Partie IV : Gouvernance de la cyberdéfense
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques

214. La cyberdéfense est un sport d'équipe. Le gouvernement dispose de plusieurs mécanismes de gouvernance interministériels qui assurent une administration appropriée, des programmes et des opérations efficaces ainsi que la responsabilisation en matière de cyberdéfense. Lorsque survient une cyberattaque, le gouvernement a recours à des comités précis afin de coordonner son intervention selon la gravité et la portée de l'attaque. La présente section porte sur le rôle joué par divers comités en ce qui a trait à l'élaboration des politiques stratégiques sur la cyberdéfense, au soutien à la gestion efficace des initiatives liées à la sécurité des technologies de l'information touchant l'ensemble des opérations du gouvernement ainsi qu'à l'intervention en cas d'incidents de cybersécurité. On y décrit ensuite le Plan de gestion des événements de cybersécurité, le mécanisme principal utilisé par le gouvernement pour déterminer les rôles et les responsabilités ministériels concernant l'intervention en cas d'incidents de cybersécurité. On y précise entre autres comment le gouvernement détermine les niveaux d'intervention en cas de cyberattaques, les rôles de diverses entités de gouvernance ainsi que les étapes du processus.

Considérations stratégiques

215. Le Comité des sous-ministres sur la cybersécurité (CSM sur la cybersécurité) est la principale entité responsable de la coordination de la cybersécurité, des politiques et des objectifs stratégiques en matière de cybersécurité. Coprésidé par Sécurité publique Canada et le Centre de la sécurité des télécommunications (CST), il a pour mandat de mettre au point les politiques et les opérations de cybersécurité du Canada et de les diriger pour appuyer les priorités économiques et sociales du gouvernement. L'objectif du CSM sur la cybersécurité est le suivant :

  • cerner les occasions en matière de politiques, de lois et de programmes pour veiller à ce que l'économie numérique du 21e siècle au Canada soit fondamentalement sécurisée dès la conception et que le leadership du Canada quant aux questions de cybersécurité soit reconnu à l'échelle internationale;
  • superviser la progression de la mise en œuvre de la Stratégie nationale du Canada en matière de cybersécurité. Note de bas de page 346

Le CSM sur la cybersécurité est essentiellement formé des sous-ministres de 14 organisations, y compris ceux dont les responsabilités sont liées aux opérations et aux politiques en matière de cybersécurité (CST, Secrétariat du Conseil du Trésor du Canada - SCT, et Sécurité publique Canada), les principaux organismes de sécurité (Bureau du Conseil privé, Service canadien du renseignement de sécurité - SCRS, ministère de la Défense nationale et les Forces armées canadiennes - MDN/FAC , et Gendarmerie royale du Canada - GRC), les secteurs liés aux infrastructures essentielles (Santé Canada, Ressources naturelles Canada, et Transports Canada) ainsi que des sous-ministres issus de la sphère économique qui exercent des pouvoirs au sein des secteurs liés aux infrastructures essentielles du Canada (ministère des Finances, et Innovation, Science et Développement économique Canada).

216. Le CSM sur la cybersècurité remplace un comité précédent (voir la section sur l'évolution de la cyberdéfense de 2010 à 2018, paragraphe 86) et s'en distingue de façon importante. D'abord, le mandat révisé du CSM sur la cybersécurité consiste à améliorer la collaboration entre les secteurs de la sécurité, de l'économie et des infrastructures essentielles, étant donné que les questions de cybersécurité concernent de multiples niveaux de responsabilités ministérielles. Ensuite, la direction du comité, qui relevait de l'ancien sous-ministre de Sécurité publique Canada a été étendue au chef du CST, à titre de coprésident, illustrant la création du CCC et son rôle central.au sein de la cyberdéfense. Note de bas de page 347 Le nouveau comité a tenu ses deux premières réunions en juin et en septembre 2020 pour discuter de la collaboration entre les secteurs de la sécurité, des finances et des infrastructures essentielles; des cyberopérations et des cybermenaces; et de la Stratégie nationale sur la cybersécurité. Depuis, le Comité a tenu des réunions toutes les huit semaines.

217. Le CSM sur la cybersécurité est appuyé par un Comité des sous-ministres adjoints sur la cybersécurité (CSMA sur la cybersécurité). En tant que comité de soutien, le mandat du CSMA sur la cybersécurité est analogue à celui du CSM  : élaborer les politiques sur la cybersécurité du Canada, et diriger les opérations de cybersécurité pour appuyer les priorités économiques et sociales du gouvernement. Il coordonne ces questions dans les secteurs et prépare des questions à soumettre à l'examen du CSM , aux fins de décision. L'objectif du CSMA sur la cybersécurité est le suivant :

  • orienter les politiques et les opérations liées aux questions de cybersécurité;
  • mettre au point des priorités relatives à la cybersécurité à l'intention des ministères et organismes membres;
  • surveiller la progression de la mise en œuvre de la Stratégie nationale du Canada sur la cybersécurité;
  • étudier les questions émergentes en matière de cybersécurité et de cybermenaces;
  • examiner et préparer des questions à l'intention du CSM sur la cybersécurité.

Le CSMA sur la cybersécurité est coprésidé par le sous-ministre adjoint principal, Secteur de la sécurité nationale et de la cybersécurité de Sécurité publique Canada, et le chef adjoint du CST. Sa composition est essentiellement semblable à celle du CSM sur la cybersécurité. Il est appuyé par le Comité des directeurs généraux sur la cybersécurité et son sous-groupe opérationnel, le Comité des directeurs généraux sur les cyberopérations Note de bas de page 348 . Le CSMA sur la cybersécurité se réunit aux dix semaines ou au besoin. Note de bas de page 349

218. Le Comité des sous-ministres sur les priorités et la planification intégrées est une autre entité de gouvernance qui assume des responsabilités liées aux considérations stratégiques en matière de cybersécurité à l'échelle du gouvernement. Comme énoncé dans la Politique sur les services et le numérique, le CSM sur les priorités et la planification intégrées agit à titre d'entité principale chargée d'améliorer le service à la clientèle et les opérations du gouvernement, et ce, par la gestion stratégique des services gouvernementaux, des informations, des données, des technologies de l'information et de la cybersécurité. Note de bas de page 350 Alors que le CSM sur la cybersécurité susmentionné se penche sur le renforcement de la coopération au sein de l'appareil de la sécurité et du renseignement et avec les secteurs de l'économie et de l'infrastructure essentielle, le CSM sur les priorités et la planification intégrées œuvre principalement à la gestion des technologies de l'information et de la prestation de services.

219. Lorsque la politique du Conseil du Trésor sur les services et le numérique a été approuvée, le CSM sur les priorités et la planification intégrées a créé de nouveaux mandats qui représentent mieux l'importance d'aborder les questions sur un plan horizontal, et de mettre l'accent sur l'amélioration de la prestation de services à la population canadienne. Note de bas de page 351 Conformément à la Politique sur les services et le numérique, l'objectif du CSM sur les priorités et la planification intégrées relativement à la cybersécurité est le suivant :

  • établir les priorités en ce qui concerne les services et les biens partagés ainsi que les investissements et les acquisitions liés aux technologies de l'information qui touchent l'ensemble du gouvernement ou qui requièrent le soutien de Services partagés Canada (SPC);
  • appuyer les ministères et leur permettre d'adopter des solutions organisationnelles pour des services courants;
  • examiner et approuver le plan d'investissement et de travail de SPC, et formuler des recommandations concernant les initiatives de transformation de SPC;
  • formuler des conseils et des recommandations stratégiques sur des questions liées à la gestion et à la prestation de services gouvernementaux aux particuliers et aux entreprises;
  • souscrire à l'architecture organisationnelle et aux normes des technologies de l'information à l'échelle du gouvernement.

220. Le Comité des sous-ministres sur les priorités et la planification intégrée est coprésidé par le secrétaire du Conseil du Trésor et la chef de l'exploitation pour Service Canada. Il est formé de huit membres de la haute direction au gouvernement, y compris le dirigeant principal du CST, le président de SPC, le dirigeant principal de l'information du Canada et le greffier adjoint du Conseil privé. Note de bas de page 352

Opérations, politiques et programmes

221. Le Comité des SMA tripartite sur la sécurité des technologies de l'information (Tripartite des SMA) est l'entité principale responsable de la gouvernance des initiatives de sécurité interministérielles liées aux technologies de l'information. Il est présidé par le dirigeant principal des technologies du SCT et se compose de sous-ministres du CST, de SPC et du SCT, et de ministères invités. Il oriente et surveille son comité de soutien tripartite des directeurs généraux sur la sécurité des technologies de l'information.

222. Le mandat du Tripartite des SMA se divise en deux parties. D'abord, à titre d'entité responsable de la prise de décisions, elle appuie la création, la prestation et la gestion efficaces des initiatives prioritaires en matière de sécurité des technologies de l’information qui touchent les systèmes internes du gouvernement, et l'ensemble de ses opérations. Conformément à cette partie de son mandat, le Tripartite des SMA doit :

  • fournir des conseils afin d'établir la direction des stratégies et des politiques dans le domaine de la sécurité des technologies de l'information;
  • orienter et conseiller le Comité tripartite des directeurs généraux (décrit ci-après) afin que les priorités stratégiques en matière de sécurité des technologies de l'information correspondent à la direction organisationnelle établie par le Tripartite des SMA;
  • soumettre des initiatives et des recommandations clés aux comités de la haute direction aux fins de considération ou de décision.

La seconde partie du mandat du Tripartite des SMA consiste à gérer des événements majeurs liés à la cybersécurité, lesquels seront abordés ci-après. Ce comité ad hoc a tenu quatre réunions depuis 2016.

223. Le Comité tripartite des directeurs généraux soutient activement le Tripartite des SMA. Son mandat consiste plus précisément à :

  • harmoniser les priorités stratégiques en matière de sécurité des technologies de l'information avec la direction organisationnelle établie par le Tripartite des SMA ou le CSMA sur les priorités et la planification intégrées;
  • conseiller, orienter, surveiller et diriger le CST, le SCT et SPC afin de cerner les problèmes et les obstacles majeurs pouvant ralentir la progression des initiatives de sécurité organisationnelles liées aux technologies de l'information;
  • surveiller l'état et la progression d'initiatives et de projets horizontaux précis du CST, du SCT et de SPC liés à la sécurité des technologies de l'information des organisations à l'échelle du gouvernement;
  • fournir au Tripartite des SMA une orientation stratégique en matière de cybersécurité et produire des rapports sur l'état, les risques et les questions concernant les initiatives à l'échelle du gouvernement en matière de sécurité des technologies de l'information du CST, SCT et SPC.

Le Comité tripartite des directeurs généraux est présidé par le SCT et comprend des représentants du SCT, du CCC, de SPC et des invités. Il se réunit environ dix fois par an. Le 9 juillet 2021, on a informé le CPSNR qu'en mars 2021, le Tripartite des SMA ainsi que trois autres comités au niveau du sous-dirigeant avaient été fusionnés pour former le nouveau Comité quadripartite des SMA. Le Comité tripartite des directeurs généraux soutient ce nouveau comité. Note de bas de page 353

Intervention en cas d'incident

224. Le Plan de gestion des événements de cybersécurité est le mécanisme principal régissant les rôles et les responsabilités en ce qui a trait aux interventions en cas d'incident de cybersécurité. Il sert de cadre opérationnel pour la gestion des événements de cybersécurité qui nuisent ou qui risquent de nuire à la capacité du gouvernement d'assurer la prestation de programmes et de services à la population canadienne. Conformément à la politique sur la sécurité du gouvernement, le SCT a publié le plan pour la première fois en 2015 et l'a mis à jour en 2019. À l'heure actuelle, le SCT révise le plan afin que les rôles et les responsabilités du nouveau CCC soient clairement définis Note de bas de page 354 . Le Plan de gestion des événements de cybersécurité s'applique à tous les ministères et les organismes assujettis à la Politique sur la sécurité du gouvernement (110 ministères et organismes, à ce jour). Note de bas de page 355

Niveaux d'intervention du Plan de gestion des événements de cybersécurité

225. Le plan comporte quatre niveaux qui dictent l'intervention du gouvernement en cas d'événement de cybersécurité ciblant ses systèmes et ses réseaux. Les niveaux d'intervention se fondent sur deux facteurs : la gravité et la portée. On mesure la gravité d'un incident de cybersécurité au moyen d'évaluations ministérielles normalisées du préjudice, y compris les dommages causés à la santé et à la sécurité des particuliers; des pertes financières ou des difficultés économiques touchant des particuliers, des entreprises ou l'économie; de l'incidence sur les services et les programmes gouvernementaux, sur l'ordre civil ou sur la souveraineté nationale; des atteintes portées à la réputation de particuliers, d'entreprises ou du gouvernement ainsi qu'aux relations fédérales-provinciales et internationales. La portée d'un événement est mesurée selon le nombre de personnes, d'organisations, d'installations, de systèmes et de secteurs géographiques touchés par l'événement ainsi que la durée anticipée du préjudice. En se basant sur leur analyse, les ministères rapportent au CCC les conséquences attendues d'une compromission. Celles-ci peuvent être mineures (p. ex. dommages physiques ou difficultés financières touchant un particulier, légère nuisance à la prestation de services d'un ministère) comme elles peuvent être très graves (grave préjudice à la sécurité publique, à la sécurité nationale ou à l'économie, perte de confiance envers le gouvernement).

226. En se basant sur cet apport ministériel, le CCC et le SCT ont recours à une matrice normalisée afin de déterminer le niveau d'intervention global du gouvernement. Note de bas de page 356 Cette matrice tient compte de la probabilité qu'une compromission ait une incidence sur un ou plusieurs programmes ou services gouvernementaux internes, si des services externes sont touchés, et s'il est possible que le préjudice s'étende davantage. Le CCC et le SCT se fondent sur ces valeurs pour déterminer le niveau d'intervention requis, qui s'échelonne du niveau 1 (ne requiert qu'une coordination minime du gouvernement) au niveau 4 (requiert une coordination maximale). Voici les quatre niveaux d'intervention du gouvernement :

  • Niveau 1 : La mise en application du plan n'est pas requise. De tels événements ne nécessitent qu'une intervention ministérielle et un niveau de coordination gouvernementale normal. Les ministères interviennent conformément aux procédures internes normales, appliquent les mesures préventives habituelles et communiquent avec le CCC pour obtenir des directives et des conseils.
  • Niveau 2 : La gravité et la portée de l'événement de cybersécurité sont supérieures au niveau 1, et le plan doit être appliqué : une intervention limitée à l'échelle du gouvernement est requise. Tous les intervenants principaux se tiennent à un palier d'alerte accru quant aux cyberactivités. Cela consiste à surveiller les capteurs ministériels à l'échelle du gouvernement (p. ex. capteurs réseau et capteurs sur l'hôte) pour vérifier si l'événement a eu des répercussions sur d'autres ministères, et faire en sorte que toute incidence réelle ou potentielle soit maîtrisée et atténuée. On fait appel aux intervenants spécialisés lorsque la menace ou l'incident a trait au crime, au terrorisme ou à la défense nationale.
  • Niveau 3 : La gravité et la portée de l'événement de cybersécurité sont supérieures au niveau 2 et requièrent une intervention immédiate et exhaustive à l'échelle du gouvernement. L'intervention lors d'un incident de ce niveau est coordonnée à l'aide de la structure de gouvernance du plan, dans le cadre de laquelle les ministères et organismes reçoivent en continu des directives sur la marche à suivre.
  • Niveau 4 : La gravité et la portée de tels événements relèvent du niveau maximal. On les considère comme des « événements graves et catastrophiques » qui ont une incidence sur de nombreuses institutions, sur la confiance envers le gouvernement ou sur d'autres aspects de l'intérêt national. On fait alors appel au Plan fédéral d'intervention d'urgence de Sécurité publique Canada, qui établit les mécanismes et les processus permettant d'harmoniser l'intervention du gouvernement fédéral en cas d'urgence. Note de bas de page 357 À ce jour, on ne rapporte aucun cyberincident de niveau 4. Note de bas de page 358

Les événements de cybersécurité sont dynamiques, et leur préjudice et leur portée peuvent s'aggraver ou s'atténuer à mesure qu'ils se déroulent. Ainsi, au cours d'un événement de cybersécurité donné, le gouvernement peut augmenter ou diminuer son niveau d'intervention. Les décisions relatives à l'augmentation ou à la diminution du niveau d'intervention du gouvernement sont prises par des entités de gouvernance de plus en plus haut placées, décrites ci-dessous.

Entités de gouvernance liées au Plan de gestion des événements de cybersécurité

227. Le Plan de gestion des événements de cybersécurité fait appel à trois catégories d'intervenants. Le SCT et le CCC agissent à titre d'intervenants principaux et sont mobilisés lors d'événements de niveaux 2 et 3. Le CCC fournit aussi des conseils et des directives dans le contexte des événements de niveau 1. En tant qu'intervenants spécialisés, Sécurité publique Canada, SPC, la GRC, le SCRS et le MDN/FAC sont mobilisés lorsque surviennent des incidents ou des menaces de cybersécurité confirmés, selon leur mandat et leurs champs d'expertise. Le plan répertorie aussi d'autres intervenants jouant divers rôles liés à la cyberdéfense, y compris le Bureau du dirigeant principal de l'information du Canada, le Centre des opérations du gouvernement, le Bureau du Conseil privé, le Comité canadien chargé des systèmes de sécurité nationale du CST (responsable de la gouvernance et de la protection des systèmes Très secret) Note de bas de page 359 , le Comité des directeurs généraux sur l'intervention en cas d'incident et des partenaires externes, tels que des fournisseurs du secteur privé et d'autres niveaux de gouvernement.

228. Le plan établit les trois entités de gouvernance chargées d'accorder la priorité aux interventions du gouvernement en cas de cyberincidents graves et de gérer l'augmentation du niveau d'intervention en cas d'événements de cybersécurité :

  • Équipe de coordination des événements : Ce groupe d'intervenants de niveau opérationnel est coprésidé par le SCT et le CCC. Il est mobilisé lors d'événements de niveau 2, ou lorsque d'autres entités de gouvernance font appel à lui dans le contexte d'événements de niveaux 3 ou 4. L'équipe de coordination des événements collabore avec des intervenants afin de recommander des voies à suivre et de veiller à ce que l'équipe de direction (ci-dessous) soit informée de la situation.
  • Équipe de direction : Ce comité au niveau des directeurs généraux est coprésidé par le SCT et le CCC. Il intervient lors d'événements de niveau 3. L'équipe de direction fournit une orientation stratégique à l'équipe de coordination des événements et veille à ce que les représentants principaux du gouvernement soient informés de la situation.
  • Tripartite des SMA : Ce comité des sous-ministres adjoints est présidé par le dirigeant principal des technologies du SCT. On fait appel à lui lors d'événements de niveau 3. Il oriente l'intervention de l'équipe de direction et la prise de mesures d'atténuation. En outre, il lui incombe de s'assurer que les sous-ministres sont informés de la situation. Dans l'éventualité d'un incident de niveau 4, le Tripartite des SMA appuierait au besoin le Comité des sous-ministres adjoints sur le Plan fédéral d'intervention en cas d'urgence. C'est le sous-dirigeant du CCC et le sous-ministre adjoint de SPC, Réseaux, sécurité et services numériques qui coprésident ce comité.

Les trois entités de gouvernance peuvent faire appel à d'autres ministères au besoin. Par exemple, lorsqu'un événement est lié à des préoccupations en matière de sécurité nationale ou pourrait être de nature criminelle, toutes les équipes de gouvernance peuvent avoir recours à des représentants du SCRS et de la GRC, respectivement. Les ministères qui sont directement touchés par des menaces ou des incidents précis sont invités à participer aux discussions relatives à la gouvernance.

Les étapes du processus de gestion des événements de cybersécurité

229. Le processus de gestion des événements de cybersécurité comporte quatre étapes : la préparation; la détection et l'évaluation; l'atténuation et la reprise; et les activités post-événements.

230. Lors de la préparation, une série d'étapes doit être suivie afin que le gouvernement soit prêt à intervenir en cas d'événement de cybersécurité. Celles-ci comprennent l'établissement des rôles et des responsabilités, la mise à l'essai des plans et des procédures, la formation des employés et l'application de mesures de protection et de prévention au niveau des systèmes hôtes, des applications et des réseaux des systèmes d'information du gouvernement. Dans le cadre de cette étape continue, tous les intervenants du Plan de gestion des événements de cybersécurité, y compris les ministères et les organismes visés par le plan, sont responsables de la mise en œuvre de telles mesures au sein de leur secteur de responsabilité respectif. Pour sa part, le SCT est chargé d'élaborer et d'entretenir le plan, de coordonner régulièrement des exercices avec tous les intervenants participants et d'examiner les rapports de leçons à retenir concernant des événements antérieurs afin de guider les changements de politiques. Il incombe au CCC de faire en sorte que les ministères et les organismes reçoivent les directives et les conseils requis pour atténuer les cybermenaces et les vulnérabilités et ainsi prévenir les incidents de cybersécurité.

231. La seconde étape, celle de la détection et de l'évaluation, consiste en la surveillance des événements de cybersécurité émergents et l'évaluation de l'incidence potentielle ou réelle sur la prestation de services gouvernementaux, les opérations gouvernementales ou la confiance envers le gouvernement. Dans le cadre de cette étape, le CCC est chargé de surveiller les sources et l'information techniques rapportées par d'autres intervenants; le périmètre du gouvernement et tous les points d'entrée visibles au CCC; les environnements infonuagiques; les réseaux et les sources de renseignement du gouvernement; et l'information issue de sources intérieures ou étrangères. Le MDN/FAC est responsable de la surveillance de tous les réseaux gérés par le MDN. Pour leur part, la GRC et le SCRS sont respectivement chargés de surveiller l'information issue de sources de surveillance du crime et de sources de renseignement.

232. Le Plan de gestion des événements de cybersécurité engage un certain nombre de responsabilités générales et particulières. De manière générale, les organisations sont tenues de mettre en œuvre des paramètres de sécurité conformes à la Politique sur la sécurité du gouvernement. En outre, elles doivent aviser les autorités appropriées lorsqu'un événement s'inscrit dans le champ de la sécurité nationale ou de l'application de la loi. Plus précisément, les principaux intervenants spécialisés sont tenus de signaler les événements de cybersécurité au SCT et au CCC, et, lorsqu'ils ont trait au crime, au terrorisme ou à l'armée, à la GRC, au SCRS et au MDN, respectivement. Quand le CCC reçoit de l'information concernant un événement de cybersécurité potentiel ou réel, il détermine le niveau d'intervention initial du gouvernement après consultation avec le SCT, et d'autres partenaires, au besoin.

233. La troisième étape du plan consiste en l'atténuation et la reprise. L'objectif de cette étape est d'atténuer les événements avant qu'ils donnent lieu à des incidents, et de maîtriser et de minimiser les répercussions des incidents qui sont survenus afin d'assurer un retour rapide aux opérations normales. Les interventions peuvent se traduire par l'installation de rustines, la maîtrise et l'atténuation d'un incident, le recours à des plans de continuité organisationnelle et de reprise à la suite d'une catastrophe, ou la fermeture temporaire des services vulnérables.

234. Les rôles et les responsabilités des ministères visés en matière d'atténuation et de reprise sont établis dans le plan. En ce qui concerne les événements de niveau 3 (et certains événements de niveau 2 selon la décision des intervenants participants), le SCT se charge de la coordination stratégique, y compris de l'orientation stratégique des ministères pour ce qui est de minimiser l'incidence des événements de cybersécurité à l'échelle du gouvernement. Le Centre des opérations du gouvernement s'acquitterait de ce rôle dans l'éventualité d'un événement de niveau 4. Pour sa part, le CCC est responsable de la coordination des opérations lors d'événements de tout niveau, y compris de l'orientation technique et de la prestation de conseils aux ministères en ce qui a trait à l'atténuation et aux mesures de maîtrise de l'événement. Dans le cadre du plan, tous les principaux intervenants spécialisés fournissent des conseils et des directives selon les renseignements obtenus de leurs sources respectives. Enfin, les ministères et organismes doivent mettre en œuvre les directives fournies par le CCC et le SCT dans le respect des échéances fixées.

235. En ce qui concerne tous les événements de niveaux 3 et 4 (et certains événements de niveau 2 selon la décision des intervenants participants), le CCC dirige l'élaboration et la mise en œuvre d'un plan de maîtrise de l'incident à l'échelle du gouvernement, et organise une intervention ciblée. De plus, il mène des examens et des analyses judiciaires des systèmes de technologies de l'information en collaboration avec les ministères touchés. Les ministères et organismes ainsi que les fournisseurs de service mettent en œuvre le plan de maîtrise de l'incident, et SPC travaille à cerner et à signaler les systèmes touchés ou vulnérables.

236. La quatrième étape du Plan de gestion des événements de cybersécurité se rapporte aux activités post-événements. Les ministères mènent alors des analyses à la suite de l'événement et déterminent les leçons à retenir afin d'améliorer le processus de gestion des événements de cybersécurité. Dans le cadre de cette étape, les ministères et organismes touchés doivent produire un rapport sur les leçons à retenir et un plan d'action, et contribuer aux activités post-événements au besoin. Le CCC compile les constats des ministères et produit un rapport post-événement, qui comprend un échéancier des événements et une analyse de l'origine. En ce qui concerne les événements de niveau 3 (et certains événements de niveau 2 selon la décision des intervenants participants), le SCT doit produire un rapport sur les leçons à retenir et un plan d'action au nom du gouvernement. Il doit également surveiller la mise en œuvre des recommandations. Le Centre des opérations du gouvernement doit produire un rapport sur les leçons à retenir et un plan d'action semblables dans l'éventualité d'un événement de niveau 4. Enfin, tous les autres intervenants doivent appuyer la création de rapports sur les leçons à retenir à l'échelle du gouvernement et mettre en œuvre des mesures de suivi au sein de leur secteur de responsabilité respectif. Note de bas de page 360