23 octobre 2012 par Jacques N. Godbout - 45enord.ca
Le chapitre trois du rapport de l’automne 2012 du vérificateur général du Canada, Michael Ferguson, déposé le 23 octobre, presse le gouvernement d’agir sans tarder pour assurer la cybersécurité des Canadiens.
Ce rapport comporte 7 chapitres :
- Chapitre 1 — Planifier le recours aux contrats de services professionnels
- Chapitre 2 — Les réformes des programmes de subventions et de contributions
- Chapitre 3 — Protéger l’infrastructure canadienne essentielle contre les cybermenaces
- Chapitre 4 — La transition à la vie civile des militaires malades ou blessés
- Chapitre 5 — Les biens immobiliers — Défense nationale
- Chapitre 6 — Les paiements de transfert au secteur aérospatial — Industrie Canada
- Chapitre 7 — La viabilité à long terme des finances publiques — Finances Canada
Au chapitre 3, Michael Ferguson y critique le gouvernement canadien qui «tarde» à assumer son rôle pour répondre adéquatement aux cybermenaces malgré la menace croissante des attaques informatiques sur les systèmes canadiens,
Le rapport révèle aussi des lacunes dans la gestion de ces risques, aussi bien dans le stockage des données sensibles que dans la surveillance d’éventuels pirates prêts à passer à l’action.
Des attaques dont des organismes gouvernementaux ont été victimes en janvier 2011 ont révélé au grand jour la faiblesse du canada en matière de cybersécurité, dit le rapport. Les terroristes, organisations criminelles ou États étrangers peuvent pénétrer les systèmes – électriques, bancaires, téléphoniques, gouvernementaux pour voler de l’information ou, même , détruire les systèmes, dit le rapport.
Le rapport formule quatre recommandations en matière de sécurité qui ont, d’ailleurs, été toutes acceptées par le gouvernement fédéral.
1-Le rapport recommande d’établir un plan d’action interministériel, prévoyant des produits à livrer et des échéanciers, afin d’orienter la mise en œuvre de la Stratégie de cybersécurité du Canada (2010) et de mesurer les progrès accomplis.
Sécurité publique Canada émettra donc un plan d’action interministériel.
2- Le rapport recommande de s’assurer que tous les réseaux sectoriels sont pleinement établis et fonctionnent comme le prévoient la stratégie nationale et le plan d’action sur les infrastructures essentielles, afin qu’ils deviennent un outil efficace pour protéger l’infrastructure essentielle et atteindre les objectifs de la Stratégie de cybersécurité du Canada
Le ministère de la Sécurité publique continuera donc de collaborer avec les ministères et les organismes fédéraux responsables pour renforcer les réseaux sectoriels, échanger de l’information avec les intervenants du secteur (y compris l’information sur les cybermenaces) et fournir des outils en appui aux efforts de gestion des risques déployés par chaque secteur. Reconnaissant que chaque secteur est unique et que la représentation ne devrait pas être uniforme dans l’ensemble des secteurs des infrastructures essentielles, Sécurité publique Canada offrira aux ministères et aux organismes fédéraux responsables des conseils sur la couverture appropriée des réseaux sectoriels d’ici décembre 2013,précise le rapport.
3- Sécurité publique Canada, recommande aussi le rapport, devrait renforcer la capacité du Centre canadien de réponse aux incidents cybernétiques à maintenir une connaissance de la situation relative aux cybermenaces qui pèsent contre l’infrastructure essentielle du Canada et à communiquer cette information aux propriétaires et aux exploitants d’éléments de l’infrastructure essentielle.
Pour accroître le soutien offert aux infrastructures essentielles et à d’autres partenaires, le gouvernement canadien augmentera donc la capacité opérationnelle et autres capacités du CCRIC, renforcera les politiques et les processus du Centre, et améliorera ses partenariats de partage d’information.
4- Finalement, le rapport du vérificateur général recommande que le Secrétariat du Conseil du Trésor du Canada, en collaboration avec Services partagés Canada, mette à jour les politiques et les plans pertinents pour qu’ils tiennent compte des nouveaux rôles et responsabilités qu’assume SPC en matière de sécurité des TI.
Cette mesure est déjà en voie d’être réalisée. Le Secrétariat du Conseil du Trésor du Canada a révisé le Plan de gestion des incidents en matière de technologie de l’information (TI) du gouvernement du Canada, qui définit les rôles et les responsabilités de Services partagés Canada (SPC) quant à la gestion des incidents. Le Plan a été approuvé par le dirigeant principal de l’information (DPI) du Canada en mai 2012. Le Secrétariat a entrepris la mise à jour de la Politique sur la sécurité du gouvernement et la politique révisée devrait être publiée en 2013.
Le directeur du SCRS, le Service canadien du renseignement de sécurité, Richard Fadden, dans son rapport public 2010-2011 déposé le jeudi 20 septembre au Parlement canadien, avait lui aussi insisté sur les cybermenaces. «Pour ce qui est du terrorisme,» avait-il déclaré, « Internet permet aux extrémistes de créer des communautés virtuelles. Les terroristes n’ont plus à assurer la sécurité de leur repaire, car ils peuvent discuter des méthodes à employer depuis leur petit appartement. »
À noter que les 30 et 31 octobre, Ottawa accueillera la convention SecureTech 2012.
/fdata%2F4220908%2Favatar-blog-1207340840-tmpphpbvDubc.jpeg){kind=avatar}
