Vérification de la gestion de la sécurité des technologies de l

Transcription

CONSEIL NATIONAL DE RECHERCHES CANADA
ARCHIVÉ - Vérification de la
gestion de la sécurité des
technologies de l’information (TI)
Ce fichier PDF a été archivé dans le Web.
Contenu archivé
Information archivée dans le Web à des fins de consultation, de recherche ou de
tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à jour
depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas
assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada.
Conformément à la Politique de communication du gouvernement du Canada, vous
pouvez obtenir cette information dans un autre format en communiquant avec nous
à l’adresse : [email protected].
Conseil national de recherches Canada
Vérification de la gestion de la
sécurité des technologies de
l’information (TI)
Vérification interne, CNRC
Juin 2007
Vérification de la gestion de la sécurité des TI
TABLE DES MATIÈRES
1.0
2.0
Sommaire ............................................................................... 1
Introduction ........................................................................... 9
2.1
2.2
2.3
3.0
Contexte......................................................................................................... 9
Gestion de la sécurité des TI au CNRC ................................................. 10
Au sujet de la vérification .......................................................................... 15
Constatations découlant de la vérification ................. 19
3.1
Premier objectif de la vérification : Vérifier si le CNRC respecte la
norme de GSTI ........................................................................................... 19
3.2
Deuxième objectif de la vérification : Vérifier si le CNRC respecte ses
propres politiques et normes en matière de sécurité ........................... 28
3.3
Troisième objectif de la vérification : Évaluer l’efficacité, l’efficience et
le caractère économique de la gestion des services de sécurité des TI
du CNRC ..................................................................................................... 29
3.4
Quatrième objectif de la vérification : Vérifier si les observations et les
recommandations formulées dans le cadre de l’examen externe de la
sécurité des TI de 1999 ont été appliquées ........................................... 32
4.0
Conclusion........................................................................... 34
Annexe A : Critères de vérification de la norme de GSTI.......... 37
Annexe B : Critères de vérification relatifs aux politiques de
sécurité des TI du CNRC .......................................... 44
Annexe C : Recommandations issues de l’examen externe de la
sécurité des TI réalisé en 1999 et constatations de la
vérification de 2007.................................................... 50
Annexe D : Plans d’action de la gestion ......................................... 61
Annexe E : Glossaire........................................................................ 66
Juin 2007
Unité de la vérification interne, Conseil national de recherches du Canada
i
1.0 Sommaire
Contexte
Le Secrétariat du Conseil du Trésor (SCT) exige des ministères et des organismes
qu’ils procèdent à des vérifications internes périodiques du respect de la Politique sur la
sécurité (PS) et de l’efficacité de sa mise en œuvre. Cette politique exige des ministères
d.effectuer la surveillance active de leur programme de sécurité et d’effectuer des
vérifications internes.
La norme de Gestion de la sécurité des technologies de l’information (GSTI) définit les
exigences de base en matière de sécurité que les ministères fédéraux doivent satisfaire
pour assurer la sécurité de l’information et des biens liés à la technologie de
l’information (p. ex., logiciels et matériel) placés sous leur contrôle. Cette norme de
sécurité opérationnelle appuie la Politique du gouvernement sur la sécurité. La norme
de GSTI indique, entre autres choses, que :

les ministères doivent établir et gérer un programme ministériel de sécurité;

les profils de risque ministériels détermineront les exigences sécuritaires de base
à mettre en œuvre afin de répondre aux exigences de la norme de GSTI.
Le dernier examen de la sécurité des TI réalisé au CNRC remonte à 1999. Par la suite,
le Plan de vérification interne axé sur les risques pour 2006-2007 à 2008-2009 a
déterminé que la vérification de la gestion de la sécurité des TI était une priorité.
La démarche du CNRC concernant la gestion de la sécurité des TI consiste en la
création d’un « environnement de TI en principe ouvert pour faciliter la recherche et
l’innovation ». Parallèlement, cet environnement doit assurer la protection des
renseignements de nature délicate et les renseignements que le CNRC détient au nom
de ses clients et collaborateurs.
Juin 2007
1
Objectifs, portée et méthodes de la vérification
Les objectifs de la vérification de la gestion de la sécurité des TI étaient les suivants :

vérifier si le CNRC respecte la norme de GSTI;

vérifier si le CNRC respecte ses propres politiques et normes en matière de
sécurité des TI;

évaluer l’efficacité, l’efficience et le caractère économique des services de
sécurité des TI du CNRC;

assurer le suivi des constatations et des recommandations formulées dans le
cadre de l’examen externe de la sécurité des TI réalisé en 1999.
Le CNRC a embauché une équipe de spécialistes de la TI reconnus et agréés pour
procéder à la vérification. Les critères de vérification étaient fondés sur les exigences
de la norme de GSTI et celles des politiques et des normes internes du CNRC en
matière de sécurité.
La présente vérification porte notamment sur les services de sécurité des TI qu’offre la
Direction des services de gestion de l’information (DSGI) relativement aux éléments des
services de première nécessité, ainsi que sur les douze instituts, directions et
programmes (I/D/P) et les sept bureaux de la haute direction que la DGSI soutient
directement, et sur trois instituts auxquels la DGSI n’offre aucun service de soutien en
matière de sécurité des TI. La vérification ne porte pas sur le matériel informatique qui
est utilisé aux seules fins de la recherche dans les instituts du CNRC. Les conclusions
de la vérification se fondent sur des éléments probants recueillis entre juillet 2006 et
avril 2007.
Juin 2007
2
Opinion du vérificateur et énoncé d’assurance
La vérification n’a pas permis d’évaluer l’exposition générale du CNRC aux risques
liés à la sécurité des TI. Nous ne pouvons donc conclure avec une assurance
raisonnable que la sécurité des TI au CNRC dans son ensemble est conforme à la
Politique du gouvernement sur la sécurité (PGS) ou à la norme de Gestion de la
sécurité des technologies de l’information (GSTI) du gouvernement, car le CNRC n’a
pas officiellement défini et documenté tous ses systèmes administratifs centraux ou
essentiels à ses activités. En outre, non seulement la Direction des services de
gestion de l’information (DSGI) du CNRC n’offre pas de services de sécurité des TI à
tous les instituts, directions et programmes, mais elle n’a pas l’autorité fonctionnelle
lui permettant de surveiller le respect de la politique et de la norme susmentionnées,
ou de les faire respecter. On ne peut pas supposer que son taux de conformité élevé
(97 p. 100) s’applique à tout le CNRC. Si une analyse vérifiable subséquente permet
de démontrer qu’aucun système essentiel n’échappe au contrôle de la DSGI, on
pourra conclure avec assurance que le CNRC dans son ensemble respecte la PGS et
la norme de GSTI.
Il est important de comprendre que, bien que les taux de conformité à la norme de
GSTI soient révélateurs de la probabilité que les systèmes de TI soient protégés, ils
ne sont pas concluants. Autrement dit, des taux de conformité à la norme de GSTI
élevés ne signifient pas nécessairement un degré élevé de sécurité des TI, et des
taux de conformité faibles ne sont pas nécessairement le signe de systèmes de TI
non protégés. Seule une vérification complète de la sécurité des TI peut le vérifier.
Pour ces raisons, nous ne sommes pas non plus en mesure de conclure avec une
assurance raisonnable que le CNRC dans son ensemble respecte ses propres
politiques, normes et lignes directrices en matière de sécurité des TI. Nous avons
constaté que la plupart des recommandations faites dans le cadre de l’examen
externe de la sécurité des TI de 1999 ont été mises en œuvre. Enfin, nous avons
également constaté que l’efficacité, l’efficience et le caractère économique de la
gestion de la sécurité des TI au CNRC pouvaient faire l’objet d’une amélioration.
Juin 2007
3
À mon avis, en tant que dirigeante de la vérification, les travaux de vérification que
nous avons menés et les éléments probants que nous avons recueillis étaient
suffisants et appropriés pour appuyer l’exactitude de l’opinion présentée dans le
présent rapport. Cette opinion se fonde sur une comparaison entre les conditions, en
vigueur au moment de la vérification, et les critères de vérification. Les éléments
probants ont été recueillis conformément à la politique, aux directives et aux normes
du Conseil du Trésor sur la vérification interne, et les méthodes employées étaient
conformes aux normes professionnelles de l’Institut des vérificateurs internes.
Conclusion et recommandations
Le degré de conformité à la norme de GSTI variait entre la DSGI et les trois instituts
que nous avons examinés. En général, la DSGI respecte la norme de GSTI dans une
proportion de 97 p. 100. Toutefois, les trois instituts affichaient des taux moins élevés,
soit 86, 76 et 76 p. 100, dans les principaux domaines de la gestion des risques. Tous
les domaines de non-conformité sont liés aux analyses de sensibilité de tous les
systèmes, aux évaluations des menaces et des risques associées à tous les systèmes
essentiels, à la certification et à l’accréditation de ces systèmes, ainsi qu’à la
planification de la continuité des opérations et de la reprise après sinistre. Il est
important de comprendre que, bien que les taux de conformité à la norme de GSTI
soient révélateurs de la probabilité que les systèmes de TI soient protégés, ils ne sont
pas concluants. En d’autres termes, des taux de conformité à la norme de GSTI élevés
ne signifient pas nécessairement un degré élevé de sécurité des TI, et des taux de
conformité faibles ne sont pas nécessairement le signe de systèmes de TI non
protégés. Seule une vérification complète de la sécurité des TI peut le vérifier.
On doit prendre note qu’il est impossible pour l’équipe de vérification de déterminer si le
CNRC dans son ensemble est conforme à la norme de GSTI, car le CNRC n’a ni
clairement défini ni officiellement documenté tous ses systèmes essentiels, ce sur quoi
le modèle de gouvernance du CNRC en matière de sécurité des TI se fonde.
Juin 2007
4
À notre avis, les lacunes suivantes au chapitre de la conformité représentent des
secteurs de risque pour le CNRC :
•
Il n’y a pas suffisamment de surveillance de la sécurité des TI à l’échelle de
l’organisation. Nous avons constaté que le coordonnateur de la sécurité des TI
du CNRC, qui est responsable du respect de la norme de GSTI, n’a pas le
pouvoir d’agir à titre de personne-ressources principale en ce qui concerne les
questions de sécurité des TI. Par conséquent, il ne peut pas garantir aux cadres
supérieurs que tous les systèmes de TI du CNRC sont dotés des mesures de
protection adéquates.
•
La gestion du risque liée à la sécurité des TI est inégale dans l’organisation. Par
conséquent, le CNRC ne possède ni un portrait clair de son exposition aux
risques en matière de sécurité des TI, ni la certitude que ses systèmes de TI
offrent un niveau de sécurité correspondant à la sensibilité de l’information qu’ils
contiennent.
•
La vaste gamme de technologies et de protocoles visant à permettre aux
employés du CNRC qui travaillent à l’extérieur d’accéder aux systèmes de TI du
CNRC pose un risque continu pour l’organisme.
Nous avons constaté des degrés variables de conformité aux politiques et aux normes
du CNRC qui régissent la sécurité des TI. La DSGI s’y conformait en général.
Cependant, deux des trois instituts que nous avons examinés présentaient des taux de
conformité considérablement moins élevés (58 p. 100).
Nous avons conclu qu’il existe des possibilités d’amélioration de l’efficacité, de
l’efficience et du caractère économique de la gestion des services de sécurité des TI du
CNRC. Ces possibilités se rapportent à la surveillance, à la gestion des risques, à la
gestion des biens, au stockage, à l’accès à distance, à la protection antivirus et à la
gestion du changement.
Juin 2007
5
Le CNRC a mis en œuvre la plupart des recommandations issues de l’examen externe
de la sécurité des TI réalisé en 1999. Ce qui inquiète le plus est l’absence permanente
d’un plan de continuité des opérations à l’échelle de l’organisation.
Principales recommandations
1. Afin d’améliorer la surveillance des TI, les cadres supérieurs du CNRC devraient
désigner un coordonnateur de la sécurité des TI au CNRC, qui serait
responsable de la sécurité des TI dans tout l’organisme et qui aurait autorité en
la matière.
2. Afin de renforcer la gestion du risque en matière de sécurité des TI, le CNRC
devrait :
a) définir ce qu’il entend par « centraux » et par « essentiels » en ce qui
concerne les systèmes de TI;
b) préciser la sensibilité de tous ses systèmes de TI, y compris les systèmes
utilisés aux seules fins de la recherche, et documenter les justifications ou les
critères servant à les désigner comme des systèmes centraux ou essentiels à
ses activités;
c) mener d’autres activités précises de gestion des risques, comme des
évaluations suffisamment rigoureuses des menaces et des risques, et des
activités de certification et d’accréditation de tous les systèmes essentiels,
comme l’exigent les politiques du CNRC et la norme de GSTI.
3. Le CNRC devrait élaborer un plan de continuité des opérations à l’échelle de
l’organisation relativement à la sécurité des TI.
4. Le CNRC devrait élaborer une politique sur l’accès à distance ayant comme
objectif d’éliminer l’utilisation de protocoles non protégés, de réduire l’éventail
des protocoles utilisés et de renforcer la sécurité de l’accès à distance pour les
télétravailleurs.
Juin 2007
6
5. La direction devrait examiner les coûts, les avantages et la faisabilité éventuels
entourant la centralisation des services de gestion des biens, de stockage,
d’accès à distance, de protection antivirus et de gestion du changement,
actuellement offerts par les instituts.
Jayne Hinchliff-Milne, CMA, Dirigeante de la vérification
Membres de l’équipe de vérification du CNRC 1 :
Irina Nikolova, CA, CIA, CISA
Réponse globale de la gestion:
Cette vérification a servi à souligner plusieurs domaines où les pratiques de gestion du
CNRC relatives à la sécurité des TI doivent être clarifiées et officialisées à l’échelle de
l’organisme. Toutefois, indépendamment des recommandations de la vérification,
lesquelles seront mises en œuvre au cours des prochains mois, le CNRC continue de
gérer un programme de protection efficace au sein du Conseil, qui a été conçu pour
protéger ses renseignements et ses biens de valeur liés à la TI. Ce programme
comprend les quatre éléments principaux suivants : une série de politiques et de
normes actuelles qui reflètent l’orientation de la haute direction à l’égard de la sécurité
des TI; une structure organisationnelle souple comprenant le Centre de protection de
l’information de la DSGI du CNRC et un réseau d’agents de sécurité des systèmes
d’information au niveau des I/D/P, conçue pour relever les défis que pose
l’environnement réparti du CNRC relativement à la sécurité des TI; plusieurs processus
de sécurité des TI bien établis qui portent sur la gestion du risque, l’intervention en cas
d’incident, la formation du personnel dans le domaine de la TI et la sensibilisation des
1
Une équipe de spécialistes de la TI reconnus et agréés est venue s’ajouter à l’équipe de
vérification du CNRC pour procéder à la vérification.
Juin 2007
7
utilisateurs; une architecture de sécurité technique visant à mieux protéger les
systèmes et les renseignements du CNRC tout en facilitant l’activité principale du
Conseil. Ces éléments d’actualité sont en place et sont essentiels à la stratégie de
protection de l’information du CNRC. La mise en œuvre des recommandations de la
vérification permettra au CNRC de mettre au point une stratégie déjà efficace et de tirer
pleinement parti de son investissement en matière de sécurité des TI.
Juin 2007
8
2.0 Introduction
2.1 Contexte
Le Secrétariat du Conseil du Trésor (SCT) exige des ministères et des organismes
qu’ils procèdent à des vérifications internes périodiques du respect de la Politique sur la
sécurité (PS) et de l’efficacité de sa mise en œuvre. Cette politique est entrée en
vigueur en février 2002 et prévoit l’application de mesures de protection des employés
et des biens dans les ministères et organismes. Le but de ces mesures de protection
est d’appuyer la prestation de services et l’atteinte des objectifs opérationnels du
gouvernement. Plus précisément, la PS exige des ministères qu’ils surveillent
activement leur programme de sécurité et qu’ils procèdent à des vérifications de leur
programme de sécurité.
La norme de Gestion de la sécurité des technologies de l’information (GSTI) définit les
exigences de base en matière de sécurité auxquelles les ministères fédéraux doivent
satisfaire pour assurer la sécurité de l’information et des biens liés à la technologie de
l’information (p. ex., logiciels et matériel) placés sous leur contrôle. Cette norme de
sécurité opérationnelle appuie la Politique sur la sécurité. Elle appuie aussi la Politique
sur la gestion de l’information et la Politique de sécurité nationale.
La norme de GSTI indique, entre autres choses, que :

les ministères doivent établir et gérer un programme ministériel de sécurité;

les profils de risque ministériels détermineront la mise en œuvre de mesures de
base en matière de sécurité afin de répondre aux exigences de la norme de
GSTI.
En 2005, la vérificatrice générale du Canada a procédé à une vérification de la sécurité
de la technologie de l’information (TI) de portée gouvernementale. Par la suite, le
Secrétariat du Conseil du Trésor (SCT) a demandé aux ministères, dont le CNRC,
d’élaborer un plan d’action visant à répondre aux principales recommandations
formulées par la vérificatrice générale dans le cadre de cette vérification. Le SCT a
Juin 2007
9
aussi demandé aux ministères de préparer un rapport d’étape sur leur progression en
matière de respect absolu de la norme de GSTI et de la PGS. Ces rapports devaient
être achevés au plus tard en janvier 2007.
Une vérification interne de la fonction de la sécurité au CNRC a été réalisée en 2001.
Cependant, cette vérification ne portait pas sur la sécurité des TI, comme l’exige la PS,
car une société d’experts-conseils avait procédé à un examen complet de ce domaine à
l’échelle du CNRC, en 1999. Depuis, l’unité de la vérification interne n’a réalisé que de
minimes travaux de vérification dans le domaine de la sécurité des TI afin de donner au
CNRC le temps de mener à terme les projets qui avaient été entrepris en réponse aux
recommandations issues de l’examen externe. Par la suite, le Plan de vérification
interne axé sur les risques pour 2006-2007 à 2008-2009 du CNRC a défini la
vérification de la gestion de la sécurité des TI comme une priorité.
2.2 Gestion de la sécurité des TI au CNRC
La démarche du CNRC concernant la gestion de la sécurité des TI implique la création
d’un « environnement de TI en principe ouvert pour faciliter la recherche et
l’innovation ». Parallèlement, cet environnement doit assurer la protection des
renseignements de nature délicate et les renseignements que le CNRC détient au nom
de ses clients et collaborateurs.
Modèle centralisé et décentralisé du CNRC en matière de TI
Afin de maintenir un environnement de TI ouvert tout en s’assurant qu’il protège
adéquatement ses renseignements et ses systèmes, le CNRC a mis en place une
structure organisationnelle souple destinée à la gestion de la TI et de la sécurité des TI.
Ce cadre de gestion, élaboré en réponse à l’examen externe de la sécurité des TI
réalisé en 1999, contient des éléments tant centralisés que décentralisés ou
« dispersés ».
Juin 2007
10
Éléments centralisés : La Direction des services de gestion de l’information (DSGI)
offre des services de TI à l’échelle du CNRC et est responsable des éléments clés de
l’infrastructure de TI du CNRC. La figure 1 présente un schéma simplifié des quatre
fonctions de la DSGI ayant une incidence sur les services de sécurité des TI,
nommément : les Systèmes centraux de gestion de l’information, la Direction des
services de la technologie, le Centre de protection de l’information et la Planification de
la gestion de l’information.
Figure 1 : Direction des services de gestion de l’information
Les Systèmes centraux de gestion de l’information sont responsables de l’élaboration,
du fonctionnement et du soutien des systèmes de gestion à l’échelle du CNRC, ainsi
que de l’entretien des données de référence. Les systèmes de gestion à l’échelle du
CNRC englobent la communication de données, la communication vocale, les
applications Web et « Sigma », un système fondé sur le SAP qui soutient des fonctions
clés comme la comptabilité, l’établissement du budget, la gestion des ressources
humaines et l’approvisionnement.
La Direction des services de la technologie de la DSGI remplissent une double fonction,
assurant la gestion d’éléments clés de l’infrastructure de TI du CNRC au Canada et la
prestation de services de soutien technologique aux instituts, aux directions et aux
programmes de la région de la capitale nationale qui ont choisi de ne pas offrir ces
services eux-mêmes.
Juin 2007
11
Le Centre de protection de l’information (CPI) est une unité de la DSGI qui veille à ce
que le CNRC prenne les mesures nécessaires pour protéger ses banques de données
et ses biens liés à la technologie de l’information contre les menaces à leur sécurité.
Animé par une large consultation, le CPI joue un rôle de premier plan dans l’élaboration
de politiques, de normes et de procédures en matière de sécurité des TI. Il assume le
rôle de centre de réception de rapports d’incidents liés à la sécurité au CNRC. Le CPI
offre des services essentiels visant à protéger l’information, dont les suivants :

surveillance du réseau étendu du CNRC afin d’en détecter les intrusions;

traitement des rapports d’incidents de sécurité et enquêtes sur ces incidents;

évaluation des menaces et des risques;

informatique judiciaire;

sensibilisation et formation en matière de sécurité des TI.
Enfin, la Planification de la gestion de l’information soutient les comités qui forment la
structure de régie de GI-TI du CNRC et y participe.
Éléments décentralisés : Dans les instituts, les directions et les programmes (I/D/P),
la responsabilité de la sécurité des TI incombe aux directeurs généraux respectifs. La
figure 2 présente un organigramme du CNRC illustrant quels I/D/P font appel aux
services de la DSGI et quels I/D/P ont choisi d’offrir leurs propres services de sécurité
des TI à l’interne. La DSGI offre des services de soutien complets à douze I/D/P et au
bureau de la haute direction. Elle offre aussi des services limités à certains instituts;
par exemple, cinq I/D/P reçoivent des services de protection antivirus seulement.
Tous les I/D/P ont un officier de sécurité des systèmes d’information (OSSI). L’OSSI
relève directement du directeur général de l’institut ou de la direction pour ce qui est
des questions de sécurité et il aide les gestionnaires de systèmes et leur personnel à
élaborer les fonctions de sécurité nécessaires à la gestion quotidienne des systèmes
d’information dans leurs lieux de travail. Il est aussi responsable de surveiller le respect
des politiques de sécurité des TI par l’I/D/P.
Juin 2007
12
Un « forum des OSSI » (groupe de travail axé sur le consensus) commente
l’élaboration des politiques et des lignes directrices du CNRC en matière de sécurité.
Ce groupe est présidé par le coordonnateur de la sécurité des TI du CNRC, mais ce
dernier n’a aucune autorité fonctionnelle en matière de sécurité des TI en dehors de la
DSGI. Ce forum « virtuel » communique par voie électronique avec d’autres membres
pour discuter de problèmes précis et les résoudre par consensus au fur et à mesure
qu’ils surviennent. On ne tient aucun procès-verbal officiel.
Trois autres éléments complètent le cadre de gestion de la sécurité des TI au CNRC : le
Comité de la haute direction, le dirigeant principal de l’information (provenant
anciennement du Conseil d’information du CNRC) et le Comité consultatif de la GI-TI.
Le Comité de la haute direction, composé du président, des vice-présidents et des
directeurs généraux des Ressources humaines et des Finances du CNRC, est
responsable de soutenir et d’approuver la politique de sécurité des TI du CNRC.
Le Comité de l’information du CNRC a été dissous en mars 2007 à la fin de son
mandat, dont le but était de créer la série complète de politiques et de normes sur la
gestion de l’information et les technologies de l’information, actuellement en vigueur. À
sa place, le vice-président des Services corporatifs agit à titre de dirigeant principal de
l’information du CNRC, conformément aux exigences de la norme de GSTI. Le Comité
consultatif de la GI-TI élabore des recommandations en vue de l’adoption de politiques,
de normes et de directives en matière de sécurité des TI, qui sont ensuite approuvées
soit par le vice-président des Services corporatifs, soit par le Comité de la haute
direction. Le dirigeant principal de l’information et le Comité consultatif de GI-TI, qui
sont responsables de la gouvernance organisationnelle en plus de la sécurité des TI, se
réunissent, au besoin, pour discuter des questions de sécurité des TI.
Juin 2007
13
Figure 2 : Structure organisationnelle du CNRC relative aux services de sécurité
des TI
Président du CNRC
Direction des
ressources
humaines
V.-P. Sciences de
la vie
Institut de
recherche en
biotechnologie
(IRB)
Institut du
biodiagnostic
(IBD)
Institut des
sciences
biologiques (ISB)
Institut des
biosciences
marines
(IBM)
Institut de
biotechnologie
des plantes
Initiative en
génomique et
en santé
(IGS)
Secrétaire
générale
Direction
financière
V.-P. Sciences
Physiques
V.-P. Génie
Institut Herzberg
d’astrophysique
(IHA)
Institut de
recherche
aérospatiale
(IRA)
Institut de
technologie des
procédés
chimiques et de
l’environnement
(ITPCE)
Institut de
technologie de
l’information
(ITI)
Institut des
sciences des
microstructure
(ISM)
Institut des étalons
nationaux de
mesure
(IENM)
Institut national de
nanotechnologie
(INN)
Institut Steacie
des sciences
moléculaires
(ISSM)
Programme de
recherche sur les
piles à
combustible
Installation de
partenariats
industriels
Institut
d’innovation en
piles à
combustible
(IIPC)
Institut des
matériaux
industriels (IMI)
Institut des
technologies de
fabrication
intégrée (ITFI)
V.-P. Soutien
technologique et
industriel
V.-P. Services
corporatifs
Institut canadien
de l’information
scientifique et
technique
(ICIST)
Direction des
services
administratifs et
gestion de
l’immobilier (SAGI)
Programme d’aide
à la recherche
industrielle
(PARI)
Direction des
services de
gestion de
l’information
(DSGI)
Relations
d’affaires
Direction de la
stratégie et du
développement
(DSD)
Soutien à la mise
en œuvre de la
stratégie
Institut des
technologies
océaniques (ITO)
Secrétariat des
grappes
Institut de
recherche en
construction
(IRC)
Centre
d’hydraulique
canadien (CHC)
Centre de
technologie des
transports de
surface
(CTTS)
Services de
conception et de
fabrication
Vérification
interne
Services
juridiques
Légende:
I/D/P appuyés par le
DGSI
I/D/P partiellement appuyés
par la DGSI
I/D/P indépendants qui
offrent leurs propres services
de sécurité de la TI
Renouvellement
du CNRC
Juin 2007
14
2.3 Au sujet de la vérification
Objectifs
Les objectifs de la vérification de la gestion de la sécurité des TI étaient les suivants :

vérifier si le CNRC respecte la norme de GSTI;

vérifier si le CNRC respecte ses propres politiques et normes en matière de
sécurité;

évaluer l’efficacité, l’efficience et le caractère économique des services du CNRC
liés à la sécurité des TI;

assurer le suivi des constatations et des recommandations formulées dans la
cadre de l’examen externe de la sécurité des TI réalisé en 1999 ont été
appliquées.
Portée
La présente vérification porte notamment sur les services de sécurité des TI qu’offre la
DSGI relativement aux éléments des services de première importance. Elle porte aussi
sur les douze instituts, directions et programmes, ainsi que le bureau de la haute
direction que la DSGI soutient directement. De plus, nous nous sommes penchés sur la
gestion de la sécurité des TI dans trois instituts pour lesquels la DSGI n’offre aucun
service de soutien en matière de sécurité des TI : un institut de taille moyenne
possédant un certain nombre d’établissements répartis dans tout le Canada; un institut
de grande taille hautement représentatif du CNRC dans son ensemble et qui accomplit
du travail délicat; un institut de très grande taille possédant des bureaux dans tout le
Canada. La présente vérification ne porte pas sur le matériel informatique qui est utilisé
aux seules fins de la recherche dans les instituts du CNRC.
L’équipe de vérification a recueilli des éléments probants entre juillet 2006 et avril 2007.
Juin 2007
15
Stratégie et méthodologie
Le CNRC a embauché une équipe de spécialistes de la TI reconnus et agréés pour
procéder à la vérification. Les critères de vérification étaient fondés sur les exigences
de la norme de GSTI et celles des politiques et des normes internes du CNRC en
Jusqu’à présent, le SCT n’a fourni aucun outil de vérification servant à évaluer la
mesure dans laquelle les ministères se conforment aux 144 exigences détaillées de la
norme de GSTI. Le SCT n’a pas non plus indiqué le degré minimal de conformité que
les ministères doivent atteindre avant d’être considérés « conformes à la norme de
GSTI ». En l’absence d’une telle directive, l’équipe de vérification a choisi de grouper
les critères détaillés de la norme de GSTI en 29 critères de vérification visant à évaluer
les pratiques de contrôle. Ces critères dérivent des quatre domaines de sécurité des TI
dont traite la norme de GSTI, nommément :

approche ministérielle de l’organisation et de la gestion de la sécurité des TI;

ressources de sécurité des TI destinées aux projets;

contrôles de gestion;

mesures de protection techniques et opérationnelles.
La figure 3 ci-dessous présente des renseignements sur chacun de ces domaines.
L’équipe de vérification de la TI a eu recours au jugement professionnel pour élaborer
les 29 objectifs de contrôle servant à évaluer la mesure dans laquelle le CNRC était
conforme à la norme de GSTI. Ces critères ont été communiqués à la DSGI et aux trois
instituts visés par la vérification aux fins d’examen dans le cadre de la phase de
planification de la vérification et intégrés au mandat. L’annexe A présente la liste
complète des 29 critères de vérification utilisés pour évaluer la conformité à la norme de
GSTI.
Nous avons évalué la mesure dans laquelle le CNRC respecte ses propres politiques et
normes en matière de sécurité des TI par rapport à 19 critères dérivant des politiques
de sécurité des TI du CNRC. L’annexe B présente la liste complète des critères de
Juin 2007
16
vérification détaillés utilisés pour la vérification par rapport aux politiques du CNRC en
Dans le cadre de l’évaluation de la conformité à la norme de GSTI et aux normes du
CNRC (premier et deuxième objectif), nous avons interviewé le personnel de la DSGI et
des instituts et examiné les politiques, les procédures et les normes, ainsi que d’autres
documents, comme des fichiers journaux et des courriels.
Dans le cadre de l’évaluation de l’efficacité, de l’efficience et du caractère économique
des services de sécurité des TI du CNRC (troisième objectif), nous avons interviewé le
personnel concerné et analysé les diverses activités et politiques de contrôle à la
recherche de signes d’inefficacité et d’absence d’économie.
Notre suivi de l’examen externe de la sécurité des TI réalisé en 1999 (quatrième
objectif), dans le cadre duquel nous avons mené des entrevues, étudié et analysé des
documents et des activités de contrôle, visait à recueillir des données probantes sur la
mesure dans laquelle le CNRC a mis en œuvre les recommandations issues de cet
examen. L’annexe C présente la liste complète de ces recommandations de l’examen
externe de 1999
Juin 2007
17
.
Figure 3 : Les quatre principaux domaines de contrôle de la norme de GSTI
Domaine
Aperçu
1er domaine :
Ce domaine fait référence à la façon dont tout programme
ministériel de sécurité des TI doit être organisé et géré. Il
Approche ministérielle
porte sur les rôles et les responsabilités, la politique, les
de l’organisation et de
la gestion de la sécurité ressources et la gestion.
des TI
2e domaine :
La norme de GSTI précise ce que les gestionnaires de TI
Ressources de sécurité doivent faire au stade de la planification de nouveaux
des TI destinées aux programmes ou services et d'importantes mises à niveau de
programmes ou services existants. En vertu de ces
projets
exigences, les gestionnaires doivent, dès le tout début du
processus de financement et d'approbation, déterminer les
exigences en matière de sécurité des TI pour ces
programmes, services ou mises à niveau, et indiquer les
ressources requises dans les demandes de financement.
3e domaine :
Contrôles de gestion
4e domaine :
Mesures de protection
techniques et
opérationnelles
Ce domaine fait référence aux contrôles de gestion qui
s’appliquent à tous les programmes et services ministériels.
La partie III de la norme de GSTI définit les mesures de
protection techniques et opérationnelles à l’appui de ces
contrôles.
La norme de GSTI contient une orientation et des consignes
sur certaines des mesures de protection techniques et
opérationnelles disponibles. Les ministères en sélectionnent
certaines et, éventuellement, d’autres. Ensemble, elles
permettent de ramener le risque à un niveau acceptable.
D'autres mesures de protection sont décrites dans d'autres
normes de sécurité et documents techniques.
Juin 2007
18
3.0 Constatations découlant de la vérification
3.1 Premier objectif de la vérification : Vérifier si le CNRC
respecte la norme de GSTI
Conclusion générale
que nous avons examinés. Sauf pour ce qui est de la planification de la continuité des
opérations, la DSGI est conforme à la norme de GSTI. Toutefois, les trois instituts
affichaient des taux de conformité moins élevés dans des domaines importants comme
la gestion du risque, ainsi que la certification et l’accréditation de leurs systèmes.
On doit prendre note qu’il est impossible pour l’équipe de vérification de déterminer si le
CNRC dans son ensemble est conforme à la norme de GSTI, car le CNRC n’a ni
clairement défini ni officiellement documenté tous ses systèmes essentiels, ce sur quoi
le modèle de gouvernance du CNRC en matière de sécurité des TI se fonde.
•
l’organisation. Nous avons constaté que le directeur de la sécurité des TI du
CNRC, c’est-à-dire le coordonnateur de la sécurité des TI du CNRC, qui est
responsable du respect de la norme de GSTI, n’a pas le pouvoir d’agir à titre de
personne-ressources principale en ce qui concerne les questions de sécurité des
TI. Par conséquent, il ne peut pas assurer aux cadres supérieurs que tous les
systèmes de TI du CNRC sont dotés des mesures de protection adéquates.
•
contiennent.
Juin 2007
19
•
La grande gamme de technologies et de protocoles visant à permettre aux
Constatations
L’équipe de vérification a noté un certain nombre de forces en ce qui concerne la
conformité à la norme de GSTI. Par exemple, le CNRC a précisé les rôles et les
responsabilités liés à la gestion de la sécurité des TI. Il a aussi émis un ensemble
complet de politiques, de procédures et de normes relatives à la gestion de cette
fonction et mis en œuvre un programme de sensibilisation à la sécurité à l’intention de
ses employés. Le CNRC effectue des enquêtes de sécurité sur le personnel pour
déterminer qui aura accès à quels renseignements de nature délicate et il utilise des
zones de sécurité. Ces zones divisent le réseau et offrent des niveaux de sécurité plus
élevés selon la sensibilité des renseignements.
Nous nous attendions à ce que les instituts, directions et programmes (I/D/P) aient,
dans l’ensemble, respecté les normes de GSTI. En se conformant à ces normes, les
organismes peuvent démontrer qu’ils ont accompli ce qu’il fallait pour protéger
adéquatement les renseignements qu’ils détiennent.
En août 2005, le CNRC a présenté au SCT le plan d’action et la méthode qu’il entendait
utiliser pour arriver à se conformer à la norme de GSTI. Le CNRC a choisi d’adopter
une « approche globale » relativement à la sécurité de ses « systèmes centraux et
essentiels », tout en créant un « environnement de TI en principe ouvert pour faciliter la
recherche et l’innovation ». Les systèmes centraux et essentiels sont ceux qui sont
indispensables au bon fonctionnement de l’organisation.
Nous avons évalué le CNRC par rapport à 29 groupes de critères de la norme de GSTI,
comme nous l’avons mentionné ci-dessus, et avons constaté que la DSGI en respecte
un nombre équivalent à 97 p. 100. Dans les trois autres instituts, ce taux de conformité
s’établissait à 86, 76 et 76 p. 100, respectivement. On doit prendre note que la mention
« aucune notation » ne signifie pas nécessairement que le taux de conformité est égal à
Juin 2007
20
zéro. Dans bien des cas, nous avons constaté des activités qui étaient partiellement
conformes.
Bien que nous ayons réussi à établir des taux de conformité pour la DSGI et les trois
instituts examinés, nous n’avons pas été en mesure de le faire pour le CNRC dans son
ensemble, car, comme le montre la figure 2 ci-dessus, la DSGI offre des services de
sécurité des TI à certains instituts, certaines directions et certains programmes
seulement. Le CNRC ne possède pas de document de référence unique présentant de
façon générale quels systèmes sont « centraux » et quels systèmes sont « essentiels ».
Sans un tel document, on ne peut pas certifier avec une assurance raisonnable que la
DSGI est au courant de tous les risques importants potentiels pour la sécurité des TI
dans les I/D/P auxquels elle n’offre aucun service, ni qu’elle peut répondre à ces
risques. En conséquence, on ne peut pas conclure avec une assurance raisonnable
que le taux de conformité élevé de la DSGI puisse s’appliquer au CNRC dans son
ensemble.
Surveillance : Le CNRC ne surveille pas activement la sécurité des TI à l’échelle de
tout l’organisme. Les dispositions actuelles du CNRC relatives à la sécurité des TI
n’exigent ni ne prévoient que les gestionnaires de programmes et de projets de TI
œuvrant dans les instituts consultent le coordonnateur de la sécurité des TI du CNRC
ou qu’ils communiquent avec lui concernant les mesures afférentes à la sécurité des TI
dans le cas de projets individuels. Au contraire, la norme de GSTI l’exige. L’objectif
consiste à faire en sorte que tous les projets de TI entrepris dans un organisme
répondent aux exigences nécessaires en matière de sécurité. Ces exigences varient
selon les projets.
La norme de GSTI exige aussi du coordonnateur de la sécurité des TI qu’il serve de
principale personne-ressource au ministère dans ce domaine. Toutefois, le directeur de
la sécurité des TI ne joue pas ce rôle au CNRC; aucun mandat documenté n’attribue au
directeur la responsabilité et le pouvoir en matière de sécurité des TI dans l’ensemble
de l’organisme. La communication et la consultation entre les parties concernées par la
sécurité des TI étant ponctuelles, le CNRC ne dispose actuellement pas d’un portrait
clair des activités de sécurité des TI en cours dans ses divers instituts, ni des risques à
Juin 2007
21
la sécurité des TI auxquels l’organisme dans son ensemble est exposé. La sphère
d’influence du directeur étant limitée, la haute direction ne peut pas savoir si chaque
système de TI du CNRC intègre des mesures de protection appropriées.
Gestion des risques de sécurité touchant la TI : La gestion des risques de sécurité
touchant la TI étant inégale au CNRC, la haute direction ne dispose pas d’un portrait
complet et global de la sensibilité de ses systèmes et des renseignements qu’ils
contiennent. Elle ne dispose pas non plus d’information complète sur son exposition
aux risques liés à la sécurité des TI.
La norme de GSTI exige des organismes qu’ils mènent continuellement des activités
visant à gérer les risques de sécurité touchant la TI. Ces activités comprennent la
détermination de la sensibilité de l’information et des systèmes de TI, l’évaluation des
menaces et des risques et la certification et l’accréditation de ces systèmes. Les
énoncés de nature délicate décrivent et classent en catégories les renseignements et
les biens connexes selon leur sensibilité (degré de confidentialité et de disponibilité et
d’intégrité requis). À ce titre, ces énoncés constituent une étape importante du
processus d’évaluation des risques. Plus le degré de sensibilité est élevé, plus le
risque associé au bien ou au système en question est élevé. Les évaluations des
menaces et des risques consistent en une évaluation de la probabilité de la présence
d’une menace ou d’un risque, ainsi que de l’incidence d’une telle présence. La
certification et l’accréditation représentent une décision rendue par la direction de faire
fonctionner un système tout en reconnaissant les risques qui sont associés au
fonctionnement de ce système. Une fois qu’un système a été certifié et accrédité, la
responsabilité liée à la sécurité de ce système passe de ceux qui l’ont conçu à ceux qui
le font fonctionner.
Nous nous attendions à ce que la DSGI et les instituts faisant partie de notre échantillon
aient mis en place un processus officiel de gestion des risques liés à la sécurité des TI.
Nous pensions que ce processus suffirait à garantir que les renseignements détenus
sont adéquatement protégés étant donné leur sensibilité et des facteurs comme les
menaces potentielles, les vulnérabilités et l’exposition aux risques liés à la TI.
Juin 2007
22
Nous avons constaté que la DSGI et l’un des trois autres instituts examinés ont
effectivement mis en place un processus officiel de gestion des risques. À quelques
exceptions près, ils satisfont en général aux exigences de la norme de GSTI dans ce
domaine. Aucun processus officiel n’est cependant en place dans les deux autres
instituts. La gestion des risques dans ces instituts est non officielle et ne répond pas
aux normes de GSTI. Nous avons remarqué que ni l’un ni l’autre n’avait officiellement
évalué ou documenté la sensibilité des renseignements dont il est responsable. Par
conséquent, nous n’avons pas été en mesure d’évaluer l’exposition du CNRC aux
risques associés au défaut de se conformer à la norme de GSTI.
Des membres du personnel affecté à la sécurité des TI dans ces deux instituts nous ont
expliqué que, malgré le manque d’énoncés de nature délicate et d’autres lacunes, le
système de sécurité des TI existant protège adéquatement les banques de données
dont ils sont responsables. Cependant, nous n’avons pas été en mesure de vérifier de
façon objective si c’était effectivement le cas. Nous n’avons trouvé aucun élément
probant documenté indiquant l’exacte sensibilité des renseignements contenus dans
leurs divers systèmes. En conséquence, nous n’avons pas pu déterminer si leur
évaluation du degré de sensibilité est juste ou si le niveau de sécurité des TI est
approprié étant donné le niveau de risque associé à leurs banques de données.
L’équipe de vérification n’a donc pas pu déterminer si les mesures de protection de
l’information détenue par ces instituts étaient adéquates.
Nous avons aussi constaté qu’aucun des trois instituts examinés ne dispose de
processus de certification et d’accréditation pour ce qui est de ses systèmes de sécurité
des TI. Si l’on omet de certifier et d’accréditer un système, il est possible que la
direction fasse fonctionner ce système sans clairement comprendre les risques qui y
sont associés.
Enfin, rien ne nous permet d’affirmer qu’il existe un plan officiel de continuité des
opérations comprenant la reprise après sinistre pour le CNRC dans son ensemble,
comme l’exige la norme de GSTI. Nous avons toutefois observé que la DSGI dispose
d’un plan de reprise après sinistre à l’intention des I/D/P dont elle gère la sécurité des
TI. L’un des trois autres instituts examinés dispose d’un plan de continuité des
opérations qui exige un essai complet pour être considéré tout à fait conforme. Un
Juin 2007
23
autre de ces instituts dispose de systèmes dotés de la fonction de redondance intégrée
lui permettant d’assurer un service ininterrompu en cas de panne de courant complète
ou autre sinistre, ce qui n’a toutefois pas été documenté dans un plan de continuité des
opérations. Le dernier institut examiné possède un plan partiel de reprise après sinistre
relatif à une partie seulement de ses activités. On doit toutefois prendre note que l’on a
demandé au directeur général de la Direction des services administratifs et de la
gestion de l’immobilier d’élaborer un plan de continuité des opérations pour le CNRC.
Tout organisme devrait mettre en place une stratégie et un plan de continuité des
opérations pour se protéger, et surtout pour protéger ses processus opérationnels
essentiels, contre les effets de pannes ou de sinistres majeurs, ainsi que pour réduire
au minimum les dommages causés par de tels événements.
Informatique mobile et télétravail : La norme de GSTI comprend un certain nombre
d’exigences liées à la capacité du personnel à accéder aux renseignements, aux
réseaux et aux systèmes d’un ministère à partir de lieux situés en dehors des bureaux
du gouvernement.
Comme l’exige la norme de GSTI, nous nous attendions à ce que le CNRC ait pris des
mesures précises pour protéger ses ordinateurs, ses liaisons de communications et les
renseignements qu’ils contiennent contre les risques associés à des activités comme
l’informatique mobile et le télétravail. Les mesures classiques devant être mises en
place par les ministères comprennent, sans toutefois s’y limiter, les mesures suivantes :
contrôles d’accès, chiffrement, logiciel de détection de virus et pare-feux. Les
ministères doivent aussi s'assurer que les membres du personnel qui travaillent à
l’extérieur de leurs installations comprennent leurs responsabilités en matière de
sécurité, dont la sensibilité et la criticité des renseignements auxquels ils ont accès.
Pour évaluer la mesure dans laquelle le CNRC se conforme à ces exigences, nous
avons interrogé le coordonnateur de la sécurité des TI et visité les trois instituts faisant
partie de notre échantillon. Notre principale préoccupation concerne le fait que le
CNRC ne dispose d’aucune politique régissant l’accès à distance à ses ressources et
réseaux de TI. Nous avons constaté que le CNRC, en comparaison avec des
organismes de même importance, utilise une gamme « d’architectures d’accès à
Juin 2007
24
distance » exceptionnellement vaste. Ce terme fait référence aux technologies et aux
protocoles relatifs à l’accès à distance, à savoir l’accès aux systèmes du CNRC par les
employés qui travaillent à l’extérieur des installations. La gamme de protocoles relatifs
à l’accès à distance augmente la possibilité d’une vulnérabilité susceptible d’être
exploitée et, par la suite, de compromettre gravement le réseau du CNRC.
Nous avons observé qu’en 2005-2006, le CNRC a fait l’objet de huit incidents à risque
élevé touchant la sécurité des TI. Cinq d’entre eux sont attribuables à des faiblesses
découlant de la méthode employée par le CNRC à l’égard de l’accès à distance et ont
entraîné une divulgation, une destruction, un retrait, une modification, une interruption
ou une utilisation non autorisé des biens du CNRC. Bien qu’un seul incident à risque
élevé ait été signalé au Centre de protection de l’information de la DSGI en 2006-2007,
le « menu » actuel des architectures d’accès à distance pose un risque permanent pour
le CNRC.
1re recommandation
Afin d’améliorer la surveillance de la sécurité des TI, les cadres supérieurs du CNRC
devraient désigner un coordonnateur de la sécurité des TI au CNRC, qui serait
responsable de la sécurité des TI dans tout l’organisme et qui aurait autorité en la
matière.
Réponse de la direction du CNRC:
La direction est d’accord avec cette recommandation; un coordonnateur de la sécurité
des TI qui sera responsable de la sécurité des TI à l’échelle du CNRC et qui aura
autorité en la matière sera nommé en consultation avec le Comité de la haute direction
(CHD). Toutefois, un tel rôle devra être appuyé par une solide structure de
gouvernance en matière de GI-TI en général et par un robuste cadre de gouvernance
de la sécurité de l’information en particulier. On se penchera sur la question de la
gouvernance en matière de GI-TI dans le cadre d’une étude que le CNRC a déjà
amorcée, c’est-à-dire un examen complet de la GI-TI visant à étudier le modèle actuel
de prestation de services de TI et à déterminer la façon dont le CNRC pourrait
améliorer l’efficacité et les rapports coût-efficacité dans ce domaine. Plus précisément,
cette étude d’une portée considérable englobera tous les services de GI-TI qui sont
Juin 2007
25
offerts au personnel du CNRC, soit de façon centralisée par la DSGI, soit localement
par les instituts, les directions et les programmes individuels.
Le mandat a été élaboré et approuvé par le CHD; le directeur général de la DSGI
codirigera cet effort en collaboration avec le directeur général d’un institut de recherche
qui n’a pas encore été choisi. Les questions entourant la prestation de services de TI
feront l’objet d’un examen et d’un rapport qui sera présenté au CHD au plus tard en
janvier 2008. On déterminera aussi des possibilités ou des préoccupations précises qui
devront faire l’objet d’une étude plus approfondie dans le cadre d’une phase ultérieure.
On prévoit que la plupart des recommandations de la vérification seront abordées en
tenant compte du contexte de cet examen.
2e recommandation
Afin de renforcer la gestion du risque en matière de sécurité des TI, le CNRC devrait :
a) définir ce qu’il entend par « centraux » et par « essentiels » en ce qui
b) préciser la sensibilité de tous ses systèmes de TI, y compris les systèmes
utilisés aux seules fins de la recherche, et documenter les justifications ou les
critères servant à les désigner comme des systèmes centraux ou essentiels;
c) mener d’autres activités précises de gestion des risques, comme des
évaluations suffisamment rigoureuses des menaces et des risques, et des
activités de certification et d’accréditation de tous les systèmes essentiels,
comme l’exigent les politiques du CNRC et la norme de GSTI.
Réponse de la direction du CNRC:
2. a) La direction est d’accord avec cette recommandation; chaque politique et norme
en matière de GI-TI est revue tous les deux ans dans le cadre du cycle de vie de cette
politique. Toutes les politiques et normes en matière de sécurité des TI feront l’objet
d’un examen complet entre juillet et septembre 2007. On ajoutera les termes
Juin 2007
26
« centraux » et « essentiels » au glossaire de GI-TI du CNRC, et on élaborera des
définitions appropriées au cours de l’examen des politiques.
2. b) La direction est d’accord avec cette recommandation; une fois que les termes
« centraux » et essentiels » auront été définis, tous les systèmes des instituts seront
examinés et décrits de façon appropriée. Le coordonnateur de la sécurité des TI du
CNRC sera responsable de veiller à ce que tous les instituts, directions et programmes
définissent leurs systèmes comme étant « centraux » et « essentiels » et qu’ils
procèdent à une analyse des risques appropriée.
2. c) la direction est d’accord avec cette recommandation; tous les systèmes définis
comme étant « centraux » et « essentiels » feront l’objet d’une analyse des menaces et
des risques, ainsi que d’une certification et d’une accréditation complètes.
3e recommandation
Le CNRC devrait élaborer un plan de continuité des opérations à l’échelle de
Réponse de la direction du CNRC
La direction est d’accord avec cette recommandation; le directeur général de la
Direction des services administratifs et de la gestion de l’immobilier a amorcé une
analyse des répercussions sur les opérations à l’échelle du CNRC afin d’examiner les
fonctions administratives du CNRC et les effets que peuvent avoir sur elles des risques
précis. Cette analyse constitue une première étape cruciale de la préparation d’un plan
de continuité des opérations à l’intention du CNRC. Ce travail sera achevé au plus tard
en mars 2008, date à laquelle on pourra élaborer un plan de projet plus détaillé visant à
répondre aux exigences du CNRC en matière de continuité des opérations, y compris
celles qui ont une incidence sur la sécurité des TI.
4e recommandation
Le CNRC devrait élaborer une politique sur l’accès à distance ayant comme objectif
d’éliminer l’utilisation de protocoles non protégés, de réduire l’éventail des protocoles
utilisés et de renforcer la sécurité de l’accès à distance pour les télétravailleurs.
Juin 2007
27
La direction est d’accord avec cette recommandation; les services d’accès à distance
feront l’objet d’un examen dans le cadre de l’étude sur la GI et la TI. Une fois que cette
étude sera terminée, des directives seront élaborées et mises en œuvre pour régler la
question de l’accès à distance au CNRC. Cette question devrait être réglée d’ici
décembre 2008.
3.2 Deuxième objectif de la vérification : Vérifier si le CNRC
respecte ses propres politiques et normes en matière de
sécurité
conformité considérablement moins élevés (58 p. 100).
Constatations
Les politiques de sécurité du CNRC sont, dans l’ensemble, équivalentes aux normes de
GSTI. Par conséquent, tant qu’il respectera la norme de GSTI, le CNRC sera conforme
à ses propres politiques. En vertu de la politique du CNRC, seuls les systèmes
« essentiels » et les technologies à risque élevé du CNRC, comme les réseaux sans fil,
peuvent faire l’objet d’activités de gestion des risques. Cette approche fondée sur le
risque est économique et s’harmonise avec les exigences de la norme de GSTI.
La DSGI est en général toujours conforme aux politiques et normes du CNRC en
répondant à 95 p. 100 de leurs exigences. Les taux de conformité des trois autres
instituts s’établissent à 79, 58 et 58 p. 100, respectivement.
Juin 2007
28
Nous avons constaté que les principaux problèmes de conformité des instituts qui
affichent les taux de conformité les plus bas correspondent à ceux dont nous avons
discuté à la section 3.1, Premier objectif de la vérification, pour ce qui est des faiblesses
dans les processus de gestion des risques, de la gestion du changement et de la
planification de la continuité des opérations. Ces deux instituts nous ont expliqué qu’ils
respectaient la politique du CNRC sur la gestion des risques liés à la sécurité des TI.
Ils ont ajouté qu’il n’avait pas été nécessaire de mener des activités de gestion des
risques à l’égard de leurs systèmes de TI, car ces derniers n’étaient pas des systèmes
essentiels. Toutefois, nous n’avons pas été en mesure de vérifier si cela était
effectivement le cas, car ni l’un ni l’autre de ces instituts ne nous a présenté d’énoncé
de nature délicate. Par conséquent, nous ne pouvons pas déterminer si ces deux
instituts respectent les politiques et les normes du CNRC en matière de TI sur la
gestion des risques.
Si une analyse plus approfondie indique que ces deux instituts ne disposent d’aucun
système défini comme étant « essentiel », il se pourrait que les exigences du CNRC en
matière de gestion des risques ne s’appliquent pas à eux. Dans cette situation, ces
instituts seraient considérés comme étant davantage conformes aux politiques et aux
normes applicables du CNRC.
Nous n’avons aucune autre recommandation en dehors de celles qui concernent la
gestion des risques à la sécurité des TI, comme nous en avons déjà discuté à la section
3.1 Premier objectif de la vérification.
3.3
Troisième objectif de la vérification : Évaluer l’efficacité,
l’efficience et le caractère économique de la gestion des
services de sécurité des TI du CNRC
Nous avons conclu qu’il est possible d’améliorer l’efficacité, l’efficience et le caractère
économique de la gestion des services de sécurité des TI du CNRC.
Juin 2007
29
Constatations
Efficacité : Nous nous attendions à ce que la gestion de la sécurité des TI ait mis en
œuvre des niveaux de contrôle appropriés pour faire en sorte que les services de
sécurité des TI protègent efficacement les banques de données du CNRC.
Nous avons constaté que, pour répondre aux besoins de leurs organisations
respectives, les services de sécurité des TI de la DSGI et des trois instituts examinés
emploient des pratiques et des méthodes très différentes, ce qui engendre différents
taux de conformité à la norme de GSTI et aux politiques du CNRC. Toutefois, comme
nous l’avons déjà fait remarquer à la section 3.1 Premier objectif de la vérification,
l’efficacité de la gestion de la sécurité des TI pourrait être améliorée grâce à une
meilleure surveillance et à une meilleure gestion des risques.
Efficience et caractère économique : Nous avons constaté que le CNRC pourrait
améliorer l’efficience et le caractère économique en se penchant sur les domaines
suivants : gestion des biens, stockage, accès à distance, protection antivirus et gestion
du changement.
Certaines inefficacités potentielles découlent du modèle de gestion décentralisée du
CNRC. En ce qui concerne les activités de gestion des biens, de stockage, d’accès à
distance, de protection antivirus et de gestion du changement, nous avons remarqué
qu’en vertu de ce modèle, plusieurs instituts fournissent leurs propres services à l’aide
de matériel varié et d’applications logicielles diverses. À notre avis, il devrait être
possible de fournir des services centralisés dans ces domaines, étant donné que la
DSGI offre déjà des services de protection antivirus à dix-sept I/D/P et des services de
gestion du changement, à douze I/D/P.
Bien que les économies en matière d’ETP puissent se révéler peu importantes, si
économies il y a, le fait de centraliser certains ou l’ensemble de ces services à l’échelle
du CNRC ou en partie pourrait permettre au CNRC de réduire tant le double emploi
Juin 2007
30
inutile que certaines dépenses de logiciels et de matériel engagées par les instituts qui
fournissent actuellement leurs propres services. Notre vérification ne comprend pas
une analyse visant à déterminer les économies potentielles associées à la centralisation
de ces services. Pour en arriver à un tel chiffre, il faudrait réaliser une analyse de
rentabilisation dans le cadre de laquelle il serait nécessaire de tenir compte des
exigences propres à chaque I/D/P.
La centralisation du programme antivirus pourrait aussi en augmenter l’efficacité. Étant
donné que la protection antivirus est un exercice de plus en plus complexe, la
centralisation tirerait parti de l’expertise qui existe déjà dans ce domaine au sein de la
DSGI. Nous avons observé que la DSGI emploie des spécialistes dans ce domaine et
que ce même niveau d’expertise, en général, n’est pas disponible dans tous les instituts
du CNRC. Cette situation pourrait avoir une incidence sur la capacité du CNRC à se
protéger, aussi efficacement que possible, contre les menaces posées par les virus.
Bien que les statistiques soient incomplètes, car, comme nous l’avons remarqué au
cours de la vérification, tous les incidents ne sont pas signalés, il est intéressant de
remarquer qu’au cours de l’exercice 2005-2006, le CNRC a fait l’objet de 45 incidents
signalés impliquant des virus, dont la totalité était associée à une absence de méthode
uniforme et organisationnelle en matière de protection antivirus. Bien que seulement
onze incidents impliquant des virus aient été signalés jusqu’à présent pour l’exercice
2006-2007, la dernière vague de virus, qui a eu lieu en janvier 2007, s’est soldée par
vingt-huit systèmes compromis et cinq jours d’activités interrompues dans un I/D/P qui
ne bénéficiait pas des services de protection antivirus de la DSGI. Remarquons que
certains I/D/P qui ne bénéficient pas des services de la DSGI ont également réussi à
prévenir des éclosions de virus. Une étude de rentabilisation devrait analyser la
synergie potentielle entourant la combinaison de l’expertise existante, qui est
nécessaire pour éviter cette menace de plus en plus fréquente à laquelle font face tous
les organismes gouvernementaux et non gouvernementaux.
5e recommandation
La direction devrait examiner les coûts, les avantages et la faisabilité éventuels
entourant la centralisation des services de gestion des biens, de stockage, d’accès à
distance, de protection antivirus et de gestion du changement, actuellement offerts par
Juin 2007
31
les instituts.
La direction est d’accord avec cette recommandation; un examen complet de la GI-TI a
été amorcé pour étudier le modèle actuel de prestation de services de TI et pour
déterminer la façon dont le CNRC pourrait améliorer l’efficacité et les rapports coûtsefficacité dans ce domaine. Les services signalés dans la présente recommandation
sont tous abordés dans le cadre de cet examen et les avantages liés à la centralisation
des principaux services de TI seront aussi étudiés. Comme nous l’avons mentionné cidessus, cette étude sera terminée et présentée au Comité de la haute direction du
CNRC en janvier 2008.
3.4 Quatrième objectif de la vérification : Vérifier si les
observations et les recommandations formulées dans le
cadre de l’examen externe de la sécurité des TI de 1999 ont
été appliquées
Constatations
En 2000, la DSGI a préparé un plan d’action en vue de donner suite aux vingt
observations et recommandations issues de l’examen externe sur la sécurité réalisé en
1999. Ces observations et recommandations portaient sur des sujets, sans toutefois s’y
limiter, comme les rôles et les responsabilités en matière de TI, la mise en œuvre d’un
programme de sécurité des TI, un personnel de soutien à la TI plus important, l’accès à
distance et la formation sur la sécurité des TI.
Nous avons constaté que, des vingt recommandations formulées dans le cadre de cet
examen, dix-sept ont été appliquées ou ne sont plus pertinentes. L’état des trois
Juin 2007
32
dernières s’établit comme suit :

Une réponse à la recommandation entourant la mise en œuvre de systèmes de
détection d’intrusion dans les réseaux est en cours. La DSGI a fait l’acquisition
du matériel nécessaire.

La recommandation concernant l’élaboration d’un plan de continuité des
opérations à l’échelle du CNRC est toujours en suspens; ce plan doit être mis au
point, comme on l’a mentionné à la section 3.1, Premier objectif de la vérification.

La recommandation relative à la mise en place de mesures de protection des
données et des fichiers (y compris les courriels) n’a pas été entièrement mise en
œuvre. L’infrastructure à clé publique (ICP) du gouvernement représente une
solution possible visant à répondre aux exigences du CNRC en matière de
communications intragouvernementales liées à l’échange et à la protection de
l’information. La DSGI sensibilise actuellement le personnel de tout le CNRC à
l’ICP, qu’elle présente comme un outil servant à protéger les données du CNRC.
Toutefois, il existe un risque connu associé à l’échange d’information à l’extérieur
du gouvernement avec les clients et les collaborateurs de recherche du CNRC,
pour lequel ni le gouvernement fédéral ni le secteur privé n’a trouvé de solution
technologique d’atténuation rentable.
Consultez l’annexe C pour prendre connaissance des évaluations effectuées par
rapport à chacune des recommandations.
Juin 2007
33
4.0 Conclusion
que nous avons examinés. En général, la DSGI respecte la norme de GSTI dans une
proportion de 97 p. 100. Toutefois, les trois instituts affichaient des taux de conformité
moins élevés (soit 86 p. 100, 76 p. 100 et 76 p. 100) dans des domaines importants
comme la gestion du risque, ainsi que la certification et l’accréditation de leurs
systèmes.
Il est important de prendre note qu’il est impossible pour l’équipe de vérification de
déterminer si le CNRC dans son ensemble est conforme à la norme de GSTI, car le
CNRC n’a ni clairement défini ni officiellement documenté tous ses systèmes
essentiels, ce sur quoi le modèle de gouvernance du CNRC en matière de sécurité des
TI se fonde.
•
l’organisation. Nous avons constaté que le coordonnateur de la sécurité des TI
du CNRC n’a pas le pouvoir d’agir à titre de personne-ressources principale en
ce qui concerne les questions de sécurité des TI. Par conséquent, il ne peut pas
assurer aux cadres supérieurs que tous les systèmes de TI du CNRC sont dotés
des mesures de protection adéquates.
•
contiennent.
Juin 2007
34
•
La vaste gamme de technologies et de protocoles visant à permettre aux
conformité considérablement moins élevés.
Nous avons conclu qu’il existe des possibilités d’amélioration de l’efficacité, de
l’efficience et du caractère économique de la gestion des services de sécurité des TI du
CNRC. Ces possibilités se rapportent à la surveillance, à la gestion des risques, à la
gestion des biens, au stockage, à l’accès à distance, à la protection antivirus et à la
gestion du changement.
Principales recommandations
1. Afin d’améliorer la surveillance de la TI, les cadres supérieurs du CNRC
devraient désigner un coordonnateur de la sécurité des TI au CNRC, qui serait
responsable de la sécurité des TI dans tout l’organisme et qui aurait autorité en
la matière.
2. Afin de renforcer la gestion du risque en matière de sécurité des TI, le CNRC
devrait :
(a) définir ce qu’il entend par « centraux » et par « essentiels » en ce qui
Juin 2007
35
(b) préciser la sensibilité de tous ses systèmes de TI, y compris les
systèmes utilisés aux seules fins de la recherche, et documenter les
justifications ou les critères servant à les désigner comme des systèmes
centraux ou essentiels;
(c) mener d’autres activités précises de gestion des risques, comme des
évaluations suffisamment rigoureuses des menaces et des risques, et
des activités de certification et d’accréditation de tous les systèmes
essentiels, comme l’exigent les politiques du CNRC et la norme de GSTI.
3. Le CNRC devrait élaborer un plan de continuité des opérations à l’échelle de
4. Le CNRC devrait élaborer une politique sur l’accès à distance ayant comme
objectif d’éliminer l’utilisation de protocoles non protégés, de réduire l’éventail
des protocoles utilisés et de renforcer la sécurité de l’accès à distance pour les
télétravailleurs.
5. La direction devrait examiner les coûts, les avantages et la faisabilité éventuels
entourant la centralisation des services de gestion des biens, de stockage,
d’accès à distance, de protection antivirus et de gestion du changement,
L’annexe D contient des plans d’action de gestion détaillés qui visent à donner suite aux
recommandations.
Juin 2007
36
Annexe A : Critères de vérification de la norme de GSTI
No
Critère de vérification
Approche ministérielle de l’organisation et de la sécurité des TI et contrôles de gestion
1.
[Norme de GSTI 9.0]
Les rôles, les responsabilités et l’autorité décrits dans la norme de GSTI sont documentés dans les descriptions de travail et se reflètent dans les
organigrammes.
2.
[Norme de GSTI 10.0]
Le CNRC possède une politique de sécurité des TI pertinente qui répond aux normes minimales décrites dans la norme de GSTI.
Ressources de sécurité destinées aux projets
3.
Les demandes de financement des programmes de TI doivent contenir les exigences en matière de sécurité des TI et les ressources requises.
Juin 2007
37
No
Mesures de protection techniques et opérationnelles
4.
Des mesures de protection de la sécurité des TI sont mises en œuvre en tenant compte de la sensibilité des biens, des vulnérabilités, de l’historique
des incidents et de l’exposition au risque.
5.
Le CNRC dispose d’un cadre de contrôle, de politiques et de procédures visant à mettre en œuvre des processus qui appuient la sécurité des TI, y
compris la gestion de la configuration et le contrôle des modifications, le centre d’assistance et le signalement des problèmes, la planification de la
capacité et les services de soutien auxiliaires.
6.
Le CNRC doit mettre en place un processus lui permettant de surveiller activement les menaces et les vulnérabilités et, au besoin, de prendre des
mesures préventives.
Juin 2007
38
No
7.
Le CNRC doit avoir une politique et des normes pour assurer la sécurité matérielle des biens liés à la TI.
(REMARQUE : La responsabilité relative à la sécurité matérielle est centralisée au sein de la Direction des Services administratifs et de la Gestion de
l’immobilier du CNRC).
8.
Le CNRC doit avoir une politique, des procédures et des normes pour assurer la protection des supports de TI pendant tout leur cycle de vie.
9.
Le CNRC doit avoir une politique et des procédures relatives aux enquêtes sur le personnel pour s’assurer que les membres du personnel qui ont accès
aux biens liés à la TI possèdent la cote de sécurité appropriée.
10.
[Norme de GSTI 16.4.2]
Le CNRC doit mettre en œuvre des mesures d’identification et d’authentification qui permettent d’identifier chaque personne façon exclusive et sans
équivoque.
Juin 2007
39
No
11.
Le CNRC doit mettre en œuvre un processus de contrôle de l’accès pour que les utilisateurs ne puissent avoir accès qu’aux renseignements pour
lesquels ils ont reçu une autorisation. Ce processus doit s’accompagner de procédures qui font en sorte que les utilisateurs ne puissent jamais accéder
à des renseignements dont le degré de sensibilité est supérieur à la cote de sécurité qui leur a été attribuée.
12.
Le CNRC doit disposer d’une politique et d’une technologie en vue de l’utilisation d’une technologie de cryptographie approuvée par le GC, au besoin.
13.
Le CNRC doit élaborer une politique sur la division des réseaux en zones de sécurité et la mise en place de mesures de défense du périmètre
graduées.
14.
Le CNRC doit mettre en place des procédures et des mesures de protection techniques relatives à l’informatique mobile et au télétravail.
15.
Le CNRC doit avoir une politique régissant l’utilisation des appareils sans fil dans ses lieux de travail.
Juin 2007
40
No
16.
L’architecture et les opérations de TI du CNRC doivent comprendre des outils et des processus (dont une fonction de journal de vérification de la
sécurité) qui permettent une détection efficace des incidents.
17.
Le CNRC doit avoir une bonne capacité de réaction aux incidents (y compris des employés qui possèdent un niveau décisionnel approprié) afin de
détecter les incidents, de les classer selon leur priorité, d’y répondre et de les signaler, ainsi que d’assurer la reprise après sinistre et de mener une
analyse postérieure à l’incident.
18.
Le CNRC doit disposer d’un cycle chronologique d'élaboration des systèmes (CCES) relatif à la TI qui tienne clairement compte des exigences de
sécurité des TI à chaque stade du cycle de vie.
19.
Le CNRC doit avoir une méthode documentée lui permettant de déterminer la sensibilité de ses biens de TI, ainsi qu’un processus d’identification et de
catégorisation de ces biens en fonction de leur sensibilité.
Juin 2007
41
No
20.
Le CCES du CNRC doit faire en sorte que les systèmes de TI soient accrédités par le responsable de l’accréditation approprié suivant une évaluation
des menaces et des risques et un processus de certification approuvés.
21.
Le CNRC doit disposer d’un processus d’évaluation de la vulnérabilité pour les systèmes très délicats ou assortis de risques importants.
22.
Le CNRC doit mettre en place une politique et des procédures (y compris une piste de vérification vérifiable) relatives à l’examen et à l’application de
correctifs de sécurité.
23.
Le CNRC doit avoir une politique visant à faire en sorte qu’une personne ne détienne le contrôle complet d'un système de TI ou d'une importante
fonction d'exécution.
24.
Le CNRC doit disposer d’une politique et d’un processus pour faire en sorte qu’il respecte les exigences de sécurité des TI au cours de tous les
processus de passation de marchés.
Juin 2007
42
No
25.
Le CNRC doit avoir un plan de continuité de la GI-TI afin de réduire au minimum l’interruption des services de TI essentiels.
26.
Le CNRC doit avoir une politique documentée relative à l’imposition de sanctions en cas d’incidents reliées à la TI attribuables à une inconduite ou à de
la négligence.
27.
Le CNRC doit avoir une politique et un processus pour assurer la sécurité de l’information du CNRC transmise à d’autres organismes et reçue d’autres
organismes.
28.
Le CNRC doit avoir une politique en ce qui concerne l’autoévaluation annuelle de ses programmes de sécurité des TI et l’intégration des vérifications
de la sécurité des TI aux programmes de vérification interne du CNRC.
29.
Le CNRC doit disposer d’un programme permanent de sensibilisation à la sécurité, ainsi que d’une politique visant à faire en sorte que les membres du
personnel ayant des responsabilités liées à la sécurité des TI reçoivent la formation spécialisée appropriée.
Juin 2007
43
Annexe B : Critères de vérification relatifs aux politiques de
sécurité des TI du CNRC
No
Approche ministérielle de l’organisation de la sécurité des TI et contrôles de gestion
1.
[Norme en matière d’organisation et de gestion du CNRC, Annexe B, 3.1.1]
Il incombe au DG de nommer un ASSI qui sera chargé de coordonner et de régler les questions de sécurité des TI.
Mesures de protection techniques et opérationnelles
2.
[Norme en matière d’organisation et de gestion du CNRC, 6.1.1]
Les exigences de confidentialité, d’intégrité et de disponibilité de chaque SI seront consignées dans un Énoncé de nature délicate.
3.
On procèdera à une EMR de tout système central et de tout autre système essentiel à ses activités.
Juin 2007
44
No
4.
Un plan de sécurité des systèmes d’information doit être établi et maintenu relativement à chaque système administratif essentiel.
5.
L’autorité responsable accréditera chaque système administratif essentiel.
6.
[PPI du CNRC, Énoncé de politique, 7.5]
Les mesures de sécurité des systèmes doivent être proportionnées aux niveaux de sécurité de l’information et des biens visés et tenir compte des
menaces et des vulnérabilités identifiées.
7.
[Norme de sécurité des télécommunications, Annexe A]
2. L’inventaire de la gestion du changement doit englober toute l’information concernant le matériel de communication et de réseau, les logiciels, les
services et les données.
3. Dans la gestion de la configuration, on doit prendre en compte tout changement dont l’effet sur le système est permanent ou semi-permanent.
•
3.1 Le processus de contrôle des changements doit comporter des mécanismes permettant d’accomplir les fonctions suivantes : demandes de
changements, enregistrement et suivi des demandes en suspens, approbation des demandes, essai et acceptation des changements, et intégration
des changements et notification des changements aux utilisateurs.
Juin 2007
45
No
8.
[Protection de l’information – Norme d’exploitation, Annexe C]
2. La classification ou la désignation de sécurité que l’on attribue aux supports de TI est effectuée en fonction de l’information la plus sensible qu’ils
contiennent.
3. Il faut emballer et transporter les supports de TI, et transmettre les données qu’ils contiennent en les protégeant contre les risques de
manipulation brutale, d’altération, de compromission et contre les conditions extrêmes du milieu (chaleur, froid et humidité).
4. Avant de sortir les supports de TI de leur milieu pour les réutiliser, les entretenir ou les éliminer, il faut les soumettre à un nettoyage approprié.
9.
[Norme de contrôle d’accès, 5.2]
Les I/D/P doivent s’assurer que l’accès aux systèmes, aux réseaux et aux données de TI n’est permis qu’à ceux qui détiennent l’autorisation
appropriée. Cette autorisation est délivrée en fonction de l’attestation de sécurité de la personne, ainsi qu’à son « besoin de connaître ».
10.
[Norme de contrôle d’accès, 5.4]
Afin d’éviter toute usurpation d’identité, les systèmes de TI doivent autant que possible authentifier tous les identificateurs des utilisateurs.
11.
[Programme de protection de l’information, Annexe D, 3.1]
Tout module cryptographique utilisé pour chiffrer des données du CNRC doit être conforme aux normes décrites dans le document intitulé FIPS 140-1
ou 140-2, Security Requirements for Cryptographic Modules (Exigences de sécurité pour les modules cryptographiques).
Juin 2007
46
No
12.
[Norme de sécurité des télécommunications, 5.8]
Il n’est généralement pas permis d’utiliser des modems locaux pour établir des connexions téléphoniques directes, exception faite pour les situations
où l’on utilise des ordinateurs pour le télétravail.
13.
[Norme de sécurité des télécommunications, 5.6]
Dans toutes les mises en œuvre des technologies sans fil des RLE, on doit suivre un processus de gestion des risques en quatre étapes, expliqué dans
la Norme en matière d’organisation et de gestion du CNRC, et on doit respecter la norme de sécurité fonctionnelle TI, définie à l’Annexe C.
14.
[Protection de l’information – Norme d’exploitation, Annexe A, 2.1 et 2.2]
Il faut au minimum installer des outils de détection d’intrusion gérés par le réseau et les configurer pour qu’ils surveillent toutes les connexions à
Internet.
Il faut au minimum installer des outils de détection d’intrusion gérés par le système central et les configurer pour qu’ils surveillent les serveurs et les
systèmes, qui sont des biens essentiels.
Juin 2007
47
No
15.
[Documents du CNRC]
- Procédure en cas d’incident de sécurité en TI
- Normes de l’Équipe d’intervention en cas d’incidents informatiques
- Procédure d’enquête de sécurité en TI
16.
Les exigences de confidentialité, d’intégrité et de disponibilité de chaque SI seront consignées dans un Énoncé de nature délicate.
La méthodologie est décrite dans le Guide de gestion des risques en matière de sécurité relatif à la technologie de l’information, Annexe B – Analyse
de sensibilité.
17.
[Protection de l’information – Norme d’exploitation, 5.9]
Une LVERS doit également être incluse lorsqu’il y a des exigences qui concernent la sécurité physique, la sécurité de la technologie de l’information ou
la sécurité du personnel.
Juin 2007
48
No
18.
[Protection de l’information – Norme d’exploitation, 5.8]
Tous les I/D/P sont responsables de la mise sur pied des plans de continuité de la GI et de la TI; ils doivent les étayer et les tester, et être prêts à les
appliquer en tout temps. […] le plan de continuité de la technologie de l’information doit permettre d’assurer efficacement et dans un délai
raisonnable le rétablissement des services essentiels.
19.
[Politique régissant l’utilisation des ressources en TI du CNRC, 9]
… les employés du CNRC doivent savoir clairement que, s’ils violent volontairement et délibérément la présente politique, ils peuvent faire l’objet de
mesures administratives ou disciplinaires pouvant aller jusqu’à la mise à pied.
Juin 2007
49
Annexe C : Recommandations issues de l’examen externe de la
sécurité des TI réalisé en 1999 et constatations de
la vérification de 2007
Recommandation formulée dans le cadre de l’examen externe réalisé en 1999
1.
Propriété, gouvernance et soutien des ressources de TI. La question de la propriété et de la
Recommandation mise en œuvre
Oui
gouvernance des ressources de TI concerne non seulement la sécurité des TI, mais aussi
l’élaboration d’une architecture de TI générale. Toutes les personnes concernées doivent
clairement savoir qui est « propriétaire » et responsable des différentes parties de
l’infrastructure de TI (p. ex., les postes de travail, les serveurs, les RLE, les réseaux longue
distance, etc.). On peut ainsi répartir la responsabilité liée à la sécurité de l’infrastructure de TI.
On doit aussi clairement indiquer les règles qui régissent la façon dont les différents
« propriétaires » interagissent. On doit, par exemple, décrire les règles que doit suivre le
« propriétaire » d’un système lorsqu’il se connecte au réseau. Pour ce faire, les divers groupes
de soutien technique en matière de TI répartis dans tout le CNRC devront travailler en
collaboration.
Juin 2007
50
2.
Définition d’une politique de sécurité des TI au CNRC. Le CNRC ne dispose actuellement
Oui
d’aucune politique définie en matière de sécurité des TI. La mise en œuvre d’un programme de
sécurité des TI nécessite l’élaboration d’une politique de soutien de haut niveau décrivant les
objectifs, les stratégies et les règles visant à régir ce programme. Cette politique de sécurité
des TI doit dériver des objectifs opérationnels et des stratégies d’affaires du CNRC, et y être
directement liée.
3.
Rôles et responsabilités en matière de sécurité des TI. On doit définir et officialiser les rôles et
Oui
les responsabilités entourant la sécurité des TI au CNRC. Il est nécessaire de déterminer la
structure organisationnelle générale en matière de sécurité des TI au CNRC, ainsi que de définir
et d’attribuer les rôles et les responsabilités du personnel des divers paliers de l’organisme
(CNRC, institut ou direction, système, etc.). On doit au minimum assigner les responsabilités
liées à la sécurité des TI à une personne pour chaque ressource de TI du CNRC, et cette
personne doit obtenir les ressources, le pouvoir et le mandat lui permettant d’exercer ses
responsabilités.
Juin 2007
51
4.
Élaboration d’un plan de classification des données. Le CNRC détient des données de nature
Oui
délicate, mais il ne dispose d’aucun plan lui permettant de désigner et de classifier ces
données, comme l’exige la PGS. Les données de nature délicate doivent être désignées et
marquées, et des mesures de protection doivent être mises en œuvre pour protéger
adéquatement l’information.
5.
Élimination éventuelle des administrateurs de systèmes à temps partiel. La présence
Oui
d’administrateurs de systèmes à temps partiel, en particulier pour ce qui est des systèmes
serveurs, constitue une préoccupation. Ces administrateurs n’ont souvent pas le temps ou les
compétences nécessaires pour bien gérer ou protéger les systèmes dont ils sont responsables.
En conséquence, leurs systèmes sont fréquemment les systèmes les plus vulnérables, car la
sécurité est souvent ce qu’on met de côté en premier lorsqu’on est pressé (mentalité du
« occupez-vous de faire fonctionner le système, on se préoccupera de la sécurité plus tard »).
Juin 2007
52
6.
Ajout de personnel de soutien au réseau du CNRC. Le personnel nécessaire à la bonne gestion
Oui
de l’infrastructure du réseau du CNRC est actuellement insuffisant. Par conséquent, la
planification, la surveillance et l’entretien du réseau font défaut, car les ressources, au
maximum de leurs capacités, arrivent tout juste à le faire fonctionner (« lutte contre les
incendies »). Un certain nombre d’emplacements ont fait remarquer qu’ils avisent
normalement le personnel d’exploitation du réseau lorsque des segments du réseau sont en
panne, au lieu de se faire informer du problème. La protection de l’infrastructure du réseau est
simplement un élargissement de principes sensés de gestion de réseau. S’il manque de
personnel pour soutenir les principales fonctions de gestion du réseau, il en manquera de toute
évidence pour assurer la sécurité du réseau.
7.
Accès par les personnes autres que les employés du CNRC. Les recommandations contenues
Oui
dans le rapport du CNRC sur l’accès au réseau par des personnes autres que les employés du
CNRC doivent être prises en considération dans le cadre de la mise en œuvre d’un programme
de sécurité des TI au CNRC.
Juin 2007
53
8.
Élaboration et mise en œuvre d’un programme de sécurité des TI. On doit élaborer et mettre
Oui
en œuvre un programme de sécurité des TI au CNRC. On doit planifier et mener les activités
principales suivantes :

élaboration de politiques de sécurité au CNRC;

détermination des biens devant être protégés (c.-à-d., quels sont les systèmes, les
données, les services, etc., qui sont importants);

exécution d’une analyse des risques de haut niveau pour ce qui est des biens visés;

élaboration d’une architecture de sécurité des TI et détermination des mesures de
protection requises pour protéger les biens essentiels;

mise en œuvre des mesures de protection;

évaluation périodique des mesures de protection, vérification de la conformité en
matière de sécurité, surveillance continue de la sécurité des systèmes, des
vulnérabilités, des menaces, etc.;

mise en œuvre d’un programme de sensibilisation à la sécurité;

traitement des incidents.
Juin 2007
54
9.
Formation sur la sécurité des TI. On doit offrir de la formation sur la sécurité des TI aux
Oui
membres du personnel qui sont responsables de la sécurité des TI. Cette formation pourrait
prendre la forme de cours de formation en cours d’emploi ou de cours donnés par des
entreprises externes. L’organisme central responsable de la sécurité des TI devrait assurer la
coordination et le suivi de cette formation.
10. Définition et contrôle du périmètre électronique. À l’heure actuelle, le réseau du CNRC ne
Oui
dispose d’aucun périmètre électronique établi, la majeure partie de l’infrastructure du réseau
étant simplement un prolongement d’Internet. Un périmètre est nécessaire pour séparer
l’information destinée au public de l’information confidentielle, de même que pour contrôler
l’accès entre ces deux domaines. Le but premier de l’établissement d’un périmètre est de gérer
l’accès externe à l’information du CNRC et aux ressources de TI. Le public, les collaborateurs,
les entrepreneurs et les employés du CNRC ne devraient avoir qu’un accès externe aux
ressources de TI du CNRC dont ils ont besoin, ni plus, ni moins.
11. Séparation des données, des systèmes et des services. L’infrastructure de TI du CNRC devrait
Oui
séparer les systèmes en fonction de l’information qu’ils contiennent, des services qu’ils offrent
et des personnes qui ont besoin d’y accéder.
Juin 2007
55
12. Protection de l’information sur le réseau fédérateur du CNRC. À l’heure actuelle, le CNRC se
Oui
sert du réseau CA*net II comme réseau fédérateur entre ses emplacements régionaux. Toute
l’information, généralement transmise « en clair », circule entre les emplacements grâce à ce
réseau fédérateur semi-public. Cette information est donc sujette au « repérage d’erreurs » de
réseau et risque d’être compromise pendant sa circulation entre les emplacements du CNRC.
On doit évaluer la sensibilité de l’information et déterminer si des mesures de protection
(p. ex., le chiffrement) sont nécessaires. Plus particulièrement, un réseau privé virtuel (RPV)
chiffré entre les emplacements régionaux du CNRC pourrait être approprié.
13. Mise en œuvre éventuelle d’un système de détection d’intrusion dans le réseau. On doit
En cours
envisager la mise en œuvre d’un système de détection d’intrusion dans le réseau relativement
aux principales connexions de réseau. Indépendamment de la qualité des mesures de
protection de l’infrastructure de TI du CNRC, la détection d’intrusion est « l’avertisseur antivol » qui annonce une attaque et permet de réagir rapidement. Au départ, cette capacité
devrait se concentrer sur les points d’accès externes pour contrer la menace externe. Selon les
exigences, cette capacité pourrait ensuite être élargie de manière à englober des secteurs
internes importants ou être combinée à des systèmes de surveillance des intrusions gérés par
le système central relativement aux systèmes essentiels (afin de contrer la menace interne).
Juin 2007
56
14. Protection des données et des fichiers individuels. Les membres du personnel du CNRC
Non
échangent de l’information avec d’autres personnes, à l’échelle mondiale. Une partie de cette
information est de nature délicate et nécessite une protection appropriée (p. ex., le
chiffrement). De plus, le gouvernement canadien procède actuellement à la mise en œuvre
d’une infrastructure à clé publique pour la protection et le partage de l’information entre les
ministères. Bien que l’on puisse se servir de cette infrastructure pour répondre aux exigences
internes et intraministérielles du CNRC, de nombreux collaborateurs et clients exigent des
communications protégées avec le personnel ou les services du CNRC (p. ex., l’ICIST). On doit
mettre en place des mesures de protection pour assurer la protection des fichiers et des
courriels.
Juin 2007
57
15. Mise en œuvre d’un programme de gestion de la configuration des ressources de TI
Oui
importantes. Un certain nombre de ressources de TI, y compris l’infrastructure du réseau du
CNRC et d’importants systèmes publics et administratifs, sont indispensables au
fonctionnement du CNRC. Un programme de gestion de la configuration doit être mis en œuvre
pour gérer ces systèmes, y compris un processus officiel permettant de les modifier, de les
mettre en ligne, etc. Il sera plus facile de satisfaire aux exigences de sécurité des TI si ces
systèmes font l’objet d’un contrôle officiel. Par exemple, l’étude de questions de sécurité des
TI pourrait faire partie du processus de changement de système, on pourrait exiger que des
tests de vérification soient effectués avant d’activer un système en vue de la production, etc. Si
l’on ne gère pas activement la configuration des systèmes, on ne peut pas assurer leur
sécurité.
16. Élaboration d’un plan de continuité des opérations. On doit élaborer et mettre en œuvre un
En cours
plan de continuité des opérations pour ce qui est des ressources de TI qui sont essentielles aux
opérations du CNRC. Ce plan doit au minimum porter sur le réseau du CNRC lui-même (y
compris la connectabilité externe), sur Sigma, sur les systèmes de soutien opérationnel
importants et sur les ressources de TI publiques importantes signalées à la section 3.2.2.
Juin 2007
58
17. Accès à distance. L’accès aux ressources du CNRC à distance doit passer de protocoles non
Oui
protégés à des protocoles protégés qui comportent un solide processus d’identification et
d’authentification et qui chiffrent les données circulant entre les systèmes. Par exemple, on doit
éliminer l’utilisation de protocoles non protégés comme Telnet, X et rlogin permettant d’accéder
aux systèmes du CNRC à distance, et remplacer ces protocoles par des protocoles protégés
comme SSH.
18. Intégration de la sécurité des TI dans le cycle de vie des systèmes. La sécurité des TI doit être
Oui
intégrée au cycle de vie de l’infrastructure de TI, des systèmes et des logiciels du CNRC. Cela
comprend la conception, l’élaboration, l’approvisionnement, la mise en œuvre, l’exploitation et
la désactivation. La sécurité des TI doit simplement devenir un autre volet important
des activités du CNRC; elle ne doit pas être considérée comme quelque chose que
l’on ajoute à un système au moment où ce système est prêt à être déployé. Si l’on
tient compte immédiatement des exigences de sécurité des TI, on pourra économiser des
sommes importantes à long terme.
Juin 2007
59
19. Sécurité et surveillance des systèmes. Il faut améliorer la sécurité des systèmes individuels.
Oui
On doit offrir des conseils et de la formation aux administrateurs de systèmes sur la façon
d’assurer, d’entretenir et de surveiller la sécurité de leurs systèmes. Une analyse régulière des
vulnérabilités effectuée à l’aide d’outils commerciaux de pointe aidera à repérer les faiblesses
des systèmes. En raison des connaissances spécialisées requises pour utiliser ces outils, il
serait peut-être préférable que ce service soit offert par l’organisme central responsable de la
sécurité des TI du CNRC. Finalement, non seulement la protection des systèmes individuels
permet de contrer la menace interne, mais elle fournit aussi un deuxième moyen de
« défense » en cas d’atteinte au périmètre électronique.
20. Protection et disponibilité du réseau du CNRC. Certains secteurs du CNRC dépendent du réseau
Mise en œuvre partielle. Les instituts ont besoin
du CNRC et, plus particulièrement, de sa connectabilité externe, pour gagner de l’argent
d’énoncés de nature délicate détaillés pour déterminer
(p. ex., l’ICIST). On doit conclure des ententes appropriées concernant le niveau de service
de façon concluante si les mesures de protection
devant être offert par le réseau du CNRC pour appuyer ces activités (p. ex., exigences en
correspondent à la sensibilité de leurs systèmes.
matière d’intégrité et de disponibilité.
Juin 2007
60
Annexe D : Plans d’action de la gestion
Recommandations
Plan d’action
de la vérification
de gestion correctif
1.
Afin d’améliorer la surveillance de la TI, les cadres
Nomination d’un coordonnateur de la sécurité des TI après
supérieurs du CNRC devraient désigner un
consultation avec le Comité de la haute direction (CHD).
Date
Dirigeants du
d’achèvement
CNRC
prévue
responsables
juin 2007
V.-P., Services
corporatifs
coordonnateur de la sécurité des TI au CNRC, qui
serait responsable de la sécurité des TI dans tout
Le rôle de coordonnateur de la sécurité des TI devra être
l’organisme et qui aurait autorité en la matière.
appuyé par une solide structure de gouvernance en matière
Janvier 2008
de GI-TI en général et par un robuste cadre de gouvernance
de la sécurité de l’information en particulier. On se penchera
sur la question de la gouvernance en matière de GI-TI dans
le cadre d’une étude que le CNRC a déjà amorcée, c’est-àdire un examen complet de la GI-TI visant à étudier le
modèle actuel de prestation de services de TI et à déterminer
la façon dont le CNRC pourrait améliorer l’efficacité et les
rapports coût-efficacité dans ce domaine.
Juin 2007
61
Recommandations
Plan d’action
de la vérification
2.
Afin de renforcer la gestion du risque en matière de
La politique et la norme en matière de GI-TI sont revues tous
sécurité des TI, le CNRC devrait :
les deux ans dans le cadre du cycle de vie de cette politique.
a) définir ce qu’il entend par « centraux » et par
« essentiels » en ce qui concerne les systèmes;
Date
Dirigeants du
d’achèvement
CNRC
prévue
responsables
Septembre
2007
V.-P., Services
corporatifs
Mars 2008
Chefs des I/D/P
Toutes les politiques et normes en matière de sécurité des TI
feront l’objet d’un examen complet entre juillet et
septembre 2007. On ajoutera les termes « centraux » et
« essentiels » au glossaire de GI-TI du CNRC, et on
élaborera des définitions appropriées au cours de l’examen
des politiques.
b) préciser la sensibilité de tous ses systèmes de TI et
Une fois que les termes « centraux » et essentiels » auront
documenter les justifications ou les critères servant à
été définis, tous les systèmes des instituts seront examinés
les désigner comme des systèmes centraux ou
et décrits de façon appropriée. Le coordonnateur de la
essentiels;
sécurité des TI du CNRC sera responsable de veiller à ce
Coordonnateur de
la sécurité des TI
du CNRC
que tous les instituts, directions et programmes définissent
leurs systèmes comme étant « centraux » et « essentiels » et
qu’ils procèdent à une analyse des risques appropriée.
Juin 2007
62
Recommandations
Plan d’action
de la vérification
c) mener d’autres activités précises de gestion
Tous les systèmes définis comme étant « centraux » et
des risques, comme des évaluations
« essentiels » feront l’objet d’une analyse des menaces et
suffisamment rigoureuses des menaces et des
des risques, ainsi que d’une certification et d’une
risques, et des activités de certification et
accréditation complètes. Le coordonnateur de la sécurité des
d’accréditation de tous les systèmes essentiels,
TI du CNRC sera responsable de veiller à ce que tous les
comme l’exigent les politiques du CNRC et la
instituts, directions et programmes définissent leurs systèmes
norme de GSTI.
comme étant « centraux » et « essentiels » et qu’ils
Date
Dirigeants du
d’achèvement
CNRC
prévue
responsables
Mars 2008
Chefs des I/D/P
Coordonnateur de
la sécurité des TI
du CNRC
procèdent à une analyse des risques appropriée.
Juin 2007
63
Recommandations
Plan d’action
de la vérification
3.
Le CNRC devrait élaborer un plan de continuité
Le directeur général de la Direction des services
des opérations à l’échelle de l’organisation
administratifs et de la gestion de l’immobilier a amorcé une
relativement à la sécurité des TI.
analyse des répercussions sur les opérations à l’échelle du
Date
Dirigeants du
d’achèvement
CNRC
prévue
responsables
Mars 2008
V.-P., Services
corporatifs
Décembre 2008
V.-P., Services
corporatifs
CNRC afin d’examiner les fonctions administratives du CNRC
et les effets que peuvent avoir sur elles des risques précis.
Cette analyse constitue une première étape cruciale de la
préparation d’un plan de continuité des opérations à
l’intention du CNRC. Ce travail sera achevé au plus tard en
mars 2008, date à laquelle on pourra élaborer un plan de
projet plus détaillé visant à répondre aux exigences du CNRC
en matière de continuité des opérations, y compris celles qui
ont une incidence sur la sécurité des TI.
4.
Le CNRC devrait élaborer une politique sur l’accès
Les services d’accès à distance feront l’objet d’un examen
à distance ayant comme objectif d’éliminer
dans le cadre de l’étude sur la GI et la TI. Une fois que cette
l’utilisation de protocoles non protégés, de réduire
étude sera terminée, des directives seront élaborées et mises
l’éventail des protocoles utilisés et de renforcer la
en œuvre pour régler la question de l’accès à distance au
sécurité de l’accès à distance pour les
CNRC.
télétravailleurs.
Juin 2007
64
Recommandations
Plan d’action
de la vérification
5.
La direction devrait examiner les coûts, les
Un examen complet de la GI-TI a été amorcé pour étudier le
avantages et la faisabilité éventuels entourant la
modèle actuel de prestation de services de TI et pour
centralisation des services de gestion des biens,
déterminer la façon dont le CNRC pourrait améliorer
de stockage, d’accès à distance, de protection
l’efficacité et les rapports coûts-efficacité dans ce domaine.
antivirus et de gestion du changement,
Les services signalés dans la présente recommandation sont
tous abordés dans le cadre de cet examen et les avantages
Date
Dirigeants du
d’achèvement
CNRC
prévue
responsables
Janvier 2008
V.-P., Services
corporatifs
liés à la centralisation des principaux services de TI seront
aussi étudiés.
Juin 2007
65
Annexe E : Glossaire
Liste des abréviations
API
Agent principal de l’information
ASSI
Agent de sécurité des systèmes d’information
CHC
Centre d'hydraulique canadien
CHD
Comité de la haute direction
CPI
Centre de protection de l’information
DSD
Direction de la stratégie et du développement
DSGI
Direction des services de gestion de l’information
EMR
Évaluation des menaces et des risques
END
Énoncé de la nature délicate
GI
Gestion de l’information
GSTI
Norme de gestion de la sécurité des technologies de
l’information
I/D/P
Instituts, direction et programmes
IBD
Institut du biodiagnostic
IBM
Institut des biosciences marines
IBP
Institut de biotechnologie des plantes
ICIST
Institut canadien de l'information scientifique et technique
IENM
Institut des étalons nationaux de mesure
IHA
Institut Herzberg d’astrophysique
IIPC
Institut d’innovation en piles à combustible
IMI
Institut des matériaux industriels
Juin 2007
66
INNT
Institut national de nanotechnologie
IRA
Institut de recherche aérospatiale
IRB
Institut de recherche en biotechnologie
IRC
Institut de recherche en construction
ISB
Institut des sciences biologiques
ISM
Institut des sciences des microstructures
ISSM
Institut Steacie des sciences moléculaires
ITFI
Institut des technologies de fabrication intégrée
ITI
Institut de technologie de l’information
ITO
Institut des technologies océaniques
ITPCE
Institut de technologie des procédés chimiques et de
l’environnement
PARI
Programme d’aide à la recherche industrielle
PGS
Politique du gouvernement sur la sécurité
SAGI
Services administratifs et gestion de l’immobilier
SCT
Secrétariat du Conseil du Trésor
Juin 2007
67