Office of the Auditor General of Canada - Bureau du vérificateur général du Canada
Skip all menusSkip first menu English Contactez-nous Aide Recherche Site du Canada
À propos du Bureau Publications Salle des médias Carte du site Accueil
Bureau du vérificateur général du Canada
B V G
Quoi de neuf?
Mandat
Rapports au Parlement par
Rapports aux assemblées législatives du Nord
Perspectives d'emploi
Carrières
Inscription des experts-conseils
Commentaires sur le site

Déclaration d'ouverture au Comité des Comptes publics

La sécurité des technologies de l'information
(Chapitre 1 - Rapport de février 2005 de la vérificatrice générale du Canada)

Le 23 mars 2005

Douglas G. Timmins, CA
Vérificateur général adjoint

Monsieur le Président, je vous remercie de me donner l’occasion de discuter des résultats de notre vérification de la sécurité des technologies de l’information. Je suis accompagné de Richard Brisebois, directeur principal, et de Guy Dumas, directeur de la vérification.

Notre dernière vérification de la sécurité des technologies de l’information remonte à 2002. Depuis ce temps, les cybermenaces qui pèsent sur les technologies de l’information ont augmenté de manière inquiétante.

En 2002, une version révisée de la Politique du gouvernement sur la sécurité venait tout juste d’être publiée, mais les normes opérationnelles essentielles à la mise en œ uvre de la Politique étaient périmées ou inexistantes.

Depuis 2002, le Secrétariat du Conseil du Trésor a élaboré, de concert avec les principaux organismes responsables de la sécurité et certains ministères, plusieurs normes de sécurité opérationnelles et techniques. Des normes sur la continuité des activités et la gestion de la sécurité informatique, entre autres, ont été publiées. Cependant, il en reste encore plusieurs à élaborer, la plupart dans d’autres secteurs touchant la sécurité informatique, comme l’évaluation des menaces et des risques, la passation des marchés, la formation et la sensibilisation en matière de sécurité, ainsi que l’identification des biens.

Pour être efficaces, les politiques et les normes doivent se traduire en gestes concrets de la part des ministères et des organismes. En général, nous avons constaté que les ministères et les organismes ne satisfont pas aux exigences de base de la Politique et des normes, ou encore ils y satisfont, mais d’une manière non uniforme d’un secteur à l’autre ou d’une région à l’autre.

Dans le cours de notre vérification, nous avons examiné les réponses à un questionnaire d’autoévaluation de la sécurité informatique qui a été administré par le Secrétariat du Conseil du Trésor. Des 46 ministères et organismes qui ont répondu, une seule entité disait satisfaire aux exigences de base. Comme complément à cet exercice, nous avons préparé notre propre questionnaire et l’avons envoyé à 82 organisations. Nous avons obtenu des résultats similaires.

Nous avons examiné 20 rapports de tests techniques menés au cours des deux dernières années dans diverses organisations. La plupart de ces rapports ont signalé de graves lacunes dans les systèmes informatiques, qui, si elles étaient exploitées, pourraient provoquer de sérieux bris de sécurité, entraîner la divulgation non autorisée de renseignements et causer des dommages à des entreprises ou à citoyens non méfiants.

Monsieur le Président, nous avons aussi examiné les pratiques en matière de sécurité informatique dans les quatre ministères qui avaient fait l’objet de notre vérification en 2002. Certains ont apporté des changements importants à leurs pratiques, mais aucun ne satisfaisait à toutes les exigences de base de la Politique.

Dans notre sondage, nous avons constaté que, des 82 ministères et organismes, seulement 37 (soit 45 p. 100) avaient effectué une évaluation des menaces et des risques de leurs programmes, de leurs systèmes ou de leurs services, comme l’exige la Politique. Dans la plupart des organisations, la haute direction n’est pas informée des résultats ou n’est pas au courant des risques informatiques, ce qui a pour résultat qu’elle n’accorde peut-être pas suffisamment d’importance à la nécessité de les éliminer.

Nous signalons également dans notre rapport que le Secrétariat du Conseil du Trésor n’a pas entièrement rempli son rôle de surveillance tel que défini dans la Politique. Il n’a pas les processus en place pour recueillir et analyser les constatations en matière de sécurité soulevées dans les rapports de vérification ministériels. Il n’a pas non plus produit le rapport à mi-terme, destiné au Conseil du Trésor, sur l’efficacité de la Politique du gouvernement sur la sécurité, rapport qui devait être remis à l’été de 2004. Il existe donc peu d’information de base sur l’état de la sécurité informatique dans l’ensemble du gouvernement.

Monsieur le Président, il est important que des mesures précises visant à dissiper les inquiétudes en matière de sécurité informatique soient prises sans délai.

Le Comité voudra peut-être poser les questions suivantes au Secrétariat du Conseil du Trésor :

  • Comment s’assurera-t-il que toutes les normes de sécurité informatique nécessaires sont préparées et publiées en temps opportun?
  • Comment s’assurera-t-il que les ministères et les organismes mettent en place un niveau raisonnable de sécurité informatique et qu’ils en rendent compte?
  • Comment jouera-t-il son rôle de surveillant de la sécurité informatique et suivra-t-il les vérifications entreprises par les ministères dans ce domaine?
  • Quand le rapport à mi-terme sur la Politique du gouvernement sur la sécurité sera-t-il préparé?

Monsieur le Président, voilà qui conclut ma déclaration d’ouverture. Nous serons heureux de répondre aux questions du Comité.

       
Mise à jour: 2005-03-23
Avis importants