ARCHIVÉ - Vérification de la gestion de la sécurité des technologies de l'information (TI)

Contenu archivé

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Vérification interne, CNRC

Juin 2007

ARCHIVÉ - Vérification de la gestion de la sécurité des technologies de l'information (TI) (PDF, 541 Ko)

1.0 Sommaire

Contexte

Le Secrétariat du Conseil du Trésor (SCT) exige des ministères et des organismes qu'ils procèdent à des vérifications internes périodiques du respect de la Politique sur la sécurité (PS) et de l'efficacité de sa mise en oeuvre. Cette politique exige des ministères d.effectuer la surveillance active de leur programme de sécurité et d'effectuer des vérifications internes.

La norme de Gestion de la sécurité des technologies de l'information (GSTI) définit les exigences de base en matière de sécurité que les ministères fédéraux doivent satisfaire pour assurer la sécurité de l'information et des biens liés à la technologie de l'information (p. ex., logiciels et matériel) placés sous leur contrôle. Cette norme de sécurité opérationnelle appuie la Politique du gouvernement sur la sécurité. La norme de GSTI indique, entre autres choses, que :

  • les ministères doivent établir et gérer un programme ministériel de sécurité;
  • les profils de risque ministériels détermineront les exigences sécuritaires de base à mettre en oeuvre afin de répondre aux exigences de la norme de GSTI.

Le dernier examen de la sécurité des TI réalisé au CNRC remonte à 1999. Par la suite, le Plan de vérification interne axé sur les risques pour 2006-2007 à 2008-2009 a déterminé que la vérification de la gestion de la sécurité des TI était une priorité.

La démarche du CNRC concernant la gestion de la sécurité des TI consiste en la création d'un « environnement de TI en principe ouvert pour faciliter la recherche et l'innovation ». Parallèlement, cet environnement doit assurer la protection des renseignements de nature délicate et les renseignements que le CNRC détient au nom de ses clients et collaborateurs.

Objectifs, portée et méthodes de la vérification

Les objectifs de la vérification de la gestion de la sécurité des TI étaient les suivants :

  • vérifier si le CNRC respecte la norme de GSTI;
  • vérifier si le CNRC respecte ses propres politiques et normes en matière de sécurité des TI;
  • évaluer l'efficacité, l'efficience et le caractère économique des services de sécurité des TI du CNRC;
  • assurer le suivi des constatations et des recommandations formulées dans le cadre de l'examen externe de la sécurité des TI réalisé en 1999.

Le CNRC a embauché une équipe de spécialistes de la TI reconnus et agréés pour procéder à la vérification. Les critères de vérification étaient fondés sur les exigences de la norme de GSTI et celles des politiques et des normes internes du CNRC en matière de sécurité.

La présente vérification porte notamment sur les services de sécurité des TI qu'offre la Direction des services de gestion de l'information (DSGI) relativement aux éléments des services de première nécessité, ainsi que sur les douze instituts, directions et programmes (I/D/P) et les sept bureaux de la haute direction que la DGSI soutient directement, et sur trois instituts auxquels la DGSI n'offre aucun service de soutien en matière de sécurité des TI. La vérification ne porte pas sur le matériel informatique qui est utilisé aux seules fins de la recherche dans les instituts du CNRC. Les conclusions de la vérification se fondent sur des éléments probants recueillis entre juillet 2006 et avril 2007.

Opinion du vérificateur et énoncé d'assurance

La vérification n'a pas permis d'évaluer l'exposition générale du CNRC aux risques liés à la sécurité des TI. Nous ne pouvons donc conclure avec une assurance raisonnable que la sécurité des TI au CNRC dans son ensemble est conforme à la Politique du gouvernement sur la sécurité (PGS) ou à la norme de Gestion de la sécurité des technologies de l'information (GSTI) du gouvernement, car le CNRC n'a pas officiellement défini et documenté tous ses systèmes administratifs centraux ou essentiels à ses activités. En outre, non seulement la Direction des services de gestion de l'information (DSGI) du CNRC n'offre pas de services de sécurité des TI à tous les instituts, directions et programmes, mais elle n'a pas l'autorité fonctionnelle lui permettant de surveiller le respect de la politique et de la norme susmentionnées, ou de les faire respecter. On ne peut pas supposer que son taux de conformité élevé (97 p. 100) s'applique à tout le CNRC. Si une analyse vérifiable subséquente permet de démontrer qu'aucun système essentiel n'échappe au contrôle de la DSGI, on pourra conclure avec assurance que le CNRC dans son ensemble respecte la PGS et la norme de GSTI.

Il est important de comprendre que, bien que les taux de conformité à la norme de GSTI soient révélateurs de la probabilité que les systèmes de TI soient protégés, ils ne sont pas concluants. A Autrement dit, des taux de conformité à la norme de GSTI élevés ne signifient pas nécessairement un degré élevé de sécurité des TI, et des taux de conformité faibles ne sont pas nécessairement le signe de systèmes de TI non protégés. Seule une vérification complète de la sécurité des TI peut le vérifier.

Pour ces raisons, nous ne sommes pas non plus en mesure de conclure avec une assurance raisonnable que le CNRC dans son ensemble respecte ses propres politiques, normes et lignes directrices en matière de sécurité des TI. Nous avons constaté que la plupart des recommandations faites dans le cadre de l'examen externe de la sécurité des TI de 1999 ont été mises en oeuvre. Enfin, nous avons également constaté que l'efficacité, l'efficience et le caractère économique de la gestion de la sécurité des TI au CNRC pouvaient faire l'objet d'une amélioration.

À mon avis, en tant que dirigeante de la vérification, les travaux de vérification que nous avons menés et les éléments probants que nous avons recueillis étaient suffisants et appropriés pour appuyer l'exactitude de l'opinion présentée dans le présent rapport. Cette opinion se fonde sur une comparaison entre les conditions, en vigueur au moment de la vérification, et les critères de vérification. Les éléments probants ont été recueillis conformément à la politique, aux directives et aux normes du Conseil du Trésor sur la vérification interne, et les méthodes employées étaient conformes aux normes professionnelles de l'Institut des vérificateurs internes.

Conclusion et recommandations

Le degré de conformité à la norme de GSTI variait entre la DSGI et les trois instituts que nous avons examinés. En général, la DSGI respecte la norme de GSTI dans une proportion de 97 p. 100. Toutefois, les trois instituts affichaient des taux moins élevés, soit 86, 76 et 76 p. 100, dans les principaux domaines de la gestion des risques. Tous les domaines de non-conformité sont liés aux analyses de sensibilité de tous les systèmes, aux évaluations des menaces et des risques associées à tous les systèmes essentiels, à la certification et à l'accréditation de ces systèmes, ainsi qu'à la planification de la continuité des opérations et de la reprise après sinistre. Il est important de comprendre que, bien que les taux de conformité à la norme de GSTI soient révélateurs de la probabilité que les systèmes de TI soient protégés, ils ne sont pas concluants. En d'autreEn d'autres termes, des taux de conformité à la norme de GSTI élevés ne signifient pas nécessairement un degré élevé de sécurité des TI, et des taux de conformité faibles ne sont pas nécessairement le signe de systèmes de TI non protégés. Seule une vérification complète de la sécurité des TI peut le vérifier.

On doit prendre note qu'il est impossible pour l'équipe de vérification de déterminer si le CNRC dans son ensemble est conforme à la norme de GSTI, car le CNRC n'a ni clairement défini ni officiellement documenté tous ses systèmes essentiels, ce sur quoi le modèle de gouvernance du CNRC en matière de sécurité des TI se fonde.

À notre avis, les lacunes suivantes au chapitre de la conformité représentent des secteurs de risque pour le CNRC :

  • Il n'y a pas suffisamment de surveillance de la sécurité des TI à l'échelle de l'organisation. Nous avons constaté que le coordonnateur de la sécurité des TI du CNRC, qui est responsable du respect de la norme de GSTI, n'a pas le pouvoir d'agir à titre de personne-ressources principale en ce qui concerne les questions de sécurité des TI. Par conséquent, il ne peut pas garantir aux cadres supérieurs que tous les systèmes de TI du CNRC sont dotés des mesures de protection adéquates.
  • La gestion du risque liée à la sécurité des TI est inégale dans l'organisation. Par conséquent, le CNRC ne possède ni un portrait clair de son exposition aux risques en matière de sécurité des TI, ni la certitude que ses systèmes de TI offrent un niveau de sécurité correspondant à la sensibilité de l'information qu'ils contiennent.
  • La vaste gamme de technologies et de protocoles visant à permettre aux employés du CNRC qui travaillent à l'extérieur d'accéder aux systèmes de TI du CNRC pose un risque continu pour l'organisme.

Nous avons constaté des degrés variables de conformité aux politiques et aux normes du CNRC qui régissent la sécurité des TI. La DSGI s'y conformait en général. Cependant, deux des trois instituts que nous avons examinés présentaient des taux de conformité considérablement moins élevés (58 p. 100).

Nous avons conclu qu'il existe des possibilités d'amélioration de l'efficacité, de l'efficience et du caractère économique de la gestion des services de sécurité des TI du CNRC. Ces possibilités se rapportent à la surveillance, à la gestion des risques, à la gestion des biens, au stockage, à l'accès à distance, à la protection antivirus et à la gestion du changement.

Le CNRC a mis en oeuvre la plupart des recommandations issues de l'examen externe de la sécurité des TI réalisé en 1999. Ce qui inquiète le plus est l'absence permanente d'un plan de continuité des opérations à l'échelle de l'organisation.

Principales recommandations

  1. Afin d'améliorer la surveillance des TI, les cadres supérieurs du CNRC devraient désigner un coordonnateur de la sécurité des TI au CNRC, qui serait responsable de la sécurité des TI dans tout l'organisme et qui aurait autorité en la matière.
  2. Afin de renforcer la gestion du risque en matière de sécurité des TI, le CNRC devrait :

    a) définir ce qu'il entend par « centraux » et par « essentiels » en ce qui concerne les systèmes de TI;

    b) préciser la sensibilité de tous ses systèmes de TI, y compris les systèmes utilisés aux seules fins de la recherche, et documenter les justifications ou les critères servant à les désigner comme des systèmes centraux ou essentiels à ses activités;

    c) mener d'autres activités précises de gestion des risques, comme des évaluations suffisamment rigoureuses des menaces et des risques, et des activités de certification et d'accréditation de tous les systèmes essentiels, comme l'exigent les politiques du CNRC et la norme de GSTI.

  3. Le CNRC devrait élaborer un plan de continuité des opérations à l'échelle de l'organisation relativement à la sécurité des TI.
  4. Le CNRC devrait élaborer une politique sur l'accès à distance ayant comme objectif d'éliminer l'utilisation de protocoles non protégés, de réduire l'éventail des protocoles utilisés et de renforcer la sécurité de l'accès à distance pour les télétravailleurs.
  5. La direction devrait examiner les coûts, les avantages et la faisabilité éventuels entourant la centralisation des services de gestion des biens, de stockage, d'accès à distance, de protection antivirus et de gestion du changement, actuellement offerts par les instituts.

Jayne Hinchliff-Milne, CMA, dirigeante de la vérification Jayne Hinchliff-Milne, CMA, Dirigeante de la vérification

Membres de l'équipe de vérification du CNRC Note de bas de page1 :

Irina Nikolova, CA, CIA, CISA

Réponse globale de la gestion:

Cette vérification a servi à souligner plusieurs domaines où les pratiques de gestion du CNRC relatives à la sécurité des TI doivent être clarifiées et officialisées à l'échelle de l'organisme. Toutefois, indépendamment des recommandations de la vérification, lesquelles seront mises en oeuvre au cours des prochains mois, le CNRC continue de gérer un programme de protection efficace au sein du Conseil, qui a été conçu pour protéger ses renseignements et ses biens de valeur liés à la TI. Ce programme comprend les quatre éléments principaux suivants : une série de politiques et de normes actuelles qui reflètent l'orientation de la haute direction à l'égard de la sécurité des TI; une structure organisationnelle souple comprenant le Centre de protection de l'information de la DSGI du CNRC et un réseau d'agents de sécurité des systèmes d'information au niveau des I/D/P, conçue pour relever les défis que pose l'environnement réparti du CNRC relativement à la sécurité des TI; plusieurs processus de sécurité des TI bien établis qui portent sur la gestion du risque, l'intervention en cas d'incident, la formation du personnel dans le domaine de la TI et la sensibilisation des utilisateurs; une architecture de sécurité technique visant à mieux protéger les systèmes et les renseignements du CNRC tout en facilitant l'activité principale du Conseil. Ces éléments d'actualité sont en place et sont essentiels à la stratégie de protection de l'information du CNRC. La mise en oeuvre des recommandations de la vérification permettra au CNRC de mettre au point une stratégie déjà efficace et de tirer pleinement parti de son investissement en matière de sécurité des TI.

2.1 – Contexte

Le Secrétariat du Conseil du Trésor (SCT) exige des ministères et des organismes qu'ils procèdent à des vérifications internes périodiques du respect de la Politique sur la sécurité (PS) et de l'efficacité de sa mise en oeuvre. Cette politique est entrée en vigueur en février 2002 et prévoit l'application de mesures de protection des employés et des biens dans les ministères et organismes. Le but de ces mesures de protection est d'appuyer la prestation de services et l'atteinte des objectifs opérationnels du gouvernement. Plus précisément, la PS exige des ministères qu'ils surveillent activement leur programme de sécurité et qu'ils procèdent à des vérifications de leur programme de sécurité.

La norme de Gestion de la sécurité des technologies de l'information (GSTI) définit les exigences de base en matière de sécurité auxquelles les ministères fédéraux doivent satisfaire pour assurer la sécurité de l'information et des biens liés à la technologie de l'information (p. ex., logiciels et matériel) placés sous leur contrôle. Cette norme de sécurité opérationnelle appuie la Politique sur la sécurité. Elle appuie aussi la Politique sur la gestion de l'information et la Politique de sécurité nationale.

La norme de GSTI indique, entre autres choses, que :

  • les ministères doivent établir et gérer un programme ministériel de sécurité;
  • les profils de risque ministériels détermineront la mise en oeuvre de mesures de base en matière de sécurité afin de répondre aux exigences de la norme de GSTI.

En 2005, la vérificatrice générale du Canada a procédé à une vérification de la sécurité de la technologie de l'information (TI) de portée gouvernementale. Par la suite, le Secrétariat du Conseil du Trésor (SCT) a demandé aux ministères, dont le CNRC, d'élaborer un plan d'action visant à répondre aux principales recommandations formulées par la vérificatrice générale dans le cadre de cette vérification. Le SCT a aussi demandé aux ministères de préparer un rapport d'étape sur leur progression en matière de respect absolu de la norme de GSTI et de la PGS. Ces rapports devaient être achevés au plus tard en janvier 2007.

Une vérification interne de la fonction de la sécurité au CNRC a été réalisée en 2001. Cependant, cette vérification ne portait pas sur la sécurité des TI, comme l'exige la PS, car une société d'experts-conseils avait procédé à un examen complet de ce domaine à l'échelle du CNRC, en 1999. Depuis, l'unité de la vérification interne n'a réalisé que de minimes travaux de vérification dans le domaine de la sécurité des TI afin de donner au CNRC le temps de mener à terme les projets qui avaient été entrepris en réponse aux recommandations issues de l'examen externe. Par la suite, le Plan de vérification interne axé sur les risques pour 2006-2007 à 2008-2009 du CNRC a défini la vérification de la gestion de la s\xC3\xA9curité des TI comme une priorité.

2.2 – Gestion de la sécurité des TI au CNRC

La démarche du CNRC concernant la gestion de la sécurité des TI implique la création d'un « environnement de TI en principe ouvert pour faciliter la recherche et l'innovation ». Parallèlement, cet environnement doit assurer la protection des renseignements de nature délicate et les renseignements que le CNRC détient au nom de ses clients et collaborateurs.

Modèle centralisé et décentralisé du CNRC en matière de TI

Afin de maintenir un environnement de TI ouvert tout en s'assurant qu'il protège adéquatement ses renseignements et ses syst\xC3\xA8mes, le CNRC a mis en place une structure organisationnelle souple destinée à la gestion de la TI et de la sécurité des TI. Ce cadre de gestion, élaboré en réponse à l'examen externe de la sécurité des TI réalisé en 1999, contient des éléments tant centralisés que décentralisés ou « dispersés ».

Éléments centralisés : La Direction des services de gestion de l'information (DSGI) offre des services de TI à l'échelle du CNRC et est responsable des éléments clés de l'infrastructure de TI du CNRC. La figure 1 présente un schéma simplifié des quatre fonctions de la DSGI ayant une incidence sur les services de sécurité des TI, nommément : les Systèmes centraux de gestion de l'information, la Direction des services de la technologie, le Centre de protection de l'information et la Planification de la gestion de l'information.

Figure 1 : Direction des services de gestion de l'information

DSGI

Les Systèmes centraux de gestion de l'information sont responsables de l'élaboration, du fonctionnement et du soutien des systèmes de gestion à l'échelle du CNRC, ainsi que de l'entretien des données de référence. Les systèmes de gestion à l'échelle du CNRC englobent la communication de données, la communication vocale, les applications Web et « Sigma », un système fondé sur le SAP qui soutient des fonctions clés comme la comptabilité, l'établissement du budget, la gestion des ressources humaines et l'approvisionnement.

La Direction des services de la technologie de la DSGI remplissent une double fonction, assurant la gestion d'éléments clés de l'infrastructure de TI du CNRC au Canada et la prestation de services de soutien technologique aux instituts, aux directions et aux programmes de la région de la capitale nationale qui ont choisi de ne pas offrir ces services eux-mêmes.

Le Centre de protection de l'information (CPI) est une unité de la DSGI qui veille à ce que le CNRC prenne les mesures nécessaires pour protéger ses banques de données et ses biens liés à la technologie de l'information contre les menaces à leur sécurité. Animé par une large consultation, le CPI joue un rôle de premier plan dans l'élaboration de politiques, de normes et de procédures en matière de sécurité des TI. Il assume le rôle de centre de réception de rapports d'incidents liés à la sécurité au CNRC. Le CPI offre des services essentiels visant à protéger l'information, dont les suivants :

  • surveillance du réseau étendu du CNRC afin d'en détecter les intrusions;
  • traitement des rapports d'incidents de sécurité et enquêtes sur ces incidents;
  • évaluation des menaces et des risques;
  • informatique judiciaire;
  • sensibilisation et formation en matière de sécurité des TI.

Enfin, la Planification de la gestion de l'information soutient les comités qui forment la structure de régie de GI-TI du CNRC et y participe.

Éléments décentralisés : Dans les instituts, les directions et les programmes (I/D/P), la responsabilité de la sécurité des TI incombe aux directeurs généraux respectifs. La figure 2 présente un organigramme du CNRC illustrant quels I/D/P font appel aux services de la DSGI et quels I/D/P ont choisi d'offrir leurs propres services de sécurité des TI à l'interne. La DSGI offre des services de soutien complets à douze I/D/P et au bureau de la haute direction. Elle offre aussi des services limités à certains instituts; par exemple, cinq I/D/P reçoivent des services de protection antivirus seulement.

Tous les I/D/P ont un officier de sécurité des systèmes d'information (OSSI). L'OSSI relève directement du directeur général de l'institut ou de la direction pour ce qui est des questions de sécurité et il aide les gestionnaires de systèmes et leur personnel à élaborer les fonctions de sécurité nécessaires à la gestion quotidienne des systèmes d'information dans leurs lieux de travail. Il est aussi responsable de surveiller le respect des politiques de sécurité des TI par l'I/D/P.

Un « forum des OSSI » (groupe de travail axé sur le consensus) commente l'élaboration des politiques et des lignes directrices du CNRC en matière de sécurité. Ce groupe est présidé par le coordonnateur de la sécurité des TI du CNRC, mais ce dernier n'a aucune autorité fonctionnelle en matière de sécurité des TI en dehors de la DSGI. Ce forum « virtuel » communique par voie électronique avec d'autres membres pour discuter de problèmes précis et les résoudre par consensus au fur et à mesure qu'ils surviennent. On ne tient aucun procès-verbal officiel.

Trois autres éléments complètent le cadre de gestion de la sécurité des TI au CNRC : le Comité de la haute direction, le dirigeant principal de l'information (provenant anciennement du Conseil d'information du CNRC) et le Comité consultatif de la GI-TI. Le Comité de la haute direction, composé du président, des vice-présidents et des directeurs généraux des Ressources humaines et des Finances du CNRC, est responsable de soutenir et d'approuver la politique de sécurité des TI du CNRC.

Le Comité de l'information du CNRC a été dissous en mars 2007 à la fin de son mandat, dont le but était de créer la série complète de politiques et de normes sur la gestion de l'information et les technologies de l'information, actuellement en vigueur. À sa place, le vice-président des Services corporatifs agit à titre de dirigeant principal de l'information du CNRC, conformément aux exigences de la norme de GSTI. Le Comité consultatif de la GI-TI élabore des recommandations en vue de l'adoption de politiques, de normes et de directives en matière de sécurité des TI, qui sont ensuite approuvées soit par le vice-président des Services corporatifs, soit par le Comité de la haute direction. Le dirigeant principal de l'information et le Comité consultatif de GI-TI, qui sont responsables de la gouvernance organisationnelle en plus de la sécurité des TI, se réunissent, au besoin, pour discuter des questions de sécurité des TI.

Figure 2 : Structure organisationnelle du CNRC relative aux services de sécurité des TI

Structure organisationnelle du CNRC relative aux services de sécurité des TI

2.3 – Au sujet de la vérification

Objectifs

Les objectifs de la vérification de la gestion de la sécurité des TI étaient les suivants :

  • vérifier si le CNRC respecte la norme de GSTI;
  • vérifier si le CNRC respecte ses propres politiques et normes en matière de sécurité;
  • évaluer l'efficacité, l'efficience et le caractère économique des services du CNRC liés à la sécurité des TI;
  • assurer le suivi des constatations et des recommandations formulées dans la cadre de l'examen externe de la sécurité des TI réalisé en 1999 ont été appliquées.

Portée

La présente vérification porte notamment sur les services de sécurité des TI qu'offre la DSGI relativement aux éléments des services de première importance. Elle porte aussi sur les douze instituts, directions et programmes, ainsi que le bureau de la haute direction que la DSGI soutient directement. De plus, nous nous sommes penchés sur la gestion de la sécurité des TI dans trois instituts pour lesquels la DSGI n'offre aucun service de soutien en matière de sécurité des TI : un institut de taille moyenne possédant un certain nombre d'établissements répartis dans tout le Canada; un institut de grande taille hautement représentatif du CNRC dans son ensemble et qui accomplit du travail délicat; un institut de très grande taille possédant des bureaux dans tout le Canada. La présente vérification ne porte pas sur le matériel informatique qui est utilisé aux seules fins de la recherche dans les instituts du CNRC.

L'équipe de vérification a recueilli des éléments probants entre juillet 2006 et avril 2007.

Stratégie et méthodologie

Le CNRC a embauché une équipe de spécialistes de la TI reconnus et agréés pour procéder à la vérification. Les critères de vérification étaient fondés sur les exigences de la norme de GSTI et celles des politiques et des normes internes du CNRC en matière de sécurité.

Jusqu'à présent, le SCT n'a fourni aucun outil de vérification servant à évaluer la mesure dans laquelle les ministères se conforment aux 144 exigences détaillées de la norme de GSTI. Le SCT n'a pas non plus indiqué le degré minimal de conformité que les ministères doivent atteindre avant d'être considérés « conformes à la norme de GSTI ». En l'absence d'une telle directive, l'équipe de vérification a choisi de grouper les critères détaillés de la norme de GSTI en 29 critères de vérification visant à évaluer les pratiques de contrôle. Ces critères dérivent des quatre domaines de sécurité des TI dont traite la norme de GSTI, nommément :

  • approche ministérielle de l'organisation et de la gestion de la sécurité des TI;
  • ressources de sécurité des TI destinées aux projets;
  • contrôles de gestion;
  • mesures de protection techniques et opérationnelles.

La figure 3 ci-dessous présente des renseignements sur chacun de ces domaines. L'équipe de vérification de la TI a eu recours au jugement professionnel pour élaborer les 29 objectifs de contrôle servant à évaluer la mesure dans laquelle le CNRC était conforme à la norme de GSTI. Ces critères ont été communiqués à la DSGI et aux trois instituts visés par la vérification aux fins d'examen dans le cadre de la phase de planification de la vérification et intégrés au mandat. L'annexe A présente la liste complète des 29 critères de vérification utilisés pour évaluer la conformité à la norme de GSTI.

Nous avons évalué la mesure dans laquelle le CNRC respecte ses propres politiques et normes en matière de sécurité des TI par rapport à 19 critères dérivant des politiques de sécurité des TI du CNRC. L'annexe B présente la liste complète des critères de vérification détaillés utilisés pour la vérification par rapport aux politiques du CNRC en matière de sécurité.

Dans le cadre de l'évaluation de la conformité à la norme de GSTI et aux normes du CNRC (premier et deuxième objectif), nous avons interviewé le personnel de la DSGI et des instituts et examiné les politiques, les procédures et les normes, ainsi que d'autres documents, comme des fichiers journaux et des courriels.

Dans le cadre de l'évaluation de l'efficacité, de l'efficience et du caractère économique des services de sécurité des TI du CNRC (troisième objectif), nous avons interviewé le personnel concerné et analysé les diverses activités et politiques de contrôle à la recherche de signes d'inefficacité et d'absence d'économie.

Notre suivi de l'examen externe de la sécurité des TI réalisé en 1999 (quatrième objectif), dans le cadre duquel nous avons mené des entrevues, étudié et analysé des documents et des activités de contrôle, visait à recueillir des données probantes sur la mesure dans laquelle le CNRC a mis en oeuvre les recommandations issues de cet examen. L'annexe C présente la liste complète de ces recommandations de l'examen externe de 1999.

Figure 3 : Les quatre principaux domaines de contrôle de la norme de GSTI

Domaine Aperçu
1er domaine : Approche ministérielle de l'organisation et de la gestion de la sécurité des TI Ce domaine fait référence à la façon dont tout programme ministériel de sécurité des TI doit être organisé et géré. Il porte sur les rôles et les responsabilités, la politique, les ressources et la gestion.
2e domaine : Ressources de sécurité des TI destinées aux projets La norme de GSTI précise ce que les gestionnaires de TI doivent faire au stade de la planification de nouveaux programmes ou services et d'importantes mises à niveau de programmes ou services existants. En vertu de ces exigences, les gestionnaires doivent, dès le tout début du processus de financement et d'approbation, déterminer les exigences en matière de sécurité des TI pour ces programmes, services ou mises à niveau, et indiquer les ressources requises dans les demandes de financement.
3e domaine : Contrôles de gestion Ce domaine fait référence aux contrôles de gestion qui s'appliquent à tous les programmes et services ministériels. La partie III de la norme de GSTI définit les mesures de protection techniques et opérationnelles à l'appui de ces contrôles.
4e domaine : Mesures de protection techniques et opérationnelles La norme de GSTI contient une orientation et des consignes sur certaines des mesures de protection techniques et opérationnelles disponibles. Les ministères en sélectionnent certaines et, éventuellement, d'autres. Ensemble, elles permettent de ramener le risque à un niveau acceptable. D'autres mesures de protection sont décrites dans d'autres normes de sécurité et documents techniques.

Constatations découlant de la vérification

3.1 – Premier objectif de la vérification : Vérifier si le CNRC respecte la norme de GSTI

Conclusion générale

Le degré de conformité à la norme de GSTI variait entre la DSGI et les trois instituts que nous avons examinés. Sauf pour ce qui est de la planification de la continuité des opérations, la DSGI est conforme à la norme de GSTI. Toutefois, les trois instituts affichaient des taux de conformité moins élevés dans des domaines importants comme la gestion du risque, ainsi que la certification et l'accréditation de leurs systèmes.

On doit prendre note qu'il est impossible pour l'équipe de vérification de déterminer si le CNRC dans son ensemble est conforme à la norme de GSTI, car le CNRC n'a ni clairement défini ni officiellement documenté tous ses systèmes essentiels, ce sur quoi le modèle de gouvernance du CNRC en matière de sécurité des TI se fonde.

À notre avis, les lacunes suivantes au chapitre de la conformité représentent des secteurs de risque pour le CNRC :

  • Il n'y a pas suffisamment de surveillance de la sécurité des TI à l'échelle de l'organisation. Nous avons constaté que le directeur de la sécurité des TI du CNRC, c'est-à-dire le coordonnateur de la sécurité des TI du CNRC, qui est responsable du respect de la norme de GSTI, n'a pas le pouvoir d'agir à titre de personne-ressources principale en ce qui concerne les questions de sécurité des TI. Par conséquent, il ne peut pas assurer aux cadres supérieurs que tous les systèmes de TI du CNRC sont dotés des mesures de protection adéquates.
  • La gestion du risque liée à la sécurité des TI est inégale dans l'organisation. Par cons\xC3\xA9quent, le CNRC ne possède ni un portrait clair de son exposition aux risques en matière de sécurité des TI, ni la certitude que ses systèmes de TI offrent un niveau de sécurité correspondant à la sensibilité de l'information qu'ils contiennent.
  • La grande gamme de technologies et de protocoles visant à permettre aux employés du CNRC qui travaillent à l'extérieur d'accéder aux systèmes de TI du CNRC pose un risque continu pour l'organisme.

Constatations

L'équipe de vérification a noté un certain nombre de forces en ce qui concerne la conformité à la norme de GSTI. Par exemple, le CNRC a précisé les rôles et les responsabilités liés à la gestion de la sécurité des TI. Il a aussi émis un ensemble complet de politiques, de procédures et de normes relatives à la gestion de cette fonction et mis en oeuvre un programme de sensibilisation à la sécurité à l'intention de ses employés. Le CNRC effectue des enquêtes de sécurité sur le personnel pour déterminer qui aura accès à quels renseignements de nature délicate et il utilise des zones de sécurité. Ces zones divisent le réseau et offrent des niveaux de sécurité plus élevés selon la sensibilité des renseignements.

Nous nous attendions à ce que les instituts, directions et programmes (I/D/P) aient, dans l'ensemble, respecté les normes de GSTI. En se conformant à ces normes, les organismes peuvent démontrer qu'ils ont accompli ce qu'il fallait pour protéger adéquatement les renseignements qu'ils détiennent.

En août 2005, le CNRC a présenté au SCT le plan d'action et la méthode qu'il entendait utiliser pour arriver à se conformer à la norme de GSTI. Le CNRC a choisi d'adopter une « approche globale » relativement à la sécurité de ses « systèmes centraux et essentiels », tout en créant un « environnement de TI en principe ouvert pour faciliter la recherche et l'innovation ». Les systèmes centraux et essentiels sont ceux qui sont indispensables au bon fonctionnement de l'organisation.

Nous avons évalué le CNRC par rapport à 29 groupes de critères de la norme de GSTI, comme nous l'avons mentionné ci-dessus, et avons constaté que la DSGI en respecte un nombre équivalent à 97 p. 100. Dans les trois autres instituts, ce taux de conformité s'établissait à 86, 76 et 76 p. 100, respectivement. On doit prendre note que la mention « aucune notation » ne signifie pas nécessairement que le taux de conformité est égal à zéro. Dans bien des cas, nous avons constaté des activités qui étaient partiellement conformes.

Bien que nous ayons réussi à établir des taux de conformité pour la DSGI et les trois instituts examinés, nous n'avons pas été en mesure de le faire pour le CNRC dans son ensemble, car, comme le montre la figure 2 ci-dessus, la DSGI offre des services de sécurité des TI à certains instituts, certaines directions et certains programmes seulement. Le CNRC ne possède pas de document de référence unique présentant de façon générale quels systèmes sont « centraux » et quels systèmes sont « essentiels ». Sans un tel document, on ne peut pas certifier avec une assurance raisonnable que la DSGI est au courant de tous les risques importants potentiels pour la sécurité des TI dans les I/D/P auxquels elle n'offre aucun service, ni qu'elle peut répondre à ces risques. En conséquence, on ne peut pas conclure avec une assurance raisonnable que le taux de conformité élevé de la DSGI puisse s'appliquer au CNRC dans son ensemble.

Surveillance : Le CNRC ne surveille pas activement la sécurité des TI à l'échelle de tout l'organisme. Les dispositions actuelles du CNRC relatives à la sécurité des TI n'exigent ni ne prévoient que les gestionnaires de programmes et de projets de TI oeuvrant dans les instituts consultent le coordonnateur de la sécurité des TI du CNRC ou qu'ils communiquent avec lui concernant les mesures afférentes à la sécurité des TI dans le cas de projets individuels. Au contraire, la norme de GSTI l'exige. L'objectif consiste à faire en sorte que tous les projets de TI entrepris dans un organisme répondent aux exigences nécessaires en matière de sécurité. Ces exigences varient selon les projets.

La norme de GSTI exige aussi du coordonnateur de la sécurité des TI qu'il serve de principale personne-ressource au ministère dans ce domaine. Toutefois, le directeur de la sécurité des TI ne joue pas ce rôle au CNRC; aucun mandat documenté n'attribue au directeur la responsabilité et le pouvoir en matière de sécurité des TI dans l'ensemble de l'organisme. La communication et la consultation entre les parties concernées par la sécurité des TI étant ponctuelles, le CNRC ne dispose actuellement pas d'un portrait clair des activités de sécurité des TI en cours dans ses divers instituts, ni des risques à la sécurité des TI auxquels l'organisme dans son ensemble est exposé. La sphère d'influence du directeur étant limitée, la haute direction ne peut pas savoir si chaque système de TI du CNRC intègre des mesures de protection appropriées.

Gestion des risques de sécurité touchant la TI : La gestion des risques de sécurité touchant la TI étant inégale au CNRC, la haute direction ne dispose pas d'un portrait complet et global de la sensibilité de ses systèmes et des renseignements qu'ils contiennent. Elle ne dispose pas non plus d'information complète sur son exposition aux risques liés à la sécurité des TI.

La norme de GSTI exige des organismes qu'ils mènent continuellement des activités visant à gérer les risques de sécurité touchant la TI. Ces activités comprennent la détermination de la sensibilité de l'information et des systèmes de TI, l'évaluation des menaces et des risques et la certification et l'accréditation de ces systèmes. Les énoncés de nature délicate décrivent et classent en catégories les renseignements et les biens connexes selon leur sensibilité (degré de confidentialité et de disponibilité et d'intégrité requis). À ce titre, ces énoncés constituent une étape importante du processus d'évaluation des risques. Plus le degré de sensibilité est élevé, plus le risque associé au bien ou au système en question est élevé. Les évaluations des menaces et des risques consistent en une évaluation de la probabilité de la présence d'une menace ou d'un risque, ainsi que de l'incidence d'une telle présence. La certification et l'accréditation représentent une décision rendue par la direction de faire fonctionner un système tout en reconnaissant les risques qui sont associés au fonctionnement de ce système. Une fois qu'un système a été certifié et accrédité, la responsabilité liée à la sécurité de ce système passe de ceux qui l'ont conçu à ceux qui le font fonctionner.

Nous nous attendions à ce que la DSGI et les instituts faisant partie de notre échantillon aient mis en place un processus officiel de gestion des risques liés à la sécurité des TI. Nous pensions que ce processus suffirait à garantir que les renseignements détenus sont adéquatement protégés étant donné leur sensibilité et des facteurs comme les menaces potentielles, les vulnérabilités et l'exposition aux risques liés à la TI.

Nous avons constaté que la DSGI et l'un des trois autres instituts examinés ont effectivement mis en place un processus officiel de gestion des risques. À quelques exceptions près, ils satisfont en général aux exigences de la norme de GSTI dans ce domaine. Aucun processus officiel n'est cependant en place dans les deux autres instituts. La gestion des risques dans ces instituts est non officielle et ne répond pas aux normes de GSTI. Nous avons remarqué que ni l'un ni l'autre n'avait officiellement évalué ou documenté la sensibilité des renseignements dont il est responsable. Par conséquent, nous n'avons pas été en mesure d'évaluer l'exposition du CNRC aux risques associés au défaut de se conformer à la norme de GSTI.

Des membres du personnel affecté à la sécurité des TI dans ces deux instituts nous ont expliqué que, malgré le manque d'énoncés de nature délicate et d'autres lacunes, le système de sécurité des TI existant protège adéquatement les banques de données dont ils sont responsables. Cependant, nous n'avons pas été en mesure de vérifier de façon objective si c'était effectivement le cas. Nous n'avons trouvé aucun élément probant documenté indiquant l'exacte sensibilité des renseignements contenus dans leurs divers systèmes. En conséquence, nous n'avons pas pu déterminer si leur évaluation du degré de sensibilité est juste ou si le niveau de sécurité des TI est approprié étant donné le niveau de risque associé à leurs banques de données. L'équipe de vérification n'a donc pas pu déterminer si les mesures de protection de l'information détenue par ces instituts étaient adéquates.

Nous avons aussi constaté qu'aucun des trois instituts examinés ne dispose de processus de certification et d'accréditation pour ce qui est de ses systèmes de sécurité des TI. Si l'on omet de certifier et d'accréditer un système, il est possible que la direction fasse fonctionner ce système sans clairement comprendre les risques qui y sont associés.

Enfin, rien ne nous permet d'affirmer qu'il existe un plan officiel de continuité des opérations comprenant la reprise après sinistre pour le CNRC dans son ensemble, comme l'exige la norme de GSTI. Nous avons toutefois observé que la DSGI dispose d'un plan de reprise après sinistre à l'intention des I/D/P dont elle gère la sécurité des TI. L'un des trois autres instituts examinés dispose d'un plan de continuité des opérations qui exige un essai complet pour être considéré tout à fait conforme. Un autre de ces instituts dispose de systèmes dotés de la fonction de redondance intégrée lui permettant d'assurer un service ininterrompu en cas de panne de courant complète ou autre sinistre, ce qui n'a toutefois pas été documenté dans un plan de continuité des opérations. Le dernier institut examiné possède un plan partiel de reprise après sinistre relatif à une partie seulement de ses activités. On doit toutefois prendre note que l'on a demandé au directeur général de la Direction des services administratifs et de la gestion de l'immobilier d'élaborer un plan de continuité des opérations pour le CNRC. Tout organisme devrait mettre en place une stratégie et un plan de continuité des opérations pour se protéger, et surtout pour protéger ses processus opérationnels essentiels, contre les effets de pannes ou de sinistres majeurs, ainsi que pour réduire au minimum les dommages causés par de tels événements.

Informatique mobile et télétravail : La norme de GSTI comprend un certain nombre d'exigences liées à la capacité du personnel à accéder aux renseignements, aux réseaux et aux systèmes d'un ministère à partir de lieux situés en dehors des bureaux du gouvernement.

Comme l'exige la norme de GSTI, nous nous attendions à ce que le CNRC ait pris des mesures précises pour protéger ses ordinateurs, ses liaisons de communications et les renseignements qu'ils contiennent contre les risques associés à des activités comme l'informatique mobile et le télétravail. Les mesures classiques devant être mises en place par les ministères comprennent, sans toutefois s'y limiter, les mesures suivantes : contrôles d'accès, chiffrement, logiciel de détection de virus et pare-feux. Les ministères doivent aussi s'assurer que les membres du personnel qui travaillent à l'extérieur de leurs installations comprennent leurs responsabilités en matière de sécurité, dont la sensibilité et la criticité des renseignements auxquels ils ont accès.

Pour évaluer la mesure dans laquelle le CNRC se conforme à ces exigences, nous avons interrogé le coordonnateur de la sécurité des TI et visité les trois instituts faisant partie de notre échantillon. Notre principale préoccupation concerne le fait que le CNRC ne dispose d'aucune politique régissant l'accès à distance à ses ressources et réseaux de TI. Nous avons constaté que le CNRC, en comparaison avec des organismes de même importance, utilise une gamme « d'architectures d'accès à distance » exceptionnellement vaste. Ce terme fait référence aux technologies et aux protocoles relatifs à l'accès à distance, à savoir l'accès aux systèmes du CNRC par les employés qui travaillent à l'extérieur des installations. La gamme de protocoles relatifs à l'accès à distance augmente la possibilité d'une vulnérabilité susceptible d'être exploitée et, par la suite, de compromettre gravement le réseau du CNRC.

Nous avons observé qu'en 2005-2006, le CNRC a fait l'objet de huit incidents à risque élevé touchant la sécurité des TI. Cinq d'entre eux sont attribuables à des faiblesses découlant de la méthode employée par le CNRC à l'égard de l'accès à distance et ont entraîné une divulgation, une destruction, un retrait, une modification, une interruption ou une utilisation non autorisé des biens du CNRC. Bien qu'un seul incident à risque élevé ait été signalé au Centre de protection de l'information de la DSGI en 2006-2007, le « menu » actuel des architectures d'accès à distance pose un risque permanent pour le CNRC.

1re recommandation

Afin d'améliorer la surveillance de la sécurité des TI, les cadres supérieurs du CNRC devraient désigner un coordonnateur de la sécurité des TI au CNRC, qui serait responsable de la sécurité des TI dans tout l'organisme et qui aurait autorité en la matière.

Réponse de la direction du CNRC:

La direction est d'accord avec cette recommandation; un coordonnateur de la sécurité des TI qui sera responsable de la sécurité des TI à l'échelle du CNRC et qui aura autorité en la matière sera nommé en consultation avec le Comité de la haute direction (CHD). Toutefois, un tel rôle devra être appuyé par une solide structure de gouvernance en matière de GI-TI en général et par un robuste cadre de gouvernance de la sécurité de l'information en particulier. On se penchera sur la question de la gouvernance en matière de GI-TI dans le cadre d'une étude que le CNRC a déjà amorcée, c'est-à-dire un examen complet de la GI-TI visant à étudier le modèle actuel de prestation de services de TI et à déterminer la façon dont le CNRC pourrait améliorer l'efficacité et les rapports coût-efficacité dans ce domaine. Plus précisément, cette étude d'une portée considérable englobera tous les services de GI-TI qui sont offerts au personnel du CNRC, soit de façon centralisée par la DSGI, soit localement par les instituts, les directions et les programmes individuels.

Le mandat a été élaboré et approuvé par le CHD; le directeur général de la DSGI codirigera cet effort en collaboration avec le directeur général d'un institut de recherche qui n'a pas encore été choisi. Les questions entourant la prestation de services de TI feront l'objet d'un examen et d'un rapport qui sera présenté au CHD au plus tard en janvier 2008. On déterminera aussi des possibilités ou des préoccupations précises qui devront faire l'objet d'une étude plus approfondie dans le cadre d'une phase ultérieure. On prévoit que la plupart des recommandations de la vérification seront abordées en tenant compte du contexte de cet examen.

2e recommandation

Afin de renforcer la gestion du risque en matière de sécurité des TI, le CNRC devrait :

a) définir ce qu'il entend par « centraux » et par « essentiels » en ce qui concerne les systèmes de TI;

b) préciser la sensibilité de tous ses systèmes de TI, y compris les systèmes utilisés aux seules fins de la recherche, et documenter les justifications ou les critères servant à les désigner comme des systèmes centraux ou essentiels;

c) mener d'autres activités précises de gestion des risques, comme des évaluations suffisamment rigoureuses des menaces et des risques, et des activités de certification et d'accréditation de tous les systèmes essentiels, comme l'exigent les politiques du CNRC et la norme de GSTI.

Réponse de la direction du CNRC:

2. a) La direction est d'accord avec cette recommandation; chaque politique et norme en matière de GI-TI est revue tous les deux ans dans le cadre du cycle de vie de cette politique. Toutes les politiques et normes en matière de sécurité des TI feront l'objet d'un examen complet entre juillet et septembre 2007. On ajoutera les termes « centraux » et « essentiels » au glossaire de GI-TI du CNRC, et on élaborera des définitions appropriées au cours de l'examen des politiques.

2. b) La direction est d'accord avec cette recommandation; une fois que les termes « centraux » et essentiels » auront été définis, tous les systèmes des instituts seront examinés et décrits de façon appropriée. Le coordonnateur de la sécurité des TI du CNRC sera responsable de veiller à ce que tous les instituts, directions et programmes définissent leurs systèmes comme étant « centraux » et « essentiels » et qu'ils procèdent à une analyse des risques appropriée.

2. c) la direction est d'accord avec cette recommandation; tous les systèmes définis comme étant « centraux » et « essentiels » feront l'objet d'une analyse des menaces et des risques, ainsi que d'une certification et d'une accréditation complètes.

3e recommandation

Le CNRC devrait élaborer un plan de continuité des opérations à l'échelle de l'organisation relativement à la sécurité des TI.

Réponse de la direction du CNRC

La direction est d'accord avec cette recommandation; le directeur général de la Direction des services administratifs et de la gestion de l'immobilier a amorcé une analyse des répercussions sur les opérations à l'échelle du CNRC afin d'examiner les fonctions administratives du CNRC et les effets que peuvent avoir sur elles des risques précis. Cette analyse constitue une première étape cruciale de la préparation d'un plan de continuité des opérations à l'intention du CNRC. Ce travail sera achevé au plus tard en mars 2008, date à laquelle on pourra élaborer un plan de projet plus détaillé visant à répondre aux exigences du CNRC en matière de continuité des opérations, y compris celles qui ont une incidence sur la sécurité des TI.

4e recommandation

Le CNRC devrait élaborer une politique sur l'accès à distance ayant comme objectif d'éliminer l'utilisation de protocoles non protégés, de réduire l'éventail des protocoles utilisés et de renforcer la sécurité de l'accès à distance pour les télétravailleurs.

Réponse de la direction du CNRC

La direction est d'accord avec cette recommandation; les services d'accès à distance feront l'objet d'un examen dans le cadre de l'étude sur la GI et la TI. Une fois que cette étude sera terminée, des directives seront élaborées et mises en oeuvre pour régler la question de l'accès à distance au CNRC. Cette question devrait être réglée d'ici décembre 2008.

3.2 – Deuxième objectif de la vérification : Vérifier si le CNRC respecte ses propres politiques et normes en matière de sécurité

Conclusion générale

Nous avons constaté des degrés variables de conformité aux politiques et aux normes du CNRC qui régissent la sécurité des TI. La DSGI s'y conformait en général. Cependant, deux des trois instituts que nous avons examinés présentaient des taux de conformité considérablement moins élevés (58 p. 100).

Constatations

Les politiques de sécurité du CNRC sont, dans l'ensemble, équivalentes aux normes de GSTI. Par conséquent, tant qu'il respectera la norme de GSTI, le CNRC sera conforme à ses propres politiques. En vertu de la politique du CNRC, seuls les systèmes « essentiels » et les technologies à risque élevé du CNRC, comme les réseaux sans fil, peuvent faire l'objet d'activités de gestion des risques. Cette approche fondée sur le risque est économique et s'harmonise avec les exigences de la norme de GSTI.

La DSGI est en général toujours conforme aux politiques et normes du CNRC en répondant à 95 p. 100 de leurs exigences. Les taux de conformité des trois autres instituts s'établissent à 79, 58 et 58 p. 100, respectivement.

Nous avons constaté que les principaux problèmes de conformité des instituts qui affichent les taux de conformité les plus bas correspondent à ceux dont nous avons discuté à la section 3.1, Premier objectif de la vérification, pour ce qui est des faiblesses dans les processus de gestion des risques, de la gestion du changement et de la planification de la continuité des opérations. Ces deux instituts nous ont expliqué qu'ils respectaient la politique du CNRC sur la gestion des risques liés à la sécurité des TI. Ils ont ajouté qu'il n'avait pas été nécessaire de mener des activités de gestion des risques à l'égard de leurs systèmes de TI, car ces derniers n'étaient pas des systèmes essentiels. Toutefois, nous n'avons pas été en mesure de vérifier si cela était effectivement le cas, car ni l'un ni l'autre de ces instituts ne nous a présenté d'énoncé de nature délicate. Par conséquent, nous ne pouvons pas déterminer si ces deux instituts respectent les politiques et les normes du CNRC en matière de TI sur la gestion des risques.

Si une analyse plus approfondie indique que ces deux instituts ne disposent d'aucun système défini comme étant « essentiel », il se pourrait que les exigences du CNRC en matière de gestion des risques ne s'appliquent pas à eux. Dans cette situation, ces instituts seraient considérés comme étant davantage conformes aux politiques et aux normes applicables du CNRC.

Nous n'avons aucune autre recommandation en dehors de celles qui concernent la gestion des risques à la sécurité des TI, comme nous en avons déjà discuté à la section 3.1 Premier objectif de la vérification.

3.3 – Troisième objectif de la vérification : Évaluer l'efficacité, l'efficience et le caractère économique de la gestion des services de sécurité des TI du CNRC

Conclusion générale

Nous avons conclu qui'l est possible d'améliorer l'efficacité, l'efficience et le caractère économique de la gestion des services de sécurité des TI du CNRC.

Constatations

Efficacité : Nous nous attendions à ce que la gestion de la sécurité des TI ait mis en oeuvre des niveaux de contrôle appropriés pour faire en sorte que les services de sécurité des TI protègent efficacement les banques de données du CNRC.

Nous avons constaté que, pour répondre aux besoins de leurs organisations respectives, les services de sécurité des TI de la DSGI et des trois instituts examinés emploient des pratiques et des méthodes très différentes, ce qui engendre différents taux de conformité à la norme de GSTI et aux politiques du CNRC. Toutefois, comme nous l'avons déjà fait remarquer à la section 3.1 Premier objectif de la vérification, l'efficacité de la gestion de la sécurité des TI pourrait être améliorée grâce à une meilleure surveillance et à une meilleure gestion des risques.

Efficience et caractère économique : Nous avons constaté que le CNRC pourrait améliorer l'efficience et le caractère économique en se penchant sur les domaines suivants : gestion des biens, stockage, accès à distance, protection antivirus et gestion du changement.

Certaines inefficacités potentielles découlent du modèle de gestion décentralisée du CNRC. En ce qui concerne les activités de gestion des biens, de stockage, d'accès à distance, de protection antivirus et de gestion du changement, nous avons remarqué qu'en vertu de ce modèle, plusieurs instituts fournissent leurs propres services à l'aide de matériel varié et d'applications logicielles diverses. À notre avis, il devrait être possible de fournir des services centralisés dans ces domaines, étant donné que la DSGI offre déjà des services de protection antivirus à dix-sept I/D/P et des services de gestion du changement, à douze I/D/P.

Bien que les économies en matière d'ETP puissent se révéler peu importantes, si économies il y a, le fait de centraliser certains ou l'ensemble de ces services à l'échelle du CNRC ou en partie pourrait permettre au CNRC de réduire tant le double emploi inutile que certaines dépenses de logiciels et de matériel engagées par les instituts qui fournissent actuellement leurs propres services. Notre vérification ne comprend pas une analyse visant à déterminer les économies potentielles associées à la centralisation de ces services. Pour en arriver à un tel chiffre, il faudrait réaliser une analyse de rentabilisation dans le cadre de laquelle il serait nécessaire de tenir compte des exigences propres à chaque I/D/P.

La centralisation du programme antivirus pourrait aussi en augmenter l'efficacité. Étant donné que la protection antivirus est un exercice de plus en plus complexe, la centralisation tirerait parti de l'expertise qui existe déjà dans ce domaine au sein de la DSGI. Nous avons observé que la DSGI emploie des spécialistes dans ce domaine et que ce même niveau d'expertise, en général, n'est pas disponible dans tous les instituts du CNRC. Cette situation pourrait avoir une incidence sur la capacité du CNRC à se protéger, aussi efficacement que possible, contre les menaces posées par les virus. Bien que les statistiques soient incomplètes, car, comme nous l'avons remarqué au cours de la vérification, tous les incidents ne sont pas signalés, il est intéressant de remarquer qu'au cours de l'exercice 2005-2006, le CNRC a fait l'objet de 45 incidents signalés impliquant des virus, dont la totalité était associée à une absence de méthode uniforme et organisationnelle en matière de protection antivirus. Bien que seulement onze incidents impliquant des virus aient été signalés jusqu'à présent pour l'exercice 2006-2007, la dernière vague de virus, qui a eu lieu en janvier 2007, s'est soldée par vingt-huit systèmes compromis et cinq jours d'activités interrompues dans un I/D/P qui ne bénéficiait pas des services de protection antivirus de la DSGI. Remarquons que certains I/D/P qui ne bénéficient pas des services de la DSGI ont également réussi à prévenir des éclosions de virus. Une étude de rentabilisation devrait analyser la synergie potentielle entourant la combinaison de l'expertise existante, qui est nécessaire pour éviter cette menace de plus en plus fréquente à laquelle font face tous les organismes gouvernementaux et non gouvernementaux.

5e recommandation

La direction devrait examiner les coûts, les avantages et la faisabilité éventuels entourant la centralisation des services de gestion des biens, de stockage, d'accès à distance, de protection antivirus et de gestion du changement, actuellement offerts par les instituts.

Réponse de la direction du CNRC

La direction est d'accord avec cette recommandation; un examen complet de la GI-TI a été amorcé pour étudier le modèle actuel de prestation de services de TI et pour déterminer la façon dont le CNRC pourrait améliorer l'efficacité et les rapports coûts-efficacité dans ce domaine. Les services signalés dans la présente recommandation sont tous abordés dans le cadre de cet examen et les avantages liés à la centralisation des principaux services de TI seront aussi étudiés. Comme nous l'avons mentionné ci-dessus, cette \xC3\xA9tude sera terminée et présentée au Comité de la haute direction du CNRC en janvier 2008.

3.4 – Quatrième objectif de la vérification : Vérifier si les observations et les recommandations formulées dans le cadre de l'examen externe de la sécurité des TI de 1999 ont été appliquées

Conclusion générale

Le CNRC a mis en oeuvre la plupart des recommandations issues de l'examen externe de la sécurité des TI réalisé en 1999. Ce qui inquiète le plus est l'absence permanente d'un plan de continuité des opérations à l'échelle de l'organisation.

Constatations

En 2000, la DSGI a préparé un plan d'action en vue de donner suite aux vingt observations et recommandations issues de l'examen externe sur la sécurité réalisé en 1999. Ces observations et recommandations portaient sur des sujets, sans toutefois s'y limiter, comme les rôles et les responsabilités en matière de TI, la mise en oeuvre d'un programme de sécurité des TI, un personnel de soutien à la TI plus important, l'accès à distance et la formation sur la sécurité des TI.

Nous avons constaté que, des vingt recommandations formulées dans le cadre de cet examen, dix-sept ont été appliquées ou ne sont plus pertinentes. L'état des trois dernières s'établit comme suit :

  • Une réponse à la recommandation entourant la mise en oeuvre de systèmes de détection d'intrusion dans les réseaux est en cours. La DSGI a fait l'acquisition du matériel nécessaire.
  • La recommandation concernant l'élaboration d'un plan de continuité des opérations à l'échelle du CNRC est toujours en suspens; ce plan doit être mis au point, comme on l'a mentionné à la section 3.1, Premier objectif de la vérification.
  • La recommandation relative à la mise en place de mesures de protection des données et des fichiers (y compris les courriels) n'a pas été entièrement mise en oeuvre. L'infrastructure à clé publique (ICP) du gouvernement représente une solution possible visant à répondre aux exigences du CNRC en matière de communications intragouvernementales liées à l'échange et à la protection de l'information. La DSGI sensibilise actuellement le personnel de tout le CNRC à l'ICP, qu'elle présente comme un outil servant à protéger les données du CNRC. Toutefois, il existe un risque connu associé à l'échange d'information à l'extérieur du gouvernement avec les clients et les collaborateurs de recherche du CNRC, pour lequel ni le gouvernement fédéral ni le secteur privé n'a trouvé de solution technologique d'atténuation rentable.

Consultez l'annexe C pour prendre connaissance des évaluations effectuées par rapport à chacune des recommandations.

4.0 – Conclusion

Le degré de conformité à la norme de GSTI variait entre la DSGI et les trois instituts que nous avons examinés. En général, la DSGI respecte la norme de GSTI dans une proportion de 97 p. 100. Toutefois, les trois instituts affichaient des taux de conformité moins élevés (soit 86 p. 100, 76 p. 100 et 76 p. 100) dans des domaines importants comme la gestion du risque, ainsi que la certification et l'accréditation de leurs systèmes.

Il est important de prendre note qu'il est impossible pour l'équipe de vérification de déterminer si le CNRC dans son ensemble est conforme à la norme de GSTI, car le CNRC n'a ni clairement défini ni officiellement documenté tous ses systèmes essentiels, ce sur quoi le modèle de gouvernance du CNRC en matière de sécurité des TI se fonde.

À notre avis, les lacunes suivantes au chapitre de la conformité représentent des secteurs de risque pour le CNRC :

  • Il n'y a pas suffisamment de surveillance de la sécurité des TI à l'échelle de l'organisation. Nous avons constaté que le coordonnateur de la sécurité des TI du CNRC n'a pas le pouvoir d'agir à titre de personne-ressources principale en ce qui concerne les questions de sécurité des TI. Par conséquent, il ne peut pas assurer aux cadres supérieurs que tous les systèmes de TI du CNRC sont dotés des mesures de protection adéquates.
  • La gestion du risque liée à la sécurité des TI est inégale dans l'organisation. Par conséquent, le CNRC ne possède ni un portrait clair de son exposition aux risques en matière de sécurité des TI, ni la certitude que ses systèmes de TI offrent un niveau de sécurité correspondant à la sensibilité de l'information qu'ils contiennent.
  • La vaste gamme de technologies et de protocoles visant à permettre aux employés du CNRC qui travaillent à l'extérieur d'accéder aux systèmes de TI du CNRC pose un risque continu pour l'organisme.

Nous avons constaté des degrés variables de conformité aux politiques et aux normes du CNRC qui régissent la sécurité des TI. La DSGI s'y conformait en général. Cependant, deux des trois instituts que nous avons examinés présentaient des taux de conformité considérablement moins élevés.

Nous avons conclu qu'il existe des possibilités d'amélioration de l'efficacité, de l'efficience et du caractère économique de la gestion des services de sécurité des TI du CNRC. Ces possibilités se rapportent à la surveillance, à la gestion des risques, à la gestion des biens, au stockage, à l'accès à distance, à la protection antivirus et à la gestion du changement.

Le CNRC a mis en oeuvre la plupart des recommandations issues de l'examen externe de la sécurité des TI réalisé en 1999. Ce qui inquiète le plus est l'absence permanente d'un plan de continuité des opérations à l'échelle de l'organisation.

Principales recommandations

  1. Afin d'améliorer la surveillance de la TI, les cadres supérieurs du CNRC devraient désigner un coordonnateur de la sécurité des TI au CNRC, qui serait responsable de la sécurité des TI dans tout l'organisme et qui aurait autorité en la matière.
  2. Afin de renforcer la gestion du risque en matière de sécurité des TI, le CNRC devrait :

    (a)définir ce qu'il entend par « centraux » et « essentiels » en ce qui concerne les systèmes de TI;

    (b)préciser la sensibilité de tous ses systèmes de TI, y compris les systèmes utilisés aux seules fins de la recherche, et documenter les justifications ou les critères servant à les désigner comme des systèmes centraux ou essentiels;

    (c)mener d'autres activités précises de gestion des risques, comme des évaluations suffisamment rigoureuses des menaces et des risques, et des activités de certification et d'accréditation de tous les systèmes essentiels, comme l'exigent les politiques du CNRC et la norme de GSTI.

  3. Le CNRC devrait élaborer un plan de continuité des opérations à l'échelle de l'organisation relativement à la sécurité des TI.
  4. Le CNRC devrait élaborer une politique sur l'accès à distance ayant comme objectif d'éliminer l'utilisation de protocoles non protégés, de réduire l'éventail des protocoles utilisés et de renforcer la sécurité de l'accès à distance pour les télétravailleurs.
  5. La direction devrait examiner les coûts, les avantages et la faisabilité éventuels entourant la centralisation des services de gestion des biens, de stockage, d'accès à distance, de protection antivirus et de gestion du changement, actuellement offerts par les instituts.

L'annexe D contient des plans d'action de gestion détaillés qui visent à donner suite aux recommandations.

Annexe A : Critères de vérification de la norme de GSTI

No Critère de vérification
Approche ministérielle de l'organisation et de la sécurité des TI et contrôles de gestion
1. [Norme de GSTI 9.0] Les rôles, les responsabilités et l'autorité décrits dans la norme de GSTI sont documentés dans les descriptions de travail et se reflètent dans les organigrammes.
2. [Norme de GSTI 10.0] Le CNRC possède une politique de sécurité des TI pertinente qui répond aux normes minimales décrites dans la norme de GSTI.
Ressources de sécurité destinées aux projets
3. [Norme de GSTI 11.0]
Les demandes de financement des programmes de TI doivent contenir les exigences en matière de sécurité des TI et les ressources requises.
Mesures de protection techniques et opérationnelles
4. [Norme de GSTI 13.0] Des mesures de protection de la sécurité des TI sont mises en oeuvre en tenant compte de la sensibilité des biens, des vulnérabilités, de l'historique des incidents et de l'exposition au risque.
5. [Norme de GSTI 14.0] Le CNRC dispose d'un cadre de contrôle, de politiques et de procédures visant à mettre en oeuvre des processus qui appuient la sécurité des TI, y compris la gestion de la configuration et le contrôle des modifications, le centre d'assistance et le signalement des problèmes, la planification de la capacité et les services de soutien auxiliaires.
6. [Norme de GSTI 15.0] Le CNRC doit mettre en place un processus lui permettant de surveiller activement les menaces et les vulnérabilités et, au besoin, de prendre des mesures préventives.
7. [Norme de GSTI 16.1]
Le CNRC doit avoir une politique et des normes pour assurer la sécurité matérielle des biens liés à la TI.
(REMARQUE : La responsabilité relative à la sécurité matérielle est centralisée au sein de la Direction des Services administratifs et de la Gestion de l'immobilier du CNRC).
8. [Norme de GSTI 16.2] Le CNRC doit avoir une politique, des procédures et des normes pour assurer la protection des supports de TI pendant tout leur cycle de vie.
9. [Norme de GSTI 16.3] Le CNRC doit avoir une politique et des procédures relatives aux enquêtes sur le personnel pour s'assurer que les membres du personnel qui ont accès aux biens liés à la TI possèdent la cote de sécurité appropriée.
10. [Norme de GSTI 16.4.2] Le CNRC doit mettre en oeuvre des mesures d'identification et d'authentification qui permettent d'identifier chaque personne façon exclusive et sans équivoque.
11. [Norme de GSTI 16.4.3] Le CNRC doit mettre en oeuvre un processus de contrôle de l'accès pour que les utilisateurs ne puissent avoir accès qu'aux renseignements pour lesquels ils ont reçu une autorisation. Ce processus doit s'accompagner de procédures qui font en sorte que les utilisateurs ne puissent jamais accéder à des renseignements dont le degré de sensibilité est supérieur à la cote de sécurité qui leur a été attribuée.
12. [Norme de GSTI 16.4.4] Le CNRC doit disposer d'une politique et d'une technologie en vue de l'utilisation d'une technologie de cryptographie approuvée par le GC, au besoin.
13. [Norme de GSTI 16.4.6] Le CNRC doit élaborer une politique sur la division des réseaux en zones de sécurité et la mise en place de mesures de défense du périmètre graduées.
14. [Norme de GSTI 16.4.7] Le CNRC doit mettre en place des procédures et des mesures de protection techniques relatives à l'informatique mobile et au télétravail.
15. [Norme de GSTI 16.4.8] Le CNRC doit avoir une politique régissant l'utilisation des appareils sans fil dans ses lieux de travail.
16. [Norme de GSTI 17.0] L'architecture et les opérations de TI du CNRC doivent comprendre des outils et des processus (dont une fonction de journal de vérification de la sécurité) qui permettent une détection efficace des incidents.
17. [Norme de GSTI 18.0] Le CNRC doit avoir une bonne capacité de réaction aux incidents (y compris des employés qui possèdent un niveau décisionnel approprié) afin de détecter les incidents, de les classer selon leur priorité, d'y répondre et de les signaler, ainsi que d'assurer la reprise après sinistre et de mener une analyse postérieure à l'incident.
Contrôles de gestion
18. [Norme de GSTI 12.1] Le CNRC doit disposer d'un cycle chronologique d'élaboration des systèmes (CCES) relatif à la TI qui tienne clairement compte des exigences de sécurité des TI à chaque stade du cycle de vie.
19. [Norme de GSTI 12.2] Le CNRC doit avoir une méthode documentée lui permettant de déterminer la sensibilité de ses biens de TI, ainsi qu'un processus d'identification et de catégorisation de ces biens en fonction de leur sensibilité.
20. [Norme de GSTI 12.3] Le CCES du CNRC doit faire en sorte que les systèmes de TI soient accrédités par le responsable de l'accréditation approprié suivant une évaluation des menaces et des risques et un processus de certification approuvés.
21. [Norme de GSTI 12.5.1] Le CNRC doit disposer d'un processus d'évaluation de la vulnérabilité pour les systèmes très délicats ou assortis de risques importants.
22. [Norme de GSTI 12.5.2] Le CNRC doit mettre en place une politique et des procédures (y compris une piste de vérification vérifiable) relatives à l'examen et à l'application de correctifs de sécurité.
23. [Norme de GSTI 12.6] Le CNRC doit avoir une politique visant à faire en sorte qu'une personne ne détienne le contrôle complet d'un système de TI ou d'une importante fonction d'exécution.
24. [Norme de GSTI 12.7] Le CNRC doit disposer d'une politique et d'un processus pour faire en sorte qu'il respecte les exigences de sécurité des TI au cours de tous les processus de passation de marchés.
25. [Norme de GSTI 12.8] Le CNRC doit avoir un plan de continuité de la GI-TI afin de réduire au minimum l'interruption des services de TI essentiels.
26. [Norme de GSTI 12.9] Le CNRC doit avoir une politique documentée relative à l'imposition de sanctions en cas d'incidents reliées à la TI attribuables à une inconduite ou à de la négligence.
27. [Norme de GSTI 12.10] Le CNRC doit avoir une politique et un processus pour assurer la sécurité de l'information du CNRC transmise à d'autres organismes et reçue d'autres organismes.
28. [Norme de GSTI 12.11] Le CNRC doit avoir une politique en ce qui concerne l'autoévaluation annuelle de ses programmes de sécurité des TI et l'intégration des vérifications de la sécurité des TI aux programmes de vérification interne du CNRC.
29. [Norme de GSTI 12.12] Le CNRC doit disposer d'un programme permanent de sensibilisation à la sécurité, ainsi que d'une politique visant à faire en sorte que les membres du personnel ayant des responsabilités liées à la sécurité des TI reçoivent la formation spécialisée appropriée.

Annexe B : Critères de vérification relatifs aux politiques de sécurité des TI du CNRC

No Critère de vérification
Approche ministérielle de l'organisation de la sécurité des TI et contrôles de gestion
1. [Norme en matière d'organisation et de gestion du CNRC, Annexe B, 3.1.1]
Il incombe au DG de nommer un ASSI qui sera chargé de coordonner et de régler les questions de sécurité des TI.
Mesures de protection techniques et opérationnelles
2. [Norme en matière d'organisation et de gestion du CNRC, 6.1.1]
Les exigences de confidentialité, d'intégrité et de disponibilité de chaque SI seront consignées dans un Énoncé de nature délicate.
3. [Norme en matière d'organisation et de gestion du CNRC, 6.1.2]
On procèdera à une EMR de tout système central et de tout autre système essentiel à ses activités.
4. [Norme en matière d'organisation et de gestion du CNRC, 6.1.3]
Un plan de sécurité des systèmes d'information doit être établi et maintenu relativement à chaque système administratif essentiel.
5. [Norme en matière d'organisation et de gestion du CNRC, 6.1.4]
L'autorité responsable accréditera chaque système administratif essentiel.
6. [PPI du CNRC, Énoncé de politique, 7.5]
Les mesures de sécurité des systèmes doivent être proportionnées aux niveaux de sécurité de l'information et des biens visés et tenir compte des menaces et des vulnérabilités identifiées.
7. [Norme de sécurité des télécommunications, Annexe A]
2. L'inventaire de la gestion du changement doit englober toute l'information concernant le matériel de communication et de réseau, les logiciels, les services et les données.
3. Dans la gestion de la configuration, on doit prendre en compte tout changement dont l'effet sur le système est permanent ou semi-permanent.
  • 3.1 Le processus de contrôle des changements doit comporter des mécanismes permettant d'accomplir les fonctions suivantes : demandes de changements, enregistrement et suivi des demandes en suspens, approbation des demandes, essai et acceptation des changements, et intégration des changements et notification des changements aux utilisateurs.
8. [Protection de l'information – Norme d'exploitation, Annexe C]
2. La classification ou la désignation de sécurité que l'on attribue aux supports de TI est effectuée en fonction de l'information la plus sensible qu'ils contiennent.
3. Il faut emballer et transporter les supports de TI, et transmettre les données qu'ils contiennent en les protégeant contre les risques de manipulation brutale, d'altération, de compromission et contre les conditions extrêmes du milieu (chaleur, froid et humidité). 4. Avant de sortir les supports de TI de leur milieu pour les réutiliser, les entretenir ou les éliminer, il faut les soumettre à un nettoyage approprié.
9. [Norme de contrôle d'accès, 5.2] Les I/D/P doivent s'assurer que l'accès aux systèmes, aux réseaux et aux données de TI n'est permis qu'à ceux qui détiennent l'autorisation appropriée. Cette autorisation est délivrée en fonction de l'attestation de sécurité de la personne, ainsi qu'à son « besoin de connaître ».
10. [Norme de contrôle d'accès, 5.4]
Afin d'éviter toute usurpation d'identité, les systèmes de TI doivent autant que possible authentifier tous les identificateurs des utilisateurs.
11. [Programme de protection de l'information, Annexe D, 3.1]
Tout module cryptographique utilisé pour chiffrer des données du CNRC doit être conforme aux normes décrites dans le document intitulé FIPS 140-1 ou 140-2, Security Requirements for Cryptographic Modules (Exigences de sécurité pour les modules cryptographiques).
12. [Norme de sécurité des télécommunications, 5.8] Il n'est généralement pas permis d'utiliser des modems locaux pour établir des connexions téléphoniques directes, exception faite pour les situations où l'on utilise des ordinateurs pour le télétravail.
13. [Norme de sécurité des télécommunications, 5.6]
Dans toutes les mises en oeuvre des technologies sans fil des RLE, on doit suivre un processus de gestion des risques en quatre étapes, expliqué dans la Norme en matière d'organisation et de gestion du CNRC, et on doit respecter la norme de sécurité fonctionnelle TI, définie à l'Annexe C.
14. [Protection de l'information – Norme d'exploitation, Annexe A, 2.1 et 2.2]
Il faut au minimum installer des outils de détection d'intrusion gérés par le réseau et les configurer pour qu'ils surveillent toutes les connexions à Internet.
Il faut au minimum installer des outils de détection d'intrusion gérés par le système central et les configurer pour qu'ils surveillent les serveurs et les systèmes, qui sont des biens essentiels.
15. [Documents du CNRC] - Procédure en cas d'incident de sécurité en TI - Normes de l'Équipe d'intervention en cas d'incidents informatiques - Procédure d'enquête de sécurité en TI
Contrôles de gestion
16. [Norme en matière d'organisation et de gestion du CNRC, 6.1.1]
Les exigences de confidentialité, d'intégrité et de disponibilité de chaque SI seront consignées dans un Énoncé de nature délicate.
La méthodologie est décrite dans le Guide de gestion des risques en matière de sécurité relatif à la technologie de l'information, Annexe B – Analyse de sensibilité.
17. [Protection de l'information – Norme d'exploitation, 5.9] Une LVERS doit également être incluse lorsqu'il y a des exigences qui concernent la sécurité physique, la sécurité de la technologie de l'information ou la sécurité du personnel.
18. [Protection de l'information – Norme d'exploitation, 5.8] Tous les I/D/P sont responsables de la mise sur pied des plans de continuité de la GI et de la TI; ils doivent les étayer et les tester, et être prêts à les appliquer en tout temps. [... ] le plan de continuité de la technologie de l'information doit permettre d'assurer efficacement et dans un délai raisonnable le rétablissement des services essentiels.
19. [Politique régissant l'utilisation des ressources en TI du CNRC, 9] ... les employés du CNRC doivent savoir clairement que, s'ils violent volontairement et délibérément la présente politique, ils peuvent faire l'objet de mesures administratives ou disciplinaires pouvant aller jusqu'à la mise à pied.

Annexe C : Recommandations issues de l'examen externe de la sécurité des TI réalisé en 1999 et constatations de la vérification de 2007

Recommandation formulée dans le cadre de l'examen externe réalisé en 1999 Recommandation mise en oeuvre
1. Propriété, gouvernance et soutien des ressources de TI. La question de la propriété et de la gouvernance des ressources de TI concerne non seulement la sécurité des TI, mais aussi l'élaboration d'une architecture de TI générale. Toutes les personnes concernées doivent clairement savoir qui est « propriétaire » et responsable des différentes parties de l'infrastructure de TI (p. ex., les postes de travail, les serveurs, les RLE, les réseaux longue distance, etc.). On peut ainsi répartir la responsabilité liée à la sécurité de l'infrastructure de TI. On doit aussi clairement indiquer les règles qui régissent la façon dont les différents « propriétaires » interagissent. On doit, par exemple, décrire les règles que doit suivre le « propriétaire » d'un système lorsqu'il se connecte au réseau. Pour ce faire, les divers groupes de soutien technique en matière de TI répartis dans tout le CNRC devront travailler en collaboration. Oui
2. Définition d'une politique de sécurité des TI au CNRC. Le CNRC ne dispose actuellement d'aucune politique définie en matière de sécurité des TI. La mise en oeuvre d'un programme de sécurité des TI nécessite l'élaboration d'une politique de soutien de haut niveau décrivant les objectifs, les stratégies et les règles visant à régir ce programme. Cette politique de sécurité des TI doit dériver des objectifs opérationnels et des stratégies d'affaires du CNRC, et y être directement liée. Oui
3. Rôles et responsabilités en matière de sécurité des TI. On doit définir et officialiser les rôles et les responsabilités entourant la sécurité des TI au CNRC. Il est nécessaire de déterminer la structure organisationnelle générale en matière de sécurité des TI au CNRC, ainsi que de définir et d'attribuer les rôles et les responsabilités du personnel des divers paliers de l'organisme (CNRC, institut ou direction, système, etc.). On doit au minimum assigner les responsabilités liées à la sécurité des TI à une personne pour chaque ressource de TI du CNRC, et cette personne doit obtenir les ressources, le pouvoir et le mandat lui permettant d'exercer ses responsabilités. Oui
4. Élaboration d'un plan de classification des données. Le CNRC détient des données de nature délicate, mais il ne dispose d'aucun plan lui permettant de désigner et de classifier ces données, comme l'exige la PGS. Les données de nature délicate doivent être désignées et marquées, et des mesures de protection doivent être mises en oeuvre pour protéger adéquatement l'information. Oui
5. Élimination éventuelle des administrateurs de systèmes à temps partiel. La présence d'administrateurs de systèmes à temps partiel, en particulier pour ce qui est des systèmes serveurs, constitue une préoccupation. Ces administrateurs n'ont souvent pas le temps ou les compétences nécessaires pour bien gérer ou protéger les systèmes dont ils sont responsables. En conséquence, leurs systèmes sont fréquemment les systèmes les plus vulnérables, car la sécurité est souvent ce qu'on met de côté en premier lorsqu'on est pressé (mentalité du « occupez-vous de faire fonctionner le système, on se préoccupera de la sécurité plus tard » ). Oui
6. Ajout de personnel de soutien au réseau du CNRC. Le personnel nécessaire à la bonne gestion de l'infrastructure du réseau du CNRC est actuellement insuffisant. Par conséquent, la planification, la surveillance et l'entretien du réseau font défaut, car les ressources, au maximum de leurs capacités, arrivent tout juste à le faire fonctionner ( « lutte contre les incendies » ). Un certain nombre d'emplacements ont fait remarquer qu'ils avisent normalement le personnel d'exploitation du réseau lorsque des segments du réseau sont en panne, au lieu de se faire informer du problème. La protection de l'infrastructure du réseau est simplement un élargissement de principes sensés de gestion de réseau. S'il manque de personnel pour soutenir les principales fonctions de gestion du réseau, il en manquera de toute évidence pour assurer la sécurité du réseau. Oui
7. Accès par les personnes autres que les employés du CNRC. Les recommandations contenues dans le rapport du CNRC sur l'acc\xC3\xA8s au réseau par des personnes autres que les employés du CNRC doivent être prises en considération dans le cadre de la mise en oeuvre d'un programme de sécurité des TI au CNRC. Oui
8. Élaboration et mise en oeuvre d'un programme de sécurité des TI. On doit élaborer et mettre en oeuvre un programme de sécurité des TI au CNRC. On doit planifier et mener les activités principales suivantes :
  • élaboration de politiques de sécurité au CNRC;
  • détermination des biens devant être protégés (c.-à-d., quels sont les systèmes, les données, les services, etc., qui sont importants);
  • exécution d'une analyse des risques de haut niveau pour ce qui est des biens visés;
  • élaboration d'une architecture de sécurité des TI et détermination des mesures de protection requises pour protéger les biens essentiels;
  • mise en oeuvre des mesures de protection;
  • évaluation périodique des mesures de protection, vérification de la conformité en matière de sécurité, surveillance continue de la sécurité des systèmes, des vulnérabilités, des menaces, etc.;
  • mise en oeuvre d'un programme de sensibilisation à la sécurité;
  • traitement des incidents.
Oui
9. Formation sur la sécurité des TI. On doit offrir de la formation sur la sécurité des TI aux membres du personnel qui sont responsables de la sécurité des TI. Cette formation pourrait prendre la forme de cours de formation en cours d'emploi ou de cours donnés par des entreprises externes. L'organisme central responsable de la sécurité des TI devrait assurer la coordination et le suivi de cette formation. Oui
10. Définition et contrôle du périmètre électronique. À l'heure actuelle, le réseau du CNRC ne dispose d'aucun périmètre électronique établi, la majeure partie de l'infrastructure du réseau étant simplement un prolongement d'Internet. Un périmètre est nécessaire pour séparer l'information destinée au public de l'information confidentielle, de même que pour contrôler l'accès entre ces deux domaines. Le but premier de l'établissement d'un périmètre est de gérer l'accès externe à l'information du CNRC et aux ressources de TI. Le public, les collaborateurs, les entrepreneurs et les employés du CNRC ne devraient avoir qu'un accès externe aux ressources de TI du CNRC dont ils ont besoin, ni plus, ni moins. Oui
11. Séparation des données, des systèmes et des services. L'infrastructure de TI du CNRC devrait séparer les systèmes en fonction de l'information qu'ils contiennent, des services qu'ils offrent et des personnes qui ont besoin d'y accéder. Oui
12. Protection de l'information sur le réseau fédérateur du CNRC. À l'heure actuelle, le CNRC se sert du réseau CA*net II comme réseau fédérateur entre ses emplacements régionaux. Toute l'information, généralement transmise « en clair », circule entre les emplacements grâce à ce réseau fédérateur semi-public. Cette information est donc sujette au « repérage d'erreurs » de réseau et risque d'être compromise pendant sa circulation entre les emplacements du CNRC. On doit évaluer la sensibilité de l'information et déterminer si des mesures de protection (p. ex., le chiffrement) sont nécessaires. Plus particulièrement, un réseau privé virtuel (RPV) chiffré entre les emplacements régionaux du CNRC pourrait être approprié. Oui
13. Mise en oeuvre éventuelle d'un système de détection d'intrusion dans le réseau. On doit envisager la mise en oeuvre d'un système de détection d'intrusion dans le réseau relativement aux principales connexions de réseau. Indépendamment de la qualité des mesures de protection de l'infrastructure de TI du CNRC, la détection d'intrusion est « l'avertisseur anti-vol » qui annonce une attaque et permet de réagir rapidement. Au départ, cette capacité devrait se concentrer sur les points d'accès externes pour contrer la menace externe. Selon les exigences, cette capacité pourrait ensuite être élargie de manière à englober des secteurs internes importants ou être combinée à des systèmes de surveillance des intrusions gérés par le système central relativement aux systèmes essentiels (afin de contrer la menace interne). En cours
14. Protection des données et des fichiers individuels. Les membres du personnel du CNRC échangent de l'information avec d'autres personnes, à l'échelle mondiale. Une partie de cette information est de nature délicate et nécessite une protection appropriée (p. ex., le chiffrement). De plus, le gouvernement canadien procède actuellement à la mise en oeuvre d'une infrastructure à clé publique pour la protection et le partage de l'information entre les ministères. Bien que l'on puisse se servir de cette infrastructure pour répondre aux exigences internes et intraministérielles du CNRC, de nombreux collaborateurs et clients exigent des communications protégées avec le personnel ou les services du CNRC (p. ex., l'ICIST). On doit mettre en place des mesures de protection pour assurer la protection des fichiers et des courriels. Non
15. Mise en oeuvre d'un programme de gestion de la configuration des ressources de TI importantes. Un certain nombre de ressources de TI, y compris l'infrastructure du réseau du CNRC et d'importants systèmes publics et administratifs, sont indispensables au fonctionnement du CNRC. Un programme de gestion de la configuration doit être mis en oeuvre pour gérer ces systèmes, y compris un processus officiel permettant de les modifier, de les mettre en ligne, etc. Il sera plus facile de satisfaire aux exigences de sécurité des TI si ces systèmes font l'objet d'un contrôle officiel. Par exemple, l'étude de questions de sécurité des TI pourrait faire partie du processus de changement de système, on pourrait exiger que des tests de vérification soient effectués avant d'activer un système en vue de la production, etc. Si l'on ne gère pas activement la configuration des systèmes, on ne peut pas assurer leur sécurité. Oui
16. Élaboration d'un plan de continuité des opérations. On doit élaborer et mettre en oeuvre un plan de continuité des opérations pour ce qui est des ressources de TI qui sont essentielles aux opérations du CNRC. Ce plan doit au minimum porter sur le réseau du CNRC lui-même (y compris la connectabilité externe), sur Sigma, sur les systèmes de soutien opérationnel importants et sur les ressources de TI publiques importantes signalées à la section 3.2.2. En cours
17. Accès à distance. L'accès aux ressources du CNRC à distance doit passer de protocoles non protégés à des protocoles protégés qui comportent un solide processus d'identification et d'authentification et qui chiffrent les données circulant entre les systèmes. Par exemple, on doit éliminer l'utilisation de protocoles non protégés comme Telnet, X et rlogin permettant d'accéder aux systèmes du CNRC à distance, et remplacer ces protocoles par des protocoles protégés comme SSH. Oui
18. Intégration de la sécurité des TI dans le cycle de vie des systèmes. La sécurité des TI doit être intégrée au cycle de vie de l'infrastructure de TI, des systèmes et des logiciels du CNRC. Cela comprend la conception, l'élaboration, l'approvisionnement, la mise en oeuvre, l'exploitation et la désactivation. La sécurité des TI doit simplement devenir un autre volet important des activités du CNRC; elle ne doit pas être considérée comme quelque chose que l'on ajoute à un système au moment où ce système est prêt à être déployé. Si l'on tient compte immédiatement des exigences de sécurité des TI, on pourra économiser des sommes importantes à long terme. Oui
19. Sécurité et surveillance des systèmes. Il faut améliorer la sécurité des systèmes individuels. On doit offrir des conseils et de la formation aux administrateurs de systèmes sur la façon d'assurer, d'entretenir et de surveiller la sécurité de leurs systèmes. Une analyse régulière des vulnérabilités effectuée à l'aide d'outils commerciaux de pointe aidera à repérer les faiblesses des systèmes. En raison des connaissances spécialisées requises pour utiliser ces outils, il serait peut-être préférable que ce service soit offert par l'organisme central responsable de la sécurité des TI du CNRC. Finalement, non seulement la protection des systèmes individuels permet de contrer la menace interne, mais elle fournit aussi un deuxième moyen de « défense » en cas d'atteinte au périmètre électronique. Oui
20. Protection et disponibilité du réseau du CNRC. Certains secteurs du CNRC dépendent du réseau du CNRC et, plus particulièrement, de sa connectabilité externe, pour gagner de l'argent (p. ex., l'ICIST). On doit conclure des ententes appropriées concernant le niveau de service devant être offert par le réseau du CNRC pour appuyer ces activités (p. ex., exigences en matière d'intégrité et de disponibilité. Mise en oeuvre partielle. Les instituts ont besoin d'énoncés de nature délicate détaillés pour déterminer de façon concluante si les mesures de protection correspondent à la sensibilité de leurs systèmes.

Annexe D : Plans d'action de la gestion

Recommandations
de la vérification
Plan d'action
de gestion correctif
Date d'achèvement prévue Dirigeants du CNRC responsables
1. Afin d'améliorer la surveillance de la TI, les cadres supérieurs du CNRC devraient désigner un coordonnateur de la sécurité des TI au CNRC, qui serait responsable de la sécurité des TI dans tout l'organisme et qui aurait autorité en la matière. Nomination d'un coordonnateur de la sécurité des TI après consultation avec le Comité de la haute direction (CHD). juin 2007 V.-P., Services corporatifs
Le rôle de coordonnateur de la sécurité des TI devra être appuyé par une solide structure de gouvernance en matière de GI-TI en général et par un robuste cadre de gouvernance de la sécurité de l'information en particulier. On se penchera sur la question de la gouvernance en matière de GI-TI dans le cadre d'une étude que le CNRC a déjà amorcée, c'est-à-dire un examen complet de la GI-TI visant à étudier le modèle actuel de prestation de services de TI et à déterminer la façon dont le CNRC pourrait améliorer l'efficacité et les rapports coût-efficacité dans ce domaine. Janvier 2008
2. Afin de renforcer la gestion du risque en matière de sécurité des TI, le CNRC devrait : a) définir ce qu'il entend par « centraux » et par « essentiels » en ce qui concerne les systèmes; La politique et la norme en matière de GI-TI sont revues tous les deux ans dans le cadre du cycle de vie de cette politique. Toutes les politiques et normes en matière de sécurité des TI feront l'objet d'un examen complet entre juillet et septembre 2007. On ajoutera les termes « centraux » et « essentiels » au glossaire de GI-TI du CNRC, et on élaborera des définitions appropriées au cours de l'examen des politiques.
Septembre 2007 V.-P., Services corporatifs
b) préciser la sensibilité de tous ses systèmes de TI et documenter les justifications ou les critères servant à les désigner comme des systèmes centraux ou essentiels; Une fois que les termes « centraux » et essentiels » auront été définis, tous les systèmes des instituts seront examinés et décrits de façon appropriée. Le coordonnateur de la sécurité des TI du CNRC sera responsable de veiller à ce que tous les instituts, directions et programmes définissent leurs systèmes comme étant « centraux » et « essentiels » et qu'ils procèdent à une analyse des risques appropriée.
Mars 2008 Chefs des I/D/P Coordonnateur de la sécurité des TI du CNRC
c) mener d'autres activités précises de gestion des risques, comme des évaluations suffisamment rigoureuses des menaces et des risques, et des activités de certification et d'accréditation de tous les systèmes essentiels, comme l'exigent les politiques du CNRC et la norme de GSTI. Tous les systèmes définis comme étant « centraux » et « essentiels » feront l'objet d'une analyse des menaces et des risques, ainsi que d'une certification et d'une accréditation complètes. Le coordonnateur de la sécurité des TI du CNRC sera responsable de veiller à ce que tous les instituts, directions et programmes définissent leurs systèmes comme étant « centraux » et « essentiels » et qu'ils procèdent à une analyse des risques appropriée. Mars 2008 Chefs des I/D/P Coordonnateur de la sécurité des TI du CNRC
3. Le CNRC devrait élaborer un plan de continuité des opérations à l'échelle de l'organisation relativement à la sécurité des TI. Le directeur général de la Direction des services administratifs et de la gestion de l'immobilier a amorcé une analyse des répercussions sur les opérations à l'échelle du CNRC afin d'examiner les fonctions administratives du CNRC et les effets que peuvent avoir sur elles des risques précis. Cette analyse constitue une première étape cruciale de la préparation d'un plan de continuité des opérations à l'intention du CNRC. Ce travail sera achevé au plus tard en mars 2008, date à laquelle on pourra élaborer un plan de projet plus détaillé visant à répondre aux exigences du CNRC en matière de continuité des opérations, y compris celles qui ont une incidence sur la sécurité des TI. Mars 2008 V.-P., Services corporatifs
4. Le CNRC devrait élaborer une politique sur l'accès à distance ayant comme objectif d'éliminer l'utilisation de protocoles non protégés, de réduire l'éventail des protocoles utilisés et de renforcer la sécurité de l'accès à distance pour les télétravailleurs. Les services d'accès à distance feront l'objet d'un examen dans le cadre de l'étude sur la GI et la TI. Une fois que cette étude sera terminée, des directives seront élaborées et mises en oeuvre pour régler la question de l'accès à distance au CNRC. Décembre 2008 V.-P., Services corporatifs
5. La direction devrait examiner les coûts, les avantages et la faisabilité éventuels entourant la centralisation des services de gestion des biens, de stockage, d'accès à distance, de protection antivirus et de gestion du changement, actuellement offerts par les instituts. Un examen complet de la GI-TI a été amorcé pour étudier le modèle actuel de prestation de services de TI et pour déterminer la façon dont le CNRC pourrait améliorer l'efficacité et les rapports coûts-efficacité dans ce domaine. Les services signalés dans la présente recommandation sont tous abordés dans le cadre de cet examen et les avantages liés à la centralisation des principaux services de TI seront aussi étudiés. Janvier 2008 V.-P., Services corporatifs

Annexe E : Glossaire

Liste des abréviations

API – Agent principal de l'information

ASSI – Agent de sécurité des systèmes d'information

CHC – Centre d'hydraulique canadien

CHD – Comité de la haute direction

CPI – Centre de protection de l'information

DSD – Direction de la stratégie et du développement

DSGI – Direction des services de gestion de l'information

EMR – Évaluation des menaces et des risques

END – Énoncé de la nature délicate

GI – Gestion de l'information

GSTI – Norme de gestion de la sécurité des technologies de l'information

I/D/P – Instituts, direction et programmes

IBD – Institut du biodiagnostic

IBM – Institut des biosciences marines

IBP – Institut de biotechnologie des plantes

ICIST – Institut canadien de l'information scientifique et technique

IENM – Institut des étalons nationaux de mesure

IHA – Institut Herzberg d'astrophysique

IIPC – Institut d'innovation en piles à combustible

IMI – Institut des matériaux industriels

INNT – Institut national de nanotechnologie

IRA – Institut de recherche aérospatiale

IRB – Institut de recherche en biotechnologie

IRC – Institut de recherche en construction

ISB – Institut des sciences biologiques

ISM – Institut des sciences des microstructures

ISSM – Institut Steacie des sciences moléculaires

ITFI – Institut des technologies de fabrication intégrée

ITI – Institut de technologie de l'information

ITO – Institut des technologies océaniques

ITPCE – Institut de technologie des procédés chimiques et de l'environnement

PARI – Programme d'aide à la recherche industrielle

PGS – Politique du gouvernement sur la sécurité

SAGI – Services administratifs et gestion de l'immobilier

SCT – Secrétariat du Conseil du Trésor

Note de bas de page

Note de bas de page 1

Une équipe de spécialistes de la TI reconnus et agréés est venue s'ajouter à l'équipe de vérification du CNRC pour procéder à la vérification.

Retour à la référence de la note de bas de page1referrer

Date de modification :