Sécurité des TI
Table des matières
- Résumé
- Introduction
- Les Instituts de recherche en santé du Canada
- Sécurité des TI
- Risques examinés pendant la vérification
- Objectif de la vérification
- Portée
- Critères
- Opinion générale des vérificateurs
- Énoncé d'assurance
- Résumé des points forts des contrôles internes
- Résumé des points faibles des contrôles internes
- Rapport détaillé
Résumé
Introduction
La vérification interne de la sécurité des technologies de l'information (TI) s'inscrit dans le cadre du Plan annuel de vérification interne fondée sur les risques pour 2010-2011, approuvé par le conseil d'administration (CA) des Instituts de recherche en santé du Canada (IRSC).
Les Instituts de recherche en santé du Canada
Les Instituts de recherche en santé du Canada sont l'organisme gouvernemental responsable du financement de la recherche en santé au Canada. Les IRSC ont été créés en 2000 en vertu de la Loi sur les Instituts de recherche en santé du Canada et relèvent du Parlement par l'entremise de la ministre de la Santé. Le mandat des IRSC est « d'exceller, selon les normes internationales reconnues d'excellence scientifique, dans la création de nouvelles connaissances et leur application en vue d'améliorer la santé de la population canadienne, d'offrir de meilleurs produits et services de santé, et de renforcer le système de santé au Canada » . Les IRSC se composent de 13 instituts virtuels – chacun étant dirigé par un directeur scientifique appuyé par le conseil consultatif de l'institut – qui rassemblent tous les partenaires dans le processus de recherche – à savoir ceux qui subventionnent la recherche, ceux qui la réalisent et ceux qui en utilisent les résultats – pour échanger des idées et se concentrer sur les besoins des Canadiens : une bonne santé et les moyens de prévenir et de combattre les maladies. Chaque institut appuie un large éventail de recherches dans des domaines qui lui sont propres et, en consultation avec ses intervenants, établit les priorités de recherche dans ces domaines. Les IRSC financent près de 13 000 chercheurs et stagiaires dans des universités, des hôpitaux universitaires et d'autres organismes de santé et centres de recherche partout au Canada.
Sécurité des TI
La politique du gouvernement en matière de sécurité et la norme opérationnelle sur la gestion de la sécurité des technologies de l'information (GSTI) exigent des ministères et organismes qu'ils protègent l'information tout au long de son cycle de vie. La sécurité des TI, c'est la garantie de la confidentialité, de l'intégrité et de la disponibilité des renseignements conservés, traités et transmis par voie électronique.
Les observations formulées dans ces rapports ont guidé la planification de la présente vérification et, en date de la présente, la direction a affirmé que tous les problèmes signalés dans ces rapports ont été résolus. Le directeur, Opérations et surveillance financières, a entrepris le Projet sur la structure des contrôles internes qui a révélé plusieurs faits pertinents par rapport à la sécurité des TI. Ces questions ont été incluses dans la portée de la présente vérification.
Risques examinés pendant la vérification
La vérification vise à déterminer si le cadre de sécurité des TI garantit la confidentialité, l'intégrité et la disponibilité des renseignements conservés, traités et transmis par voie électronique aux IRSC. Ce risque s'inscrit dans l'élément « gérance » – « Le régime de contrôle ministériel (actif, fonds, effectifs, services, etc.) est intégré et efficace, et tous les employés comprennent bien ses principes sous-jacents » – et dans l'élément « gestion des risques » du Cadre de responsabilisation de gestion du Conseil du Trésor – « L'équipe de la haute direction définit clairement le contexte ministériel et les pratiques de gestion proactive des risques organisationnels et stratégiques. »
Objectif de la vérification
La vérification vise à fournir une assurance raisonnable que toutes les mesures qui garantissent la confidentialité, l'intégrité et la disponibilité des renseignements conservés, traités, et transmis par voie électronique aux IRSC sont adéquates et efficaces.
Portée
La vérification comprend l'organisation et l'administration de la sécurité des TI et de la sécurité du personnel, des communications et des opérations ainsi que de la sécurité physique, matérielle et logicielle liée aux TI.
Critères
Les critères utilisés pour évaluer les objectifs de la vérification découlent des politiques du Conseil du Trésor suivantes : Politique sur la sécurité du gouvernement, Politique sur la gestion des technologies de l'information, Directive sur la gestion des technologies de l'information, Norme opérationnelle sur la sécurité matérielle, Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (PCA), Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI), Norme de sécurité relative à l'organisation et l'administration, Sécurité des technologies de l'information - guide de vérification, ainsi que des Objectifs de contrôle de l'information et des technologies connexes (COBIT) de l'Association des professionnels de la vérification et du contrôle des systèmes d'information (APVCSI), du Guide de la GRC sur la Protection matérielle des serveurs informatiques, et des guides du Centre de la sécurité des télécommunications Canada : Exigences de base en matière de sécurité pour les zones de sécurité de réseau au sein du gouvernement du Canada [ PDF (1.72 Mo) - lien externe ], et Écrasement et déclassification des supports d'information électroniques [ PDF (1.52 Mo) - lien externe ].
Opinion générale des vérificateurs
Les vérificateurs ont conclu que la sécurité des TI aux IRSC présente des problèmes modérés, car des faiblesses liées à certains contrôles ont été relevées, mais l'exposition est limitée en raison de la faible probabilité ou incidence du risque et parce que la direction a admis l'existence des faiblesses et a pris des mesures pour les pallier.
Énoncé d'assurance
La vérification de la sécurité des TI a été effectuée conformément à la Politique sur la vérification interne et aux normes professionnelles connexes du gouvernement du Canada. J'estime, en ma qualité de dirigeant principal de la vérification, que le nombre et la pertinence des procédures de vérification suivies et des éléments probants recueillis attestent l'exactitude de l'opinion exprimée dans le présent rapport. L'opinion émise s'appuie sur une comparaison des conditions qui existaient au moment de la vérification et des critères de vérification convenus avec la direction.
Résumé des points forts des contrôles internes
Voici les principaux éléments de sécurité des TI qui ont été mis en oeuvre :
- un coordonnateur de la sécurité des TI (CSTI) a été nommé avec le mandat de gérer un programme de sécurité des TI à l'échelle de l'organisme et des responsabilités et activités précises, et fait office de personne-ressource principale en matière de sécurité des TI aux IRSC;
- il existe des politiques, procédures et/ou pratiques qui régissent la sécurité des TI, l'approbation des autorisations de sécurité, la distribution des ressources des TI, la gestion des incidents, le développement et la modification de systèmes, les versions standard des systèmes, et la correction des systèmes Windows;
- de nombreux systèmes vitaux des TI [révisé pour des raisons de sécurité] ont fait l'objet d'une évaluation des menaces et risques, et ces évaluations permettent de classifier l'information et le système pour établir les exigences relatives à une manipulation et à des autorisations de sécurité adéquates;
- l'approbation d'un plan de continuité des opérations, élaboré conjointement par le coordonnateur de la planification de la continuité des opérations et par le CSTI;
- une formation de base sur la sécurité des TI est offerte dans le cadre de l'orientation des employés;
- il existe un service d'assistance centralisé qui assure officiellement le suivi et la gestion des problèmes et incidents des TI, et ses activités sont intégrées à celles du personnel chargé de l'administration des réseaux;
- le personnel responsable de la gestion de matériel cryptographique et de sécurité a été formé adéquatement;
- [révisé pour des raisons de sécurité];
- les actifs de sécurité des TI ne sont pas accessibles au public;
- le processus de gestion de la sécurité des TI tient compte de l'information sur le risque provenant des organismes centraux.
Résumé des points faibles des contrôles internes
Les éléments de sécurité des TI suivants n'ont pas été mis en oeuvre :
- les systèmes des TI ne sont pas certifiés de nouveau malgré l'environnement informatique toujours en évolution;
- [révisé pour des raisons de sécurité];
- les recommandations formulées dans les documents d'évaluation de la sécurité ne font pas l'objet d'un suivi officiel;
- [révisé pour des raisons de sécurité];
- [révisé pour des raisons de sécurité];
- [révisé pour des raisons de sécurité];
- le plan de continuité des opérations n'a pas été testé;
- le CSTI ne participe pas officiellement au processus de passation des marchés visant les éléments liés aux TI;
- les pratiques courantes concernant les appareils Blackberry ne correspondent pas à la norme interne pertinente.
Les vérificateurs remercient les employés et la direction pour leur coopération sans réserve dans la réalisation de cette vérification.
Martin Rubenstein
Dirigeant principal de la vérification
Instituts de recherche en santé du Canada
La direction souscrit aux conclusions de la présente vérification.
Evie Gray
Dirigeante principale de l'information
Rapport détaillé
Méthodologie et critères
L'évaluation de la sécurité des TI aux IRSC a été effectuée au moyen d'entrevues avec la direction et le personnel, d'une revue de la documentation, et d'analyses des contrôles par rapport aux critères de vérification. Les contrôles sont réputés adéquats lorsqu'ils sont suffisants pour réduire au minimum les risques de ne pas atteindre les objectifs.
Les critères utilisés pour évaluer les objectifs de la vérification découlent des politiques du Conseil du Trésor suivantes : Politique sur la sécurité du gouvernement, Politique sur la gestion des technologies de l'information, Directive sur la gestion des technologies de l'information, Norme opérationnelle sur la sécurité matérielle, Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (PCA), Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI), Norme de sécurité relative à l'organisation et l'administration, Sécurité des technologies de l'information - guide de vérification, ainsi que des Objectifs de contrôle de l'information et des technologies connexes (COBIT®) de l'Association des professionnels de la vérification et du contrôle des systèmes d'information (APVCSI), du Guide de la GRC sur la Protection matérielle des serveurs informatiques, et des guides du Centre de la sécurité des télécommunications Canada : Exigences de base en matière de sécurité pour les zones de sécurité de réseau au sein du gouvernement du Canada [ PDF (1.72 Mo) - lien externe ], et Écrasement et déclassification des supports d'information électroniques [ PDF (1.52 Mo) - lien externe ].
La vérification s'est déroulée entre les mois d'août 2010 et mai 2011.
Observations, recommandations et plan d'action de la direction
Le tableau suivant présente les observations et les recommandations issues de la vérification, ainsi que le plan d'action de la direction visant à combler les lacunes de la sécurité des TI aux IRSC.
| Observation | Recommandation | Plan d'action de la direction |
|---|---|---|
| 1. Le réseau des IRSC n'a pas été certifié depuis 2006. | ||
|
La certification originale du réseau a été obtenue en 2006, au moyen d'une évaluation complète des menaces et des risques (EMR), et elle n'a pas été renouvelée depuis. De plus, la sécurité physique des IRSC, qui vise la protection des actifs liés aux TI, n'a pas fait l'objet d'un examen depuis 2007. Les évaluations de la sécurité de nouveaux systèmes ne comprennent pas toujours un examen officiel des modifications ou des répercussions éventuelles touchant le réseau ou d'autres systèmes. Risque et répercussions |
1.1 Le réseau devrait faire régulièrement l'objet d'examens au moyen d'une EMR officielle. 1.2 Dans le cadre du déploiement de tout nouveau système, le réseau devrait être vérifié pour déterminer si le système entraîne des ajouts, des suppressions ou des modifications aux risques de sécurité préexistants. |
Responsabilité Mesure 1.1 L'EMR du réseau sera réalisée au cours de l'exercice 2012-2013. Date d'achèvement prévue : mars 2013 1.2 Le modèle d'évaluation de la sécurité sera mis à jour pour ajouter une section dédiée à la détermination des répercussions sur le réseau ou sur d'autres systèmes. Date d'achèvement prévue : mars 2012 |
| 2. Les employés reçoivent une formation limitée sur la sécurité des TI dans le cadre de leur orientation ou de façon continue. | ||
|
La formation des employés sur la sécurité des TI comprend un examen obligatoire de l'entente d'acceptation du titulaire du compte dans le cadre de leur orientation, des comptes rendus occasionnels sur des sujets précis de la sécurité et des activités à participation facultative à l'occasion de la Semaine de la sensibilisation à la sécurité. L'entente :
Enfin, malgré le grand nombre de postes aux SGITA dotés d'un compte d'administrateur, de responsabilités en matière de sécurité et d'un accès à la salle de serveurs, aucune formation précise n'est requise pour ces postes sur le plan de la sécurité. Risque et répercussions |
2.1 L'entente d'acceptation du titulaire du compte devrait être mise à jour pour inclure les risques liés à la sécurité des TI les plus courants et les responsabilités des employés. 2.2 [révisé pour des raisons de sécurité] 2.3 [révisé pour des raisons de sécurité] 2.4 Les employés possédant un compte d'administrateur ou ayant accès à la salle de serveurs devraient recevoir une formation en sécurité expliquant précisément les risques associés à leurs droits d'accès accrus. |
Responsabilité Mesure 2.1 L'entente d'acceptation du titulaire du compte sera mise à jour pour inclure les politiques actuelles. Date d'achèvement prévue : mars 2012 2.2 Le CSTI travaillera avec les RH en vue d'inclure des renseignements sur la sensibilisation à la sécurité dans la trousse d'information distribuée lors de l'orientation des employés. Date d'achèvement prévue : mars 2013 [révisé pour des raisons de sécurité] 2.3 Un document décrivant les conditions d'utilisation des appareils Blackberry sera élaboré conjointement par le CSTI et l'équipe de GI/TI. Date d'achèvement prévue : juin 2012 2.4 [révisé pour des raisons de sécurité] Le CSTI préparera une version provisoire de l'entente d'acceptation du titulaire de compte avec privilège, en précisant les responsabilités et les risques liés à ces comptes, y compris l'accès physique au matériel. Date d'achèvement prévue : mars 2013 |
| 3. Aucun processus officiel n'est en place pour assurer la mise en oeuvre ou le suivi des recommandations formulées dans les EMR, les évaluations de la vulnérabilité (EV) ou les évaluations des facteurs relatifs à la vie privée (EFRVP). | ||
|
Aucun processus officiel n'est en place pour mettre en œuvre les recommandations formulées dans les EMR, les EV ou EFRVP. Risque et répercussions |
3.1 Un processus officiel devrait être conçu et mis en œuvre afin de donner suite aux recommandations mentionnées dans les EMR, les EV ou les EFRVP. 3.2 Les recommandations devraient faire l'objet d'un suivi régulier visant à vérifier que les mesures appropriées ont été prises, et le suivi devrait se poursuivre jusqu'au moment où tous les éléments en suspens auront été abordés. Le processus de suivi devrait s'appliquer aux recommandations formulées dans des documents en lien avec la sécurité. |
Responsabilité Mesure 3.1 Le processus de certification et d'accréditation sera examiné et clarifié afin que les recommandations tirées des documents sur la gestion des risques soient abordées et que tout risque résiduel soit accepté par l'instance d'accréditation. Cette mesure sera prise une fois que le SCT aura diffusé le document ITSG-33, qui définit la nouvelle norme applicable à ces processus. Date d'achèvement prévue : Selon la date de diffusion du ITSG-33 (actuellement prévue pour avril 2012) 3.2 Un inventaire des recommandations contenues dans les documents liés à la sécurité sera dressé et géré par le CSTI. Cet inventaire permettra d'effectuer le suivi des recommandations, du plan d'action et de l'état d'avancement de ces mesures. Les mesures seront coordonnées à toute autre activité liée aux TI dans le cadre du processus de gestion du changement touchant les TI. Date d'achèvement prévue : décembre 2012 |
| 4. [révisé pour des raisons de sécurité] | ||
|
[révisé pour des raisons de sécurité] |
[révisé pour des raisons de sécurité] |
[révisé pour des raisons de sécurité] |
| 5. [révisé pour des raisons de sécurité] | ||
|
[révisé pour des raisons de sécurité] |
[révisé pour des raisons de sécurité] |
[révisé pour des raisons de sécurité] |
| 6. Les critères utilisés pour déterminer s'il faut rattacher à un poste des droits d'accès en tant qu'administrateur ne sont pas clairs. | ||
|
On connaît mal les critères utilisés pour déterminer quels postes sont dotés d'un compte d'administrateur. [révisé pour des raisons de sécurité] Risque et répercussions |
6.1 Il faut établir des critères pour déterminer quels postes nécessitent des droits d'administrateur. [révisé pour des raisons de sécurité] |
Responsabilité Mesure 6.1 [révisé pour des raisons de sécurité] Le CSTI préparera une version provisoire de l'entente d'acceptation du titulaire de compte avec privilège, en précisant les responsabilités et les risques liés aux comptes d'administrateur, y compris l'accès physique au matériel. Date d'achèvement prévue : mars 2013 |
| 7. Le plan de continuité des opérations (PCO) des IRSC n'a pas été testé. | ||
|
Le PCO a été approuvé en octobre 2011, mais n'a pas encore été testé. Risque et répercussions |
7.1 Le PCO des IRSC devra être testé et mis à jour régulièrement. |
Responsabilité : Agent de sécurité de l'organisme Mesure 7.1 L'agent de sécurité de l'organisme (ASO) sera tenu d'assurer que les mises à jour du PCO sont effectuées au besoin. La mise à l'essai du PCO sera prévue au calendrier tous les deux ans. Date d'achèvement prévue : Les tests débuteront au cours de l'exercice 2012-2013. |
| 8. Le processus d'examen des DP n'exige pas du CSTI qu'il fournisse des commentaires ou observations. | ||
|
Selon son profil de rôle, le CSTI est tenu d'examiner des ententes de marchés éventuelles avec des tiers pouvant avoir des répercussions liées à la sécurité des TI; cependant, aucune procédure ou pratique n'est en place afin de faciliter une telle démarche. La liste de vérification des exigences relatives à la sécurité (LVERS) publiée par le SCT comprend un volet sur la sécurité des TI; si cette liste de vérification était obligatoire, on s'assurerait qu'un examen de la sécurité des TI est mené pour l'ensemble des DP. Risque et répercussions |
8.1 Le processus de passation des marchés devrait comprendre une procédure officielle d'examen des parties des marchés qui ont des répercussions du point de vue de la sécurité des TI et, le cas échéant, de transmission de tout document pertinent au CSTI aux fins d'examen et de recommandation. 8.2. Les politiques en matière de passation des marchés et de sécurité des TI devraient être modifiées pour tenir compte des responsabilités du CSTI en ce qui a trait au processus de passation des marchés. |
Responsabilité : Agent de sécurité de l'organisme Mesure 8.1 L'équipe de la sécurité et l'unité de l'approvisionnement définiront un processus exigeant l'utilisation d'une liste de vérification des exigences relatives à la sécurité (LVERS) au moment de préparer des documents concernant l'approvisionnement. Cette LVERS sera examinée par l'équipe de la sécurité, qui évaluera les exigences en matière de sécurité applicables au contrat. Toute LVERS concernant les TI sera examinée par le CSTI dans le but de recommander des mesures. Date d'achèvement prévue : septembre 2012 Responsabilité : Gestionnaire de l'approvisionnement Mesure 8.2. Les procédures relatives à la passation des marchés seront modifiées pour tenir compte des responsabilités du CSTI en ce qui a trait au processus de passation des marchés. |
| 9. La norme concernant les appareils mobiles ne contient pas une description des pratiques courantes. | ||
|
[révisé pour des raisons de sécurité] Risque et répercussions |
9.1 Les SGITA devraient réviser les normes concernant les appareils mobiles afin qu'elles reflètent les utilisations actuelles et acceptables et des pratiques exemplaires relatives à la sécurité des TI. |
Responsabilité : Mesure 9.1 Les SGITA examineront la norme concernant les appareils mobiles et la modifieront en conséquence. Date d'achèvement prévue : mars 2013 |
- Date de modification :