Un rapport du Bureau du vérificateur général du Canada affirme que la surveillance des cybermenaces au pays n’est pas réalisée « de façon complète ou en temps opportun » et que l’établissement de partenariats en vue de protéger l’infrastructure essentielle prend trop de temps.
Le rapport Automne 2012 du Bureau consacre un chapitre entier à la manière dont les ministères et organismes fédéraux protègent l’infrastructure essentielle du Canada contre les cybermenaces. Certains passages du document sont loin d’être rassurants.
Le Bureau du vérificateur général a par exemple examiné si le Centre canadien de réponse aux incidents cybernétiques (CCRIC), fondé en 2005, remplissait son mandat de maintenir une connaissance de la situation relativement à l’évolution des cybermenaces au Canada.
Cet examen a permis de constater que le CCRIC n’est toujours pas en fonction 24 heures par jour, sept jours par semaine, comme on l’avait prévu au départ, ce qui peut retarder la détection de nouvelles menaces et la diffusion d’information à ce sujet aux intervenants.
Au moment de l’examen – qui s’est terminé en juillet –, le Centre n’était ouvert que de 8 heures à 16 heures du lundi au vendredi. Selon la procédure, les menaces ou les attaques cybernétiques signalées au CCRIC après les heures d’ouverture sont reçues par le Centre des opérations du gouvernement (COG), qui envoie un message par téléavertisseur à l’employé du CCRIC en disponibilité à ce moment-là. « Cet employé doit ensuite communiquer avec le COG pour déterminer la nature de l’événement et décider des mesures à prendre », révèle le rapport.
Aucun plan pour une ouverture en tout temps
Selon le Bureau du vérificateur général, le fait que le CCRIC ne soit pas ouvert en tout temps fait en sorte qu’il y a un risque de délai « relativement à la transmission d’information essentielle liée à des vulnérabilités récemment découvertes ou à des incidents cybernétiques en cours signalés au CCRIC après les heures d’ouverture ».
Les représentants de Sécurité publique Canada ont par ailleurs affirmé que le Ministère s’affairait actuellement à prolonger les heures d’ouverture du CCRIC de 6 heures à 21 heures, sept jours par semaine, mais qu’aucun plan n’était établi pour que le Centre soit ouvert en tout temps.
Le vérificateur général Michael Ferguson recommande donc à Sécurité publique Canada de renforcer la capacité du CCRIC à maintenir une connaissance de la situation relative aux cybermenaces qui pèsent contre l’infrastructure essentielle du Canada et à communiquer cette information aux propriétaires et aux exploitants d’éléments de l’infrastructure essentielle.
L’infrastructure essentielle désigne les installations et l’équipement liés aux technologies de l’information, comme les réseaux électriques et de télécommunications, les systèmes bancaires et de fabrication, les réseaux de transport, de même que les systèmes d’information et les services gouvernementaux qui permettent aux administrations publiques de fonctionner efficacement et sans interruption.
Des partenariats trop longs à ficeler
Le rapport affirme également que les progrès effectués par le gouvernement fédéral dans l’établissement de partenariats avec le secteur privé, les provinces et les territoires sont inégaux.
Il y a 11 ans, le gouvernement annonçait qu’il allait former des partenariats avec les autres ordres de gouvernement et avec les propriétaires et exploitants d’éléments de l’infrastructure essentielle du pays pour protéger celle-ci : « Les réseaux sectoriels à l’appui de ces partenariats ne sont toujours pas pleinement établis et ils n’englobent pas l’ensemble des intervenants concernés. Le peu de progrès réalisé à cet égard nuit à la capacité de Sécurité publique Canada de communiquer avec les propriétaires et exploitants d’éléments de l’infrastructure essentielle », peut-on lire dans le document.
De plus, 11 ans plus tard, sur les dix réseaux sectoriels, seuls cinq avaient discuté de cybersécurité…
Des rôles mal définis
Selon le Bureau du vérificateur général, la Politique sur la sécurité du gouvernement ne reflète pas les rôles et les responsabilités actuels en matière de sécurité des technologies de l’information. Le rôle de Services partagés Canada (SPC) serait notamment mal défini en matière de sécurité des TI.
Services partagés Canada est un organisme fédéral établi en août 2011 pour réduire le chevauchement des services d’infrastructure de la technologie de l’information au sein du gouvernement du Canada. Le gouvernement souhaitait ainsi moderniser sa façon d’offrir des services à la population et améliorer la sécurité de ses infrastructures TI.
Pourtant, Services partagés Canada ne figure pas dans la liste des principaux organismes chargés de la sécurité présentée dans la Politique sur la sécurité du gouvernement, puisqu’il a été créé après la diffusion de cette dernière.
L’équipe de Michael Ferguson recommande donc au Secrétariat du Conseil du Trésor du Canada, de mettre à jour les politiques et les plans pertinents pour qu’ils tiennent compte des nouveaux rôles et responsabilités qu’assume SPC en matière de sécurité des TI.
