Allocution de la DPI au Forum sur la cyberprotection 2005
Helen McDonald, Dirigeante principale de l'information par intérim
Le 18 janvier 2005
Bonjour!
Il me fait plaisir d'être ici ce matin et d'avoir la possibilité de prendre
la parole à ce premier Forum sur la cyberprotection pour traiter de l'état de la
sécurité des technologies de l'information au sein du gouvernement du Canada.
La protection de la vie privée, l'accessibilité, l'interopérabilité, la
transparence et la capacité d'adaptation sont des éléments fondamentaux des
gouvernements démocratiques. Au Canada, ces éléments imprègnent toutes les
fonctions et les activités du gouvernement.
La sécurité compte également parmi ces éléments clés.
Un gouvernement démocratique a le devoir de protéger les transactions, les
biens, les employés et les infrastructures du mieux qu'il peut. C'est dans cet
esprit que la Politique du gouvernement sur la sécurité et, plus récemment, la
Politique de sécurité nationale ont vu le jour. Cet engagement s'applique tant
à notre environnement physique qu'au cyberespace. C'est sur ce dernier que je
m'attarderai aujourd'hui.
Nous avons réalisé des progrès notables depuis quelques années au chapitre
de la protection des infrastructures critiques, de l'information et des processus
opérationnels du gouvernement.
Au cours des quatre dernières années, le gouvernement s'est démarqué comme
chef de file par la transition qu'il a entrepris vers un gouvernement
électronique. Malgré les changements importants aux conceptions des programmes
et aux environnements technologiques, le gouvernement a su éviter les grandes
interruptions de ses opérations. La population canadienne utilise Internet plus
que jamais pour transiger avec le gouvernement, et celui-ci a pu leur garantir un
niveau acceptable d'accès, de protection et de sécurité. Lorsque des menaces
cybernétiques se sont pointées à l'horizon, le gouvernement du Canada a pu se
regrouper, comme entreprise, et gérer adéquatement les risques grâce à des
efforts concertés et à une coordination efficace. Pour cela, il faut remercier
la communauté de la sécurité des technologies d'information de ses efforts
constants.
Cependant, le mois prochain, la vérificatrice générale du Canada,
Sheila Fraser, déposera un rapport de vérification sur le rendement du
Canada dans divers secteurs, notamment celui de la sécurité des technologies de
l'information. Il s'agit d'un suivi de la vérification menée sur ce sujet en
2002.
Je m'attends à ce que la vérificatrice générale indique que les ministères
fédéraux n'ont pas accordé une importance suffisante à l'adhésion aux normes
de sécurité publiées en matière de technologies de l'information et à la
production de plans ministériels de continuité des activités.
Pour ce qui est de ma propre unité au Secrétariat du Conseil de Trésor, nous
nous attendons à ce le rapport indique que nous aurions pu intensifier nos
efforts en vue d'élaborer des normes de sécurité permettant de faire face à
l'évolution constante des technologies, de coordonner les programmes de
sensibilisation nécessaires à l'échelle gouvernementale (surtout auprès des
hauts fonctionnaires) et de fournir des rétroactions, des vérifications et des
contrôles efficaces (par nous-mêmes ou par des organismes clés).
Le Secrétariat du Conseil du Trésor est d'accord.
Nous devons demeurer axés sur l'amélioration continue.
Pris dans son ensemble, le gouvernement du Canada n'accuse pas nécessairement
de retard par rapport à d'autres administrations ou aux grandes sociétés
multinationales. La sécurité des technologies de l'information représente un
défi de taille, surtout dans un environnement aussi complexe que celui du
gouvernement du Canada.
Nous souhaitons terminer d'ici la fin de 2006 les autres normes
opérationnelles à l'appui de la Politique du gouvernement sur la sécurité.
Nous avons également entamé un processus visant à maintenir à jour la
politique et les normes.
En 2007, le Secrétariat du Conseil du Trésor devra revoir la Politique du
gouvernement sur la sécurité. Dans les mois à venir, nous fournirons aux
ministres du Conseil du Trésor un rapport de mi-parcours sur l'efficacité de la
Politique du gouvernement sur la sécurité de 2002 et sur sa mise en oeuvre. Ce
rapport fera état des résultats obtenus, de la formation offerte aux
professionnels de la sécurité et de la gouvernance au titre des plans de
continuité des activités, de la sécurité physique et de la sécurité des
technologies de l'information.
Le Secrétariat du Conseil du Trésor propose une approche en trois volets pour
améliorer l'état de la sécurité dans l'ensemble du gouvernement :
- élaboration d'un cadre intégré
de gestion des risques tenant compte des risques de sécurité
- promotion de la valeur
« opérationnelle » de la sécurité des technologies de l'information
pour les programmes du gouvernement
- évaluation plus efficace de
l'incidence pour les ministères et organismes de l'adoption de nouvelles
technologies et solutions.
Permettez-moi d'approfondir chacun de ces points :
Le premier volet porte sur le cadre de gestion des risques de
sécurité :
Les risques entourant la sécurité cybernétique, ou l'absence d'une telle
sécurité, demeurent méconnus de la plupart des sphères supérieures du
gouvernement. Malgré les nombreuses menaces et les vulnérabilités auxquelles
nos systèmes sont exposés, nous n'avons pas encore été confrontés à un
véritable désastre. Cela pourrait expliquer pourquoi nous ne consacrons pas
suffisamment d'efforts pour sensibiliser les gestionnaires des opérations et des
programmes à l'importance de nos travaux et des investissements dans ce secteur.
D'une certaine manière, la communauté de la sécurité des technologies de
l'information est victime de son propre succès.
Face au besoin continu, même croissant, de faire des choix difficiles entre
diverses priorités stratégiques et de prendre des décisions également
difficiles relativement aux profils de risque, tout particulièrement dans le
contexte de l'examen des dépenses, il est plus important que jamais de promouvoir
efficacement la valeur des solutions de sécurité des technologies de
l'information au sein des ministères et organismes.
L'événement le plus difficile auquel nous avons été confrontés est
peut-être celui de l'été 2003, lors de la panne d'électricité qui a frappé
l'Ontario. Cet événement n'a pas été causé par un acte de sabotage, mais par
un accident malheureux et, vraisemblablement, par une planification
opérationnelle déficiente.
Nous estimons toutefois qu'une approche plus stratégique en matière de
sécurité et de planification de la continuité des activités aurait permis
d'éviter ce désastre, qui a coûté des millions de dollars aux citoyens et aux
entreprises de l'Ontario et des États-Unis.
En qualité de chefs de file et de spécialistes du domaine, nous devons
réfléchir sans cesse à ces situations et adapter les leçons apprises à notre
environnement respectif.
Beaucoup d'incidents cybernétiques portés à l'attention des cadres
supérieurs concernent la corruption des sites Web, les nouveaux virus ou des
événements ayant causé des perturbations des services sans grande conséquence.
Ces événements, bien qu'importuns, n'ont pas eu d'incidence notable sur les
opérations.
En passant, ces incidents n'apparaissent plus dans les statistiques sur les
incidents des grandes équipes d'intervention en cas d'incidences informatiques,
telles que Carnegie-Mellon ou notre CanCERT. Par conséquent, une sécurité
accrue des technologies de l'information doit reposer sur une stratégie efficace
de communication et de rapports afin qu'une attention adéquate soit accordée aux
événements par le niveau adéquat de gestion.
Le Secrétariat du Conseil du Trésor travaille à l'élaboration d'un cadre de
gestion des risques de sécurité, harmonisé au cadre intégré de gestion des
risques, et d'une politique connexe. Pour être efficace, la gestion des risques
de sécurité doit être appliquée de manière continue, tant par les techniciens
spécialisés que par les gestionnaires des programmes. Nous envisageons la
gestion continue des risques de sécurité selon un processus en trois étapes qui
nous semble essentiel à la mise en oeuvre de la Politique du gouvernement sur la
sécurité dans les ministères.
Premièrement, il faut évaluer les menaces et les
risques, ce qui n'est pas fait, pour le moment, à grande échelle.
L'évaluation des menaces et des risques permet de déterminer quels
employés, biens et services doivent être protégés, d'évaluer la probabilité
que les menaces se réalisent, ainsi que leurs conséquences, et de recommander
des mesures pour maintenir un niveau de risque acceptable. Dans le contexte
technologique actuel et l'utilisation à grande échelle d'Internet pour
l'échange d'information et la prestation des services, ce niveau de risque ne
sera jamais de zéro. Et c'est normal. Il faut mettre l'accent sur un processus
décisionnel sûr permettant d'assurer le caractère acceptable des risques
résiduels.
Un élément clé vers l'avenir est le projet en cours dirigé par le Centre de
sécurité des télécommunications et par la Gendarmerie royale du Canada en vue
de fusionner les lignes directrices sur l'évaluation des menaces et des risques
des deux organisations. Il sera ainsi possible d'avoir une approche commune qui
intègrera les processus d'évaluation des menaces et des risques en matière de
sécurité physique et des technologies de l'information. Cette approche
complètera la norme de sécurité opérationnelle du Secrétariat du Conseil du
Trésor sur la gestion des risques actuellement sous révision.
La deuxième étape porte sur la mise
en oeuvre de mesures de protection, une fois que le risque de sécurité a été
évalué.
Les mesures de protection doivent être intégrées aux plans
opérationnels et aux plans de prestation des services, ainsi qu'aux programmes et
aux processus. Trop souvent encore, l'attention n'est accordée à la sécurité
des technologies de l'information qu'après coup. Il est essentiel ici – et je
traiterai de la question plus loin – de sensibiliser les hauts fonctionnaires et
les gestionnaires de programmes, entre autres, à ces questions.
La troisième étape de la gestion
continue des risques de sécurité concerne la surveillance, ce qui comprend les
vérifications et les inspections liées à la sécurité, les réponses aux
incidents et les enquêtes et le suivi des tendances et des nouveautés. Ces
activités de surveillance devraient étayer les évaluations des menaces et des
risques et permettre de déterminer si les mesures de protection sont efficaces.
Le Secrétariat du Conseil du Trésor collabore présentement avec les
principaux organismes de sécurité et avec les représentants ministériels en
vue d'élaborer un processus de surveillance efficace qui permettra de fournir des
renseignements pertinents. Nous établirons également la manière la plus
efficace de recueillir les renseignements nécessaires à la surveillance.
Le Secrétariat du Conseil du Trésor travaille également en étroite
collaboration avec les principaux organismes de sécurité et les ministères
d'exécution à l'élaboration d'orientations et d'outils (comme la mise à jour
de l'outil d'autoévaluation de la sécurité des technologies de l'information)
afin de favoriser l'intégration de la sécurité des technologies de
l'information dans le processus ministériel de gestion des risques.
Cette méthode exhaustive de gestion des risques améliorera la sécurité des
technologies de l'information et sa gestion dans l'ensemble des ministères, et
assurera ainsi une plus grande intégrité de nos opérations et de notre
prestation des services. Elle permettra également de partager davantage nos
données sur les risques et les réponses à ceux-ci. La norme de gestion des
risques de sécurité sera publiée d'ici l'été.
Le deuxième volet de notre stratégie en trois volets pour l'amélioration
de la sécurité porte sur la promotion auprès des gestionnaires des programmes
de la valeur « opérationnelle » des solutions de sécurité des
technologies de l'information :
Il faut trouver des moyens de faire comprendre aux administrateurs généraux,
aux hauts fonctionnaires et aux gestionnaires des programmes les avantages sur le
plan opérationnel des solutions de sécurité des technologies de l'information.
Il nous faut des stratégies de communication plus percutantes faisant valoir
l'importance d'assurer la sécurité des programmes gouvernementaux.
La sécurité doit être perçue comme étant plus qu'un aspect de la
protection. Malheureusement, plusieurs hauts fonctionnaires considèrent la
sécurité des technologies de l'information comme une forme d'art marginal ou une
spécialité très pointue. Ils ne comprennent pas toujours la valeur ajoutée
pour leurs processus opérationnels.
Il sera plus facile pour les gestionnaires de comprendre la valeur si les
solutions ne leur sont pas simplement présentées comme un ultimatum. Trop
souvent, on leur demande de financer une solution de sécurité complète qui leur
est présentée ou d'assumer à eux seuls tous les risques s'ils refusent.
La gestion de l'identité électronique des employés et des clients sera un
moyen d'établir un lien. Les gestionnaires doivent s'assurer que les
renseignements commerciaux confidentiels et personnels se retrouvent entre les
mains des personnes autorisées, que les prestations sont versées aux bonnes
personnes et qu'il existe une piste de vérification sûre pour les transactions
en direct avec les clients.
L'adoption d'une identité électronique, quelle soit partagée ou, dans
certaines circonstances, commune, notamment pour les signatures numériques des
citoyens, des entreprises et des fonctionnaires fédéraux, donnera une grande
valeur aux processus opérationnels et aux programmes. Une gestion de l'identité
électronique digne de confiance fait partie intégrante de la sécurité, c'est
ce qu'il faut faire comprendre.
Tout comme les gestionnaires et les employés ont pris conscience, au cours des
dernières années, de leurs responsabilités au titre de la protection de la vie
privée, il faut maintenant qu'ils comprennent leurs responsabilités en matière
de sécurité des technologies de l'information. Il faut développer une même
prise de conscience et un même engagement. Il faut inculquer une discipline à
laquelle tous, à tous les niveaux de l'organisation, non pas seulement les
gestionnaires techniques, doivent adhérer.
Il ne sera pas nécessairement difficile d'y arriver. D'après l'évaluation de
la sécurité des technologies de l'information effectuée en 2002 par la
vérificatrice générale, la plupart des vulnérabilités au sein des systèmes
ministériels existaient uniquement parce qu'on ne s'était pas penché
sérieusement sur la question.
La plupart des vulnérabilités étaient liées à l'utilisation de mots de
passe inefficaces, la prévalence de configurations de défaut dans les systèmes
d'exploitation et aux correctifs de sécurité non installés. Il s'agit-là de
simples problèmes de base pour lesquels il existe déjà des solutions.
D'ailleurs, tous les sites Web de sécurité fournissent abondamment de
renseignements sur la manière de régler ces types de problèmes.
Nous devons également apprendre à communiquer davantage entre nous.
Comme pour toute autre grande organisation répartie sur un vaste territoire,
le gouvernement du Canada doit évoluer dans un environnement fondé de plus en
plus sur les réseaux et l'interdépendance. Cet environnement nécessitera une
approche « collective » pour assurer l'efficacité de la sécurité
des technologies de l'information et permettre aux ministères de réagir
rapidement face aux incidents touchant la sécurité et de partager l'information
connexe. Cette capacité de réagir deviendra un élément déterminant pour les
organismes de sécurité supérieure.
Qu'est-ce que tout cela signifie en termes concrets? Cela signifie la création
de forums favorisant l'échange d'informations, d'idées et de pratiques
exemplaires. Nous avons récemment lancé les journées de la gestion de la
sécurité des technologies de l'information (GSTI); des demi-journées
consacrées aux spécialistes de la sécurité des technologies de l'information
et autres types de sécurité.
Le Secrétariat du Conseil du Trésor doit également jouer un rôle de
supervision. Les ministères et organismes devraient préparer des plans d'action
indiquant à quelle date ils seront pleinement conformes aux exigences en matière
de sécurité des technologies de l'information prévues dans la Politique du
gouvernement sur la sécurité et à la norme sur la gestion de la sécurité des
technologies de l'information. Le Secrétariat du Conseil du Trésor demandera
sous peu aux ministères et organismes de produire des plans d'action en matière
de sécurité des technologies de l'information.
Des discussions sont déjà en cours avec les coordonnateurs de la sécurité
des TI pour déterminer le meilleur moyen d'élaborer des plans d'action
ministériels individuels et d'assurer la conformité. Les plans ministériels
devront être soumis au Secrétariat du Conseil du Trésor d'ici l'été 2005 et
devront porter la signature de l'administrateur général ou de son représentant
désigné afin de certifier l'engagement de la haute direction ministérielle.
Les ministères auront jusqu'à la fin 2006 pour atteindre les objectifs
fixés. Le Secrétariat du Conseil du Trésor assurera le suivi de la mise en
oeuvre de ces plans, peu après décembre 2006 ou au début 2007. Il
présentera ensuite un rapport au Conseil du Trésor pour désigner les
organisations qui sont conformes et celles qui ne le sont pas.
Le troisième et dernier volet de notre approche exhaustive porte sur la
technologie :
La technologie est souvent assimilée à un catalyseur de changement. La
technologie peut rendre les programmes gouvernementaux et les ministères plus
souples, plus efficaces et plus efficients. Elle est également nécessaire pour
répondre aux attentes d'une population qui veut interagir avec son gouvernement
à toutes heures de la journée, concernant toutes questions qui les touchent et
de partout dans le monde.
Il faut cependant une planification proactive pour obtenir de tels résultats.
Autrement, la technologie peut devenir un élément perturbateur ou avoir des
effets imprévus et négatifs. Il faut établir des processus de planification
stratégique efficaces avant d'adopter de nouvelles technologies, notamment des
solutions de sécurité des technologies de l'information, dans les ministères et
organismes.
Dans le cadre de la planification stratégique, nous devons concevoir comment
divers produits et services pourraient travailler ensemble en toute sécurité
« avant » de les mettre en oeuvre. Aujourd'hui, trop souvent, on tente
d'intégrer des solutions en matière de sécurité après l'achat ou la
conception des applications ou services.
Aussi, nous devons agir de manière plus stratégique. Trop souvent, la
sécurité vise à éviter les risques plutôt qu'à les gérer. Encore une fois,
cette situation est liée au fait que les gestionnaires ne comprennent pas bien la
valeur des solutions de sécurité.
Les ministères et les organismes, tout comme le gouvernement dans son
ensemble, sont de plus en plus appelés à développer une capacité d'adaptation
face à l'évolution rapide des technologies. Il y a des avantages à adopter
certaines solutions à l'échelle pangouvernementale.
C'est pourquoi le Secrétariat du Conseil du Trésor et Travaux publics et
Services gouvernementaux Canada, de concert avec les principaux organismes
responsables de la sécurité, dirigent la mise en place et l'utilisation
d'infrastructures et de services communs et partagés.
L'application de mesures telles que la détection de l'intrusion, l'évaluation
des vulnérabilités, la mise à niveau des logiciels et les méthodes de
développement des systèmes est plus efficace dans le cadre d'une infrastructure
centrale commune que si elle est faite de manière ponctuelle, dans chacun des
ministères.
Les sommes considérables que le gouvernement du Canada investit dans les
services de TI communs contribuent grandement à améliorer la sécurité de ses
transactions, opérations et services.
La Voie de communication protégée fournit un ensemble de services
d'infrastructure commune et protégée visant à assurer une prestation de
l'information protégée et permettant aux particuliers, entreprises,
fonctionnaires et autres administrations d'effectuer des transactions en toute
sécurité.
En ce moment, 122 ministères et organismes se prévalent des services de la
Voie de communication protégée.
Le Secrétariat du Conseil du Trésor demandera sous peu aux ministres du CT
d'approuver les critères qui rendront la voie de communication protégée
obligatoire dans l'ensemble des ministères et organismes.
Il est essentiel de préserver le lien de confiance avec les citoyens, les
entreprises et les autres administrations pour fournir un service efficace. Pour
ce faire, il nous faudra l'engagement et la coopération du personnel au-delà des
frontières organisationnelles et le partage des renseignements sur les incidents
liés à la sécurité des technologies de l'information, ainsi que sur les
problèmes et solutions connexes.
Le Centre d'évaluation intégrée des menaces (CEIM) mis sur pied par le
Service canadien du renseignement de sécurité est un exemple digne de mention de
partage amélioré des données sur les menaces et les vulnérabilités.
Un système de sécurité efficace commence par l'évaluation des menaces. Dans
le passé, certains ministères et organismes ont fait de telles évaluations,
mais le partage d'information était limité et les analyses manquaient
d'uniformité.
Le Centre d'évaluation intégrée des menaces vise essentiellement à produire
des évaluations exhaustives des menaces par le biais d'un partage accru des
données et de l'analyse intégrée des renseignements. Ces évaluations des
menaces fourniront aux décideurs en matière de politiques et aux premiers
intervenants l'information nécessaire pour prendre des décisions et des mesures
qui contribueront à la santé et la sécurité de la population canadienne. Le
Centre regroupe l'information et l'expertise de différents ministères et
organismes.
La contribution du Centre à la communauté du renseignement et des premiers
intervenants se fait déjà sentir et jouera un rôle important dans le cadre de
vastes questions relatives à l'interopérabilité, à la réorganisation du mode
de classement de l'information et à la capacité du gouvernement du Canada de
partager, en temps réel, des renseignements de nature délicate avec d'autres
administrations.
Par ailleurs, nous devons créer une capacité pangouvernementale de détection
et d'intervention en cas d'incidents afin de faire face aux menaces cybernétiques
et de déceler nos vulnérabilités.
Le Secrétariat, le Centre de la sécurité des télécommunications et
Sécurité publique et Protection civile Canada collaborent sur le projet
d'Infrastructure de détection, d'analyse et d'intervention pour développer une
telle capacité.
Le projet d'Infrastructure de détection, d'analyse et d'intervention (DARI en
anglais) est un effort intégré portant sur des normes, une architecture
pangouvernementale et une mise en oeuvre pangouvernementale coordonnée. Les
travaux relatifs à l'architecture sont presque terminés, et le Secrétariat, en
partenariat avec Sécurité publique, travaille à l'élaboration de normes sur la
détection et la gestion des incidents.
Le Centre d'évaluation intégrée des menaces et l'Infrastructure de
détection, d'analyse et d'intervention illustrent le type de transformations qui
sont nécessaires pour développer la capacité pangouvernementale dont nous avons
besoin pour satisfaire aux exigences de la nouvelle Politique de sécurité
nationale.
Il faudra d'autres transformations de ce type. Le Secrétariat du Conseil du
Trésor assure le soutien des méthodologies et des outils d'architecture,
notamment pour le Programme de facilitation de la transformation opérationnelle
(ou PFTO). Ce programme repose sur la notion du langage commun [le Modèle de
référence stratégique du gouvernement ] qui permettra la transformation
nécessaire pour offrir une interopérabilité accrue et un partage plus efficace
de l'information, des éléments essentiels à la sécurité du pays.
Ces outils ont été appliqués avec succès à l'Infrastructure de détection,
d'analyse et d'intervention, et on travaille présentement à l'élaboration d'une
vision, d'une stratégie et d'une conception élargies en matière de sécurité
au sein du gouvernement du Canada.
Pour terminer, j'aimerais faire quelques autres observations.
Dans sa quête continuelle de nouveaux moyens afin de promouvoir et d'augmenter
la sécurité des technologies de l'information, la Direction du dirigeant
principal de l'information réfléchit à la manière d'utiliser le cadre de
responsabilisation de la gestion de manière à améliorer la situation de la
sécurité dans les ministères.
Comme vous le savez, les cadres de responsabilisation de la gestion sont au cœur
des discussions annuelles entre les administrateurs généraux et le Secrétaire.
Ces discussions portent notamment sur la gestion des risques en général. Nous
nous servirons donc de l'information disponible au Secrétariat du Conseil du
Trésor pour faire valoir notre point de vue au sujet de la situation de la
sécurité des technologies de l'information dans les ministères.
Nous voulons aussi que le Secrétariat accorde une plus grande attention aux
aspects touchant la sécurité des technologies de l'information qui sont
associés aux présentations des ministères et aux profils de risque
ministériels.
D'autres soi-disant mesures « d'encouragement » pourraient
également être liées à l'amélioration de la sécurité des technologies de
l'information. Par exemple, nous ne nous sommes pas encore penchés sur la
possibilité de réaffecter des économies ministérielles (déterminées dans le
cadre du processus d'examen des dépenses) au profit de la sécurité.
Nous veillerons à ce que les ministères et organismes se conforment à une
stratégie visant à favoriser l'intégration et la coordination des plans et
activités de sécurité des technologies de l'information, tant au niveau de leur
infrastructure que de leurs opérations.
Mon organisation soutiendra activement les projets axés sur le partage
proactif des processus et pratiques exemplaires en matière de sécurité, afin de
promouvoir cette intégration.
La gouvernance entourant les politiques sur la sécurité est cruciale pour
assurer une sécurité supérieure. Nous examinons présentement la gouvernance
des technologies de l'information et de la gestion de l'information au sein du
gouvernement du Canada, afin de s'assurer que la sécurité – et la sécurité
des technologies de l'information – fasse partie intégrante des modèles de
gouvernance.
Le gouvernement du Canada oeuvre dans un contexte à risque en évolution
dynamique qui l'oblige à se protéger activement et en permanence contre les
cyberattaques, les virus et les autres menaces propres à Internet.
Une politique et des normes sont nécessaires pour établir une position
commune et sont des éléments clés de la réponse du gouvernement fédéral en
matière de sécurité des technologies de l'information. Cependant, le SCT et les
principaux organismes responsables de la sécurité fournissent aussi un soutien
concret et des orientations aux ministères et aux organismes pour les aider à
renforcer l'état de leur sécurité des TI et à intervenir promptement et de
façon concertée pour prévenir, déceler et contrer les bris de la sécurité à
l'échelle de l'administration fédérale.
Cet appui sera maintenu dans le futur.
Merci et bonne journée.
|
