Déclaration d'ouverture au Comité des Comptes publics

La sécurité des technologies de l'information
(Chapitre 3 - Rapport de la vérificatrice générale d'avril 2002)

Monsieur le Président, je vous remercie de me donner l'occasion de discuter des résultats de notre vérification de la sécurité des technologies de l'information. J'ai à mes côtés Mme Nancy Cheng et M. Richard Brisebois, la directrice principale et le directeur responsables de cette vérification.

Les cybermenaces sont une réalité et elles peuvent causer d'importants dommages à une organisation. Des données d'origine américaine indiquent une hausse alarmante des incidents, en particulier ces dernières années. Les données canadiennes présentent une tendance parallèle.

De plus, le projet Gouvernement en direct, un important projet du gouvernement visant à offrir aux Canadiens un accès en direct à ses services, a suscité des préoccupations majeures au chapitre de la sécurité et de la protection des renseignements personnels. Par conséquent, la sécurité des technologies de l'information au gouvernement revêt de plus en plus d'importance.

La Politique du gouvernement sur la sécurité avait déjà été mise à jour en 1994 et elle a été révisée au cours de l'année 2001. La version révisée de la Politique est entrée en vigueur en février 2002. Il s'agit d'un pas important dans la bonne direction. Cette Politique met fortement l'accent sur la sécurité des technologies de l'information et fournit un cadre de régie pour la sécurité au sein du gouvernement.

La Politique est étayée par des normes de sécurité opérationnelles et techniques. La dernière mise à jour des normes de sécurité opérationnelles date de 1995, et la Gendarmerie royale du Canada (GRC) a publié un ensemble de normes de sécurité techniques en 1997. Ces normes n'ont pas été modifiées depuis, et un plan de mise à jour doit encore être dressé. Les technologies ont fait d'énormes progrès depuis ce temps. La politique sur la sécurité de 2002 ne sera pleinement efficace que si les normes sont actualisées.

La Politique de 1994 obligeait les ministères à effectuer des vérifications internes de la sécurité et à demander à la GRC d'examiner leur programme de sécurité des technologies de l'information au moins une fois tous les cinq ans. À la demande du Secrétariat du Conseil du Trésor, la GRC devait présenter un rapport sur l'état de la sécurité des technologies de l'information au gouvernement, rapport que la GRC devait préparer en s'appuyant sur ses examens.

Nous avons constaté qu'on avait peu surveillé l'état de la sécurité des technologies de l'information à l'échelle du gouvernement. Des quelque 90 ministères et organismes assujettis à la Politique du gouvernement sur la sécurité, seulement 10 ministères ont présenté des rapports de vérification interne et 14 ont subi des examens de la GRC au cours des cinq dernières années. Le dernier rapport de la GRC sur le programme de sécurité des technologies de l'information du gouvernement a été présenté en 1995, et le Secrétariat n'a demandé aucun rapport depuis.

En conséquence, le gouvernement ne dispose pas d'une base adéquate pour déterminer la mesure dans laquelle les pratiques actuelles en matière de sécurité des technologies de l'information sont acceptables, ni d'une base de référence appropriée pour mesurer les progrès futurs. La Politique de 2002 prévoit un rapport d'étape sur l'efficacité de son application vers l'année 2004. Selon nous, l'évaluation de l'efficacité de la sécurité des technologies de l'information au sein du gouvernement doit être faite plus tôt.

Dans la version révisée de la politique sur la sécurité, il n'y a plus d'exigence quant à la fréquence minimale des vérifications internes et des évaluations indépendantes. Selon la version révisée de la politique, le Secrétariat du Conseil du Trésor doit assurer une surveillance active, mais il revient à chaque ministère de décider quand les vérifications et les évaluations seront effectuées et à quelle fréquence.

Nous avons également examiné les pratiques de sécurité des technologies de l'information dans quatre ministères. Nous avons noté plusieurs faiblesses qui pourraient refléter des lacunes éventuelles dans d'autres ministères et organismes.

Il n'est ni faisable ni rentable d'éliminer tous les risques ou toutes les menaces pesant sur les ressources d'information. Les évaluations des risques facilitent l'affectation des ressources aux activités qui la justifient. Nous avons constaté que les ministères avaient préparé des évaluations de la menace et des risques de façon ponctuelle et que ces évaluations avaient tendance à porter sur une seule application. Nous avons également constaté que certains ministères avaient fait peu de tests techniques - voire aucun - de leurs systèmes de réseaux pour déceler les modems non autorisés et les points vulnérables.

Finalement, dans le cadre de la vérification, nous avons effectué quelques tests techniques dans certains ministères pour repérer les points vulnérables de leurs systèmes de réseaux sans toutefois les exploiter. Sur les 260 systèmes que nous avons testés, 85 présentaient des points vulnérables. Nous avons noté que la plupart de ces points vulnérables pouvaient compromettre l'intégrité du système lors d'une attaque ciblée. En fait, un des ces points vulnérables aurait pu présenter une menace imminente, et nous avons signalé immédiatement la situation au ministère concerné. En janvier 2002, nous avons fourni aux différents ministères tous les autres résultats et données des essais inclus dans nos évaluations de la vulnérabilité pour leur permettre de prendre des mesures correctives.

Les résultats ont confirmé l'avantage d'effectuer des évaluations de la vulnérabilité. Nous avons recommandé que le gouvernement songe à obliger les ministères à effectuer des évaluations périodiques de la vulnérabilité de leurs systèmes d'information.

Il est important de prendre rapidement des mesures particulières pour prendre en compte les préoccupations touchant la sécurité des technologies de l'information. Les membres du Comité voudront peut-être demander un plan d'action détaillé pour la mise à jour des normes de sécurité des technologies de l'information. Ils voudront peut-être aussi vérifier la pertinence d'évaluer l'efficacité de la sécurité des technologies de l'information au sein du gouvernement plus tôt que ne le prévoit la Politique du gouvernement sur la sécurité.

Monsieur le Président, voilà qui conclut ma déclaration d'ouverture. Nous serons heureux de répondre aux questions des membres du Comité.