partenaires et clients pour des appareils (com me des systèmes d'exploitation), des services (com me la configuration d'un logiciel de bureau), la connectivité (com me des services d'impression), la productivité (com me des navigateurs Web) et la sécurité (comme l'authentification des utilisateurs). ^{Note de bas de page 212}

137. Tous les services d'approvisionnement en matériel et logiciels sont assujettis à la Norme d'intégrité de la chaîne d'approvisionnement de SPC. Cette norme vise à définir et à évaluer tout processus d'approvisionnement qui « pourrait être compromi[s] ou utilis[é] pour compromettre la sécurité de l'équipement, des logiciels, des services ou de l'information du Canada » et à veiller à ce que le matériel et les logiciels demandes fassent l'objet d'une évaluation de sécurité (notamment par une communication avec le CST), que les contrats soient vérifiés et que les éléments définis com me représentant un risque élevé puissent être évités, rappelés ou retirés des systèmes du gouvernement. ^{Note de bas de page 213}

Services de centre de données

138. SPC offre neuf services de centre de données. Bien qu'il s'agisse principalement de services d'infrastructure et d'hébergement de bases de données, ce service comprend deux éléments importants pour la cyberdéfense.

Service de courtage infonuagique : Conformément à l'Orientation sur l'utilisation sécurisée des services commerciaux d'informatique en nuage de 2017 du Conseil du Trésor, SPC fournit un service de courtage aux ministères en vue de cerner les fournisseurs de services d'infonuagique appropriés avec lesquels SPC a conclu des contrats. SPC fournit ce service a ses 43 partenaires, a ses 23 clients obligatoires et à ses 15 clients facultatifs. ^{Note de bas de page 214}
Infrastructure secrète du gouvernement du Canada : SPC gère et entretient cette infrastructure afin de permettre la création, le traitement, l'entreposage et la communication d'information classifiée au niveau Secret. Ce service utilise le réseau étendu du gouvernement pour transmettre des données chiffrées entre les utilisateurs et les ministères. Les risques de la protection de l'information plus sensible de niveau Secret sont partagés entre SPC et le ministère ou l'organisme client; SPC est responsable du maintien de l'intégrité, de l'assurance et de l'efficacité des contrôle de sécurité pour les utilisateurs approuvés, et les ministères sont responsables de gérer l'accès des utilisateurs à leurs applications et données 215. ^{Note de bas de page 215}

Services de réseau

139. Les services de réseau de SPC comprennent la fourniture de Wi-Fi, de services Internet et de connectivité satellite. Les services de réseau comportent huit éléments, dont les deux suivants sont essentiels au cadre de cyberdéfense du gouvernement.

Réseau étendu du gouvernement du Canada (RE du GC) : Le RE du GC est un service de réseau entièrement administré qui relie les locaux des partenaires ou des clients à l'échelle métropolitaine, régionale, nationale et internationale. Il connecte les utilisateurs et les ordinateurs entre eux et à Internet, et Il soutient les communications vocales et vidéo et la communication de données en simultané, ainsi que la transmission d'information classifiée au moyen de méthodes de chiffrement appropriées. Les services du RE du GC sont jumelés à une surveillance de sécurité et à des protocoles de sécurité renforcés (comme des services de connexion et de détection des intrusions). ^{Note de bas de page 216}
Service Internet d'entreprise : Le Service Internet d'entreprise de SPC fournit une connectivité sécurisée aux utilisateurs du gouvernement pour accéder à Internet et au public pour accéder aux sites Web du gouvernement. SPC fournit le Service Internet d'entreprise a toutes les organisations partenaires et selon un principe de rémunération des services pour ses clients. Le service demande une connexion au RE du GC et donne la protection la plus élevée, en raison de protocoles de sécurité renforcés et de la surveillance de sécurité intégrée fournis par l'intégration des mesures de cyberdéfense *** du CST aux passerelles du Service Internet d'entreprise. Le Comité se penche sur l'avantage de cette intégration dans la discussion sur le CST ci-dessous. ^{Note de bas de page 217}

Dans l'ensemble, la création du Service Internet d'entreprise de SPC et son adoption progressive par les ministères ont joué un rôle de base dans le renforcement du cadre de cyberdéfense du gouvernement. Son évolution est décrite ci-dessous.

Connectivité Internet sécurisée: L'évolution vers le Service Internet d'entreprise

140. Les origines du Service Internet d'entreprise de SPC datent de 2002, lorsque le gouvernement a lancé le Réseau de la Voie de communication protégée pour que les organisations fédérales puissent offrir de façon sécurisée leurs services les plus utilisés en ligne. ^{Note de bas de page 218} Le Réseau de la Voie de communication protégée visait à réduire les coûts opérationnels et liés à la maintenance au moyen d'une infrastructure de réseau commune pour le gouvernement qui comprenait un accès à Internet surveillé, protégé et redondant. ^{Note de bas de page 219} En 2006, le Conseil du Trésor a instauré une-directive rendant obligatoire l'utilisation du Réseau de la Voie de communication protégée et, en 2008, 75 ministères y avaient migré. En 2010 et en 2011, la Chine a mené des attaques à grande échelle contre de nombreux ministères, entraînant la perte d'une quantité considérable de données sensibles (voir l'étude de cas 1). En réponse, le dirigeant principal de l'information du Canada a publié à nouveau des directives demandant aux ministères de migrer au Réseau de la Voie de communication protégée pour :

[traduction] réduire les risques auxquels nous faisons tous face en raison du nombre de cyberattaques externes qui ne cessent d'augmenter. L'approche clé pour atténuer ces risques est de réduire le nombre de connexions Internet indépendantes des ministères et de les remplacer par un accès commun solide, hautement performant et très sécurisé pour [le gouvernement]. En diminuant le nombre de points d'accès Internet-et en protégeant ces points-on réduit le risque de sécurité global [de technologie de l'information] pour le gouvernement, ce qui facilite la prévention et la lutte contre les attaques visant à perturber nos opérations ou à voler de l'information sensible ou des renseignements personnels. ^{Note de bas de page 220}

En 2012, le nombre de ministères utilisant le Réseau de la Voie de communication protégée était passé de 75 à 87. ^{Note de bas de page 221} .

Partenaires et clients de SPC

141. En 2015, le Réseau de la Voie de communication protégée est devenu le Service Internet d'entreprise et le nombre de ministères qui l'utilisent est passé à 90. Tous les partenaires principaux de SPC sont passés au Service Internet d'entreprise (à l'exception du ministère de la Défense nationale, qui migrera en 2021-2022), comme de nombreux clients obligatoires et des clients facultatifs de SPC. ^{Note de bas de page 222} Cependant, l'adoption du Service Internet d'entreprise à l'échelle du gouvernement demeure un défi. En 2018, le Conseil du Trésor a réitéré sa directive aux ministères de migrer au Service Internet d'entreprise:

Pour gérer les risques pour son réseau, le gouvernement normalise la protection et crée un périmètre pangouvernemental sécurisé qui protégera les données du gouvernement sur place et dans le nuage. Le SCT, le CST et SPC établiront des points d'interconnexion fiables entre le réseau [de base] du gouvernement et les partenaires externes afin : d'offrir une connectivité uniformisée et sécurisée avec des partenaires externes et à Internet; de faire office de porte d'entrée aux services d'informatique en nuage; [et de protéger les charges de travail en nuage contre les attaques directes provenant d'Internet]. Les ministères qui n'utilisent pas actuellement les services Internet de SPC effectueront une migration vers le réseau opérationnel géré par SPC, et recourront exclusivement aux services de ce dernier. ^{Note de bas de page 223}

Il est logique d'exiger cette migration. Comme il est indiqué plus en détail à la section sur le CST (paragraphes 1544 à 213), le CST et SPC gèrent un système très efficace de capteurs et d'outils de défense (classifiés et disponibles sur le marché) qui protègent les organisations gouvernementales au sein du Service Internet d'entreprise contre les menaces habituelles et, le plus important, contre les auteurs de cybermenaces les plus expérimentés. En date d'août 2021, SPC fournit le Service Internet d'entreprise à 94 organisations. ^{Note de bas de page 224} Le Corné traite de la directive du Conseil du Trésor et du nombre de ministères qui utilisent le Service Internet d'entreprise de SPC dans son évaluation.

Étude de cas 1 : Un coup de semonce - consolidation des réseaux et des défenses dynamiques

[*** Quatre paragraphes ont été revus pour retirer l'information préjudiciable ou privilégiée. ***] En février 2010, le CST a déployé ses capteurs réseau passifs sur le Réseau de la Voie de communication protégée du gouvernement, soit la première fois que le CST utilisait cette ressource ailleurs que dans trois ministères: Affaires étrangères et Commerce international (maintenant Affaires mondiales Canada), le ministère de la Défense nationale et le CST lui-même. ^{Note de bas de page 225} Le CST a immédiatement découvert une compromission importante et de longue date des réseaux gouvernementaux par un acteur étatique chinois. L'acteur chinois était connu pour s'en prendre à des réseaux gouvernementaux du monde entier pour trouver des renseignements sur les ressources naturelles et l'énergie, la défense, les finances mondiales, la politique étrangère et le commerce. Le CST a déterminé que l'acteur cherchait à obtenir des documents, des notes de breffage et des stratégies sur la posture du Canada relativement à des négociations multilatérales liées à plusieurs organismes internationaux.

Entre août 2010 et août 2011, la Chine a ciblé 31 ministères, dont huit ont subi de graves compromissions. Les pertes d'information étaient considérables, notamment des communications par courriel de hauts dirigeants gouvernementaux; une exfiltration de masse d'information provenant de plusieurs ministères, y compris des notes de breffage, des documents de stratégie et de l'information de niveau Secret; ainsi que des mots de passe et des données de systèmes de classement. Le Secrétariat du Conseil du Trésor du Canada et le ministère des Finances étaient les plus touchés. En effet, ils ont perdu des ensembles complets de mots de passe de réseaux.

Le CST a lancé une réponse à trois volets. D'abord, il a fourni une surveillance passive continue des activités malveillantes au moyen de ses capteurs réseau. Ensuite, il a fourni des conseils et une orientation aux ministères afin d'améliorer la gestion et la sécurité des systèmes. Enfin, il a contribué à l'atténuation stratégique des compromissions, au moyen de ses informations afin de mieux comprendre les intentions et les moyens de l'attaquant. Pour leur part, le Secrétariat du Conseil du Trésor du Canada et le ministère des Finances ont été forcés à déconnecter leurs réseaux d'Internet afin d'atténuer la compromission.

L'incident a été un coup de semonce pour le gouvernement concernant l'étendue de sa cybervulnérabilité et le besoin de défenses proportionnelles. Avant cela, les réseaux gouvernementaux étaient une cible facile et précieuse pour les auteurs de menace étatiques chinois, puisqu'ils étaient essentiellement sans défense et servaient à entreposer de l'information classifiée en l'absence d'un moyen sécurisé. Le déploiement de capteurs réseau du CST dans ce réseau étendu a été un [traduction] « point tournant de l'histoire de la cyberdéfense au gouvernement » - il a confirmé le besoin de points d'accès regroupés à Internet qui peuvent être surveillés contre les menaces et d'un réseau d'entreprise unique à l'échelle du gouvernement pour bien protéger les systèmes gouvernementaux contre les cyberattaques. ^{Note de bas de page 226}

Cyberdéfense et projets de SPC

142. La deuxième grande catégorie de responsabilités de SPC est la mise en œuvre d'un plan d'infrastructure de technologie de l'information à l'échelle du gouvernement visant à mieux protéger les systèmes gouvernementaux contre les menaces pour la sécurité, c'est-à-dire les projets de SPC. SPC utilise une approche de type « sécurisé dès la conception » pour intégrer ses activités de cybersécurité à ses tâches principales. ^{Note de bas de page 227} Par conséquent, les services et les activités de SPC sont conçus et élaborés de façon à incorporer les normes applicables de génie et de sécurité, et à respecter les politiques en matière de sécurité du gouvernement En pratique, SPC dispose de ses propres instruments politiques internes en matière de sécurité, chacun servant de guide en vue de la mise en œuvre uniforme d'une norme de sécurité des technologies de l'information. ^{Note de bas de page 228} SPC dirige actuellement 12 projets de cybersécurité actifs, organisés en trois secteurs: identité et contrôle de l'accès, connectivité, et surveillance. Ces secteurs et leur pertinence à la cyberdéfense sont vus ci-dessous.

Identité et contrôle de l'accès

143. La vérification de l'identité d'un utilisateur et le contrôle de son accès aux éléments requis d'une infrastructure numérique ministérielle sont essentiels à la sécurité des systèmes numériques. ^{Note de bas de page 229} . Les contrôles liés à l'identité et à l'accès visent à vérifier qu'un utilisateur est autorisé à accéder seulement aux ressources numériques dont il a besoin, selon son rôle au sein d'une organisation. Par le passé, le gouvernement a utilisé l'approche « château et douves », où l'objectif principal était de sécuriser le périmètre du réseau, authentifiant et accordant l'accès aux utilisateurs autorisés à des points d'entrée sécurisés, et superposant les systèmes de défense (comme des coupe-feux) pour filtrer l'accès au réseau. SPC l'a décrit comme étant [traduction] « une posture approfondie de défense employant une série de mécanismes superposés pour protéger les données et l'information d'intérêt. Si un mécanisme échoue, un autre passe à l'action pour contrecarrer immédiatement une attaque ^{Note de bas de page 230} ».

144. SPC indique que cette approche est de moins en moins viable dans un environnement numérique marqué par la prolifération d'appareils et d'options de connexion et les exigences accrues des utilisateurs en ce qui a trait à la mobilité. Par conséquent, il met en œuvre plusieurs projets en vue de moderniser les contrôles liés à l'identité et à l'accès. Ils reposeront sur des moyens de défense des périmètres efficaces permettant la vérification et l'autorisation continues des utilisateurs et des appareils. Voici les plus importants.

Authentification des appareils sur le réseau (Network Device Authentication) : L'authentification des appareils sur le réseau sert à améliorer l'authentification d'appareils sur les réseaux gouvernementaux (par opposition à chaque utilisateur et à ses comptes). Le projet vise à améliorer les contrôles d'accès, les fonctions de vérification et l'analyse judiciaire des appareils qui accèdent à un réseau, le dernier représentant une lacune importante dans la réponse aux compromissions des systèmes gouvernementaux. ^{Note de bas de page 231}
Modernisation de l'accès à distance sécurisé (Secure Remote Access Modernization): À l'heure actuelle, chaque ministère est chargé de l'accès sécurisé à distance aux réseaux gouvernementaux. Ce projet vise à migrer l'accès sécurisé à distance vers un système d'entreprise consolidé à l'échelle du gouvernement. Le projet améliorera les fonctions de cyberdéfense liées à la connectivité à distance, y compris les journaux de connectivité, l'analyse liée à la détection des menaces et la gestion du volume du trafic. ^{Note de bas de page 232}
Service de contrôle de l'accès administratif (Administrative Access Controls Service) : Les administrateurs de réseau partagent et réutilisent souvent des mots de passe, ce qui réduit le nombre d'obstacles que doivent franchir les cyberattaquants tentant d'obtenir un accès étendu à de multiples réseaux au sein d'un ministère et entre ministères. Le projet vise à éliminer cette pratique en normalisant et en appliquant la gestion des privilèges d'administration. ^{Note de bas de page 233}
Gestion des comptes du répertoire des justificatifs d'identité (Directory Credential Account Management) : Le projet est conçu pour accroître la collaboration des partenaires et des clients de SPC dans les environnements d'infonuagique en synchronisant les justificatifs d'identité des utilisateurs au moyen d'un service d'authentification des utilisateurs centralisé dans le nuage. Il permettra à SPC d'authentifier l'identité d'un utilisateur entre les lieux de travail sur nuage et hors nuage. ^{Note de bas de page 234}
Service d'authentification centralisé interne (Internal Centralized Authentication Service) : Le projet fournira des justificatifs d'identité (p. ex. les noms d'utilisateur et les mots de passe) standardisés à l'échelle du gouvernement, et un service d'authentification centralisé pour appuyer l'accès Web aux applications internes peu importe l'organisation. Il permettra la transition vers une technologie de sécurité par justificatifs d'identité plus robuste et la mise hors service de technologies de navigateur ayant des vulnérabilités liées à la sécurité. ^{Note de bas de page 235}

Connectivité

145. La gestion de la connectivité numérique pour les utilisateurs et les systèmes du gouvernement représente un défi important en matière de cyberdéfense. Le réseau actuel du gouvernement est un mélange complexe de connectivité de télécommunications à environ 4 000 emplacements, 5 000 immeubles et des centaines de milliers d'appareils numériques fixes et mobiles pour les employés et les sous-traitants du gouvernement au Canada et à l'étranger. ^{Note de bas de page 236} Par le passé, les ministères exploitaient plus de 720 centres de données d'un bout à l'autre du Canada, sans infrastructure partagée, normes de configuration ou de connectivité de réseau, procédures d'exploitation ou niveaux de service standardisés en ce qui a trait à la redondance et à la disponibilité. ^{Note de bas de page 237} Pour s'attaquer aux nombreuses difficultés que cette situation représente, SPC prévoit de regrouper les centres de données patrimoniales en quatre points centraux régionaux, de mettre en œuvre une approche « sans-fil d'abord » pour la connectivité au sein d'un immeuble et d'adopter de nouvelles technologies (comme le 5G et l'utilisation élargie de la technologie mobile). ^{Note de bas de page 238} L'évolution des mesures de connectivité de SPC demandera des mesures de sécurité proportionnelles pour protéger les réseaux, les centres de données et leurs utilisateurs. Les projets de connectivité de SPC dans ce domaine comprennent ce qui suit :

Sécurité du périmètre d'entreprise (Enterprise Perimeter Security) : Le projet vise à améliorer la visibilité des cybermenaces qui ciblent les réseaux du gouvernement et leurs connexions aux environnements d'infonuagique ministériels. En tirant parti des projets sur l'identité et le contrôle de l'accès, ce projet permet une connectivité sécurisée à distance aux réseaux gouvernementaux, de n'importe où, y compris par l'entremise de liens de connexion physiques ou virtuels. Ce projet offrira également à SPC et au CCC une visibilité additionnelle sur les cybermenaces. ^{Note de bas de page 239}
Mise en œuvre et défense d'un nuage sécurisé (Secure Cloud Enablement and Defence) : Le projet offrira les contrôles de connectivité et de sécurité (points d'accès contrôlés et surveillés) nécessaires pour que les ministères accèdent aux informations sensibles sur les réseaux d'infonuagique et les y sauvegardent. Les contrôles comprendront une connexion et une surveillance centralisées afin de repérer et de gérer les événements liés à la sécurité qui touchent les données sur les nuages et les menaces aux réseaux gouvernementaux qui peuvent provenir d'un environnement d'infonuagique et cibler le réseau de base du gouvernement. Semblable au projet de sécurité du périmètre d'entreprise, ce projet augmentera la visibilité sur les cybermenaces pour SPC et le CCC. ^{Note de bas de page 240}
Développement de l'infrastructure secrète (Secret Infrastructure Expansion) : SPC gère une infrastructure consacrée à l'entreposage et à la transmission d'information classifiée Secret. À l'heure actuelle, 31 ministères profitent de l'infrastructure, et ce projet la développera pour en faire profiter certains nouveaux clients et augmentera les services offerts pour un certain nombre de ses clients. ^{Note de bas de page 241} Ce projet corrigera une importante lacune. En effet, par le passé, certains ministères traitaient des renseignements Secret sur leur réseau non classifié, entraînant la perte d'information classifiée au profit d'acteurs étatiques. ^{Note de bas de page 242}
Téléphone intelligent pour réseau classifié (SmartPhone for Classified) : Certains représentants gouvernementaux ont besoin de communiquer de façon sécurisée au moyen de leur téléphone et de données mobiles pour soutenir les opérations. Ce projet s'appuiera sur un principe de validation du CST pour offrir une capacité initiale de 2 000 utilisateurs du gouvernement au Canada et à certains emplacements à l'étranger, dont l'extensibilité peut atteindre jusqu'à 10 000 utilisateurs. ^{Note de bas de page 243}

Surveillance

146. La surveillance relative à la sécurité de l'infrastructure de la technologie de l'information du gouvernement assure son rendement constant et fiable, et contribue à la poursuite des activités du gouvernement et à la prestation de services aux Canadiens. La surveillance des activités comprend le repérage d'événements liés à l'identification et à l'authentification des utilisateurs sur un réseau ou un appareil, la surveillance du trafic de réseau qui passe par une liaison de communications du gouvernement, et l'utilisation d'applications sur des appareils d'utilisateurs. Une surveillance proactive réussie permet aux administrateurs de repérer les événements de sécurité sur les appareils du réseau et de s'employer à les résoudre rapidement. Ce n'est pas la situation à l'heure actuelle. La surveillance relative à la sécurité des réseaux du gouvernement est incohérente; les réseaux sont parfois surveillés par SPC, les partenaires principaux de SPC ou des organisations qui n'ont pas de lien avec SPC. De plus, le propre système d'information de sécurité et de gestion des événements de SPC n'est pas standard pour tous ses clients. ^{Note de bas de page 244} D'une manière générale, SPC n'a pas une vue complète des réseaux gouvernementaux pour repérer les risques et répondre rapidement aux incidents, faisant en sorte que la responsabilité de la surveillance des réseaux de l'ensemble du gouvernement est incohérente. ^{Note de bas de page 245}

147. Prenant appui sur le regroupement des centres de données du gouvernement, SPC met en œuvre trois projets pour centraliser sa surveillance relative à la sécurité en vue d'accroître sa connaissance des activités sur les réseaux du gouvernement et d'accroître la rapidité et la coordination des ressources de réponse aux incidents. ^{Note de bas de page 245} Ces projets :

améliorent la connaissance en temps réel de SPC de la posture de sécurité des appareils de points finaux (p. ex. des ordinateurs portatifs, des ordinateurs de bureau, des tablettes et des serveurs) ^{Note de bas de page 247} ;
améliorent la connaissance de SPC des vulnérabilités de sécurité dans les grands ensembles d'éléments de la technologie de l'information d'entreprise du gouvernement (p. ex. au sein des centres de données) ^{Note de bas de page 248} ;
surveillent les communications de réseau en ce qui a trait aux événements qui peuvent indiquer un possible incident de sécurité et informer les utilisateurs de SPC qu'ils doivent prendre les mesures pour étudier le problème et y répondre au besoin. ^{Note de bas de page 249}

Pour les trois projets, SPC se concentre sur l'automatisation de la surveillance des connexions réseau et des appareils déployés, ainsi que l'évaluation de leur posture de sécurité par rapport aux vulnérabilités connues et aux cybermenaces émergentes. Chaque projet est élaboré pour améliorer la connaissance de SPC de la situation et corriger les lacunes relevées quant à la sécurité du réseau du gouvernement (p. ex. le manque de connaissances sur les correctifs les plus récents pour les vulnérabilités en matière de sécurité). Dans le cas d'un cyberincident grave, les projets visent à accroître la capacité d'évaluer, en temps réel, les faiblesses du réseau d'entreprise et à réduire le temps nécessaire pour repérer un cyberincident, y répondre et s'en remettre.

Partenaires et clients de SPC

148. SPC fournit des services aux trois catégories de ministères et organismes suivantes. Les catégories déterminent le type de services fournis, la latitude de certaines organisations à choisir les services de SPC qu'elles utiliseront et la façon dont les coûts liés aux services sont répartis :

Partenaires principaux : Depuis 2011, SPC est responsable de la gestion de l'infrastructure du réseau pour 43 ministères et organismes partenaires. À l'époque, ces organisations ont transféré leurs budgets et leur effectif respectifs pour les services de courriel, de centre de données et de réseau à SPC, et ont donc reçu tous les services de SPC sans coûts additionnels.
Clients obligatoires : En 2015, le mandat de SPC a été élargi afin d'inclure des clients obligatoires. Ces organisations, qui comprennent de petits ministères et organismes, doivent utiliser certains services de SPC pour ce qui est des courriels, des centres de données, des réseaux et des appareils finaux, ou pour obtenir une autre infrastructure numérique. À l'heure actuelle, SPC compte 39 clients obligatoires qui paient les services de SPC selon un principe de recouvrement des coûts. ^{Note de bas de page 250}
Clients facultatifs : En 2015, le mandat de SPC a été élargi afin d'inclure des clients facultatifs. Ces clients peuvent demander les services de SPC selon un principe de recouvrement des coûts, et peuvent comprendre un gouvernement provincial ou une municipalité, un organisme d'aide canadien, une organisation de la santé publique, une organisation intergouvernementale ou un gouvernement étranger. SPC compte 78 clients facultatifs. ^{Note de bas de page 251}

À l'heure actuelle, SPC fournit une partie ou la totalité de ses services à 160 des 169 organisations du gouvernement fédéral.

149. L'éventail des organisations qui reçoivent des services de SPC a de grandes incidences sur le cadre de cyberdéfense du gouvernement. Au fur et à mesure de son évolution, SPC a mis en place des mesures de plus en plus exhaustives pour protéger les infrastructures numériques (comme la réduction des points de connexion à Internet et l'introduction des capteurs et des moyens de défense pointus du CST dans les passerelles Internet de SPC) et, dans le cadre de ses projets visant à moderniser l'infrastructure numérique du gouvernement, a élaboré une approche de type « sécurisé dès la conception » aux solutions relatives aux courriels, aux centres de données et aux réseaux. ^{Note de bas de page 252} Même si cette évolution a comporté d'importantes difficultés pour SPC et ses organisations partenaires, les 43 partenaires principaux de SPC ont profité automatiquement des avantages en raison de leur statut à titre d'organisations qui reçoivent tous les services de SPC. ^{Note de bas de page 253}

150. La situation ne s'applique pas aux clients obligatoires et facultatifs de SPC. Ces clients varient considérablement sur le plan de la taille, du mandat, de la complexité, de la modernité de leur infrastructure numérique et de leur budget lié à la technologie numérique et à la sécurité. ^{Note de bas de page 254} Certaines des organisations obtiennent des services de SPC par l'entremise de liens avec les partenaires principaux de SPC ^{Note de bas de page 255} ; d'autres ont seulement recours à une sélection de services de SPC; d'autres obtiennent un mélange de services de technologie de l'information de SPC et de fournisseurs de services privés; et d'autres ne se connectent pas du tout à un réseau du gouvernement. ^{Note de bas de page 256} Bon nombre de ces organisations sont connues comme étant de petits ministères et organismes, définies comme ayant un effectif de moins de 500 employés et un budget annuel de moins de 300 millions de dollars. Ces ministères et organismes représentent un risque pour la sécurité des réseaux gouvernementaux pour trois raisons :

leur connectivité aux points d'accès sécurisés à Internet de SPC et à l'accès infonuagique sécurisé fourni par courtage de SPC peut être absente. Dans de tels cas, les ministères .et organismes ne profiteraient pas de la cybersurveillance de pointe du CCC;
ils emploient différents services de connectivité à Internet, souvent en provenance de multiples endroits, et maintiennent une connectivité à d'autres ministères;
ils possèdent des ressources limitées (personnel ou ressources financières) pour répondre aux problèmes de sécurité Internet, entraînant des mesures de cyberdéfense non uniformes. ^{Note de bas de page 257}

Notamment, SPC a relevé quatre ministères et organismes qui représentaient des risques élevés ou critiques pour les réseaux du gouvernement en raison de leurs connexions simultanées aux réseaux du gouvernement et aux services Internet d'un tiers dont les mesures de défense sont inexistantes ou faibles. ^{Note de bas de page 258} En Résumé, ces organisations détiennent des données gouvernementales et ont souvent des liens électroniques avec les ministères, mais ne profitent pas nécessairement de l'éventail des mesures de cyberdéfense de SPC (et du CST) ni des projets « sécurisés dès la conception » de SPC visant à moderniser l'infrastructure numérique du gouvernement. (La situation s'applique aussi aux clients obligatoires qui n'utilisent pas le Service Internet d'entreprise de SPC.) Par conséquent, les cyberattaques contre des organisations (y compris la perte de données) peuvent passer inaperçues et le gouvernement pourrait ne pas être en mesure de réagir de façon efficace ou tout court aux cyberincidents sensibles. L'incapacité de ces organisations à se protéger adéquatement est un risque pour leur propre infrastructure numérique et potentiellement pour d'autres organisations gouvernementales.

151. En 2020, SPC a monté un projet sur quatre ans pour agir face aux problèmes causés par les organisations qui sont connectées aux réseaux du gouvernement du Canada sans devoir installer des moyens de cyberdéfense solides ou être l'objet de la surveillance de SPC ou du CCC. Le projet pour les petits ministères et organismes (Small Departments and Agencies Project) vise à faire passer le niveau de sécurité réseau de tous les petits ministères et organismes et des clients obligatoires (61 au total) au niveau maximum de la sécurité réseau de SPC en leur fournissant un accès au réseau de base du gouvernement (RE du GC), une sécurité réseau complète au même niveau que les partenaires principaux de SPC, une surveillance par le CCC et la mise en œuvre par SPC de toutes les améliorations à la sécurité réseau. ^{Note de bas de page 259} Le projet cible les objectifs principaux suivants :

faire entrer tous les clients obligatoires et les petits ministères et organismes « à l'intérieur de l'enceinte de sécurité » afin qu'ils puissent se servir des points d'accès à Internet sécurisés de SPC, ce qui réduirait le nombre de connexions externes aux réseaux ministériels;
regrouper les points de connexion à Internet au moyen des points centraux régionaux de communications de SPC, ce qui améliorerait la visibilité du trafic réseau de SPC et du CCC, et permettrait à ces derniers d'appliquer des mesures de cyberdéfense plus élevées en vue de repérer et de limiter les entrées non autorisées, l'exfiltration de données et d'autres activités malveillantes;
améliorer la posture du gouvernement en matière de cybersécurité en éliminant différentes classes de sécurité réseau pour les partenaires et les clients obligatoires de SPC ^{Note de bas de page 260} .

Nonobstant l'importance de ce projet, aucun budget ni calendrier n'y est associé. ^{Note de bas de page 261}

Gestion des événements de cybersécurité

152. Dans le cadre de ses responsabilités élargies, SPC coordonne avec ses partenaires les interventions face aux cyberincidents graves. SPC est responsable:

de bloquer les activités de cybermenace ciblant les réseaux gérés par SPC et d'atténuer leurs répercussions;
de répondre aux recommandations du CCC et de veiller à ce que les mises à jour et les mesures d'atténuation soient appliquées en temps opportun;
de mettre en œuvre les efforts de prévention, d'atténuation et de reprise des activités (entre autres, il pourrait s'agir de fermer ou d'isoler des réseaux précis);
de participer à l'identification des événements de cybersécurité au sein du gouvernement et à leur atténuation, à l'évaluation des risques, à la reprise des activités et aux analyses après événement;
d'évaluer l'incidence à l'échelle du gouvernement des événements, des menaces et des vulnérabilités de cybersécurité sur la prestation des programmes et des services;
d'établir des rapports après événement, y compris la chronologie des événements et une analyse des causes premières, et de les soumettre au CCC ^{Note de bas de page 262}

Comme il est indiqué, ces responsabilités sont coordonnées avec les partenaires principaux, notamment le CCC et le SCT (par l'entremise du dirigeant principal de l'information du Canada).

Résumé

153. SPC a été créé en 2011 afin de fournir des services de technologie de l'information à un groupe d'organisations fédérales qui représentaient la majorité des dépenses du gouvernement liées à l'infrastructure numérique. Au fil des années, le mandat de SPC a évolué, tout comme son offre de services de sécurité et de défense à ses partenaires et clients. Depuis sa création à titre d'organisation au service de 43 partenaires principaux, SPC a grandi et fournit maintenant des services à 160 différentes organisations au sein du gouvernement du Canada. Même si l'approche de type « sécurisé dès la conception » de SPC a facilité une posture de sécurité solide pour les organisations qui recevaient ses principaux services de cybersécurité et de cyberdéfense, les incohérences dans la prestation de service aux clients obligatoires et facultatifs ont présenté des difficultés et des risques de cybersécurité pour le reste du gouvernement. Le Comité reprend cette considération dans son évaluation.

Notes de bas de page

Note de bas de page 185

SPC, « Cybersécurité et sécurité de la technologie de l'information », sans date, https://www.canada.ca/fr/services-partages/organisation/cybersecurite-securite-technologie-information.html

Retour à la référence de la note de bas de page 185

Note de bas de page 186

SPC, « Norme sur le renforcement de la sécurité de l'accès à distance », sans date, https://service.ssc-spc.gc.ca/fr/politiques_processus/politiques/distance

Retour à la référence de la note de bas de page 186

Note de bas de page 187

Loi sur Services partagés Canada, L.C. 2012, ch. 19, art. 171, Préambule, 29 juin 2012, https://laws-lois.justice.gc.ca/fra/lois/s-8.9/page-1.html

Retour à la référence de la note de bas de page 187

Note de bas de page 188

Comme les claviers, les logiciels et matériel informatique, et les écrans. Bureau du vérificateur général. « Automne 2015- Rapports du vérificateur général du Canada : Rapport 4-Services partagés en technologies de l'information », 2015, https://www.oag-bvg.gc.ca/internet/Francais/parl_oag_201602_04_f_4106.html

Retour à la référence de la note de bas de page 188

Note de bas de page 189

En date de 2020, les investissements dans SPC uniquement totalisent plus de 4 milliards de dollars.

Retour à la référence de la note de bas de page 189

Note de bas de page 190

Le décret 2019-1366 a désigné le ministre d'État (Gouvernement Numérique) comme ministre de SPC. Voir https://decrets.canada.ca/attachment.php?attach=38701&lang=fr. De 2012 à 2019, le ministre des Travaux publics et Services gouvernementaux était le ministre responsable.

Retour à la référence de la note de bas de page 190

Note de bas de page 191

SPC, « Shared Services Canada's Mandate, Authorities and Partners », présentation, exposé devant le Secrétariat du CPSNR, novembre 2020.

Retour à la référence de la note de bas de page 191

Note de bas de page 192

SPC, « Shared Services Canada's Mandate, Authorities and Partners », présentation, exposé devant le Secrétariat du CPSNR, novembre 2020.

Retour à la référence de la note de bas de page 192

Note de bas de page 193

« Décret 2011-0877 », 3 août 2011, https://decrets.canada.ca/attachment.php?attach=24554&lang=fr.

Retour à la référence de la note de bas de page 193

Note de bas de page 194

SPC est l'un des 43 partenaires. Décret 2011-1297, 15 novembre 2011, https://decrets.canada.ca/attachment.php?attach=24978&lang=fr. Ce décret a fait en sorte que SPC devenait responsable de l'infrastructure de technologie de l'information de 42 organisations partenaires ( budgets des serveurs, des centres de données, des ressources humaines et de la technologie de l'information ), y compris 485 centres de données, 50 réseaux différents et environ 23 400 serveurs . Il s'agissait d'environ 95 pour cent des dépenses liées à l'infrastructure de la technologie de l'information du gouvernement, et les cinq pour cent restants étaient composés des autres plus petits ministères et organismes. SPC, « Décret-Approvisionnement », https://www.canada.ca/fr/services-partages/organisation/transparence/sommaire-documents/cahier-breffage-ministeriel/decret-approvisionnement.html

Retour à la référence de la note de bas de page 194

Note de bas de page 195

Les quatre organisations sont l'Agence des services frontaliers du Canada, le ministère des Pêches et Océans , le ministère de la Défense nationale et la Gendarmerie royale du Canada. « Décret 2012-0958 », 29 juin 2012, https://decrets.canada.ca/attachment.php?attach=26384&lang=fr

Retour à la référence de la note de bas de page 195

Note de bas de page 196

« Décret 2015-1071 », 16 juillet 2015, https://decrets.canada.ca/attachment.php?attach=31447&lang=fr

Retour à la référence de la note de bas de page 196

Note de bas de page 197

Adapté de : SPC, « Historique et responsabilités législatives de Services partagés Canada », 3 février 2016, https://www.canada.ca/fr/services-partages/organisation/transparence/sommaire-documents/cahier-breffage-ministeriel/historique-responsabilites-legislatives-services-partages-canada.html; et SPC, « Shared Services Canada's Mandate, Authorities and Partners », présentation pour le Secrétariat du CPSNR, novembre 2020.

Retour à la référence de la note de bas de page 197

Note de bas de page 198

Outre la cybersécurité et la sécurité de l'information, le Plan de sécurité ministériel a cerné deux autres risques importants pour la sécurité: la sécurité de l'effectif, du lieu de travail, des installations et des biens de SPC, et la gouvernance des activités de SPC liées à la sécurité. SPC, « Departmental Security Plan 2019-2022 », 15 mai 2019. Des risques similaires étaient aussi relevés dans le plan de sécurité ministériel de SPC pour 2013-2016.

Retour à la référence de la note de bas de page 198

Note de bas de page 199

SPC, « Departmental Security Plan 2019-2022 », 15 mai 2019; et SPC, « Shared Services Canada Network and Security Strategy (version 1.6) », 1 septembre 2020.

Retour à la référence de la note de bas de page 199

Note de bas de page 200

SPC, « Mandat », https://www.canada.ca/fr/services-partages/organisation/mandat1.html.

Retour à la référence de la note de bas de page 200

Note de bas de page 201

SPC, « Departmental Security Plan 2013-2016 », 17 juin 2013.

Retour à la référence de la note de bas de page 201

Note de bas de page 202

SPC, « Cybersécurité et sécurité de la technologie de l'information », sans date, https://www.canada.ca/fr/services-partages/organisation/cybersecurite-securite-technologie-information.html

Retour à la référence de la note de bas de page 202

Note de bas de page 203

SCT, « Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC) 2019 », https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/securite-confidentialite-ligne/gestion-securite-identite/plan-gestion-evenements-cybersecurite-gouvernement-canada.html#toc6; ; Sécurité publique Canada,« Évaluation horizontale de la Stratégie de cybersécurité du Canada », 29 septembre 2017, https://www.securitepublique.gc.ca/cnt/rsrcs/pblctns/vltn-cnd-scrt-strtg/index-fr.aspx#s331

Retour à la référence de la note de bas de page 203

Note de bas de page 204

SPC, « Au service du gouvernement : Courriel - pour les administrateurs », http://service.ssc-spc.gc.ca/fr/services/communication/courriel/admin; et SPC, « Au service du gouvernement : Appareils mobiles - pour les employés du GC », https://service.ssc-spc.gc.ca/fr/services/communication/appareils-mobiles-lignefixe/mobile-utils

Retour à la référence de la note de bas de page 204

Note de bas de page 205

SPC, « Au service du gouvernement : catalogue de services », ; et SPC, « Directory Credential and Access Management » analyse de rentabilisation (version 3.0), 8 septembre 2020.

Retour à la référence de la note de bas de page 205

Note de bas de page 206

Une infrastructure à clé publique protège la confidentialité de l'information et authentifie électroniquement l'identité des personnes qui accèdent à l'information protégée. SCT, Ligne directrice sur la gestion de l'infrastructure à clé publique au gouvernement du Canada, https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=20008#appB

Retour à la référence de la note de bas de page 206

Note de bas de page 207

SPC, « Au service du gouvernement : maCLÉ-pour les utilisateurs », https://service.ssc-spc.gc.ca/fr/services/acces/macle/utils

Retour à la référence de la note de bas de page 207

Note de bas de page 208

SPC, « Au service du gouvernement: accès à distance protégé - pour les administrateurs », https://service.ssc-spc.ac.ca/fr/services/acces/acces-distance-protege/admin

Retour à la référence de la note de bas de page 208

Note de bas de page 209

SPC, « Au service du gouvernement : catalogue de services », https://service.ssc-spc.gc.ca/fr/services; et SPC, « Au service du gouvernement : Matrice des responsabilités en matière de cybersécurité et de sécurité de la TI. Section 6 Gestion des identités et des accès », http://service.ssc-spc.gc.ca/fr/securiteit/RACI

Retour à la référence de la note de bas de page 209

Note de bas de page 210

SPC, « Au service du gouvernement : Catalogue de services », https://service.ssc-spc.gc.ca/fr/services.

Retour à la référence de la note de bas de page 210

Note de bas de page 211

SPC, « Au service du gouvernement : Micro-ordinateurs », https://service.ssc-spc.gc.ca/fr/services/mat-log/micro-ordinateurs/approv, et SPC, « Norme d'intégrité de la chaine d'approvisionnement », novembre 2015.

Retour à la référence de la note de bas de page 211

Note de bas de page 212

SPC, « Au service du gouvernement : Approvisionnement En logiciels », https://service.ssc-spc.gc.ca/fr/services/mat-log/approv-logiciels

Retour à la référence de la note de bas de page 212

Note de bas de page 213

SPC, « Norme d'intégrité de la chaîne d'approvisionnement », novembre 2015.

Retour à la référence de la note de bas de page 213

Note de bas de page 214

SPC, « Au service du gouvernement : Service de courtage infonuagique », https://service.ssc-spc.gc.ca/fr/services/cd/infornuagique; SCT, « Stratégie d'adoption de l'informatique en nuage du gouvernement du Canada : Mise a jour de 2018 », https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/innovations-gouvernementales-numeriques/services-informatique-nuage/strategie-adoption-information-nuage-gouvernement.html; et SCT, « Orientation sur l'utilisation sécurisée des services commerciaux d'informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) », https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/innovations-gouvernementales-numeriques/services-informatique-nuage/orientation-utilisation-securisee-services-commerciaux-informatique-nuage-amops.html.

Retour à la référence de la note de bas de page 214

Note de bas de page 215

SPC, « Au service du gouvernement : Réseau et hébergement de l'Infrastructure secrète du gouvernement du Canada - pour les administrateurs », http://service.ssc-spc.gc.ca/fr/services/infrastructure/classifiee/gcsi. Par le passé, le gouvernement maintenait 34 réseaux Secret autonomes étagères indépendamment au sein de 18 ministères. Le projet d'élargissement de l'Infrastructure secrète du gouvernement du Canada comprend des efforts visant à faire passer ces réseaux à l'architecture d'entreprise de SPC vers un système lié aux communications et aux données secrètes. Vair aussi, SPC, Secret Infrastructure. 34 Legacy Networks, sans date.

Retour à la référence de la note de bas de page 215

Note de bas de page 216

SPC, « Au service du, gouvernement: RE du RGC - pour les administrateurs », http://service.ssc-spc.gc.ca/fr/services/infrastructure/infra-reseau/re-rgc-admin.

Retour à la référence de la note de bas de page 216

Note de bas de page 217

SPC, « Au service du gouvernement: Catalogue de services », https://service.ssc-spc.gc.ca/fr/services. Aussi SPC, « Au service du gouvernement : RE du RGC - pour les administrateurs », http://service.ssc-spc.gc.ca/fr/services/infrastructure/infra-reseau/re-rgc-admin

Retour à la référence de la note de bas de page 217

Note de bas de page 218

SPC, Discussion sur le mandat avec le Secrétariat du CPSNR - 24 février et suivis, 9 mars 2021.

Retour à la référence de la note de bas de page 218

Note de bas de page 219

SPC, Discussion sur le mandat avec le Secrétariat du CPSNR - 24 février et suivis, 9 mars 2021.

Retour à la référence de la note de bas de page 219

Note de bas de page 220

SSC, « SCNet Enterprise Internet - 2010 and 2011 », communiqué du BDPI du SGT, 24 février 2021.

Retour à la référence de la note de bas de page 220

Note de bas de page 221

SPC, Discussion sur le mandat avec le Secrétariat du CPSNR - 24 février et suivis, 9 mars 2021.

Retour à la référence de la note de bas de page 221

Note de bas de page 222

SPC, Discussion sur le mandat avec le Secrétariat du CPSNR - 24 février et suivis, 9 mars 2021. Le ministère de la Défense nationale *** fait l'objet d'une surveillance distincte par le CCC.

Retour à la référence de la note de bas de page 222

Note de bas de page 223

SGT, « Plan stratégique des opérations numériques de 2018 à 2022 », Article 4.2, Sécuriser le périmètre en évolution du réseau du gouvernement, https://www.canada.ca/fr/gouvernrment/systeme/gouvernement-numerique/plans-strategiques-operations-numeriques-gouvernement-canada/plan-strategique-operations-numerique-2018-2022.html.

Retour à la référence de la note de bas de page 223

Note de bas de page 224

SPC, Discussion sur le mandat avec le Secrétariat du CPSNR - 24 février et suivis, courriel, 9 mars 2021; et SPC, « Re: NSICOP Discussion on Mandate with Committee Secretariat », courriel, 30 avril 2021.

Retour à la référence de la note de bas de page 224

Note de bas de page 225

Ce résumé s'appuie sur les documents suivants : CST, Analysis of Widespread Chinese Intrusions on Government of Canada Networks du, avril 2010; CST, « Interdepartmental Assessment : The Chinese Cyber Threat to Government of Canada Networks-August 2010-August 2011 », sans date; CST, « OM Security and Intelligence: Update on January 2011 Cyber Intrusions », note de service pour le chef, CST, février 2011; et CST, « NSICOP Cyber Defence Review - Information Package #17 - Table of Contents », 11 mars 2021.

Retour à la référence de la note de bas de page 225

Note de bas de page 226

CST, « NSICOP Cyber Defence Review - Information Package #17 - Table of Contents, p. 1 », 11 mars 2021.

Retour à la référence de la note de bas de page 226

Note de bas de page 227

SPC, Departmental Security Plan 2019-2022, 15 mai 2019.

Retour à la référence de la note de bas de page 227

Note de bas de page 228

Les 16 normes de sécurité des technologies de l'information de SPC couvrent de nombreux secteurs, y compris la gestion des journaux des systèmes de sécurité, l'intégrité de la chaîne d'approvisionnement, la sécurité du périmètre, la gestion des correctifs pour les serveurs et les postes de travail, ainsi que l'accès au réseau et à Internet. Les normes de sécurité des technologies de l'information de SPC sont disponibles à l'adresse http://service.ssc-spc.gc.ca/fr/politiques-processus/politiques

Retour à la référence de la note de bas de page 228

Note de bas de page 229

SPC, « Shared Services Canada: Network and Security Strategy (version 1.6) », 1^er septembre 2020.

Retour à la référence de la note de bas de page 229

Note de bas de page 230

SPC, « Shared Services Canada: Network and Security Strategy (version 1.6) », 1^er septembre 2020.

Retour à la référence de la note de bas de page 230

Note de bas de page 231

Pendant une cyberattaque, les représentants passent souvent beaucoup de temps à analyser les données judiciaires pour différencier l'activité légitime sur le réseau de l'activité de cyberacteurs malveillants.

Retour à la référence de la note de bas de page 231

Note de bas de page 232

SPC, « Shared Services Canada: Network and Security Strategy (version 1.6) », 1^er septembre 2020.

Retour à la référence de la note de bas de page 232

Note de bas de page 233

SPC, « Administrative Access Control Services. Project Proposal (version 1.7) », 12 septembre 2016, PDF. Ce projet répond au rapport du vérificateur général de l'automne 2015 sur les services partagés de la technologie de l'information au gouvernement du Canada.

Retour à la référence de la note de bas de page 233

Note de bas de page 234

SPC, « Directory Credential Account Management(DCAM) - DCAM Overview (version 1.7) », 5 décembre 2019, PDF.

Retour à la référence de la note de bas de page 234

Note de bas de page 235

SPC, « Internal Centralized Authentication Service (ICAS): Concept of Operations (Con-Ops) (version 1.1) », 8 octobre 2020.

Retour à la référence de la note de bas de page 235

Note de bas de page 236

Il s'agit notamment des ministères dans les immeubles à locataires uniques ou multiples situés à différents endroits au Canada, utilisant une infrastructure filaire, une connectivité sans fil et des approches variées au déploiement, à la maintenance et à la sous-traitance de la technologie auprès de vendeurs et de fournisseurs de service de télécommunications.

Retour à la référence de la note de bas de page 236

Note de bas de page 237

SPC, « Shared Services Canada: Network and Security Strategy (version 1.6) », 1^er septembre 2020.

Retour à la référence de la note de bas de page 237

Note de bas de page 238

SPC, « Shared Services Canada: Network and Security Strategy (version 1.6) », 1^er septembre 2020.

Retour à la référence de la note de bas de page 238

Note de bas de page 239

SPC, « Networks, Security, and Digital Services and the Senior Assistant Deputy Minister, Project Management and Delivery. For Decision. Enterprise Perimeter Security (EPS) Authority to Operate (ATO) », note de service au représentant autorisé et au sous-ministre adjoint principal, sans date; et SPC, Enterprise Perimeter Security (EPS), rapport d'évaluation de la sécurité, 7 avril 2020.

Retour à la référence de la note de bas de page 239

Note de bas de page 240

SPC, « Shared Services Canada: Network and Security Strategy (version 1.6) », 1^er septembre 2020; et SPC, « SSC Networks, Security and Digital Services : Cyber and IT Security Program », exposé devant l'Agence du revenu du Canada (ARC), 4 février 2020.

Retour à la référence de la note de bas de page 240

Note de bas de page 241

SPC, « Government of Canada Secret Infrastructure Expansion (GCSI Expansion) », analyse de rentabilisation (version 2.2), 28 septembre 2020; SSC, « Government of Canada Classified (SECRET) Information Technology Convergence Update », 8 avril 2020; SPC, « Government of Canada Secret Infrastructure Expansion (GCSI Expansion), Project Management Plan », 28 septembre 2020; et SPC, « Secret Infrastructure: 34 Legacy Networks », sans date.

Retour à la référence de la note de bas de page 241

Note de bas de page 242

Voir l'étude de cas sur la compromission de 2010-2011 des réseaux du SCT et du ministre des Finances par la Chine.

Retour à la référence de la note de bas de page 242

Note de bas de page 243

SPC, « SmartPhone for Classified », analyse de rentabilisation de la mise en œuvre (version 0.13), 19 octobre 2020.

Retour à la référence de la note de bas de page 243

Note de bas de page 244

Bien que SPC fournisse la plateforme électronique pour la gestion de l'information et des événements en matière de sécurité, le CCC est responsable de sa configuration et de son opération, ainsi que de la surveillance des événements.

Retour à la référence de la note de bas de page 244

Note de bas de page 245

SPC, « Shared Services Canada: Network and Security Strategy (version 1.6) », 1^er septembre 2020. Il convient de noter que les ministères sont aussi responsables de surveiller et de sécuriser leurs réseaux et points terminaux (voir les paragraphes 102 à 105).

Retour à la référence de la note de bas de page 245

Note de bas de page 246

SPC, « Shared Services Canada: Network and Security Strategy (version 1.6) », 1^er septembre 2020.

Retour à la référence de la note de bas de page 246

Note de bas de page 247

SPC, « Endpoint Visibility Awareness and Security Project. Project Management Plan (version 1.0) », 30 mars 2020. Voir aussi SPC, « SSC Networks, Security and Digital Services: Cyber and IT Security Program », exposé devant l'ARC, 4 février 2020. Lorsqu'il sera entièrement mis en œuvre, le projet fournira une information automatisée sur près de 900 000 points finaux dans l'ensemble des réseaux gouvernementaux, regroupant les aperçus individuels des ministères en un portrait global pour tout le gouvernement.

Retour à la référence de la note de bas de page 247

Note de bas de page 248

Le projet « Enterprise Vulnerability and Compliance Management », mentionne dans SPC, « Shared Services Canada: Network and Security Strategy (version 1.6) », 1^er septembre 2020.

Retour à la référence de la note de bas de page 248

Note de bas de page 249

Le projet « Security Information and Event Management », SPC, « Security Information and Event Management », analyse de rentabilisation (version 1.1), 6 novembre 2018; et SPC, « SSC Networks, Security and Digital Services : Cyber and IT Security Program », exposé devant l'ARC, 4 février 2020. Voir aussi SPC, « Shared Services Canada: Network and Security Strategy (version 1.6) », 1^er septembre 2020. Le CCC est maintenant responsable de ce projet.

Retour à la référence de la note de bas de page 249

Note de bas de page 250

SPC, « Improve the Internet Security Posture of Small Departments and Agencies », analyse de rentabilisation, 15 décembre 2020. 11 y avait 40 clients en 2015. Voir aussi SPC, « Mandatory Clients (MCs) IT Service Landscape Survey: as of Winter 2019-20 », présentation, fournie au Secrétariat du CPSNR, 24 mars 2021.

Retour à la référence de la note de bas de page 250

Note de bas de page 251

SPC, « Au service du gouvernement : Décret 2015-1071 : Questions et réponses », http://service.ssc-spc.gc.ca/fr/politiques-processus/decret2015-1071-gr. SPC fournit actuellement un service d'infrastructure à clé publique à deux organisations, le bureau d'un ministre du gouvernement de la Colombie-Britannique et la Police provinciale de l'Ontario, et un service de RE du GC au gouvernement de l'Ontario.

Retour à la référence de la note de bas de page 251

Note de bas de page 252

SPC, « Re: NSICOP Discussion on Mandate with Committee Secretariat », courriel, 21 mai 2021.

Retour à la référence de la note de bas de page 252

Note de bas de page 253

SPC a indiqué avoir hérité de nombreux systèmes disparates de ses ministères partenaires et que l'effort nécessaire pour concevoir et mettre en œuvre une approche de sécurité d'entreprise pour tous ses partenaires s'est avéré itératif. SPC, « Addendum to the Business Case for the Small Departments and Agencies Study », 30 novembre 2020. Il a été difficile pour certains ministères, comme la Gendarmerie royale du Canada, de faire reconnaître leurs exigences opérationnelles uniques par SPC.

Retour à la référence de la note de bas de page 253

Note de bas de page 254

SPC, « Mandatory Clients (MCs) IT Service Landscape Survey: As of Winter 2019-20 », présentation fournie au Secrétariat du CPSNR, 24 mars 2021.

Retour à la référence de la note de bas de page 254

Note de bas de page 255

Huit organisations, y compris le Conseil national des produits agricoles (sous l'égide d'Agriculture et Agroalimentaire Canada); le Tribunal d'appels des anciens combattants (sous l'égide d'Anciens combattants Canada); la Commission de l'assurance-emploi du Canada (sous l'égide d'Emploi et Développement Social Canada); Services aux Autochtones Canada (sous l'égide de Relation Couronne-Autochtones et Affaires du Nord Canada); la Commission des libérations conditionnelles (sous l'égide du Service correctionnel du Canada); le Bureau de l'enquêteur correctionnel (sous l'égide du Service correctionnel du Canada); la Commission des débats des chefs (sous l'égide du Bureau du Conseil privé ); et la Commission du droit d'auteur (sous l'égide d'innovation, Sciences et Développement Économique Canada). SPC, « Mandatory Clients (MCs) IT Service Landscape Survey: As of Winter 2019-20 », présentation, 24 mars 2021.

Retour à la référence de la note de bas de page 255

Note de bas de page 256

SPC, « Mandatory Clients (MCs) IT Service Landscape Survey : As of Winter 2019-20 », presentation, 24 mars 2021.

Retour à la référence de la note de bas de page 256

Note de bas de page 257

SPC, « Improve the Internet Security Posture of Small Departments and Agencies », analyse de rentabilisation, 15 décembre 2020.

Retour à la référence de la note de bas de page 257

Note de bas de page 258

SPC, « Improving the Internet Security Posture of Small Departments and Agencies Study: Survey Report (version 1.0) », 15 decembre 2020.

Retour à la référence de la note de bas de page 258

Note de bas de page 259

SPC, « Improve the Internet Security Posture of Small Departments and Agencies », analyse de rentabilisation, 15 décembre 2020.

Retour à la référence de la note de bas de page 259

Note de bas de page 260

SPC, « Improve the Internet Security Posture of Small Departments and Agencies », analyse de rentabilisation , 15 décembre 2020.

Retour à la référence de la note de bas de page 260

Note de bas de page 261

SPC, « SSC Comments », courriel au Secrétariat du CPSNR, 28 juillet 2021

Retour à la référence de la note de bas de page 261

Note de bas de page 262

SCT, « Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC) », 2019. Certaines de ces responsabilités ont été confiées au CCC depuis sa création en 2018.

Retour à la référence de la note de bas de page 262

Table des matières

Sélection de la langue

Médias sociaux

Recherche

Recherche et menus

Services partagés Canada

Mandat de SPC

Services et projets de SPC

Cyberdéfense et services de SPC

Services numériques

Services de sécurité

Services de matériel et de logiciel

Services de centre de données

Services de réseau

Connectivité Internet sécurisée: L'évolution vers le Service Internet d'entreprise

Partenaires et clients de SPC

Étude de cas 1 : Un coup de semonce - consolidation des réseaux et des défenses dynamiques

Cyberdéfense et projets de SPC

Identité et contrôle de l'accès

Connectivité

Surveillance

Partenaires et clients de SPC

Gestion des événements de cybersécurité

Résumé