Conseil régional de la vallée de l'Outaouais
Association des professionnel(le)s en vérification et en contrôle
des systèmes d'information
Notes pour une allocution de Sheila Fraser, FCA, Vérificatrice générale
du Canada, le 20 juin 2002, Ottawa (Ontario)
Je suis ravie de participer à l'assemblée annuelle du Conseil
régional de la vallée de l'Outaouais de l'ISACA.
Comme le travail des vérificateurs se fait habituellement à « l'interne »
à plus d'un titre nous avons trop peu souvent l'occasion
de rencontrer nos collègues pour discuter des défis que nous devons
relever. Je vous remercie sincèrement de m'avoir invitée à
être des vôtres aujourd'hui.
Je suis particulièrement heureuse d'échanger des idées
sur l'importance de la sécurité des systèmes d'information
avec les membres de l'ISACA, une organisation qui est un chef de file à
l'échelle mondiale réputée pour la gouvernance, le contrôle
et l'assurance en matière de technologies de l'information.
J'ai été tout particulièrement impressionnée du
succès de votre programme de vérificateur agréé
des systèmes d'information lequel a franchi récemment un nouveau
jalon puisque plus de 10 000 vérificateurs ont passé l'examen
en 2002.
Je sais que depuis sa création, il y a 25 ans, le programme de vérificateur
agréé des systèmes d'information est devenu une norme de
réussite généralement acceptée dans le domaine de
la vérification, du contrôle et de la sécurité des
systèmes en matière d'information. Je félicite tous ceux
qui ont contribué au succès de cette initiative novatrice.
Je note avec une certaine fierté que 11 employés de mon Bureau
ont obtenu le titre CISA et que trois autres ont passé récemment
l'examen dont la rigueur est bien connue. À titre de vérificatrice
générale, j'appuie de tout cœur l'ISACA et le titre CISA.
Mandat
J'aimerais vous parler d'une vérification récente de la sécurité
des technologies de l'information du gouvernement fédéral. Mais
permettez-moi d'abord de décrire brièvement mon rôle en
tant que vérificatrice générale du Canada et de vous dire
quelles sont mes priorités pour les prochaines années.
Pour résumer mon mandat, je dirai que le rôle du Bureau est de
vérifier les activités gouvernementales et de fournir au Parlement
l'information qui l'aide à tenir le gouvernement responsable de sa gestion
des fonds publics.
Notre rôle n'est pas de remettre en cause ou de commenter les politiques,
mais plutôt d'examiner les programmes visant à les mettre en œuvre.
Comme vous le savez, le gouvernement doit obtenir l'autorisation du Parlement
avant de percevoir et de dépenser des fonds. L'un de mes rôles,
en ma qualité de vérificatrice législative, est de vérifier
si les pratiques du gouvernement sont conformes aux autorisations parlementaires.
Il ne s'agit pas d'un banal exercice comptable : notre constitution et nos
traditions parlementaires encadrent la façon dont le gouvernement fédéral
obtient et dépense les fonds.
Le principe fondamental est simple : les Canadiens ont le droit de savoir d'où
proviennent les fonds publics et comment ils sont dépensés. Ce
sont les députés que nous élisons qui en définitive
exercent ce contrôle en notre nom.
Avec un personnel de plus de 500 personnes et un budget de fonctionnement annuel
d'environ 63 millions de dollars, mon Bureau vérifie la plupart des secteurs
d'activités du gouvernement canadien. Nos travaux portent sur quelque
70 ministères et organismes fédéraux, environ 40 sociétés
d'État, quelque dix établissements publics et environ 60 autres
entités. Des vérifications spéciales s'ajoutent à
cela.
Par ailleurs, nous vérifions les gouvernements du Nunavut, du Yukon
et des Territoires du Nord Ouest, et quelque 15 organismes territoriaux.
En 1995, le poste de Commissaire à l'environnement et au développement
durable a été créé au sein du Bureau du vérificateur
général. La Commissaire, Johanne Gélinas, et son personnel
jouent un rôle important dans l'évaluation de la façon dont
le gouvernement fédéral observe les lois environnementales et
remplit ses objectifs dans le domaine du développement durable.
Le Parlement, le gouvernement et la fonction publique sont les gardiens des
fonds publics qui leur sont confiés pour fournir des programmes et des
services aux Canadiens.
Un élément important de la confiance des citoyens envers nos
institutions démocratiques est leur conviction que les fonds publics
sont dépensés judicieusement et efficacement.
Le Bureau du vérificateur général joue un rôle important
dans notre système parlementaire car il aide les députés
à s'acquitter de leurs fonctions et le gouvernement à gérer
les fonds publics.
Le Bureau peut et doit aussi influencer l'attitude du gouvernement et des fonctionnaires
en les incitant à gérer judicieusement les fonds publics et à
rendre compte de leur gestion.
Pour être efficace, le vérificateur général doit
être objectif et impartial. Voilà pourquoi le Parlement a pris
des mesures pour garantir l'indépendance du Bureau à l'égard
du gouvernement. Ainsi, le vérificateur général est nommé
pour une période de dix ans et il est libre de recruter lui-même
ses employés et d'établir leurs conditions d'emploi.
J'ai également le droit de demander au gouvernement de me fournir toute
l'information dont j'ai besoin pour m'acquitter des responsabilités énoncées
dans la Loi sur le vérificateur général. De plus, je présente
mes rapports directement à la Chambre des communes, par l'intermédiaire
du Président.
Je peux présenter jusqu'à quatre rapports par année, dont
le rapport du Commissaire à l'environnement et au développement
durable.
En 1977, une nouvelle loi a précisé et élargi le mandat
du vérificateur général. En plus de se pencher sur l'exactitude
des états financiers, le vérificateur général a
obtenu le pouvoir d'effectuer des vérifications de l'optimisation des
ressources qui portent sur l'économie, l'efficience et l'efficacité
des activités gouvernementales.
Bien que nos rapports attirent beaucoup d'attention lorsqu'ils sont publiés,
leur incidence à long terme se fait réellement sentir lorsqu'ils
sont examinés par le Comité permanent des comptes publics de la
Chambre des communes.
Le Comité fonde une grande partie de son travail sur nos rapports. Tout
au long de l'année, il tient des audiences, auxquelles j'assiste en compagnie
de l'équipe de vérification et des hauts fonctionnaires du ministère
vérifié.
Après les audiences, il se peut que le Comité fasse rapport à
la Chambre des communes et lui présente des recommandations. Par ailleurs,
les ministères vérifiés doivent généralement
rendre compte au Comité des mesures qu'ils ont prises pour donner suite à nos recommandations.
Ainsi, le Comité des comptes publics ferme la boucle du régime
d'obligation de rendre compte.
Comme vous pouvez le constater, le vérificateur général
a un mandat très vaste, mandat qui devient encore plus complexe au fur
et à mesure que le gouvernement modifie ses structures et ses pratiques
pour offrir aux Canadiens et aux Canadiennes des programmes et des services
de façon plus rapide et plus efficiente.
Priorités
Avant de vous parler de la sécurité des TI au gouvernement fédéral,
j'aimerais décrire brièvement mes priorités à titre
de vérificatrice générale. Cela vous donnera une idée
de la nature des vérifications qu'entreprendra mon Bureau au cours des
quelques années à venir.
J'ai trouvé qu'il y avait deux sujets ou thèmes qui étaient
assez évidents. Ces deux premières priorités sont des priorités
relativement classiques pour les vérificateurs généraux
:
D'abord, notre client le Parlement. Nous jouons un rôle très important
dans tout le processus de reddition de comptes entre le Parlement et le gouvernement.
Et je vois notre rôle essentiellement comme fournissant de l'information
aux parlementaires pour qu'ils puissent prendre des décisions éclairées.
Alors, cette priorité comprend la reddition de comptes, les rapports
et la conformité aux autorisations.
Le deuxième sujet est une fonction publique efficace, ce qui est essentiel
pour bien répondre aux attentes des citoyens et citoyennes. La fonction
publique connaît actuellement des réformes majeures que ce soit
la gestion des ressources humaines, la capacité de gestion financière,
la gestion de l'information et bien sur, les technologies de l'information -
et je crois que nous avons une contribution à faire à cet égard.
Les trois autres priorités sont de nature plus personnelle. Je me suis
demandé quels sujets sont importants pour moi et ma famille. Ils sont
:
- Le bien-être des Canadiens (la santé, la sécurité
et l'environnement)
- Notre héritage/patrimoine (les actifs, la situation financière
et l'environnement)
- Les questions autochtones (les questions sociales, financières et
la régie).
La sécurité des technologies de l'information
L'ère des technologies de l'information a modifié du tout au
tout notre façon de concevoir la sécurité et d'en parler.
Cela me rappelle Richard Power qui disait :
« Dans le bon vieux temps, les gens dévalisaient les diligences
et braquaient les véhicules blindés. Aujourd'hui, ils dépouillent
les serveurs. »
Je me permets d'ajouter que les conséquences sont beaucoup plus dévastatrices.
Mon plus récent rapport, rendu public en avril, traitait plus particulièrement
de la sécurité des technologies de l'information au gouvernement
fédéral.
Il révélait toute la vulnérabilité des systèmes
de l'information qui font partie de l'infrastructure essentielle du pays à
la menace très réelle et croissante des cyberattaques.
Nous avons constaté que des normes désuètes protègent
mal nos systèmes d'information. Voilà pourquoi nous avons pressé
le gouvernement d'accélérer la mise en place de mesures pour protéger
ses systèmes d'information, ses réseaux et ses données.
Je crois que la version révisée de la Politique du gouvernement
sur la sécurité, entrée en vigueur en février 2002,
est un pas important dans la bonne direction puisqu'elle met fortement l'accent
sur la sécurité des technologies de l'information - la sécurité
des TI - et contribue largement à l'amélioration de la régie
de la sécurité au sein du gouvernement.
Or, si le Secrétariat du Conseil du Trésor ne modernise pas ses
normes, la politique aura peu d'effets et l'initiative visant à améliorer
la sécurité des TI risque fort d'échouer.
La vérification que nous avons menée a aussi révélé
que l'on ne vérifie pas adéquatement la sécurité
des technologies de l'information dans les ministères.
Comme bon nombre d'entre vous le savent sans doute, le gouvernement n'est pas
suffisamment en mesure de déterminer si les pratiques actuelles pour
assurer la sécurité des TI sont acceptables, et il n'a pas non
plus de point de référence par rapport auquel mesurer les progrès
futurs.
La vérification a par ailleurs révélé que les pratiques
relatives à la sécurité des TI varient énormément
d'un ministère à l'autre et qu'il existe un certain nombre de
faiblesses dans certains des ministères vérifiés.
Le gouvernement canadien investit énormément - argent, effectifs,
temps et efforts - pour devenir un chef de file mondial du Gouvernement en direct
et assurer la prestation en direct de ses services aux Canadiens.
Or, avant de tenter d'obtenir en direct des services du gouvernement, les Canadiens
veulent être rassurés quant à la sécurité
des systèmes gouvernementaux et à la protection de leurs renseignements
personnels.
Au mois de mai, les fonctionnaires de mon Bureau qui ont comparu devant le
Comité permanent des comptes publics ont souligné que les cybermenaces
sont très réelles et peuvent occasionner des dommages importants
au sein d'un organisme.
Des données provenant des États Unis montrent une augmentation
dramatique du nombre d'incidents signalés, particulièrement au
cours des dernières années. Les données pour le Canada
témoignent d'une tendance comparable ici.
Le politique de 1994 obligeait les ministères à effectuer des
vérifications internes de la sécurité et à demander
à la GRC d'évaluer leur programme de sécurité des
TI au moins une fois tous les cinq ans.
À la demande du Secrétariat du Conseil du Trésor, la GRC
a dû présenter un rapport, préparé à partir
de ses propres examens, sur les pratiques de sécurité des TI au
gouvernement.
Cependant, les normes opérationnelles relatives à la sécurité
n'ont pas été mises à jour depuis 1995. La GRC a publié,
en 1997, une série de normes de sécurité techniques. Ces
normes restent inchangées et l'élaboration du plan de mise à
jour n'est toujours pas achevée.
Cela équivaut à conduire une voiture 2002 en utilisant des manuels
d'exploitation et d'entretien de 1980. Si vous les utilisiez, vous n'auriez
pas de très bons résultats.
Nous avons rappelé aux membres du Comité permanent des comptes
publics qu'il y a eu depuis d'importants progrès technologiques. Nous
croyons que la Politique de sécurité de 2002 ne saurait être
efficace en l'absence de normes à jour.
Nous avons constaté qu'on avait peu surveillé l'état de
la sécurité des technologies de l'information à l'échelle
du gouvernement. Des quelque 90 ministères et organismes assujettis à
la Politique du gouvernement sur la sécurité, seulement 10 ministères
ont présenté des rapports de vérification interne et 14
ont subi des examens de la GRC au cours des cinq dernières années.
Comme je le mentionnais tantôt, le dernier rapport de la GRC sur le programme
de sécurité des technologies de l'information du gouvernement
a été présenté en 1995, et le Secrétariat
n'a demandé aucun rapport depuis.
En conséquence, le gouvernement ne dispose pas d'une base adéquate pour déterminer la mesure dans laquelle les pratiques actuelles en matière
de sécurité des technologies de l'information sont acceptables,
ni d'une base de référence appropriée pour mesurer les
progrès futurs.
La Politique de 2002 prévoit un rapport d'étape sur l'efficacité
de son application vers l'année 2004. Selon nous, l'évaluation
de l'efficacité de la sécurité des technologies de l'information
au sein du gouvernement doit être faite plus tôt.
Dans la version révisée de la politique sur la sécurité,
il n'y a plus d'exigence quant à la fréquence minimale des vérifications
internes et des évaluations indépendantes.
Selon la version révisée de la politique, le Secrétariat
du Conseil du Trésor doit assurer une surveillance active, mais il revient
à chaque ministère de décider quand les vérifications
et les évaluations seront effectuées et à quelle fréquence.
Mon Bureau a vérifié les pratiques de sécurité
des TI dans quatre ministères et a relevé plusieurs faiblesses
qui pourraient être symptomatiques des lacunes dans d'autres ministères
et organismes.
Bien entendu, il est ni faisable ni rentable d'éliminer tous les risques
ou toutes les menaces pesant sur les ressources d'information.
Les évaluations des risques facilitent l'affectation des ressources
aux activités qui la justifient mais nous avons constaté que peu
de ministères avaient préparé des évaluations de
la menace et des risques, et que même ceux-là l'avaient fait de
façon ponctuelle seulement. Les évaluations avaient tendance à
porter sur une seule application.
Nous avons par ailleurs constaté que certains ministères ont
effectué peu de tests techniques, voire aucun, de leurs systèmes
de réseaux pour déceler leur vulnérabilité éventuelle.
Enfin, dans le cadre de la vérification, nous avons effectué
des tests techniques dans certains ministères afin de détecter
la vulnérabilité des systèmes de réseaux, mais nous
n'avons pas exploité les points vulnérables décelés.
Sur les 260 systèmes que nous avons vérifiés, 85 - soit
près du tiers - présentaient des points vulnérables. Nous
avons remarqué que la plupart d'entre eux pourraient compromettre l'intégrité
des systèmes lors d'une cyberattaque ciblée lancée par
un pirate informatique, un criminel ou un terroriste.
D'ailleurs, dans un ministère, le système comportait une faiblesse
qui présentait une menace imminente. Nous l'avons signalée immédiatement
au ministère.
En janvier 2002, nous avons fourni aux divers ministères les données
et les résultats détaillés de nos évaluations de
la vulnérabilité des réseaux pour qu'ils puissent prendre
les mesures correctives nécessaires.
Les résultats ont confirmé l'utilité des évaluations
de vulnérabilité. Nous recommandons que le gouvernement envisage
d'exiger des ministères qu'ils procèdent périodiquement
à l'évaluation de la vulnérabilité de leurs systèmes
d'information.
Il est indispensable de prendre des mesures précises en temps opportun
pour corriger les faiblesses décelées dans la sécurité
des TI. Nous avons suggéré au Comité des comptes publics
qu'il demande un plan d'action détaillé de mise à jour
des normes relatives à la sécurité des TI.
Je suis heureuse de pouvoir dire qu'il y a quelques semaines à peine,
les représentants du Conseil du Trésor ont dit au Comité
des comptes publics qu'un tel plan d'action a été élaboré
et qu'un comité de haut niveau est en voie d'être créé.
La dirigeante principale de l'information s'est dite prête à fournir
au Comité les 40 principales normes de sécurité proposées
ainsi que le plan lui-même, une fois terminées les discussions
avec les ministères et organismes - dans un mois environ.
Bon nombre d'entre vous ont été associés directement aux
vastes préparatifs pour contrer la menace de l'an 2000 qui, heureusement,
est passée sans provoquer de graves perturbations.
Aujourd'hui, nous sommes tous parfaitement sensibles à la menace du
terrorisme qui peut prendre de nombreuses formes.
L'Association professionnelle des cadres de la fonction publique du Canada,
APEX, qui compte de nombreux membres parmi vous, m'a invitée récemment
à venir discuter de la gestion de la nouvelle réalité qui
s'est installée après le 11 septembre.
J'ai dit alors que la meilleure façon de se préparer pour l'extraordinaire
est de très bien gérer l'ordinaire. La meilleure façon
de se préparer pour un hypothétique 11 septembre c'est d'être
fin prêt le 10 septembre, tout comme nous l'avons été le
31 décembre 1999.
Nous ne pouvons savoir avec certitude ce que nous réservent pour demain
les événements locaux, nationaux et internationaux. Or, nous savons
ce que nous devons faire aujourd'hui pour assurer une gestion optimale qui nous
aidera à effectuer les changements organisationnels qui s'imposent et
à réagir aux imprévus. Nous avons encore du travail à
faire pour ce qui est de la sécurité des technologies de l'information.
Mais je sais qu'avec la volonté nécessaire, nous pouvons corriger
les faiblesses constatées dans les systèmes informatiques du gouvernement,
en grande partie grâce au dévouement et au savoir-faire de personnes
comme vous et des milliers d'autres au pays qui travaillent dans le domaine
de la vérification informatique.
Comme je suis souvent appelée à critiquer certains aspects de
notre administration publique, je me réjouis d'avoir l'occasion de féliciter
chacun d'entre vous qui travaille, dans le secteur public ou privé, à
garantir une infrastructure TI plus sûre, plus efficiente et plus efficace.
Merci. Je me ferai un plaisir de répondre maintenant à vos questions.
|