Vérification de la sécurité des technologies de l’information

Bureau de la vérification et de l'évaluation d'Agriculture et Agroalimentaire Canada (AAC), 4 février 2015

Direction générale de la vérification et de l'évaluation de l'Agence canadienne d'inspection des aliments (ACIA), 29 mai 2015


Résumé

Agriculture et Agroalimentaire Canada (AAC) et l'Agence canadienne d'inspection des aliments (ACIA) gèrent des renseignements numériques de nature délicate, et la sécurité des technologies de l'information (TI) représente désormais une préoccupation de taille étant donné le caractère de plus en plus complexe et fréquent des menaces qui pèsent sur les TI ainsi que les attentes toujours grandissantes d'un public de plus en plus conscient de ces menaces quant à la protection de ses renseignements par les organisations. Les environnements opérationnels d'AAC et de l'ACIA posent des défis dans une optique de sécurité des TI étant donné leur nature décentralisée qui repose sur des opérations régionales à l'échelle du pays. De plus, les TI et les environnements opérationnels d'AAC et de l'ACIA font actuellement l'objet d'un renouvellement et de transformations.

AAC et l'ACIA ont été touchés par la création de Services partagés Canada (SPC) et par le regroupement des services liés à l'infrastructure des TI du gouvernement fédéral qui en a découlé. À l'été 2011, les services ayant trait à l'infrastructure des TI dont se chargeaient officiellement AAC et l'ACIA auparavant ont été transférés à SPC. Ce regroupement comprenait la surveillance des dispositifs de détection des menaces à la sécurité liés aux infrastructures des TI et la transition du personnel d'AAC et l'ACIA qui se chargeait de l'exécution de ces services.

La gestion de la sécurité des TI a été et demeure une priorité absolue pour AAC, l'ACIA et SPC.

La vérification comprenait un examen des processus et contrôles en place à AAC et à l'ACIA pour superviser et régir les services liés à la sécurité des TI fournis par SPC.

La Direction générale des systèmes d'information (DGSI) d'AAC et la Direction générale de la gestion de l'information et de la technologie de l'information (DGGITI) de l'ACIA relèvent de la même personne qui occupe deux postes : celui de sous-ministre adjoint (SMA), DGSI, AAC et de vice-président, DGGITI, ACIA. AAC représente un tiers fournisseur de services pour l'ACIA pour l'approvisionnement des systèmes de TI, y compris les systèmes des finances et des ressources humaines de l'organisation. Compte tenu de l'interdépendance de leurs environnements opérationnels et de ce qui précède, ainsi que des similitudes au chapitre des enjeux éventuels touchant la sécurité des TI, AAC et l'ACIA ont jugé qu'une vérification mixte de la sécurité des TI était avantageuse.

À titre d'entités du gouvernement fédéral, AAC et l'ACIA sont tenus de respecter les exigences de base en matière de sécurité du Conseil du Trésor énoncées dans la Politique sur la sécurité du gouvernement (PSG), ainsi que toutes les directives, normes et orientations connexes.

La vérification de la sécurité des TI faisait partie du Plan de vérification axé sur les risques 2013-2016 d'AAC et du Plan de vérification axé sur les risques 2013-2016 de l'ACIA. Puisqu'on a jugé que la sécurité des TI posait un risque important, l'objectif de la vérification consistait à fournir l'assurance qu'AAC et l'ACIA disposent de mesures de contrôle appropriées pour leurs systèmes de TI relativement à la sécurité des TI et que ces mesures sont efficaces et efficientes. La vérification portait sur les processus courants en place en ce qui a trait à la sécurité des TI à AAC et à l'ACIA, et comportait un sondage de vérification visant l'exercice 2013-2014.

Comme indiqué tout au long du rapport, AAC et l'ACIA ont adopté un certain nombre de mesures positives liées à la sécurité des TI. Il n'en demeure pas moins que la vérification a permis de cerner des lacunes dans le cadre actuel de contrôle de la sécurité des TI. Pour corriger ces lacunes, il est possible d'améliorer les choses sur les plans de la gouvernance de la sécurité des TI, de la gestion des risques liés à la sécurité des TI, des contrôles de sécurité ayant trait aux tiers fournisseurs de services, de la gestion des renseignements numériques de nature délicate, de la sécurité matérielle des biens de TI, de l'évaluation des risques pour la sécurité des TI liés aux systèmes de TI et de la mise en œuvre de contrôles d'accès logique aux systèmes de TI. Le rapport de vérification contient un certain nombre de recommandations pour corriger les lacunes relevées. Bien que la vérification cible le cadre de contrôle de la gestion pour la sécurité des TI, aucune atteinte particulière à la sécurité n'a été observée.

1.0 Introduction

1.1 Contexte

  • 1.1.1 Pour toute organisation détenant des renseignements numériques de nature délicate comme Agriculture et Agroalimentaire Canada (AAC) et l'Agence canadienne d'inspection des aliments (ACIA), la sécurité des Technologie de l'information (TI) est devenue un sujet de préoccupation important. Cette situation est attribuable, d'une part, à la complexité croissante et à la prévalence des menaces et, d'autre part, à la sensibilisation et aux attentes accrues de la population à l'égard de la protection des renseignements personnels par les organisations. Les environnements opérationnels d'AAC et de l'ACIA sont difficiles à gérer dans une optique de sécurité des TI, car ils sont décentralisés et reposent sur des activités régionales à l'échelle du pays. De plus, les environnements de TI et les environnements opérationnels d'AAC et de l'ACIA font actuellement l'objet d'un renouvellement et de transformations.
  • 1.1.2 AAC et l'ACIA ont aussi été touchés de façon importante par la création de Services partagés Canada (SPC). À l'été 2011, les services ayant trait à l'infrastructure des TI dont se chargeaient officiellement AAC et l'ACIA ont été transférés à SPC, notamment la surveillance des dispositifs de détection des menaces à la sécurité liés aux infrastructures de TI. Ce changement comprenait aussi la transition du personnel d'AAC et de l'ACIA qui se chargeait de l'exécution de ces services.
  • 1.1.3 La Direction générale des systèmes d'information (DGSI) d'AAC et la Direction générale de la gestion de l'information et de la technologie de l'information (DGGITI) de l'ACIA relèvent de la même personne qui occupe deux postes : Sous-ministre adjoint, Direction général de la gestion intégrée (SMA DGSI) AAC et vice-président Direction générale de la gestion de l'information et de la technologie de l'information (DGGITI) ACIA. AAC représente un tiers fournisseur de services pour l'ACIA en ce qui a trait à la fourniture des systèmes de TI, y compris les systèmes des finances et des ressources humaines de l'organisation. Compte tenu de l'interdépendance de leurs environnements opérationnels et de ce qui précède, ainsi que des similitudes au chapitre des enjeux éventuels touchant la sécurité des TI, AAC et l'ACIA ont jugé qu'une vérification mixte de la sécurité des TI était avantageuse.
  • 1.1.4 À titre d'entités du gouvernement fédéral, AAC et l'ACIA sont tenus de respecter les exigences de base en matière de sécurité du Conseil du Trésor énoncées dans la Politique sur la sécurité du gouvernement (PSG), ainsi que toutes les directives, normes et orientations connexes. La sécurité des TI englobe la sécurité de tout équipement ou système utilisé pour l'acquisition, le stockage, la manipulation, la gestion, le déplacement, le contrôle, l'affichage, la commutation, les échanges, la transmission ou la réception automatiques de données ou d'information. Elle englobe aussi la conception, le développement, l'installation et la mise en œuvre de systèmes et d'applications informatiques visant à répondre à des besoins opérationnels.

Contexte particulier d'Agriculture et Agroalimentaire Canada

  • 1.1.5 AAC a élaboré un cadre du programme de sécurité des TI, notamment des politiques sur la sécurité des TI et des directives à l'intention des utilisateurs. Les rôles et les responsabilités de la haute direction à l'égard de la gouvernance de la sécurité des TI au sein d'AAC sont précisés dans la Politique sur la sécurité des TI, et un plan de sécurité ministérielle (PSM) a été élaboré. La responsabilité de la sécurité au sein du Ministère incombe à l'agent de sécurité du Ministère (ASM). L'ASM fait partie de la Direction générale de la gestion intégrée (DGGI) et signale les infractions probables à la sécurité ou les actes illégaux au sous-ministre par l'entremise du directeur général (DG), Gestion des biens et planification des immobilisations, et du sous-ministre adjoint (SMA) de la DGGI. L'ASM coordonne les questions de sécurité ministérielle ainsi que toutes les communications officielles sur la sécurité avec les divers organismes responsables. Le coordonnateur de la sécurité des technologies de l'information (CSTI) dirige l'équipe responsable de la gestion des risques pour la sécurité des TI (GRSTI). Le CSTI fait partie de la DGSI et a un rapport hiérarchique fonctionnel avec l'ASM. Il est chargé de fournir des conseils et de l'aide à l'ASM et au SMA de la DGSI dans la gestion du volet du programme de sécurité ministérielle lié à la sécurité ministérielle des TI.

Contexte particulier de l'Agence canadienne d'inspection des aliments

  • 1.1.6 L'ACIA a mis en œuvre un cadre du programme de sécurité des TI, notamment des politiques sur la sécurité des TI et un plan global de sécurité de l'Agence (PSA). La responsabilité du PSA a été déléguée à l'agent de sécurité de l'Agence (ASA). L'ASA est le directeur de la Direction de la gestion des biens et de la sécurité, Direction générale de la gestion intégrée. La Directive en matière de sécurité des TI de l'ACIA stipule qu'il incombe à l'ASM de surveiller la mise en œuvre des activités de sécurité au sein de l'Agence et de recommander des mesures correctives appropriées à l'administrateur général ou au comité de la haute direction (selon ce qui s'applique) en vue de corriger toute lacune. Le vice-président (V.-P.) DGGITI est chargé d'assurer la gestion efficace et efficiente de l'information et des biens de TI de l'Agence. Le coordonnateur de la sécurité des technologies de l'information de l'Agence est le directeur des Services de sécurité et de l'architecture des technologies de l'information, et fait partie de la DGGITI, et il relève du V.-P. DGGITI. Le coordonnateur de la sécurité des technologies de l'information (CSTI) est responsable de la mise sur pied et de la gestion du programme de sécurité des TI de l'ACIA, y compris l'élaboration d'un processus efficace pour gérer les incidents en matière de sécurité des TI et la promotion de la sécurité des TI au sein de l'Agence. Bien qu'il n'y ait pas de rapport hiérarchique direct entre l'ASA et le CSTI, il existe un lien fonctionnel par le biais des structures de gouvernance et d'une entente sur les services internes.

1.2 Objectif de la vérification

  • 1.2.1 La vérification de la sécurité des TI faisait partie du Plan de vérification axé sur les risques 2013-2016 d'AAC et de celui de l'ACIA. L'objectif de la vérification consistait à fournir l'assurance qu'AAC et l'ACIA ont mis en place des mesures de contrôle appropriées pour leurs systèmes de TI relativement à la sécurité des TI et que ces mesures sont efficaces et efficientes.

1.3 Portée de la vérification

  • 1.3.1 La vérification a porté sur les processus courants en place en ce qui a trait à la sécurité des TI dans les organisations, et comportait un sondage de vérification visant l'exercice 2013-2014.
  • 1.3.2 L'étape de planification de la vérification a consisté en des évaluations générales séparées des risques à la sécurité des TI pour AAC et l'ACIA. Des ateliers distincts sur les risques ont été offerts. Y ont participé des représentants de la sécurité des TI, du développement/soutien d'applications de TI, des services de sécurité du Ministère/de l'Agence, ainsi que de la gestion de programmes pour chaque organisation. Ces ateliers ont permis aux participants de valider l'évaluation des risques et de mieux y contribuer.
  • 1.3.3 En fonction de l'évaluation des risques, on a élaboré des secteurs d'intérêt pour la vérification, liés aux éléments suivants :
    • Une structure de gouvernance pour la sécurité des TI a été établie pour le Ministère/l'Agence, et ses relations avec les partenaires et les tiers.
    • Un processus officiel pour la gestion des renseignements de nature délicate est en place et il est appliqué de façon uniforme pour veiller à la classification, l'utilisation et la gestion appropriées des renseignements numériques de nature délicate.
    • Un processus officiel pour la gestion des risques relatifs à la sécurité des TI est en place et est appliqué pour les systèmes de TI.
    • L'accès logique aux systèmes est accordé seulement aux utilisateurs autorisés.
  • 1.3.4 Les activités de vérification ont été menées à l'administration centrale d'AAC et de l'ACIA à Ottawa et dans certains bureaux régionaux. Les activités de vérification ont porté sur les secteurs ayant des concentrations plus élevées de renseignements de nature délicate, comme prévu à l'étape de planification de la vérification. Les critères utilisés pour la vérification figurent à l'annexe A.
  • 1.3.5 La portée de l'activité de vérification liée aux services relevant de SPC était limitée aux processus et aux contrôles d'AAC et de l'ACIA en place pour superviser et régir ces services fournis par SPC.

1.4 Stratégie de vérification

  • 1.4.1 L'approche et la méthode utilisées pour la vérification étaient conformes aux normes de vérification interne présentées par l'Institute of Internal Auditors (IIA) et harmonisées avec la Politique sur la vérification interne du gouvernement du Canada (GC).
  • 1.4.2 Un programme de vérification fondé sur le risque a été mis au point et définissait les tâches de vérification permettant d'évaluer chaque critère de vérification. Les éléments probants de la vérification ont été recueillis à l'aide de différentes méthodes, notamment des entrevues, des observations, des analyses de données liées aux pratiques en matière de sécurité des TI et d'un examen des documents. La phase d'exécution de la vérification a débuté en mars 2014 et s'est achevée en juillet 2014.

1.5 Conclusion

  • 1.5.1 Le Bureau de la vérification et de l'évaluation (BVE) d'AAC et la Direction générale de la vérification et de l'évaluation (DGVE) de l'ACIA ont conclu qu'il existait des lacunes dans le cadre actuel de contrôle de la sécurité des TI. Pour corriger les lacunes qui posent le plus grand risque, il est possible d'améliorer les choses sur les plans de la gouvernance de la sécurité des TI, de la gestion du risque lié à la sécurité des TI, de l'évaluation du risque en matière de sécurité des TI ayant trait aux systèmes de TI, de l'identification et de la protection des renseignements numériques classifiés et protégés, et enfin, de la mise en œuvre des contrôles d'accès logique pour les systèmes de TI. Les lacunes comportant un risque plus modéré touchent l'officialisation des protocoles de sécurité ayant trait aux voyages, les contrôles de sécurité liés aux tiers fournisseurs de services et la sécurité matérielle des biens de TI.
  • 1.5.2 Étant donné que la vérification ciblait le cadre de contrôle de gestion de la sécurité des TI et non la détection des atteintes à la sécurité, aucune atteinte particulière à la sécurité n'a été relevée.
  • Les possibilités d'amélioration figurent à la section 2.0 du présent rapport.

1.6 Déclaration de conformité

  • 1.6.1 Selon l'opinion professionnelle des dirigeants principaux de la vérification, des procédures suffisantes et adéquates de vérification ont eu lieu et des preuves ont été recueillies pour étayer la justesse de la conclusion présentée et contenue dans ce rapport. La conclusion repose sur une comparaison des conditions en vigueur au moment de la vérification par rapport aux critères de vérification préétablis que la direction a approuvés. La conclusion s'applique seulement aux entités vérifiées.
  • 1.6.2 La vérification faisant l'objet du présent rapport est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité.

2.0 Observation détaillées, recommandations et réponses de la direction

  • 2.0.1 La présente section décrit les principales observations, fondées sur les éléments probants et l'analyse liée à la vérification, et recommande des améliorations.
  • 2.0.2 Les réponses de la direction fournissent les éléments suivants :
    • un plan d'action pour répondre à chaque recommandation;
    • un responsable principal de la mise en œuvre du plan d'action;
    • une date à laquelle la mise en œuvre du plan d'action devrait être achevée.

2.1 Gouvernance de la sécurité des technologies de l'information

  • 2.1.1 La vérification devait permettre de s'assurer qu'Agriculture et Agroalimentaire Canada (AAC) et l'Agence canadienne d'inspection des aliments (ACIA) disposent des cadres sur la sécurité des TI comportant une structure de gouvernance bien définie, notamment des rôles et responsabilités circonscrits par rapport à la relation d'AAC et de l'ACIA avec Services partagés Canada (SPC).
  • 2.1.2 Du point de vue de la gouvernance, les rôles et responsabilités entre AAC/l'ACIA et SPC liés à la sécurité des TI ne sont pas toujours très clairs et n'ont pas encore été totalement définis à un niveau opérationnel. On en trouve des indications dans un certain nombre d'exemples, dont les suivants :
    • Les activités d'évaluation de la sécurité et d'autorisation (ESA) d'AAC, notamment l'évaluation des menaces et des risques (EMR) et l'évaluation de la vulnérabilité technique (EVT), cernent les risques liés aux applications qui relèvent d'AAC/de l'ACIA par opposition aux risques liés à l'infrastructure qui relèvent de SPC. Il y a pas de mécanisme en place pour AAC / ACIA d'informer ou de recevoir de accusé de réception de SPC concernant les risques identifiés liés à l'infrastructure.
    • Même si la propriété des grands centres de données a été transférée à SPC, il incombe toujours à AAC et à l'ACIA de fournir l'accès à certains de ces lieux, et dans certains cas, SPC a demandé à AAC et à l'ACIA de mettre à jour la liste d'accès. Le personnel d'AAC et de l'ACIA continue de se charger de quelques-uns des centres de données de moindre envergure dans les régions. Dans certains cas, les employés d'AAC et de l'ACIA ne savaient pas au juste quel était leur rôle par rapport à ces centres de données, car l'équipement de l'infrastructure des TI dans ces centres de données appartient à SPC.
    • SPC dispose d'un accès administratif aux serveurs qui contiennent les données d'AAC et de l'ACIA, notamment les fichiers partagés sur les disques de réseau d'AAC et de l'ACIA, et il n'existe aucun mécanisme en bonne et due forme entre SPC et AAC pour examiner cet accès ou en faire le suivi.
    • Certaines activités, par exemple les sauvegardes sur bande, qui incombent dorénavant à SPC, sont toujours exécutées dans certaines régions par le personnel d'AAC et de l'ACIA. Dans une situation de ce genre, les sauvegardes sur bande sont conservées sur place pour une année, puis transférées de l'autre côté de la rue vers un lieu différent, ce qui ne constitue pas une pratique exemplaire, car elle augmente le risque de perdre des données si un incident, par exemple un désastre local, se produisait.
    • En ce qui concerne AAC, il existe un plan de transition pour que le Ministère puisse assumer à nouveau la responsabilité du logiciel antivirus pris en charge par SPC à l'heure actuelle. Entre-temps, bien qu'AAC soit mis au courant des incidents, le Ministère n'a reçu aucun rapport de la part de SPC sur les tendances, ni aucune analyse liée aux activités antivirus. En ce qui a trait à l'ACIA, l'employé qui se chargeait du système antivirus a été muté à SPC et le personnel de l'ACIA n'est pas au courant des activités qu'on mène à cet égard à l'heure actuelle.
    • Dans le cas d'AAC, il existe un équipement d'infrastructure des TI dans les laboratoires de recherche, installé par le personnel de la Direction générale des systèmes d'information (DGSI) au laboratoire qu'AAC considère désormais du ressort de SPC, sans toutefois que SPC ait été mis au courant. Cet équipement comprend de l'équipement d'un système de réseau sans fil en vente libre, acheté il y a 15 ans.

Constatations propres à Agriculture et Agroalimentaire Canada

  • 2.1.3 AAC a un cadre bien défini de gouvernance de la sécurité des TI qui comporte des niveaux appropriés de gestion et de représentation à l'échelle de tout le Ministère. Les mandats et rôles des organismes de surveillance de la sécurité des TI correspondent aux pratiques dominantes et les principaux intervenants au sein du Ministère en comprennent bien la teneur; de plus, ces organismes de gouvernance tiennent régulièrement des réunions. Voici les principaux comités de gouvernance de la sécurité des TI :
    • Comité de gestion de la sécurité ministérielle (CGSM);
    • Comité directeur de la sécurité et des identités (CDSI);
    • Groupe de travail sur la sécurité des TI (GTSTI).
  • 2.1.4 Les mandats du CGSM et du CDSI n'ont pas été mis à jour depuis 2010 et par conséquent, ne tiennent pas compte du rôle de SPC. Il n'existe pas de document sur les mandats en bonne et due forme concernant le GTSTI, mais on trouve la description du mandat et la composition de ce groupe de travail dans le plan de sécurité ministérielle d'AAC datant de février 2012. Le Plan de sécurité ministérielle prévoit une représentation substantielle de SPC dans la composition du GTSTI. On observe que durant la période de vérification, un seul représentant de SPC a participé à quatre des sept réunions de ce groupe de travail, et aucun représentant de SPC n'était présent aux trois autres réunions. SPC a été mentionné directement dans le procès-verbal et les comptes rendus de décisions dans seulement deux des sept réunions du GTSTI.

Constatations propres à l'Agence canadienne d'inspection des aliments

  • 2.1.5 L'ACIA a mis sur pied le Comité de gestion du programme de sécurité (CGPS), un comité consultatif et de révision qui rend compte de ses activités par le truchement de la structure de gouvernance de l'Agence, et qui a pour mission de contribuer à la planification et à la mise en œuvre du Plan de sécurité de l'Agence (PSA). Même si les membres du CGPS devraient se rencontrer sur une base trimestrielle, ils ne se sont rencontrés que deux fois durant l'exercice 2013-2014 en raison du roulement de personnel à l'échelon des agents de sécurité de l'Agence. SPC n'a pas été directement mentionné dans le procès-verbal de ces deux réunions. L'Agence ne dispose pas d'un groupe de travail plus opérationnel axé sur la sécurité des TI.
  • 2.1.6 Étant donné le manque de tribunes où aborder les questions de sécurité des TI, cet aspect ne jouit pas d'une très bonne visibilité dans le contexte des pratiques actuelles liées à la sécurité des TI à l'ACIA dans les secteurs de la Direction générale des sciences ou de la Direction générale des opérations. De plus, la responsabilité pour l'achat et l'entretien de ces systèmes devait passer de la Direction générale des sciences à la Direction générale de la gestion de l'information et de la technologie de l'information (DGGITI), mais ce transfert n'a pas eu lieu. Certains laboratoires ont des réseaux séparés sensiblement élaborés (par exemple jusqu'à 50 ordinateurs et un seul serveur) et des logiciels exclusifs.

2.1.7 Recommandations

  • AAC 1 - Le sous-ministre adjoint (SMA) Direction générale des systèmes d'information (DGSI), en collaboration avec le SMA Direction générale de la gestion intégrée (DGGI), doit veiller à ce qu'AAC définisse plus clairement les rôles et responsabilités dévolus au Ministère et à SPC en ce qui a trait à la sécurité des TI, et dans le cadre de ce processus, mettre à jour et officialiser les mandats des comités de gouvernance relatifs à la sécurité des TI.
  • AAC 1
    Réponse de la direction : recommandation acceptée.
  • Plan d'action :
    1.1 Le DG de la Direction de la gestion stratégique (DGS), DGSI, en collaboration avec le DG compétent de Services partagés Canada (SPC), examinera et documentera les rôles et les responsabilités en matière de sécurité des TI.
  • Date d'achèvement prévue :
    30 juin 2015
  • 1.2 ISB DG SMD, in collaboration Corporate Management Branch (CMB) DG Asset Management and Capital Planning (AMCP), will update, formalize and obtain approval of the Terms of Reference for IT Security related governance committees in alignment with the action plan #1.1 to include appropriate SSC involvement.
  • Date d'achèvement prévue :
    30 septembre 2015
  • Le DG de la DGS, DGSI, en collaboration avec le DG de la Gestion des biens et de la planification des immobilisations (GBPI), DGGI, mettra à jour et officialisera le mandat des comités de gouvernance pour la sécurité des TI et le fera approuver, conformément au point 1.1 du plan d'action, afin d'inclure la participation appropriée de SPC.
  • ACIA 1- Le vice-président, DGGITI, en collaboration avec le vice-président, DGGI, doit s'assurer que le cadre de gouvernance de la sécurité des TI est renforcé au moyen d'un comité de gestion du programme de sécurité (CGPS) renouvelé. L'ACIA devrait soit tabler sur un comité existant au niveau opérationnel ou mettre sur pied un nouveau comité pour s'assurer que l'on dispose d'un forum de discussion sur les questions liées à la sécurité des TI, sur une base plus tactique et qui favorise la collaboration entre le secteur de la sécurité des TI et des secteurs tels que la Direction générale des sciences ou la Direction générale des opérations, ainsi qu'avec SPC. Cela suppose qu'à l'ACIA, on définisse mieux les rôles et responsabilités dévolus à l'Agence et à SPC en ce qui a trait à la sécurité des TI.
  • ACIA 1
    Réponse de la direction : La direction accepte la recommandation.
  • Plan d'action :
    1.1 La direction créera un cadre de gouvernance de la sécurité des TI qui précisera comment la sécurité des TI sera régie en faisant appel à des comités de gouvernance existants et cherchera des occasions de mettre à contribution des intervenants compétents d'autres comités, comme le Comité de gestion de la sécurité des programmes, auquel participent d'autres directions générales.
  • Date d'achèvement prévue :
    mars 2016
  • 1.2 La gouvernance interne de la DGGITI sera renforcée pour que la sécurité des TI soit prise en compte au début du processus de gestion des projets afin que les risques puissent être cernés et atténués.
  • Date d'achèvement prévue :
    mars 2016
  • 1.3 La direction continuera de faire participer SPC aux discussions visant à mieux définir les rôles et les responsabilités des deux parties.
  • La direction dirigera tous les forums pertinents du gouvernement du Canada qui établissent les processus de collaboration entre SPC et les ministères en ce qui concerne la sécurité des TI, ou participera à de tels forums.
  • Date d'achèvement prévue :
    avril 2016
  • Principaux responsables :
    V.-P., DGGI; V.-P., DGGITI; directeur exécutif (DE), Planification stratégique et gestion

2.2 Gestion des risques liés à la sécurité des technologies de l'information

  • 2.2.1 La vérification devait permettre de s'assurer qu'AAC et l'ACIA adhèrent aux exigences de sécurité de base du Conseil du Trésor, telles que définies dans la Politique sur la sécurité du gouvernement. Cette politique exige que chaque ministère ou organisme mette en place un programme de sécurité pour la coordination et la gestion des activités de sécurité ministérielle, et la gestion appropriée de la sécurité exige l'évaluation continue des risques et la mise en œuvre, la surveillance et la mise à jour des contrôles de gestion interne adéquats, qui prennent en considération la prévention (l'atténuation), la détection, l'intervention et le rétablissement.

Constatations propres à Agriculture et Agroalimentaire Canada

  • 2.2.2 Le Plan de sécurité ministérielle (PSM) d'AAC a été achevé en février 2012 et devrait être mis à jour et diffusé à nouveau en avril 2015. Ce plan est perçu comme un document de base, et le Registre des possibilités et des risques du Ministère (RPRM), comme un document en constante évolution dans lequel on consigne les risques et les possibilités en matière de sécurité. On puise les éléments visant à étayer le RPRM dans un atelier annuel sur les risques et les possibilités en matière de sécurité, qui se déroule chaque automne.
  • 2.2.3 Bien qu'on ait tenu un atelier sur les risques et les possibilités en matière de sécurité, et que les résultats aient été transmis à la haute direction, on n'a pas mis au point de RPRM en bonne et due forme, assorti d'un plan de travail connexe, ni de plan officiel d'établissement des priorités et de suivi des mesures d'atténuation. En plus de l'atelier, le RPRM par rapport au plan de sécurité ministérielle devrait être mis à jour en fonction d'un certain nombre d'autres déclencheurs, notamment en réponse aux risques circonscrits dans les évaluations de la menace et des risques (EMR). Il ne l'a jamais été.
  • 2.2.4 En plus du RPRM, la Gestion des risques pour la sécurité des TI (GRSTI) a son propre registre des risques qui se rapporte plus particulièrement à la sécurité des TI, lequel a été mis à jour en juin 2012. La Sécurité des TI a indiqué que le registre doit être actualisé, car il n'a pas été mis à jour régulièrement. Au moment de la vérification, on ne sait pas encore de quelle façon on tiendra compte de ces risques pour la sécurité des TI dans le RPRM et en fin de compte, dans le plan de sécurité ministérielle.
  • 2.2.5 AAC et SPC travaillent ensemble, à l'initiative d'AAC, à donner suite à la liste des 35 principaux contrôles en matière de sécurité des TI du Centre de la sécurité des télécommunications Canada (CSTC) ayant trait aux contrôles d'AAC. Cette liste n'est pas spécifiquement liée au registre des risques pour la sécurité des TI d'AAC.

Constatations propres à l'Agence canadienne d'inspection des aliments

  • 2.2.6 L'ACIA a mis au point un plan quinquennal de sécurité de l'Agence (PSA) en 2012, portant sur la période de 2012-2013 à 2017-2018 avec l'intention de revoir le document sur une base annuelle, au besoin. Le PSA quinquennal était basé sur les résultats des ateliers sur le risque menés en 2010-2011 où plusieurs risques ont été circonscrits. En janvier 2014, dans une présentation sur le PSA, on mentionnait les mesures de suivi à court terme que voici, liées à la sécurité des TI :
    • Mettre en œuvre le chiffrement des ordinateurs portables;
    • Élaborer un protocole pour les voyageurs;
    • Élaborer des plans de la continuité des activités.
  • 2.2.7 Le service de la sécurité des TI de l'ACIA a décrit des faiblesses dans la sécurité des TI à l'occasion d'une présentation sur l'« état de la situation » au vice-président de la DGGITI, en décembre 2013, et pointé du doigt des éléments tels que les règles et processus du contrôle d'accès ainsi que l'intégration des exigences en matière de sécurité dans le processus de cycle de développement des systèmes, y compris pour s'assurer d'obtenir les autorisations appropriées par rapport aux risques par programmes/systèmes de TI. On a en outre signalé que ces questions ont été soulevées dans plus de dix évaluations antérieures de la menace et du risque, menées pour l'Agence.
  • 2.2.8 Un registre des risques pour la sécurité des TI propre à l'ACIA pour l'établissement des priorités et le suivi des risques n'a pas été mis au point, et le PSA n'a pas non plus été actualisé en se fondant sur les données recueillies dans les ateliers sur le risque en 2010-2011. Au moment de la vérification, on ignore comment le PSA sera mis à jour et de quelle façon on rendra compte des risques pour les TI dans cette mise à jour, y compris les risques qui découlent maintenant de la création de SPC.

2.2.9 Recommandation

  • AAC 2 / ACIA 2 - Le SMA DGSI AAC/V.-P. DGGITI, en collaboration avec le SMA DGGI AAC et le V.-P. DGGI ACIA, doivent s'assurer qu'on met au point un processus en bonne et due forme pour la sécurité des TI, afin de gérer un seul processus intégré qui porte sur la détermination et l'établissement par ordre de priorité des risques pour la sécurité des TI ainsi que leur suivi, tant pour AAC que pour l'ACIA, et que ce processus constitue un élément inscrit officiellement dans le plan de sécurité de l'Agence/du Ministère.
  • AAC 2
    Réponse de la direction : recommandation acceptée.
  • Plan d'action :
    2.1 Le DG DGS, DGSI, en collaboration avec les DG DGGI, déterminera et documentera les contributions au processus intégré pour s'assurer que toutes les sources de risque à la sécurité des TI sont incluses.
  • Date d'achèvement prévue :
    Complété
  • 2.2 Le DG DGS, DGSI, élaborera un processus officiel pour gérer une méthode unique visant à déterminer, à regrouper et à classer en ordre de priorité les risques liés à la sécurité des TI et à en assurer le suivi. Cette mesure se rapporte au point 7.2.
  • Date d'achèvement prévue :
    31 juillet 2015
  • 2.3 Le DG DGS, DGSI, en collaboration avec le DG GBPI, DGGI, intégrera le processus décrit au point 2.2 comme une contribution officielle au Plan de sécurité ministérielle (PSM) global en respectant l'échéancier du PSM.
  • Date d'achèvement prévue :
    30 septembre 2015
  • Principaux responsables : SMA DGSI, DG DGS; SMA DGGI, DG GBPI
  • ACIA 2
    Réponse de la direction : La direction accepte la recommandation.
  • Plan d'action :
    2.1 La direction élaborera un processus officiel d'établissement des risques dans un registre centralisé des risques qui déterminera comment les risques sont cernés, classés en ordre de priorité et suivis, et comment le processus sera utilisé dans le cadre de gouvernance de la sécurité des TI nouvellement établi. Pour ce faire, les processus de gestion des risques de l'Agence seront utilisés et cette mesure contribuera au Plan de sécurité de l'Agence.
  • Date d'achèvement prévue :
    Modèle provisoire élaboré en octobre 2015; achèvement en avril 2016
  • Principaux responsables :
    V.-P. DGGITI; DE, Planification stratégique et gestion

2.3 Gestions des tiers fournisseurs de services

  • 2.3.1 La vérification devait permettre de s'assurer qu'AAC et l'ACIA ont élaboré des processus officiels pour garantir que l'on tient compte de la sécurité des TI dans le processus d'impartition des contrats ou d'élaboration des ententes auprès de fournisseurs tiers utilisés pour la prestation de services de TI.

Constatations propres à Agriculturet et Agroalimentaire Canada

  • 2.3.2 Bien qu'il y ait peu d'exemples de cas où AAC a recours à des tiers du secteur privé à titre de fournisseurs de services de TI et d'hébergement des TI, il existe des situations où des entreprises du secteur privé jouent un rôle important dans l'élaboration et l'entretien des systèmes de TI.
  • 2.3.3 La section des politiques en matière de la sécurité des TI à AAC inclut des exigences pour la sous-traitance des services de TI. De plus, les activités de sécurité entreprises par l'ASM en 2012-2013 portaient, entre autres, sur l'élaboration d'une nouvelle norme d'AAC sur la sécurité concernant l'octroi des contrats, l'élaboration d'une nouvelle annexe sur la sécurité des TI pour les contrats et le suivi de toutes les listes de vérification des exigences relatives à la sécurité par le truchement d'une base de données.
  • 2.3.4 À AAC, la Sécurité et gestion des approvisionnements en gestion de l'information et technologie de l'information (GI-TI) doit se charger d'appuyer tous les gestionnaires de GI-TI dans toutes leurs demandes de services professionnels, et doit veiller à centraliser et normaliser tous les achats liés à la GI-TI. Les Services de sécurité du Ministère (SSM) passent en revue tous les contrats en ce qui a trait aux exigences de sécurité, et au besoin, mènent des consultations auprès de l'équipe de la GRSTI.

Constatations propres à l'Agence canadienne d'inspection des aliments

  • 2.3.5 L'ACIA a recours à un certain nombre de tiers fournisseurs de services TI à l'extérieur de SPC, dont le plus important est AAC qui héberge le système financier (c'est-à-dire SAP) et le système des ressources humaines (c'est-à-dire PeopleSoft) de l'ACIA. Selon les constatations de la vérification, des accords ont été conclus et des processus officiels ont été élaborés pour maintenir la communication entre l'ACIA et AAC en ce qui a trait à l'hébergement de SAP et de PeopleSoft à AAC pour les besoins de l'ACIA.
  • 2.3.6 L'ACIA a recours à des tiers à l'extérieur du gouvernement pour un certain nombre d'activités clés de l'Agence, notamment une organisation qui recueille et gère des renseignements sur l'identification du bétail au nom de l'Agence, et un certain nombre de laboratoires de l'extérieur qui recueillent et analysent les échantillons au nom de celle-ci. Les renseignements de l'Agence gérés par un tiers demeurent sous le contrôle de l'ACIA et il incombe toujours à celle-ci de s'assurer de la protection appropriée des renseignements.
  • 2.3.7 Il n'existe aucun processus officiel dûment étayé dans le processus d'établissement des marchés pour s'assurer qu'on consulte la Sécurité des TI ou qu'on tient compte de la sécurité des TI durant l'élaboration des accords ou d'un protocole d'entente. Ni le protocole d'entente conclu avec l'organisation qui gère les renseignements sur l'identification du bétail, ni l'exemple de contrat examiné conclu avec un laboratoire tiers ne comportait d'exigence particulière en matière de sécurité, mise à part une reconnaissance à un haut niveau que les renseignements ne seraient utilisés qu'à des fins liées à l'accord ou au contrat. Aucun des deux documents ne décrivait le processus de gestion des incidents liés à la sécurité ou aux infractions à la sécurité, ni les processus liés à la résiliation de l'accord ou du contrat (par exemple la conservation et l'élimination de renseignements de l'Agence).
  • 2.3.8 Même si l'ACIA exige que les deux parties dont il est question ci-dessus de s'entendent sur une clause ayant trait à un droit de vérification, il n'existe pas d'évaluation régulière ou officielle des contrôles de sécurité utilisés par les tiers.

2.3.9 Recommandation

  • ACIA 3 - Le vice-président, DGGITI, en collaboration avec le vice-président, Direction générale de la gestion intégrée, doit s'assurer qu'on met au point un processus documenté en bonne et due forme dans le but de consulter la Sécurité des TI en ce qui concerne les accords et les contrats et qu'au besoin, on évalue et surveille le respect des exigences par le tiers en matière de sécurité.
  • ACIA 3
    Réponse de la direction : La direction accepte la recommandation.
  • Plan d'action :
    3.1 L'ACIA utilisera le processus de Sécurité industrielle deTravaux publics et Services gouvernementaux (TPSGC) visant les tiers, au besoin, pour s'assurer que les parties possèdent le niveau adéquat d'attestation de sécurité de l'installation (pour les renseignements classifiés) pour gérer les renseignements de l'Agence dans leur établissement. TPSGC s'assure que les exigences de protection des renseignements sont respectées au moyen de vérifications périodiques établies par l'ACIA.
  • Les risques liés à la sécurité sont aussi évalués par le Comité d'examen de l'architecture, actuellement en cours de consolidation. L'ACIA a un nombre limité de données détenues par des tiers, mais comme ce secteur d'activité pourrait enregistrer une croissance à l'avenir, on envisagera d'évaluer les sous-traitants qui traitent les données des tiers au nom de l'ACIA dans le cadre du processus d'évaluation des risques.
  • Date d'achèvement prévue :
    Complété
  • 3.2 Le risque que posent les données des tiers sera une priorité dans le Registre centralisé des risques.
  • Date d'achèvement prévue :
    octobre 2015
  • Principaux responsables : V.-P. DGGITI; DE, Planification stratégique et gestion; V.-P. DGGI

2.4 Gestion des renseignements numériques

  • 2.4.1 La vérification devait permettre de s'assurer qu'AAC et l'ACIA ont mis en place des politiques, des procédures et des outils appropriés pour la gestion de renseignements numériques de nature délicate, et que ces renseignements sont correctement classifiés et protégés.

Constatations propres à Agriculture et Agroalimentaire Canada

  • 2.4.2 La gestion des renseignements numériques de nature délicate est une priorité absolue pour AAC; de nombreuses mesures sont actuellement en place pour atténuer les risques associés à l'utilisation de renseignements de nature délicate. Les constatations de l'équipe de vérification comprennent des possibilités d'amélioration des mesures actuelles.
  • 2.4.3 AAC a mis au point un cadre de programme sur la sécurité des TI, y compris des politiques en matière de sécurité des TI et un guide de l'utilisateur, qui traitent des éléments clés de contenu liés à la sécurité des TI, y compris à un haut niveau, la classification et la protection de renseignements numériques de nature délicate. AAC a également travaillé avec le Centre de la sécurité des télécommunications Canada (CSTC) à un projet de cybersécurité qui visait l'identification des secteurs qui gèrent les renseignements classifiés à AAC.
  • 2.4.4 AAC met à profit les deux réseaux internes et ceux des partenaires du gouvernement fédéral pour le traitement et la transmission des renseignements classifiés. Au sein de certains secteurs de programmes qui se chargent d'une somme importante de données classifiées, on compte sur des ordinateurs portables autonomes pour le traitement de renseignements secrets, avec des renseignements partagés entre utilisateurs sur des clés USB, et des copies de sauvegarde sur un disque dur externe. Des renseignements classifiés sont également traités et transmis par des moyens moins sécurisés, par exemple à l'aide de clés USB et dans des systèmes de TI non accrédités pour le traitement de renseignements secrets.
  • 2.4.5 Les renseignements protégés ne sont pas officiellement classifiés ou étiquetés de façon uniforme à l'échelle du Ministère. Bon nombre des secteurs de programmes, en particulier dans les régions et laboratoires de recherche, continuent d'utiliser des disques de réseau pour conserver au moins une partie de leurs renseignements, y compris des renseignements protégés et de nature exclusive assortis de droits de propriété intellectuelle. Le sondage de vérification de l'accès à des disques de réseau a indiqué un accès excessif au partage de fichiers. De plus, un nombre appréciable d'employés de SPC jouissaient de droits administratifs et AAC n'a pas pu confirmer que l'accès par ces employés de SPC était approprié.
  • 2.4.6 On utilise les clés USB à l'échelle du Ministère sans que cela fasse l'objet d'un suivi ou d'un contrôle de quelque façon officielle ou uniformisée que ce soit. On a approuvé une analyse de rentabilisation d'AAC pour le projet d'utilisation sécuritaire des supports de stockage de données portatifs et on a mis au point une charte de projet et un plan de gestion de projet. Le projet a pour objectif de mettre en oeuvre des contrôles conformes aux exigences de l'Avis de mise en œuvre de la Politique sur la technologie de l'information (mai 2014) du Secrétariat du Conseil du Trésor (SCT) sur l'utilisation sécuritaire des supports de stockage de données portatifs au gouvernement du Canada.
  • 2.4.7 AAC a élaboré un processus et des instructions pour les voyages à haut risque; on exige que les employés soient obligatoirement informés sur la sécurité quand ils se déplacent à l'extérieur du pays. Dans le cadre du processus, les employés peuvent demander que la DGSI leur prête des ordinateurs portables et des dispositifs mobiles pour les utiliser pendant qu'ils se trouvent à l'extérieur du pays. Le sondage de vérification a confirmé que les personnes qui s'étaient déplacées à l'extérieur du pays au cours de la période visée par la vérification ont reçu des instructions obligatoires sur la sécurité; bien qu'il n'existe pas de processus officiel à AAC pour effectuer facilement le suivi et la surveillance de l'équipement de TI prêté, le personnel en a fait la demande et l'a utilisé.

Constatations propres à l'Agence canadienne d'inspection des aliments

  • 2.4.8 L'ACIA a mis en œuvre un cadre de programme de la sécurité des TI, y compris la directive de l'ACIA sur la sécurité des TI, et elle a élaboré un guide ayant trait à l'identification, à l'étiquetage et à la protection de documents protégés et classifiés. L'ACIA a élaboré un programme par Internet de sécurité nationale qui comporte un module consacré à la sécurité des TI que tous les employés de l'ACIA devront avoir suivi d'ici septembre 2015. Les employés doivent ensuite suivre une version condensée du cours chaque fois qu'ils renouvellent leur carte d'identité, tous les cinq ans.
  • 2.4.9 Au moyen de l'évaluation de la sécurité des TI de l'ACIA par rapport à la classification de sécurité des données au sein des systèmes de TI de l'Agence, en décembre 2013, la Sécurité des TI a estimé qu'au moins la moitié de l'information stockée dans les systèmes de l'Agence n'était pas adéquatement protégée. On a signalé qu'une des principales causes de cette situation tenait au fait que le réseau de l'ACIA n'était accrédité que pour une norme « protégé A ».
  • 2.4.10 En général, on comprend bien à l'Agence le besoin de protéger les renseignements classifiés, mais l'ACIA ne dispose pas des outils nécessaires pour effectuer le traitement et le stockage efficaces de ces renseignements (c'est-à-dire secrets) par des moyens électroniques. Étant donné ce qui précède, on a donné des exemples de renseignements secrets qui pourraient être transmis par courrier électronique au moyen d'un document protégé par un mot de passe, ou transférés par des clés USB non sécurisées.
  • 2.4.11 Les renseignements protégés ne sont pas officiellement classifiés ou étiquetés de façon uniforme à l'échelle de l'Agence, par exemple, on a déterminé que certains rapports d'inspection et certains types de données de surveillance entraient dans la catégorie des documents potentiellement de nature délicate (jusqu'au niveau « protégé B ») et que de façon générale, ils ne sont pas étiquetés comme tels. On continue de gérer une somme importante de renseignements par le truchement de la messagerie électronique et de disques de réseau, et le sondage de vérification a permis de déterminer que cela ne touchait pas seulement les renseignements « protégés B », mais des renseignements de nature très délicate concernant des enquêtes et l'application de la loi, susceptibles d'être classifiés jusqu'au niveau « protégé C ». Le sondage de vérification a démontré qu'il y avait des excès dans l'accès aux fichiers partagés de réseau. De plus, un nombre appréciable d'employés de SPC jouissaient de droits administratifs et l'ACIA n'a pas pu confirmer que l'accès aux fichiers de ces employés de SPC était approprié.
  • Through testing it was noted there was excessive access to network file shares. Furthermore, there were a significant number of SSC employees with administrative rights and ACIA was not able to validate if access by these SSC employees was appropriate.
  • 2.4.12 Il n'existe aucun processus régulier d'examen des mesures de sécurité mises en œuvre par les inspecteurs de l'ACIA dans les établissements. Pour les établissements qui ne disposent pas de la présence d'un inspecteur en permanence, le personnel de la GI-TI a signalé qu'il peut arriver que les inspecteurs branchent directement leur ordinateur portable dans le réseau de l'établissement, ce qui expose cet ordinateur à tous les risques liés au réseau en question qui n'est pas nécessairement protégé de façon adéquate.
  • 2.4.13 L'ACIA a mis au point un protocole de sécurité des voyages qui s'applique au personnel qui voyage au nom de l'Agence à l'extérieur du pays. Dans le cadre du protocole, les employés sont renseignés sur la sécurité et peuvent obtenir que la DGGITI leur prête des ordinateurs portables et des dispositifs mobiles qu'ils peuvent utiliser pendant qu'ils se trouvent à l'extérieur du pays. À l'heure actuelle, la mise en œuvre du protocole se fait au cas par cas, et en général à la demande de l'employé.

2.4.14 Recommandations

  • AAC 3 / ACIA 4 - Le sous-ministre adjoint (SMA) DGSI/V.-P. DGGITI, en collaboration avec le SMA DGGI AAC et le V.-P. DGGI ACIA, doivent veiller à l'élaboration et à la mise en oeuvre de processus, de cours et d'outils concernant l'identification, l'étiquetage et la gestion des renseignements classifiés (par exemple secrets) et protégés au sein du Ministère, afin de sensibiliser le personnel et de favoriser la conformité, ce qui implique de limiter l'utilisation des disques de réseau pour le stockage des renseignements de nature délicate.
  • AAC 3
    Réponse de la direction : recommandation acceptée.
  • Plan d'action :
    3.1 Le DG GBPI, DGGI, examinera et mettra à jour le guide de la classification des renseignements ministériels et les documents connexes.
  • Date d'achèvement prévue :
    Complété
  • 3.2 Le DG DGS, DGSI, en collaboration avec le DG GBPI, DGGI, mettra à jour la politique sur la sécurité des TI pour préciser comment les renseignements protégés et classifiés peuvent être traités à l'aide des systèmes de TI à AAC et communiquera la politique révisée aux gestionnaires et au personnel.
  • Date d'achèvement prévue :
    31 décembre 2015
  • 3.3 Le DG GBPI, DGGI, continuera de promouvoir le cours de formation offert actuellement sur le Web au personnel d'AAC, qui comprend le traitement des renseignements protégés et classifiés (documents papier et électroniques), et s'assurera que les outils connexes, comme le contenu Web et les brochures de sensibilisation, sont à jour. En outre, une formation axée sur des mises en situation sera élaborée afin d'aborder le traitement des renseignements de nature délicate (documents protégés et classifiés). La formation sur la sensibilisation à la sécurité est obligatoire à AAC. De plus, tous les employés qui obtiennent ou mettent à jour une cote de fiabilité ou de sécurité doivent signer un formulaire attestant qu'ils reconnaissent leurs responsabilités liées aux renseignements protégés et classifiés, qui sera contresigné par leur gestionnaire et qui comprend des instructions sur le traitement, la transmission et la présentation des renseignements protégés et classifiés sur support papier ou électronique.
  • Date d'achèvement prévue :
    Complété
  • 3.4 Le DG DGS, DGSI, examinera et mettra à jour le modèle de l'énoncé de la nature délicate des renseignements, utilisé pour classifier les renseignements traités par les systèmes de TI pour qu'il concorde avec le guide révisé de la classification des renseignements ministériels.
  • Date d'achèvement prévue :
    Complété
  • 3.5 Le DG DGS, DGIS, en collaboration avec le DG SGI, DGSI, examinera la sécurité des systèmes conçus pour le traitement des renseignements protégés et leur utilisation élargie afin de limiter le recours aux disques de réseau pour les renseignements protégés.
  • Date d'achèvement prévue :
    30 septembre 2015
  • 3.6 Le DG DGS, DGSI, en collaboration avec le DG des Services de gestion de l'information (SGI), DGSI, et suivant les directives du Comité de gestion horizontale (CGH) en fonction des priorités du gouvernement du Canada et d'AAC, mettra en oeuvre des systèmes de traitement plus sécuritaires des renseignements classifiés qui réduiront la dépendance aux disques partagés pour le stockage des renseignements de nature délicate.
  • Date d'achèvement prévue :
    31 décembre 2015
  • Principaux responsables : SMA DGGI, DG GBPI; SMA DGSI, DG DGS, DG SGI
  • ACIA 4
    Réponse de la direction : La direction accepte la recommandation.
  • Plan d'action :
    4.1 Étant donné que le réseau de l'ACIA n'est pas accrédité pour traiter les renseignements électroniques classifiés et protégés, une solution de rechange est fournie. Une initiative pluriannuelle a été lancée pour renforcer la sécurité des dispositifs portatifs, en commençant par la mise en oeuvre du chiffrement des disques durs. De plus, il est possible d'accéder aux réseaux classifiés actuels du gouvernement dans les installations du Complexe de l'administration centrale du portefeuille de l'Agriculture (CACPA) et la capacité de traitement autonome est fournie aux secteurs à haut risque. Il convient de noter qu'il incombe à Services partagés Canada de fournir l'accès à un réseau protégé du gouvernement du Canada. Cependant, il faudra probablement quelques années pour mettre en place cette capacité. En attendant, l'ACIA continuera d'utiliser différentes solutions pour s'assurer que les renseignements classifiés sont traités adéquatement.
  • Date d'achèvement prévue :
    En cours
  • Formation et sensibilisation :
    4.2 Des modules d'apprentissage en ligne destinés aux employés de l'ACIA et portant sur la gestion des renseignements de nature délicate ont été lancés.
  • Date d'achèvement prévue :
    Terminé
  • 4.3 Publication du guide de l'employé sur les procédures d'identification, d'étiquetage, de transmission et de stockage des renseignements protégés et classifiés. On continuera de distribuer ce guide durant la Semaine de sensibilisation à la sécurité; il sera publié sur Merlin et fourni aux employés durant les séances d'information sur la sécurité.
  • Date d'achèvement prévue :
    En cours
  • 4.4 Poursuivre l'envoi de messages réguliers de l'agent de sécurité de l'Agence pour promouvoir la sécurité et la protection des renseignements en insistant sur la conformité, notamment sur les procédures sécuritaires de traitement des renseignements classifiés, à l'extérieur du réseau.
  • Date d'achèvement prévue :
    En cours
  • Conformité :
    4.5 Poursuivre le programme de ratissage de sécurité mis en œuvre récemment à l'Agence pour s'assurer que les employés respectent les procédures adéquates de gestion des renseignements protégés et classifiés.
  • Date d'achèvement prévue :
    En cours
  • Principaux responsables : V.-P. DGGI et dirigeant principal de l'information (DPI); directeur exécutif DGBS; DE, Planification stratégique et gestion
  • AAC 4 - Le SMA DGSI, en collaboration avec le SMA DGGI, doit s'assurer que le processus lié aux voyages à haut risque comprend des mécanismes en bonne et due forme de suivi de l'utilisation de l'équipement de TI « emprunté » pour permettre aux Services de sécurité du Ministère et à la GRSTI de vérifier qu'on respecte cet aspect du processus.
  • AAC 4
    Réponse de la direction : recommandation acceptée
  • Plan d'action :
    4.1 Il existe un programme d'emprunt de dispositifs électroniques (ordinateur portatif, BlackBerry) à AAC pour les employés qui voyagent à l'étranger. Le DG GBPI, DGGI, fera régulièrement des rappels auprès de tous les employés au sujet des responsabilités lies aux déplacements pour les sensibiliser et leur rappeler les lignes directrices, les procédures et le programme en vigueur portant sur les appareils empruntés. Ces lignes directrices et procédures seront examinées régulièrement pour s'assurer qu'elles tiennent compte de l'évolution du contexte de la sécurité.
  • Date d'achèvement prévue :
    Complété
  • 4.2 Le directeur des Services à la clientèle TI de la DGSI mettra à jour le processus d'emprunt de l'équipement TI pour les déplacements afin d'inclure le suivi de l'utilisation et de fournir aux Services de sécurité ministériels (SSM) l'accès à cette information.
  • Date d'achèvement prévue :
    15 mai 2015
  • 4.3 Le DG GBPI et SSM, DGGI, en collaboration avec le DG DGS et Gestion des risques lies à la sécurité des TI (GRSTI), DGSI, mettra à jour les processus pour inclure la surveillance mensuelle de l'utilisation de l'équipement emprunté et mettre en oeuvre l'application de la politique, au besoin. Un rapport sur la surveillance sera fait à l'agent de sécurité du Ministère (ASM) et à la haute direction tous les trimestres ou au besoin.
  • Date d'achèvement prévue :
    15 julliet 2015
  • Principaux responsables : SMA DGS, DG GBPI; SMA DGSI, directeur, Services à la clientèle des TI
  • ACIA 5 - Le V.-P. DGGITI, en collaboration avec le V.-P. DGGI, doit veiller à ce que tous les employés de l'Agence respectent obligatoirement le protocole de sécurité des voyages, et que le respect de ce protocole fasse l'objet d'une surveillance.
  • ACIA 5
    Réponse de la direction : La direction accepte la recommandation.
  • Plan d'action :
    Politique
    5.1 Promulguer la Directive de l'Agence sur la sécurité à l'intention des voyageurs pour fournir aux employés des instructions sur la sécurité des déplacements.
  • Date d'achèvement prévue :
    mai 2015
  • 5.2 Les Services de sécurité et d'aménagement et le Comité international de coordination désigneront les voyageurs qui doivent suivre une séance d'information sur la sécurité à l'intention des voyageurs.
  • Date d'achèvement prévue :
    Complété
  • 5.3 Les Services de sécurité et d'aménagement mèneront des vérifications régulières des sources de demande de voyage de l'Agence pour s'assurer que les employés respectent la Directive sur la sécurité à l'intention des voyageurs.
  • Date d'achèvement prévue :
    En cours
  • Principaux responsables : V.-P. DGGI et DPF; directeur exécutif, DGBS

2.5 Sécurité matérielle des biens des technologies de l'information

  • 2.5.1 La vérification devait permettre de s'assurer qu'AAC et l'ACIA auraient mis en œuvre les contrôles appropriés pour limiter de façon adéquate l'accès physique aux renseignements de nature délicate.
  • 2.5.2 Même si la propriété des grands centres de données a été transférée à SPC, il incombe encore à AAC et à l'ACIA de fournir l'accès à certains de ces lieux.
  • 2.5.3 En ce qui a trait au centre de données dans un des bureaux régionaux ou des centres opérationnels, utilisé à la fois par AAC et l'ACIA, l'accès est contrôlé par l'ACIA, car il n'y a pas de personnel de SPC, dans la région, chargé des opérations régionales. SPC a demandé qu'on limite davantage l'accès à la salle des serveurs, ce qui a occasionné le retrait de l'accès à une partie du personnel des TI; toutefois, le sondage de vérification a confirmé que l'accès continuait d'être excessif.
  • 2.5.4 Le personnel d'AAC et de l'ACIA doit encore se charger d'une partie des centres de données/salle des serveurs de moindre envergure dans les centres de recherche d'AAC et dans les régions, ainsi que dans les bureaux de district et laboratoires de l'ACIA.

Constatations propres à Agriculture et Agroalimentaire Canada

  • 2.5.5 Pour un des centres de recherche d'AAC touché par la vérification, où le centre de données n'a pas été transféré à SPC (c.-à-d. les centres de données plus petits), le sondage de vérification a permis de signaler qu'on accordait un accès excessif et qu'il existait des doubles de cartes d'accès qui n'avaient pas été désactivées. En se fondant sur une évaluation antérieure du bâtiment et des installations, un lecteur de cartes d'accès a été installé pour la salle des serveurs en remplacement de l'ancien système de reconnaissance du numéro d'identification personnel (NIP); toutefois, le système de reconnaissance du NIP est toujours en service et les employés qui connaissent ce système peuvent s'en servir à la place du lecteur de carte. Le personnel n'a pas pu se rappeler la dernière fois que le NIP avait été modifié. Pour un bureau régional d'AAC la zone générale de bureau, a été limité par la carte d'accès, cependant, il n'y avait pas d'autres contrôles d'accès physique en place pour restreindre l'accès à la salle des serveurs. De plus, la zone des serveurs n'était pas verrouillée.

Constatations propres à l'Agence canadienne d'inspection des aliments

  • 2.5.6 Dans un bureau d'un centre opérationnel de l'ACIA où l'on s'est rendu pour le sondage, et dont le centre de données sur place a été transféré à SPC, le personnel de l'ACIA continue de se charger du processus lié aux cartes d'accès. Selon les constatations de la vérification, en raison des limites liées au système de carte d'accès, plus de la moitié des personnes qui avaient accès à la salle des serveurs n'en avait pas besoin. On comptait aussi plusieurs cartes actives « en surplus » réservées aux sous-traitants.
  • 2.5.7 Pour un bureau de district de l'ACIA touché par la vérification, où le centre de données n'a pas été transféré à SPC, le sondage de vérification a permis de signaler qu'on accordait un accès excessif, car une partie des cartes d'accès était soit des « doubles » soit des cartes « en surplus » inutiles.
  • 2.5.8 En ce qui a trait aux laboratoires de l'ACIA qui ont fait l'objet de la vérification, l'accès à la salle des serveurs était limité par une clé, et un nombre restreint d'employés pouvaient s'en prévaloir. Afin d'obtenir l'accès à la salle des serveurs, une personne doit d'abord pénétrer dans le bâtiment des laboratoires, dont l'accès est également restreint.

2.5.9 Recommandation

  • AAC 5 / ACIA 6 - Le SMA DGSI/V.-P. DGGITI, en collaboration avec le SMA DGGI AAC et le V.-P DGGI ACIA, doit demander la participation de SPC afin de s'assurer que les rôles et responsabilités visant à accorder l'accès à la salle des serveurs et à revoir régulièrement ce processus, existent en bonne et due forme. Cela fait, AAC et l'ACIA peuvent déterminer en quoi consistent leurs responsabilités pour garantir que les mesures de contrôle appropriées sont en place pour limiter adéquatement l'accès physique à l'infrastructure des TI.
  • AAC 5
    Réponse de la direction : Recommandation acceptée.
  • Plan d'action :
    5.1 Le directeur des services à la clientèle, DGSI, et le DG GBPI, DGGI, en collaboration avec SPC, dresseront l'inventaire des lieux physiques d'AAC où se trouvent des serveurs et l'infrastructure TI connexe et documenteront le processus actuel ainsi que les rôles et responsabilités en matière de contrôle de l'accès.
  • Date d'achèvement prévue :
    29 mai 2015
  • 5.2 Le DG DGS, DGSI, et le DG GBPI, DGGI, définiront et approuveront officiellement les rôles, responsabilités et procédures, y compris la surveillance de l'accès et du contrôle de tous les lieux physiques désignés pour s'assurer de la restriction adéquate de l'accès physique à l'infrastructure TI.
  • Date d'achèvement prévue :
    30 septembre 2015
  • 5.3 Le directeur des services à la clientèle des TI, DGSI, en collaboration avec SPC,mettra en oeuvre les procédures établies et surveillera la conformité et en rendra compte à l'agent de sécurité du Ministère (ASM) et au dirigeant principal de l'information (DPI), à tous les trimestres au besoin.
  • Date d'achèvement prévue :
    31 décembre 2015
  • Principaux responsables : SMA, DGGI, DG GBPI; SMA DGSI, DG DGS, directeur des services à la clientèle des TI; DG Relations avec la clientèle et intégration opérationnelle, SPC.
  • ACIA 6
    Réponse de la direction : La direction accepte la recommandation.
  • Plan d'action :
    Protocoles de contrôle d'accès
    6.1 Désigner un représentant de SPC disposant du niveau d'autorisation pertinent pour examiner et approuver les droits d'accès aux salles des serveurs de SPC se trouvant dans les locaux de l'ACIA.
  • Date d'achèvement prévue :
    décembre 2015
  • 6.2 Officialiser l'accord entre l'ACIA et SPC qui précise les rôles et les responsabilités pour l'examen, l'approbation et l'octroi des droits d'accès aux salles des serveurs.
  • Date d'achèvement prévue :
    décembre 2015
  • 6.3. Faire un examen et des mises à jour régulières des listes d'accès pour s'assurer que seuls les employés autorisés de SPC ont le droit d'accéder aux salles des serveurs.
  • Date d'achèvement prévue :
    En cours
  • 6.4 Établir un processus de contrôle principal pour s'assurer que les restrictions pertinentes sont en place pour contrôler et limiter l'accès aux salles des serveurs.
  • Date d'achèvement prévue :
    décembre 2015
  • Principaux responsables : V.-P., DGGI et DPI; directeur exécutif - DGBS

2.6 Évaluation des risques liés à la sécurité des technologies de l'information

  • 2.6.1 La vérification devait permettre de reconnaître qu'AAC et l'ACIA avaient élaboré des processus en bonne et due forme de gestion du risque lié à la sécurité des TI, pour s'assurer qu'on a intégré aux systèmes de TI les contrôles appropriés de la sécurité des TI. Le CSTC a publié une nouvelle directive sur le processus de gestion du risque lié à la sécurité des TI, qui remplace l'ancien processus de certification et d'accréditation par un nouveau processus d'évaluation et d'autorisation de la sécurité. L'objectif de cette certification/évaluation est de vérifier que les exigences établies en matière de sécurité pour un système ou un service en particulier sont respectées et que les mesures de contrôle et de protection fonctionnent comme prévu. Le but de l'accréditation/autorisation est de fournir une preuve que la direction autorise le fonctionnement du système ou du service et qu'elle accepte le risque résiduel relatif à l'exploitation du système ou du service.
  • 2.6.2 Il existe une lacune dans les processus d'évaluation du risque pour les TI à AAC et à l'ACIA étant donné que SPC n'a pas officiellement reconnu les risques liés à l'infrastructure de TI qui sont de son ressort. Il en résulte que les plans d'action élaborés dans le cadre du processus d'évaluation du risque en matière de TI ne touchent pas les risques liés à l'infrastructure de TI ni les mesures d'atténuation correspondantes.

Constatations propres à Agriculture et Agroalimentaire Canada

  • 2.6.3 AAC a mis en place un cadre d'évaluation et d'autorisation de la sécurité en 2012, auquel doivent se conformer tous les nouveaux systèmes de la DGSI ainsi que les anciens systèmes importants. Les rôles et responsabilités ont été officiellement étayés et le processus a été intégré dans le cadre ministériel de gestion du portefeuille de la GI-TI et dans le cycle de développement des systèmes. AAC a parachevé le processus d'évaluation et d'autorisation de la sécurité pour tous les systèmes essentiels, même si une autorisation officielle de fonctionnement n'a pas été obtenue pour la totalité des systèmes.
  • 2.6.4 Au moyen d'une analyse d'échantillons, la vérification a permis de vérifier que pour les systèmes en voie d'élaboration depuis la mise en œuvre du cadre d'évaluation, il n'existait pas de suivi en bonne et due forme ayant trait à l'atténuation des risques circonscrits, même si des activités d'évaluation et d'autorisation de la sécurité, notamment les évaluations de la menace et du risque et les évaluations de la vulnérabilité, ont eu lieu. En outre, aucune documentation n'a pu être fournie pour démontrer que les systèmes sont dotés d'une approche axée sur des mesures de contrôle en matière de sécurité des TI. Par exemple, il n'existe aucune preuve indiquant l'existence d'un « catalogue » des contrôles de sécurité fondés sur les besoins en matière de sécurité des systèmes, lequel aurait été retracé officiellement par le truchement d'une matrice de traçabilité des exigences de sécurité pour les contrôles mis en œuvre, évalué au moyen d'une estimation de la menace et du risque, et qui aurait pu faire l'objet d'une analyse ultérieure, au besoin.
  • 2.6.5 Il n'existe aucune stratégie continue, en bonne et due forme, de surveillance et d'analyse; à l'heure actuelle, la surveillance consiste en l'examen de modifications importantes aux systèmes pour déceler d'autres risques, ce qui pourrait exiger une évaluation officielle au moyen d'une mise à jour de l'évaluation de la menace et des risques. Fait à noter, pour les systèmes essentiels, la GRSTI s'est assuré d'être informé que tous les changements aux systèmes au moyen de la demande de changement et de sa participation au Comité de contrôle du changement.

Constatations propres à l'Agence canadienne d'inspection des aliments

  • 2.6.6 En ce qui a trait à l'ACIA, un bureau de gestion de projet a été créé en avril 2010 pour élaborer une approche à l'échelle de l'Agence en matière de gestion de projet; toutefois, on ne trouve aucun processus bien étayé ni aucune balise pour s'assurer que la sécurité des TI est intégrée dans les projets et les initiatives. Le personnel de planification de la GI-TI a récemment mis au point une feuille de suivi et d'estimation des coûts pour effectuer le suivi des projets informatisés et pour s'assurer que les coûts, y compris ceux qui touchent la sécurité des TI, sont inclus dans les estimations de projet.
  • 2.6.7 On ne trouve pas d'évaluation bien étayée des risques liés aux TI à l'ACIA et aucun projet de ce type n'a été intégré dans le cycle de développement des systèmes. On n'a pas consulté officiellement la Sécurité des TI sur les projets de TI entrepris pour la Direction générale des opérations. Bien souvent, les risques circonscrits dans les évaluations de la menace et des risques ne font pas l'objet de mesures officielles d'atténuation ou d'un suivi. En outre, aucune documentation n'a pu être fournie pour démontrer que les systèmes sont dotés d'une approche axée sur les contrôles en matière de sécurité des TI. Par exemple, rien ne prouvait l'existence d'un « catalogue » des contrôles de sécurité fondés sur les besoins en matière de sécurité des systèmes, qui aurait été retracé officiellement par le truchement d'une matrice de traçabilité des exigences de sécurité pour les contrôles mis en œuvre, évalué au moyen d'une estimation de la menace et du risque, et qui aurait pu faire l'objet d'une analyse ultérieure, au besoin. Aucune stratégie officielle de surveillance continue ou d'analyse n'a été mise en place. En général, on n'a pas effectué d'évaluation de la vulnérabilité technique.

2.6.8 Recommandation

  • AAC 6 - Le SMA DGSI doit s'assurer qu'on dispose de l'autorisation en bonne et due forme permettant de mener les activités pour tous les systèmes essentiels au sein du Ministère.
  • AAC 6
    Réponse de la direction : recommandation acceptée.
  • Plan d'action :
    Le DG DGS, DGSI, en collaboration avec SPC, s'assurera que l'autorisation officielle d'exploitation est obtenue pour tous les systèmes essentiels d'AAC qui ne l'ont pas encore en remplissant les rapports d'évaluation de la sécurité restants et en obtenant l'autorisation du SMA ou d'un niveau équivalent auprès d'AAC et de SPC.
  • Date d'achèvement prévue :
    29 mai 2015
  • Principaux responsables : SMA DGSI, DG DGS; DG Relations avec la clientèle et intégration opérationnelle SPC
  • AAC 7 - Le SMA DGSI doit s'assurer que dans le contexte du processus d'évaluation et d'autorisation de la sécurité, tous les nouveaux systèmes adoptent une approche plus officielle, axée sur les contrôles de sécurité, et que le risque circonscrit durant les activités d'évaluation initiales (c'est-à-dire l'évaluation de la menace et du risque et la vulnérabilité technique) fait l'objet d'un suivi au moment opportun, avant le lancement réel du système, et qui plus est, il faut élaborer une approche plus officielle et plus globale de surveillance constante des risques et contrôles de la sécurité des TI.
  • AAC 7
    Réponse de la direction : recommandation acceptée.
  • Plan d'action :
    7.1 Le DG DGS, DGSI, mettra à jour le Cadre de gestion du portefeuille de GI-TI ministériel, les modèles et la liste de vérification et s'assurera que les gestionnaires de projet et les directeurs sont informés que des contrôles de sécurité officiels doivent être définis, utilisés pour répondre aux exigences du système et approuvés par le Comité de planification des investissements avant de passer aux livrables établis dans la phase de planification.
  • Date d'achèvement prévue :
    30 juin 2015
  • 7.2 Le DG DGS, DGSI mettra à jour le Cadre de gestion du portefeuille de GI-TI ministériel, les modèles, la liste de vérification et les processus de contrôle du changement pour s'assurer que les gestionnaires de projet et les directeurs de projet sont informés que des activités d'évaluation auront lieu, notamment l'autorisation officielle de sécurité des TI pour que les risques soient circonscrits durant la phase d'évaluation initiale avant le lancement du système.
  • Date d'achèvement prévue :
    30 juin 2015
  • 7.3 Le DG DGS, DGSI, élaborera et mettra en œuvre une approche globale fondée sur le risque visant la surveillance constante des risques liés à la sécurité des TI et des contrôles durant le cycle de vie des systèmes.
  • Date d'achèvement prévue :
    31 juillet 2015
  • Principaux responsables : SMA DGSI, DG DGS
  • ACIA 7 - Le V.-P. DGGITI, doit s'assurer qu'on met en place un processus officiel d'évaluation du risque en matière de TI au sein de l'Agence, et que tous les nouveaux systèmes sont dotés d'une approche plus officielle, axée sur les contrôles de sécurité, que les risques circonscrits au cours des activités d'évaluation (c'est-à-dire l'évaluation de la menace et du risque et la vulnérabilité technique) font l'objet d'un suivi au moment opportun, et il faut s'assurer d'élaborer une stratégie de surveillance continue. Les systèmes essentiels existants doivent être revus pour qu'une autorisation des activités soit obtenue et réévaluée périodiquement.
  • ACIA 7
    Réponse de la direction : La direction accepte la recommandation.
  • Plan d'action :
    7.1 La direction fera appel aux services d'un consultant principal pour formuler des recommandations sur la création d'une approche d'évaluation des risques axée sur les contrôles. Il faut maintenant remplir une évaluation de la menace et des risques pour tous les nouveaux systèmes. La procédure d'acquisition visée au point 7.1 est en cours.
  • Remarque : La durée, la portée et le coût des mesures ci-dessous (7.2 à 7.4) dépendent de l'application du point 7.1. Par conséquent, les dates cibles établies ne sont que des estimations générales et peuvent changer.
  • Date d'achèvement prévue :
    Complété
  • 7.2 D'après cette évaluation, la direction créera un programme d'évaluation des risques; les risques cernés durant les activités d'évaluation seront intégrés au registre centralisé des risques pour l'établissement des priorités et l'attribution. Quand ce programme sera implanté, tous les nouveaux systèmes y seront assujettis.
  • Date d'achèvement prévue :
    avril 2016
  • 7.3 Une stratégie de surveillance continue sera élaborée de concert avec le programme d'évaluation des risques, et le registre centralisé des risques jouera un rôle important.
  • Date d'achèvement prévue :
    avril 2016
  • 7.4 Une stratégie sera élaborée dans le cadre du programme d'évaluation des risques pour tenir compte des systèmes actuels et pour les réévaluer.
  • Date d'achèvement prévue :
    avril 2016
  • Principaux responsables : V.-P. DGGITI; DE, Planification stratégique et gestion

2.7 Contrôles d'accès logique

  • 2.7.1 La vérification devait permettre de s'assurer qu'AAC et l'ACIA ont pris les mesures nécessaires pour limiter de façon appropriée l'accès logique aux systèmes aux utilisateurs autorisés. Dans le cadre de la vérification, on a évalué les contrôles d'accès logique à AAC et à l'ACIA au moyen d'un examen plus détaillé d'un certain nombre de systèmes de TI. Les contrôles liés au retrait au moment opportun de l'accès au réseau de certains employés ont aussi été examinés.

Constatations propres à Agriculture et Agroalimentaire Canada

  • 2.7.2 À AAC, il est prévu que le formulaire de départ d'un employé soit utilisé à l'échelle du Ministère pour amorcer le processus de cessation d'emploi, mais on a constaté que les régions utilisent souvent leur propre formulaire ou prennent en charge le processus sans recourir à un formulaire. Une fois que le formulaire de départ d'un employé a été rempli par le gestionnaire de cet employé et qu'il a été présenté, il est entré dans le système comme un « rapport » (ticket) qui génèrent d'autres « rapports » (tickets) supplémentaires dans le but d'informer les personnes concernées de prendre les mesures indiquées, par exemple désactiver l'accès au réseau. Le sondage de vérification a permis de constater que le compte du répertoire actif qui fournit l'accès au réseau n'avait pas été désactivé pour certains employés qui ont quitté leur emploi; de plus, dans bien des cas, aucun formulaire n'avait été versé au dossier de l'employé. Même si AAC doit se charger de désactiver les comptes du réseau d'utilisateurs finaux « normaux », en ce qui a trait à ceux qui ont des privilèges administratifs au réseau, la demande de désactivation doit être envoyée d'AAC à SPC. Dans le contexte de la cessation d'emploi mentionnée ci-dessus, il n'existe aucun processus officiel visant à s'assurer que cela est fait.
  • 2.7.3 L'équipe de vérification a choisi un échantillon de systèmes d'AAC non essentiels pour examiner les contrôles d'accès logique. Les systèmes essentiels d'AAC (comme le SAP) ne faisaient pas partie de l'échantillon, puisque des vérifications similaires de sécurité des TI sont prévues par les organismes externes, comme le Bureau du contrôleur général, et dans les plans de vérification internes d'AAC pour mener une vérification axée sur le SAP en 2015-2016.
  • 2.7.4 Un processus officiel existe pour accorder à un utilisateur l'accès aux systèmes de TI; toutefois, au moyen d'un sondage de vérification d'un échantillon des nouveaux et des anciens comptes d'utilisateur, on a constaté des exceptions en ceci que dans certains cas, les preuves selon lesquelles le processus officiel avait été appliqué ne figuraient pas au dossier.
  • 2.7.5 Aucun des systèmes de TI examinés en détail dans le cadre de la vérification n'était assorti d'un processus étayé en bonne et due forme dans le but de revoir régulièrement l'accès des utilisateurs.
  • 2.7.6 À l'aide d'un examen de l'accès privilégié aux systèmes de TI, l'équipe de vérification en est venue à la conclusion que l'accès privilégié était approprié pour deux des trois systèmes ayant fait l'objet d'une vérification; toutefois, l'accès pour les utilisateurs ayant le plus haut niveau de privilège n'était pas approprié, soit parce que l'utilisateur n'était pas doté de l'autorisation de sécurité nécessaire, ou parce qu'il avait été muté à un autre poste.
  • 2.7.7 Les comptes partagés privilégiés ont été circonscrits dans chaque système de TI analysé, et bien que l'accès à ces comptes ait été limité de la bonne façon, on n'a constaté aucune procédure en bonne et due forme visant un contrôle plus poussé (par exemple le changement des mots de passe) ou une surveillance de l'accès et de l'utilisation de ces comptes.
  • 2.7.8 Aucun de ces systèmes n'était assorti de mesures de contrôle officielles pour assurer la séparation correcte des tâches entre l'administration de la sécurité et l'élaboration/déploiement des modifications au système.

Constatations propres à l'Agence canadienne d'inspection des aliments

  • 2.7.9 Il est prévu que le formulaire de départ d'un employé de l'Agence soit utilisé à l'échelle de l'ACIA pour amorcer le processus de cessation d'emploi, mais on a constaté que les régions utilisent souvent leur propre formulaire ou prennent en charge le processus sans recourir à un formulaire. Le formulaire doit être rempli par l'employé et présenté aux Ressources humaines (RH), où il est numérisé et consigné dans le SGDDI. Ensuite, un message électronique est envoyé par les RH au centre de service des TI indiquant le départ, avec un lien du SGDDI menant au formulaire de cessation d'emploi de l'Agence. Le centre des services de TI accède au document dans le SGDDI, le transforme en PDF et le joint à un « rapport » (ticket) qu'il génère. Le sondage de vérification a permis de constater que le compte du répertoire actif qui fournit l'accès au réseau n'avait pas été désactivé pour certains employés qui ont quitté leur emploi; de plus, dans bien des cas, aucun formulaire n'avait été versé au dossier de l'employé. Même si l'ACIA doit se charger de désactiver les comptes du réseau d'utilisateurs finaux « normaux », la demande de désactivation doit être envoyée de l'ACIA à SPC en ce qui a trait à ceux qui ont des privilèges administratifs au réseau. Dans le contexte de la cessation d'emploi mentionnée ci-dessus, il n'existe aucun processus officiel visant à s'assurer que cela est fait.
  • 2.7.10 En ce qui a trait aux exigences liées au mot de passe, deux des quatre systèmes de TI ayant fait l'objet de la vérification ne sont assortis d'aucune exigence bien définie en ce qui a trait à la complexité ou aux changements des mots de passe. Bien que l'un des autres systèmes ait des critères liés aux mots de passe, on a constaté qu'ils n'étaient pas conformes aux pratiques courantes.
  • 2.7.11 Un processus étayé en bonne et due forme existe, qui permet d'accorder l'accès aux utilisateurs dans deux des quatre systèmes de TI ayant fait l'objet de la vérification, tandis que pour les deux autres systèmes, un processus a été mis en place sans toutefois être officiellement assorti d'une documentation. Au moyen du sondage de vérification, on a constaté des exceptions en ceci que les preuves selon lesquelles une autorisation officielle existe n'avaient pas été versées au dossier. Aucun de ces systèmes ne comportait de processus en bonne et due forme visant à revoir régulièrement l'accès des utilisateurs.
  • 2.7.12 Au moyen d'un examen de l'accès privilégié aux applications, l'équipe de vérification en est venue à la conclusion que dans le cas de trois applications, certains utilisateurs dotés de comptes privilégiés n'avaient pas besoin d'un accès à ce niveau. Des comptes partagés privilégiés ont été identifiés pour chaque application, et bien que l'accès à ces comptes ait été limité de la bonne façon, on n'a constaté aucune procédure en bonne et due forme visant un contrôle plus poussé (par exemple le changement des mots de passe) ou une surveillance de l'accès et de l'utilisation de ces comptes.
  • 2.7.13 On a constaté qu'aucun des quatre systèmes de TI sélectionnés pour le sondage de vérification, à l'exception d'un seul, n'était doté des contrôles en bonne et due forme pour assurer une séparation appropriée des tâches entre l'administration de la sécurité et le développement/déploiement des changements dans le système.

2.7.14 Recommandations

  • AAC 8 / ACIA 8 - Le SMA DGSI /V.-P. DGGITI en collaboration avec le SMA DGGI AAC et le V.-P. RH ACIA, doivent s'assurer que la procédure de fin de service et le respect de cette procédure en ce qui a trait aux biens des TI, soient davantage officialisés à l'échelle d'AAC et de l'ACIA, y compris en ce qui a trait aux dispositions pour assurer le retrait au moment opportun de l'accès au réseau.
  • AAC 8
    Réponse de la direction : recommandation acceptée.
  • Plan d'action :
    Le directeur des services à la clientèle TI, DGSI, en collaboration avec le DG GBPI, DGGI, et le DE Ressources humaines (RH), DGGI, examinera, mettra à jour et officialisera les processus de fin de service courants liés aux biens de TI et mettra en œuvre des mécanismes, notamment des activités de communication avec le personnel et la direction, pour s'assurer que les processus sont suivis, y compris le retrait en temps opportun de l'accès au réseau.
  • Date d'achèvement prévue :
    30 juin 2015
  • Principaux responsables : SMA DGSI, directeur des services à la clientèle des TI; SMA DGGI, DG GBPI, DG RH
  • ACIA 8
    Réponse de la direction : La direction accepte cette recommandation.
  • Plan d'action :
    La direction examinera les procédures de fin de service et élaborera une stratégie pour améliorer les délais d'intervention et le respect des procédures par l'ensemble des gestionnaires et des employés.
  • Date d'achèvement prévue :
    octobre 2015
  • Principaux responsables : V.-P., Ressources humaines
  • AAC 9 / ACIA 9 - Le SMA DGSI /V.-P. DGGITI, en collaboration avec le SMA DGGI AAC et le V.-P. DGGI ACIA, doivent s'assurer que les normes pour les contrôles d'accès logique aux applications soit revues et appliquées, et qu'on s'assure de leur respect au moyen de processus de gestion du risque en matière de sécurité à AAC et à l'ACIA. Cela comprend des exigences à l'échelle de l'organisation pour ce qui est d'accorder et de revoir l'accès des utilisateurs, pour la gestion des comptes privilégiés, ainsi que pour la séparation appropriée des tâches.
  • AAC 9
    Réponse de la direction : recommandation acceptée.
  • Plan d'action :
    9.1 Le DG DGS, DGSI, en collaboration avec le DG SGI, DGSI, le DG DDA, DGSI, le directeur des services à la clientèle des TI de la DGSI et le DG GBPI, DGGI, examinera les normes d'accès logique aux applications et mettra à jour les pratiques courantes pour assurer des processus appropriés de gestion des comptes, y compris la séparation des tâches, et fera la promotion des normes, notamment par la formation et des activités de communication avec les gestionnaires et le personnel.
  • Date d'achèvement prévue :
    30 septembre 2015
  • 9.2 Le DG DGS, DGSI, déterminera les contrôles de sécurité spécifiques requis pour les applications en fonction de la norme actualisée au point 9.1 et s'assurera que ces contrôles font désormais partie des contrôles de sécurité de base pour toutes les applications.
  • Date d'achèvement prévue :
    31 décembre 2015
  • 9.3 Le DG DGS, DGSI, en collaboration avec le DG SGI, DGSI, le DG DDA, DGSI, et le directeur des services à la clientèle des TI de la DGSI, examinera toutes les applications en commençant par celles qui sont essentielles et d'une grande importance, pour déterminer la conformité aux normes actualisées.
  • Date d'achèvement prévue :
    31 mars 2016
  • 9.4 Le DG DGS, DGSI, en collaboration avec le DG SGI, DGSI, le DG DDA, DGSI, et le directeur des services à la clientèle des TI de la DGSI, mettra à jour les applications mentionnées au point 9.3 s'il y a lieu, pour s'assurer que les contrôles nécessaires sont en place.
  • Date d'achèvement prévue :
    30 juin 2016
  • 9.5. Le DG DGS, DGSI, évaluera deux fois par année les mises à jour effectuées aux applications pour s'assurer que les contrôles mis en place respectent la norme visée au point 2.2.
  • Date d'achèvement prévue :
    30 septembre 2016
  • Principaux responsables : SMA DGSI, DG DGS, DG DDA, DG SGI, directeur des services à la clientèle des TI; SMA DGGI, DG GBPI
  • ACIA 9
    Réponse de la direction : La direction accepte cette recommandation.
  • Plan d'action :
    La direction fera appel aux services d'un consultant principal pour élaborer un plan sur les modalités d'approbation, d'examen, de surveillance et d'exécution des contrôles d'accès logique aux applications. Le plan s'intéressera à la gestion des comptes privilégiés et à la garantie de séparation des tâches.
    • La réalisation de cette mesure dépend fortement de l'obtention du financement approprié de cette initiative et des progrès accomplis dans d'autres initiatives de l'Agence, comme le PCMA.
  • Date d'achèvement prévue :
    avril 2016
  • Principaux responsables : V-P, DGGITI; DE, Planification stratégique et gestion

Annexe A : Critères de vérification

Secteur d'intérêt 1 :
On a établi une structure de gouvernance pour la sécurité des Technologie de l'information (TI) pour le Ministère/l'Agence et les relations avec les partenaires et tierces parties.

  • 1.1 Une structure de gouvernance pour la sécurité des TI est établie et soutenue par un cadre de sécurité des TI approprié.
    • 1.1.1 La reddition de comptes, les pouvoirs délégués, les rapports hiérarchiques ainsi que les rôles et responsabilités en matière de sécurité des TI sont définis, documentés et communiqués aux personnes concernées.
    • 1.1.2 Les responsables de la gouvernance ont des mandats clairement définis, participent activement, exercent un niveau d'influence considérable et assurent la surveillance des processus de gestion.
    • 1.1.3 L'organisme de surveillance tient régulièrement des réunions et passe en revue l'information touchant les priorités et les plans en matière de sécurité des TI, il donne des conseils sur différentes questions, il évalue le rendement de la fonction de la sécurité des TI et il communique ses décisions à l'organisation de manière opportune.
  • 1.2 Agriculture et Agroalimentaire Canada (AAC)/l'Agence canadienne d'inspection des aliments (ACIA) a défini les exigences en matière de gouvernance, de production de rapports et de communication concernant ses relations avec Services partagés Canada (SPC).
    • 1.2.1 Les rôles et responsabilités en matière de sécurité des TI de SPC sont officiellement définis, documentés et communiqués.
    • 1.2.2 Un accord sur les niveaux de service est en place avec SPC, lequel définit des niveaux de service pour les services de sécurité des TI; le respect des exigences est également surveillé.
    • 1.2.3 Des mécanismes de gouvernance sont en place pour veiller à la communication et à l'examen réguliers de l'information sur les services de sécurité des TI offerts par SPC.
  • 1.3 Il existe une relation officielle avec les fournisseurs indépendants autres que SPC pour la prestation de services de TI, et des mécanismes de gouvernance sont en place pour veiller à l'atteinte des objectifs opérationnels définis.
    • 1.3.1 Un processus officiel est en place pour la sélection de fournisseurs indépendants autres que SPC pour la prestation de services de TI; ce processus tient compte des exigences en matière de sécurité des TI.
    • 1.3.2 Les ententes avec les fournisseurs indépendants autres que SPC prévoient des exigences en matière de sécurité des TI, et le respect de ces exigences est régulièrement déclaré, surveillé et évalué.

Secteur d'intérêt 2 :
Un processus officiel pour la gestion des renseignements de nature délicate est en place et il est appliqué de façon uniforme pour veiller à la classification, l'utilisation et la gestion appropriées des renseignements numériques de nature délicate.

  • 2.1 Un processus officiel pour la gestion des renseignements de nature délicate est en place et il est appliqué de façon uniforme pour veiller à la classification, l'utilisation et la gestion appropriées des renseignements numériques de nature délicate.
    • 2.1.1 Des politiques et des procédures officielles ont été élaborées en lien avec la gestion des renseignements numériques de nature délicate, et des outils appropriés sont fournis.
    • 2.1.2 Des processus en matière de sécurité matérielle sont en place et ils sont appliqués pour veiller à ce que l'accès physique aux renseignements de nature délicate soit restreint comme il se doit.

Secteur d'intérêt 3 :
Un processus officiel pour la gestion des risques relatifs à la sécurité des TI est en place et est appliqué pour les systèmes de TI.

  • 3.1 Un processus officiel pour la gestion des risques relatifs à la sécurité des TI est en place et est appliqué pour les systèmes de TI.
    • 3.1.1 Le processus d'évaluation de sécurité et d'autorisation (ESA) est défini, documenté, communiqué et intégré au cycle de développement des systèmes.
    • 3.1.2 Les systèmes de TI sont accrédités et certifiés officiellement.
    • 3.1.3 La conception/l'architecture des systèmes de TI est documentée et mise en place selon des contrôles de sécurité appropriés.
    • 3.1.4 Des documents détaillés sur la sécurité opérationnelle ont été rédigés et s'appliquent aux systèmes de TI.
    • 3.1.5 Des activités de surveillance, d'évaluation et de tenue à jour des autorisations ont été exécutées, et des mesures appropriées ont été prises à la lumière des résultats de ces activités.

Secteur d'intérêt 4 :
L'accès logique aux systèmes est accordé seulement aux utilisateurs autorisés.

  • 4.1 L'accès logique aux systèmes est accordé seulement aux utilisateurs autorisés.
    • 4.1.1 Des paramètres de sécurité logique sont configurés pour les comptes des utilisateurs afin d'assurer la responsabilisation des utilisateurs et de restreindre l'accès non autorisé.
    • 4.1.2 Les demandes d'accès aux systèmes suivent un processus officiel; elles sont présentées par les gestionnaires dont relèvent les utilisateurs, approuvées par les responsables des systèmes et elles répondent aux besoins opérationnels.
    • 4.1.3 Le processus officiel de départ des employés comprend la restitution de tous les renseignements et le retrait de tous les droits d'accès des systèmes d'information
    • 4.1.4 Les droits d'accès des utilisateurs sont examinés régulièrement et des modifications y sont apportées en temps opportun.
    • 4.1.5 L'accès des utilisateurs privilégiés est approprié et restreint compte tenu des besoins opérationnels

Annexe B : Acronymes

AAC
Agriculture et Agroalimentaire Canada
ACIA
Agence canadienne d'inspection des aliments
ASA
Agent de sécurité de l'Agence
ASM
Agent de sécurité du Ministère
BVE
Bureau de la vérification et de l'évaluation
BVG
Bureau du vérificateur général
CDSI
Comité directeur de la sécurité et des identités
CGH
Comité de gestion horizontale
CGSM
Comité de la gestion de la sécurité ministérielle
CSPG
Comité de gestion du programme de sécurité
CSTC
Centre de la sécurité des télécommunications Canada
CSTI
Coordonnateur de la sécurité de la technologie de l'information
CVDS
Cycle de développement des systèmes
DG
Directeur général
DGGI
Direction générale de la gestion intégrée
DGGITI
Direction générale de la gestion de l'information et de la technologie de l'information
DGSI
Direction générale des systèmes d'information
DGVE
Direction générale de la vérification et de l'évaluation
EMR
Évaluation de la menace et des risques
ESA
Évaluation de la sécurité et autorisation
EV
Évaluation de la vulnérabilité
GI-TI
Gestion de l'information et technologie de l'information
GRSTI
Politique sur la gestion des risques pour la sécurité des TI
GTSTI
Groupe de travail sur la sécurité des TI
LVERS
Listes de vérification des exigences relatives à la sécurité
PSA
Plan de sécurité de l'Agence
PSD
Plan de sécurité ministériel
PSG
Politique sur la sécurité du gouvernement
RH
Ressources humaines
RPRM
Registre des possibilités et des risques du Ministère
SA
Service d'annuaire
SGI
Services de gestion de l'information
SMA
Sous-ministre adjoint
SPC
Services partagés Canada
TI
Technologie de l'information