Annexe A : Conclusions et recommandations de l’examensu sur les moyens de cyberdéfense
Le Comité des parlementaires sur la sécurité nationale et le renseignement : Rapport annuel 2021

Description

Rapport spécial qui porte sur la menace que font peser les cyberacteurs malveillants sur les systèmes du gouvernement, examine l’évolution des politiques et lois du gouvernement du Canada en matière de cyberdéfense, évalue les rôles et responsabilités des organisations gouvernementales pertinentes, et examine des études de cas pertinentes sur des cas de cybercompromission des systèmes du gouvernement lors de cyberattaques.

Conclusions

Conclusions Le Comité formule les conclusions suivantes :

C1.

Les cybermenaces envers les systèmes et les réseaux du gouvernement présentent un risque important à la sécurité nationale et à la continuité des activités du gouvernement. Les États-nations constituent les auteurs de menace les plus sophistiqués, mais tout acteur ayant des intentions malveillantes et des capacités avancées expose les données et l’intégrité de l’infrastructure numérique du gouvernement à un risque.

C2.

Le gouvernement a mis en place un cadre « horizontal » rigoureux dans le but de se défendre contre les cyberattaques. Le Secrétariat du Conseil du Trésor du Canada, Services partagés Canada et le Centre de la sécurité des télécommunications jouent un rôle essentiel dans ce cadre. Néanmoins, ce cadre horizontal semble de moins en moins compatible avec les pouvoirs « verticaux » en place de chaque ministère au titre de la Loi sur la gestion des finances publiques.

C3.

Le gouvernement a établi des mécanismes de gouvernance clairs à I’appui de l’élaboration de politiques de cyberdéfense stratégiques, de la gestion efficace des initiatives liées à la sécurité des technologies de l’information qui touchent les activités de l’ensemble du gouvernement, ainsi que de l’intervention du gouvernement face aux cyberincidents. Le cadre a évolué au fil du temps en réponse aux changements apportés aux politiques, à l’appareil et à l’environnement de cybermenace du gouvernement.

C4.

L’efficacité du cadre est affaiblie en raison de l’application non uniforme des responsabilités en matière de sécurité et de l’utilisation incohérente des services de cyberdéfense. Voici certaines des faiblesses :

• Les politiques du Conseil du Trésor relatives à la cyberdéfense ne sont pas appliquées de manière uniforme aux ministères et aux organismes. Par conséquent, les organisations n’exercent pas les mêmes responsabilités, exigences et pratiques, créant ainsi des lacunes dans la protection des réseaux du gouvernement contre les cyberattaques.
• Les sociétés d’État, et possiblement certains secteurs d’intérêt du gouvernement, constituent des cibles connues des acteurs étatiques, mais ne sont pas assujetties aux directives ou aux politiques liées au cyberenvironnement du Conseil du Trésor, et ne sont pas tenues de se procurer les services de cyberdéfense du gouvernement. Cette situation expose l’intégrité de leurs données et de leurs systèmes à un risque, et expose possiblement ceux du gouvernement à un risque important.
• Les services de cyberdéfense sont offerts de manière non uniforme. Même si Services partagés Canada offre certains services à 160 des 169 organisations fédérales, seules 43 d’entre elles reçoivent l’ensemble complet de ses services. Le Centre de la sécurité des télécommunications fournit des services à l’appui de ceux de Services partagés Canada et dans le cadre d’ententes avec certaines organisations. Ce manque d’uniformité fait en sorte que ces organisations de même que le reste du gouvernement courent des risques, et limite l’efficacité globale du programme de cyberdéfense du CST.

Recommandations

Le Comité formule les recommandations suivantes :

R1.

Le gouvernement doit continuer de renforcer son cadre visant à défendre ses réseaux contre les cyberattaques en s’assurant que ses pouvoirs et ses programmes de cyberdéfense sont modernisés à mesure qu’évoluent la technologie et d’autres facteurs pertinents, y compris de les harmoniser au cadre horizontal de la cyberdéfense qui est apparu au cours de la dernière décennie.

R2.

Dans la mesure du possible, le gouvernement doit :

• appliquer les politiques du Conseil du Trésor relatives à la cyberdéfense de manière uniforme dans les ministères et organismes;
• étendre les politiques du Conseil du Trésor relatives à la cyberdéfense à toutes les organisations fédérales, y compris les petits organismes, les sociétés d’État et les autres organisations fédérales qui ne sont pas actuellement assujettis aux politiques et aux directives du Conseil du Trésor liées a la cyberdéfense;
• étendre les services avancés de cyberdéfense, notamment le Service Internet d’entreprise de Services partagés Canada et les capteurs de cyberdéfense du Centre de la sécurité des télécommunications, à toutes les organisations fédérales.

Statut

Le gouvernement a fourni les réponses suivantes aux recommandations du Comité.

Réponse à R1 : Approuvée. Sécurité publique Canada, le Centre de la sécurité des télécommunications et le Secrétariat du Conseil du Trésor du Canada conviennent que le gouvernement doit continuer de renforcer son cadre servant à défendre ses réseaux des cyberattaques, en veillant à ce que les pouvoirs et les programmes connexes soient modernisés à mesure qu’évoluent les technologies et les autres facteurs pertinents.

Sécurité publique Canada, le Centre de la sécurité des télécommunications et le Secrétariat du Conseil du Trésor du Canada continueront de travailler en collaboration en vue d’harmoniser le cadre horizontal de cybersécurité, dans le but de veiller à ce qu’une structure de gouvernance appropriée soit en place pour faire progresser la politique de cybersécurité.

Responsables : Sécurité publique Canada, en consultation avec le Centre de la sécurité des télécommunications et le Secrétariat du Conseil du Trésor du Canada.

Réponse à R2.1 : Approuvée. Le Secrétariat du Conseil du Trésor du Canada examinera le cadre stratégique du Conseil du Trésor afin de s’assurer que les politiques de cyberdéfense soient appliquées aussi uniformément que possible aux ministères et organismes. Cela comprend l’harmonisation de la portée de la Politique sur la sécurité du gouvernement avec la Politique sur les services et le numérique.

Responsable : Secrétariat du Conseil du Trésor du Canada.

Réponse à R2.2 : Approuvée. Le Secrétariat du Conseil du Trésor du Canada entreprendra un examen du cadre stratégique du Conseil du Trésor afin d’étudier et de cerner les options éventuelles permettant d’étendre les politiques du Conseil du Trésor relevant de la cyberdéfense à toutes les organisations fédérales, y compris les petits organismes, les sociétés d’État et les autres organisations fédérales qui ne sont pas actuellement assujettis aux politiques et aux directives du Conseil du Trésor en lien avec la cyberdéfense. Cet examen tiendra compte de la Loi sur la gestion des finances publiques et des pouvoirs attribués en vertu de celle-ci, ainsi que toute considération juridique.

Responsable : Secrétariat du Conseil du Trésor du Canada.

Réponse à R2.3 : Approuvée. Le Secrétariat du Conseil du Trésor du Canada, en consultation avec Services partagés Canada et le Centre de la sécurité des télécommunications, convient que le gouvernement devrait étendre à l’ensemble des organisations fédérales ses services de cyberdéfense avancés, notamment le service Internet d’entreprise de Services partagés Canada et les capteurs de cyberdéfense du Centre de la sécurité des télécommunications, dans la mesure du possible. Le Secrétariat du Conseil du Trésor du Canada continuera de renforcer ses mesures de cyberdéfense dans le cadre de ses modifications apportées à la Politique sur les services et le numérique, en s’appuyant notamment sur les procédures obligatoires décrites à l’annexe G : Norme relative aux configurations communes des services informatiques intégrés de la Directive sur les services et le numérique qui sera publiée au début de 2022.

Services partagés Canada, en consultation avec le Secrétariat du Conseil du Trésor du Canada et le Centre de la sécurité des télécommunications, évalue, dans le cadre d’une étude financée, la situation actuelle des petits ministères et organismes (PMO) qui n’ont pas adopté le service Internet d’entreprise de Services partagés Canada. L’évaluation a pour but de produire une analyse de rentabilisation chiffrée décrivant le financement nécessaire pour migrer les PMO au service Internet d’entreprise de Services partagés Canada, d’éliminer le recours à des services Internet qui ne sont pas gérés par Services partagés Canada, et de fournir d’autres services intégrés (y compris les capteurs de cyberdéfense du Centre de la sécurité des télécommunications), ce qui permettra d’améliorer la sécurité des PMO et de réduire l’exposition aux menaces des réseaux intégrés du gouvernement.

Le Centre de la sécurité des télécommunications, en consultation avec le Secrétariat du Conseil du Trésor du Canada, étudiera les options permettant de fournir les capteurs de cyberdéfense du Centre de la sécurité des télécommunications à l’ensemble des organisations fédérales.

Responsables : Secrétariat du Conseil du Trésor du Canada, en consultation avec Services partagés Canada et le Centre de la sécurité des télécommunications.