Conseil régional de la vallée de l'Outaouais
Association des professionnel(le)s en vérification et en contrôle des systèmes d'information

Je suis ravie de participer à l'assemblée annuelle du Conseil régional de la vallée de l'Outaouais de l'ISACA.

Comme le travail des vérificateurs se fait habituellement à « l'interne » — à plus d'un titre — nous avons trop peu souvent l'occasion de rencontrer nos collègues pour discuter des défis que nous devons relever. Je vous remercie sincèrement de m'avoir invitée à être des vôtres aujourd'hui.

Je suis particulièrement heureuse d'échanger des idées sur l'importance de la sécurité des systèmes d'information avec les membres de l'ISACA, une organisation qui est un chef de file à l'échelle mondiale réputée pour la gouvernance, le contrôle et l'assurance en matière de technologies de l'information.

J'ai été tout particulièrement impressionnée du succès de votre programme de vérificateur agréé des systèmes d'information lequel a franchi récemment un nouveau jalon puisque plus de 10 000 vérificateurs ont passé l'examen en 2002.

Je sais que depuis sa création, il y a 25 ans, le programme de vérificateur agréé des systèmes d'information est devenu une norme de réussite généralement acceptée dans le domaine de la vérification, du contrôle et de la sécurité des systèmes en matière d'information. Je félicite tous ceux qui ont contribué au succès de cette initiative novatrice.

Je note avec une certaine fierté que 11 employés de mon Bureau ont obtenu le titre CISA et que trois autres ont passé récemment l'examen dont la rigueur est bien connue. À titre de vérificatrice générale, j'appuie de tout cœur l'ISACA et le titre CISA.

Mandat

J'aimerais vous parler d'une vérification récente de la sécurité des technologies de l'information du gouvernement fédéral. Mais permettez-moi d'abord de décrire brièvement mon rôle en tant que vérificatrice générale du Canada et de vous dire quelles sont mes priorités pour les prochaines années.

Pour résumer mon mandat, je dirai que le rôle du Bureau est de vérifier les activités gouvernementales et de fournir au Parlement l'information qui l'aide à tenir le gouvernement responsable de sa gestion des fonds publics.

Notre rôle n'est pas de remettre en cause ou de commenter les politiques, mais plutôt d'examiner les programmes visant à les mettre en œuvre.

Comme vous le savez, le gouvernement doit obtenir l'autorisation du Parlement avant de percevoir et de dépenser des fonds. L'un de mes rôles, en ma qualité de vérificatrice législative, est de vérifier si les pratiques du gouvernement sont conformes aux autorisations parlementaires.

Il ne s'agit pas d'un banal exercice comptable : notre constitution et nos traditions parlementaires encadrent la façon dont le gouvernement fédéral obtient et dépense les fonds.

Le principe fondamental est simple : les Canadiens ont le droit de savoir d'où proviennent les fonds publics et comment ils sont dépensés. Ce sont les députés que nous élisons qui en définitive exercent ce contrôle en notre nom.

Avec un personnel de plus de 500 personnes et un budget de fonctionnement annuel d'environ 63 millions de dollars, mon Bureau vérifie la plupart des secteurs d'activités du gouvernement canadien. Nos travaux portent sur quelque 70 ministères et organismes fédéraux, environ 40 sociétés d'État, quelque dix établissements publics et environ 60 autres entités. Des vérifications spéciales s'ajoutent à cela.

Par ailleurs, nous vérifions les gouvernements du Nunavut, du Yukon et des Territoires du Nord Ouest, et quelque 15 organismes territoriaux.

En 1995, le poste de Commissaire à l'environnement et au développement durable a été créé au sein du Bureau du vérificateur général. La Commissaire, Johanne Gélinas, et son personnel jouent un rôle important dans l'évaluation de la façon dont le gouvernement fédéral observe les lois environnementales et remplit ses objectifs dans le domaine du développement durable.

Le Parlement, le gouvernement et la fonction publique sont les gardiens des fonds publics qui leur sont confiés pour fournir des programmes et des services aux Canadiens.

Un élément important de la confiance des citoyens envers nos institutions démocratiques est leur conviction que les fonds publics sont dépensés judicieusement et efficacement.

Le Bureau du vérificateur général joue un rôle important dans notre système parlementaire car il aide les députés à s'acquitter de leurs fonctions et le gouvernement à gérer les fonds publics.

Le Bureau peut et doit aussi influencer l'attitude du gouvernement et des fonctionnaires en les incitant à gérer judicieusement les fonds publics et à rendre compte de leur gestion.

Pour être efficace, le vérificateur général doit être objectif et impartial. Voilà pourquoi le Parlement a pris des mesures pour garantir l'indépendance du Bureau à l'égard du gouvernement. Ainsi, le vérificateur général est nommé pour une période de dix ans et il est libre de recruter lui-même ses employés et d'établir leurs conditions d'emploi.

J'ai également le droit de demander au gouvernement de me fournir toute l'information dont j'ai besoin pour m'acquitter des responsabilités énoncées dans la Loi sur le vérificateur général. De plus, je présente mes rapports directement à la Chambre des communes, par l'intermédiaire du Président.

Je peux présenter jusqu'à quatre rapports par année, dont le rapport du Commissaire à l'environnement et au développement durable.

En 1977, une nouvelle loi a précisé et élargi le mandat du vérificateur général. En plus de se pencher sur l'exactitude des états financiers, le vérificateur général a obtenu le pouvoir d'effectuer des vérifications de l'optimisation des ressources qui portent sur l'économie, l'efficience et l'efficacité des activités gouvernementales.

Bien que nos rapports attirent beaucoup d'attention lorsqu'ils sont publiés, leur incidence à long terme se fait réellement sentir lorsqu'ils sont examinés par le Comité permanent des comptes publics de la Chambre des communes.

Le Comité fonde une grande partie de son travail sur nos rapports. Tout au long de l'année, il tient des audiences, auxquelles j'assiste en compagnie de l'équipe de vérification et des hauts fonctionnaires du ministère vérifié.

Après les audiences, il se peut que le Comité fasse rapport à la Chambre des communes et lui présente des recommandations. Par ailleurs, les ministères vérifiés doivent généralement rendre compte au Comité des mesures qu'ils ont prises pour donner suite à nos recommandations.

Ainsi, le Comité des comptes publics ferme la boucle du régime d'obligation de rendre compte.

Comme vous pouvez le constater, le vérificateur général a un mandat très vaste, mandat qui devient encore plus complexe au fur et à mesure que le gouvernement modifie ses structures et ses pratiques pour offrir aux Canadiens et aux Canadiennes des programmes et des services de façon plus rapide et plus efficiente.

Priorités

Avant de vous parler de la sécurité des TI au gouvernement fédéral, j'aimerais décrire brièvement mes priorités à titre de vérificatrice générale. Cela vous donnera une idée de la nature des vérifications qu'entreprendra mon Bureau au cours des quelques années à venir.

J'ai trouvé qu'il y avait deux sujets ou thèmes qui étaient assez évidents. Ces deux premières priorités sont des priorités relativement classiques pour les vérificateurs généraux :

D'abord, notre client le Parlement. Nous jouons un rôle très important dans tout le processus de reddition de comptes entre le Parlement et le gouvernement. Et je vois notre rôle essentiellement comme fournissant de l'information aux parlementaires pour qu'ils puissent prendre des décisions éclairées. Alors, cette priorité comprend la reddition de comptes, les rapports et la conformité aux autorisations.

Le deuxième sujet est une fonction publique efficace, ce qui est essentiel pour bien répondre aux attentes des citoyens et citoyennes. La fonction publique connaît actuellement des réformes majeures que ce soit la gestion des ressources humaines, la capacité de gestion financière, la gestion de l'information et bien sur, les technologies de l'information - et je crois que nous avons une contribution à faire à cet égard.

Les trois autres priorités sont de nature plus personnelle. Je me suis demandé quels sujets sont importants pour moi et ma famille. Ils sont :

• Le bien-être des Canadiens (la santé, la sécurité et l'environnement)
• Notre héritage/patrimoine (les actifs, la situation financière et l'environnement)
• Les questions autochtones (les questions sociales, financières et la régie).

La sécurité des technologies de l'information

L'ère des technologies de l'information a modifié du tout au tout notre façon de concevoir la sécurité et d'en parler.

Cela me rappelle Richard Power qui disait :

« Dans le bon vieux temps, les gens dévalisaient les diligences et braquaient les véhicules blindés. Aujourd'hui, ils dépouillent les serveurs. »

Je me permets d'ajouter que les conséquences sont beaucoup plus dévastatrices.

Mon plus récent rapport, rendu public en avril, traitait plus particulièrement de la sécurité des technologies de l'information au gouvernement fédéral.

Il révélait toute la vulnérabilité des systèmes de l'information qui font partie de l'infrastructure essentielle du pays à la menace très réelle et croissante des cyberattaques.

Nous avons constaté que des normes désuètes protègent mal nos systèmes d'information. Voilà pourquoi nous avons pressé le gouvernement d'accélérer la mise en place de mesures pour protéger ses systèmes d'information, ses réseaux et ses données.

Je crois que la version révisée de la Politique du gouvernement sur la sécurité, entrée en vigueur en février 2002, est un pas important dans la bonne direction puisqu'elle met fortement l'accent sur la sécurité des technologies de l'information - la sécurité des TI - et contribue largement à l'amélioration de la régie de la sécurité au sein du gouvernement.

Or, si le Secrétariat du Conseil du Trésor ne modernise pas ses normes, la politique aura peu d'effets et l'initiative visant à améliorer la sécurité des TI risque fort d'échouer.

La vérification que nous avons menée a aussi révélé que l'on ne vérifie pas adéquatement la sécurité des technologies de l'information dans les ministères.

Comme bon nombre d'entre vous le savent sans doute, le gouvernement n'est pas suffisamment en mesure de déterminer si les pratiques actuelles pour assurer la sécurité des TI sont acceptables, et il n'a pas non plus de point de référence par rapport auquel mesurer les progrès futurs.

La vérification a par ailleurs révélé que les pratiques relatives à la sécurité des TI varient énormément d'un ministère à l'autre et qu'il existe un certain nombre de faiblesses dans certains des ministères vérifiés.

Le gouvernement canadien investit énormément - argent, effectifs, temps et efforts - pour devenir un chef de file mondial du Gouvernement en direct et assurer la prestation en direct de ses services aux Canadiens.

Or, avant de tenter d'obtenir en direct des services du gouvernement, les Canadiens veulent être rassurés quant à la sécurité des systèmes gouvernementaux et à la protection de leurs renseignements personnels.

Au mois de mai, les fonctionnaires de mon Bureau qui ont comparu devant le Comité permanent des comptes publics ont souligné que les cybermenaces sont très réelles et peuvent occasionner des dommages importants au sein d'un organisme.

Des données provenant des États Unis montrent une augmentation dramatique du nombre d'incidents signalés, particulièrement au cours des dernières années. Les données pour le Canada témoignent d'une tendance comparable ici.

Le politique de 1994 obligeait les ministères à effectuer des vérifications internes de la sécurité et à demander à la GRC d'évaluer leur programme de sécurité des TI au moins une fois tous les cinq ans.

À la demande du Secrétariat du Conseil du Trésor, la GRC a dû présenter un rapport, préparé à partir de ses propres examens, sur les pratiques de sécurité des TI au gouvernement.

Cependant, les normes opérationnelles relatives à la sécurité n'ont pas été mises à jour depuis 1995. La GRC a publié, en 1997, une série de normes de sécurité techniques. Ces normes restent inchangées et l'élaboration du plan de mise à jour n'est toujours pas achevée.

Cela équivaut à conduire une voiture 2002 en utilisant des manuels d'exploitation et d'entretien de 1980. Si vous les utilisiez, vous n'auriez pas de très bons résultats.

Nous avons rappelé aux membres du Comité permanent des comptes publics qu'il y a eu depuis d'importants progrès technologiques. Nous croyons que la Politique de sécurité de 2002 ne saurait être efficace en l'absence de normes à jour.

Nous avons constaté qu'on avait peu surveillé l'état de la sécurité des technologies de l'information à l'échelle du gouvernement. Des quelque 90 ministères et organismes assujettis à la Politique du gouvernement sur la sécurité, seulement 10 ministères ont présenté des rapports de vérification interne et 14 ont subi des examens de la GRC au cours des cinq dernières années.

Comme je le mentionnais tantôt, le dernier rapport de la GRC sur le programme de sécurité des technologies de l'information du gouvernement a été présenté en 1995, et le Secrétariat n'a demandé aucun rapport depuis.

En conséquence, le gouvernement ne dispose pas d'une base adéquate pour déterminer la mesure dans laquelle les pratiques actuelles en matière de sécurité des technologies de l'information sont acceptables, ni d'une base de référence appropriée pour mesurer les progrès futurs.

La Politique de 2002 prévoit un rapport d'étape sur l'efficacité de son application vers l'année 2004. Selon nous, l'évaluation de l'efficacité de la sécurité des technologies de l'information au sein du gouvernement doit être faite plus tôt.

Dans la version révisée de la politique sur la sécurité, il n'y a plus d'exigence quant à la fréquence minimale des vérifications internes et des évaluations indépendantes.

Selon la version révisée de la politique, le Secrétariat du Conseil du Trésor doit assurer une surveillance active, mais il revient à chaque ministère de décider quand les vérifications et les évaluations seront effectuées et à quelle fréquence.

Mon Bureau a vérifié les pratiques de sécurité des TI dans quatre ministères et a relevé plusieurs faiblesses qui pourraient être symptomatiques des lacunes dans d'autres ministères et organismes.

Bien entendu, il est ni faisable ni rentable d'éliminer tous les risques ou toutes les menaces pesant sur les ressources d'information.

Les évaluations des risques facilitent l'affectation des ressources aux activités qui la justifient mais nous avons constaté que peu de ministères avaient préparé des évaluations de la menace et des risques, et que même ceux-là l'avaient fait de façon ponctuelle seulement. Les évaluations avaient tendance à porter sur une seule application.

Nous avons par ailleurs constaté que certains ministères ont effectué peu de tests techniques, voire aucun, de leurs systèmes de réseaux pour déceler leur vulnérabilité éventuelle.

Enfin, dans le cadre de la vérification, nous avons effectué des tests techniques dans certains ministères afin de détecter la vulnérabilité des systèmes de réseaux, mais nous n'avons pas exploité les points vulnérables décelés.

Sur les 260 systèmes que nous avons vérifiés, 85 - soit près du tiers - présentaient des points vulnérables. Nous avons remarqué que la plupart d'entre eux pourraient compromettre l'intégrité des systèmes lors d'une cyberattaque ciblée lancée par un pirate informatique, un criminel ou un terroriste.

D'ailleurs, dans un ministère, le système comportait une faiblesse qui présentait une menace imminente. Nous l'avons signalée immédiatement au ministère.

En janvier 2002, nous avons fourni aux divers ministères les données et les résultats détaillés de nos évaluations de la vulnérabilité des réseaux pour qu'ils puissent prendre les mesures correctives nécessaires.

Les résultats ont confirmé l'utilité des évaluations de vulnérabilité. Nous recommandons que le gouvernement envisage d'exiger des ministères qu'ils procèdent périodiquement à l'évaluation de la vulnérabilité de leurs systèmes d'information.

Il est indispensable de prendre des mesures précises en temps opportun pour corriger les faiblesses décelées dans la sécurité des TI. Nous avons suggéré au Comité des comptes publics qu'il demande un plan d'action détaillé de mise à jour des normes relatives à la sécurité des TI.

Je suis heureuse de pouvoir dire qu'il y a quelques semaines à peine, les représentants du Conseil du Trésor ont dit au Comité des comptes publics qu'un tel plan d'action a été élaboré et qu'un comité de haut niveau est en voie d'être créé.

La dirigeante principale de l'information s'est dite prête à fournir au Comité les 40 principales normes de sécurité proposées ainsi que le plan lui-même, une fois terminées les discussions avec les ministères et organismes - dans un mois environ.

Bon nombre d'entre vous ont été associés directement aux vastes préparatifs pour contrer la menace de l'an 2000 qui, heureusement, est passée sans provoquer de graves perturbations.

Aujourd'hui, nous sommes tous parfaitement sensibles à la menace du terrorisme qui peut prendre de nombreuses formes.

L'Association professionnelle des cadres de la fonction publique du Canada, APEX, qui compte de nombreux membres parmi vous, m'a invitée récemment à venir discuter de la gestion de la nouvelle réalité qui s'est installée après le 11 septembre.

J'ai dit alors que la meilleure façon de se préparer pour l'extraordinaire est de très bien gérer l'ordinaire. La meilleure façon de se préparer pour un hypothétique 11 septembre c'est d'être fin prêt le 10 septembre, tout comme nous l'avons été le 31 décembre 1999.

Nous ne pouvons savoir avec certitude ce que nous réservent pour demain les événements locaux, nationaux et internationaux. Or, nous savons ce que nous devons faire aujourd'hui pour assurer une gestion optimale qui nous aidera à effectuer les changements organisationnels qui s'imposent et à réagir aux imprévus. Nous avons encore du travail à faire pour ce qui est de la sécurité des technologies de l'information.

Mais je sais qu'avec la volonté nécessaire, nous pouvons corriger les faiblesses constatées dans les systèmes informatiques du gouvernement, en grande partie grâce au dévouement et au savoir-faire de personnes comme vous et des milliers d'autres au pays qui travaillent dans le domaine de la vérification informatique.

Comme je suis souvent appelée à critiquer certains aspects de notre administration publique, je me réjouis d'avoir l'occasion de féliciter chacun d'entre vous qui travaille, dans le secteur public ou privé, à garantir une infrastructure TI plus sûre, plus efficiente et plus efficace.

Merci. Je me ferai un plaisir de répondre maintenant à vos questions.