ARCHIVÉ - Vérification de la gestion de la sécurité des technologies de l information (TI)

Transcription

1 C O N S E I L N A T I O N A L D E R E C H E R C H E S C A N A D A ARCHIVÉ - Vérification de la gestion de la sécurité des technologies de l information (TI) Ce fichier PDF a été archivé dans le Web. Contenu archivé Information archivée dans le Web à des fins de consultation, de recherche ou de tenue de documents. Cette dernière n a aucunement été modifiée ni mise à jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s appliquent aux sites Web du gouvernement du Canada. Conformément à la Politique de communication du gouvernement du Canada, vous pouvez obtenir cette information dans un autre format en communiquant avec nous à l adresse : webcontent@nrc-cnrc.gc.ca.

2 Conseil national de recherches Canada Vérification de la gestion de la sécurité des technologies de l information (TI) Vérification interne, CNRC Juin 2007

3 TABLE DES MATIÈRES 1.0 Sommaire Introduction Contexte Gestion de la sécurité des TI au CNRC Au sujet de la vérification Constatations découlant de la vérification Premier objectif de la vérification : Vérifier si le CNRC respecte la norme de GSTI Deuxième objectif de la vérification : Vérifier si le CNRC respecte ses propres politiques et normes en matière de sécurité Troisième objectif de la vérification : Évaluer l efficacité, l efficience et le caractère économique de la gestion des services de sécurité des TI du CNRC Quatrième objectif de la vérification : Vérifier si les observations et les recommandations formulées dans le cadre de l examen externe de la sécurité des TI de 1999 ont été appliquées Conclusion Annexe A : Critères de vérification de la norme de GSTI Annexe B : Critères de vérification relatifs aux politiques de sécurité des TI du CNRC Annexe C : Recommandations issues de l examen externe de la sécurité des TI réalisé en 1999 et constatations de la vérification de Annexe D : Plans d action de la gestion Annexe E : Glossaire Juin 2007 i

4 1.0 Sommaire Contexte Le Secrétariat du Conseil du Trésor (SCT) exige des ministères et des organismes qu ils procèdent à des vérifications internes périodiques du respect de la Politique sur la sécurité (PS) et de l efficacité de sa mise en œuvre. Cette politique exige des ministères d.effectuer la surveillance active de leur programme de sécurité et d effectuer des vérifications internes. La norme de Gestion de la sécurité des technologies de l information (GSTI) définit les exigences de base en matière de sécurité que les ministères fédéraux doivent satisfaire pour assurer la sécurité de l information et des biens liés à la technologie de l information (p. ex., logiciels et matériel) placés sous leur contrôle. Cette norme de sécurité opérationnelle appuie la Politique du gouvernement sur la sécurité. La norme de GSTI indique, entre autres choses, que : les ministères doivent établir et gérer un programme ministériel de sécurité; les profils de risque ministériels détermineront les exigences sécuritaires de base à mettre en œuvre afin de répondre aux exigences de la norme de GSTI. Le dernier examen de la sécurité des TI réalisé au CNRC remonte à Par la suite, le Plan de vérification interne axé sur les risques pour à a déterminé que la vérification de la gestion de la sécurité des TI était une priorité. La démarche du CNRC concernant la gestion de la sécurité des TI consiste en la création d un «environnement de TI en principe ouvert pour faciliter la recherche et l innovation». Parallèlement, cet environnement doit assurer la protection des renseignements de nature délicate et les renseignements que le CNRC détient au nom de ses clients et collaborateurs. Juin

5 Objectifs, portée et méthodes de la vérification Les objectifs de la vérification de la gestion de la sécurité des TI étaient les suivants : vérifier si le CNRC respecte la norme de GSTI; vérifier si le CNRC respecte ses propres politiques et normes en matière de sécurité des TI; évaluer l efficacité, l efficience et le caractère économique des services de sécurité des TI du CNRC; assurer le suivi des constatations et des recommandations formulées dans le cadre de l examen externe de la sécurité des TI réalisé en Le CNRC a embauché une équipe de spécialistes de la TI reconnus et agréés pour procéder à la vérification. Les critères de vérification étaient fondés sur les exigences de la norme de GSTI et celles des politiques et des normes internes du CNRC en matière de sécurité. La présente vérification porte notamment sur les services de sécurité des TI qu offre la Direction des services de gestion de l information (DSGI) relativement aux éléments des services de première nécessité, ainsi que sur les douze instituts, directions et programmes (I/D/P) et les sept bureaux de la haute direction que la DGSI soutient directement, et sur trois instituts auxquels la DGSI n offre aucun service de soutien en matière de sécurité des TI. La vérification ne porte pas sur le matériel informatique qui est utilisé aux seules fins de la recherche dans les instituts du CNRC. Les conclusions de la vérification se fondent sur des éléments probants recueillis entre juillet 2006 et avril Juin

6 Opinion du vérificateur et énoncé d assurance La vérification n a pas permis d évaluer l exposition générale du CNRC aux risques liés à la sécurité des TI. Nous ne pouvons donc conclure avec une assurance raisonnable que la sécurité des TI au CNRC dans son ensemble est conforme à la Politique du gouvernement sur la sécurité (PGS) ou à la norme de Gestion de la sécurité des technologies de l information (GSTI) du gouvernement, car le CNRC n a pas officiellement défini et documenté tous ses systèmes administratifs centraux ou essentiels à ses activités. En outre, non seulement la Direction des services de gestion de l information (DSGI) du CNRC n offre pas de services de sécurité des TI à tous les instituts, directions et programmes, mais elle n a pas l autorité fonctionnelle lui permettant de surveiller le respect de la politique et de la norme susmentionnées, ou de les faire respecter. On ne peut pas supposer que son taux de conformité élevé (97 p. 100) s applique à tout le CNRC. Si une analyse vérifiable subséquente permet de démontrer qu aucun système essentiel n échappe au contrôle de la DSGI, on pourra conclure avec assurance que le CNRC dans son ensemble respecte la PGS et la norme de GSTI. Il est important de comprendre que, bien que les taux de conformité à la norme de GSTI soient révélateurs de la probabilité que les systèmes de TI soient protégés, ils ne sont pas concluants. Autrement dit, des taux de conformité à la norme de GSTI élevés ne signifient pas nécessairement un degré élevé de sécurité des TI, et des taux de conformité faibles ne sont pas nécessairement le signe de systèmes de TI non protégés. Seule une vérification complète de la sécurité des TI peut le vérifier. Pour ces raisons, nous ne sommes pas non plus en mesure de conclure avec une assurance raisonnable que le CNRC dans son ensemble respecte ses propres politiques, normes et lignes directrices en matière de sécurité des TI. Nous avons constaté que la plupart des recommandations faites dans le cadre de l examen externe de la sécurité des TI de 1999 ont été mises en œuvre. Enfin, nous avons également constaté que l efficacité, l efficience et le caractère économique de la gestion de la sécurité des TI au CNRC pouvaient faire l objet d une amélioration. Juin

7 À mon avis, en tant que dirigeante de la vérification, les travaux de vérification que nous avons menés et les éléments probants que nous avons recueillis étaient suffisants et appropriés pour appuyer l exactitude de l opinion présentée dans le présent rapport. Cette opinion se fonde sur une comparaison entre les conditions, en vigueur au moment de la vérification, et les critères de vérification. Les éléments probants ont été recueillis conformément à la politique, aux directives et aux normes du Conseil du Trésor sur la vérification interne, et les méthodes employées étaient conformes aux normes professionnelles de l Institut des vérificateurs internes. Conclusion et recommandations Le degré de conformité à la norme de GSTI variait entre la DSGI et les trois instituts que nous avons examinés. En général, la DSGI respecte la norme de GSTI dans une proportion de 97 p Toutefois, les trois instituts affichaient des taux moins élevés, soit 86, 76 et 76 p. 100, dans les principaux domaines de la gestion des risques. Tous les domaines de non-conformité sont liés aux analyses de sensibilité de tous les systèmes, aux évaluations des menaces et des risques associées à tous les systèmes essentiels, à la certification et à l accréditation de ces systèmes, ainsi qu à la planification de la continuité des opérations et de la reprise après sinistre. Il est important de comprendre que, bien que les taux de conformité à la norme de GSTI soient révélateurs de la probabilité que les systèmes de TI soient protégés, ils ne sont pas concluants. En d autres termes, des taux de conformité à la norme de GSTI élevés ne signifient pas nécessairement un degré élevé de sécurité des TI, et des taux de conformité faibles ne sont pas nécessairement le signe de systèmes de TI non protégés. Seule une vérification complète de la sécurité des TI peut le vérifier. On doit prendre note qu il est impossible pour l équipe de vérification de déterminer si le CNRC dans son ensemble est conforme à la norme de GSTI, car le CNRC n a ni clairement défini ni officiellement documenté tous ses systèmes essentiels, ce sur quoi le modèle de gouvernance du CNRC en matière de sécurité des TI se fonde. Juin

8 À notre avis, les lacunes suivantes au chapitre de la conformité représentent des secteurs de risque pour le CNRC : Il n y a pas suffisamment de surveillance de la sécurité des TI à l échelle de l organisation. Nous avons constaté que le coordonnateur de la sécurité des TI du CNRC, qui est responsable du respect de la norme de GSTI, n a pas le pouvoir d agir à titre de personne-ressources principale en ce qui concerne les questions de sécurité des TI. Par conséquent, il ne peut pas garantir aux cadres supérieurs que tous les systèmes de TI du CNRC sont dotés des mesures de protection adéquates. La gestion du risque liée à la sécurité des TI est inégale dans l organisation. Par conséquent, le CNRC ne possède ni un portrait clair de son exposition aux risques en matière de sécurité des TI, ni la certitude que ses systèmes de TI offrent un niveau de sécurité correspondant à la sensibilité de l information qu ils contiennent. La vaste gamme de technologies et de protocoles visant à permettre aux employés du CNRC qui travaillent à l extérieur d accéder aux systèmes de TI du CNRC pose un risque continu pour l organisme. Nous avons constaté des degrés variables de conformité aux politiques et aux normes du CNRC qui régissent la sécurité des TI. La DSGI s y conformait en général. Cependant, deux des trois instituts que nous avons examinés présentaient des taux de conformité considérablement moins élevés (58 p. 100). Nous avons conclu qu il existe des possibilités d amélioration de l efficacité, de l efficience et du caractère économique de la gestion des services de sécurité des TI du CNRC. Ces possibilités se rapportent à la surveillance, à la gestion des risques, à la gestion des biens, au stockage, à l accès à distance, à la protection antivirus et à la gestion du changement. Juin

9 Le CNRC a mis en œuvre la plupart des recommandations issues de l examen externe de la sécurité des TI réalisé en Ce qui inquiète le plus est l absence permanente d un plan de continuité des opérations à l échelle de l organisation. Principales recommandations 1. Afin d améliorer la surveillance des TI, les cadres supérieurs du CNRC devraient désigner un coordonnateur de la sécurité des TI au CNRC, qui serait responsable de la sécurité des TI dans tout l organisme et qui aurait autorité en la matière. 2. Afin de renforcer la gestion du risque en matière de sécurité des TI, le CNRC devrait : a) définir ce qu il entend par «centraux» et par «essentiels» en ce qui concerne les systèmes de TI; b) préciser la sensibilité de tous ses systèmes de TI, y compris les systèmes utilisés aux seules fins de la recherche, et documenter les justifications ou les critères servant à les désigner comme des systèmes centraux ou essentiels à ses activités; c) mener d autres activités précises de gestion des risques, comme des évaluations suffisamment rigoureuses des menaces et des risques, et des activités de certification et d accréditation de tous les systèmes essentiels, comme l exigent les politiques du CNRC et la norme de GSTI. 3. Le CNRC devrait élaborer un plan de continuité des opérations à l échelle de l organisation relativement à la sécurité des TI. 4. Le CNRC devrait élaborer une politique sur l accès à distance ayant comme objectif d éliminer l utilisation de protocoles non protégés, de réduire l éventail des protocoles utilisés et de renforcer la sécurité de l accès à distance pour les télétravailleurs. Juin

10 5. La direction devrait examiner les coûts, les avantages et la faisabilité éventuels entourant la centralisation des services de gestion des biens, de stockage, d accès à distance, de protection antivirus et de gestion du changement, actuellement offerts par les instituts. Jayne Hinchliff-Milne, CMA, Dirigeante de la vérification Membres de l équipe de vérification du CNRC 1 : Irina Nikolova, CA, CIA, CISA Réponse globale de la gestion: Cette vérification a servi à souligner plusieurs domaines où les pratiques de gestion du CNRC relatives à la sécurité des TI doivent être clarifiées et officialisées à l échelle de l organisme. Toutefois, indépendamment des recommandations de la vérification, lesquelles seront mises en œuvre au cours des prochains mois, le CNRC continue de gérer un programme de protection efficace au sein du Conseil, qui a été conçu pour protéger ses renseignements et ses biens de valeur liés à la TI. Ce programme comprend les quatre éléments principaux suivants : une série de politiques et de normes actuelles qui reflètent l orientation de la haute direction à l égard de la sécurité des TI; une structure organisationnelle souple comprenant le Centre de protection de l information de la DSGI du CNRC et un réseau d agents de sécurité des systèmes d information au niveau des I/D/P, conçue pour relever les défis que pose l environnement réparti du CNRC relativement à la sécurité des TI; plusieurs processus de sécurité des TI bien établis qui portent sur la gestion du risque, l intervention en cas d incident, la formation du personnel dans le domaine de la TI et la sensibilisation des 1 Une équipe de spécialistes de la TI reconnus et agréés est venue s ajouter à l équipe de vérification du CNRC pour procéder à la vérification. Juin

11 utilisateurs; une architecture de sécurité technique visant à mieux protéger les systèmes et les renseignements du CNRC tout en facilitant l activité principale du Conseil. Ces éléments d actualité sont en place et sont essentiels à la stratégie de protection de l information du CNRC. La mise en œuvre des recommandations de la vérification permettra au CNRC de mettre au point une stratégie déjà efficace et de tirer pleinement parti de son investissement en matière de sécurité des TI. Juin

12 2.0 Introduction 2.1 Contexte Le Secrétariat du Conseil du Trésor (SCT) exige des ministères et des organismes qu ils procèdent à des vérifications internes périodiques du respect de la Politique sur la sécurité (PS) et de l efficacité de sa mise en œuvre. Cette politique est entrée en vigueur en février 2002 et prévoit l application de mesures de protection des employés et des biens dans les ministères et organismes. Le but de ces mesures de protection est d appuyer la prestation de services et l atteinte des objectifs opérationnels du gouvernement. Plus précisément, la PS exige des ministères qu ils surveillent activement leur programme de sécurité et qu ils procèdent à des vérifications de leur programme de sécurité. La norme de Gestion de la sécurité des technologies de l information (GSTI) définit les exigences de base en matière de sécurité auxquelles les ministères fédéraux doivent satisfaire pour assurer la sécurité de l information et des biens liés à la technologie de l information (p. ex., logiciels et matériel) placés sous leur contrôle. Cette norme de sécurité opérationnelle appuie la Politique sur la sécurité. Elle appuie aussi la Politique sur la gestion de l information et la Politique de sécurité nationale. La norme de GSTI indique, entre autres choses, que : les ministères doivent établir et gérer un programme ministériel de sécurité; les profils de risque ministériels détermineront la mise en œuvre de mesures de base en matière de sécurité afin de répondre aux exigences de la norme de GSTI. En 2005, la vérificatrice générale du Canada a procédé à une vérification de la sécurité de la technologie de l information (TI) de portée gouvernementale. Par la suite, le Secrétariat du Conseil du Trésor (SCT) a demandé aux ministères, dont le CNRC, d élaborer un plan d action visant à répondre aux principales recommandations formulées par la vérificatrice générale dans le cadre de cette vérification. Le SCT a Juin

13 aussi demandé aux ministères de préparer un rapport d étape sur leur progression en matière de respect absolu de la norme de GSTI et de la PGS. Ces rapports devaient être achevés au plus tard en janvier Une vérification interne de la fonction de la sécurité au CNRC a été réalisée en Cependant, cette vérification ne portait pas sur la sécurité des TI, comme l exige la PS, car une société d experts-conseils avait procédé à un examen complet de ce domaine à l échelle du CNRC, en Depuis, l unité de la vérification interne n a réalisé que de minimes travaux de vérification dans le domaine de la sécurité des TI afin de donner au CNRC le temps de mener à terme les projets qui avaient été entrepris en réponse aux recommandations issues de l examen externe. Par la suite, le Plan de vérification interne axé sur les risques pour à du CNRC a défini la vérification de la gestion de la sécurité des TI comme une priorité. 2.2 Gestion de la sécurité des TI au CNRC La démarche du CNRC concernant la gestion de la sécurité des TI implique la création d un «environnement de TI en principe ouvert pour faciliter la recherche et l innovation». Parallèlement, cet environnement doit assurer la protection des renseignements de nature délicate et les renseignements que le CNRC détient au nom de ses clients et collaborateurs. Modèle centralisé et décentralisé du CNRC en matière de TI Afin de maintenir un environnement de TI ouvert tout en s assurant qu il protège adéquatement ses renseignements et ses systèmes, le CNRC a mis en place une structure organisationnelle souple destinée à la gestion de la TI et de la sécurité des TI. Ce cadre de gestion, élaboré en réponse à l examen externe de la sécurité des TI réalisé en 1999, contient des éléments tant centralisés que décentralisés ou «dispersés». Juin

14 Éléments centralisés : La Direction des services de gestion de l information (DSGI) offre des services de TI à l échelle du CNRC et est responsable des éléments clés de l infrastructure de TI du CNRC. La figure 1 présente un schéma simplifié des quatre fonctions de la DSGI ayant une incidence sur les services de sécurité des TI, nommément : les Systèmes centraux de gestion de l information, la Direction des services de la technologie, le Centre de protection de l information et la Planification de la gestion de l information. Figure 1 : Direction des services de gestion de l information Les Systèmes centraux de gestion de l information sont responsables de l élaboration, du fonctionnement et du soutien des systèmes de gestion à l échelle du CNRC, ainsi que de l entretien des données de référence. Les systèmes de gestion à l échelle du CNRC englobent la communication de données, la communication vocale, les applications Web et «Sigma», un système fondé sur le SAP qui soutient des fonctions clés comme la comptabilité, l établissement du budget, la gestion des ressources humaines et l approvisionnement. La Direction des services de la technologie de la DSGI remplissent une double fonction, assurant la gestion d éléments clés de l infrastructure de TI du CNRC au Canada et la prestation de services de soutien technologique aux instituts, aux directions et aux programmes de la région de la capitale nationale qui ont choisi de ne pas offrir ces services eux-mêmes. Juin

15 Le Centre de protection de l information (CPI) est une unité de la DSGI qui veille à ce que le CNRC prenne les mesures nécessaires pour protéger ses banques de données et ses biens liés à la technologie de l information contre les menaces à leur sécurité. Animé par une large consultation, le CPI joue un rôle de premier plan dans l élaboration de politiques, de normes et de procédures en matière de sécurité des TI. Il assume le rôle de centre de réception de rapports d incidents liés à la sécurité au CNRC. Le CPI offre des services essentiels visant à protéger l information, dont les suivants : surveillance du réseau étendu du CNRC afin d en détecter les intrusions; traitement des rapports d incidents de sécurité et enquêtes sur ces incidents; évaluation des menaces et des risques; informatique judiciaire; sensibilisation et formation en matière de sécurité des TI. Enfin, la Planification de la gestion de l information soutient les comités qui forment la structure de régie de GI-TI du CNRC et y participe. Éléments décentralisés : Dans les instituts, les directions et les programmes (I/D/P), la responsabilité de la sécurité des TI incombe aux directeurs généraux respectifs. La figure 2 présente un organigramme du CNRC illustrant quels I/D/P font appel aux services de la DSGI et quels I/D/P ont choisi d offrir leurs propres services de sécurité des TI à l interne. La DSGI offre des services de soutien complets à douze I/D/P et au bureau de la haute direction. Elle offre aussi des services limités à certains instituts; par exemple, cinq I/D/P reçoivent des services de protection antivirus seulement. Tous les I/D/P ont un officier de sécurité des systèmes d information (OSSI). L OSSI relève directement du directeur général de l institut ou de la direction pour ce qui est des questions de sécurité et il aide les gestionnaires de systèmes et leur personnel à élaborer les fonctions de sécurité nécessaires à la gestion quotidienne des systèmes d information dans leurs lieux de travail. Il est aussi responsable de surveiller le respect des politiques de sécurité des TI par l I/D/P. Juin

16 Un «forum des OSSI» (groupe de travail axé sur le consensus) commente l élaboration des politiques et des lignes directrices du CNRC en matière de sécurité. Ce groupe est présidé par le coordonnateur de la sécurité des TI du CNRC, mais ce dernier n a aucune autorité fonctionnelle en matière de sécurité des TI en dehors de la DSGI. Ce forum «virtuel» communique par voie électronique avec d autres membres pour discuter de problèmes précis et les résoudre par consensus au fur et à mesure qu ils surviennent. On ne tient aucun procès-verbal officiel. Trois autres éléments complètent le cadre de gestion de la sécurité des TI au CNRC : le Comité de la haute direction, le dirigeant principal de l information (provenant anciennement du Conseil d information du CNRC) et le Comité consultatif de la GI-TI. Le Comité de la haute direction, composé du président, des vice-présidents et des directeurs généraux des Ressources humaines et des Finances du CNRC, est responsable de soutenir et d approuver la politique de sécurité des TI du CNRC. Le Comité de l information du CNRC a été dissous en mars 2007 à la fin de son mandat, dont le but était de créer la série complète de politiques et de normes sur la gestion de l information et les technologies de l information, actuellement en vigueur. À sa place, le vice-président des Services corporatifs agit à titre de dirigeant principal de l information du CNRC, conformément aux exigences de la norme de GSTI. Le Comité consultatif de la GI-TI élabore des recommandations en vue de l adoption de politiques, de normes et de directives en matière de sécurité des TI, qui sont ensuite approuvées soit par le vice-président des Services corporatifs, soit par le Comité de la haute direction. Le dirigeant principal de l information et le Comité consultatif de GI-TI, qui sont responsables de la gouvernance organisationnelle en plus de la sécurité des TI, se réunissent, au besoin, pour discuter des questions de sécurité des TI. Juin

17 Figure 2 : Structure organisationnelle du CNRC relative aux services de sécurité des TI Président du CNRC Direction des ressources humaines Direction financière Secrétaire générale Services juridiques Vérification interne V.-P. Sciences de la vie V.-P. Sciences Physiques V.-P. Génie V.-P. Soutien technologique et industriel V.-P. Services corporatifs Institut de recherche en biotechnologie (IRB) Institut du biodiagnostic (IBD) Institut des sciences biologiques (ISB) Institut des biosciences marines (IBM) Institut de biotechnologie des plantes Initiative en génomique et en santé (IGS) Institut Herzberg d astrophysique (IHA) Institut de technologie des procédés chimiques et de l environnement (ITPCE) Institut de technologie de l information (ITI) Institut des sciences des microstructure (ISM) Institut des étalons nationaux de mesure (IENM) Institut national de nanotechnologie (INN) Institut Steacie des sciences moléculaires (ISSM) Programme de recherche sur les piles à combustible Installation de partenariats industriels Institut de recherche aérospatiale (IRA) Institut d innovation en piles à combustible (IIPC) Institut des matériaux industriels (IMI) Institut des technologies de fabrication intégrée (ITFI) Institut des technologies océaniques (ITO) Institut de recherche en construction (IRC) Centre d hydraulique canadien (CHC) Centre de technologie des transports de surface (CTTS) Services de conception et de fabrication Renouvellement du CNRC Institut canadien de l information scientifique et technique (ICIST) Programme d aide à la recherche industrielle (PARI) Relations d affaires Légende: I/D/P appuyés par le DGSI I/D/P partiellement appuyés par la DGSI I/D/P indépendants qui offrent leurs propres services de sécurité de la TI Direction des services administratifs et gestion de l immobilier (SAGI) Direction des services de gestion de l information (DSGI) Direction de la stratégie et du développement (DSD) Soutien à la mise en œuvre de la stratégie Secrétariat des grappes Juin

18 2.3 Au sujet de la vérification Objectifs Les objectifs de la vérification de la gestion de la sécurité des TI étaient les suivants : vérifier si le CNRC respecte la norme de GSTI; vérifier si le CNRC respecte ses propres politiques et normes en matière de sécurité; évaluer l efficacité, l efficience et le caractère économique des services du CNRC liés à la sécurité des TI; assurer le suivi des constatations et des recommandations formulées dans la cadre de l examen externe de la sécurité des TI réalisé en 1999 ont été appliquées. Portée La présente vérification porte notamment sur les services de sécurité des TI qu offre la DSGI relativement aux éléments des services de première importance. Elle porte aussi sur les douze instituts, directions et programmes, ainsi que le bureau de la haute direction que la DSGI soutient directement. De plus, nous nous sommes penchés sur la gestion de la sécurité des TI dans trois instituts pour lesquels la DSGI n offre aucun service de soutien en matière de sécurité des TI : un institut de taille moyenne possédant un certain nombre d établissements répartis dans tout le Canada; un institut de grande taille hautement représentatif du CNRC dans son ensemble et qui accomplit du travail délicat; un institut de très grande taille possédant des bureaux dans tout le Canada. La présente vérification ne porte pas sur le matériel informatique qui est utilisé aux seules fins de la recherche dans les instituts du CNRC. L équipe de vérification a recueilli des éléments probants entre juillet 2006 et avril Juin

19 Stratégie et méthodologie Le CNRC a embauché une équipe de spécialistes de la TI reconnus et agréés pour procéder à la vérification. Les critères de vérification étaient fondés sur les exigences de la norme de GSTI et celles des politiques et des normes internes du CNRC en matière de sécurité. Jusqu à présent, le SCT n a fourni aucun outil de vérification servant à évaluer la mesure dans laquelle les ministères se conforment aux 144 exigences détaillées de la norme de GSTI. Le SCT n a pas non plus indiqué le degré minimal de conformité que les ministères doivent atteindre avant d être considérés «conformes à la norme de GSTI». En l absence d une telle directive, l équipe de vérification a choisi de grouper les critères détaillés de la norme de GSTI en 29 critères de vérification visant à évaluer les pratiques de contrôle. Ces critères dérivent des quatre domaines de sécurité des TI dont traite la norme de GSTI, nommément : approche ministérielle de l organisation et de la gestion de la sécurité des TI; ressources de sécurité des TI destinées aux projets; contrôles de gestion; mesures de protection techniques et opérationnelles. La figure 3 ci-dessous présente des renseignements sur chacun de ces domaines. L équipe de vérification de la TI a eu recours au jugement professionnel pour élaborer les 29 objectifs de contrôle servant à évaluer la mesure dans laquelle le CNRC était conforme à la norme de GSTI. Ces critères ont été communiqués à la DSGI et aux trois instituts visés par la vérification aux fins d examen dans le cadre de la phase de planification de la vérification et intégrés au mandat. L annexe A présente la liste complète des 29 critères de vérification utilisés pour évaluer la conformité à la norme de GSTI. Nous avons évalué la mesure dans laquelle le CNRC respecte ses propres politiques et normes en matière de sécurité des TI par rapport à 19 critères dérivant des politiques de sécurité des TI du CNRC. L annexe B présente la liste complète des critères de Juin

20 vérification détaillés utilisés pour la vérification par rapport aux politiques du CNRC en matière de sécurité. Dans le cadre de l évaluation de la conformité à la norme de GSTI et aux normes du CNRC (premier et deuxième objectif), nous avons interviewé le personnel de la DSGI et des instituts et examiné les politiques, les procédures et les normes, ainsi que d autres documents, comme des fichiers journaux et des courriels. Dans le cadre de l évaluation de l efficacité, de l efficience et du caractère économique des services de sécurité des TI du CNRC (troisième objectif), nous avons interviewé le personnel concerné et analysé les diverses activités et politiques de contrôle à la recherche de signes d inefficacité et d absence d économie. Notre suivi de l examen externe de la sécurité des TI réalisé en 1999 (quatrième objectif), dans le cadre duquel nous avons mené des entrevues, étudié et analysé des documents et des activités de contrôle, visait à recueillir des données probantes sur la mesure dans laquelle le CNRC a mis en œuvre les recommandations issues de cet examen. L annexe C présente la liste complète de ces recommandations de l examen externe de 1999 Juin

21 . Figure 3 : Les quatre principaux domaines de contrôle de la norme de GSTI Domaine 1 er domaine : Approche ministérielle de l organisation et de la gestion de la sécurité des TI 2 e domaine : Ressources de sécurité des TI destinées aux projets 3 e domaine : Contrôles de gestion 4 e domaine : Mesures de protection techniques et opérationnelles Aperçu Ce domaine fait référence à la façon dont tout programme ministériel de sécurité des TI doit être organisé et géré. Il porte sur les rôles et les responsabilités, la politique, les ressources et la gestion. La norme de GSTI précise ce que les gestionnaires de TI doivent faire au stade de la planification de nouveaux programmes ou services et d'importantes mises à niveau de programmes ou services existants. En vertu de ces exigences, les gestionnaires doivent, dès le tout début du processus de financement et d'approbation, déterminer les exigences en matière de sécurité des TI pour ces programmes, services ou mises à niveau, et indiquer les ressources requises dans les demandes de financement. Ce domaine fait référence aux contrôles de gestion qui s appliquent à tous les programmes et services ministériels. La partie III de la norme de GSTI définit les mesures de protection techniques et opérationnelles à l appui de ces contrôles. La norme de GSTI contient une orientation et des consignes sur certaines des mesures de protection techniques et opérationnelles disponibles. Les ministères en sélectionnent certaines et, éventuellement, d autres. Ensemble, elles permettent de ramener le risque à un niveau acceptable. D'autres mesures de protection sont décrites dans d'autres normes de sécurité et documents techniques. Juin

22 3.0 Constatations découlant de la vérification 3.1 Premier objectif de la vérification : Vérifier si le CNRC respecte la norme de GSTI Conclusion générale Le degré de conformité à la norme de GSTI variait entre la DSGI et les trois instituts que nous avons examinés. Sauf pour ce qui est de la planification de la continuité des opérations, la DSGI est conforme à la norme de GSTI. Toutefois, les trois instituts affichaient des taux de conformité moins élevés dans des domaines importants comme la gestion du risque, ainsi que la certification et l accréditation de leurs systèmes. On doit prendre note qu il est impossible pour l équipe de vérification de déterminer si le CNRC dans son ensemble est conforme à la norme de GSTI, car le CNRC n a ni clairement défini ni officiellement documenté tous ses systèmes essentiels, ce sur quoi le modèle de gouvernance du CNRC en matière de sécurité des TI se fonde. À notre avis, les lacunes suivantes au chapitre de la conformité représentent des secteurs de risque pour le CNRC : Il n y a pas suffisamment de surveillance de la sécurité des TI à l échelle de l organisation. Nous avons constaté que le directeur de la sécurité des TI du CNRC, c est-à-dire le coordonnateur de la sécurité des TI du CNRC, qui est responsable du respect de la norme de GSTI, n a pas le pouvoir d agir à titre de personne-ressources principale en ce qui concerne les questions de sécurité des TI. Par conséquent, il ne peut pas assurer aux cadres supérieurs que tous les systèmes de TI du CNRC sont dotés des mesures de protection adéquates. La gestion du risque liée à la sécurité des TI est inégale dans l organisation. Par conséquent, le CNRC ne possède ni un portrait clair de son exposition aux risques en matière de sécurité des TI, ni la certitude que ses systèmes de TI offrent un niveau de sécurité correspondant à la sensibilité de l information qu ils contiennent. Juin

23 La grande gamme de technologies et de protocoles visant à permettre aux employés du CNRC qui travaillent à l extérieur d accéder aux systèmes de TI du CNRC pose un risque continu pour l organisme. Constatations L équipe de vérification a noté un certain nombre de forces en ce qui concerne la conformité à la norme de GSTI. Par exemple, le CNRC a précisé les rôles et les responsabilités liés à la gestion de la sécurité des TI. Il a aussi émis un ensemble complet de politiques, de procédures et de normes relatives à la gestion de cette fonction et mis en œuvre un programme de sensibilisation à la sécurité à l intention de ses employés. Le CNRC effectue des enquêtes de sécurité sur le personnel pour déterminer qui aura accès à quels renseignements de nature délicate et il utilise des zones de sécurité. Ces zones divisent le réseau et offrent des niveaux de sécurité plus élevés selon la sensibilité des renseignements. Nous nous attendions à ce que les instituts, directions et programmes (I/D/P) aient, dans l ensemble, respecté les normes de GSTI. En se conformant à ces normes, les organismes peuvent démontrer qu ils ont accompli ce qu il fallait pour protéger adéquatement les renseignements qu ils détiennent. En août 2005, le CNRC a présenté au SCT le plan d action et la méthode qu il entendait utiliser pour arriver à se conformer à la norme de GSTI. Le CNRC a choisi d adopter une «approche globale» relativement à la sécurité de ses «systèmes centraux et essentiels», tout en créant un «environnement de TI en principe ouvert pour faciliter la recherche et l innovation». Les systèmes centraux et essentiels sont ceux qui sont indispensables au bon fonctionnement de l organisation. Nous avons évalué le CNRC par rapport à 29 groupes de critères de la norme de GSTI, comme nous l avons mentionné ci-dessus, et avons constaté que la DSGI en respecte un nombre équivalent à 97 p Dans les trois autres instituts, ce taux de conformité s établissait à 86, 76 et 76 p. 100, respectivement. On doit prendre note que la mention «aucune notation» ne signifie pas nécessairement que le taux de conformité est égal à Juin

24 zéro. Dans bien des cas, nous avons constaté des activités qui étaient partiellement conformes. Bien que nous ayons réussi à établir des taux de conformité pour la DSGI et les trois instituts examinés, nous n avons pas été en mesure de le faire pour le CNRC dans son ensemble, car, comme le montre la figure 2 ci-dessus, la DSGI offre des services de sécurité des TI à certains instituts, certaines directions et certains programmes seulement. Le CNRC ne possède pas de document de référence unique présentant de façon générale quels systèmes sont «centraux» et quels systèmes sont «essentiels». Sans un tel document, on ne peut pas certifier avec une assurance raisonnable que la DSGI est au courant de tous les risques importants potentiels pour la sécurité des TI dans les I/D/P auxquels elle n offre aucun service, ni qu elle peut répondre à ces risques. En conséquence, on ne peut pas conclure avec une assurance raisonnable que le taux de conformité élevé de la DSGI puisse s appliquer au CNRC dans son ensemble. Surveillance : Le CNRC ne surveille pas activement la sécurité des TI à l échelle de tout l organisme. Les dispositions actuelles du CNRC relatives à la sécurité des TI n exigent ni ne prévoient que les gestionnaires de programmes et de projets de TI œuvrant dans les instituts consultent le coordonnateur de la sécurité des TI du CNRC ou qu ils communiquent avec lui concernant les mesures afférentes à la sécurité des TI dans le cas de projets individuels. Au contraire, la norme de GSTI l exige. L objectif consiste à faire en sorte que tous les projets de TI entrepris dans un organisme répondent aux exigences nécessaires en matière de sécurité. Ces exigences varient selon les projets. La norme de GSTI exige aussi du coordonnateur de la sécurité des TI qu il serve de principale personne-ressource au ministère dans ce domaine. Toutefois, le directeur de la sécurité des TI ne joue pas ce rôle au CNRC; aucun mandat documenté n attribue au directeur la responsabilité et le pouvoir en matière de sécurité des TI dans l ensemble de l organisme. La communication et la consultation entre les parties concernées par la sécurité des TI étant ponctuelles, le CNRC ne dispose actuellement pas d un portrait clair des activités de sécurité des TI en cours dans ses divers instituts, ni des risques à Juin

25 la sécurité des TI auxquels l organisme dans son ensemble est exposé. La sphère d influence du directeur étant limitée, la haute direction ne peut pas savoir si chaque système de TI du CNRC intègre des mesures de protection appropriées. Gestion des risques de sécurité touchant la TI : La gestion des risques de sécurité touchant la TI étant inégale au CNRC, la haute direction ne dispose pas d un portrait complet et global de la sensibilité de ses systèmes et des renseignements qu ils contiennent. Elle ne dispose pas non plus d information complète sur son exposition aux risques liés à la sécurité des TI. La norme de GSTI exige des organismes qu ils mènent continuellement des activités visant à gérer les risques de sécurité touchant la TI. Ces activités comprennent la détermination de la sensibilité de l information et des systèmes de TI, l évaluation des menaces et des risques et la certification et l accréditation de ces systèmes. Les énoncés de nature délicate décrivent et classent en catégories les renseignements et les biens connexes selon leur sensibilité (degré de confidentialité et de disponibilité et d intégrité requis). À ce titre, ces énoncés constituent une étape importante du processus d évaluation des risques. Plus le degré de sensibilité est élevé, plus le risque associé au bien ou au système en question est élevé. Les évaluations des menaces et des risques consistent en une évaluation de la probabilité de la présence d une menace ou d un risque, ainsi que de l incidence d une telle présence. La certification et l accréditation représentent une décision rendue par la direction de faire fonctionner un système tout en reconnaissant les risques qui sont associés au fonctionnement de ce système. Une fois qu un système a été certifié et accrédité, la responsabilité liée à la sécurité de ce système passe de ceux qui l ont conçu à ceux qui le font fonctionner. Nous nous attendions à ce que la DSGI et les instituts faisant partie de notre échantillon aient mis en place un processus officiel de gestion des risques liés à la sécurité des TI. Nous pensions que ce processus suffirait à garantir que les renseignements détenus sont adéquatement protégés étant donné leur sensibilité et des facteurs comme les menaces potentielles, les vulnérabilités et l exposition aux risques liés à la TI. Juin

26 Nous avons constaté que la DSGI et l un des trois autres instituts examinés ont effectivement mis en place un processus officiel de gestion des risques. À quelques exceptions près, ils satisfont en général aux exigences de la norme de GSTI dans ce domaine. Aucun processus officiel n est cependant en place dans les deux autres instituts. La gestion des risques dans ces instituts est non officielle et ne répond pas aux normes de GSTI. Nous avons remarqué que ni l un ni l autre n avait officiellement évalué ou documenté la sensibilité des renseignements dont il est responsable. Par conséquent, nous n avons pas été en mesure d évaluer l exposition du CNRC aux risques associés au défaut de se conformer à la norme de GSTI. Des membres du personnel affecté à la sécurité des TI dans ces deux instituts nous ont expliqué que, malgré le manque d énoncés de nature délicate et d autres lacunes, le système de sécurité des TI existant protège adéquatement les banques de données dont ils sont responsables. Cependant, nous n avons pas été en mesure de vérifier de façon objective si c était effectivement le cas. Nous n avons trouvé aucun élément probant documenté indiquant l exacte sensibilité des renseignements contenus dans leurs divers systèmes. En conséquence, nous n avons pas pu déterminer si leur évaluation du degré de sensibilité est juste ou si le niveau de sécurité des TI est approprié étant donné le niveau de risque associé à leurs banques de données. L équipe de vérification n a donc pas pu déterminer si les mesures de protection de l information détenue par ces instituts étaient adéquates. Nous avons aussi constaté qu aucun des trois instituts examinés ne dispose de processus de certification et d accréditation pour ce qui est de ses systèmes de sécurité des TI. Si l on omet de certifier et d accréditer un système, il est possible que la direction fasse fonctionner ce système sans clairement comprendre les risques qui y sont associés. Enfin, rien ne nous permet d affirmer qu il existe un plan officiel de continuité des opérations comprenant la reprise après sinistre pour le CNRC dans son ensemble, comme l exige la norme de GSTI. Nous avons toutefois observé que la DSGI dispose d un plan de reprise après sinistre à l intention des I/D/P dont elle gère la sécurité des TI. L un des trois autres instituts examinés dispose d un plan de continuité des opérations qui exige un essai complet pour être considéré tout à fait conforme. Un Juin

27 autre de ces instituts dispose de systèmes dotés de la fonction de redondance intégrée lui permettant d assurer un service ininterrompu en cas de panne de courant complète ou autre sinistre, ce qui n a toutefois pas été documenté dans un plan de continuité des opérations. Le dernier institut examiné possède un plan partiel de reprise après sinistre relatif à une partie seulement de ses activités. On doit toutefois prendre note que l on a demandé au directeur général de la Direction des services administratifs et de la gestion de l immobilier d élaborer un plan de continuité des opérations pour le CNRC. Tout organisme devrait mettre en place une stratégie et un plan de continuité des opérations pour se protéger, et surtout pour protéger ses processus opérationnels essentiels, contre les effets de pannes ou de sinistres majeurs, ainsi que pour réduire au minimum les dommages causés par de tels événements. Informatique mobile et télétravail : La norme de GSTI comprend un certain nombre d exigences liées à la capacité du personnel à accéder aux renseignements, aux réseaux et aux systèmes d un ministère à partir de lieux situés en dehors des bureaux du gouvernement. Comme l exige la norme de GSTI, nous nous attendions à ce que le CNRC ait pris des mesures précises pour protéger ses ordinateurs, ses liaisons de communications et les renseignements qu ils contiennent contre les risques associés à des activités comme l informatique mobile et le télétravail. Les mesures classiques devant être mises en place par les ministères comprennent, sans toutefois s y limiter, les mesures suivantes : contrôles d accès, chiffrement, logiciel de détection de virus et pare-feux. Les ministères doivent aussi s'assurer que les membres du personnel qui travaillent à l extérieur de leurs installations comprennent leurs responsabilités en matière de sécurité, dont la sensibilité et la criticité des renseignements auxquels ils ont accès. Pour évaluer la mesure dans laquelle le CNRC se conforme à ces exigences, nous avons interrogé le coordonnateur de la sécurité des TI et visité les trois instituts faisant partie de notre échantillon. Notre principale préoccupation concerne le fait que le CNRC ne dispose d aucune politique régissant l accès à distance à ses ressources et réseaux de TI. Nous avons constaté que le CNRC, en comparaison avec des organismes de même importance, utilise une gamme «d architectures d accès à Juin

28 distance» exceptionnellement vaste. Ce terme fait référence aux technologies et aux protocoles relatifs à l accès à distance, à savoir l accès aux systèmes du CNRC par les employés qui travaillent à l extérieur des installations. La gamme de protocoles relatifs à l accès à distance augmente la possibilité d une vulnérabilité susceptible d être exploitée et, par la suite, de compromettre gravement le réseau du CNRC. Nous avons observé qu en , le CNRC a fait l objet de huit incidents à risque élevé touchant la sécurité des TI. Cinq d entre eux sont attribuables à des faiblesses découlant de la méthode employée par le CNRC à l égard de l accès à distance et ont entraîné une divulgation, une destruction, un retrait, une modification, une interruption ou une utilisation non autorisé des biens du CNRC. Bien qu un seul incident à risque élevé ait été signalé au Centre de protection de l information de la DSGI en , le «menu» actuel des architectures d accès à distance pose un risque permanent pour le CNRC. 1 re recommandation Afin d améliorer la surveillance de la sécurité des TI, les cadres supérieurs du CNRC devraient désigner un coordonnateur de la sécurité des TI au CNRC, qui serait responsable de la sécurité des TI dans tout l organisme et qui aurait autorité en la matière. Réponse de la direction du CNRC: La direction est d accord avec cette recommandation; un coordonnateur de la sécurité des TI qui sera responsable de la sécurité des TI à l échelle du CNRC et qui aura autorité en la matière sera nommé en consultation avec le Comité de la haute direction (CHD). Toutefois, un tel rôle devra être appuyé par une solide structure de gouvernance en matière de GI-TI en général et par un robuste cadre de gouvernance de la sécurité de l information en particulier. On se penchera sur la question de la gouvernance en matière de GI-TI dans le cadre d une étude que le CNRC a déjà amorcée, c est-à-dire un examen complet de la GI-TI visant à étudier le modèle actuel de prestation de services de TI et à déterminer la façon dont le CNRC pourrait améliorer l efficacité et les rapports coût-efficacité dans ce domaine. Plus précisément, cette étude d une portée considérable englobera tous les services de GI-TI qui sont Juin

29 offerts au personnel du CNRC, soit de façon centralisée par la DSGI, soit localement par les instituts, les directions et les programmes individuels. Le mandat a été élaboré et approuvé par le CHD; le directeur général de la DSGI codirigera cet effort en collaboration avec le directeur général d un institut de recherche qui n a pas encore été choisi. Les questions entourant la prestation de services de TI feront l objet d un examen et d un rapport qui sera présenté au CHD au plus tard en janvier On déterminera aussi des possibilités ou des préoccupations précises qui devront faire l objet d une étude plus approfondie dans le cadre d une phase ultérieure. On prévoit que la plupart des recommandations de la vérification seront abordées en tenant compte du contexte de cet examen. 2 e recommandation Afin de renforcer la gestion du risque en matière de sécurité des TI, le CNRC devrait : a) définir ce qu il entend par «centraux» et par «essentiels» en ce qui concerne les systèmes de TI; b) préciser la sensibilité de tous ses systèmes de TI, y compris les systèmes utilisés aux seules fins de la recherche, et documenter les justifications ou les critères servant à les désigner comme des systèmes centraux ou essentiels; c) mener d autres activités précises de gestion des risques, comme des évaluations suffisamment rigoureuses des menaces et des risques, et des activités de certification et d accréditation de tous les systèmes essentiels, comme l exigent les politiques du CNRC et la norme de GSTI. Réponse de la direction du CNRC: 2. a) La direction est d accord avec cette recommandation; chaque politique et norme en matière de GI-TI est revue tous les deux ans dans le cadre du cycle de vie de cette politique. Toutes les politiques et normes en matière de sécurité des TI feront l objet d un examen complet entre juillet et septembre On ajoutera les termes Juin