Vérification de la sécurité des technologies de l'information

Remerciements

L'équipe de vérification souhaite remercier tous ceux qui ont contribué à ce projet et, plus particulièrement, les employés qui ont formulé des observations et des commentaires dans le cadre de la présente vérification.

1.0 Sommaire

1.1 Contexte

Les technologies de l'information (TI) sont un bien stratégique et un outil essentiel permettant au gouvernement du Canada de donner suite à son engagement consistant à fournir aux Canadiens des services intégrés et facilement accessibles tout en s'assurant que les opérations administratives internes sont gérées de façon efficace et efficiente. La Politique du Conseil du Trésor (CT) sur la sécurité définit la sécurité des technologies de l'information (TI) comme les « mesures de sauvegarde visant à préserver la confidentialité, l'intégrité, la disponibilité, l'utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique ».

En 2005, le Secrétariat du Conseil du Trésor (SCT) a demandé à tous les ministères de mettre en œuvre au plus tard en décembre 2006 la Norme de gestion de la sécurité des technologies de l'information (NGSTI). Cette norme représente la norme de référence en matière de sécurité des TI que tous les ministères du gouvernement du Canada doivent suivre.

En 2011-2012, l'environnement des TI dans l'ensemble du gouvernement fédéral a subi d'importants changements sur le plan de la prestation des services de TI. Services partagés Canada (SPC) a été créé afin qu'il soit le véhicule pour ce qui est des services de réseau, d'infrastructure des serveurs, de télécommunications, de téléconférences et de vidéoconférences pour les quarante-trois ministères et organismes ayant les dépenses en matière de TI les plus élevées du gouvernement du Canada. Des ententes opérationnelles officielles ont été mises en place avec chaque ministère; elles soulignent le fait que les niveaux de service ministériels continueront d'être atteints.

Rôles et responsabilités

Conformément à la Politique du CT sur la sécurité du gouvernement, publiée en vertu de l'article 7 de la Loi sur la gestion des finances publiques (LGFP), les administrateurs généraux sont responsables de la mise en œuvre et de l'administration efficace de la gestion de la sécurité et de l'identité au sein de leur ministère, et ils partagent la responsabilité d'assurer la sécurité du gouvernement dans son ensemble.

La NGSTI décrit les rôles et les responsabilités des postes clés, y compris du poste de dirigeant principal de l'information (DPI), qui est chargé d'assurer la gestion efficace de l'information et des biens de TI du ministère.

Actuellement, les rôles et les responsabilités relatives à la sécurité des TI sont délimitées entre SPC, la DGDPI et l'agent de sécurité du Ministère (ASM). Ces deux derniers font partie du Secteur de la gestion ministérielle (SGM).

1.2 Importance

Pendant le cycle de planification de la vérification, le Ministère a cerné le risque de non-conformité à certains aspects de la sécurité des TI ainsi qu'à certaines exigences de la Politique sur la gestion des technologies de l'information et de la Politique sur la sécurité du gouvernement, qui sont toutes deux des politiques du CT. Par ailleurs, étant donné qu'aucune vérification similaire n'a été effectuée par le passé à Sécurité publique Canada (SP), il était nécessaire de s'assurer que les contrôles internes relatifs à la gestion de la sécurité des TI à SP étaient adéquats et efficaces.

Nous constatons également que 2012-2013 est le premier exercice dans le cadre duquel SPC a été responsable des services de sécurité des TI, tandis que la DGDPI a gardé la responsabilité liée à la gérance de toutes les ressources de sécurité des TI et de la prestation efficace et efficience des services de sécurité des TI. Bien qu'une entente opérationnelle officielle ait été conclue entre SP et SPC, qui souligne le fait que les niveaux de service ministériels continueront d'être atteints, les niveaux de service d'origine de SP n'ont pas été établis clairement.

1.3 Objectif et portée de la vérification

L'objectif de la vérification consistait à évaluer la conformité du Ministère à la Politique sur la gestion des technologies de l'information et à la Politique sur la sécurité du gouvernement en mettant l'accent sur les exigences et les aspects relatifs à la sécurité des TI. Notamment, la vérification consistait à s'assurer que les contrôles internes relatifs à la gestion de la sécurité des TI étaient adéquats et efficaces.

La vérification portait sur la période du 1er janvier au 30 juin 2012.

Le champ de la vérification englobait les domaines clés suivants :

• Planification de la sécurité des TI
• Stratégie et gouvernance en matière de sécurité des TI
• Surveillance de la sécurité des TI
• Gestion des risques liés à la sécurité de la TI
• Rôles et formation en matière de sécurité des TI
• Configuration des systèmes
• Gestion de la sécurité des TI
• Gestion des problèmes et des incidents

1.4 Opinion de l'équipe de vérification

Selon l'équipe de vérification, des mécanismes adéquats et efficaces qui permettent d'assurer la gestion appropriée de la sécurité des TI sont en place, bien que la direction doive examiner certains domaines importants pour gérer l'exposition à certains risques résiduels.

1.5 Énoncé d'assurance

Selon le jugement professionnel de la dirigeante principale de la vérification (DPV), des procédures de vérification suffisantes et adaptées ont été appliquées et des éléments probants ont été recueillis, lesquels appuient l'opinion énoncée dans le présent rapport, pour fournir une assurance raisonnable aux cadres supérieurs. Cette opinion est fondée sur une comparaison des conditions qui existaient au moment de la vérification et des critères de vérification préétablis. L'opinion s'applique uniquement à l'entité vérifiée.

1.6 Résumé des conclusions de la vérification

Pendant ses travaux, l'équipe de vérification a remarqué de nombreux exemples prouvant la bonne conception des contrôles et l'efficacité de leur mise en œuvre. Cette vérification nous a permis d'observer plusieurs forces parmi les secteurs de vérification.

Les vérificateurs ont constaté qu'un ensemble de politiques, de directives et de normes en matière de sécurité des TI étaient en place et étaient alignées sur les cadres, les politiques et les pratiques exemplaires du gouvernement et de l'industrie. Qui plus es divers documents faisant état des priorités et des projets relatifs à la sécurité des TI existent. Le Plan de sécurité ministérielle établit une structure de gouvernance officielle qui est intégrée dans la structure de gouvernance ministérielle.

Le processus d'évaluation de la menace et des risques, qui sert à recenser les risques en matière de sécurité des TI pour des systèmes ou des applications en particulier et qui emploi des outils solides permettant la production de rapports précis sur des sujets officiels, a été jugé suffisamment documenté. Le réseau « Protégé B » a été certifié, et une liste partielle de contrôles a été dressée.

L'identification des utilisateurs et les droits d'accès sont gérés par l'entremise du système Active Directory dans l'environnement du système d'exploitation de Microsoft Windows. Les outils de vérification qui font partie d'Active Directory et d'autres outils similaires permettent de suivre les activités relatives aux TI réalisées par divers utilisateurs du réseau.

Des mesures sont en place, lesquelles visent à vérifier que les versions et les correctifs de sécurité de tous les dispositifs réseau sont à jour. Par ailleurs, des barrières de sécurité sont placées stratégiquement au périmètre du réseau, entre le réseau interne sécurisé du Ministère et les segments non sécurisés publics (soit Internet), des fournisseurs (soit de l'organisation de services) ou du partenaire commercial (soit l'extranet), ce qui permet de protéger l'organisation des menaces externes. Des outils automatisés ont été mis en œuvre; ils fournissent une protection contre les virus et font en sorte que les violations soient communiquées de façon appropriée. L'outil de protection contre les virus a été installé sur les postes de travail. Il comprend des fichiers de définition des virus qui font l'objet d'une mise à jour centralisée régulière. Des outils de sécurité sont utilisés; ils servent à surveiller systématiquement le réseau pour cerner les événements touchant la sécurité.

Les systèmes sont configurés de manière à ce que l'accès des utilisateurs soit accordé en fonction de l'authentification de l'identité de l'utilisateur. Aussi, les exigences relatives aux mots de passe qui sont définies dans la norme visant à renforcer les mots de passe et la procédure connexe sont appliquées.

La vérification a permis de constater que des mesures de gestion de la configuration sont en place. Il existe une politique sur la configuration, qui exige que les éléments de configuration et leurs attributs soient établis et tenus à jour, et que la gestion du changement, de la configuration et des versions soient intégrées. Par ailleurs, un comité de modification de la configuration a été formé; ses membres discutent des demandes de modification de la configuration et les approuvent. Les réunions de ce comité se tiennent sur une base régulière, et seul le personnel autorisé a accès aux éléments de configuration.

La vérification a permis de constater que les rôles et les responsabilités propres au Ministère sont établis, diffusés et compris. Par ailleurs, la DGDPI communique avec les intervenants et les utilisateurs de l'ensemble du Ministère au besoin au sujet des activités de sécurité des TI pertinentes. Enfin, des ententes de gestion du rendement et des plans d'apprentissage sont en place pour le personnel de la sécurité des TI.

L'équipe de vérification a également observé des domaines dans lesquels les pratiques et les processus de gestion doivent être améliorés.

Bien que le Plan de sécurité ministérielle définisse une structure de gouvernance appropriée, la surveillance devrait être renforcée par l'utilisation efficace de ces organismes de gouvernance, puisque la haute direction pourrait ne pas avoir une vue d'ensemble des enjeux et des risques importants en matière de la planification de la sécurité des TI, ce qui pourrait engendrer la non atteinte des objectifs opérationnels.

Nous avons trouvé des éléments d'une stratégie et d'un plan en matière de sécurité des TI, mais ils n'étaient pas suffisamment intégrés et alignés pour constituer une stratégie exhaustive de sécurité des TI. Par ailleurs, même si des évaluations de la menace et des risques individuelles sont réalisées pour des projets en particulier, il n'y a aucune évaluation des risques liés à la sécurité des TI.

Malgré l'absence d'un cadre de contrôles internes sur la sécurité des TI ou de liste de contrôles comprenant leur nature critique et les risques connexes, des applications précises comprenant une liste des processus clés ont été certifiées de façon appropriée. Au cours de l'élaboration d'un cadre de contrôle interne plus robuste, les contrôles et leurs exigences de surveillance connexes devraient être renforcés dans les domaines suivants : accès des utilisateurs, gestion de la configuration, suivi des biens de TI et consignation des événements.

Des activités de formation et de sensibilisation plus régulières, ainsi que la communication des processus et des procédures de sécurité des TI seraient bénéfiques pour le Ministère dans son ensemble pour assurer une couverture complète des responsabilités clés en matière de sécurité des TI.

1.7 Résumé des recommandations découlant de la vérification

Sous la direction du sous-ministre adjoint du Secteur de la gestion ministérielle, le DPI devrait :

1. clairement définir sur papier la stratégie ou le plan global de TI, en tenant compte du plan de sécurité ministériel (PSM), et rendre compte des progrès au comité de gestion ministériel (CGM);
2. renforcer la structure de gouvernance en place pour permettre une surveille efficace de la sécurité des TI;
3. en consultation avec l'agent de sécurité du ministère (ASM), s'assurer qu'un processus exhaustif de gestion des risques liés à la sécurité des TI soit élaboré et mis en place;
4. s'assurer qu'un cadre complet de contrôle de la sécurité est élaboré, approuvé et mis en œuvre;
5. s'assurer que les bons processus de surveillance axés sur les risques sont élaborés et mis en œuvre, en particulier en ce qui concerne l'accès des utilisateurs, la consignation des événements, la gestion de la configuration et la gestion de l'inventaire;
6. s'assurer que les rôles et les responsabilités en matière de sécurité des TI que partagent le personnel de SPC et le personnel de SP sont clarifiés;
7. s'assurer que des séances de sensibilisation pertinentes et uniformes en matière de sécurité des TI sont fournies régulièrement aux employés de SP, et que l'ensemble des politiques, des directives et des normes pertinentes en matière de sécurité des TI sont affichées sur InfoCentrale.

1.8 Réponse de la direction

L'équipe responsable de la vérification sur la sécurité des technologies de l'information (TI) reconnaît le caractère essentiel des TI en tant que bien stratégique et outil essentiel à la prestation de services ministériels, ainsi que le rôle de la sécurité des TI à l'égard de la préservation de la confidentialité, de l'intégrité, de la disponibilité, de l'utilisation et de la valeur des renseignements entreposés, traités et transmis électroniquement. Même si les responsables du programme de sécurité de la GI-TI de la Direction générale du dirigeant principal de l'information (DGDPI) dirigent et coordonnent les activités liées à la sécurité des TI à Sécurité publique Canada, nous avons tous un rôle important à jouer pour veiller à ce que l'information et les biens de TI sont protégés d'une manière qui tient compte de notre rôle en tant que principal organisme responsable de la sécurité au sein du gouvernement du Canada.

Nous sommes heureux d'avoir l'occasion de travailler avec nos partenaires en vérification dans le contexte de la vérification du programme de la sécurité de la GI-TI à Sécurité publique Canada, car notre but commun est de continuellement améliorer notre programme de la sécurité des TI. Nous sommes encouragés que l'équipe de vérification ait reconnu qu'il y avait des mécanismes adéquats et efficaces en place pour assurer une bonne gestion de la sécurité des TI, mais nous reconnaissons qu'il est possible d'apporter des améliorations.

Nous acceptons entièrement toutes les recommandations, lesquelles portent sur l'examen et la mise à jour de nos politiques, processus et procédures, sur le modèle de gouvernance, sur la surveillance et sur le fait qu'il faut insister clairement sur l'importance de présenter régulièrement des rapports sur la sécurité de la GI-TI à la haute direction du Ministère. Nous reconnaissons les avantages que procureront ces activités, puisqu'elles renforceront le programme, contribueront à accroître notre visibilité et souligneront l'importance, auprès de l'ensemble du Ministère, d'un programme de la sécurité de la GI-TI dynamique et adapté.

Approuvé par :

Rosemary Stephenson
Dirigeante principale de la vérification

2.0 Contexte

La vérification de la sécurité des TI a été approuvée par le sous-ministre le 31 mai 2011 dans le cadre du Plan de vérification interne axée sur les risques 2011-2012 à 2013-2014.

Les technologies de l'information sont un bien stratégique et un catalyseur essentiel de l'engagement du gouvernement du Canada de fournir aux Canadiens des services intégrés et facilement accessibles tout en faisant en sorte que les opérations administratives internes soient gérées de façon efficace et efficiente. La Politique du Conseil du Trésor (CT) sur la sécurité définit la sécurité des technologies de l'information (TI) comme les « mesures de sauvegarde visant à préserver la confidentialité, l'intégrité, la disponibilité, l'utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique ».

En 2005, le Secrétariat du Conseil du Trésor (SCT) a demandé à tous les ministères de mettre en œuvre au plus tard en décembre 2006 la Norme de gestion de la sécurité des technologies de l'information (NGSTI). Cette norme représente la norme de référence en matière de sécurité des TI que tous les ministères du gouvernement du Canada doivent suivre.

En 2011-2012, l'environnement des TI dans l'ensemble du gouvernement fédéral a subi d'importants changements sur le plan de la prestation des services de TI. Services partagés Canada (SPC) a été créé afin qu'il soit le véhicule pour ce qui est des services de réseau, d'infrastructure des serveurs, de télécommunications, de téléconférences et de vidéoconférences pour les quarante-trois ministères et organismes ayant les dépenses en matière de TI les plus élevées du gouvernement du Canada. Des ententes opérationnelles officielles ont été mises en place avec chaque ministère; elles soulignent le fait que les niveaux de service ministériels continueront d'être atteints.

Rôles et responsabilités

Conformément à la Politique du CT sur la sécurité du gouvernement, publiée en vertu de l'article 7 de la Loi sur la gestion des finances publiques (LGFP), les administrateurs généraux sont responsables de la mise en œuvre et de l'administration efficace de la gestion de la sécurité et de l'identité au sein de leur ministère, et ils partagent la responsabilité d'assurer la sécurité du gouvernement dans son ensemble.

La NGSTI décrit les rôles et les responsabilités des postes clés, y compris du poste de dirigeant principal de l'information (DPI), qui est chargé d'assurer la gestion efficace de l'information et des biens de TI du ministère.

Actuellement, les rôles et les responsabilités relatives à la sécurité des TI sont délimitées entre SPC, la DGDPI et l'agent de sécurité du Ministère (ASM). Ces deux derniers font partie du Secteur de la gestion ministérielle (SGM).

La DGDPI est responsable :

• de la gestion globale du programme de sécurité ministériel en matière de GI/TI et de la production de rapports à cet égard;
• de la sécurité des communications;
• de la gestion des réseaux de niveau « Très secret » et des réseaux classifiés;
• de la mise en œuvre du programme ministériel de gestion des risques liés à la sécurité de la GI/TI;
• de l'administration d'un programme continu de formation et de sensibilisation visant à informer tous les employés de leurs responsabilités en ce qui a trait à la conformité à la politique sur la sécurité de la GI/TI;
• de l'aide au bureau d'aide qui gère les incidents de sécurité des TI;
• de la gestion des incidents de sécurité des TI;
• de l'intégration du contenu de sécurité de la GI/TI dans les documents ministériels.

L'agent de sécurité du Ministère :

• de l'établissement et de la direction du programme de sécurité ministériel;
• de la gestion des risques globaux en matière de sécurité, qui comprennent la planification, le contrôle et la surveillance, la mesure du rendement et l'évaluation.

Services partagés Canada est responsable :

• de la gestion de tous les aspects des systèmes ministériels de courriel, des réseaux de niveaux « Secret » et « Protégé B », des infrastructures liées aux serveurs et du centre de données.

2.1 Objectif de la vérification

L'objectif de la vérification consistait à évaluer la conformité du Ministère à la Politique sur la gestion des technologies de l'information et à la Politique sur la sécurité du gouvernement en mettant l'accent sur les exigences et les aspects relatifs à la sécurité des TI. Notamment, la vérification consistait à s'assurer que les contrôles internes relatifs à la gestion de la sécurité des TI étaient adéquats et efficaces.

2.2 Critères de vérification et portée

La vérification portait sur la période du 1er janvier au 30 juin 2012.

La portée de la vérification a été déterminée en fonction des paramètres suivants :

• Risques hautement prioritaires liés à la sécurité des TI qui représenteraient une valeur ajoutée pour le Ministère;
• Domaines dans lesquels les contrôles relèvent de SP (plutôt que de SPC);
• disponibilité des ressources de vérification.

Le champ de la vérification englobait les domaines clés suivants :

• Planification de la sécurité des TI
• Stratégie et gouvernance en matière de sécurité des TI
• Surveillance de la sécurité des TI
• Gestion des risques liés à la sécurité de la TI
• Rôles et formation en matière de sécurité des TI
• Configuration des systèmes
• Gestion de la sécurité des TI
• Gestion des problèmes et des incidents

Selon les besoins, la mise à l'essai des contrôles en place a été effectuée uniquement pour le réseau de niveau "Protégé B".

Les critères de vérification détaillés figurent à l'annexe A.

2.3 Approche

La présente vérification interne a été effectuée au moyen de critères pertinents permettant d'évaluer le caractère adéquat et efficace du cadre de contrôle de la gestion pour ce qui est de la gestion de la sécurité des TI. Les critères de la vérification sont fonction des politiques du CT, de la NGSTI et des Objectifs de contrôle de l'information et des technologies connexes (COBIT 5) de l'ISACA.

Les procédures pour la collecte d'éléments probants comprenaient des entrevues ainsi qu'un examen des dossiers et une revue de documents choisis, comme les évaluations de la menace et des risques, les évaluations de la vulnérabilité, les énoncés de sensibilité, les évaluations des facteurs relatifs à la vie privée, les politiques, les normes, les lignes directrices, les conventions sur les niveaux de service, les cadres et les plans.

L'application de ces procédures visait à permettre la formulation d'une conclusion indiquant si les critères établis aux fins de la vérification étaient respectés. Pour ce qui est des normes relatives aux éléments probants, l'équipe de vérification a fait en sorte que l'information recueillie soit suffisante, fiable, pertinente et utile pour tirer des conclusions. La vérification a aussi permis de cerner des recommandations pour la gestion des secteurs à améliorer en priorité.

2.4 Opinion des vérificateurs

Selon l'équipe de vérification, des mécanismes adéquats et efficaces qui permettent d'assurer la gestion appropriée de la sécurité des TI sont en place, bien que la direction doive examiner certains domaines importants pour gérer l'exposition à certains risques résiduels.

2.5 Constatations, recommandations et réponse de la direction

Gouvernance et planification

Gouvernance

Les vérificateurs s'attendaient à trouver un cadre de gouvernance de la sécurité des TI approprié permettant d'assurer une reddition de compte sans ambiguïté, de confirmer la mise en œuvre des stratégies et des objectifs de sécurité des TI et de faire en sorte que des rapports soient produits sur l'état de la sécurité des TI et les enjeux connexes.

La vérification a également permis de constater que le plan de sécurité ministérielle établit une structure de gouvernance officielle qui est intégrée dans la structure de gouvernance ministérielle. En particulier, il désigne le sous-ministre et le sous-ministre délégué comme responsables; toutefois, il précise également que la prise de décisions, l'exercice des contrôles et des responsabilités pour toutes les activités, notamment la sécurité ministérielle, sont régies par le Comité de gestion ministériel (CGM) et le Comité de direction. Aussi, des groupes de travail et des comités ont été formés, lesquels viennent appuyer le CGM dans la prise de décisions relatives à la sécurité ministérielle; par exemple le Comité ministériel sur la sécurité (CMS), le Réseau/Comité de planification et d'établissement de rapports, le Comité directeur des directeurs généraux sur les TI et le Groupe de travail sur la planification de la continuité des opérations.

Le CMS est coprésidé par le directeur général des Services ministériels et le DPI. Il se réunit généralement tous les deux mois afin de fournir une orientation, d'assurer une surveillance efficace et opportune, ainsi que de formuler des conseils et des directives aux représentants du Programme de sécurité ministériel de SP. Toutefois, une seule réunion du CMS a été tenue au cours de la présente année civile, et bien que la sécurité des TI ait fait l'objet de discussions, aucun point sur la sécurité des TI ne figure dans l'ordre du jour ni dans le compte rendu des décisions.

Par ailleurs, bien que le Comité directeur de DG sur la sécurité des TI, par l'entremise de ses coprésidents, est censé rendre des comptes au CGM tous les trimestres sur les progrès réalisés par rapport aux priorités approuvées et solliciter des décisions, la vérification a permis de constater qu'il n'y avait aucun point sur la sécurité des TI à l'ordre du jour des réunions du CGM ou du Comité de direction au cours de la période visée.

Étant donné que les discussions sur la sécurité des TI ont été limitées, la direction pourrait ne pas être au courant des derniers développements en ce qui concerne les priorités et les risques en matière de sécurité des TI.

Planification

Les vérificateurs s'attendaient à trouver un plan global de sécurité des TI prenant en considération l'infrastructure des TI et la culture au chapitre de la sécurité, à constater que l'organisation fait en sorte que le plan soit harmonisé avec les politiques et les procédures sur la sécurité prenant appui sur les investissements, les services, le personnel, les logiciels et le matériel appropriés, ainsi qu'à constater que les politiques et les procédures en matière de sécurité sont communiquées aux intervenants et aux utilisateurs.

Les vérificateurs ont constaté qu'un ensemble de politiques, de directives et de normes en matière de sécurité des TI étaient en place et étaient alignées sur les cadres, les politiques et les pratiques exemplaires du gouvernement et de l'industrie. Toutefois, la responsabilisation en ce qui concerne la gestion du cycle de vie des politiques n'est pas établie clairement.

Les vérificateurs ont examiné le Plan stratégique de la DGDPI pour 2010-2015, le Plan des TI de la DGDPI pour 2012-2013 ainsi que le PMS pour 2010-2013 afin de trouver la stratégie ou le plan de sécurité des TI global pour le Ministère.

• Le Plan stratégique de la DGDPI pour 2010-2015 précise cinq objectifs stratégiques; aucun ne concerne la sécurité des TI.
• Le Plan des TI de la DGDPI pour 2012-2013 est composé des mêmes objectifs stratégiques que le Plan stratégique de la DGDPI et de 31 projets de TI, dont quelques-uns portent sur la sécurité des TI. Il comporte une section sur la sécurité de la GI/TI, mais on ne sait pas si cette section est harmonisée avec le reste du document.
• Le PMS de l'ASM pour 2010-2013 décrit le programme de sécurité ministériel de SP; il ne s'agit pas d'un plan axé sur les TI en tant que tel. Le plan définit les priorités ministérielles en matière de sécurité, dont une est liée à la sécurité des TI.

Même si certaines composantes de la stratégie et du plan en matière de sécurité des TI ont été trouvées dans les divers documents examinés, les vérificateurs n'ont pas été en mesure de trouver une stratégie ou un plan portant en particulier sur la sécurité des TI à SP. Par ailleurs, on ne sait pas comment les priorités en matière de sécurité des TI sont cernées et alignées sur les priorités du PMS, du Plan stratégique de la DGDPI et du Plan des TI de la DGDPI puisqu'il n'existe aucun lien claire entre les priorités, les objectifs stratégiques, les plans, les objectifs et les projets.

En l'absence d'une stratégie ou d'un plan de la sécurité des TI aligné et bien défini (un ou plusieurs documents), il existe un risque que le Ministère ne mette pas l'accent sur les bonnes activités en matière de sécurité des TI pour satisfaire aux exigences ministérielles et aux objectifs opérationnels et pour faire en sorte que les investissements soient bien financés.

Recommandations

Sous la direction du sous-ministre adjoint du Secteur de la gestion ministérielle :

1. Le DPI doit clairement définir sur papier la stratégie ou le plan global de TI, en tenant compte du plan de sécurité ministériel (PSM), et rendre compte des progrès au comité de gestion ministériel (CGM).
2. Le DPI doit renforcer la structure de gouvernance en place pour permettre une surveille efficace de la sécurité des TI.

2.5.2 Gestion des risques

Les vérificateurs s'attendaient à trouver un processus de gestion des risques liés à la sécurité des TI intégré dans le cadre ministériel de gestion axé sur les risques. Par ailleurs, ils s'attendaient à ce que les engagements soient pris en charge par les responsables des processus visés, qui assureraient l'exécution des plans et qui rendraient des comptes sur toute déviation du plan aux cadres supérieurs.
Les risques liés à la sécurité des TI sont recensés dans quatre documents importants :

• Le profil de risque à l'échelle de l'organisation (PRO);
• l'évaluation ministérielle de 2005 des menaces et des risques (EMR) pour la sécurité;
• le registre des risques pour la sécurité;
• les EMR propres aux systèmes.

Ces documents sont élaborés par différents groupes au Ministère. Le PRO est élaboré par le Secteur des politiques stratégiques, l'évaluation ministérielle de 2005 des menaces et des risques pour la sécurité ainsi que le registre des risques sont pris en charge par l'ASM, et les EMR propres aux systèmes sont élaborées par la DGDPI. Chacun de ces groupes utilise des approches différentes pour la détermination des risques.

La DGDPI cerne les risques liés à la sécurité des TI pour des systèmes ou des applications en particulier, et ce, à l'aide du processus d'EMR. La vérification a permis de constater que ce processus est complet; il est éclairé et suppose l'emploi d'outils solides qui permettent la production de rapports officiels des EMR axés sur le sujet à l'étude. Toutefois, aucun plan d'action de la direction n'a été trouvé, qui aurait compris les responsables des risques, les calendriers, les activités d'atténuation des risques et les coûts et les avantages.

L'EMR de la sécurité ministérielle et un registre des risques liés à la sécurité ont été élaborés dans le but de dresser un inventaire complet de tous les risques pour la sécurité existant au sein du Ministère. Toutefois, selon la date de l'EMR ministérielle (2005), les vérificateurs ont remis en question la pertinence du rapport étant donné qu'aucune mise à jour n'a été faite. La vérification a permis de constater que le registre des risques pour la sécurité n'établissait pas de plans d'action d'atténuation des risques, de responsables des risques attitrés, de calendriers ou de coûts et qu'il ne comprenait pas de renseignements fournis par la DGDPI. Qui plus est, la façon dont ces risques liés à la sécurité étaient intégrés dans les processus suivis par la DGDPI ou le PRO n'était pas établie clairement. Par conséquent, la vérification n'a pas permis de confirmer que le registre des risques pour la sécurité était complet ou aligné sur les autres risques cernés dans les autres documents susmentionnés.

Globalement, aucune évaluation complète des risques en matière de sécurité des TI consolidant les risques pertinents en matière de sécurité des TI et établissant des liens entre eux n'a été constatée. Compte tenu du grand nombre de risques en matière de sécurité des TI qui existent actuellement, la tenue d'une évaluation exhaustive des risques en matière de sécurité des TI permettrait à la DGDPI de mieux gérer et de mieux atténuer les secteurs à haut risque, ainsi que de mieux les communiquer aux personnes appropriées d'une façon plus efficace et mieux structurée.

En l'absence d'un processus de gestion des risques en matière de sécurité des TI et de plans d'atténuation connexes, les secteurs à haut risque pourraient ne pas être cernés, gérés et communiqués de façon appropriée, ce qui pourrait engendrer la matérialisation des risques.

Recommandation

Sous la direction du sous-ministre adjoint du Secteur de la gestion ministérielle :

3. Le DPI, en consultation avec l'agent de sécurité du ministère (ASM), doit s'assurer qu'un processus exhaustif de gestion des risques liés à la sécurité des TI soit élaboré et mis en place.

2.5.3 Cadre de contrôle de la sécurité des TI 

Les vérificateurs s'attendaient à constater qu'un cadre de contrôle de la sécurité des TI est en place, lequel est fondé sur le risque et permettra de contribuer à la gestion appropriée des risques en matière de sécurité des TI au Ministère. Les vérificateurs s'attendaient également à constater que les principaux contrôles du cadre sont surveillés efficacement. Par ailleurs, ils s'attendaient à pouvoir déterminer que les contrôles de sécurité des TI sont évalués de façon individuelle en fonction des risques et des objectifs opérationnels ou que les systèmes, les services ou les risques changent considérablement.

Les vérificateurs n'ont pas été en mesure de constater la présence d'un cadre de contrôle de la sécurité des TI exhaustif et fondé sur les risques ou une liste de tous les principaux contrôles internes de la sécurité des TI exigeant un examen et une surveillance de la gestion; ils ont plutôt constaté la présence de listes de contrôle propres aux applications. Par exemple, la DGDPI avait un sous-ensemble de contrôles de la sécurité des TI applicables au réseau « Protégé B », établi en fonction de la version provisoire des Conseils en matière de sécurité des TI (ITSG-33Note de bas de page 1). Toutefois, les vérificateurs n'ont pas pu confirmer que cette liste était complète; par ailleurs, elle ne dressait pas les contrôles en fonction de leur caractère essentiel ou de leur fréquence et de leur méthodologie, facteurs en fonction desquels ils devraient être surveillés.

Bien que le réseau « Protégé B » a été certifié en 2011 et devrait être certifié de nouveau en 2013, et l'outil média YAMMER a été évalué de façon indépendante en 2012, les vérificateurs n'ont pas pu confirmer qu'il existe des plans permettant de vérifier l'exhaustivité et l'efficacité de tous les contrôles pertinentes en matière de sécurité des TI.

En l'absence d'une liste des principaux contrôles de la sécurité des TI, il y a un risque que la surveillance ne permette pas de cerner et d'atténuer les risques.

Recommandation

Sous la direction du sous-ministre adjoint du Secteur de la gestion ministérielle :

4. Le DPI doit veiller à ce qu'un cadre de contrôle de la sécurité des TI soit établi, approuvé et mise en place et à ce que les processus de sécurité des TI fassent l'objet d'une surveillance et de rapports périodiques.

2.5.4 Principales activités de gestion de la sécurité des TI

Accès des utilisateurs

Les vérificateurs s'attendaient à constater que les comptes (internes, externes et temporaires) et leurs activités de TI (applications opérationnelles, environnement de TI, opérations de système, développement et maintenance) sont approuvés, qu'ils appartiennent à une seule personne, qu'ils soient tenus à jour dans un dépôt central et qu'ils soient examinés et validés de façon appropriée afin d'assurer l'intégrité soutenue.

L'identification des utilisateurs et les droits d'accès sont gérés par le système Active Directory dans le système d'exploitation de Microsoft Windows. Les employés sont définis comme des utilisateurs génériques (UG) ou des administrateurs de système (AS). Généralement, les comptes AS ont un accès élargi dans le réseau et sont réservés pour le personnel des TI; parallèlement, les comptes UG ont un accès restreint et sont réservés au personnel qui n'est pas chargé des TI. S'ils sont paramétrés correctement, les outils de vérification qui font partie du système Active Directory et d'autres outils similaires permettent de faire le suivi des activités de TI réalisées par divers utilisateurs du réseau.

Dans certains cas, les comptes génériques sont créés dans les catégories d'UG et d'AS qui ne sont pas attribuées à une personne en particulier et pourraient être associées à divers utilisateurs. Ces comptes génériques sont généralement utilisés pour des circonstances spéciales; par exemple des situations d'intervention en cas d'urgence. Bien qu'il y ait des raisons légitimes de créer des comptes génériques, il devient plus difficile d'en assurer la surveillance pour des fins de sécurité.

Le système Active Directory comptait 2 632 comptes; les vérificateurs ont été en mesure de déterminer qu'entre 15 et 25 % de ces comptes étaient des comptes génériques (UG ou AS) et que 68 étaient des comptes AS à identité unique. Nous étions préoccupés par le nombre de comptes génériques et d'AS en particulier étant donné la difficulté de surveiller les comptes génériques, et le fait que les comptes génériques et d'AS ne sont pas approuvés uniformément conformément à la procédure ministérielle. Ces observations ont été fournies à la DGDPI, qui a commencé à examiner ces comptes. Les vérificateurs ont constaté que les systèmes étaient configurés de manière à exiger l'authentification de l'identité des utilisateurs avant que l'accès ne soit accordé. Par ailleurs, des exigences relatives aux mots de passe sont définies par la norme et les procédures visant à renforcer les mots de passe, lesquelles sont appliquées.

Les vérificateurs ont constaté que les comptes d'utilisateurs et les droits d'accès, tant pour les UG que pour les AS, ne sont pas examinés régulièrement par l'équipe de gestion. Par exemple, plusieurs comptes d'utilisateurs actifs, y compris des comptes d'AS, ont été assignés à des personnes qui n'étaient plus à l'emploi de SP; aucun contrôle correctif (p. ex. surveillance de la gestion) n'est en place pour les comptes d'utilisateur associés à des problèmes de séparation des tâches, etc.

En l'absence de procédures efficaces de gestion des comptes d'utilisateur, le Ministère est vulnérable aux infractions aux règles de contrôle de l'accès et aux atteintes à la sécurité.

Surveillance des événements, protection contre les virus et correctifs de sécurité

Les vérificateurs s'attendaient à trouver des mesures de prévention, de détection et de correction appropriées en place pour protéger les systèmes d'information et la technologie des logiciels malveillants (p. ex. virus, vers, logiciels espions, pourriels). De plus, les vérificateurs s'attendaient à constater que la consignation des activités de TI était active et que les rapports faisaient l'objet d'une surveillance visant à permettre la prévention et/ou la détection rapide et la production de rapports sur les activités inhabituelles ou anormales.

Les vérificateurs ont constaté que des mesures sont en place, lesquelles visent à vérifier que les versions et les correctifs de sécurité de tous les dispositifs réseau sont à jour. Par ailleurs, des barrières de sécurité sont placées stratégiquement au périmètre du réseau, entre le réseau interne sécurisé du Ministère et les segments non sécurisés publics (soit Internet), des fournisseurs (soit de l'organisation de services) ou du partenaire commercial (soit l'extranet), ce qui permet de protéger l'organisation des menaces externes. Des outils automatisés ont été mis en œuvre; ils fournissent une protection contre les virus et font en sorte que les violations soient communiquées de façon appropriée. L'outil de protection contre les virus a été installé sur les postes de travail. Il comprend des fichiers de définition des virus qui font l'objet d'une mise à jour centralisée régulière. Des outils de sécurité sont utilisés; ils servent à surveiller systématiquement le réseau pour cerner les événements touchant la sécurité.

En ce qui a trait à la fonction de consignation aux fins de sécurité, les vérificateurs ont constaté que SP dispose d'un outil qui permet de consigner les activités sur le réseau de TI. Toutefois, les vérificateurs ont noté certaines faiblesses :

• Ce ne sont pas tous les dispositifs qui produisent des rapports des événements, comme les postes de travail de SP;
• Il n'existe pas de dépôt central; les données issues de la vérification sont entreposées dans plusieurs endroits et sont assujetties à la suppression discrétionnaire;
• Il n'y a pas d'examens réguliers des listes de contrôle; ils sont activés uniquement lorsque l'outil de contrôle signale un incident potentiel.

Les répercussions liées au fait que la fonction de consignation et de surveillance des rapports engendrent un risque que les incidents potentiels ne soient pas détectés et ne permettent pas la prise de mesures correctives rapides et les rajustements potentiels nécessaires à la surveillance.

Configuration des systèmes

Les vérificateurs s'attendaient à constater qu'une fonction de gestion de la configuration (GC) est en place. La GC est l'enregistrement détaillé et la mise à jour de l'information qui décrit le matériel et les logiciels d'une organisation. Cela comprend la gestion et la consignation de tous les changements dans le répertoire de configuration, ainsi que l'examen périodique des données de configuration visant à vérifier et à confirmer l'intégrité de la configuration actuelle et antérieure.

Les vérificateurs ont constaté que certains éléments de la GC sont en place. Par exemple, la DGDPI a élaboré une politique sur la configuration exigeant que les éléments de configuration et leurs caractéristiques soient cernés et tenus à jour, et que la gestion du changement, de la configuration et des versions soient intégrées. Par ailleurs, la DGDPI a mis en place un comité de changement de configuration, qui discute des demandes de changement de configuration et les approuve. Les réunions du comité ont lieu régulièrement, et seul le personnel autorisé a l'accès désigné aux éléments de configuration. Toutefois, les vérificateurs ont constaté que le comité n'assure pas la surveillance des changements de configuration approuvés pour faire en sorte que les changements soient mis en œuvre comme prévu et qu'ils permettent de régler le problème cerné. Lorsque les éléments de base de la configuration, y compris ceux liés à la sécurité des TI, ne sont pas approuvés et examinés de façon périodique par la suite, il y a un risque que les changements non autorisés au matériel et aux logiciels ne soient pas découverts, ou que les changements autorisés ne soient pas faits, ce qui rend les réseaux vulnérables aux atteintes à la sécurité.

Par ailleurs, les vérificateurs ont constaté qu'il n'y avait pas de dépôt en place qui permettrait de recenser tous les éléments de configuration et leurs caractéristiques ou encore un processus qui permet de déterminer et d'assurer l'intégrité de tous les éléments de configuration essentiels. Toutefois, les éléments de configuration de base et les changements de configuration peuvent être trouvés dans des documents indépendants et dans l'application SharePoint du comité de changement de configuration. Sans dépôt central de tous les éléments de configuration approuvés, la GC est encombrante et pourrait être incomplète, ce qui pourrait entraîner un dysfonctionnement des opérations.

Gestion de l'inventaire des actifs en matière de TI

Les vérificateurs s'attendaient à constater un inventaire à jour et complet des biens de TI. La gestion de l'inventaire est indispensable parce qu'elle fait en sorte que les principaux biens comme les ordinateurs portatifs, les ordinateurs de bureau, les dispositifs mobiles et les concentrateurs de réseau secrets ne soient pas mal classés ou perdus.

Les vérificateurs ont constaté qu'il n'y a aucune politique interne en place pour ce qui est de l'étiquetage des biens matériels de TI et que certains biens pris comme échantillons pendant la vérification n'ont pas été étiquetés correctement. Ces résultats indiquent que l'inventaire des biens de TI n'est pas à jour, n'est pas complet et n'est pas, dans certains cas, exact.

L'absence d'une politique sur l'étiquetage des biens de TI ou d'un inventaire des biens de TI à jour pourrait mener à la mauvaise utilisation ou au vol de biens, ce qui pourrait engendrer une atteinte à la sécurité.

Recommandation

Sous la direction du sous-ministre adjoint du Secteur de la gestion ministérielle :

5. Le DPI doit s'assurer que les bons processus de surveillance axés sur les risques sont élaborés et mis en œuvre, en particulier en ce qui concerne l'accès des utilisateurs, la journalisation des événements, la gestion de la configuration et la gestion de l'inventaire des biens de TI.

2.5.5 Rôles, responsabilités et formation

Rôles et responsabilités

Les vérificateurs s'attendaient à constater que les rôles et les responsabilités du personnel de sécurité des TI sont établis et communiqués.

Les vérificateurs ont constaté que les rôles et les responsabilités propres à SP sont établis, communiqués et compris. Par ailleurs, les ententes de gestion du rendement, comprenant des attentes reliées aux objectifs, et des plans d'apprentissage sont élaborés et tenus à jour régulièrement pour le personnel de la sécurité des TI.

En ce qui concerne la délimitation des rôles et des responsabilités entre SPC et SP, les vérificateurs ont constaté que la précision et la compréhension étaient limitées. Bien qu'il y ait une relation de travail de collaboration entre les deux organisations et qu'une entente opérationnelle officielle soit en place, les responsabilités ne sont pas détaillées.

En l'absence de rôles et de responsabilités bien définis entre SPC et SP, qui sont des contrôles clés, il y a un risque de décalage.

Formation et sensibilisation

Les vérificateurs s'attendaient à constater que les employés bénéficient de formation suffisante, qu'ils sont suffisamment sensibilisés et qu'ils comprennent leurs responsabilités en matière de sécurité des TI.

Les vérificateurs ont constaté que la DGDPI communique avec les intervenants et les utilisateurs appropriés dans l'ensemble du Ministère selon les besoins au sujet des activités pertinentes en matière de sécurité des TI.

La DGDPI a également élaboré des politiques et des procédures en matière de sécurité des TI, mais celles-ci ne sont pas accessibles d'emblée pour les employés. Par exemple, la Directive sur la sécurité des TI, qui établit les rôles et les responsabilités globaux, n'est pas affichée sur InfoCentrale, tout comme la totalité des normes de sécurité des TI. La DGDPI est au courant de ce problème et compte le régler.

Le Ministère a élaboré diverses activités de formation et de sensibilisation qui englobent des volets de sécurité des TI; toutefois, les vérificateurs ont constaté que ces activités n'étaient ni obligatoires ni organisées en temps opportun. En outre, il n'était pas clair si ces activités englobaient toutes les responsabilités clés en matière de sécurité des TI.

L'insuffisance de la sensibilisation et de la compréhension à l'égard de la sécurité des TI pourrait engendrer des infractions et des cas de non-conformité aux politiques et des atteintes à la sécurité.

Recommandations

Sous la direction du sous-ministre adjoint du Secteur de la gestion ministérielle :

6. Le DPI doit s'assurer que les rôles et les responsabilités en matière de sécurité des TI que partagent le personnel de SPC et le personnel de SP sont clarifiés.
7. Le DPI doit s'assurer que des séances de sensibilisation pertinentes et uniformes en matière de sécurité des TI sont fournies régulièrement aux employés de SP, et que l'ensemble des politiques, des directives et des normes pertinentes en matière de sécurité des TI sont affichées sur InfoCentrale.

Annexe A – Critères de vérification

Les critères suivants ont été évalués :

Planification de la sécurité des TI

Un plan global de sécurité des TI est en place, lequel tient compte de l'infrastructure des TI et de la culture de la sécurité, et l'organisation fait en sorte que le plan soit harmonisé avec les politiques et les procédures en matière de sécurité ainsi qu'avec les investissements appropriés dans les services, le personnel, le matériel et les logiciels, et que les politiques et les procédures en matière de sécurité sont transmises aux intervenants et aux utilisateurs.

Stratégie et gouvernance en matière de sécurité des TI

Un cadre de gouvernance de la sécurité des TI est défini, établi et aligné sur le cadre de gouvernance des TI, ainsi que sur l'environnement global de gouvernance et de contrôle de l'entreprise.
Le cadre de gouvernance de la sécurité des TI est fondé sur un modèle de processus et de contrôles approprié en matière de sécurité des TI et prévoir des mécanismes de reddition de comptes ainsi que des pratiques sans ambiguïté pour éviter toute défaillance des fonctions de supervision et de contrôle interne.

Le cadre de gouvernance de la sécurité des TI permet d'assurer la conformité aux lois et aux règlements, et est aligné sur, et confirme la mise en œuvre des stratégies et des objectifs de l'organisation. L'état de la gouvernance de la sécurité des TI et les questions connexes font l'objet de rapports.

Un ensemble de politiques visant à appuyer la stratégie de sécurité des TI est élaboré et tenu à jour, et la pertinence des politiques est confirmée et approuvée régulièrement.

Surveillance de la sécurité des TI

L'environnement de contrôle de la sécurité des TI et le cadre de contrôle visant l'atteinte des objectifs organisationnels sont surveillés, mis à l'essai et améliorés.

La garantie relative à l'exhaustivité et à l'efficacité des contrôles internes relatifs à la sécurité des TI par l'intermédiaire d'examens par des tiers est obtenue.

Gestion des risques en matière de TI

Un cadre de gestion des risques en matière de sécurité des TI, faisant partie du cadre de gestion de la sécurité des TI, est établi et il est aligné sur le cadre de gestion des risques du Ministère.

La propriété et la responsabilité en ce qui a trait aux risques liés à la sécurité des TI au sein du Ministère sont intégrés au niveau des cadres supérieurs, et les rôles qui sont essentiels à la gestion des risques en matière de TI, y compris la responsabilité précise en regard de la sécurité de l'information, de la sécurité physique et de la conformité, sont définies et attribuées.

La probabilité et l'incidence de tous les risques cernés en matière de sécurité des TI sont évaluées sur une base périodique au moyen d'une méthode qualitative et quantitative, et si la probabilité et l'incidence associées à un risque inhérent et résiduel sont déterminées individuellement, par catégorie et selon un principe de portefeuille.

Les activités de contrôle sont classées par ordre de priorité et planifiées à tous les niveaux en vue de la mise en œuvre des interventions relatives aux risques cernées selon les besoins, y compris la détermination des coûts, des avantages et des responsabilités qui ont trait à l'exécution. L'approbation des mesures recommandées est obtenue, et tous les risques résiduels sont acceptés. Les mesures à prendre sont la propriété du responsable des processus visés, qui surveillerait l'exécution des plans et produirait des rapports sur les infractions à l'intention des cadres supérieurs.

Rôles et formation en matière de sécurité des TI

Les rôles et les responsabilités du personnel de TI, y compris du personnel de la sécurité des TI, et des utilisateurs finaux, qui sont répartis entre le personnel de la TI et les utilisateurs finaux pour ce qui est des pouvoirs, des responsabilités et de l'obligation de rendre des comptes aux fins de la satisfaction des besoins de l'organisation sont établis et communiqués.

Le personnel clé de la sécurité des TI (p. ex. personnel de remplacement) est défini et désigné, et la nécessité de compter sur une seule personne effectuant une tâche essentielle est réduite au minimum.

La sensibilisation aux directives et aux objectifs opérationnels et de la sécurité des TI et la compréhension de ceux-ci font l'objet d'une communication aux intervenants et aux utilisateurs appropriés dans toute l'organisation.

Un programme pour chaque groupe d'employés cible est établi et mis à jour régulièrement en fonction de la stratégie et des besoins opérationnels actuels et futurs; la valeur de l'information en tant que bien; les valeurs organisationnelles (valeurs éthiques, culture de contrôle et de sécurité, etc.); la mise en œuvre d'une nouvelle infrastructure des TI et de nouveaux logiciels (c.-à-d. progiciels et applications); les compétences actuelles et futures, les profils de compétences et la certification et/ou l'accréditation des besoins ainsi que la ré-accréditation selon les besoins; les méthodes d'exécution (p. ex. en classe ou Internet), la taille du groupe cible, l'accessibilité et le moment choisi.

Les employés de la TI et de la sécurité des TI obtiennent les directives appropriées lorsqu'ils sont embauchés, et bénéficient de formation continue visant à tenir à jour leurs connaissances, leurs compétences, leurs capacités, les contrôles internes et leur sensibilisation à la sécurité des TI de manière à permettre l'atteinte des objectifs organisationnels.

Configuration des systèmes

Des procédures de configuration ont été établies pour appuyer la gestion et l'enregistrement de tous les changements dans le dépôt de configuration.

Les données sur la configuration sont examinées périodiquement, ce qui permet de vérifier et de confirmer l'intégrité de la configuration actuelle et antérieure.

Les logiciels installés sont examinés périodiquement en fonction de la politique sur l'utilisation des logiciels, et ce, afin de repérer les logiciels personnels ou non munis de licences ou les cas de logiciels qui ne sont pas conformes aux accords de licences en vigueur; par ailleurs, les erreurs et les dérogations sont signalées, font l'objet de mesures et sont corrigées.

Gestion de la sécurité

La sécurité de la TI est gérée au niveau organisationnel approprié le plus élevé pour que la gestion des mesures de sécurité soit conforme aux exigences opérationnelles.

L'organisation fait en sorte que tous les comptes d'utilisateurs (internes, externes et temporaires) et leurs activités relatives aux systèmes de TI (applications opérationnelles, environnement des TI, opérations de système, développement et maintenance) soient propres à une seule personne, et elle permet l'identification des utilisateurs par des mécanismes d'authentification. L'organisation maintient dans un dépôt central l'identité et les droits d'accès des utilisateurs.

L'organisation confirme que les droits d'accès des utilisateurs aux systèmes et aux données sont conformes avec les besoins opérationnels définis et étayés et que les exigences relatives à l'emploi sont associées aux identités des utilisateurs, et elle s'assure que les droits d'accès des utilisateurs sont demandés par les gestionnaires des utilisateurs, approuvés par les responsables de systèmes et mis en œuvre par la personne responsable de la sécurité.

L'organisation gère les demandes, l'établissement, la délivrance, la suspension, la modification et la fermeture des comptes d'utilisateurs et des privilèges connexes au moyen d'un ensemble de procédures de gestion des comptes d'utilisateurs qui comprend une procédure d'approbation précisant les responsables des données ou des systèmes qui accordent les privilèges relatifs à l'accès. Ces procédures s'appliquent à tous les utilisateurs, y compris aux administrateurs (utilisateurs privilégiés) ainsi que les utilisateurs internes et externes, pour des affaires normales et urgentes. Des contrats concernant les droits et les obligations ayant trait aux systèmes d'entreprise et à l'information connexe sont établis pour tous les types d'utilisateurs. L'organisation procède à des examens réguliers de tous les comptes et les privilèges connexes.

La mise en œuvre de la sécurité des TI est mise à l'essai et surveillée de façon proactive, et est accréditée de nouveau en temps opportun, ce qui permet de s'assurer que les produits de base de la sécurité de l'information de l'organisation approuvés sont tenus à jour.

La fonction d'enregistrement et de contrôle permet de prévenir ou de détecter rapidement les activités inhabituelles ou anormales auxquelles il pourrait être nécessaire d'accorder de l'attention ainsi que de les signaler rapidement.

La technologie liée à la sécurité résiste aux altérations et permet d'éviter la divulgation non nécessaire de documents de sécurité.

Des mesures de prévention, de détection et de correction sont mises en place (particulièrement des rustines à jour pour la sécurité et des antivirus) dans toute l'organisation pour protéger les systèmes et la technologie de l'information contre les logiciels malveillants (virus, vers informatiques, logiciels espions, pourriels).

Des techniques de sécurité et des procédures de gestion connexes (p. ex. pare-feu, dispositifs de sécurité, segmentation des réseaux, détection d'intrusion) sont utilisées pour autoriser l'accès et contrôlent les flux d'information en provenance et à destination des réseaux, et pour détecter les cas où les règles de pare-feu ne permettent pas de tenir compte de la politique de sécurité de l'organisation.

Gestion des incidents et des problèmes

Une fonction de dépannage, qui sert d'interface utilisateur avec les TI, visant à enregistrer, à communiquer, à répartir et à analyser tous les appels, les incidents signalés, les demandes de service et les demandes d'information, est établie.

Des procédures de surveillance et de recours à la hiérarchie sont en place en fonction de niveaux de service convenus en ce qui concerne les conventions sur les niveaux de service appropriées qui permettent la classification et la priorisation de tout problème signalé comme un incident, de toute demande de service ou de toute demande d'information.

Une fonction et un système qui permet la consignation et le suivi des appels, des incidents, des demandes de service et des besoins en information sont établis. Les incidents sont classés en fonction de priorités organisationnelles et liées au service et dirigés vers l'équipe de gestion du problème appropriée, au besoin. Les clients sont tenus informés de l'état de leur demande, et tous les incidents font l'objet d'un suivi.

Les caractéristiques des incidents de sécurité potentiels sont clairement définies et communiquées, et ce, afin qu'elles soient bien classées et gérées en fonction du processus de gestion des incidents et des problèmes.

Des procédures liées au dépannage sont établies, ce qui fait en sorte que les incidents qui ne peuvent pas être résolus immédiatement soient aiguillés vers la bonne personne en fonction de la hiérarchie et des limites définies dans la convention sur les niveaux de service et, au besoin, des solutions de rechange sont fournies. L'organisation s'assure que la surveillance des responsables des incidents et de leur cycle de vie continue de relever du service de dépannage pour ce qui est des incidents liés aux utilisateurs, peu importe le groupe des TI qui travaille aux activités de résolution.

Des procédures de surveillance de l'autorisation opportune des demandes des clients sont établies. Lorsque l'incident a été résolu, l'organisation s'assure que le bureau de dépannage enregistre les étapes de la résolution et confirme que les mesures prises ont été acceptées par le client, et qu'un dossier et un rapport des incidents non résolus (erreurs connues et solutions de rechange) sont conservés pour fournir de l'information visant la gestion efficace des problèmes.

Des rapports d'activité du service de dépannage sont produits pour permettre aux gestionnaires de mesurer le rendement du service et les délais de réponse ainsi que de cerner les tendances ou les problèmes récurrents, et ce, afin que le service puisse faire l'objet d'améliorations soutenues.

Les processus liés à la gestion de la configuration, des incidents et des problèmes connexes sont intégrés, ce qui permet d'assurer la gestion efficace des problèmes et de permettre des améliorations.

Annexe B – Politiques, lois et règlements applicables

1. Conseil du Trésor (CT)
   • Critères de vérification liés au Cadre de responsabilisation de gestion : outil à l'intention des vérificateurs internes, mars 2011 – non publiée
   • Politique sur le contrôle interne
   • Politique sur la sécurité du gouvernement
   • Politique sur la gestion des technologies de l'information
   • Directive sur la gestion des technologies de l'information
   • Norme opérationnelle sur la sécurité matérielle
   • Norme de sécurité opérationnelle - Programme de planification de la continuité des activités
   • Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI)
   • Norme sur la sécurité du personnel
   • Norme de sécurité relative à l'organisation et l'administration
   • Norme de sécurité et de gestion des marchés
   • Sécurité des technologies de l'information - guide de vérification (archivée)
   • Politique de gestion de l'infrastructure à clé publique au gouvernement du Canada (archivée)
   • Politique sur la vérification interne
   • Ligne directrice sur la gestion de l'infrastructure à clé publique au gouvernement du Canada
2. Autres organismes du gouvernement
   • Guide de la GRC sur la protection matérielle des serveurs informatiques
   • Guides du Centre de la sécurité des télécommunications (CST) :
     • ITSG-04 – Méthodologie harmonisée d'évaluation des menaces et des risques
     • ITSG-06 - Écrasement et déclassification des supports d'information électroniques
     • ITSG-22 Exigences de base en matière de sécurité pour les zones de sécurité de réseau au sein du gouvernement du Canada
     • ITSG-33 - La gestion des risques liés à la sécurité des TI : une méthode axée sur le cycle de vie
3. Autres organisations non gouvernementales
   • ISACA-GI/TI Control Objectives for Information and related Technology (COBIT® 5)
   • Guides de vérification des technologies mondiales (GTAG) de l'Institute of Internal Auditors
     • GTAG 1 : Information Technology Controls
     • GTAG 2 : Change and Patch Management Controls: Critical for Organizational Success
     • GTAG 4 : Management of IT Auditing
     • GTAG 6 : Managing and Auditing IT Vulnerabilities
     • GTAG 7 : Information Technology Outsourcing
     • GTAG 9 : Identity and Access Management
     • GTAG 10 : Business Continuity Management
     • GTAG 11 : Developing the IT Audit Plan
     • GTAG 12 : Auditing IT Projects
     • GTAG 15 : Information Security Governance

Annexe C – Activités de vérification

La vérification englobait les activités suivantes :

• Entrevues
• Examen de documents choisis, comme les évaluations des menaces et des risques, les évaluations de la vulnérabilité, les énoncés de sensibilité, évaluations des facteurs relatifs à la vie privée, politiques, normes, lignes directrices, conventions sur les niveaux de service, cadres et plans
• Mises à l'essai de transactions choisies et validation de leur exactitude pour la période allant du 1er janvier au 30 juin 2012
• Mises à l'essai des processus de contrôle internes aux fins de vérification de l'efficacité

Date de modification :

2018-01-31