Vérification de la gestion de la sécurité des technologies de l
Transcription
Vérification de la gestion de la sécurité des technologies de l
CONSEIL NATIONAL DE RECHERCHES CANADA ARCHIVÉ - Vérification de la gestion de la sécurité des technologies de l’information (TI) Ce fichier PDF a été archivé dans le Web. Contenu archivé Information archivée dans le Web à des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à la Politique de communication du gouvernement du Canada, vous pouvez obtenir cette information dans un autre format en communiquant avec nous à l’adresse : [email protected]. Conseil national de recherches Canada Vérification de la gestion de la sécurité des technologies de l’information (TI) Vérification interne, CNRC Juin 2007 Vérification de la gestion de la sécurité des TI TABLE DES MATIÈRES 1.0 2.0 Sommaire ............................................................................... 1 Introduction ........................................................................... 9 2.1 2.2 2.3 3.0 Contexte......................................................................................................... 9 Gestion de la sécurité des TI au CNRC ................................................. 10 Au sujet de la vérification .......................................................................... 15 Constatations découlant de la vérification ................. 19 3.1 Premier objectif de la vérification : Vérifier si le CNRC respecte la norme de GSTI ........................................................................................... 19 3.2 Deuxième objectif de la vérification : Vérifier si le CNRC respecte ses propres politiques et normes en matière de sécurité ........................... 28 3.3 Troisième objectif de la vérification : Évaluer l’efficacité, l’efficience et le caractère économique de la gestion des services de sécurité des TI du CNRC ..................................................................................................... 29 3.4 Quatrième objectif de la vérification : Vérifier si les observations et les recommandations formulées dans le cadre de l’examen externe de la sécurité des TI de 1999 ont été appliquées ........................................... 32 4.0 Conclusion........................................................................... 34 Annexe A : Critères de vérification de la norme de GSTI.......... 37 Annexe B : Critères de vérification relatifs aux politiques de sécurité des TI du CNRC .......................................... 44 Annexe C : Recommandations issues de l’examen externe de la sécurité des TI réalisé en 1999 et constatations de la vérification de 2007.................................................... 50 Annexe D : Plans d’action de la gestion ......................................... 61 Annexe E : Glossaire........................................................................ 66 Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada i Vérification de la gestion de la sécurité des TI 1.0 Sommaire Contexte Le Secrétariat du Conseil du Trésor (SCT) exige des ministères et des organismes qu’ils procèdent à des vérifications internes périodiques du respect de la Politique sur la sécurité (PS) et de l’efficacité de sa mise en œuvre. Cette politique exige des ministères d.effectuer la surveillance active de leur programme de sécurité et d’effectuer des vérifications internes. La norme de Gestion de la sécurité des technologies de l’information (GSTI) définit les exigences de base en matière de sécurité que les ministères fédéraux doivent satisfaire pour assurer la sécurité de l’information et des biens liés à la technologie de l’information (p. ex., logiciels et matériel) placés sous leur contrôle. Cette norme de sécurité opérationnelle appuie la Politique du gouvernement sur la sécurité. La norme de GSTI indique, entre autres choses, que : les ministères doivent établir et gérer un programme ministériel de sécurité; les profils de risque ministériels détermineront les exigences sécuritaires de base à mettre en œuvre afin de répondre aux exigences de la norme de GSTI. Le dernier examen de la sécurité des TI réalisé au CNRC remonte à 1999. Par la suite, le Plan de vérification interne axé sur les risques pour 2006-2007 à 2008-2009 a déterminé que la vérification de la gestion de la sécurité des TI était une priorité. La démarche du CNRC concernant la gestion de la sécurité des TI consiste en la création d’un « environnement de TI en principe ouvert pour faciliter la recherche et l’innovation ». Parallèlement, cet environnement doit assurer la protection des renseignements de nature délicate et les renseignements que le CNRC détient au nom de ses clients et collaborateurs. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 1 Vérification de la gestion de la sécurité des TI Objectifs, portée et méthodes de la vérification Les objectifs de la vérification de la gestion de la sécurité des TI étaient les suivants : vérifier si le CNRC respecte la norme de GSTI; vérifier si le CNRC respecte ses propres politiques et normes en matière de sécurité des TI; évaluer l’efficacité, l’efficience et le caractère économique des services de sécurité des TI du CNRC; assurer le suivi des constatations et des recommandations formulées dans le cadre de l’examen externe de la sécurité des TI réalisé en 1999. Le CNRC a embauché une équipe de spécialistes de la TI reconnus et agréés pour procéder à la vérification. Les critères de vérification étaient fondés sur les exigences de la norme de GSTI et celles des politiques et des normes internes du CNRC en matière de sécurité. La présente vérification porte notamment sur les services de sécurité des TI qu’offre la Direction des services de gestion de l’information (DSGI) relativement aux éléments des services de première nécessité, ainsi que sur les douze instituts, directions et programmes (I/D/P) et les sept bureaux de la haute direction que la DGSI soutient directement, et sur trois instituts auxquels la DGSI n’offre aucun service de soutien en matière de sécurité des TI. La vérification ne porte pas sur le matériel informatique qui est utilisé aux seules fins de la recherche dans les instituts du CNRC. Les conclusions de la vérification se fondent sur des éléments probants recueillis entre juillet 2006 et avril 2007. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 2 Vérification de la gestion de la sécurité des TI Opinion du vérificateur et énoncé d’assurance La vérification n’a pas permis d’évaluer l’exposition générale du CNRC aux risques liés à la sécurité des TI. Nous ne pouvons donc conclure avec une assurance raisonnable que la sécurité des TI au CNRC dans son ensemble est conforme à la Politique du gouvernement sur la sécurité (PGS) ou à la norme de Gestion de la sécurité des technologies de l’information (GSTI) du gouvernement, car le CNRC n’a pas officiellement défini et documenté tous ses systèmes administratifs centraux ou essentiels à ses activités. En outre, non seulement la Direction des services de gestion de l’information (DSGI) du CNRC n’offre pas de services de sécurité des TI à tous les instituts, directions et programmes, mais elle n’a pas l’autorité fonctionnelle lui permettant de surveiller le respect de la politique et de la norme susmentionnées, ou de les faire respecter. On ne peut pas supposer que son taux de conformité élevé (97 p. 100) s’applique à tout le CNRC. Si une analyse vérifiable subséquente permet de démontrer qu’aucun système essentiel n’échappe au contrôle de la DSGI, on pourra conclure avec assurance que le CNRC dans son ensemble respecte la PGS et la norme de GSTI. Il est important de comprendre que, bien que les taux de conformité à la norme de GSTI soient révélateurs de la probabilité que les systèmes de TI soient protégés, ils ne sont pas concluants. Autrement dit, des taux de conformité à la norme de GSTI élevés ne signifient pas nécessairement un degré élevé de sécurité des TI, et des taux de conformité faibles ne sont pas nécessairement le signe de systèmes de TI non protégés. Seule une vérification complète de la sécurité des TI peut le vérifier. Pour ces raisons, nous ne sommes pas non plus en mesure de conclure avec une assurance raisonnable que le CNRC dans son ensemble respecte ses propres politiques, normes et lignes directrices en matière de sécurité des TI. Nous avons constaté que la plupart des recommandations faites dans le cadre de l’examen externe de la sécurité des TI de 1999 ont été mises en œuvre. Enfin, nous avons également constaté que l’efficacité, l’efficience et le caractère économique de la gestion de la sécurité des TI au CNRC pouvaient faire l’objet d’une amélioration. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 3 Vérification de la gestion de la sécurité des TI À mon avis, en tant que dirigeante de la vérification, les travaux de vérification que nous avons menés et les éléments probants que nous avons recueillis étaient suffisants et appropriés pour appuyer l’exactitude de l’opinion présentée dans le présent rapport. Cette opinion se fonde sur une comparaison entre les conditions, en vigueur au moment de la vérification, et les critères de vérification. Les éléments probants ont été recueillis conformément à la politique, aux directives et aux normes du Conseil du Trésor sur la vérification interne, et les méthodes employées étaient conformes aux normes professionnelles de l’Institut des vérificateurs internes. Conclusion et recommandations Le degré de conformité à la norme de GSTI variait entre la DSGI et les trois instituts que nous avons examinés. En général, la DSGI respecte la norme de GSTI dans une proportion de 97 p. 100. Toutefois, les trois instituts affichaient des taux moins élevés, soit 86, 76 et 76 p. 100, dans les principaux domaines de la gestion des risques. Tous les domaines de non-conformité sont liés aux analyses de sensibilité de tous les systèmes, aux évaluations des menaces et des risques associées à tous les systèmes essentiels, à la certification et à l’accréditation de ces systèmes, ainsi qu’à la planification de la continuité des opérations et de la reprise après sinistre. Il est important de comprendre que, bien que les taux de conformité à la norme de GSTI soient révélateurs de la probabilité que les systèmes de TI soient protégés, ils ne sont pas concluants. En d’autres termes, des taux de conformité à la norme de GSTI élevés ne signifient pas nécessairement un degré élevé de sécurité des TI, et des taux de conformité faibles ne sont pas nécessairement le signe de systèmes de TI non protégés. Seule une vérification complète de la sécurité des TI peut le vérifier. On doit prendre note qu’il est impossible pour l’équipe de vérification de déterminer si le CNRC dans son ensemble est conforme à la norme de GSTI, car le CNRC n’a ni clairement défini ni officiellement documenté tous ses systèmes essentiels, ce sur quoi le modèle de gouvernance du CNRC en matière de sécurité des TI se fonde. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 4 Vérification de la gestion de la sécurité des TI À notre avis, les lacunes suivantes au chapitre de la conformité représentent des secteurs de risque pour le CNRC : • Il n’y a pas suffisamment de surveillance de la sécurité des TI à l’échelle de l’organisation. Nous avons constaté que le coordonnateur de la sécurité des TI du CNRC, qui est responsable du respect de la norme de GSTI, n’a pas le pouvoir d’agir à titre de personne-ressources principale en ce qui concerne les questions de sécurité des TI. Par conséquent, il ne peut pas garantir aux cadres supérieurs que tous les systèmes de TI du CNRC sont dotés des mesures de protection adéquates. • La gestion du risque liée à la sécurité des TI est inégale dans l’organisation. Par conséquent, le CNRC ne possède ni un portrait clair de son exposition aux risques en matière de sécurité des TI, ni la certitude que ses systèmes de TI offrent un niveau de sécurité correspondant à la sensibilité de l’information qu’ils contiennent. • La vaste gamme de technologies et de protocoles visant à permettre aux employés du CNRC qui travaillent à l’extérieur d’accéder aux systèmes de TI du CNRC pose un risque continu pour l’organisme. Nous avons constaté des degrés variables de conformité aux politiques et aux normes du CNRC qui régissent la sécurité des TI. La DSGI s’y conformait en général. Cependant, deux des trois instituts que nous avons examinés présentaient des taux de conformité considérablement moins élevés (58 p. 100). Nous avons conclu qu’il existe des possibilités d’amélioration de l’efficacité, de l’efficience et du caractère économique de la gestion des services de sécurité des TI du CNRC. Ces possibilités se rapportent à la surveillance, à la gestion des risques, à la gestion des biens, au stockage, à l’accès à distance, à la protection antivirus et à la gestion du changement. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 5 Vérification de la gestion de la sécurité des TI Le CNRC a mis en œuvre la plupart des recommandations issues de l’examen externe de la sécurité des TI réalisé en 1999. Ce qui inquiète le plus est l’absence permanente d’un plan de continuité des opérations à l’échelle de l’organisation. Principales recommandations 1. Afin d’améliorer la surveillance des TI, les cadres supérieurs du CNRC devraient désigner un coordonnateur de la sécurité des TI au CNRC, qui serait responsable de la sécurité des TI dans tout l’organisme et qui aurait autorité en la matière. 2. Afin de renforcer la gestion du risque en matière de sécurité des TI, le CNRC devrait : a) définir ce qu’il entend par « centraux » et par « essentiels » en ce qui concerne les systèmes de TI; b) préciser la sensibilité de tous ses systèmes de TI, y compris les systèmes utilisés aux seules fins de la recherche, et documenter les justifications ou les critères servant à les désigner comme des systèmes centraux ou essentiels à ses activités; c) mener d’autres activités précises de gestion des risques, comme des évaluations suffisamment rigoureuses des menaces et des risques, et des activités de certification et d’accréditation de tous les systèmes essentiels, comme l’exigent les politiques du CNRC et la norme de GSTI. 3. Le CNRC devrait élaborer un plan de continuité des opérations à l’échelle de l’organisation relativement à la sécurité des TI. 4. Le CNRC devrait élaborer une politique sur l’accès à distance ayant comme objectif d’éliminer l’utilisation de protocoles non protégés, de réduire l’éventail des protocoles utilisés et de renforcer la sécurité de l’accès à distance pour les télétravailleurs. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 6 Vérification de la gestion de la sécurité des TI 5. La direction devrait examiner les coûts, les avantages et la faisabilité éventuels entourant la centralisation des services de gestion des biens, de stockage, d’accès à distance, de protection antivirus et de gestion du changement, actuellement offerts par les instituts. Jayne Hinchliff-Milne, CMA, Dirigeante de la vérification Membres de l’équipe de vérification du CNRC 1 : Irina Nikolova, CA, CIA, CISA Réponse globale de la gestion: Cette vérification a servi à souligner plusieurs domaines où les pratiques de gestion du CNRC relatives à la sécurité des TI doivent être clarifiées et officialisées à l’échelle de l’organisme. Toutefois, indépendamment des recommandations de la vérification, lesquelles seront mises en œuvre au cours des prochains mois, le CNRC continue de gérer un programme de protection efficace au sein du Conseil, qui a été conçu pour protéger ses renseignements et ses biens de valeur liés à la TI. Ce programme comprend les quatre éléments principaux suivants : une série de politiques et de normes actuelles qui reflètent l’orientation de la haute direction à l’égard de la sécurité des TI; une structure organisationnelle souple comprenant le Centre de protection de l’information de la DSGI du CNRC et un réseau d’agents de sécurité des systèmes d’information au niveau des I/D/P, conçue pour relever les défis que pose l’environnement réparti du CNRC relativement à la sécurité des TI; plusieurs processus de sécurité des TI bien établis qui portent sur la gestion du risque, l’intervention en cas d’incident, la formation du personnel dans le domaine de la TI et la sensibilisation des 1 Une équipe de spécialistes de la TI reconnus et agréés est venue s’ajouter à l’équipe de vérification du CNRC pour procéder à la vérification. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 7 Vérification de la gestion de la sécurité des TI utilisateurs; une architecture de sécurité technique visant à mieux protéger les systèmes et les renseignements du CNRC tout en facilitant l’activité principale du Conseil. Ces éléments d’actualité sont en place et sont essentiels à la stratégie de protection de l’information du CNRC. La mise en œuvre des recommandations de la vérification permettra au CNRC de mettre au point une stratégie déjà efficace et de tirer pleinement parti de son investissement en matière de sécurité des TI. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 8 Vérification de la gestion de la sécurité des TI 2.0 Introduction 2.1 Contexte Le Secrétariat du Conseil du Trésor (SCT) exige des ministères et des organismes qu’ils procèdent à des vérifications internes périodiques du respect de la Politique sur la sécurité (PS) et de l’efficacité de sa mise en œuvre. Cette politique est entrée en vigueur en février 2002 et prévoit l’application de mesures de protection des employés et des biens dans les ministères et organismes. Le but de ces mesures de protection est d’appuyer la prestation de services et l’atteinte des objectifs opérationnels du gouvernement. Plus précisément, la PS exige des ministères qu’ils surveillent activement leur programme de sécurité et qu’ils procèdent à des vérifications de leur programme de sécurité. La norme de Gestion de la sécurité des technologies de l’information (GSTI) définit les exigences de base en matière de sécurité auxquelles les ministères fédéraux doivent satisfaire pour assurer la sécurité de l’information et des biens liés à la technologie de l’information (p. ex., logiciels et matériel) placés sous leur contrôle. Cette norme de sécurité opérationnelle appuie la Politique sur la sécurité. Elle appuie aussi la Politique sur la gestion de l’information et la Politique de sécurité nationale. La norme de GSTI indique, entre autres choses, que : les ministères doivent établir et gérer un programme ministériel de sécurité; les profils de risque ministériels détermineront la mise en œuvre de mesures de base en matière de sécurité afin de répondre aux exigences de la norme de GSTI. En 2005, la vérificatrice générale du Canada a procédé à une vérification de la sécurité de la technologie de l’information (TI) de portée gouvernementale. Par la suite, le Secrétariat du Conseil du Trésor (SCT) a demandé aux ministères, dont le CNRC, d’élaborer un plan d’action visant à répondre aux principales recommandations formulées par la vérificatrice générale dans le cadre de cette vérification. Le SCT a Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 9 Vérification de la gestion de la sécurité des TI aussi demandé aux ministères de préparer un rapport d’étape sur leur progression en matière de respect absolu de la norme de GSTI et de la PGS. Ces rapports devaient être achevés au plus tard en janvier 2007. Une vérification interne de la fonction de la sécurité au CNRC a été réalisée en 2001. Cependant, cette vérification ne portait pas sur la sécurité des TI, comme l’exige la PS, car une société d’experts-conseils avait procédé à un examen complet de ce domaine à l’échelle du CNRC, en 1999. Depuis, l’unité de la vérification interne n’a réalisé que de minimes travaux de vérification dans le domaine de la sécurité des TI afin de donner au CNRC le temps de mener à terme les projets qui avaient été entrepris en réponse aux recommandations issues de l’examen externe. Par la suite, le Plan de vérification interne axé sur les risques pour 2006-2007 à 2008-2009 du CNRC a défini la vérification de la gestion de la sécurité des TI comme une priorité. 2.2 Gestion de la sécurité des TI au CNRC La démarche du CNRC concernant la gestion de la sécurité des TI implique la création d’un « environnement de TI en principe ouvert pour faciliter la recherche et l’innovation ». Parallèlement, cet environnement doit assurer la protection des renseignements de nature délicate et les renseignements que le CNRC détient au nom de ses clients et collaborateurs. Modèle centralisé et décentralisé du CNRC en matière de TI Afin de maintenir un environnement de TI ouvert tout en s’assurant qu’il protège adéquatement ses renseignements et ses systèmes, le CNRC a mis en place une structure organisationnelle souple destinée à la gestion de la TI et de la sécurité des TI. Ce cadre de gestion, élaboré en réponse à l’examen externe de la sécurité des TI réalisé en 1999, contient des éléments tant centralisés que décentralisés ou « dispersés ». Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 10 Vérification de la gestion de la sécurité des TI Éléments centralisés : La Direction des services de gestion de l’information (DSGI) offre des services de TI à l’échelle du CNRC et est responsable des éléments clés de l’infrastructure de TI du CNRC. La figure 1 présente un schéma simplifié des quatre fonctions de la DSGI ayant une incidence sur les services de sécurité des TI, nommément : les Systèmes centraux de gestion de l’information, la Direction des services de la technologie, le Centre de protection de l’information et la Planification de la gestion de l’information. Figure 1 : Direction des services de gestion de l’information Les Systèmes centraux de gestion de l’information sont responsables de l’élaboration, du fonctionnement et du soutien des systèmes de gestion à l’échelle du CNRC, ainsi que de l’entretien des données de référence. Les systèmes de gestion à l’échelle du CNRC englobent la communication de données, la communication vocale, les applications Web et « Sigma », un système fondé sur le SAP qui soutient des fonctions clés comme la comptabilité, l’établissement du budget, la gestion des ressources humaines et l’approvisionnement. La Direction des services de la technologie de la DSGI remplissent une double fonction, assurant la gestion d’éléments clés de l’infrastructure de TI du CNRC au Canada et la prestation de services de soutien technologique aux instituts, aux directions et aux programmes de la région de la capitale nationale qui ont choisi de ne pas offrir ces services eux-mêmes. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 11 Vérification de la gestion de la sécurité des TI Le Centre de protection de l’information (CPI) est une unité de la DSGI qui veille à ce que le CNRC prenne les mesures nécessaires pour protéger ses banques de données et ses biens liés à la technologie de l’information contre les menaces à leur sécurité. Animé par une large consultation, le CPI joue un rôle de premier plan dans l’élaboration de politiques, de normes et de procédures en matière de sécurité des TI. Il assume le rôle de centre de réception de rapports d’incidents liés à la sécurité au CNRC. Le CPI offre des services essentiels visant à protéger l’information, dont les suivants : surveillance du réseau étendu du CNRC afin d’en détecter les intrusions; traitement des rapports d’incidents de sécurité et enquêtes sur ces incidents; évaluation des menaces et des risques; informatique judiciaire; sensibilisation et formation en matière de sécurité des TI. Enfin, la Planification de la gestion de l’information soutient les comités qui forment la structure de régie de GI-TI du CNRC et y participe. Éléments décentralisés : Dans les instituts, les directions et les programmes (I/D/P), la responsabilité de la sécurité des TI incombe aux directeurs généraux respectifs. La figure 2 présente un organigramme du CNRC illustrant quels I/D/P font appel aux services de la DSGI et quels I/D/P ont choisi d’offrir leurs propres services de sécurité des TI à l’interne. La DSGI offre des services de soutien complets à douze I/D/P et au bureau de la haute direction. Elle offre aussi des services limités à certains instituts; par exemple, cinq I/D/P reçoivent des services de protection antivirus seulement. Tous les I/D/P ont un officier de sécurité des systèmes d’information (OSSI). L’OSSI relève directement du directeur général de l’institut ou de la direction pour ce qui est des questions de sécurité et il aide les gestionnaires de systèmes et leur personnel à élaborer les fonctions de sécurité nécessaires à la gestion quotidienne des systèmes d’information dans leurs lieux de travail. Il est aussi responsable de surveiller le respect des politiques de sécurité des TI par l’I/D/P. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 12 Vérification de la gestion de la sécurité des TI Un « forum des OSSI » (groupe de travail axé sur le consensus) commente l’élaboration des politiques et des lignes directrices du CNRC en matière de sécurité. Ce groupe est présidé par le coordonnateur de la sécurité des TI du CNRC, mais ce dernier n’a aucune autorité fonctionnelle en matière de sécurité des TI en dehors de la DSGI. Ce forum « virtuel » communique par voie électronique avec d’autres membres pour discuter de problèmes précis et les résoudre par consensus au fur et à mesure qu’ils surviennent. On ne tient aucun procès-verbal officiel. Trois autres éléments complètent le cadre de gestion de la sécurité des TI au CNRC : le Comité de la haute direction, le dirigeant principal de l’information (provenant anciennement du Conseil d’information du CNRC) et le Comité consultatif de la GI-TI. Le Comité de la haute direction, composé du président, des vice-présidents et des directeurs généraux des Ressources humaines et des Finances du CNRC, est responsable de soutenir et d’approuver la politique de sécurité des TI du CNRC. Le Comité de l’information du CNRC a été dissous en mars 2007 à la fin de son mandat, dont le but était de créer la série complète de politiques et de normes sur la gestion de l’information et les technologies de l’information, actuellement en vigueur. À sa place, le vice-président des Services corporatifs agit à titre de dirigeant principal de l’information du CNRC, conformément aux exigences de la norme de GSTI. Le Comité consultatif de la GI-TI élabore des recommandations en vue de l’adoption de politiques, de normes et de directives en matière de sécurité des TI, qui sont ensuite approuvées soit par le vice-président des Services corporatifs, soit par le Comité de la haute direction. Le dirigeant principal de l’information et le Comité consultatif de GI-TI, qui sont responsables de la gouvernance organisationnelle en plus de la sécurité des TI, se réunissent, au besoin, pour discuter des questions de sécurité des TI. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 13 Vérification de la gestion de la sécurité des TI Figure 2 : Structure organisationnelle du CNRC relative aux services de sécurité des TI Président du CNRC Direction des ressources humaines V.-P. Sciences de la vie Institut de recherche en biotechnologie (IRB) Institut du biodiagnostic (IBD) Institut des sciences biologiques (ISB) Institut des biosciences marines (IBM) Institut de biotechnologie des plantes Initiative en génomique et en santé (IGS) Secrétaire générale Direction financière V.-P. Sciences Physiques V.-P. Génie Institut Herzberg d’astrophysique (IHA) Institut de recherche aérospatiale (IRA) Institut de technologie des procédés chimiques et de l’environnement (ITPCE) Institut de technologie de l’information (ITI) Institut des sciences des microstructure (ISM) Institut des étalons nationaux de mesure (IENM) Institut national de nanotechnologie (INN) Institut Steacie des sciences moléculaires (ISSM) Programme de recherche sur les piles à combustible Installation de partenariats industriels Institut d’innovation en piles à combustible (IIPC) Institut des matériaux industriels (IMI) Institut des technologies de fabrication intégrée (ITFI) V.-P. Soutien technologique et industriel V.-P. Services corporatifs Institut canadien de l’information scientifique et technique (ICIST) Direction des services administratifs et gestion de l’immobilier (SAGI) Programme d’aide à la recherche industrielle (PARI) Direction des services de gestion de l’information (DSGI) Relations d’affaires Direction de la stratégie et du développement (DSD) Soutien à la mise en œuvre de la stratégie Institut des technologies océaniques (ITO) Secrétariat des grappes Institut de recherche en construction (IRC) Centre d’hydraulique canadien (CHC) Centre de technologie des transports de surface (CTTS) Services de conception et de fabrication Vérification interne Services juridiques Légende: I/D/P appuyés par le DGSI I/D/P partiellement appuyés par la DGSI I/D/P indépendants qui offrent leurs propres services de sécurité de la TI Renouvellement du CNRC Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 14 Vérification de la gestion de la sécurité des TI 2.3 Au sujet de la vérification Objectifs Les objectifs de la vérification de la gestion de la sécurité des TI étaient les suivants : vérifier si le CNRC respecte la norme de GSTI; vérifier si le CNRC respecte ses propres politiques et normes en matière de sécurité; évaluer l’efficacité, l’efficience et le caractère économique des services du CNRC liés à la sécurité des TI; assurer le suivi des constatations et des recommandations formulées dans la cadre de l’examen externe de la sécurité des TI réalisé en 1999 ont été appliquées. Portée La présente vérification porte notamment sur les services de sécurité des TI qu’offre la DSGI relativement aux éléments des services de première importance. Elle porte aussi sur les douze instituts, directions et programmes, ainsi que le bureau de la haute direction que la DSGI soutient directement. De plus, nous nous sommes penchés sur la gestion de la sécurité des TI dans trois instituts pour lesquels la DSGI n’offre aucun service de soutien en matière de sécurité des TI : un institut de taille moyenne possédant un certain nombre d’établissements répartis dans tout le Canada; un institut de grande taille hautement représentatif du CNRC dans son ensemble et qui accomplit du travail délicat; un institut de très grande taille possédant des bureaux dans tout le Canada. La présente vérification ne porte pas sur le matériel informatique qui est utilisé aux seules fins de la recherche dans les instituts du CNRC. L’équipe de vérification a recueilli des éléments probants entre juillet 2006 et avril 2007. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 15 Vérification de la gestion de la sécurité des TI Stratégie et méthodologie Le CNRC a embauché une équipe de spécialistes de la TI reconnus et agréés pour procéder à la vérification. Les critères de vérification étaient fondés sur les exigences de la norme de GSTI et celles des politiques et des normes internes du CNRC en matière de sécurité. Jusqu’à présent, le SCT n’a fourni aucun outil de vérification servant à évaluer la mesure dans laquelle les ministères se conforment aux 144 exigences détaillées de la norme de GSTI. Le SCT n’a pas non plus indiqué le degré minimal de conformité que les ministères doivent atteindre avant d’être considérés « conformes à la norme de GSTI ». En l’absence d’une telle directive, l’équipe de vérification a choisi de grouper les critères détaillés de la norme de GSTI en 29 critères de vérification visant à évaluer les pratiques de contrôle. Ces critères dérivent des quatre domaines de sécurité des TI dont traite la norme de GSTI, nommément : approche ministérielle de l’organisation et de la gestion de la sécurité des TI; ressources de sécurité des TI destinées aux projets; contrôles de gestion; mesures de protection techniques et opérationnelles. La figure 3 ci-dessous présente des renseignements sur chacun de ces domaines. L’équipe de vérification de la TI a eu recours au jugement professionnel pour élaborer les 29 objectifs de contrôle servant à évaluer la mesure dans laquelle le CNRC était conforme à la norme de GSTI. Ces critères ont été communiqués à la DSGI et aux trois instituts visés par la vérification aux fins d’examen dans le cadre de la phase de planification de la vérification et intégrés au mandat. L’annexe A présente la liste complète des 29 critères de vérification utilisés pour évaluer la conformité à la norme de GSTI. Nous avons évalué la mesure dans laquelle le CNRC respecte ses propres politiques et normes en matière de sécurité des TI par rapport à 19 critères dérivant des politiques de sécurité des TI du CNRC. L’annexe B présente la liste complète des critères de Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 16 Vérification de la gestion de la sécurité des TI vérification détaillés utilisés pour la vérification par rapport aux politiques du CNRC en matière de sécurité. Dans le cadre de l’évaluation de la conformité à la norme de GSTI et aux normes du CNRC (premier et deuxième objectif), nous avons interviewé le personnel de la DSGI et des instituts et examiné les politiques, les procédures et les normes, ainsi que d’autres documents, comme des fichiers journaux et des courriels. Dans le cadre de l’évaluation de l’efficacité, de l’efficience et du caractère économique des services de sécurité des TI du CNRC (troisième objectif), nous avons interviewé le personnel concerné et analysé les diverses activités et politiques de contrôle à la recherche de signes d’inefficacité et d’absence d’économie. Notre suivi de l’examen externe de la sécurité des TI réalisé en 1999 (quatrième objectif), dans le cadre duquel nous avons mené des entrevues, étudié et analysé des documents et des activités de contrôle, visait à recueillir des données probantes sur la mesure dans laquelle le CNRC a mis en œuvre les recommandations issues de cet examen. L’annexe C présente la liste complète de ces recommandations de l’examen externe de 1999 Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 17 Vérification de la gestion de la sécurité des TI . Figure 3 : Les quatre principaux domaines de contrôle de la norme de GSTI Domaine Aperçu 1er domaine : Ce domaine fait référence à la façon dont tout programme ministériel de sécurité des TI doit être organisé et géré. Il Approche ministérielle porte sur les rôles et les responsabilités, la politique, les de l’organisation et de la gestion de la sécurité ressources et la gestion. des TI 2e domaine : La norme de GSTI précise ce que les gestionnaires de TI Ressources de sécurité doivent faire au stade de la planification de nouveaux des TI destinées aux programmes ou services et d'importantes mises à niveau de programmes ou services existants. En vertu de ces projets exigences, les gestionnaires doivent, dès le tout début du processus de financement et d'approbation, déterminer les exigences en matière de sécurité des TI pour ces programmes, services ou mises à niveau, et indiquer les ressources requises dans les demandes de financement. 3e domaine : Contrôles de gestion 4e domaine : Mesures de protection techniques et opérationnelles Ce domaine fait référence aux contrôles de gestion qui s’appliquent à tous les programmes et services ministériels. La partie III de la norme de GSTI définit les mesures de protection techniques et opérationnelles à l’appui de ces contrôles. La norme de GSTI contient une orientation et des consignes sur certaines des mesures de protection techniques et opérationnelles disponibles. Les ministères en sélectionnent certaines et, éventuellement, d’autres. Ensemble, elles permettent de ramener le risque à un niveau acceptable. D'autres mesures de protection sont décrites dans d'autres normes de sécurité et documents techniques. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 18 Vérification de la gestion de la sécurité des TI 3.0 Constatations découlant de la vérification 3.1 Premier objectif de la vérification : Vérifier si le CNRC respecte la norme de GSTI Conclusion générale Le degré de conformité à la norme de GSTI variait entre la DSGI et les trois instituts que nous avons examinés. Sauf pour ce qui est de la planification de la continuité des opérations, la DSGI est conforme à la norme de GSTI. Toutefois, les trois instituts affichaient des taux de conformité moins élevés dans des domaines importants comme la gestion du risque, ainsi que la certification et l’accréditation de leurs systèmes. On doit prendre note qu’il est impossible pour l’équipe de vérification de déterminer si le CNRC dans son ensemble est conforme à la norme de GSTI, car le CNRC n’a ni clairement défini ni officiellement documenté tous ses systèmes essentiels, ce sur quoi le modèle de gouvernance du CNRC en matière de sécurité des TI se fonde. À notre avis, les lacunes suivantes au chapitre de la conformité représentent des secteurs de risque pour le CNRC : • Il n’y a pas suffisamment de surveillance de la sécurité des TI à l’échelle de l’organisation. Nous avons constaté que le directeur de la sécurité des TI du CNRC, c’est-à-dire le coordonnateur de la sécurité des TI du CNRC, qui est responsable du respect de la norme de GSTI, n’a pas le pouvoir d’agir à titre de personne-ressources principale en ce qui concerne les questions de sécurité des TI. Par conséquent, il ne peut pas assurer aux cadres supérieurs que tous les systèmes de TI du CNRC sont dotés des mesures de protection adéquates. • La gestion du risque liée à la sécurité des TI est inégale dans l’organisation. Par conséquent, le CNRC ne possède ni un portrait clair de son exposition aux risques en matière de sécurité des TI, ni la certitude que ses systèmes de TI offrent un niveau de sécurité correspondant à la sensibilité de l’information qu’ils contiennent. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 19 Vérification de la gestion de la sécurité des TI • La grande gamme de technologies et de protocoles visant à permettre aux employés du CNRC qui travaillent à l’extérieur d’accéder aux systèmes de TI du CNRC pose un risque continu pour l’organisme. Constatations L’équipe de vérification a noté un certain nombre de forces en ce qui concerne la conformité à la norme de GSTI. Par exemple, le CNRC a précisé les rôles et les responsabilités liés à la gestion de la sécurité des TI. Il a aussi émis un ensemble complet de politiques, de procédures et de normes relatives à la gestion de cette fonction et mis en œuvre un programme de sensibilisation à la sécurité à l’intention de ses employés. Le CNRC effectue des enquêtes de sécurité sur le personnel pour déterminer qui aura accès à quels renseignements de nature délicate et il utilise des zones de sécurité. Ces zones divisent le réseau et offrent des niveaux de sécurité plus élevés selon la sensibilité des renseignements. Nous nous attendions à ce que les instituts, directions et programmes (I/D/P) aient, dans l’ensemble, respecté les normes de GSTI. En se conformant à ces normes, les organismes peuvent démontrer qu’ils ont accompli ce qu’il fallait pour protéger adéquatement les renseignements qu’ils détiennent. En août 2005, le CNRC a présenté au SCT le plan d’action et la méthode qu’il entendait utiliser pour arriver à se conformer à la norme de GSTI. Le CNRC a choisi d’adopter une « approche globale » relativement à la sécurité de ses « systèmes centraux et essentiels », tout en créant un « environnement de TI en principe ouvert pour faciliter la recherche et l’innovation ». Les systèmes centraux et essentiels sont ceux qui sont indispensables au bon fonctionnement de l’organisation. Nous avons évalué le CNRC par rapport à 29 groupes de critères de la norme de GSTI, comme nous l’avons mentionné ci-dessus, et avons constaté que la DSGI en respecte un nombre équivalent à 97 p. 100. Dans les trois autres instituts, ce taux de conformité s’établissait à 86, 76 et 76 p. 100, respectivement. On doit prendre note que la mention « aucune notation » ne signifie pas nécessairement que le taux de conformité est égal à Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 20 Vérification de la gestion de la sécurité des TI zéro. Dans bien des cas, nous avons constaté des activités qui étaient partiellement conformes. Bien que nous ayons réussi à établir des taux de conformité pour la DSGI et les trois instituts examinés, nous n’avons pas été en mesure de le faire pour le CNRC dans son ensemble, car, comme le montre la figure 2 ci-dessus, la DSGI offre des services de sécurité des TI à certains instituts, certaines directions et certains programmes seulement. Le CNRC ne possède pas de document de référence unique présentant de façon générale quels systèmes sont « centraux » et quels systèmes sont « essentiels ». Sans un tel document, on ne peut pas certifier avec une assurance raisonnable que la DSGI est au courant de tous les risques importants potentiels pour la sécurité des TI dans les I/D/P auxquels elle n’offre aucun service, ni qu’elle peut répondre à ces risques. En conséquence, on ne peut pas conclure avec une assurance raisonnable que le taux de conformité élevé de la DSGI puisse s’appliquer au CNRC dans son ensemble. Surveillance : Le CNRC ne surveille pas activement la sécurité des TI à l’échelle de tout l’organisme. Les dispositions actuelles du CNRC relatives à la sécurité des TI n’exigent ni ne prévoient que les gestionnaires de programmes et de projets de TI œuvrant dans les instituts consultent le coordonnateur de la sécurité des TI du CNRC ou qu’ils communiquent avec lui concernant les mesures afférentes à la sécurité des TI dans le cas de projets individuels. Au contraire, la norme de GSTI l’exige. L’objectif consiste à faire en sorte que tous les projets de TI entrepris dans un organisme répondent aux exigences nécessaires en matière de sécurité. Ces exigences varient selon les projets. La norme de GSTI exige aussi du coordonnateur de la sécurité des TI qu’il serve de principale personne-ressource au ministère dans ce domaine. Toutefois, le directeur de la sécurité des TI ne joue pas ce rôle au CNRC; aucun mandat documenté n’attribue au directeur la responsabilité et le pouvoir en matière de sécurité des TI dans l’ensemble de l’organisme. La communication et la consultation entre les parties concernées par la sécurité des TI étant ponctuelles, le CNRC ne dispose actuellement pas d’un portrait clair des activités de sécurité des TI en cours dans ses divers instituts, ni des risques à Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 21 Vérification de la gestion de la sécurité des TI la sécurité des TI auxquels l’organisme dans son ensemble est exposé. La sphère d’influence du directeur étant limitée, la haute direction ne peut pas savoir si chaque système de TI du CNRC intègre des mesures de protection appropriées. Gestion des risques de sécurité touchant la TI : La gestion des risques de sécurité touchant la TI étant inégale au CNRC, la haute direction ne dispose pas d’un portrait complet et global de la sensibilité de ses systèmes et des renseignements qu’ils contiennent. Elle ne dispose pas non plus d’information complète sur son exposition aux risques liés à la sécurité des TI. La norme de GSTI exige des organismes qu’ils mènent continuellement des activités visant à gérer les risques de sécurité touchant la TI. Ces activités comprennent la détermination de la sensibilité de l’information et des systèmes de TI, l’évaluation des menaces et des risques et la certification et l’accréditation de ces systèmes. Les énoncés de nature délicate décrivent et classent en catégories les renseignements et les biens connexes selon leur sensibilité (degré de confidentialité et de disponibilité et d’intégrité requis). À ce titre, ces énoncés constituent une étape importante du processus d’évaluation des risques. Plus le degré de sensibilité est élevé, plus le risque associé au bien ou au système en question est élevé. Les évaluations des menaces et des risques consistent en une évaluation de la probabilité de la présence d’une menace ou d’un risque, ainsi que de l’incidence d’une telle présence. La certification et l’accréditation représentent une décision rendue par la direction de faire fonctionner un système tout en reconnaissant les risques qui sont associés au fonctionnement de ce système. Une fois qu’un système a été certifié et accrédité, la responsabilité liée à la sécurité de ce système passe de ceux qui l’ont conçu à ceux qui le font fonctionner. Nous nous attendions à ce que la DSGI et les instituts faisant partie de notre échantillon aient mis en place un processus officiel de gestion des risques liés à la sécurité des TI. Nous pensions que ce processus suffirait à garantir que les renseignements détenus sont adéquatement protégés étant donné leur sensibilité et des facteurs comme les menaces potentielles, les vulnérabilités et l’exposition aux risques liés à la TI. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 22 Vérification de la gestion de la sécurité des TI Nous avons constaté que la DSGI et l’un des trois autres instituts examinés ont effectivement mis en place un processus officiel de gestion des risques. À quelques exceptions près, ils satisfont en général aux exigences de la norme de GSTI dans ce domaine. Aucun processus officiel n’est cependant en place dans les deux autres instituts. La gestion des risques dans ces instituts est non officielle et ne répond pas aux normes de GSTI. Nous avons remarqué que ni l’un ni l’autre n’avait officiellement évalué ou documenté la sensibilité des renseignements dont il est responsable. Par conséquent, nous n’avons pas été en mesure d’évaluer l’exposition du CNRC aux risques associés au défaut de se conformer à la norme de GSTI. Des membres du personnel affecté à la sécurité des TI dans ces deux instituts nous ont expliqué que, malgré le manque d’énoncés de nature délicate et d’autres lacunes, le système de sécurité des TI existant protège adéquatement les banques de données dont ils sont responsables. Cependant, nous n’avons pas été en mesure de vérifier de façon objective si c’était effectivement le cas. Nous n’avons trouvé aucun élément probant documenté indiquant l’exacte sensibilité des renseignements contenus dans leurs divers systèmes. En conséquence, nous n’avons pas pu déterminer si leur évaluation du degré de sensibilité est juste ou si le niveau de sécurité des TI est approprié étant donné le niveau de risque associé à leurs banques de données. L’équipe de vérification n’a donc pas pu déterminer si les mesures de protection de l’information détenue par ces instituts étaient adéquates. Nous avons aussi constaté qu’aucun des trois instituts examinés ne dispose de processus de certification et d’accréditation pour ce qui est de ses systèmes de sécurité des TI. Si l’on omet de certifier et d’accréditer un système, il est possible que la direction fasse fonctionner ce système sans clairement comprendre les risques qui y sont associés. Enfin, rien ne nous permet d’affirmer qu’il existe un plan officiel de continuité des opérations comprenant la reprise après sinistre pour le CNRC dans son ensemble, comme l’exige la norme de GSTI. Nous avons toutefois observé que la DSGI dispose d’un plan de reprise après sinistre à l’intention des I/D/P dont elle gère la sécurité des TI. L’un des trois autres instituts examinés dispose d’un plan de continuité des opérations qui exige un essai complet pour être considéré tout à fait conforme. Un Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 23 Vérification de la gestion de la sécurité des TI autre de ces instituts dispose de systèmes dotés de la fonction de redondance intégrée lui permettant d’assurer un service ininterrompu en cas de panne de courant complète ou autre sinistre, ce qui n’a toutefois pas été documenté dans un plan de continuité des opérations. Le dernier institut examiné possède un plan partiel de reprise après sinistre relatif à une partie seulement de ses activités. On doit toutefois prendre note que l’on a demandé au directeur général de la Direction des services administratifs et de la gestion de l’immobilier d’élaborer un plan de continuité des opérations pour le CNRC. Tout organisme devrait mettre en place une stratégie et un plan de continuité des opérations pour se protéger, et surtout pour protéger ses processus opérationnels essentiels, contre les effets de pannes ou de sinistres majeurs, ainsi que pour réduire au minimum les dommages causés par de tels événements. Informatique mobile et télétravail : La norme de GSTI comprend un certain nombre d’exigences liées à la capacité du personnel à accéder aux renseignements, aux réseaux et aux systèmes d’un ministère à partir de lieux situés en dehors des bureaux du gouvernement. Comme l’exige la norme de GSTI, nous nous attendions à ce que le CNRC ait pris des mesures précises pour protéger ses ordinateurs, ses liaisons de communications et les renseignements qu’ils contiennent contre les risques associés à des activités comme l’informatique mobile et le télétravail. Les mesures classiques devant être mises en place par les ministères comprennent, sans toutefois s’y limiter, les mesures suivantes : contrôles d’accès, chiffrement, logiciel de détection de virus et pare-feux. Les ministères doivent aussi s'assurer que les membres du personnel qui travaillent à l’extérieur de leurs installations comprennent leurs responsabilités en matière de sécurité, dont la sensibilité et la criticité des renseignements auxquels ils ont accès. Pour évaluer la mesure dans laquelle le CNRC se conforme à ces exigences, nous avons interrogé le coordonnateur de la sécurité des TI et visité les trois instituts faisant partie de notre échantillon. Notre principale préoccupation concerne le fait que le CNRC ne dispose d’aucune politique régissant l’accès à distance à ses ressources et réseaux de TI. Nous avons constaté que le CNRC, en comparaison avec des organismes de même importance, utilise une gamme « d’architectures d’accès à Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 24 Vérification de la gestion de la sécurité des TI distance » exceptionnellement vaste. Ce terme fait référence aux technologies et aux protocoles relatifs à l’accès à distance, à savoir l’accès aux systèmes du CNRC par les employés qui travaillent à l’extérieur des installations. La gamme de protocoles relatifs à l’accès à distance augmente la possibilité d’une vulnérabilité susceptible d’être exploitée et, par la suite, de compromettre gravement le réseau du CNRC. Nous avons observé qu’en 2005-2006, le CNRC a fait l’objet de huit incidents à risque élevé touchant la sécurité des TI. Cinq d’entre eux sont attribuables à des faiblesses découlant de la méthode employée par le CNRC à l’égard de l’accès à distance et ont entraîné une divulgation, une destruction, un retrait, une modification, une interruption ou une utilisation non autorisé des biens du CNRC. Bien qu’un seul incident à risque élevé ait été signalé au Centre de protection de l’information de la DSGI en 2006-2007, le « menu » actuel des architectures d’accès à distance pose un risque permanent pour le CNRC. 1re recommandation Afin d’améliorer la surveillance de la sécurité des TI, les cadres supérieurs du CNRC devraient désigner un coordonnateur de la sécurité des TI au CNRC, qui serait responsable de la sécurité des TI dans tout l’organisme et qui aurait autorité en la matière. Réponse de la direction du CNRC: La direction est d’accord avec cette recommandation; un coordonnateur de la sécurité des TI qui sera responsable de la sécurité des TI à l’échelle du CNRC et qui aura autorité en la matière sera nommé en consultation avec le Comité de la haute direction (CHD). Toutefois, un tel rôle devra être appuyé par une solide structure de gouvernance en matière de GI-TI en général et par un robuste cadre de gouvernance de la sécurité de l’information en particulier. On se penchera sur la question de la gouvernance en matière de GI-TI dans le cadre d’une étude que le CNRC a déjà amorcée, c’est-à-dire un examen complet de la GI-TI visant à étudier le modèle actuel de prestation de services de TI et à déterminer la façon dont le CNRC pourrait améliorer l’efficacité et les rapports coût-efficacité dans ce domaine. Plus précisément, cette étude d’une portée considérable englobera tous les services de GI-TI qui sont Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 25 Vérification de la gestion de la sécurité des TI offerts au personnel du CNRC, soit de façon centralisée par la DSGI, soit localement par les instituts, les directions et les programmes individuels. Le mandat a été élaboré et approuvé par le CHD; le directeur général de la DSGI codirigera cet effort en collaboration avec le directeur général d’un institut de recherche qui n’a pas encore été choisi. Les questions entourant la prestation de services de TI feront l’objet d’un examen et d’un rapport qui sera présenté au CHD au plus tard en janvier 2008. On déterminera aussi des possibilités ou des préoccupations précises qui devront faire l’objet d’une étude plus approfondie dans le cadre d’une phase ultérieure. On prévoit que la plupart des recommandations de la vérification seront abordées en tenant compte du contexte de cet examen. 2e recommandation Afin de renforcer la gestion du risque en matière de sécurité des TI, le CNRC devrait : a) définir ce qu’il entend par « centraux » et par « essentiels » en ce qui concerne les systèmes de TI; b) préciser la sensibilité de tous ses systèmes de TI, y compris les systèmes utilisés aux seules fins de la recherche, et documenter les justifications ou les critères servant à les désigner comme des systèmes centraux ou essentiels; c) mener d’autres activités précises de gestion des risques, comme des évaluations suffisamment rigoureuses des menaces et des risques, et des activités de certification et d’accréditation de tous les systèmes essentiels, comme l’exigent les politiques du CNRC et la norme de GSTI. Réponse de la direction du CNRC: 2. a) La direction est d’accord avec cette recommandation; chaque politique et norme en matière de GI-TI est revue tous les deux ans dans le cadre du cycle de vie de cette politique. Toutes les politiques et normes en matière de sécurité des TI feront l’objet d’un examen complet entre juillet et septembre 2007. On ajoutera les termes Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 26 Vérification de la gestion de la sécurité des TI « centraux » et « essentiels » au glossaire de GI-TI du CNRC, et on élaborera des définitions appropriées au cours de l’examen des politiques. 2. b) La direction est d’accord avec cette recommandation; une fois que les termes « centraux » et essentiels » auront été définis, tous les systèmes des instituts seront examinés et décrits de façon appropriée. Le coordonnateur de la sécurité des TI du CNRC sera responsable de veiller à ce que tous les instituts, directions et programmes définissent leurs systèmes comme étant « centraux » et « essentiels » et qu’ils procèdent à une analyse des risques appropriée. 2. c) la direction est d’accord avec cette recommandation; tous les systèmes définis comme étant « centraux » et « essentiels » feront l’objet d’une analyse des menaces et des risques, ainsi que d’une certification et d’une accréditation complètes. 3e recommandation Le CNRC devrait élaborer un plan de continuité des opérations à l’échelle de l’organisation relativement à la sécurité des TI. Réponse de la direction du CNRC La direction est d’accord avec cette recommandation; le directeur général de la Direction des services administratifs et de la gestion de l’immobilier a amorcé une analyse des répercussions sur les opérations à l’échelle du CNRC afin d’examiner les fonctions administratives du CNRC et les effets que peuvent avoir sur elles des risques précis. Cette analyse constitue une première étape cruciale de la préparation d’un plan de continuité des opérations à l’intention du CNRC. Ce travail sera achevé au plus tard en mars 2008, date à laquelle on pourra élaborer un plan de projet plus détaillé visant à répondre aux exigences du CNRC en matière de continuité des opérations, y compris celles qui ont une incidence sur la sécurité des TI. 4e recommandation Le CNRC devrait élaborer une politique sur l’accès à distance ayant comme objectif d’éliminer l’utilisation de protocoles non protégés, de réduire l’éventail des protocoles utilisés et de renforcer la sécurité de l’accès à distance pour les télétravailleurs. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 27 Vérification de la gestion de la sécurité des TI Réponse de la direction du CNRC La direction est d’accord avec cette recommandation; les services d’accès à distance feront l’objet d’un examen dans le cadre de l’étude sur la GI et la TI. Une fois que cette étude sera terminée, des directives seront élaborées et mises en œuvre pour régler la question de l’accès à distance au CNRC. Cette question devrait être réglée d’ici décembre 2008. 3.2 Deuxième objectif de la vérification : Vérifier si le CNRC respecte ses propres politiques et normes en matière de sécurité Conclusion générale Nous avons constaté des degrés variables de conformité aux politiques et aux normes du CNRC qui régissent la sécurité des TI. La DSGI s’y conformait en général. Cependant, deux des trois instituts que nous avons examinés présentaient des taux de conformité considérablement moins élevés (58 p. 100). Constatations Les politiques de sécurité du CNRC sont, dans l’ensemble, équivalentes aux normes de GSTI. Par conséquent, tant qu’il respectera la norme de GSTI, le CNRC sera conforme à ses propres politiques. En vertu de la politique du CNRC, seuls les systèmes « essentiels » et les technologies à risque élevé du CNRC, comme les réseaux sans fil, peuvent faire l’objet d’activités de gestion des risques. Cette approche fondée sur le risque est économique et s’harmonise avec les exigences de la norme de GSTI. La DSGI est en général toujours conforme aux politiques et normes du CNRC en répondant à 95 p. 100 de leurs exigences. Les taux de conformité des trois autres instituts s’établissent à 79, 58 et 58 p. 100, respectivement. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 28 Vérification de la gestion de la sécurité des TI Nous avons constaté que les principaux problèmes de conformité des instituts qui affichent les taux de conformité les plus bas correspondent à ceux dont nous avons discuté à la section 3.1, Premier objectif de la vérification, pour ce qui est des faiblesses dans les processus de gestion des risques, de la gestion du changement et de la planification de la continuité des opérations. Ces deux instituts nous ont expliqué qu’ils respectaient la politique du CNRC sur la gestion des risques liés à la sécurité des TI. Ils ont ajouté qu’il n’avait pas été nécessaire de mener des activités de gestion des risques à l’égard de leurs systèmes de TI, car ces derniers n’étaient pas des systèmes essentiels. Toutefois, nous n’avons pas été en mesure de vérifier si cela était effectivement le cas, car ni l’un ni l’autre de ces instituts ne nous a présenté d’énoncé de nature délicate. Par conséquent, nous ne pouvons pas déterminer si ces deux instituts respectent les politiques et les normes du CNRC en matière de TI sur la gestion des risques. Si une analyse plus approfondie indique que ces deux instituts ne disposent d’aucun système défini comme étant « essentiel », il se pourrait que les exigences du CNRC en matière de gestion des risques ne s’appliquent pas à eux. Dans cette situation, ces instituts seraient considérés comme étant davantage conformes aux politiques et aux normes applicables du CNRC. Nous n’avons aucune autre recommandation en dehors de celles qui concernent la gestion des risques à la sécurité des TI, comme nous en avons déjà discuté à la section 3.1 Premier objectif de la vérification. 3.3 Troisième objectif de la vérification : Évaluer l’efficacité, l’efficience et le caractère économique de la gestion des services de sécurité des TI du CNRC Conclusion générale Nous avons conclu qu’il est possible d’améliorer l’efficacité, l’efficience et le caractère économique de la gestion des services de sécurité des TI du CNRC. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 29 Vérification de la gestion de la sécurité des TI Constatations Efficacité : Nous nous attendions à ce que la gestion de la sécurité des TI ait mis en œuvre des niveaux de contrôle appropriés pour faire en sorte que les services de sécurité des TI protègent efficacement les banques de données du CNRC. Nous avons constaté que, pour répondre aux besoins de leurs organisations respectives, les services de sécurité des TI de la DSGI et des trois instituts examinés emploient des pratiques et des méthodes très différentes, ce qui engendre différents taux de conformité à la norme de GSTI et aux politiques du CNRC. Toutefois, comme nous l’avons déjà fait remarquer à la section 3.1 Premier objectif de la vérification, l’efficacité de la gestion de la sécurité des TI pourrait être améliorée grâce à une meilleure surveillance et à une meilleure gestion des risques. Efficience et caractère économique : Nous avons constaté que le CNRC pourrait améliorer l’efficience et le caractère économique en se penchant sur les domaines suivants : gestion des biens, stockage, accès à distance, protection antivirus et gestion du changement. Certaines inefficacités potentielles découlent du modèle de gestion décentralisée du CNRC. En ce qui concerne les activités de gestion des biens, de stockage, d’accès à distance, de protection antivirus et de gestion du changement, nous avons remarqué qu’en vertu de ce modèle, plusieurs instituts fournissent leurs propres services à l’aide de matériel varié et d’applications logicielles diverses. À notre avis, il devrait être possible de fournir des services centralisés dans ces domaines, étant donné que la DSGI offre déjà des services de protection antivirus à dix-sept I/D/P et des services de gestion du changement, à douze I/D/P. Bien que les économies en matière d’ETP puissent se révéler peu importantes, si économies il y a, le fait de centraliser certains ou l’ensemble de ces services à l’échelle du CNRC ou en partie pourrait permettre au CNRC de réduire tant le double emploi Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 30 Vérification de la gestion de la sécurité des TI inutile que certaines dépenses de logiciels et de matériel engagées par les instituts qui fournissent actuellement leurs propres services. Notre vérification ne comprend pas une analyse visant à déterminer les économies potentielles associées à la centralisation de ces services. Pour en arriver à un tel chiffre, il faudrait réaliser une analyse de rentabilisation dans le cadre de laquelle il serait nécessaire de tenir compte des exigences propres à chaque I/D/P. La centralisation du programme antivirus pourrait aussi en augmenter l’efficacité. Étant donné que la protection antivirus est un exercice de plus en plus complexe, la centralisation tirerait parti de l’expertise qui existe déjà dans ce domaine au sein de la DSGI. Nous avons observé que la DSGI emploie des spécialistes dans ce domaine et que ce même niveau d’expertise, en général, n’est pas disponible dans tous les instituts du CNRC. Cette situation pourrait avoir une incidence sur la capacité du CNRC à se protéger, aussi efficacement que possible, contre les menaces posées par les virus. Bien que les statistiques soient incomplètes, car, comme nous l’avons remarqué au cours de la vérification, tous les incidents ne sont pas signalés, il est intéressant de remarquer qu’au cours de l’exercice 2005-2006, le CNRC a fait l’objet de 45 incidents signalés impliquant des virus, dont la totalité était associée à une absence de méthode uniforme et organisationnelle en matière de protection antivirus. Bien que seulement onze incidents impliquant des virus aient été signalés jusqu’à présent pour l’exercice 2006-2007, la dernière vague de virus, qui a eu lieu en janvier 2007, s’est soldée par vingt-huit systèmes compromis et cinq jours d’activités interrompues dans un I/D/P qui ne bénéficiait pas des services de protection antivirus de la DSGI. Remarquons que certains I/D/P qui ne bénéficient pas des services de la DSGI ont également réussi à prévenir des éclosions de virus. Une étude de rentabilisation devrait analyser la synergie potentielle entourant la combinaison de l’expertise existante, qui est nécessaire pour éviter cette menace de plus en plus fréquente à laquelle font face tous les organismes gouvernementaux et non gouvernementaux. 5e recommandation La direction devrait examiner les coûts, les avantages et la faisabilité éventuels entourant la centralisation des services de gestion des biens, de stockage, d’accès à distance, de protection antivirus et de gestion du changement, actuellement offerts par Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 31 Vérification de la gestion de la sécurité des TI les instituts. Réponse de la direction du CNRC La direction est d’accord avec cette recommandation; un examen complet de la GI-TI a été amorcé pour étudier le modèle actuel de prestation de services de TI et pour déterminer la façon dont le CNRC pourrait améliorer l’efficacité et les rapports coûtsefficacité dans ce domaine. Les services signalés dans la présente recommandation sont tous abordés dans le cadre de cet examen et les avantages liés à la centralisation des principaux services de TI seront aussi étudiés. Comme nous l’avons mentionné cidessus, cette étude sera terminée et présentée au Comité de la haute direction du CNRC en janvier 2008. 3.4 Quatrième objectif de la vérification : Vérifier si les observations et les recommandations formulées dans le cadre de l’examen externe de la sécurité des TI de 1999 ont été appliquées Conclusion générale Le CNRC a mis en œuvre la plupart des recommandations issues de l’examen externe de la sécurité des TI réalisé en 1999. Ce qui inquiète le plus est l’absence permanente d’un plan de continuité des opérations à l’échelle de l’organisation. Constatations En 2000, la DSGI a préparé un plan d’action en vue de donner suite aux vingt observations et recommandations issues de l’examen externe sur la sécurité réalisé en 1999. Ces observations et recommandations portaient sur des sujets, sans toutefois s’y limiter, comme les rôles et les responsabilités en matière de TI, la mise en œuvre d’un programme de sécurité des TI, un personnel de soutien à la TI plus important, l’accès à distance et la formation sur la sécurité des TI. Nous avons constaté que, des vingt recommandations formulées dans le cadre de cet examen, dix-sept ont été appliquées ou ne sont plus pertinentes. L’état des trois Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 32 Vérification de la gestion de la sécurité des TI dernières s’établit comme suit : Une réponse à la recommandation entourant la mise en œuvre de systèmes de détection d’intrusion dans les réseaux est en cours. La DSGI a fait l’acquisition du matériel nécessaire. La recommandation concernant l’élaboration d’un plan de continuité des opérations à l’échelle du CNRC est toujours en suspens; ce plan doit être mis au point, comme on l’a mentionné à la section 3.1, Premier objectif de la vérification. La recommandation relative à la mise en place de mesures de protection des données et des fichiers (y compris les courriels) n’a pas été entièrement mise en œuvre. L’infrastructure à clé publique (ICP) du gouvernement représente une solution possible visant à répondre aux exigences du CNRC en matière de communications intragouvernementales liées à l’échange et à la protection de l’information. La DSGI sensibilise actuellement le personnel de tout le CNRC à l’ICP, qu’elle présente comme un outil servant à protéger les données du CNRC. Toutefois, il existe un risque connu associé à l’échange d’information à l’extérieur du gouvernement avec les clients et les collaborateurs de recherche du CNRC, pour lequel ni le gouvernement fédéral ni le secteur privé n’a trouvé de solution technologique d’atténuation rentable. Consultez l’annexe C pour prendre connaissance des évaluations effectuées par rapport à chacune des recommandations. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 33 Vérification de la gestion de la sécurité des TI 4.0 Conclusion Le degré de conformité à la norme de GSTI variait entre la DSGI et les trois instituts que nous avons examinés. En général, la DSGI respecte la norme de GSTI dans une proportion de 97 p. 100. Toutefois, les trois instituts affichaient des taux de conformité moins élevés (soit 86 p. 100, 76 p. 100 et 76 p. 100) dans des domaines importants comme la gestion du risque, ainsi que la certification et l’accréditation de leurs systèmes. Il est important de prendre note qu’il est impossible pour l’équipe de vérification de déterminer si le CNRC dans son ensemble est conforme à la norme de GSTI, car le CNRC n’a ni clairement défini ni officiellement documenté tous ses systèmes essentiels, ce sur quoi le modèle de gouvernance du CNRC en matière de sécurité des TI se fonde. À notre avis, les lacunes suivantes au chapitre de la conformité représentent des secteurs de risque pour le CNRC : • Il n’y a pas suffisamment de surveillance de la sécurité des TI à l’échelle de l’organisation. Nous avons constaté que le coordonnateur de la sécurité des TI du CNRC n’a pas le pouvoir d’agir à titre de personne-ressources principale en ce qui concerne les questions de sécurité des TI. Par conséquent, il ne peut pas assurer aux cadres supérieurs que tous les systèmes de TI du CNRC sont dotés des mesures de protection adéquates. • La gestion du risque liée à la sécurité des TI est inégale dans l’organisation. Par conséquent, le CNRC ne possède ni un portrait clair de son exposition aux risques en matière de sécurité des TI, ni la certitude que ses systèmes de TI offrent un niveau de sécurité correspondant à la sensibilité de l’information qu’ils contiennent. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 34 Vérification de la gestion de la sécurité des TI • La vaste gamme de technologies et de protocoles visant à permettre aux employés du CNRC qui travaillent à l’extérieur d’accéder aux systèmes de TI du CNRC pose un risque continu pour l’organisme. Nous avons constaté des degrés variables de conformité aux politiques et aux normes du CNRC qui régissent la sécurité des TI. La DSGI s’y conformait en général. Cependant, deux des trois instituts que nous avons examinés présentaient des taux de conformité considérablement moins élevés. Nous avons conclu qu’il existe des possibilités d’amélioration de l’efficacité, de l’efficience et du caractère économique de la gestion des services de sécurité des TI du CNRC. Ces possibilités se rapportent à la surveillance, à la gestion des risques, à la gestion des biens, au stockage, à l’accès à distance, à la protection antivirus et à la gestion du changement. Le CNRC a mis en œuvre la plupart des recommandations issues de l’examen externe de la sécurité des TI réalisé en 1999. Ce qui inquiète le plus est l’absence permanente d’un plan de continuité des opérations à l’échelle de l’organisation. Principales recommandations 1. Afin d’améliorer la surveillance de la TI, les cadres supérieurs du CNRC devraient désigner un coordonnateur de la sécurité des TI au CNRC, qui serait responsable de la sécurité des TI dans tout l’organisme et qui aurait autorité en la matière. 2. Afin de renforcer la gestion du risque en matière de sécurité des TI, le CNRC devrait : (a) définir ce qu’il entend par « centraux » et par « essentiels » en ce qui concerne les systèmes de TI; Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 35 Vérification de la gestion de la sécurité des TI (b) préciser la sensibilité de tous ses systèmes de TI, y compris les systèmes utilisés aux seules fins de la recherche, et documenter les justifications ou les critères servant à les désigner comme des systèmes centraux ou essentiels; (c) mener d’autres activités précises de gestion des risques, comme des évaluations suffisamment rigoureuses des menaces et des risques, et des activités de certification et d’accréditation de tous les systèmes essentiels, comme l’exigent les politiques du CNRC et la norme de GSTI. 3. Le CNRC devrait élaborer un plan de continuité des opérations à l’échelle de l’organisation relativement à la sécurité des TI. 4. Le CNRC devrait élaborer une politique sur l’accès à distance ayant comme objectif d’éliminer l’utilisation de protocoles non protégés, de réduire l’éventail des protocoles utilisés et de renforcer la sécurité de l’accès à distance pour les télétravailleurs. 5. La direction devrait examiner les coûts, les avantages et la faisabilité éventuels entourant la centralisation des services de gestion des biens, de stockage, d’accès à distance, de protection antivirus et de gestion du changement, actuellement offerts par les instituts. L’annexe D contient des plans d’action de gestion détaillés qui visent à donner suite aux recommandations. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 36 Vérification de la gestion de la sécurité des TI Annexe A : Critères de vérification de la norme de GSTI No Critère de vérification Approche ministérielle de l’organisation et de la sécurité des TI et contrôles de gestion 1. [Norme de GSTI 9.0] Les rôles, les responsabilités et l’autorité décrits dans la norme de GSTI sont documentés dans les descriptions de travail et se reflètent dans les organigrammes. 2. [Norme de GSTI 10.0] Le CNRC possède une politique de sécurité des TI pertinente qui répond aux normes minimales décrites dans la norme de GSTI. Ressources de sécurité destinées aux projets 3. [Norme de GSTI 11.0] Les demandes de financement des programmes de TI doivent contenir les exigences en matière de sécurité des TI et les ressources requises. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 37 Vérification de la gestion de la sécurité des TI No Critère de vérification Mesures de protection techniques et opérationnelles 4. [Norme de GSTI 13.0] Des mesures de protection de la sécurité des TI sont mises en œuvre en tenant compte de la sensibilité des biens, des vulnérabilités, de l’historique des incidents et de l’exposition au risque. 5. [Norme de GSTI 14.0] Le CNRC dispose d’un cadre de contrôle, de politiques et de procédures visant à mettre en œuvre des processus qui appuient la sécurité des TI, y compris la gestion de la configuration et le contrôle des modifications, le centre d’assistance et le signalement des problèmes, la planification de la capacité et les services de soutien auxiliaires. 6. [Norme de GSTI 15.0] Le CNRC doit mettre en place un processus lui permettant de surveiller activement les menaces et les vulnérabilités et, au besoin, de prendre des mesures préventives. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 38 Vérification de la gestion de la sécurité des TI No 7. Critère de vérification [Norme de GSTI 16.1] Le CNRC doit avoir une politique et des normes pour assurer la sécurité matérielle des biens liés à la TI. (REMARQUE : La responsabilité relative à la sécurité matérielle est centralisée au sein de la Direction des Services administratifs et de la Gestion de l’immobilier du CNRC). 8. [Norme de GSTI 16.2] Le CNRC doit avoir une politique, des procédures et des normes pour assurer la protection des supports de TI pendant tout leur cycle de vie. 9. [Norme de GSTI 16.3] Le CNRC doit avoir une politique et des procédures relatives aux enquêtes sur le personnel pour s’assurer que les membres du personnel qui ont accès aux biens liés à la TI possèdent la cote de sécurité appropriée. 10. [Norme de GSTI 16.4.2] Le CNRC doit mettre en œuvre des mesures d’identification et d’authentification qui permettent d’identifier chaque personne façon exclusive et sans équivoque. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 39 Vérification de la gestion de la sécurité des TI No 11. Critère de vérification [Norme de GSTI 16.4.3] Le CNRC doit mettre en œuvre un processus de contrôle de l’accès pour que les utilisateurs ne puissent avoir accès qu’aux renseignements pour lesquels ils ont reçu une autorisation. Ce processus doit s’accompagner de procédures qui font en sorte que les utilisateurs ne puissent jamais accéder à des renseignements dont le degré de sensibilité est supérieur à la cote de sécurité qui leur a été attribuée. 12. [Norme de GSTI 16.4.4] Le CNRC doit disposer d’une politique et d’une technologie en vue de l’utilisation d’une technologie de cryptographie approuvée par le GC, au besoin. 13. [Norme de GSTI 16.4.6] Le CNRC doit élaborer une politique sur la division des réseaux en zones de sécurité et la mise en place de mesures de défense du périmètre graduées. 14. [Norme de GSTI 16.4.7] Le CNRC doit mettre en place des procédures et des mesures de protection techniques relatives à l’informatique mobile et au télétravail. 15. [Norme de GSTI 16.4.8] Le CNRC doit avoir une politique régissant l’utilisation des appareils sans fil dans ses lieux de travail. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 40 Vérification de la gestion de la sécurité des TI No 16. Critère de vérification [Norme de GSTI 17.0] L’architecture et les opérations de TI du CNRC doivent comprendre des outils et des processus (dont une fonction de journal de vérification de la sécurité) qui permettent une détection efficace des incidents. 17. [Norme de GSTI 18.0] Le CNRC doit avoir une bonne capacité de réaction aux incidents (y compris des employés qui possèdent un niveau décisionnel approprié) afin de détecter les incidents, de les classer selon leur priorité, d’y répondre et de les signaler, ainsi que d’assurer la reprise après sinistre et de mener une analyse postérieure à l’incident. Contrôles de gestion 18. [Norme de GSTI 12.1] Le CNRC doit disposer d’un cycle chronologique d'élaboration des systèmes (CCES) relatif à la TI qui tienne clairement compte des exigences de sécurité des TI à chaque stade du cycle de vie. 19. [Norme de GSTI 12.2] Le CNRC doit avoir une méthode documentée lui permettant de déterminer la sensibilité de ses biens de TI, ainsi qu’un processus d’identification et de catégorisation de ces biens en fonction de leur sensibilité. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 41 Vérification de la gestion de la sécurité des TI No 20. Critère de vérification [Norme de GSTI 12.3] Le CCES du CNRC doit faire en sorte que les systèmes de TI soient accrédités par le responsable de l’accréditation approprié suivant une évaluation des menaces et des risques et un processus de certification approuvés. 21. [Norme de GSTI 12.5.1] Le CNRC doit disposer d’un processus d’évaluation de la vulnérabilité pour les systèmes très délicats ou assortis de risques importants. 22. [Norme de GSTI 12.5.2] Le CNRC doit mettre en place une politique et des procédures (y compris une piste de vérification vérifiable) relatives à l’examen et à l’application de correctifs de sécurité. 23. [Norme de GSTI 12.6] Le CNRC doit avoir une politique visant à faire en sorte qu’une personne ne détienne le contrôle complet d'un système de TI ou d'une importante fonction d'exécution. 24. [Norme de GSTI 12.7] Le CNRC doit disposer d’une politique et d’un processus pour faire en sorte qu’il respecte les exigences de sécurité des TI au cours de tous les processus de passation de marchés. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 42 Vérification de la gestion de la sécurité des TI No 25. Critère de vérification [Norme de GSTI 12.8] Le CNRC doit avoir un plan de continuité de la GI-TI afin de réduire au minimum l’interruption des services de TI essentiels. 26. [Norme de GSTI 12.9] Le CNRC doit avoir une politique documentée relative à l’imposition de sanctions en cas d’incidents reliées à la TI attribuables à une inconduite ou à de la négligence. 27. [Norme de GSTI 12.10] Le CNRC doit avoir une politique et un processus pour assurer la sécurité de l’information du CNRC transmise à d’autres organismes et reçue d’autres organismes. 28. [Norme de GSTI 12.11] Le CNRC doit avoir une politique en ce qui concerne l’autoévaluation annuelle de ses programmes de sécurité des TI et l’intégration des vérifications de la sécurité des TI aux programmes de vérification interne du CNRC. 29. [Norme de GSTI 12.12] Le CNRC doit disposer d’un programme permanent de sensibilisation à la sécurité, ainsi que d’une politique visant à faire en sorte que les membres du personnel ayant des responsabilités liées à la sécurité des TI reçoivent la formation spécialisée appropriée. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 43 Vérification de la gestion de la sécurité des TI Annexe B : Critères de vérification relatifs aux politiques de sécurité des TI du CNRC No Critère de vérification Approche ministérielle de l’organisation de la sécurité des TI et contrôles de gestion 1. [Norme en matière d’organisation et de gestion du CNRC, Annexe B, 3.1.1] Il incombe au DG de nommer un ASSI qui sera chargé de coordonner et de régler les questions de sécurité des TI. Mesures de protection techniques et opérationnelles 2. [Norme en matière d’organisation et de gestion du CNRC, 6.1.1] Les exigences de confidentialité, d’intégrité et de disponibilité de chaque SI seront consignées dans un Énoncé de nature délicate. 3. [Norme en matière d’organisation et de gestion du CNRC, 6.1.2] On procèdera à une EMR de tout système central et de tout autre système essentiel à ses activités. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 44 Vérification de la gestion de la sécurité des TI No 4. Critère de vérification [Norme en matière d’organisation et de gestion du CNRC, 6.1.3] Un plan de sécurité des systèmes d’information doit être établi et maintenu relativement à chaque système administratif essentiel. 5. [Norme en matière d’organisation et de gestion du CNRC, 6.1.4] L’autorité responsable accréditera chaque système administratif essentiel. 6. [PPI du CNRC, Énoncé de politique, 7.5] Les mesures de sécurité des systèmes doivent être proportionnées aux niveaux de sécurité de l’information et des biens visés et tenir compte des menaces et des vulnérabilités identifiées. 7. [Norme de sécurité des télécommunications, Annexe A] 2. L’inventaire de la gestion du changement doit englober toute l’information concernant le matériel de communication et de réseau, les logiciels, les services et les données. 3. Dans la gestion de la configuration, on doit prendre en compte tout changement dont l’effet sur le système est permanent ou semi-permanent. • 3.1 Le processus de contrôle des changements doit comporter des mécanismes permettant d’accomplir les fonctions suivantes : demandes de changements, enregistrement et suivi des demandes en suspens, approbation des demandes, essai et acceptation des changements, et intégration des changements et notification des changements aux utilisateurs. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 45 Vérification de la gestion de la sécurité des TI No 8. Critère de vérification [Protection de l’information – Norme d’exploitation, Annexe C] 2. La classification ou la désignation de sécurité que l’on attribue aux supports de TI est effectuée en fonction de l’information la plus sensible qu’ils contiennent. 3. Il faut emballer et transporter les supports de TI, et transmettre les données qu’ils contiennent en les protégeant contre les risques de manipulation brutale, d’altération, de compromission et contre les conditions extrêmes du milieu (chaleur, froid et humidité). 4. Avant de sortir les supports de TI de leur milieu pour les réutiliser, les entretenir ou les éliminer, il faut les soumettre à un nettoyage approprié. 9. [Norme de contrôle d’accès, 5.2] Les I/D/P doivent s’assurer que l’accès aux systèmes, aux réseaux et aux données de TI n’est permis qu’à ceux qui détiennent l’autorisation appropriée. Cette autorisation est délivrée en fonction de l’attestation de sécurité de la personne, ainsi qu’à son « besoin de connaître ». 10. [Norme de contrôle d’accès, 5.4] Afin d’éviter toute usurpation d’identité, les systèmes de TI doivent autant que possible authentifier tous les identificateurs des utilisateurs. 11. [Programme de protection de l’information, Annexe D, 3.1] Tout module cryptographique utilisé pour chiffrer des données du CNRC doit être conforme aux normes décrites dans le document intitulé FIPS 140-1 ou 140-2, Security Requirements for Cryptographic Modules (Exigences de sécurité pour les modules cryptographiques). Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 46 Vérification de la gestion de la sécurité des TI No 12. Critère de vérification [Norme de sécurité des télécommunications, 5.8] Il n’est généralement pas permis d’utiliser des modems locaux pour établir des connexions téléphoniques directes, exception faite pour les situations où l’on utilise des ordinateurs pour le télétravail. 13. [Norme de sécurité des télécommunications, 5.6] Dans toutes les mises en œuvre des technologies sans fil des RLE, on doit suivre un processus de gestion des risques en quatre étapes, expliqué dans la Norme en matière d’organisation et de gestion du CNRC, et on doit respecter la norme de sécurité fonctionnelle TI, définie à l’Annexe C. 14. [Protection de l’information – Norme d’exploitation, Annexe A, 2.1 et 2.2] Il faut au minimum installer des outils de détection d’intrusion gérés par le réseau et les configurer pour qu’ils surveillent toutes les connexions à Internet. Il faut au minimum installer des outils de détection d’intrusion gérés par le système central et les configurer pour qu’ils surveillent les serveurs et les systèmes, qui sont des biens essentiels. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 47 Vérification de la gestion de la sécurité des TI No 15. Critère de vérification [Documents du CNRC] - Procédure en cas d’incident de sécurité en TI - Normes de l’Équipe d’intervention en cas d’incidents informatiques - Procédure d’enquête de sécurité en TI Contrôles de gestion 16. [Norme en matière d’organisation et de gestion du CNRC, 6.1.1] Les exigences de confidentialité, d’intégrité et de disponibilité de chaque SI seront consignées dans un Énoncé de nature délicate. La méthodologie est décrite dans le Guide de gestion des risques en matière de sécurité relatif à la technologie de l’information, Annexe B – Analyse de sensibilité. 17. [Protection de l’information – Norme d’exploitation, 5.9] Une LVERS doit également être incluse lorsqu’il y a des exigences qui concernent la sécurité physique, la sécurité de la technologie de l’information ou la sécurité du personnel. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 48 Vérification de la gestion de la sécurité des TI No 18. Critère de vérification [Protection de l’information – Norme d’exploitation, 5.8] Tous les I/D/P sont responsables de la mise sur pied des plans de continuité de la GI et de la TI; ils doivent les étayer et les tester, et être prêts à les appliquer en tout temps. […] le plan de continuité de la technologie de l’information doit permettre d’assurer efficacement et dans un délai raisonnable le rétablissement des services essentiels. 19. [Politique régissant l’utilisation des ressources en TI du CNRC, 9] … les employés du CNRC doivent savoir clairement que, s’ils violent volontairement et délibérément la présente politique, ils peuvent faire l’objet de mesures administratives ou disciplinaires pouvant aller jusqu’à la mise à pied. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 49 Vérification de la gestion de la sécurité des TI Annexe C : Recommandations issues de l’examen externe de la sécurité des TI réalisé en 1999 et constatations de la vérification de 2007 Recommandation formulée dans le cadre de l’examen externe réalisé en 1999 1. Propriété, gouvernance et soutien des ressources de TI. La question de la propriété et de la Recommandation mise en œuvre Oui gouvernance des ressources de TI concerne non seulement la sécurité des TI, mais aussi l’élaboration d’une architecture de TI générale. Toutes les personnes concernées doivent clairement savoir qui est « propriétaire » et responsable des différentes parties de l’infrastructure de TI (p. ex., les postes de travail, les serveurs, les RLE, les réseaux longue distance, etc.). On peut ainsi répartir la responsabilité liée à la sécurité de l’infrastructure de TI. On doit aussi clairement indiquer les règles qui régissent la façon dont les différents « propriétaires » interagissent. On doit, par exemple, décrire les règles que doit suivre le « propriétaire » d’un système lorsqu’il se connecte au réseau. Pour ce faire, les divers groupes de soutien technique en matière de TI répartis dans tout le CNRC devront travailler en collaboration. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 50 Vérification de la gestion de la sécurité des TI Recommandation formulée dans le cadre de l’examen externe réalisé en 1999 2. Définition d’une politique de sécurité des TI au CNRC. Le CNRC ne dispose actuellement Recommandation mise en œuvre Oui d’aucune politique définie en matière de sécurité des TI. La mise en œuvre d’un programme de sécurité des TI nécessite l’élaboration d’une politique de soutien de haut niveau décrivant les objectifs, les stratégies et les règles visant à régir ce programme. Cette politique de sécurité des TI doit dériver des objectifs opérationnels et des stratégies d’affaires du CNRC, et y être directement liée. 3. Rôles et responsabilités en matière de sécurité des TI. On doit définir et officialiser les rôles et Oui les responsabilités entourant la sécurité des TI au CNRC. Il est nécessaire de déterminer la structure organisationnelle générale en matière de sécurité des TI au CNRC, ainsi que de définir et d’attribuer les rôles et les responsabilités du personnel des divers paliers de l’organisme (CNRC, institut ou direction, système, etc.). On doit au minimum assigner les responsabilités liées à la sécurité des TI à une personne pour chaque ressource de TI du CNRC, et cette personne doit obtenir les ressources, le pouvoir et le mandat lui permettant d’exercer ses responsabilités. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 51 Vérification de la gestion de la sécurité des TI Recommandation formulée dans le cadre de l’examen externe réalisé en 1999 4. Élaboration d’un plan de classification des données. Le CNRC détient des données de nature Recommandation mise en œuvre Oui délicate, mais il ne dispose d’aucun plan lui permettant de désigner et de classifier ces données, comme l’exige la PGS. Les données de nature délicate doivent être désignées et marquées, et des mesures de protection doivent être mises en œuvre pour protéger adéquatement l’information. 5. Élimination éventuelle des administrateurs de systèmes à temps partiel. La présence Oui d’administrateurs de systèmes à temps partiel, en particulier pour ce qui est des systèmes serveurs, constitue une préoccupation. Ces administrateurs n’ont souvent pas le temps ou les compétences nécessaires pour bien gérer ou protéger les systèmes dont ils sont responsables. En conséquence, leurs systèmes sont fréquemment les systèmes les plus vulnérables, car la sécurité est souvent ce qu’on met de côté en premier lorsqu’on est pressé (mentalité du « occupez-vous de faire fonctionner le système, on se préoccupera de la sécurité plus tard »). Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 52 Vérification de la gestion de la sécurité des TI Recommandation formulée dans le cadre de l’examen externe réalisé en 1999 6. Ajout de personnel de soutien au réseau du CNRC. Le personnel nécessaire à la bonne gestion Recommandation mise en œuvre Oui de l’infrastructure du réseau du CNRC est actuellement insuffisant. Par conséquent, la planification, la surveillance et l’entretien du réseau font défaut, car les ressources, au maximum de leurs capacités, arrivent tout juste à le faire fonctionner (« lutte contre les incendies »). Un certain nombre d’emplacements ont fait remarquer qu’ils avisent normalement le personnel d’exploitation du réseau lorsque des segments du réseau sont en panne, au lieu de se faire informer du problème. La protection de l’infrastructure du réseau est simplement un élargissement de principes sensés de gestion de réseau. S’il manque de personnel pour soutenir les principales fonctions de gestion du réseau, il en manquera de toute évidence pour assurer la sécurité du réseau. 7. Accès par les personnes autres que les employés du CNRC. Les recommandations contenues Oui dans le rapport du CNRC sur l’accès au réseau par des personnes autres que les employés du CNRC doivent être prises en considération dans le cadre de la mise en œuvre d’un programme de sécurité des TI au CNRC. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 53 Vérification de la gestion de la sécurité des TI Recommandation formulée dans le cadre de l’examen externe réalisé en 1999 8. Élaboration et mise en œuvre d’un programme de sécurité des TI. On doit élaborer et mettre Recommandation mise en œuvre Oui en œuvre un programme de sécurité des TI au CNRC. On doit planifier et mener les activités principales suivantes : élaboration de politiques de sécurité au CNRC; détermination des biens devant être protégés (c.-à-d., quels sont les systèmes, les données, les services, etc., qui sont importants); exécution d’une analyse des risques de haut niveau pour ce qui est des biens visés; élaboration d’une architecture de sécurité des TI et détermination des mesures de protection requises pour protéger les biens essentiels; mise en œuvre des mesures de protection; évaluation périodique des mesures de protection, vérification de la conformité en matière de sécurité, surveillance continue de la sécurité des systèmes, des vulnérabilités, des menaces, etc.; mise en œuvre d’un programme de sensibilisation à la sécurité; traitement des incidents. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 54 Vérification de la gestion de la sécurité des TI Recommandation formulée dans le cadre de l’examen externe réalisé en 1999 9. Formation sur la sécurité des TI. On doit offrir de la formation sur la sécurité des TI aux Recommandation mise en œuvre Oui membres du personnel qui sont responsables de la sécurité des TI. Cette formation pourrait prendre la forme de cours de formation en cours d’emploi ou de cours donnés par des entreprises externes. L’organisme central responsable de la sécurité des TI devrait assurer la coordination et le suivi de cette formation. 10. Définition et contrôle du périmètre électronique. À l’heure actuelle, le réseau du CNRC ne Oui dispose d’aucun périmètre électronique établi, la majeure partie de l’infrastructure du réseau étant simplement un prolongement d’Internet. Un périmètre est nécessaire pour séparer l’information destinée au public de l’information confidentielle, de même que pour contrôler l’accès entre ces deux domaines. Le but premier de l’établissement d’un périmètre est de gérer l’accès externe à l’information du CNRC et aux ressources de TI. Le public, les collaborateurs, les entrepreneurs et les employés du CNRC ne devraient avoir qu’un accès externe aux ressources de TI du CNRC dont ils ont besoin, ni plus, ni moins. 11. Séparation des données, des systèmes et des services. L’infrastructure de TI du CNRC devrait Oui séparer les systèmes en fonction de l’information qu’ils contiennent, des services qu’ils offrent et des personnes qui ont besoin d’y accéder. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 55 Vérification de la gestion de la sécurité des TI Recommandation formulée dans le cadre de l’examen externe réalisé en 1999 12. Protection de l’information sur le réseau fédérateur du CNRC. À l’heure actuelle, le CNRC se Recommandation mise en œuvre Oui sert du réseau CA*net II comme réseau fédérateur entre ses emplacements régionaux. Toute l’information, généralement transmise « en clair », circule entre les emplacements grâce à ce réseau fédérateur semi-public. Cette information est donc sujette au « repérage d’erreurs » de réseau et risque d’être compromise pendant sa circulation entre les emplacements du CNRC. On doit évaluer la sensibilité de l’information et déterminer si des mesures de protection (p. ex., le chiffrement) sont nécessaires. Plus particulièrement, un réseau privé virtuel (RPV) chiffré entre les emplacements régionaux du CNRC pourrait être approprié. 13. Mise en œuvre éventuelle d’un système de détection d’intrusion dans le réseau. On doit En cours envisager la mise en œuvre d’un système de détection d’intrusion dans le réseau relativement aux principales connexions de réseau. Indépendamment de la qualité des mesures de protection de l’infrastructure de TI du CNRC, la détection d’intrusion est « l’avertisseur antivol » qui annonce une attaque et permet de réagir rapidement. Au départ, cette capacité devrait se concentrer sur les points d’accès externes pour contrer la menace externe. Selon les exigences, cette capacité pourrait ensuite être élargie de manière à englober des secteurs internes importants ou être combinée à des systèmes de surveillance des intrusions gérés par le système central relativement aux systèmes essentiels (afin de contrer la menace interne). Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 56 Vérification de la gestion de la sécurité des TI Recommandation formulée dans le cadre de l’examen externe réalisé en 1999 14. Protection des données et des fichiers individuels. Les membres du personnel du CNRC Recommandation mise en œuvre Non échangent de l’information avec d’autres personnes, à l’échelle mondiale. Une partie de cette information est de nature délicate et nécessite une protection appropriée (p. ex., le chiffrement). De plus, le gouvernement canadien procède actuellement à la mise en œuvre d’une infrastructure à clé publique pour la protection et le partage de l’information entre les ministères. Bien que l’on puisse se servir de cette infrastructure pour répondre aux exigences internes et intraministérielles du CNRC, de nombreux collaborateurs et clients exigent des communications protégées avec le personnel ou les services du CNRC (p. ex., l’ICIST). On doit mettre en place des mesures de protection pour assurer la protection des fichiers et des courriels. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 57 Vérification de la gestion de la sécurité des TI Recommandation formulée dans le cadre de l’examen externe réalisé en 1999 15. Mise en œuvre d’un programme de gestion de la configuration des ressources de TI Recommandation mise en œuvre Oui importantes. Un certain nombre de ressources de TI, y compris l’infrastructure du réseau du CNRC et d’importants systèmes publics et administratifs, sont indispensables au fonctionnement du CNRC. Un programme de gestion de la configuration doit être mis en œuvre pour gérer ces systèmes, y compris un processus officiel permettant de les modifier, de les mettre en ligne, etc. Il sera plus facile de satisfaire aux exigences de sécurité des TI si ces systèmes font l’objet d’un contrôle officiel. Par exemple, l’étude de questions de sécurité des TI pourrait faire partie du processus de changement de système, on pourrait exiger que des tests de vérification soient effectués avant d’activer un système en vue de la production, etc. Si l’on ne gère pas activement la configuration des systèmes, on ne peut pas assurer leur sécurité. 16. Élaboration d’un plan de continuité des opérations. On doit élaborer et mettre en œuvre un En cours plan de continuité des opérations pour ce qui est des ressources de TI qui sont essentielles aux opérations du CNRC. Ce plan doit au minimum porter sur le réseau du CNRC lui-même (y compris la connectabilité externe), sur Sigma, sur les systèmes de soutien opérationnel importants et sur les ressources de TI publiques importantes signalées à la section 3.2.2. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 58 Vérification de la gestion de la sécurité des TI Recommandation formulée dans le cadre de l’examen externe réalisé en 1999 17. Accès à distance. L’accès aux ressources du CNRC à distance doit passer de protocoles non Recommandation mise en œuvre Oui protégés à des protocoles protégés qui comportent un solide processus d’identification et d’authentification et qui chiffrent les données circulant entre les systèmes. Par exemple, on doit éliminer l’utilisation de protocoles non protégés comme Telnet, X et rlogin permettant d’accéder aux systèmes du CNRC à distance, et remplacer ces protocoles par des protocoles protégés comme SSH. 18. Intégration de la sécurité des TI dans le cycle de vie des systèmes. La sécurité des TI doit être Oui intégrée au cycle de vie de l’infrastructure de TI, des systèmes et des logiciels du CNRC. Cela comprend la conception, l’élaboration, l’approvisionnement, la mise en œuvre, l’exploitation et la désactivation. La sécurité des TI doit simplement devenir un autre volet important des activités du CNRC; elle ne doit pas être considérée comme quelque chose que l’on ajoute à un système au moment où ce système est prêt à être déployé. Si l’on tient compte immédiatement des exigences de sécurité des TI, on pourra économiser des sommes importantes à long terme. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 59 Vérification de la gestion de la sécurité des TI Recommandation formulée dans le cadre de l’examen externe réalisé en 1999 19. Sécurité et surveillance des systèmes. Il faut améliorer la sécurité des systèmes individuels. Recommandation mise en œuvre Oui On doit offrir des conseils et de la formation aux administrateurs de systèmes sur la façon d’assurer, d’entretenir et de surveiller la sécurité de leurs systèmes. Une analyse régulière des vulnérabilités effectuée à l’aide d’outils commerciaux de pointe aidera à repérer les faiblesses des systèmes. En raison des connaissances spécialisées requises pour utiliser ces outils, il serait peut-être préférable que ce service soit offert par l’organisme central responsable de la sécurité des TI du CNRC. Finalement, non seulement la protection des systèmes individuels permet de contrer la menace interne, mais elle fournit aussi un deuxième moyen de « défense » en cas d’atteinte au périmètre électronique. 20. Protection et disponibilité du réseau du CNRC. Certains secteurs du CNRC dépendent du réseau Mise en œuvre partielle. Les instituts ont besoin du CNRC et, plus particulièrement, de sa connectabilité externe, pour gagner de l’argent d’énoncés de nature délicate détaillés pour déterminer (p. ex., l’ICIST). On doit conclure des ententes appropriées concernant le niveau de service de façon concluante si les mesures de protection devant être offert par le réseau du CNRC pour appuyer ces activités (p. ex., exigences en correspondent à la sensibilité de leurs systèmes. matière d’intégrité et de disponibilité. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 60 Vérification de la gestion de la sécurité des TI Annexe D : Plans d’action de la gestion Recommandations Plan d’action de la vérification de gestion correctif 1. Afin d’améliorer la surveillance de la TI, les cadres Nomination d’un coordonnateur de la sécurité des TI après supérieurs du CNRC devraient désigner un consultation avec le Comité de la haute direction (CHD). Date Dirigeants du d’achèvement CNRC prévue responsables juin 2007 V.-P., Services corporatifs coordonnateur de la sécurité des TI au CNRC, qui serait responsable de la sécurité des TI dans tout Le rôle de coordonnateur de la sécurité des TI devra être l’organisme et qui aurait autorité en la matière. appuyé par une solide structure de gouvernance en matière Janvier 2008 de GI-TI en général et par un robuste cadre de gouvernance de la sécurité de l’information en particulier. On se penchera sur la question de la gouvernance en matière de GI-TI dans le cadre d’une étude que le CNRC a déjà amorcée, c’est-àdire un examen complet de la GI-TI visant à étudier le modèle actuel de prestation de services de TI et à déterminer la façon dont le CNRC pourrait améliorer l’efficacité et les rapports coût-efficacité dans ce domaine. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 61 Vérification de la gestion de la sécurité des TI Recommandations Plan d’action de la vérification de gestion correctif 2. Afin de renforcer la gestion du risque en matière de La politique et la norme en matière de GI-TI sont revues tous sécurité des TI, le CNRC devrait : les deux ans dans le cadre du cycle de vie de cette politique. a) définir ce qu’il entend par « centraux » et par « essentiels » en ce qui concerne les systèmes; Date Dirigeants du d’achèvement CNRC prévue responsables Septembre 2007 V.-P., Services corporatifs Mars 2008 Chefs des I/D/P Toutes les politiques et normes en matière de sécurité des TI feront l’objet d’un examen complet entre juillet et septembre 2007. On ajoutera les termes « centraux » et « essentiels » au glossaire de GI-TI du CNRC, et on élaborera des définitions appropriées au cours de l’examen des politiques. b) préciser la sensibilité de tous ses systèmes de TI et Une fois que les termes « centraux » et essentiels » auront documenter les justifications ou les critères servant à été définis, tous les systèmes des instituts seront examinés les désigner comme des systèmes centraux ou et décrits de façon appropriée. Le coordonnateur de la essentiels; sécurité des TI du CNRC sera responsable de veiller à ce Coordonnateur de la sécurité des TI du CNRC que tous les instituts, directions et programmes définissent leurs systèmes comme étant « centraux » et « essentiels » et qu’ils procèdent à une analyse des risques appropriée. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 62 Vérification de la gestion de la sécurité des TI Recommandations Plan d’action de la vérification de gestion correctif c) mener d’autres activités précises de gestion Tous les systèmes définis comme étant « centraux » et des risques, comme des évaluations « essentiels » feront l’objet d’une analyse des menaces et suffisamment rigoureuses des menaces et des des risques, ainsi que d’une certification et d’une risques, et des activités de certification et accréditation complètes. Le coordonnateur de la sécurité des d’accréditation de tous les systèmes essentiels, TI du CNRC sera responsable de veiller à ce que tous les comme l’exigent les politiques du CNRC et la instituts, directions et programmes définissent leurs systèmes norme de GSTI. comme étant « centraux » et « essentiels » et qu’ils Date Dirigeants du d’achèvement CNRC prévue responsables Mars 2008 Chefs des I/D/P Coordonnateur de la sécurité des TI du CNRC procèdent à une analyse des risques appropriée. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 63 Vérification de la gestion de la sécurité des TI Recommandations Plan d’action de la vérification de gestion correctif 3. Le CNRC devrait élaborer un plan de continuité Le directeur général de la Direction des services des opérations à l’échelle de l’organisation administratifs et de la gestion de l’immobilier a amorcé une relativement à la sécurité des TI. analyse des répercussions sur les opérations à l’échelle du Date Dirigeants du d’achèvement CNRC prévue responsables Mars 2008 V.-P., Services corporatifs Décembre 2008 V.-P., Services corporatifs CNRC afin d’examiner les fonctions administratives du CNRC et les effets que peuvent avoir sur elles des risques précis. Cette analyse constitue une première étape cruciale de la préparation d’un plan de continuité des opérations à l’intention du CNRC. Ce travail sera achevé au plus tard en mars 2008, date à laquelle on pourra élaborer un plan de projet plus détaillé visant à répondre aux exigences du CNRC en matière de continuité des opérations, y compris celles qui ont une incidence sur la sécurité des TI. 4. Le CNRC devrait élaborer une politique sur l’accès Les services d’accès à distance feront l’objet d’un examen à distance ayant comme objectif d’éliminer dans le cadre de l’étude sur la GI et la TI. Une fois que cette l’utilisation de protocoles non protégés, de réduire étude sera terminée, des directives seront élaborées et mises l’éventail des protocoles utilisés et de renforcer la en œuvre pour régler la question de l’accès à distance au sécurité de l’accès à distance pour les CNRC. télétravailleurs. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 64 Vérification de la gestion de la sécurité des TI Recommandations Plan d’action de la vérification de gestion correctif 5. La direction devrait examiner les coûts, les Un examen complet de la GI-TI a été amorcé pour étudier le avantages et la faisabilité éventuels entourant la modèle actuel de prestation de services de TI et pour centralisation des services de gestion des biens, déterminer la façon dont le CNRC pourrait améliorer de stockage, d’accès à distance, de protection l’efficacité et les rapports coûts-efficacité dans ce domaine. antivirus et de gestion du changement, Les services signalés dans la présente recommandation sont actuellement offerts par les instituts. tous abordés dans le cadre de cet examen et les avantages Date Dirigeants du d’achèvement CNRC prévue responsables Janvier 2008 V.-P., Services corporatifs liés à la centralisation des principaux services de TI seront aussi étudiés. Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 65 Vérification de la gestion de la sécurité des TI Annexe E : Glossaire Liste des abréviations API Agent principal de l’information ASSI Agent de sécurité des systèmes d’information CHC Centre d'hydraulique canadien CHD Comité de la haute direction CPI Centre de protection de l’information DSD Direction de la stratégie et du développement DSGI Direction des services de gestion de l’information EMR Évaluation des menaces et des risques END Énoncé de la nature délicate GI Gestion de l’information GSTI Norme de gestion de la sécurité des technologies de l’information I/D/P Instituts, direction et programmes IBD Institut du biodiagnostic IBM Institut des biosciences marines IBP Institut de biotechnologie des plantes ICIST Institut canadien de l'information scientifique et technique IENM Institut des étalons nationaux de mesure IHA Institut Herzberg d’astrophysique IIPC Institut d’innovation en piles à combustible IMI Institut des matériaux industriels Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 66 Vérification de la gestion de la sécurité des TI INNT Institut national de nanotechnologie IRA Institut de recherche aérospatiale IRB Institut de recherche en biotechnologie IRC Institut de recherche en construction ISB Institut des sciences biologiques ISM Institut des sciences des microstructures ISSM Institut Steacie des sciences moléculaires ITFI Institut des technologies de fabrication intégrée ITI Institut de technologie de l’information ITO Institut des technologies océaniques ITPCE Institut de technologie des procédés chimiques et de l’environnement PARI Programme d’aide à la recherche industrielle PGS Politique du gouvernement sur la sécurité SAGI Services administratifs et gestion de l’immobilier SCT Secrétariat du Conseil du Trésor Juin 2007 Unité de la vérification interne, Conseil national de recherches du Canada 67