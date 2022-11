Devant des cyberattaques qui se font de plus en plus fréquentes, la vérificatrice générale Karen Hogan affirme dans un rapport déposé à la Chambre des communes que les exigences du gouvernement mises en place pour réduire les risques n'étaient pas toujours clairement définies .

Par conséquent, ces lacunes représentent un risque accru d'atteintes à la sécurité , note-t-elle en ajoutant que les cyberattaques sont de plus en plus fréquentes et perfectionnées .

Elle encourage le gouvernement à agir dès maintenant pour renforcer ses contrôles afin d'être en mesure de prévenir et de détecter les cyberattaques, puis d'y répondre.

Karen Hogan insiste sur l'importance d'agir sans tarder puisque les différents ministères n'en sont qu' aux premières étapes de la transition vers l'informatique en nuage .

Parmi les actions recommandées, on note le renforcement des principaux contrôles de sécurité pour prévenir et détecter les atteintes à la sécurité et intervenir en conséquence .

On propose aussi de définir des responsabilités et des rôles communs clairs en matière de cybersécurité afin que tous les ministères sachent ce qu'ils ont à faire.

Dans une réponse incluse dans le rapport, on apprend que le gouvernement accueille toutes les recommandations et a déjà prévu une série d'actions pour les mettre en place.

Pas de plan de financement à long terme

On révèle également dans le rapport que le Secrétariat du Conseil du Trésor du Canada a donné le mandat aux divers ministères, il y a quatre ans déjà, de se préparer à faire migrer leurs bases de données vers le nuage, ce qui veut dire que beaucoup plus d'informations personnelles des Canadiens vont s'y retrouver.

Toutefois, au cours de ces quatre ans, le Secrétariat du Conseil du Trésor n'a toujours pas fourni de plan de financement à long terme pour l'adoption de l'informatique en nuage.

« Les ministères ont besoin d'une méthode de financement et d'outils d'établissement des coûts pour s'assurer de disposer de la main-d’œuvre, de l'expertise, des compétences, de la formation, du financement et des autres ressources qu'ils requièrent pour sécuriser l'information stockée dans le nuage de manière à prévenir les menaces et les risques les plus importants et intervenir en conséquence. » — Une citation de Karen Hogan, vérificatrice générale du Canada

Le gouvernement mise sur plusieurs services qui doivent collaborer afin d'assurer la protection des renseignements stockés dans le nuage.

Selon la vérificatrice générale, le Secrétariat du Conseil du Trésor du Canada, Services partagés Canada, Services publics et Approvisionnement Canada, le Centre de la sécurité des télécommunications du Canada ainsi que plusieurs ministères mettent en place leurs propres contrôles en matière de cybersécurité, mais ils n'ont pas mis en œuvre efficacement ces contrôles et n'ont pas non plus établi et communiqué clairement les responsabilités et les rôles associés à leur mise en œuvre .

L'équipe de vérificateurs de Mme Hogan a aussi découvert des failles dans la manière dont sont menées les inspections de sécurité chez les fournisseurs d'espace de stockage nuagique. Ces observations ne peuvent toutefois pas être rendues publiques afin de ne pas nuire à la sécurité nationale.

Des responsabilités mal définies

Les contrats accordés par Services partagés Canada et les ententes conclues par Services publics et Approvisionnement Canada comportaient peu de détails sur les obligations des fournisseurs de services en cas d'incidents de sécurité, notamment les délais d'intervention visés et les personnes chargées d'intervenir , lit-on dans le rapport.

La vérificatrice générale révèle aussi que les rôles et les responsabilités de chacun sont énoncés dans de multiples documents. Ainsi, plusieurs ministères se trouvent confus au sujet de certaines de leurs responsabilités.