Examen de la sécurité des TI

Vérification Interne

378-1-275

9 mai 2012

Table des matières

RÉSUMÉ

Contexte

Le Plan de vérification interne 2011-2014 fondé sur le risque du Service correctionnel du Canada (SCC) indique que la sécurité de la TI est un domaine où il y a un risque modéré et exige la tenue d’une vérification de la sécurité de la technologie de l’information (TI) en 2011-2012. Cette vérification a pour but d’évaluer les capacités de sécurité de TI du SCC principalement dans les domaines touchant à la détection des incidents et les réactions aux incidents. Les objectifs de la vérification ont deux volets :

  • évaluer le caractère adéquat de l’approche actuelle du SCC pour veiller à la protection des systèmes, des données et des services de TI contre les menaces accidentelles ou délibérées à la confidentialité;
  • évaluer le caractère adéquat de l’approche du SCC pour réagir aux menaces accidentelles ou délibérées à la confidentialité, à l’intégrité ou à la disponibilité des systèmes, des données ou des services de TI.

Afin d’atteindre ces objectifs, l’équipe de vérification a embauché des consultants pour bénéficier de leur expertise en TI. L’équipe a passé en revue les documents, les politiques, les procédures et les registres. Elle a interrogé le personnel de TI du SCC et effectué des essais actifs basés sur des incidents notoires de sécurité auxquels le gouvernement du Canada a été exposé en 2010, y compris des essais sur la vulnérabilité et l’ingénierie sociale.

Vous trouverez un glossaire à l’Annexe D.

Conclusion

La vérification indique qu’en général, le SCC a un cadre de gestion de la sécurité des TI et des procédures et de la technologie permettant de détecter les incidents de sécurité de la TI et d’y réagir. Plus particulièrement :

  • les politiques et les procédures sont conformes aux politiques du Conseil du Trésor;
  • les investissements complets et fonctionnels en technologie ont été effectués en vue de la détection et de la prévention dans de nombreux domaines du réseau de TI du SCC;
  • les groupes de la sécurité et des opérations de la TI reconnaissent le besoin de posséder, d’établir et de suivre certaines pratiques de gestion du risque;
  • le SCC reçoit et produit des renseignements sur les vulnérabilités et les menaces.

Le présent rapport contient des recommandations visant l’amélioration de ces domaines. La haute direction a passé en revue et accepté les constatations énoncées dans le rapport et un plan d’action de la direction a été conçu afin de répondre aux recommandations (voir l’Annexe E).

ÉNONCÉ D'ASSURANCE

Le mandat a été réalisé avec un niveau modéré d’assurance.

Selon mon jugement professionnel en tant que chef de la vérification interne, les procédures de vérification appropriées et suffisantes ont été suivies, et les éléments de preuve recueillis appuient l’exactitude de l’opinion énoncée dans le présent rapport. L’opinion est fondée sur une comparaison des conditions, telles qu’elles existaient alors, avec les critères de vérification convenus par la direction. L’opinion formulée ne vaut que pour les questions examinées. Les données ont été compilées en conformité avec les politiques, les directives et les normes du Conseil du Trésor applicables à la vérification interne et avec les procédures utilisées pour satisfaire aux normes professionnelles de l’Institut des vérificateurs internes.


__________________________________  Date: __________________
Sylvie Soucy,
Dirigeante principale de la vérification

1.0 INTRODUCTION

Contexte

Selon le Plan de vérification interne 2011-2014 fondé sur le risque du SCC, la sécurité de la TI est un domaine modérément prioritaire en fait de vérification. Le Plan de vérification interne exige la tenue d’une vérification de la sécurité de la TI en 2011-2012 ayant pour objectifs de fournir une assurance raisonnable que les processus en place au SCC sont efficients, efficaces et conformes aux règles établies.

La Politique du Conseil du Trésor (CT) sur la sécurité du gouvernement stipule que « la sécurité du gouvernement, c’est l’assurance que l’information, les biens et les services ne sont pas compromis (…). La mesure dans laquelle le gouvernement peut assurer sa propre sécurité influe directement sur sa capacité de garantir que les services qui contribuent à la santé, à la sécurité et au mieux-être économique des Canadiennes et des Canadiens continuent d’être fournis. »1

La Norme opérationnelle de sécurité du CT : Gestion de la sécurité des technologies de l’information (GSTI) « définit les exigences sécuritaires de base que les ministères fédéraux doivent satisfaire pour assurer la sécurité de l’information et des biens de technologie de l’information (TI) placés sous leur contrôle. »2 Les exigences de base comprennent des questions telles que les politiques de sécurité de la TI, l’établissement des rôles et des responsabilités, la gestion des incidents et la gestion de la vulnérabilité. La GSTI indique que « la sécurité des TI fait partie intégrante de la prestation continue de programmes et de services. Pour éviter toute interruption de service ou de perte de confiance que pourrait causer une atteinte à la sécurité des TI, les ministères sont tenus de concevoir la sécurité des TI comme étant un impératif organisationnel et un outil de prestation de services. »3

De plus, selon la GSTI, « les technologies de l’information continuent à progresser rapidement dans le sens de l'accroissement de l’interconnectivité et de l’amélioration de la prestation des services. Simultanément, le nombre et la gravité éventuelle des menaces, des vulnérabilités et des incidents se multiplient. Les ministères doivent être conscients de l’évolution de l’environnement et comprendre comment gérer leurs programmes de sécurité des TI en conséquence. »4

Le GSTI précise qu’afin de protéger l’information et de garantir la prestation de services, les ministères doivent surveiller continuellement le rendement de leur système pour repérer rapidement :

  • les tentatives (réussies ou échouées) d’accès sans autorisation au système, ou celles de déjouer les mécanismes de sécurité;
  • les tentatives de sonder ou de balayer le système sans autorisation afin d’en déceler les vulnérabilités;
  • l’interruption non planifiée des systèmes ou des services;
  • les attaques par déni de service;
  • la modification non autorisée du matériel, de la microprogrammation et des logiciels du système;
  • les anomalies de fonctionnement du système et les signatures d’attaque connues.5
Contexte du SCC

Un glossaire se trouve à l’Annexe D.

L’environnement de sécurité de la TI a changé au SCC lorsque le gouvernement du Canada a annoncé la création de Services partagés Canada (SPC) le 4 août 2011. Cet organisme sera responsable de certaines activités de TI au SCC. Par conséquent, toutes les ressources associées aux services de courriels, de données et de réseau seront transférées au SPC, ce qui aura des conséquences importantes pour le SCC en ce qui a trait aux ressources humaines et aux finances. Cela aura aussi un impact sur la façon dont la sécurité de la TI sera gérée dans l’organisation.

Sécurité de la TI au SCC

Les Services de gestion de l’information (SGI) du SCC, dirigés par le dirigeant principal de l’information, qui relève du sous-commissaire principal, sont responsables de la gestion générale de l’information et du cadre des technologies de l’information. Les SGI comptent sept divisions, dont la Sécurité de la TI.

La division de la Sécurité de la TI au SCC, dirigée par un directeur de la Sécurité de la TI, supervise la sécurité des renseignements et des biens électroniques qui sont stockés, traités ou transmis par ordinateur et par système de télécommunication. La Sécurité de la TI se consacre à mettre en œuvre les exigences opérationnelles ainsi que les normes, les politiques et les procédures établies par le gouvernement du Canada au sujet de la sécurité de la technologie et à en assurer le respect.

2.0 OBJECTIFS ET PORTÉE DE LA VÉRIFICATION

2.1 Objectifs de la vérification

La vérification avait pour objectifs :

  • d’évaluer le caractère adéquat de l’approche actuelle du SCC pour veiller à la protection des systèmes, des données et des services de TI contre les menaces accidentelles ou délibérées à la confidentialité;
  • d’évaluer le caractère adéquat de l’approche du SCC pour réagir aux menaces accidentelles ou délibérées à la confidentialité, à l’intégrité ou à la disponibilité des systèmes, des données ou des services de TI

Les critères spécifiques liés à chacun des objectifs figurent à l'Annexe A.

2.2 Portée de la vérification

La vérification a une portée nationale et les essais comprennent l’infrastructure commune de réseau, les portails internet et les utilisateurs des régions. Elle porte sur l’infrastructure de la TI, en particulier sur l’environnement de réseau du SCC et comprend l’examen des contrôles relatifs à la détection des incidents et aux éléments de réponse, à la vérification de la qualité pour vérifier les capacités de détection des incidents techniques, et a cherché l’existence de gouvernance et de pratiques opérationnelles dans le domaine de la réponse aux incidents ainsi que la conformité à celles-ci.

Aux fins de la présente évaluation, l’examen de la détection des incidents et des réponses aux incidents est compris dans les éléments suivants : gouvernance de la sécurité de la TI, activités de TI au SCC et capacités techniques du SCC en sécurité de la TI.

La vérification ne comprend pas les applications et les services du SCC (comme le Système de gestion des délinquant(e)s, la messagerie, le Système de gestion des ressources humaines). Elle porte principalement sur la capacité générale du SCC de détecter les menaces intentionnelles ou accidentelles l’intégrité de l’infrastructure de ses systèmes de TI et d’y réagir.

L’étape d’examen de la vérification devait commencer en janvier 2012 et se terminer en févrie 2012.

3.0 APPROCHE ET MÉTHODOLOGIE DE VÉRIFICATION

L’approche adoptée lors de la présente vérification comprend un ensemble d’entrevues avec le personnel de la division de la Sécurité de la TI du SCC et des activités de TI du SPC, des examens de la documentation, des revues et des essais détaillés des systèmes.

La section 1210.A1 du Cadre de référence des pratiques professionnelles de l’Institut des vérificateurs internes (IVI) indique que le dirigeant principal de la vérification doit obtenir les conseils et l’aide de personnes compétentes, si le personnel de vérification interne ne possède pas la connaissance, le savoir-faire et les autres compétences nécessaires à l’exécution d’une partie ou de la totalité de la mission.6 En raison des connaissances techniques requises pour procéder à la vérification complète de la Sécurité de la TI et pour veiller à ce qu’elle soit effectuée avec compétence et professionnalisme, le groupe de vérification interne a communiqué avec des consultants externes afin d’effectuer la vérification en son nom.


1 Politique du Conseil du Trésor sur la sécurité du gouvernement, partie 3.1,
http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=16578&section=text

2 Norme opérationnelle de sécurité du Conseil du Trésor : GSTI partie 1
http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12328&section=text

3 Norme opérationnelle de sécurité du Conseil du Trésor : GSTI partie 4,
http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12328&section=text

4 Norme opérationnelle de sécurité du Conseil du Trésor : GSTI partie 4,
http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12328&section=text

5 Norme opérationnelle de sécurité du Conseil du Trésor : GSTI partie 17,
http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12328&section=text

6 Cadre de référence des pratiques professionnelles de l’Institut des vérificateurs internes, partie 1210