Liens de la barre de menu commune
Liens institutionnels
Divulgation proactive
Vérification de la sécurité de la GI/TI et processus, pratiques et contrôles connexes
Rapport sommaireContexte
Objectif de la vérification
Observations
Conclusion de la vérification
Énoncé d'assurance
Annexe 1 Critères de vérification
Annexe 2 Plan d'action de la direction
Contexte
En 2007, le dirigeant principal de l'information (DPI) a demandé une vérification de la Stratégie de gestion de l'information/technologie de l'information (GI/TI), et une évaluation de la maturité des capacités de la Direction générale de la gestion de l'information et de la technologie (DGGIT), sur la base du modèle Control Objectives for Information and related Technology (COBIT®) de l'IT Governance Institute. Du fait que le modèle COBIT prévoit un cadre permettant d'évaluer la sécurité de la GI/TI, ce sujet a également été examiné au même moment.
À l'Agence, la gouvernance de la sécurité de la GI/TI est fondée sur les rôles et les responsabilités de l'agent de sécurité de l'Agence (ASA), du dirigeant principal de l'information (DPI), et du coordonnateur de l'accès à l'information et de la protection des renseignements personnels (AIPRP), à savoir :
- L'ASA détient la responsabilité, déléguée par la présidente, de la politique en matière de sécurité de la GI/TI, ainsi que des activités de sensibilisation et d'orientation, comme l'exige la Politique sur la gestion de l'information et la Politique sur la sécurité du gouvernement du Conseil du Trésor (La fonction de l'ASA est assumée par la DPF de l'ACDI);
- Le DPI est chargé de traduire en mesures concrètes les politiques en matière de sécurité de la GI/TI, de fournir des orientations et de gérer les risques pour la sécurité reliés aux services de GI/TI, ainsi que de soutenir quotidiennement les opérations de GI/TI;
- Le coordonnateur de l'AIPRP (qui relève de la secrétaire générale) détient la responsabilité, déléguée par la présidente, d'assurer le respect de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.
Objectif de la vérification
Cette vérification vise à fournir une assurance raisonnable que la sécurité de la GI/TI et que les processus, pratiques et contrôles connexes respectent le cadre COBIT 4.1 (Control Objectives for Information and related Technology), la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI) du Conseil du Trésor, la Politique sur la sécurité du gouvernement, et la Politique sur la gestion de l'information du Conseil du Trésor.
Observations
Depuis 2006, des progrès concrets ont été réalisés dans plusieurs secteurs. En voici quelques exemples :
- L'ASA a embauché un coordonnateur de la sécurité de la TI chargé d'élaborer des politiques et des orientations. Des ébauches de politiques et d'orientations ont été produites. Un énoncé de sensibilité de l'information organisationnelle de l'ACDI et une analyse des biens de l'entreprise ont été préparés.
- Le DPI a embauché un gestionnaire de la sécurité de la TI et fourni deux analystes formés. Récemment, le DPI a autorisé l'embauche de deux analystes supplémentaires de la sécurité de la TI.
- Plusieurs mesures de sécurité ont été mises en oeuvre afin de protéger le réseau et les serveurs contre les menaces internes et externes, y compris les virus et les logiciels malveillants, et des équipements ont été acquis et installés pour prévenir et détecter les intrusions provenant d'Internet.
- Un programme de certification et d'accréditation (PCA) a été mis en place pour les nouvelles applications, tandis qu'un programme visant à étudier les applications héritées, sur la base de leur priorité, est en cours.
- Les responsables des applications et des processus opérationnels préparent maintenant des énoncés de sensibilité (ES), des évaluations des facteurs relatifs à la vie privée (ÉFVP) et des évaluations de la menace et des risques (EMR) pour les nouveaux projets, ce qui montre que la culture organisationnelle commence à changer et que les gens sont davantage conscients des besoins en matière de sécurité.
- Des équipements et des logiciels à jour sont utilisés pour analyser tous les courriels et les fichiers afin d'y détecter la présence de virus et d'autres logiciels malveillants.
- L'architecture du réseau a été modifiée, de manière à placer les serveurs clés derrière des coupe-feu afin de mieux protéger l'information de l'ACDI contre les attaques extérieures, et les postes de travail sont protégés contre l'accès direct à Internet.
- Les sites Web externes (Internet) sont filtrés, empêchant ainsi le personnel de l'ACDI d'accéder à des sites non réglementaires et malveillants.
- Des auto-évaluations ont été effectuées sur la base de la norme de Gestion de la sécurité de la TI (GSTI), afin d'établir les niveaux de conformité.
- La DGGIT a mis en oeuvre et raffiné le processus de bout en bout, qui comprend la gestion des versions et des changements, les examens de l'architecture, les environnements de préproduction et l'assurance de la qualité. Des liens sont établis avec les processus de sécurité de la TI, s'il y a lieu.
- Créer, approuver et mettre en oeuvre un cadre et un ensemble de politiques de sécurité de la GI/TI.
- Établir une gouvernance efficace de la sécurité de la GI/TI, y compris une stratégie de sécurité de la GI/TI qui assure une approche systématique en matière de gouvernance de la sécurité de la GI/TI, et qui est intégrée à la gouvernance et aux stratégies générales de GI/TI et de l'Agence.
- Définir clairement les rôles et responsabilités en matière de sécurité de la GI/TI, les communiquer dans l'ensemble de l'Agence, et évaluer le rendement de chaque rôle sur une base continue.
- Déterminer, définir, normaliser et classifier l'information en fonction de sa valeur, de sa sensibilité et de son importance.
- Atténuer les risques pour la sécurité de la GI/TI de manière rentable, et accepter officiellement les risques résiduels après la certification des mesures de sécurité de la GI/TI.
- Assurer la sécurité du réseau par l'adoption de mesures proposées dans le cadre des évaluations de la menace et des risques.
- Mettre en oeuvre et gérer des mesures et des contrôles de sécurité physique appropriés pour les serveurs, les ordinateurs, les périphériques et les appareils mobiles.
- Poursuivre la planification des catastrophes, de la continuité des opérations et de la reprise après sinistre
- Offrir des programmes de sensibilisation générale aux politiques et aux orientations en matière de sécurité de la GI/TI.
Conclusion de la vérification
Du chemin a été fait vers l'instauration et l'application de processus, de pratiques et de contrôles de sécurité de la GI/TI qui satisfont aux normes gouvernementales, mais il reste encore à élaborer un cadre et une structure de gouvernance de la sécurité de la GI/TI comprenant des mesures qui permettent de recenser l'information, de la gérer et de la protéger, et de promouvoir une culture de sensibilisation à la sécurité et de conformité aux normes de sécurité dans l'ensemble de l'Agence.
Énoncé d'assurance
À titre de dirigeant principal de la vérification, j'estime que les procédures de vérification suivies et les éléments de preuve recueillis sont suffisants et appropriés pour étayer l'opinion exprimée dans ce rapport. Cette opinion est fondée sur une comparaison des circonstances au moment de la vérification, et à partir des critères de vérification établis au préalable et approuvés par la direction. Elle ne s'applique qu'à l'objet de cette vérification. Les éléments de preuve ont été recueillis conformément à la politique, aux instructions et aux procédures de vérification interne du Conseil du Trésor, et ils sont suffisants pour corroborer les constatations et les conclusions contenues dans ce rapport de vérification interne.
Dirigeant de la vérification de l'ACDI
Annexe 1 - Critères de vérification
| Domaines COBIT et critères connexes | En grande partie satisfaits | Partiel-lement satisfaits | Non satisfaits |
|---|---|---|---|
|
1. Planifier et organiser
Définition de l'architecture de l'information
Gestion de la qualité Évaluation et gestion des risques relatifs à la TI |
■ ■ ■ |
||
|
2. Acquérir et mettre en oeuvre
Acquisition et maintenance des logiciels d'application
|
■ | ||
|
3. Fournir et soutenir
Prestation d'un service continu
Maintien de la sécurité des systèmes |
■ | ■ |
|
|
4. Surveiller et évaluer
Surveillance et évaluation du contrôle interne
Respect des exigences externes Prestation d'une gouvernance en TI |
■ ■ ■ |
Annexe 2 - Recommandations et plan d'action de la direction
| No. | Recommandations | Responsable | Mesures proposés | Date cible |
|---|---|---|---|---|
| 1. | L'agent de sécurité de l'Agence (ASA) devrait établir un cadre de sécurité de la GI/TI, assorti d'un ensemble complet de politiques, de directives et d'orientations, qui définirait et attribuerait les rôles et les responsabilités en matière de sécurité de la GI/TI, ainsi que les mesures de conformité respectant pleinement la norme de GSTI. | Agent de sécurité de l'Agence | L'ASA établira un cadre de sécurité de la TI qui guidera l'élaboration et la maintenance d'un programme de sécurité complet. L'ASA parachèvera les politiques qui ont déjà été élaborées et qui sont considérées essentielles pour l'Agence. Cela comprend une politique sur la sécurité de la TI, une politique d'utilisation acceptable, et d'autres normes et lignes directrices, comme une norme sur les mots de passe. D'autres politiques, directives et lignes directrices seront élaborées à mesure que le cadre est mis en oeuvre afin de tenir compte des questions en suspens, comme la classification et la protection de l'information. | 31 décembre 2009 |
| D'autres politiques, directives et lignes directrices seront élaborées au cours de l'exercice 2010-2011. | 31 mars 2011 | |||
| 2. |
L'ASA, avec l'appui de la haute direction de l'Agence, devrait soumettre, à l'examen et à l'approbation du Conseil de gestion, un cadre de gouvernance de la sécurité de la GI/TI pour assurer :
|
Agent de sécurité de l'Agence | L'ASA collaborera avec les Services de GI/TI pour proposer un cadre de gouvernance pour la sécurité de la GI/TI. La gouvernance définira clairement les rôles et les responsabilités, la reddition de comptes, et comportera un cadre de production de rapports pour le programme de sécurité. Le cadre de gouvernance proposé sera soumis à l'approbation du Conseil de gestion. | 31 janvier 2010 |
| 3. | La DGGIT devrait répartir les rôles et les responsabilités de façon à réduire la possibilité qu'une personne (ou que son remplaçant) puisse compromettre la sécurité d'un processus ou d'un actif d'information essentiel, ou modifier des données sans une surveillance et une supervision adéquates. | Dirigeant principal de l'information | Les processus actuels de gestion des changements assurent que tous les changements apportés aux applications et à l'infrastructure de TI sont autorisés et approuvés. | Terminé |
| Le système de gestion de la configuration Tripwire (en cours de mise en oeuvre) facilitera également le suivi des changements apportés aux systèmes. | 31 octobre 2009 | |||
| Les processus permettant d'examiner et/ou de révoquer les droits d'accès lors de changements de rôles au sein de la DGGIT seront révisés et assurés. | 31 décembre 2009 | |||
| Un système de registres centralisé où tous les registres seront copiés et stockés (en cours de mise en oeuvre) facilitera la vérification des registres de systèmes. | 30 novembre 2009 | |||
| L'utilisation de comptes d'administrateur génériques sera examinée, et des processus seront mis en place pour empêcher l'utilisation de tels comptes, lorsque ce sera possible. | 31 mars 2010 | |||
| L'accès privilégié aux comptes et leur utilisation seront gérés et surveillés au moyen d'un logiciel de gestion des mots de passe (Password Vaulting Appliance) en cours de mise en oeuvre). | 30 novembre 2009 | |||
| 4. | La DGGIT devrait créer - et faire connaître et respecter - un dictionnaire de données d'entreprise incorporant les règles de syntaxe des données de l'Agence, permettant le partage d'éléments de données par les applications et les systèmes, et favorisant la cohérence et la sécurité des données utilisées à des fins d'analyse, de prise de décisions et de production de rapports. | Dirigeant principal de l'information | Il existe une architecture de données de TI. Dans le cadre du processus de modernisation des opérations, qui se poursuivra au cours des quelques prochaines années, cette architecture et les processus et systèmes de gouvernance connexes seront appliqués au sein de l'Agence. | 31 mars 2011 |
| 5. | L'ASA devrait collaborer avec les gestionnaires des opérations pour instaurer et faire activement appliquer dans l'ensemble de l'Agence un système de classification de sécurité de l'information basé sur les exigences de la Politique sur la sécurité du gouvernement, en fonction du caractère essentiel et de la sensibilité des données. | Agent de sécurité de l'Agence | L'ASA collaborera avec le groupe de GI pour élaborer un système de classification de sécurité pour l'Agence. | 30 juin 2010 |
| 6. | La DGGIT devrait élaborer et mettre en oeuvre un cadre formel de gestion des risques de GI/TI allant dans le sens du cadre global de gestion des risques de l'Agence, et qui comprend l'identification des conséquences potentielles, des stratégies d'atténuation et des risques résiduels. | Dirigeant principal de l'information | Le programme de certification et d'accréditation qui a été mis en oeuvre comprend des évaluations de la menace et des risques, des autorisations d'exploitation provisoires et des évaluations des renseignements personnels. Des plans tenant compte des risques identifiés dans le cadre de ce programme sont élaborés et mis en oeuvre avec les responsables du processus opérationnel. Ceux-ci doivent accepter, au besoin, le risque résiduel. | Terminé |
| La DGGIT établira un registre de gestion des risques sur lequel reposera le cadre de gestion des risques de l'Agence. | 31 mars 2010 | |||
| 7. |
La DGGIT devrait élaborer un plan d'assurance de la qualité, lui affecter les ressources nécessaires et le mettre en oeuvre. Ce plan devrait comprendre :
|
Dirigeant principal de l'information | Il existe des environnements de préproduction et d'AQ au sein de l'Agence. La mise au point des processus et des procédures est en cours, ce qui permettra la maturation complète de l'environnement. | Terminé |
| Il existe des processus et des procédures d'essai. Des améliorations et des mises au point sont constamment apportées à ces processus. | Terminé | |||
| Le programme de certification et d'accréditation (PCA) permet de faire le suivi de l'exécution des ES, des EMR, etc., pour toutes les applications et solutions opérationnelles. | Terminé | |||
| Il faut dispenser une formation de base sur la sécurité aux développeurs d'applications. On explorera l'examen automatisé du code de développement pour en déterminer la faisabilité opérationnelle et financière. | 31 mars 2010 | |||
| 8. | La DGGIT devrait dresser l'inventaire des dispositifs portables et de leurs propriétaires, élaborer et mettre en oeuvre des normes de sécurité pour ces dispositifs (y compris les dispositifs personnels, comme les téléphones cellulaires et les assistants numériques (PDA), les clés USB ou les appareils BlackBerry dotés de fonctionnalités de photographie et/ou de stockage de données), et s'assurer que les utilisateurs ont été formés et sensibilisés à l'utilisation sûre et sécurisée de ces dispositifs. | Dirigeant principal de l'information | L'établissement d'un service permettant de contrôler et d'administrer centralement les ordinateurs portatifs et autres dispositifs portables sera proposé au Conseil de gestion de l'Agence. S'il est approuvé, il sera mis en oeuvre. | 31 mars 2010 |
| Il existe des mesures de sécurité pour les appareils BlackBerry (norme de mot de passe, filtrage Websense, chiffrement, verrouillage automatique, etc.). Les mises au point se poursuivent. Les autres dispositifs ANP (assistant numérique personnel) ne sont pas soutenus à l'Agence. | Terminé | |||
| Un inventaire des dispositifs USB protégés sera réalisé et géré par la DGGIT. Une directive sera émise pour informer les membres de l'Agence qu'ils doivent utiliser des dispositifs USB protégés. | 31 décembre 2009 | |||
| 9. | La DGGIT devrait réaliser périodiquement des tests de pénétration des réseaux, des applications et des équipements de l'ACDI, et tester les procédures de sauvegarde et de reprise des services de GI/TI. | Dirigeant principal de l'information | Des analyses systématiques de tous les éléments de serveurs, de postes de travail et d'infrastructure sont effectuées sur une base mensuelle. Les résultats sont analysés pour établir quelles sont les mesures nécessaires et les résultats sont rapportés à la haute direction de la DGGIT. | Terminé |
| Une demande de tests de pénétration a été adressée au Centre de la sécurité des télécommunications en 2007 (selon les priorités du CST). La DGGIT réalise des évaluations de la vulnérabilité sur une base régulière. | Terminé | |||
| Les tests des procédures actuelles de sauvegarde/reprise de l'infrastructure une fois que l'analyse des répercussions sur les opérations sera terminée. | 30 septembre 2010 | |||
| 10. | L'ASA devrait établir et tenir à jour un plan pour la prestation des services de GI/TI qui soutiennent les fonctions et les processus opérationnels essentiels identifiés dans le plan de continuité des opérations de l'Agence, y compris les équipements, les services, les applications, les bases de données et le personnel jugés nécessaires par les responsables de processus opérationnel, et ce, à l'intérieur des délais convenus à l'avance. | Agent de sécurité de l'Agence | L'ASA collaborera avec la DGGIT pour faire en sorte que les services de GI/TI qui soutiennent les activités quotidiennes soient inclus dans le Plan de continuité des opérations, qui sera soumis à l'approbation du Conseil de gestion. L'ASA s'engage aussi à examiner avec la DGGIT les résultats de la récente analyse des répercussions sur les opérations et à présenter à l'approbation de la direction des analyses d'impact sur les affaires et des options pour la reprise après sinistre. | 30 avril 2010 |
| 11. | L'ASA devrait instaurer un programme continu de communication et de formation, comprenant des mises à jour annuelles à l'intention du personnel, afin de décrire les politiques, les directives, les pratiques et les orientations des services de GI/TI, en mettant correctement l'accent sur les exigences gouvernementales en matière de sécurité et de protection des renseignements personnels. | Agent de sécurité de l'Agence | Sous réserve des contraintes budgétaires, l'ASA collaborera avec la Direction générale des communications pour identifier les activités de communications susceptibles de sensibiliser le personnel aux questions de sécurité de la GI/TI. En parallèle, l'ASA travaillera également en collaboration avec le Campus d'apprentissage continu pour proposer un programme rentable de sensibilisation/formation à la sécurité destiné aux employés de l'ACDI. Ce programme visera à informer les employés de leurs responsabilités en matière de sécurité de la TI (et à les leurs rappeler périodiquement) et des enjeux liés à cette question. Une proposition sera élaborée d'ici juin 2010. | 30 juin 2010 |
| Les activités de communications seront planifiées au cours de l'exercice 2010-2011. | 31 mars 2011 | |||
| 12. |
La DGGIT devrait instaurer des processus de signalement et de classification des problèmes identifiés dans le cadre de la gestion des incidents de sécurité de GI/TI et devrait aussi instaurer des pistes de vérification permettant de faire le suivi de tous les problèmes signalés, de les analyser et de déterminer quelles en sont les causes fondamentales, en tenant compte des éléments suivants :
|
Dirigeant principal de l'information | Les opérations de sécurité de la TI utilisent actuellement les lignes directrices et les procédures du Conseil du Trésor pour la gestion des incidents liés à la sécurité de la TI et les enquêtes connexes. De concert avec l'ASA, des procédures et des processus seront élaborés et documentés à l'intention des spécialistes participant à la gestion des incidents, aux processus d'enquête, à la gouvernance et au recrutement d'équipes. | 31 mars 2010 |
Formats de rechange
Note : Si vous ne pouvez accéder au format de rechange, veuillez visiter la page d'Aide.
Vérification de la sécurité de la GI/TI et processus, pratiques et contrôles connexes (PDF 251,9 Ko, 17 pages)