Conclusions
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques

259. Le Comité formule les conclusions suivantes :

C1.

Les cybermenaces envers les systèmes et les réseaux du gouvernement présentent un risque important à la sécurité nationale et à la continuité des activités du gouvernement. Les États-nations constituent les auteurs de menace les plus sophistiqués, mais tout acteur ayant des intentions malveillantes et des capacités avancées expose les données et l'intégrité de l'infrastructure numérique du gouvernement à un risque. (Paragraphes 25 à 64)

C2.

Le gouvernement a mis en place un cadre « horizontal » rigoureux dans le but de se défendre contre les cyberattaques. Le Secrétariat du Conseil du Trésor du Canada, Services partagés Canada et le Centre de la sécurité des télécommunications jouent un rôle essentiel dans ce cadre. Néanmoins, ce cadre horizontal semble de moins en moins compatible avec les pouvoirs « verticaux » en place de chaque ministère au titre de la Loi sur la gestion des finances publiques. (Paragraphes 95 à 213)

C3.

Le gouvernement a établi des mécanismes de gouvernance clairs à l'appui de l'élaboration de politiques de cyberdéfense stratégiques, de la gestion efficace des initiatives liées à la sécurité des technologies de l'information qui touchent les activités de l'ensemble du gouvernement, ainsi que de l'intervention du gouvernement face aux cyberincidents. Le cadre a évolué au fil du temps en réponse aux changements apportés aux politiques, à l'appareil et à l'environnement de cybermenace du gouvernement. (Paragraphes 214 à 236)

C4.

L'efficacité du cadre est affaiblie en raison de l'application non uniforme des responsabilités en matière de sécurité et de l'utilisation incohérente des services de cyberdéfense. Voici certaines des faiblesses :

• Les politiques du Conseil du Trésor relatives à la cyberdéfense ne sont pas appliquées de manière uniforme aux ministères et aux organismes. Par conséquent, les organisations n'exercent pas les mêmes responsabilités, exigences et pratiques, créant ainsi des lacunes dans la protection des réseaux du gouvernement contre les cyberattaques. (Paragraphes 95 à 125)
• Les sociétés d'État, et possiblement certains secteurs d'intérêt du gouvernement, constituent des cibles connues des acteurs étatiques, mais ne sont pas assujettis aux directives ou aux politiques liées au cyberenvironnement du Conseil du Trésor, et ne sont pas tenus de se procurer les services de cyberdéfense du gouvernement. Cette situation expose l'intégrité de leurs données et de leurs systèmes à un risque, et expose possiblement ceux du gouvernement à un risque important. (Paragraphes 251 à 254)
• Les services de cyberdéfense sont offerts de manière non uniforme. Même si Services partagés Canada offre certains services à 160 des 169 organisations fédérales, seuls 43 d'entre elles reçoivent l'ensemble complet de ses services. Le Centre de la sécurité des télécommunications fournit des services à l'appui de ceux de Services partagés Canada et dans le cadre d'ententes avec certaines organisations. Ce manque d'uniformité fait en sorte que ces organisations de même que le reste du gouvernement courent des risques, et limite l'efficacité globale du programme de cyberdéfense du CST. (Paragraphes 126 à 153)