Vérification de la sécurité de l'information

Points saillants

9.1 Au cours des cinq dernières années, la croissance soudaine de l'utilisation des ordinateurs a multiplié les possibilités de fraude, de dommages et d'abus et a rendu la fonction publique vulnérable au vol des données qu'elle garde en ordinateur. Aux termes de la nouvelle Politique de 1986 concernant la sécurité du gouvernement, qui représentait un grand pas en avant, l'administration fédérale doit protéger suffisamment toute l'information confidentielle et de nature délicate qu'elle détient. Notre vérification a été axée sur la sécurité des données de nature délicate gardées en ordinateur, sauf l'information confidentielle, pour des raisons de sécurité nationale. Nous avons englobé à la fois les organismes centraux et d'encadrement et un échantillon de 13 ministères (paragraphes 9.6 à 9.28).

9.2 Les menaces qui planent sur les systèmes d'information du gouvernement sont bien réelles. Au cours d'une récente période de quatre mois, il s'est produit 21 incidents où des virus ont infesté plusieurs centaines de micro-ordinateurs du gouvernement. Durant la même période, il s'est produit une infraction à la sécurité, qui a entraîné l'infestation de 28 micro-ordinateurs sur la colline du Parlement. Nous avons également remarqué qu'il y avait eu surtout des intrusions illégales dans les systèmes informatiques et des incidents provoqués par des employés mécontents, qui ont causé des dommages à des ordinateurs (9.14 et 9.15).

9.3 À notre avis, les ministères et organismes ont été négligents en n'élaborant pas de plans de secours précis et complets. La GRC avise le Secrétariat du Conseil du Trésor, depuis plus de dix ans, du manque de concertation entre les ministères pour se préoccuper de l'élaboration de plans de secours. Presque tous les ministères qui faisaient partie de notre échantillon avaient aussi omis d'évaluer les menaces et les risques qui pesaient sur leurs systèmes informatiques. N'en connaissant pas la vulnérabilité, les ministères pourraient ne pas prendre les mesures nécessaires pour les protéger. Les points faibles du gouvernement se situent dans des secteurs tels que la protection de l'information, la perception des recettes et le maintien des services qu'elle dispense à la population. Il n'est pas certain qu'elle pourrait continuer de fournir tous les services essentiels advenant une panne ou un sinistre de grande envergure (9.53 à 9.67).

9.4 Jusqu'en mars 1990, lorsque le Secrétariat du Conseil du Trésor a offert de prendre les choses en mains, il n'y avait aucun centre de coordination et d'orientation continues en matière de sécurité de l'information. Il existe toujours des chevauchements, des lacunes et des fragmentations dans les activités visant la sécurité de l'information que mènent les organismes d'encadrement dans ce domaine. Pas un seul organisme en particulier n'a été chargé de l'évaluation des menaces et des risques, de l'élaboration de plans de secours ou de la formation dans ce domaine. La surveillance à l'échelle du gouvernement laisse à désirer et les rapports sur la sécurité dans les ministères sont insuffisants (9.32 à 9.52, 9.68 à 9.69).

9.5 Parmi les questions soulevées dans le présent chapitre, très peu sont nouvelles ou inconnues des ministères. Nous sommes d'avis qu'il devrait y avoir un effort concerté, au sein de l'administration fédérale, pour se préoccuper de la question de la sécurité de l'information. Il est nécessaire que l'on apporte des améliorations à l'orientation centrale et à la coordination. Les sous-ministres devraient porter plus d'attention à la sécurité; ils devraient avoir à répondre des mesures correctives pour combler les lacunes qui ont été relevées au cours de cette vérification (9.30 et 9.31, 9.70 à 9.77).