2022 — Rapports 5 à 8 de la vérificatrice générale du Canada au Parlement du Canada
Rapport 7 — La cybersécurité des renseignements personnels dans le nuage
Survol
L’information stockée numériquement, soit sur place dans des centres de données ou dans le nuage, est exposée à des risques de compromission. Dans l’ensemble, nous avons constaté que les exigences mises en place par le gouvernement pour réduire les risques pour la sécurité liés au stockage d’information dans le nuage n’étaient pas toujours suivies par les ministères que nous avons audités. De plus, ces exigences, de même que les responsabilités et les rôles connexes, n’étaient pas toujours clairement définies, ce qui a donné lieu à une mise en œuvre non uniforme et à des risques accrus. Ce point est important parce que le Secrétariat du Conseil du Trésor du Canada a demandé aux ministères d’envisager le déplacement de leurs applications et bases de données vers le nuage; de plus en plus de renseignements personnels de Canadiennes et de Canadiens y sont donc transférés. Parallèlement, les cyberattaques deviennent plus fréquentes et plus perfectionnées. Le risque de répercussions considérables sur le gouvernement et ses activités augmente.
Le gouvernement doit prendre des mesures immédiates pour renforcer sa manière de prévenir et de détecter les cyberattaques et d’intervenir en conséquence. Il devrait prendre ces mesures dès maintenant, pendant que les ministères en sont encore aux premières étapes du transfert des renseignements personnels vers le nuage. Ces mesures comprennent notamment le renforcement des principaux contrôles de sécurité pour prévenir et détecter les atteintes à la sécurité et intervenir en conséquence. Elles comprennent aussi la définition des responsabilités et des rôles communs clairs en matière de cybersécurité — qui sont très complexes dans un environnement infonuagique — de sorte que tous les ministères sachent exactement ce qu’ils doivent faire.
Nous avons aussi constaté que, quatre ans après avoir demandé aux ministères d’envisager la transition vers l’infonuagique, le Secrétariat du Conseil du Trésor du Canada n’avait toujours pas fourni de méthode de financement à long terme pour son adoption. Il n’avait pas non plus donné aux ministères les outils pour calculer le coût de la transition, de l’exploitation de l’infonuagique et de la sécurisation de l’information stockée dans le nuage. Les ministères ont besoin d’une méthode de financement et d’outils d’établissement des coûts pour s’assurer de disposer de la main-d’œuvre, de l’expertise, des compétences, de la formation, du financement et des autres ressources dont ils ont besoin pour sécuriser l’information stockée dans le nuage de manière à prévenir les menaces et les risques les plus importants et intervenir en conséquence. Une approche de financement et des outils d’établissement des coûts sont essentiels pour l’adoption de l’infonuagique et renforceraient les capacités de cyberdéfense du gouvernement du Canada, tant à l’échelle ministérielle que dans l’ensemble du gouvernement.
Pourquoi avons-nous effectué cet audit?
- L’information stockée numériquement, soit sur place dans des centres de données ou dans le nuage, est exposée à des risques de compromission.
- Les ministères fédéraux font passer leurs applications logicielles et leurs bases de données au nuage. Certaines de ces applications et bases de données contiennent des renseignements personnels de Canadiennes et de Canadiens. Les ministères doivent conjuguer leurs efforts pour protéger ces renseignements contre de nombreux risques, y compris des cyberattaques.
- Les atteintes à la cybersécurité sont à la hausse, et des contrôles robustes pour les prévenir, les détecter et intervenir en conséquence peuvent en réduire le risque
Nos constatations
- Il y avait des faiblesses dans les contrôles des ministères pour prévenir les cyberattaques, les détecter et intervenir en conséquence.
- Les responsabilités et les rôles en matière de cybersécurité infonuagique étaient imprécis et incomplets.
- Le Secrétariat du Conseil du Trésor du Canada n’avait pas fourni de modèle d’établissement des coûts des services infonuagiques aux ministères ou ne leur avait proposé aucune méthode en matière de financement.
- Services publics et Approvisionnement Canada et Services partagés Canada n’avaient pas inclus de critères environnementaux dans le cadre de leurs processus d’approvisionnement en services infonuagiques.
Les données clés
- Les dépenses ministérielles en services infonuagiques à l’échelle du gouvernement ont augmenté considérablement d’une année à l’autre, passant de 35 millions de dollars en 2018 à près de 120 millions de dollars en 2021.
- Les technologies numériques devraient être responsables de 8 % des émissions mondiales de gaz à effet de serre d’ici 2025 et de près de 14 % d’ici 2040.
Les trois ministères que nous avons sélectionnés aux fins de l’audit se servaient de diverses mesures de financement à court terme pour appuyer l’exploitation de l’infonuagique et la cybersécurité, incluant la réaffectation de fonds destinés à d’autres fins.
Aperçu de nos recommandations
- En consultation avec Services partagés Canada et Services publics et Approvisionnement Canada, le Secrétariat du Conseil du Trésor du Canada devrait préciser qui est responsable de la validation initiale et de la surveillance en continu des mesures de sécurité d’informatique en nuage.
- Le Secrétariat du Conseil du Trésor du Canada devrait vérifier que le Plan de gestion des événements de cybersécurité du gouvernement du Canada s’applique à l’environnement infonuagique en évolution et aux responsabilités partagées, le revoir et le tester, et le mettre à jour au besoin.
- En consultation avec Services partagés Canada et d’autres ministères, le Secrétariat du Conseil du Trésor du Canada devrait élaborer et fournir un modèle d’établissement des coûts afin d’aider les ministères à prendre des décisions éclairées au sujet de la transition vers l’infonuagique et aider les ministères à évaluer le financement de fonctionnement à long terme.
Consultez le rapport intégral pour lire toutes nos observations, analyses, recommandations et les réponses des entités auditées.
En 2015, le Canada s’est engagé à respecter le Programme de développement durable à l’horizon 2030 des Nations Unies, qui fixe 17 objectifs de développement durable. L’objectif 12 vise à établir des modes de consommation et de production durables. L’une de ses cibles consiste à « promouvoir des pratiques durables dans le cadre de la passation des marchés publics, conformément aux politiques et priorités nationales ».
En 2017, le Canada a lancé la Stratégie pour un gouvernement vert dans le but que toutes les organisations du gouvernement fédéral intègrent des considérations environnementales à leurs processus d’approvisionnement. La Stratégie recommande aux ministères d’encourager les fournisseurs à divulguer leurs émissions de gaz à effet de serre et des renseignements sur leur rendement environnemental.
En 2020, la Stratégie pour un gouvernement vert a été présentée en tant que directive du gouvernement du Canada. Elle indique que d’ici 2050, le Canada a l’intention d’atteindre la carboneutralité dans ses activités, y compris pour l’approvisionnement de ses biens et services. La Stratégie indique aussi que le gouvernement inclurait des critères visant à réduire les émissions de gaz à effet de serre dans ses processus d’approvisionnement de biens et de services qui ont une grande incidence sur l’environnement. Comme il a été noté dans le rapport de mai 2022 du commissaire à l’environnement et au développement durable sur la Stratégie pour un gouvernement vert, les progrès réalisés jusqu’ici montrent que le gouvernement n’est pas en voie d’atteindre son objectif de réduction des émissions.
Au moment de l’audit, le gouvernement du Canada mettait à jour sa Stratégie d’adoption de l’infonuagique. La version la plus récente, datée de février 2022, comprenait une liste de 10 éléments visant à aider les ministères à réaliser une valeur opérationnelle. L’un de ces éléments porte sur la contribution à l’ensemble des objectifs du gouvernement en matière de développement durable par la mise en place d’une infrastructure hautement efficace à l’échelle de l’organisation qui permet de réduire les émissions de gaz à effet de serre et favorise l’écologisation du gouvernement.
Visitez notre page « Le développement durable et le Bureau du vérificateur général du CanadaBVG » pour en apprendre davantage sur le développement durable au BVG.
Visuels choisis
Le gouvernement du Canada a établi 12 mesures de sécurité de l’informatique en nuage qui servent d’ensemble minimal de contrôles de sécurité
| Mesures de sécurité d’informatique en nuage | Objectif |
|---|---|
|
1. Protéger le compte racine ou des administrateurs généraux |
Protéger le compte racine ou principal utilisé pour établir le service infonuagique. |
|
2. Gestion des privilèges d’administration |
Établir des stratégies et des procédures de contrôle d’accès pour la gestion des privilèges administratifs. |
|
3. Accès à la console du nuage |
Limiter l’accès aux appareils gérés par le gouvernement du Canada et aux utilisatrices et utilisateurs autorisés. |
|
4. Comptes de surveillance organisationnels |
Créer un compte fondé sur les rôles pour permettre la surveillance et la visibilité organisationnelle. |
|
5. Emplacement des données |
Établir des politiques pour limiter les applications et l’information sensibles du gouvernement du Canada aux emplacements géographiques approuvés. |
|
6. Protection des données au repos |
Protéger les données au repos par défaut (p. ex. stockage) pour les applications dans le nuage. |
|
7. Protection des données en transit |
Protéger les réseaux de transit de données à l’aide de mesures appropriées de chiffrement et de protection du réseau. |
|
8. Segmenter et séparer |
Segmenter et séparer les renseignements en fonction de leur sensibilité. |
|
9. Services de sécurité du réseau |
Établir des périmètres de réseau externes et internes et surveiller l’achalandage du réseau. |
|
10. Services de cyberdéfense |
Établir un protocole d’entente pour les services de défense et de surveillance des menaces. |
|
11. Journalisation et surveillance |
Activer la journalisation de l’information et des événements du réseau et du système pour l’environnement infonuagique et les charges de travail basées sur le nuage. |
|
12. Configuration des contrats d’infonuagique |
Restreindre les logiciels dans le marché des fournisseurs de services infonuagiques tiers aux produits approuvés par le gouvernement du Canada. |
|
Source : D’après les Mesures de sécurité d’informatique en nuage du GC, gouvernement du Canada |
|
L’adoption de l’infonuagique entraîne des coûts de cybersécurité à court et à long terme pour les ministères
Remarque : Ces listes donnent des exemples de considérations liées aux coûts et ne sont pas exhaustives.
Version textuelle
À court terme, la migration de l’information vers le nuage entraîne des coûts associés aux tâches suivantes :
- la formation;
- la gestion de projets;
- la gestion du changement;
- la mise à jour des processus;
- la préparation des données en vue de la migration;
- la modification, le transfert ou le remplacement des applications.
Les organisations fédérales doivent aussi engager des coûts initiaux et à court terme associés aux tâches suivantes liées à la cybersécurité :
- la création et la formation des équipes de cybersécurité;
- l’achat d’outils de cybersécurité et la formation des équipes à leur utilisation;
- la configuration des paramètres de sécurité des services infonuagiques.
À long terme, l’exploitation de l’infonuagique et les activités connexes entraînent des coûts liés à ce qui suit :
- les frais de services infonuagiques (variables selon l’utilisation du nuage — p. ex. le stockage de données, les types de services, le nombre et le type d’applications, les nouvelles fonctionnalités);
- la maintenance continue;
- la gestion du risque.
Les organisations fédérales doivent aussi engager des coûts permanents et à long terme associés aux tâches suivantes liées à la cybersécurité :
- la prestation de formation continue aux équipes de cybersécurité;
- la gestion de la sécurité des services infonuagiques (paramètres de sécurité);
- la surveillance des incidents de sécurité et la réponse aux incidents.
Infographie
Version textuelle
La cybersécurité des renseignements personnels dans le nuage
Même si le gouvernement fédéral avait des exigences relatives à la sécurité de l’information stockée dans le nuage, ces exigences n’étaient pas toujours clairement définies, et les ministères que nous avons examinés ne les respectaient pas toutes.
Le stockage infonuagique
Le stockage infonuagique est l’une des façons dont le gouvernement sauvegarde l’information en ligne afin qu’elle soit facilement accessible en tout temps et à partir de n’importe où.
Les données sont créées par des utilisatrices et des utilisateurs à l’aide de différents appareils tels que des ordinateurs, des téléphones et des tablettes. Ces données sont stockées dans le nuage du gouvernement du Canada, et les personnes qui en ont besoin y accèdent plus tard. Le gouvernement du Canada peut utiliser des serveurs infonuagiques sur demande, en payant uniquement pour ce dont il a besoin.
La protection des renseignements personnels dans le nuage
Lorsque les organisations fédérales stockent des renseignements dans le nuage, elles ont la responsabilité de les protéger.
Quelques façons dont le gouvernement protège l’information :
- Inspection des installations physiques où les renseignements protégés sont stockés.
- Planification de la façon de détecter les atteintes à la sécurité et d’intervenir en conséquence.
- Détermination des exigences et des responsabilités en matière de sécurité dans les contrats avec les fournisseurs de services infonuagiques.
- Établissement et suivi des contrôles de sécurité, appelés « mesures de sécurité », afin de protéger les données.
En quoi consistent les mesures de sécurité et comment fonctionnent-elles?
Les organisations fédérales qui utilisent des services infonuagiques sont censées mettre en place les mesures de sécurité du gouvernement du Canada — un ensemble de contrôles de base — et en assurer le suivi afin de protéger l’information qu’elles stockent ou transmettent au moyen du nuage.
Exemples de mesures de sécurité
Les mesures de sécurité suivantes protègent les données en transit :
- le chiffrement;
- les mesures de protection du réseau.
Les mesures de sécurité suivantes assurent la sécurité du réseau :
- l’établissement des périmètres du réseau;
- la surveillance du trafic sur le réseau.
Notre audit a révélé un manque d’uniformité dans l’application et la surveillance des mesures de sécurité, ce qui accroît le risque de cyberattaques et de compromission des renseignements personnels de la population canadienne stockés dans le nuage.
Les cyberattaques pourraient entraîner :
- l’interruption de services gouvernementaux;
- la défaillance ou la destruction de l’infrastructure essentielle (comme la fermeture de banques ou des pannes de courant);
- la divulgation de données personnelles et la possibilité de vols d’identité.
Les cyberattaques sont de plus en plus fréquentes et perfectionnées.
Le gouvernement doit prendre des mesures maintenant, alors que les organisations fédérales en sont aux premières étapes du transfert de l’information vers le nuage, pour renforcer la façon dont il prévient et détecte les cyberattaques et pour améliorer ses interventions.
Information connexe
Entités
Date de dépôt
- 15 novembre 2022
Audits connexes
- 2021 — Rapports de la vérificatrice générale du Canada au Parlement du Canada
Rapport 1 — L’approvisionnement en solutions de technologies de l’information complexes
Comparution au Parlement