Sécurité des TI

Table des matières

Résumé

Introduction

La vérification interne de la sécurité des technologies de l'information (TI) s'inscrit dans le cadre du Plan annuel de vérification interne fondée sur les risques pour 2010-2011, approuvé par le conseil d'administration (CA) des Instituts de recherche en santé du Canada (IRSC).

Les Instituts de recherche en santé du Canada

Les Instituts de recherche en santé du Canada sont l'organisme gouvernemental responsable du financement de la recherche en santé au Canada. Les IRSC ont été créés en 2000 en vertu de la Loi sur les Instituts de recherche en santé du Canada et relèvent du Parlement par l'entremise de la ministre de la Santé. Le mandat des IRSC est « d'exceller, selon les normes internationales reconnues d'excellence scientifique, dans la création de nouvelles connaissances et leur application en vue d'améliorer la santé de la population canadienne, d'offrir de meilleurs produits et services de santé, et de renforcer le système de santé au Canada » . Les IRSC se composent de 13 instituts virtuels chacun étant dirigé par un directeur scientifique appuyé par le conseil consultatif de l'institut qui rassemblent tous les partenaires dans le processus de recherche – à savoir ceux qui subventionnent la recherche, ceux qui la réalisent et ceux qui en utilisent les résultats – pour échanger des idées et se concentrer sur les besoins des Canadiens : une bonne santé et les moyens de prévenir et de combattre les maladies. Chaque institut appuie un large éventail de recherches dans des domaines qui lui sont propres et, en consultation avec ses intervenants, établit les priorités de recherche dans ces domaines. Les IRSC financent près de 13 000 chercheurs et stagiaires dans des universités, des hôpitaux universitaires et d'autres organismes de santé et centres de recherche partout au Canada.

Sécurité des TI

La politique du gouvernement en matière de sécurité et la norme opérationnelle sur la gestion de la sécurité des technologies de l'information (GSTI) exigent des ministères et organismes qu'ils protègent l'information tout au long de son cycle de vie. La sécurité des TI, c'est la garantie de la confidentialité, de l'intégrité et de la disponibilité des renseignements conservés, traités et transmis par voie électronique.

Les observations formulées dans ces rapports ont guidé la planification de la présente vérification et, en date de la présente, la direction a affirmé que tous les problèmes signalés dans ces rapports ont été résolus. Le directeur, Opérations et surveillance financières, a entrepris le Projet sur la structure des contrôles internes qui a révélé plusieurs faits pertinents par rapport à la sécurité des TI. Ces questions ont été incluses dans la portée de la présente vérification.

Risques examinés pendant la vérification

La vérification vise à déterminer si le cadre de sécurité des TI garantit la confidentialité, l'intégrité et la disponibilité des renseignements conservés, traités et transmis par voie électronique aux IRSC. Ce risque s'inscrit dans l'élément « gérance » – « Le régime de contrôle ministériel (actif, fonds, effectifs, services, etc.) est intégré et efficace, et tous les employés comprennent bien ses principes sous-jacents » et dans l'élément « gestion des risques » du Cadre de responsabilisation de gestion du Conseil du Trésor – « L'équipe de la haute direction définit clairement le contexte ministériel et les pratiques de gestion proactive des risques organisationnels et stratégiques. »

Objectif de la vérification

La vérification vise à fournir une assurance raisonnable que toutes les mesures qui garantissent la confidentialité, l'intégrité et la disponibilité des renseignements conservés, traités, et transmis par voie électronique aux IRSC sont adéquates et efficaces.

Portée

La vérification comprend l'organisation et l'administration de la sécurité des TI et de la sécurité du personnel, des communications et des opérations ainsi que de la sécurité physique, matérielle et logicielle liée aux TI.

Critères

Les critères utilisés pour évaluer les objectifs de la vérification découlent des politiques du Conseil du Trésor suivantes : Politique sur la sécurité du gouvernement, Politique sur la gestion des technologies de l'information, Directive sur la gestion des technologies de l'information, Norme opérationnelle sur la sécurité matérielle, Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (PCA), Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI), Norme de sécurité relative à l'organisation et l'administration, Sécurité des technologies de l'information - guide de vérification, ainsi que des Objectifs de contrôle de l'information et des technologies connexes (COBIT) de l'Association des professionnels de la vérification et du contrôle des systèmes d'information (APVCSI), du Guide de la GRC sur la Protection matérielle des serveurs informatiques, et des guides du Centre de la sécurité des télécommunications Canada : Exigences de base en matière de sécurité pour les zones de sécurité de réseau au sein du gouvernement du Canada [ PDF (1.72 Mo) - lien externe ], et Écrasement et déclassification des supports d'information électroniques [ PDF (1.52 Mo) - lien externe ].

Opinion générale des vérificateurs

Les vérificateurs ont conclu que la sécurité des TI aux IRSC présente des problèmes modérés, car des faiblesses liées à certains contrôles ont été relevées, mais l'exposition est limitée en raison de la faible probabilité ou incidence du risque et parce que la direction a admis l'existence des faiblesses et a pris des mesures pour les pallier.

Énoncé d'assurance

La vérification de la sécurité des TI a été effectuée conformément à la Politique sur la vérification interne et aux normes professionnelles connexes du gouvernement du Canada. J'estime, en ma qualité de dirigeant principal de la vérification, que le nombre et la pertinence des procédures de vérification suivies et des éléments probants recueillis attestent l'exactitude de l'opinion exprimée dans le présent rapport. L'opinion émise s'appuie sur une comparaison des conditions qui existaient au moment de la vérification et des critères de vérification convenus avec la direction.

Résumé des points forts des contrôles internes

Voici les principaux éléments de sécurité des TI qui ont été mis en oeuvre :

Résumé des points faibles des contrôles internes

Les éléments de sécurité des TI suivants n'ont pas été mis en oeuvre :

Les vérificateurs remercient les employés et la direction pour leur coopération sans réserve dans la réalisation de cette vérification.

Martin Rubenstein

Dirigeant principal de la vérification
Instituts de recherche en santé du Canada

La direction souscrit aux conclusions de la présente vérification.

Evie Gray
Dirigeante principale de l'information

Rapport détaillé

Méthodologie et critères

L'évaluation de la sécurité des TI aux IRSC a été effectuée au moyen d'entrevues avec la direction et le personnel, d'une revue de la documentation, et d'analyses des contrôles par rapport aux critères de vérification. Les contrôles sont réputés adéquats lorsqu'ils sont suffisants pour réduire au minimum les risques de ne pas atteindre les objectifs.

Les critères utilisés pour évaluer les objectifs de la vérification découlent des politiques du Conseil du Trésor suivantes : Politique sur la sécurité du gouvernement, Politique sur la gestion des technologies de l'information, Directive sur la gestion des technologies de l'information, Norme opérationnelle sur la sécurité matérielle, Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (PCA), Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI), Norme de sécurité relative à l'organisation et l'administration, Sécurité des technologies de l'information - guide de vérification, ainsi que des Objectifs de contrôle de l'information et des technologies connexes (COBIT®) de l'Association des professionnels de la vérification et du contrôle des systèmes d'information (APVCSI), du Guide de la GRC sur la Protection matérielle des serveurs informatiques, et des guides du Centre de la sécurité des télécommunications Canada : Exigences de base en matière de sécurité pour les zones de sécurité de réseau au sein du gouvernement du Canada [ PDF (1.72 Mo) - lien externe ], et Écrasement et déclassification des supports d'information électroniques [ PDF (1.52 Mo) - lien externe ].

La vérification s'est déroulée entre les mois d'août 2010 et mai 2011.

Observations, recommandations et plan d'action de la direction

Le tableau suivant présente les observations et les recommandations issues de la vérification, ainsi que le plan d'action de la direction visant à combler les lacunes de la sécurité des TI aux IRSC.

Observation Recommandation Plan d'action de la direction
1. Le réseau des IRSC n'a pas été certifié depuis 2006.

La certification originale du réseau a été obtenue en 2006, au moyen d'une évaluation complète des menaces et des risques (EMR), et elle n'a pas été renouvelée depuis.

De plus, la sécurité physique des IRSC, qui vise la protection des actifs liés aux TI, n'a pas fait l'objet d'un examen depuis 2007.

Les évaluations de la sécurité de nouveaux systèmes ne comprennent pas toujours un examen officiel des modifications ou des répercussions éventuelles touchant le réseau ou d'autres systèmes.

Risque et répercussions
Le défaut de mettre à jour la certification du système peut rendre désuètes les hypothèses émises lors de l'évaluation de sécurité initiale du système.

1.1 Le réseau devrait faire régulièrement l'objet d'examens au moyen d'une EMR officielle.

1.2 Dans le cadre du déploiement de tout nouveau système, le réseau devrait être vérifié pour déterminer si le système entraîne des ajouts, des suppressions ou des modifications aux risques de sécurité préexistants.

Responsabilité

Mesure

1.1 L'EMR du réseau sera réalisée au cours de l'exercice 2012-2013.

Date d'achèvement prévue : mars 2013

1.2 Le modèle d'évaluation de la sécurité sera mis à jour pour ajouter une section dédiée à la détermination des répercussions sur le réseau ou sur d'autres systèmes.

Date d'achèvement prévue : mars 2012
2. Les employés reçoivent une formation limitée sur la sécurité des TI dans le cadre de leur orientation ou de façon continue.

La formation des employés sur la sécurité des TI comprend un examen obligatoire de l'entente d'acceptation du titulaire du compte dans le cadre de leur orientation, des comptes rendus occasionnels sur des sujets précis de la sécurité et des activités à participation facultative à l'occasion de la Semaine de la sensibilisation à la sécurité. L'entente :

  • n'a pas été mise à jour depuis plusieurs années;
  • contient diverses inexactitudes;
  • ne précise pas les risques de sécurité liés aux TI;
  • ne sensibilise pas les utilisateurs aux risques que pose l'accès à distance des IRSC.

Enfin, malgré le grand nombre de postes aux SGITA dotés d'un compte d'administrateur, de responsabilités en matière de sécurité et d'un accès à la salle de serveurs, aucune formation précise n'est requise pour ces postes sur le plan de la sécurité.

Risque et répercussions
Le fait de ne pas former les employés afin qu'ils puissent déceler les menaces à leur matériel ou les personnes malveillantes pourrait favoriser l'introduction de risques dans l'environnement.

2.1 L'entente d'acceptation du titulaire du compte devrait être mise à jour pour inclure les risques liés à la sécurité des TI les plus courants et les responsabilités des employés.

2.2 [révisé pour des raisons de sécurité]

2.3 [révisé pour des raisons de sécurité]

2.4 Les employés possédant un compte d'administrateur ou ayant accès à la salle de serveurs devraient recevoir une formation en sécurité expliquant précisément les risques associés à leurs droits d'accès accrus.

Responsabilité

Mesure

2.1 L'entente d'acceptation du titulaire du compte sera mise à jour pour inclure les politiques actuelles.

Date d'achèvement prévue : mars 2012

2.2 Le CSTI travaillera avec les RH en vue d'inclure des renseignements sur la sensibilisation à la sécurité dans la trousse d'information distribuée lors de l'orientation des employés.

Date d'achèvement prévue : mars 2013

[révisé pour des raisons de sécurité]

2.3 Un document décrivant les conditions d'utilisation des appareils Blackberry sera élaboré conjointement par le CSTI et l'équipe de GI/TI.

Date d'achèvement prévue : juin 2012

2.4 [révisé pour des raisons de sécurité]

Le CSTI préparera une version provisoire de l'entente d'acceptation du titulaire de compte avec privilège, en précisant les responsabilités et les risques liés à ces comptes, y compris l'accès physique au matériel.

Date d'achèvement prévue : mars 2013
3. Aucun processus officiel n'est en place pour assurer la mise en oeuvre ou le suivi des recommandations formulées dans les EMR, les évaluations de la vulnérabilité (EV) ou les évaluations des facteurs relatifs à la vie privée (EFRVP).

Aucun processus officiel n'est en place pour mettre en œuvre les recommandations formulées dans les EMR, les EV ou EFRVP.

Risque et répercussions
Le déploiement ou la mise en œuvre de systèmes sans tenir compte des vulnérabilités pourrait mettre en péril la confidentialité, l'intégrité et la disponibilité des renseignements et des produits d'information des IRSC.

3.1 Un processus officiel devrait être conçu et mis en œuvre afin de donner suite aux recommandations mentionnées dans les EMR, les EV ou les EFRVP.

3.2 Les recommandations devraient faire l'objet d'un suivi régulier visant à vérifier que les mesures appropriées ont été prises, et le suivi devrait se poursuivre jusqu'au moment où tous les éléments en suspens auront été abordés. Le processus de suivi devrait s'appliquer aux recommandations formulées dans des documents en lien avec la sécurité.

Responsabilité

Mesure

3.1 Le processus de certification et d'accréditation sera examiné et clarifié afin que les recommandations tirées des documents sur la gestion des risques soient abordées et que tout risque résiduel soit accepté par l'instance d'accréditation. Cette mesure sera prise une fois que le SCT aura diffusé le document ITSG-33, qui définit la nouvelle norme applicable à ces processus.

Date d'achèvement prévue : Selon la date de diffusion du ITSG-33 (actuellement prévue pour avril 2012)

3.2 Un inventaire des recommandations contenues dans les documents liés à la sécurité sera dressé et géré par le CSTI. Cet inventaire permettra d'effectuer le suivi des recommandations, du plan d'action et de l'état d'avancement de ces mesures. Les mesures seront coordonnées à toute autre activité liée aux TI dans le cadre du processus de gestion du changement touchant les TI.

Date d'achèvement prévue : décembre 2012

4. [révisé pour des raisons de sécurité]

[révisé pour des raisons de sécurité]

[révisé pour des raisons de sécurité]

[révisé pour des raisons de sécurité]

5. [révisé pour des raisons de sécurité]

[révisé pour des raisons de sécurité]

[révisé pour des raisons de sécurité]

[révisé pour des raisons de sécurité]

6. Les critères utilisés pour déterminer s'il faut rattacher à un poste des droits d'accès en tant qu'administrateur ne sont pas clairs.

On connaît mal les critères utilisés pour déterminer quels postes sont dotés d'un compte d'administrateur.

[révisé pour des raisons de sécurité]

Risque et répercussions
Les droits d'accès rattachés à un compte d'administrateur permettent aux titulaires de ces comptes de supprimer ou de modifier des renseignements et des biens de TI, ainsi que de retirer des dossiers de leurs activités. [révisé pour des raisons de sécurité]

6.1 Il faut établir des critères pour déterminer quels postes nécessitent des droits d'administrateur. [révisé pour des raisons de sécurité]

Responsabilité

Mesure

6.1 [révisé pour des raisons de sécurité]

Le CSTI préparera une version provisoire de l'entente d'acceptation du titulaire de compte avec privilège, en précisant les responsabilités et les risques liés aux comptes d'administrateur, y compris l'accès physique au matériel.

Date d'achèvement prévue : mars 2013
7. Le plan de continuité des opérations (PCO) des IRSC n'a pas été testé.

Le PCO a été approuvé en octobre 2011, mais n'a pas encore été testé.

Risque et répercussions
Sans un PCO adéquatement testé, les IRSC pourraient se trouver dans l'impossibilité de fonctionner dans l'éventualité où surviendrait une réelle catastrophe. Un PCO qui n'est pas tenu à jour ne peut évoluer en fonction des changements au mandat ou aux priorités stratégiques ou opérationnelles des IRSC, ni ne permet l'ajout de nouveaux systèmes essentiels.

7.1 Le PCO des IRSC devra être testé et mis à jour régulièrement.

Responsabilité : Agent de sécurité de l'organisme

Mesure

7.1 L'agent de sécurité de l'organisme (ASO) sera tenu d'assurer que les mises à jour du PCO sont effectuées au besoin. La mise à l'essai du PCO sera prévue au calendrier tous les deux ans.

Date d'achèvement prévue : Les tests débuteront au cours de l'exercice 2012-2013.
8. Le processus d'examen des DP n'exige pas du CSTI qu'il fournisse des commentaires ou observations.

Selon son profil de rôle, le CSTI est tenu d'examiner des ententes de marchés éventuelles avec des tiers pouvant avoir des répercussions liées à la sécurité des TI; cependant, aucune procédure ou pratique n'est en place afin de faciliter une telle démarche. La liste de vérification des exigences relatives à la sécurité (LVERS) publiée par le SCT comprend un volet sur la sécurité des TI; si cette liste de vérification était obligatoire, on s'assurerait qu'un examen de la sécurité des TI est mené pour l'ensemble des DP.

Risque et répercussions
Le fait que le CSTI n'examine pas les marchés conclus avec des tiers afin de déterminer tout problème en lien avec la sécurité des TI pourrait exposer l'organisation à un risque indu.

8.1 Le processus de passation des marchés devrait comprendre une procédure officielle d'examen des parties des marchés qui ont des répercussions du point de vue de la sécurité des TI et, le cas échéant, de transmission de tout document pertinent au CSTI aux fins d'examen et de recommandation.

8.2. Les politiques en matière de passation des marchés et de sécurité des TI devraient être modifiées pour tenir compte des responsabilités du CSTI en ce qui a trait au processus de passation des marchés.

Responsabilité : Agent de sécurité de l'organisme

Mesure

8.1 L'équipe de la sécurité et l'unité de l'approvisionnement définiront un processus exigeant l'utilisation d'une liste de vérification des exigences relatives à la sécurité (LVERS) au moment de préparer des documents concernant l'approvisionnement. Cette LVERS sera examinée par l'équipe de la sécurité, qui évaluera les exigences en matière de sécurité applicables au contrat. Toute LVERS concernant les TI sera examinée par le CSTI dans le but de recommander des mesures.

Date d'achèvement prévue : septembre 2012

Responsabilité : Gestionnaire de l'approvisionnement

Mesure

8.2. Les procédures relatives à la passation des marchés seront modifiées pour tenir compte des responsabilités du CSTI en ce qui a trait au processus de passation des marchés.

9. La norme concernant les appareils mobiles ne contient pas une description des pratiques courantes.

[révisé pour des raisons de sécurité]

Risque et répercussions
La norme actuelle interdit et prescrit certaines activités qui ne correspondent pas aux pratiques courantes, ce qui peut créer de la confusion chez les employés, les gestionnaires et le personnel du service de dépannage.

9.1 Les SGITA devraient réviser les normes concernant les appareils mobiles afin qu'elles reflètent les utilisations actuelles et acceptables et des pratiques exemplaires relatives à la sécurité des TI.

Responsabilité :

Mesure

9.1 Les SGITA examineront la norme concernant les appareils mobiles et la modifieront en conséquence.

Date d'achèvement prévue : mars 2013
Date de modification :