Vérification de la sécurité de l'information

Contexte
Objectifs et étendue de la vérification
Critères utilisés
Observations et recommandations

Contexte

L'information est le moteur du gouvernement

9.6 Peu d'entre nous connaissons les répercussions qu'ont les ordinateurs de l'administration fédérale dans notre quotidien. Chaque fois que nous soumettons une déclaration d'impôt, que nous remplissons une demande de prestations de la Sécurité de la vieillesse ou que nous demandons un numéro d'assurance sociale, l'information que nous fournissons entre dans les vastes systèmes informatiques du gouvernement.

9.7 Dans les ministères, il n'y a que très peu d'activités qui ne soient pas plus ou moins informatisées. Les ordinateurs sont au coeur d'un grand nombre d'opérations des ministères. Ils fournissent de l'information pour faciliter la prise de décisions ainsi que les fonctions administratives et financières et permettent de fournir des services à la population.

9.8 La Politique concernant la sécurité du gouvernement, approuvée en juin 1986, exige de l'administration fédérale qu'elle protège suffisamment toute l'information classifiée et délicate qu'elle détient. Elle dévolue également aux sous-ministres la responsabilité de la protection de l'information et des autres biens qui leur sont confiés. Cette année, nous avons examiné la sécurité informatique et la sécurité des télécommunications qui s'y rattachent, que nous avons regroupées avec la gestion de ces secteurs, sous l'appellation «sécurité de l'information».

9.9 Un programme de sécurité efficace englobe plusieurs aspects de la sécurité étroitement liés entre eux (voir la pièce 9.1). Chacun contribue à la fiabilité du système de sécurité.

La pièce n'est pas disponible

L'information est exposée à des risques

9.10 L'une des importantes responsabilités de la haute direction des ministères est de prendre des précautions raisonnables pour protéger les biens des ministères, y compris l'information, dont la majeure partie est stockée en ordinateur. L'informatisation facilite l'utilisation des données, mais elle les rend aussi plus vulnérables. Il devient beaucoup plus difficile de protéger de l'information qui est diffusée dans tout le gouvernement, qui est relativement facile d'accès et exposée à toutes sortes de menaces, comme l'illustre la pièce 9.2.

La pièce n'est pas disponible

9.11 De nouvelles menaces planent sur les systèmes informatisés. Le terme «virus informatique» est souvent utilisé pour désigner une catégorie de programmes créés et disséminés dans l'intention d'endommager des ordinateurs ou d'en dérégler le fonctionnement, c'est-à-dire leur faire des choses pour lesquelles ils ne sont pas conçus. Les virus informatiques, qui sont en mesure de se «reproduire» et de se propager, ne sont qu'un exemple de l'utilisation à mauvais escient des logiciels, qui peuvent endommager considérablement les ordinateurs. Jusqu'à maintenant, on a relevé près de 200 virus différents.

9.12 L'«intrusion informatique» est en quelque sorte l'équivalent électronique d'une entrée par effraction. Des utilisateurs non autorisés accèdent à un système. Ils peuvent parcourir les fichiers, copier des données ou endommager le système. Les centres de traitement de données ont besoin d'un éventail de mesures de sécurité pour se protéger de ces intrus et d'autres menaces.

9.13 Des changements récents survenus dans les milieux où l'on utilise la technologie de l'information ont accru la vulnérabilité des ordinateurs :

L'utilisation de la technologie croît rapidement dans l'administration fédérale et, parallèlement, gagne en complexité; par exemple, on compte maintenant plus de 80 000 postes de travail informatisés et plus de 500 mini-ordinateurs et gros ordinateurs.
Le traitement des données est de plus en plus décentralisé et une quantité croissante d'information est traitée à distance des principaux centres de traitement. La majeure partie de ces données ne sont donc plus protégées par des contrôles traditionnels du traitement électronique des données (TÉD).
Les utilisateurs ne sont pas en général des informaticiens, et la plupart ne reçoivent pas de formation en sécurité.
Le nombre de personnes qui sont à la fois versées en informatique et désireuses d'accéder illégalement aux systèmes informatisés de l'administration fédérale va croissant.
Il est maintenant plus facile de dérober ou de copier de grands volumes de données réunies puisqu'une disquette assez petite pour être glissée dans sa poche ou dans son sac à main peut renfermer des milliers de pages d'information.
Il est difficile de déceler les cas où l'on a copié des données informatiques.
De vastes réseaux de communication relient maintenant les ordinateurs. De plus, on peut avoir accès, par téléphone, à un grand nombre de gros ordinateurs. Pour moins de 1 000 $, il est possible de se procurer du matériel et des logiciels qui permettent de s'introduire, en composant un numéro, dans des systèmes et des réseaux informatiques.

Les menaces qui planent sur nos systèmes sont bien réelles

9.14 Pendant une période de quatre mois, de janvier à avril 1990, on a signalé 21 incidents où des virus ont infesté plusieurs centaines de micro-ordinateurs du gouvernement au sein de l'administration fédérale. Pendant la même période, il s'est produit une infraction à la sécurité qui a entraîné l'infestation de 28 micro-ordinateurs sur la colline du Parlement. La Gendarmerie royale du Canada (GRC) a signalé jusqu'à maintenant onze cas d'intrusion illégale de systèmes informatiques du gouvernement. Des employés mécontents ont aussi endommagé des ordinateurs. Selon la GRC, dans la plupart des cas, les problèmes auraient pu être évités si l'on avait observé des pratiques élémentaires de sécurité.

9.15 L'année dernière, les demandes d'enquêtes sur des activités criminelles - par exemple, des violations de droits d'auteur ou des cas de fraude informatique - présentées à la Sous-direction de la sécurité informatique de la GRC ont doublé.

Répercussions sérieuses possibles sur les Canadiens

9.16 Les virus, l'intrusion illégale et l'endommagement du matériel peuvent entraîner la divulgation d'information de nature délicate ou la perturbation de services. Voici des répercussions possibles :

situation embarrassante pour le gouvernement et perte de crédibilité,
versement tardif de prestations de sécurité sociale ou de sommes dues à l'État,
mise en péril d'information confidentielle sur des entreprises,
perturbation des services dispensés à la population,
obstruction de la capacité du gouvernement à percevoir des recettes,
mise en péril de renseignements personnels.

La sécurité a un prix

9.17 La croissance soudaine de l'utilisation de la technologie de l'information, au cours des cinq dernières années, a rendu la sécurité de l'information plus importante que jamais.

9.18 Il n'est pas possible d'évaluer dans leur intégralité les pertes que le gouvernement pourrait essuyer à moins que les ministères déterminent d'abord la valeur et la nature délicate de l'information qu'ils détiennent. La sécurité est par définition «préventive», comme les ceintures de sécurité. Même si la plupart des gens n'ont jamais été victimes d'un grave accident de la route, ils portent toujours leur ceinture. Nous n'en apprécions jamais les avantages à leur juste valeur tant que nous n'avons pas d'accident.

9.19 De la même façon, la sécurité de l'information est question de bon sens. Il s'agit d'un prix légitime et nécessaire à payer pour pouvoir gérer l'information. Les ministères devraient prendre en considération tant le prix à payer pour mettre en place des contrôles que les pertes qu'ils pourraient subir à défaut de le faire. Les coûts de la sécurité devraient être proportionnés aux besoins et incorporés dans les coûts du cycle de vie de tous les systèmes informatiques.

Objectifs et étendue de la vérification

9.20 Notre vérification avait pour objectif d'évaluer si la gestion de la sécurité de l'information était suffisante. La «sécurité de l'information» devrait :

décourager la divulgation non autorisée ou prématurée d'information conservée en ordinateur;
protéger l'intégrité de l'information en empêchant sa destruction, le retrait non autorisé ou sa modification;
éviter toute interruption des services de traitement des données de sorte qu'on puisse les consulter au besoin.

9.21 Nous avons également vérifié si les avis, conseils, politiques et normes ainsi que la formation et la documentation sur la sécurité de l'information que transmettent les organismes centraux et les organismes d'encadrement aux ministères étaient suffisants.

9.22 Nous estimons que la sécurité est l'affaire des cadres supérieurs. Nous sommes donc concentrés sur la gestion des programmes de sécurité de l'information dans les ministères et sur l'orientation qui est donnée aux cadres supérieurs. Nous n'avons pas examiné le caractère sécuritaire de centres et d'applications informatiques.

9.23 Nos constatations indiquent le degré de sécurité, au 31 mars 1990, de l'information que détenait l'administration fédérale.

9.24 Cette année, nous sommes concentrés sur les ministères qui traitent surtout de l'information délicate dont la mise en péril pourrait faire du tort à des intérêts privés ou publics. Nous n'avons pas examiné des ministères comme la Défense nationale qui détiennent la majeure partie des renseignements «confidentiels» pour des raisons de sécurité nationale.

9.25 Voici les 13 ministères et organismes que comprend notre échantillon :

la Commission de l'emploi et de l'immigration du Canada,

le ministère des Communications,

le ministère de l'Énergie, des Mines et des Ressources,

le ministère de l'Environnement,

le ministère des Finances,

le ministère des Affaires indiennes et du Nord canadien,

le ministère de la Santé nationale et du Bien-être social,

le ministère du Revenu national, Douanes et Accise,

le ministère du Revenu national, Impôt

le ministère des Approvisionnements et Services,

le ministère des Transports,

la Gendarmerie royale du Canada,

Statistique Canada.

9.26 Nous avons aussi inclus les organismes centraux et les organismes d'encadrement qui assurent en grande partie l'orientation à l'échelle de l'administration fédérale et le soutien au chapitre de la sécurité de l'information :

le Secrétariat du Conseil du Trésor (SCT)

détermine les besoins constants en matière d'orientation générale; élabore et fait paraître des politiques et normes sur la sécurité approuvées par le Conseil du Trésor;

la Gendarmerie royale du Canada (GRC)

élabore des normes en matière de sécurité informatique, fournit des conseils sur ces questions et sur d'autres questions de sécurité, vérifie la sécurité informatique dans les ministères, dispense de la formation en sécurité, présente des rapports chaque année au SCT sur la sécurité des installations informatiques dans les ministères;

le Centre de la sécurité des télécommunications (CST)/Ministère de la Défense nationale

élabore des normes en matière de sécurité des télécommunications, fournit des conseils à ce chapitre et sur d'autres questions de sécurité, dispense de la formation, fait rapport au Conseil du Trésor sur la sécurité des communications, s'il y a lieu, examine les pratiques des ministères sur demande, effectue de la recherche-développement ainsi que de l'évaluation des aspects sécuritaires du matériel informatique, des logiciels et des systèmes de télécommunication;

le ministère des Communications (DC)

veille, après consultation du CST, à ce que les ministères soient conscients de la nécessité de mesures de sécurité pour les télécommunications, cerne les besoins et prodigue des conseils.

Critères utilisés

9.27 Une bonne sécurité de l'information, au sein du gouvernement, comporte les éléments suivants :

une orientation précise et un appui solide dispensés par les organismes centraux et par les organismes d'encadrement, afin d'assurer l'application uniforme économique des mesures de sécurité dans toute l'administration fédérale;
une haute direction soucieuse de la sécurité dans les ministères;
un fondement ministériel sur lequel on puisse bâtir la sécurité, y compris :

- un inventaire et une classification de ce que l'on détient en fait d'information,

- des ressources suffisantes et une répartition claire des rôles et des responsabilités,

- un personnel qui se consacre à la coordination de la sécurité de l'information,

- des politiques, procédés et normes de sécurité au niveau des ministères;

l'évaluation des menaces et des risques auxquels sont exposés les systèmes informatiques;
l'élaboration et la mise à l'essai de plans de secours officiels;
des dispositifs de protection qui correspondent aux risques et sont conformes à la politique et aux normes du gouvernement;
une surveillance périodique et formelle de la mise en application de ces dispositifs;
une formation appropriée à l'intention du personnel de sécurité;
un programme structuré et obligatoire de sensibilisation aux questions de sécurité, à l'intention des gestionnaires et de toutes les personnes qui travaillent chaque jour avec un ordinateur.

Observations et recommandations

Constatations

Un grand pas en avant

9.28 Lorsque la Politique concernant la sécurité du gouvernement a été publiée, en 1986, il n'y avait ni cadre de gestion de la sécurité, ni norme pour l'ensemble de l'administration fédérale et aucun document technique. Le SCT a attribué les rôles et coordonné l'élaboration de normes et de documents techniques. L'élaboration de la politique et des normes qui en découlent ont constitué une importante initiative et un grand pas en avant pour le gouvernement puisqu'elles ont permis de fournir une ligne de conduite pour la mise en place de dispositifs destinés à instaurer la sécurité de l'information dans les ministères. Parmi les ministères qui faisaient partie de notre échantillon, tous sauf deux avaient des coordonnateurs à temps plein chargés des questions de sécurité informatique pour entreprendre la mise en oeuvre de la politique.

9.29 On n'a affecté aucune ressource pour la mise en application à moins que la demande ait été faite de façon expresse au Conseil du Trésor et qu'elle ait été justifiée.

Commentaires du SCT : L'administration fédérale attache beaucoup d'importance à la nécessité de protéger suffisamment l'information délicate et confidentielle qu'elle détient. Pour cette raison, en 1986, le Conseil du Trésor a publié une nouvelle politique régissant la protection, non seulement de l'information confidentielle pour des raisons de sécurité nationale, mais aussi de l'information considérée comme délicate pour d'autres raisons. Le champ d'application de la politique était sans précédent et a mené à l'introduction d'un nouveau système de gestion de la sécurité.

La politique a entraîné la création d'une nouvelle méthode de classification ou de désignation de l'information, selon son degré de confidentialité. La classification ou la désignation déclenche l'utilisation des dispositifs de protection prescrits dans les normes de sécurité administrative, de sécurité du personnel, de sécurité physique et informatique. La politique concernant la sécurité du gouvernement offre donc un système de sécurité complet et coordonné en prévoyant l'application intégrée de dispositifs de protection à chaque étape du cycle de vie de l'information.

Les progrès ont été évalués périodiquement depuis l'adoption de la politique en 1986 et il en est résulté quatre modifications distinctes qui ont été approuvées par le Conseil du Trésor. L'ensemble des normes concernant la protection de l'information ont été publiées à titre provisoire, en 1987, et la version définitive a été publiée en 1990. La politique et les normes fournissent également un cadre qui permet de coordonner les activités dans divers domaines de la sécurité.

Des progrès d'une lenteur prodigieuse

9.30 Au moment de la publication, en juin 1986, de la Politique concernant la sécurité du gouvernement et des normes en la matière, il a fallu que les mesures soient instaurées entièrement en deux ans. Toutefois, après avoir effectué un examen des progrès réalisés en 1988, le SCT a recommandé de proroger l'échéance jusqu'en juillet 1990. Tous les ministères où nous avons effectué notre examen ont indiqué qu'après quatre ans, ils n'ont toujours pas terminé l'instauration selon l'échéancier révisé, surtout l'achèvement des évaluations des menaces et des risques et de l'élaboration des plans de secours. En effet, cinq ministères nous ont dit avoir besoin de deux à cinq ans de plus pour se conformer à la politique et aux normes.

9.31 Seulement 4 des 13 ministères que nous avons vérifiés avaient jeté les bases de la mise en application de la Politique sur la sécurité du gouvernement et des normes en la matière. De plus, aux termes de la politique, chaque ministère doit désigner un fonctionnaire supérieur pour la coordination de la mise en application, mais nous avons constaté que quatre ministères n'avaient pas confié cette tâche à un cadre supérieur.

Commentaires du SCT : La plupart des institutions ont réalisé d'importants progrès depuis 1986. La création d'équipes interdisciplinaires a permis d'adopter un système aux fins de l'application des normes de sécurité. L'information confidentielle et de nature délicate détenue a été répertoriée dans des guides de classification/ désignation. Les exigences en matière de sécurité du personnel ont été révisées et, dans de nombreux cas, les exigences concernant l'examen sécuritaire ont été considérablement réduites.

Dans le domaine de la sécurité de l'information, la prolifération de l'information et de la technologie de l'information pose d'importants défis. Parmi tous les différents domaines qui constituent un système de sécurité intégré, la sécurité de l'information est le domaine le plus complexe et le plus difficile à appliquer, en raison de la rapidité des changements qui s'y produisent.

Responsabilités mal définies

9.32 La politique sur la sécurité trace les grandes lignes des rôles et des responsabilités. Comme il est mentionné plus haut, plusieurs organismes centraux et organismes d'encadrement s'occupent, à divers degrés, des différents aspects de la sécurité. Cette fragmentation du leadership entrave la capacité du gouvernement de mettre en application et d'appuyer la sécurité de l'information.

9.33 Nous avons constaté des chevauchements et des lacunes dans les activités qui visent la sécurité de l'information que mènent les organismes d'encadrement. Par exemple, la GRC et le CST fournissent de l'information sur la sécurité informatique, organisent des séminaires et des conférences, évaluent la sécurité des systèmes des ministères et mènent des activités de recherche et développement. Le CST et Communications Canada fournissent aux ministères des conseils et une orientation en matière de sécurité des télécommunications tandis que les mesures de protection correspondantes peuvent être examinées par la GRC, Communications Canada ou par le CST. Les travaux que nous avons effectués dans les ministères confirment également qu'il existe de la confusion quant à l'endroit où s'adresser pour obtenir des conseils et une orientation sur la sécurité de l'information.

9.34 Les indications sur les mesures de sécurité à adopter pour les micro-ordinateurs, que donnent le CST et la GRC, sont un autre domaine où l'on constate des chevauchements. Ce sont les deux organismes d'encadrement à qui sont dévolus des rôles consultatifs; pourtant, les ministères ne reçoivent pas d'orientation suffisante ou des produits approuvés qui contrôlent l'accès aux micro-ordinateurs ou qui rendent les données inintelligibles aux intrus. Les ordinateurs portatifs utilisés par les fonctionnaires sont donc extrêmement vulnérables. Non seulement peut-on voler les ordinateurs mêmes, mais aussi l'information qu'ils renferment.

9.35 Trois organismes ont été désignés pour s'occuper de l'évaluation des menaces et des risques dans toute l'administration fédérale, aucune pour l'élaboration de plans de secours et quatre pour la formation en sécurité de l'information. La politique ne désigne pas expressément un organisme qui aurait charge d'appuyer de façon suivie les ministères et de les aider à appliquer les dispositions concernant la sécurité de l'information.

Commentaires du SCT : Le Secrétariat du Conseil du Trésor dirige et coordonne la sécurité dans l'ensemble de l'administration fédérale. Des organismes d'encadrement assurent des services centralisés et dispensent des conseils techniques aux ministères et organismes fédéraux, en conformité avec les responsabilités qui leur sont attribuées dans la politique. Conformément au régime d'Accroissement des pouvoirs et des responsabilités ministériels, les ministères et organismes doivent rendre compte de la protection de l'information et de l'équipement informatique qu'elles détiennent.

Pour ce qui est du domaine de la sécurité de l'information, divers organismes offrent de la formation qui tient compte des divers domaines de compétences reconnus dans la politique. Par exemple, le CST offre de la formation dans les domaines de la sécurité des télécommunications et de la sécurité des systèmes informatiques; la GRC offre de la formation dans le domaine de la sécurité informatique. La formation offerte par le Secrétariat du Conseil du Trésor, conjointement avec les organismes d'encadrement et la Commission de la fonction publique, intègre les divers volets de la sécurité de l'information ainsi que d'autres aspects de la sécurité, tels que la sécurité du personnel et la sécurité physique.

Parallèlement, les organismes d'encadrement désignés dans la politique comme organismes chargés de fournir des conseils et une orientation dans le domaine de l'évaluation des risques et des menaces remplissent cette fonction dans d'autres domaines. La sous-direction de la sécurité de l'informatique de la GRC fournit des conseils et une orientation pour ce qui est des plans de secours. Nous reconnaissons, toutefois, qu'il faudrait peut-être unifier quelque peu nos efforts.

La surveillance formelle de la mise en application des mesures de sécurité n'est pas sans défaut

9.36 La sécurité de l'information s'affaiblit avec le temps. Pour que les mécanismes de sécurité continuent de bien fonctionner, il faut exercer une surveillance et apporter les modifications nécessaires. La pertinence et l'efficacité des mesures de sécurité doivent être évaluées de façon régulière ainsi que l'observation des politiques et des normes qui s'appliquent à l'ensemble de l'administration fédérale et aux ministères en particulier.

9.37 Le Conseil du Trésor a donné à la GRC le mandat d'inspecter la sécurité informatique dans les ministères (sauf le ministère de la Défense nationale) et dans les entreprises du secteur privé qui fournissent des services de traitement de données à l'État et de donner des conseils en la matière.

9.38 La GRC reçoit plus de demandes d'inspection et de consultations qu'elle et ses experts-conseils peuvent en accepter. Les dépenses annuelles consacrées à du matériel informatique ont augmenté. Des 125 millions de dollars par année qu'elles étaient, il y a cinq ans, elles atteignent maintenant plus de 400 millions de dollars. Jusqu'à présent, au cours de la même période, la GRC n'a embauché qu'un seul inspecteur.

9.39 L'intervalle entre les inspections de la GRC dans les ministères est maintenant estimé à sept ou huit ans. L'informatisation connaissant une croissance rapide, ce cycle est de toute évidence trop long. Nous sommes donc d'avis que la GRC ne s'acquitte pas de son mandat qui est d'examiner la sécurité informatique dans toute l'administration fédérale.

9.40 En fin de compte, il incombe aux ministères mêmes de veiller à faire examiner leurs mécanismes de sécurité de l'information. Cependant, nous avons constaté que deux des ministères seulement possédaient la combinaison méthodes, compétences et personnel qu'il fallait pour mener des examens complets, et dans les règles, des mécanismes de sécurité.

9.41 Bien que les ministères en général suivent les recommandations de la GRC et disent surveiller les questions de sécurité de façon continue, nous avons constaté que le personnel de sécurité des ministères préparait très peu de rapports indiquant qu'ils avaient effectué leurs propres inspections. Les normes de sécurité exigent des ministères qu'ils effectuent chaque année des inspections de sécurité pour toutes les activités informatiques. Aucun des ministères qui faisaient l'objet de notre vérification n'avait satisfait à cette exigence.

9.42 Sans rétroaction fréquente sur l'efficacité des mesures visant à protéger l'information, la direction expose des ministères à des risques trop grands.

9.43 Même alors que les ministères projettent d'identifier leur propre surveillance des mécanismes de protection de l'information, nous estimons qu'il faut quand même des inspections périodiques et indépendantes de la part des services centraux experts en la matière.

Des rapports insuffisants sur les questions de sécurité à l'échelle du gouvernement

9.44 La GRC doit présenter chaque année des rapports au Secrétariat du Conseil du Trésor sur la situation dans l'administration fédérale en ce qui a trait à la sécurité. Nous avons constaté que ces rapports annuels n'englobent pas toutes les installations informatiques du gouvernement et qu'ils ne sont pas d'actualité étant donné le volume de travail accumulé à la GRC.

9.45 Lorsque le Conseil du Trésor le lui demande, le Centre de la sécurité des télécommunications présente des rapports sur la sécurité des télécommunications dans l'administration fédérale. Il n'a cependant pas reçu le mandat de vérifier si les ministères observent la politique et il ne peut le faire qu'à leur demande. Les ministères ne sont pas obligés de demander une évaluation de la part du CST. Par conséquent, il n'existe pas de mécanisme qui puisse être appliqué pour être au courant de l'observation des normes de sécurité des télécommunications, à l'échelle de l'administration fédérale.

9.46 La politique sur la sécurité stipule qu'il incombe au SCT de surveiller, par le biais de la vérification interne et des rapports de l'organisme d'encadrement, s'il y a respect, sous tous les aspects, de la Politique concernant la sécurité du gouvernement. Au moment de notre vérification, le SCT était en voie d'élaborer un guide de vérification de la sécurité. En avril 1988, tous les ministères ont soumis au SCT des rapports d'avancement. Nous avons constaté que bon nombre de ces rapports étaient beaucoup trop optimistes au sujet des dates cibles prévues. Tous les ministères devront aussi avoir fait une vérification complète de la sécurité, d'ici 1993. En raison du fait qu'un petit nombre de ministères ont déjà terminé leur vérification à l'heure actuelle et que les rapports des organismes d'encadrement ne sont ni complets, ni d'actualité, on n'évalue pas pour le moment dans quelle mesure il y a conformité aux exigences particulières de la politique et aux normes de sécurité de l'information.

Commentaire du SCT : En septembre 1988, le Conseil du Trésor a examiné l'ensemble des progrès réalisés dans la mise en oeuvre de la politique et a approuvé des plans en vue d'aider les ministères à terminer la mise en oeuvre. Ces plans comprenaient l'élaboration d'un guide de vérification de la sécurité, qui a été publié en juin 1990, un programme de formation et l'accroissement des conseils et de l'aide aux ministères. Afin de faire le suivi des rapports soumis par les ministères en 1988, le personnel du Secrétariat du Conseil du Trésor s'est rendu dans les ministères (l'administration centrale et les bureaux régionaux), pour évaluer les progrès de la mise en oeuvre et pour fournir une aide. Les visites ont donné au Secrétariat du Conseil du Trésor une image globale de la mise en oeuvre des exigences générales de la politique. Le Secrétariat du Conseil du Trésor continuera d'évaluer les progrès de la mise en oeuvre de la politique au moyen de l'information qui lui sera fournie par les organismes d'encadrement et par les ministères.

La formation en sécurité laisse à désirer

9.47 L'un des facteurs les plus importants de la sécurité des systèmes informatiques est une forte sensibilisation des ministères et des employés. Tous les employés devraient connaître la valeur de l'information qu'ils traitent, les menaces éventuelles et le rôle qu'ils jouent dans la protection de l'information. S'ils se soucient de sécurité et qu'ils en prennent aussi la responsabilité, les employés des ministères peuvent opposer un premier obstacle à l'atteinte à l'information que détient le gouvernement.

9.48 Bien que la plupart des ministères aient élaboré diverses méthodes de formation et de sensibilisation dans le domaine de la sécurité informatique, deux seulement avaient des documents qui indiquaient qu'une formation obligatoire est donnée périodiquement à tous les employés qui travaillent avec des ordinateurs. Plusieurs n'offraient pas vraiment aux gestionnaires de la formation en sensibilisation à la sécurité.

9.49 Ce n'est pas la première fois que l'on constate le manque de formation pour le personnel de sécurité. En 1969, la Commission royale d'enquête sur la sécurité qualifiait de question «urgente» la formation des employés des ministères affectés à la sécurité. On lisait également, dans une étude de portée gouvernementale réalisée en avril 1987, que l'on n'offrait pas de formation à l'intention des responsables de la sécurité dans les ministères. Le SCT, de concert avec la Commission de la fonction publique, était en voie d'élaborer un cours d'une durée de cinq jours à l'intention des responsables de la sécurité des ministères.

9.50 En outre, la GRC et le CST offrent des cours sur la sécurité de l'information gouvernementale. Le SCT a également organisé des séminaires et des ateliers sur des sujets qui se rapportent à la mise en application de la politique. Toutefois, selon des ministères, ces cours n'ont pas bien couvert certains domaines techniques comme l'évaluation des menaces et des risques pour les systèmes informatiques et les installations, l'élaboration de plans de secours ainsi que les contrôles et la vérification informatiques et ils ne prévoient pas de séminaires de recyclage pour les coordonnateurs de la sécurité informatique.

9.51 Il n'y a pas, au gouvernement, de programme de formation intégré et complet sur la sécurité de l'information. Un tel programme prévoirait une formation technique en sécurité, à l'intention des responsables de la sécurité des ministères, des coordonnateurs de la sécurité informatique et des vérificateurs ainsi que des séances de sensibilisation à la sécurité de l'information à l'intention des cadres supérieurs, des gestionnaires axiaux et des utilisateurs d'ordinateurs. Bien que, selon la politique, la Commission de la fonction publique (CFP) soit chargée d'instaurer un programme de formation en sécurité, elle n'avait pas assumé le rôle de chef de file.

9.52 En l'absence de mécanisme de coordination pour encourager le partage du matériel didactique et l'échange d'idées, les ministères ont conçu, de leur propre chef, divers modules de formation, des affiches et des vidéos, soit un chevauchement non nécessaire d'efforts et de coût.

Commentaire du SCT : L'aide et les conseils fournis aux ministères l'ont été sous la forme de lignes directrices pour la mise en oeuvre, de bulletins d'interprétation de la politique, d'un manuel pour les cadres supérieurs et d'une présentation audio-visuelle. Un cours complet de cinq jours qui regroupe tous les aspects des normes et de la politique en matière de sécurité a été élaboré et donné à titre d'essai en septembre 1989; maintenant, il est offert à titre régulier, en collaboration avec la Commission de la fonction publique. De plus, le Secrétariat du Conseil du Trésor et les organismes d'encadrement donnent une série de conférences, d'ateliers et de séminaires sur divers aspects de la politique. Des séances d'information spéciales ont été données aux hauts fonctionnaires des ministères sur les exigences de la politique et sur le besoin d'une sécurité accrue.

Commentaire de la CFP : La CFP offre déjà quelques cours de formation en sécurité et compte offrir d'autres cours en 1990-1991, financés par le SCT. S'il devient nécessaire de donner d'autres cours sur la sécurité gouvernementale, la CFP se chargera de mettre au point et de dispenser les cours, si les fonds et les compétences sont fournis par les organismes d'encadrement.

Omission d'élaborer des plans de secours

9.53 Les cadres supérieurs doivent bien comprendre les répercussions que pourraient avoir sur la mise en oeuvre des programmes de leur ministère l'atteinte à la confidentialité de l'information ou encore à l'intégrité et au fonctionnement de leurs ordinateurs. Le processus d'évaluation des menaces et des risques auxquels sont exposés les ordinateurs peut les aider à comprendre ces répercussions par les réponses qu'elle fournira aux considérations suivantes.

Que faut-il protéger, et pourquoi?
En quoi consistent les menaces?
Quel est le niveau de sécurité approprié?
Quelles mesures faut-il prendre?

9.54 Après avoir répondu à ces questions, il est possible de gérer et de réduire raisonnablement les risques à l'aide de mesures de sécurité proportionnelles à la valeur de l'information et à la nature des risques. Aucun système informatique ne peut être à l'abri de tout. Si la valeur de l'information ne justifie pas le coût d'une protection, il ne serait probablement pas judicieux d'adopter des mesures de sécurité supplémentaires.

9.55 Presque tous les ministères qui ont fait l'objet de notre vérification n'avaient pas terminé toutes leurs évaluations des menaces et des risques et ils n'ont donc toujours pas une idée juste de la vulnérabilité de leurs systèmes d'information. Presque tous ont déclaré que le manque de conseils, d'orientation et de formation sur l'évaluation des menaces et des risques ainsi que l'absence d'une méthode applicable ont contribué à leur difficulté d'effectuer les évaluations. Même si huit des 13 ministères que nous avons examinés avaient élaboré des procédés détaillés d'évaluation des menaces et des risques pour leurs systèmes d'information et leurs installations de TÉD, un seulement avait à l'heure actuelle mené à bien le processus.

9.56 Comme les ministères n'ont pas évalué suffisamment les risques ou la valeur de leur information, il ne peut y avoir de certitude que la sécurité des systèmes informatiques du gouvernement est appropriée ou présente un bon rapport coût-efficacité.

9.57 La population s'attend que le gouvernement dispense sans faute les services essentiels ou indispensables. Les plans de secours ont donc pour objet de permettre aux systèmes informatiques essentiels de continuer à fonctionner pendant une période prolongée parce que, dans la plupart des cas, il serait impossible de revenir à la méthode manuelle du traitement des données.

9.58 Il faut, aux fins d'élaboration des plans de secours, recenser les opérations critiques et les ordinateurs qui les effectuent. On détermine ainsi combien de temps le ministère pourrait fonctionner sans le soutien informatique et la séquence de la reprise. La préparation préliminaire pour l'élaboration des plans de secours requiert la participation des gestionnaires axiaux de tout le ministère.

9.59 La GRC signale au Secrétariat du Conseil du Trésor depuis plus de dix ans le manque de concertation entre les ministères pour se préoccuper de plans de secours. Elle a indiqué que le manque de planification constituait une menace certaine sur les systèmes informatisés fédéraux. Toutefois, on n'a pas remédié à la situation et personne ne prend les devants dans ce domaine. Personne ne dispense une formation appropriée et ne diffuse de la documentation pertinente ou n'évalue les logiciels qui pourraient faciliter l'élaboration de plans de secours. Les organismes d'encadrement viennent tout juste de commencer à élaborer un cours d'une durée de deux jours sur l'évaluation des menaces et des risques et sur l'élaboration de plans de secours.

9.60 La plupart des ministères ont indiqué que l'absence de plans de secours chez eux engendrait un risque inacceptable. Toutefois, sauf pour trois ministères, ils n'avaient pas effectué tous les travaux préliminaires nécessaires pour préciser quels étaient les systèmes informatiques essentiels et pour déterminer pendant combien de temps ils pourraient se permettre de s'en passer. Ainsi, leurs sous-ministres n'avaient pas une bonne idée des répercussions qu'aurait une perte importante de l'usage de leurs systèmes informatiques sur leurs opérations.

9.61 Bien que nous ayons trouvé quelques plans de secours partiels, aucun des ministères échantillonnés n'a pu nous montrer des plans de secours à jour, et éprouvés, pour tous ses systèmes essentiels.

9.62 Trois des ministères que nous avons examinés avaient recours, pour des systèmes essentiels, à un bureau de service du secteur privé qui n'avait pas fait l'objet, de la part de la GRC, d'une inspection à jour du lieu du traitement de données du gouvernement dans ce service. En dépit du risque, aucun de ces ministères n'avait payé pour l'ajout dans les contrats de clauses visant à garantir la poursuite du traitement si le service était touché par un sinistre, et aucun n'avait prévu le recours à un autre service.

9.63 Les trois ministères en question comptaient parmi 25 ministères fédéraux environ qui utilisent ce service. Nous estimons que cette concentration de données a exposé le gouvernement à un risque inacceptable. Sans clause relative à la sécurité dans les contrats, les ministères ne sont pas protégés si jamais ce service ou l'un de ses établissements de traitement des données d'Ottawa est touché par un sinistre.

9.64 La pièce 9.5 montre que les sinistres informatiques et les pannes d'ordinateurs peuvent bel et bien se produire; rien ne permet de croire que les ordinateurs de l'administration fédérale ne sont pas tout aussi vulnérables.

La pièce n'est pas disponible

9.65 Les quelques ministères qui ont effectué certaines évaluations des menaces et des risques ont finalement découvert que leurs systèmes informatisés couraient un risque important. Les résultats indiquent que le talon d'Achille se situe dans la perception des recettes, le maintien de la confiance en la protection des renseignements et le maintien des services indispensables.

9.66 Préparer des plans valables de reprise du traitement après un sinistre est une exigence fondamentale de la direction. Il ne s'agit pas de déterminer si le gouvernement a les moyens d'instaurer et de maintenir de tels plans, mais bien s'il peut se permettre de ne pas le faire. Nous sommes d'avis que les ministères et les organismes ont été négligents en ne satisfaisant pas ce besoin et en omettant de s'engager suffisamment dans l'évaluation des menaces et des risques. Il est possible que certains ministères n'aient pas besoin de plans de secours, mais tant qu'ils n'auront pas terminé leur évaluation des menaces et des risques, ils ne peuvent en être certains. Tant que la nécessité de plans n'a pas été établie, il est impossible de déterminer ce qu'il en coûterait pour réduire les risques à un niveau acceptable. Les ministères ont choisi d'accepter de courir le risque de perdre leurs installations informatiques, sans connaître l'ampleur de ce risque.

9.67 L'absence d'orientation centrale vers une planification de secours et le manque de planification de secours, au sein des ministères, ne donnent aucunement au gouvernement l'assurance qu'il pourrait assurer tous ses services essentiels.

Commentaire du SCT : Le Secrétariat du Conseil du Trésor a fourni une orientation sur l'évaluation des risques et des menaces depuis que la politique a été adoptée en 1986. Les conseils techniques sur l'évaluation des menaces sont fournis par différents organismes d'encadrement en fonction de la nature des conseils requis et du mandat et des compétences de l'organisme. Le Secrétariat du Conseil du Trésor évalue actuellement les problèmes qui se posent aux ministères lorsqu'ils évaluent les risques et les menaces, afin de trouver des solutions et modifier les lignes directrices et la formation supplémentaires en conséquence. Une initiative semblable est en cours en vue de la mise au point de normes opérationnelles et techniques concernant les plans de secours, qui intègrent tous les secteurs de la sécurité. On compte aussi offrir des ateliers dans ce domaine à la fin de 1990 et au début de 1991.

Nécessité d'un encadrement plus serré et d'une coordination accrue

9.68 Outre les questions qu'elle a relevées précédemment, notre vérification a fait ressortir d'autres lacunes en ce qu'il n'y a pas vraiment de point central où l'on s'occuperait de sécurité de l'information :

Il n'y a pas un seul organisme qui soit chargé de veiller à ce que les principaux problèmes de sécurité, notamment l'absence d'évaluation des menaces et des risques, soient étudiés et réglés.
Il n'y a pas d'organisme qui soit chargé de donner une orientation pour ce qui est de la planification de secours.
Il n'existe pas de système que l'on puisse exploiter pour signaler, documenter et faire connaître les atteintes à la sécurité de l'information, ni pour reprendre les activités par la suite.
On ne peut se procurer, aux fins de consultation, des documents ou des ouvrages qui traitent de sécurité auprès des organismes centraux et des organismes d'encadrement.
Il faut améliorer le mécanisme pour promouvoir l'échange de documentation et d'idées et pour coordonner les réunions de tout le personnel de sécurité de la fonction publique.

9.69 Jusqu'à maintenant, le gouvernement s'en est remis à 15 comités sur la politique concernant la sécurité et au Secrétariat du Conseil du Trésor pour coordonner l'élaboration et la mise en application de la politique sur la sécurité de l'information et des normes en la matière. Les comités ne peuvent gérer la sécurité de l'information sur une base quotidienne. Nos constatations donnent à penser que cette approche fragmentaire ne permet pas de fournir l'orientation efficace nécessaire au chapitre de la sécurité de l'information. Bien que le SCT ait offert de se charger de l'orientation et de la coordination continues, en mars 1990, il a indiqué qu'il n'était pas en mesure d'affecter des ressources supplémentaires à cette activité.

Commentaire du SCT : Au début de 1989, on a élaboré un cadre pour coordonner les activités des divers comités et organismes d'encadrement et assurer l'uniformité de la documentation en matière de sécurité. Le mécanisme prescrit par ce cadre d'intégration est appliqué dans la plupart des domaines de la sécurité et des plans sont en place pour y incorporer les domaines de la sécurité qui sont actuellement hors du cadre.

Conclusion

9.70 Très peu des questions signalées dans ce chapitre sont nouvelles ou inconnues des ministères et des organismes. À notre avis, les ministères et les organismes n'ont pas déployé d'efforts concertés pour instaurer la politique et les normes en ce qui concerne la sécurité de l'information. Des efforts considérables ont été accomplis pour élaborer la politique et les normes, mais il reste beaucoup à faire pour les appliquer. Il faut améliorer l'orientation et la coordination centrales, pour ce qui est de la sécurité de l'information, et faire en sorte qu'elles soient plus manifestes. Les sous-ministres n'ont pas fait avancer leur propre mise en application de la politique sur la sécurité et ils n'ont pas accordé la priorité voulue à la sécurité.

Résumé des principales questions liées à la vérification

9.71 La liste qui suit résume les principales constatations.

Échantillon de 13 ministères

Constatations

Nombre de ministères où cela s'applique

1. Défaut d'affecter à temps plein un coordonnateur de la sécurité informatique (9.28)

2

2. Défaut de se conformer entièrement à la politique sur la sécurité et aux normes en la matière (9.30)

13

3. Défaut de jeter les bases de la sécurité (9.31)

9

4. Absence de méthodes, de personnel ou de compétences pour mener des examens complets officiels de la sécurité (9.40)

11

5. Examens officiels insuffisants de la part du personnel affecté à la sécurité (9.41)

10

6. On n'a pas fait d'examens annuels de toutes les activités de TÉD (9.41)

13

7. Défaut de donner périodiquement une formation obligatoire sur la sensibilisation à la sécurité (9.48)

11

8. Absence de formation officielle en sensibilisation à la sécurité à l'intention de la gestion (9.48)

8

9. Défaut de mener à bien les évaluations des menaces et des risques (9.55)

12

10. Absence de procédés officiels d'évaluation des menaces et des risques (9.55)

5

11. Absence de plans de secours officiels qui englobent tous les systèmes critiques (9.60 à 9.62)

13

Organismes centraux et d'encadrement

Constatations

1. L'élaboration de la politique et des normes en matière de sécurité a constitué un grand pas en avant (9.28)

2. Responsabilités mal définies en ce qui concerne les activités des organismes d'encadrement (9.32 à 9.34)

3. Il n'y a pas d'organisme d'encadrement désigné pour s'occuper de l'évaluation des menaces et des risques, des plans de secours ou de la formation sur la sécurité de l'information (9.35)

4. La GRC ne s'acquitte pas de son mandat qui est d'examiner la sécurité informatique (9.39)

5. Des rapports insuffisants sur les questions de sécurité à l'échelle de l'administration fédérale (9.44 à 9.46)

6. Absence de programme de formation sur la sécurité à l'échelle de l'administration fédérale (9.51)

7. Nécessité de fournir un encadrement et une coordination solides (9.68)

Recommandations en vue d'une amélioration

9.72 Le Secrétariat du Conseil du Trésor devrait renforcer son leadership en ce qui concerne la sécurité de l'information. À titre de service central, il devrait cerner les problèmes communs de sécurité de l'information et coordonner les efforts déployés dans toute l'administration fédérale pour résoudre les problèmes de longue date. Il devrait également s'occuper des maintes lacunes que notre vérification a relevées au niveau de l'encadrement, y compris les lacunes dans l'évaluation des menaces et des risques et dans les plans de secours. Le SCT devrait définir les besoins en matière de formation supplémentaire centralisée en sécurité de l'information et clarifier les responsabilités en rapport avec la sécurité de l'information. Ce groupe devrait être doté de ressources suffisantes pour faire en sorte que ces tâches soient menées à bien.

Commentaire du SCT : Le Secrétariat du Conseil du Trésor et les organismes d'encadrement en matière de sécurité continueront de fournir des conseils, une orientation et de l'aide aux institutions pour ce qui est de la mise en oeuvre de la politique concernant la sécurité du gouvernement. Le leadership centralisé nécessaire pour assurer la protection de l'information que détient le gouvernement sera renforcé. Le Secrétariat du Conseil du Trésor continuera de diriger son attention essentiellement vers les exigences générales aux fins de la gestion de tous les aspects de la sécurité, y compris l'évaluation des menaces et des risques, ainsi que l'application intégrée des normes de sécurité administrative, de sécurité du personnel, de sécurité physique et informatique.

9.73 Envisager de consolider l'aide dans le domaine de la sécurité de l'information. Compte tenu des progrès technologiques récents, il est devenu impossible de séparer l'informatique des télécommunications. Il faudrait se pencher sur la possibilité d'intégrer l'aide actuellement fournie, les conseils, l'orientation et la formation.

Commentaire du SCT : Le Secrétariat du Conseil du Trésor a pris des dispositions avec la GRC et le CST pour effectuer en collaboration un examen des normes de sécurité informatique et pour coordonner l'appui fourni aux institutions, notamment l'aide technique, la formation et les services d'inspection. Le Secrétariat reconnaît également qu'il est souhaitable qu'il existe, en vue d'un tel appui, un centre unique de responsabilité n'empiétant pas sur les responsabilités plus étendues du CST et de la GRC. Par conséquent, le Secrétariat étudiera la mise sur pied de services centralisés aux fins de la sécurité informatique, en collaboration avec ces organismes, et formulera des recommandations pertinentes.

Commentaire du CST : Il y a, au sein de l'administration fédérale, fragmentation des rôles dans le domaine de la sécurité de l'information, et nous pensons qu'il faudrait les clarifier. Malgré cette situation, le CST et la GRC collaborent vraiment et sont sur le point d'entreprendre des projets communs visant à résoudre les questions de sécurité de l'information.

Commentaire de la GRC : Le rôle de la GRC et celui du CST sont définis dans la Politique concernant la sécurité du gouvernement. Il y a un soutien intégré pour la prestation de conseils, d'une orientation et de formation dans le domaine de la sécurité de l'information. Il existe bel et bien entre le CST et la GRC une liaison étroite, un protocole d'entente et des projets communs visant à réunir les services de soutien pour la sécurité informatique et la sécurité des télécommunications pour les institutions de l'État. Étant donné les changements technologiques, il est temps de revoir les questions de mandat afin d'éviter les chevauchements.

Commentaire du ministère des Communications : Nous avons étudié votre chapitre et l'estimons juste, surtout en ce qui concerne les observations sur notre rôle d'encadrement.

9.74 Assurer une surveillance indépendante officielle. Indépendants, l'inspection des mécanismes de sécurité informatique à l'échelle de l'administration fédérale et les rapports qui en découlent devraient être renforcés de façon à pouvoir répondre aux besoins. Il faudrait aussi envisager de mener des inspections régulières de la sécurité des télécommunications et d'en faire rapport.

Commentaire du SCT : Le Secrétariat du Conseil du Trésor examinera la pertinence de services centraux d'inspection de la sécurité. Cependant, la responsabilité des inspections périodiques des installations, systèmes et services fédéraux visant à garantir la conformité avec les normes applicables à l'échelle du gouvernement incombera aux institutions elles-mêmes.

Commentaire de la GRC : L'inspection indépendante dans toute l'administration fédérale de la sécurité informatique et l'établissement de rapports à ce sujet seront intensifiés de façon à pouvoir répondre aux besoins. Cinq autres employés de la GRC seront affectés à ce service pour répondre à la demande croissante. Un système d'établissement des priorités plus structuré a été élaboré pour les inspections et est actuellement mis au point.

Commentaire du CST : Bien que les inspections indépendantes périodiques et les rapports sur la sécurité des télécommunications aient leur valeur, il faudrait des ressources plus nombreuses pour mener à bien cette tâche. Il faudra bien entendu comparer les avantages prévus aux dépenses occasionnées par les ressources requises.

9.75 Les ministères devraient accepter de prendre en charge leur surveillance. Il n'est pas réaliste de s'attendre qu'un service central d'inspection exerce toute la surveillance nécessaire. Il faut trouver des moyens plus efficaces de mener les inspections, et les ministères devraient endosser une plus grande partie de cette responsabilité. Pour éviter le chevauchement et pour assurer l'uniformité de la mise en application, la surveillance devrait être coordonnée à l'échelle de l'administration fédérale, ce qui suppose, entre autres, un encadrement central pour l'élaboration des méthodes d'évaluation, une entente sur le partage des responsabilités et une surveillance centrale des examens effectués par les ministères. Les sous-ministres devraient recevoir des rapports annuels sur la sécurité dans leur ministère, sur l'efficience de la mise en application de la politique et sur l'observation des politiques et des normes.

9.76 Les ministères devraient revoir leurs obligations de mettre en application les dispositions de la Politique concernant la sécurité du gouvernement. Il est clair que la responsabilité de protéger l'actif que constitue l'information incombe aux sous-ministres. La haute direction des ministères doit réévaluer son engagement à assurer la sécurité de l'information et veiller à ce que toutes les exigences de la Politique concernant la sécurité du gouvernement en matière de technologie de l'information ainsi que les normes soient respectées, ce qui comprend la prestation d'une formation et la surveillance périodique des questions de sécurité ainsi que l'évaluation des menaces et des risques qui doit précéder l'élaboration de plans de secours pour tous les systèmes informatiques essentiels. Les questions de sécurité devraient être l'affaire des paliers supérieurs des ministères, et les cadres supérieurs devraient être chargés d'instaurer la politique et rendre des comptes aux sous-ministres.

9.77 Les sous-ministres devraient avoir à répondre des mesures correctives à apporter aux lacunes qui ont été relevées au cours de cette vérification. Un mécanisme pourrait consister à utiliser le régime d'Accroissement des pouvoirs et des responsabilités ministériels (APRM) pour que soit fourni chaque année au Conseil du Trésor un rapport sur la sécurité de l'information dans les ministères et de renforcer l'obligation de rendre compte des résultats.

Commentaire du SCT : Les sous-ministres sont tenus responsables de la mise en oeuvre de la politique au moyen d'une évaluation annuelle du rendement qui porte essentiellement sur les exigences générales de la politique, plutôt qu'une évaluation plus détaillée du respect des normes. Aux termes du régime actuel de l'ARPM pour ce qui est de la politique concernant la sécurité du gouvernement sont énoncés les critères et l'information utilisés par le Secrétariat du Conseil du Trésor pour ce processus.

Échantillon de 13 ministères
Constatations	Nombre de ministères où cela s'applique
1. Défaut d'affecter à temps plein un coordonnateur de la sécurité informatique (9.28)	2
2. Défaut de se conformer entièrement à la politique sur la sécurité et aux normes en la matière (9.30)	13
3. Défaut de jeter les bases de la sécurité (9.31)	9
4. Absence de méthodes, de personnel ou de compétences pour mener des examens complets officiels de la sécurité (9.40)	11
5. Examens officiels insuffisants de la part du personnel affecté à la sécurité (9.41)	10
6. On n'a pas fait d'examens annuels de toutes les activités de TÉD (9.41)	13
7. Défaut de donner périodiquement une formation obligatoire sur la sensibilisation à la sécurité (9.48)	11
8. Absence de formation officielle en sensibilisation à la sécurité à l'intention de la gestion (9.48)	8
9. Défaut de mener à bien les évaluations des menaces et des risques (9.55)	12
10. Absence de procédés officiels d'évaluation des menaces et des risques (9.55)	5
11. Absence de plans de secours officiels qui englobent tous les systèmes critiques (9.60 à 9.62)	13