Ottawa doit renforcer la sécurité de son nuage, estime la vérificatrice générale

OTTAWA — Les divers ministères du gouvernement fédéral doivent en faire davantage pour sécuriser les données personnelles des Canadiens stockées dans le nuage, prévient la vérificatrice générale dans un nouveau rapport publié mardi.

Devant des cyberattaques qui se font de plus en plus fréquentes, la vérificatrice générale Karen Hogan affirme dans un rapport déposé à la Chambre des communes que les exigences du gouvernement mises en place pour réduire les risques «n’étaient pas toujours clairement définies».

Par conséquent, «ces lacunes représentent un risque accru d’atteintes à la sécurité», note-t-elle en ajoutant que «les cyberattaques sont de plus en plus fréquentes et perfectionnées».

Elle encourage le gouvernement à agir dès maintenant pour renforcer ses contrôles afin d'être en mesure de prévenir et de détecter les cyberattaques, puis d'y répondre.

Karen Hogan insiste sur l'importance d'agir sans tarder puisque les différents ministères n'en sont qu'«aux premières étapes de la transition vers l’informatique en nuage».

Parmi les actions recommandées, on note «le renforcement des principaux contrôles de sécurité pour prévenir et détecter les atteintes à la sécurité et intervenir en conséquence».

On propose aussi de définir «des responsabilités et des rôles communs clairs en matière de cybersécurité» afin que tous les ministères sachent ce qu'ils ont à faire.

Dans une réponse incluse dans le rapport, on apprend que le gouvernement accueille toutes les recommandations et a déjà prévu une série d'actions pour les mettre en place.

On révèle également dans le rapport que le Secrétariat du Conseil du Trésor du Canada a donné le mandat aux divers ministères, il y a quatre ans déjà, de se préparer à faire migrer leurs bases de données vers le nuage, ce qui veut dire que beaucoup plus d'informations personnelles des Canadiens vont s'y retrouver.

Toutefois, au cours de ces quatre ans, le Secrétariat du Conseil du Trésor n’a toujours pas fourni de plan de financement à long terme pour l’adoption de l’informatique en nuage.

«Les ministères ont besoin d’une méthode de financement et d’outils d’établissement des coûts pour s’assurer de disposer de la main‑d’œuvre, de l’expertise, des compétences, de la formation, du financement et des autres ressources dont ils ont besoin pour sécuriser l’information stockée dans le nuage de manière à prévenir les menaces et les risques les plus importants et intervenir en conséquence», écrit la vérificatrice générale.

Le gouvernement mise sur plusieurs services qui doivent collaborer afin d'assurer la protection des renseignements stockés dans le nuage.

Selon la vérificatrice générale, le Secrétariat du Conseil du Trésor du Canada, Services partagés Canada, Services publics et Approvisionnement Canada, le Centre de la sécurité des télécommunications du Canada ainsi que plusieurs ministères mettent en place leurs propres contrôles en matière de cybersécurité, mais ils n'ont pas «mis en œuvre efficacement ces contrôles et n’avaient pas non plus établi et communiqué clairement les responsabilités et les rôles associés à leur mise en œuvre».

L'équipe de vérificateurs de Mme Hogan a aussi découvert des failles dans la manière dont sont menées les inspections de sécurité chez les fournisseurs d'espace de stockage nuagique. Ces observations ne peuvent toutefois pas être rendues publiques afin de ne pas nuire à la sécurité nationale.

Les contrats accordés par Services partagés Canada et les ententes conclues par Services publics et Approvisionnement Canada «comportaient peu de détails sur les obligations des fournisseurs de services en cas d’incidents de sécurité, notamment les délais d’intervention visés et les personnes chargées d’intervenir», lit-on dans le rapport.

La vérificatrice générale révèle aussi que les rôles et les responsabilités de chacun sont énoncés dans de multiples documents. Ainsi, plusieurs ministères se trouvent confus au sujet de certaines de leurs responsabilités.

À titre d'exemple, on souligne que les ministères doivent veiller à ce que les données stockées dans le nuage soient conservées au Canada. Or, il appert que les parties concernées par plusieurs ententes de services «ne comprenaient pas toutes cette exigence».

Jim Bronskill, La Presse Canadienne