Vérification de la sécurité des technologies de l’information

Bureau de la vérification et de l'évaluation d'Agriculture et Agroalimentaire Canada (AAC), 4 février 2015

Direction générale de la vérification et de l'évaluation de l'Agence canadienne d'inspection des aliments (ACIA), 29 mai 2015


Résumé

Agriculture et Agroalimentaire Canada (AAC) et l'Agence canadienne d'inspection des aliments (ACIA) gèrent des renseignements numériques de nature délicate, et la sécurité des technologies de l'information (TI) représente désormais une préoccupation de taille étant donné le caractère de plus en plus complexe et fréquent des menaces qui pèsent sur les TI ainsi que les attentes toujours grandissantes d'un public de plus en plus conscient de ces menaces quant à la protection de ses renseignements par les organisations. Les environnements opérationnels d'AAC et de l'ACIA posent des défis dans une optique de sécurité des TI étant donné leur nature décentralisée qui repose sur des opérations régionales à l'échelle du pays. De plus, les TI et les environnements opérationnels d'AAC et de l'ACIA font actuellement l'objet d'un renouvellement et de transformations.

AAC et l'ACIA ont été touchés par la création de Services partagés Canada (SPC) et par le regroupement des services liés à l'infrastructure des TI du gouvernement fédéral qui en a découlé. À l'été 2011, les services ayant trait à l'infrastructure des TI dont se chargeaient officiellement AAC et l'ACIA auparavant ont été transférés à SPC. Ce regroupement comprenait la surveillance des dispositifs de détection des menaces à la sécurité liés aux infrastructures des TI et la transition du personnel d'AAC et l'ACIA qui se chargeait de l'exécution de ces services.

La gestion de la sécurité des TI a été et demeure une priorité absolue pour AAC, l'ACIA et SPC.

La vérification comprenait un examen des processus et contrôles en place à AAC et à l'ACIA pour superviser et régir les services liés à la sécurité des TI fournis par SPC.

La Direction générale des systèmes d'information (DGSI) d'AAC et la Direction générale de la gestion de l'information et de la technologie de l'information (DGGITI) de l'ACIA relèvent de la même personne qui occupe deux postes : celui de sous-ministre adjoint (SMA), DGSI, AAC et de vice-président, DGGITI, ACIA. AAC représente un tiers fournisseur de services pour l'ACIA pour l'approvisionnement des systèmes de TI, y compris les systèmes des finances et des ressources humaines de l'organisation. Compte tenu de l'interdépendance de leurs environnements opérationnels et de ce qui précède, ainsi que des similitudes au chapitre des enjeux éventuels touchant la sécurité des TI, AAC et l'ACIA ont jugé qu'une vérification mixte de la sécurité des TI était avantageuse.

À titre d'entités du gouvernement fédéral, AAC et l'ACIA sont tenus de respecter les exigences de base en matière de sécurité du Conseil du Trésor énoncées dans la Politique sur la sécurité du gouvernement (PSG), ainsi que toutes les directives, normes et orientations connexes.

La vérification de la sécurité des TI faisait partie du Plan de vérification axé sur les risques 2013-2016 d'AAC et du Plan de vérification axé sur les risques 2013-2016 de l'ACIA. Puisqu'on a jugé que la sécurité des TI posait un risque important, l'objectif de la vérification consistait à fournir l'assurance qu'AAC et l'ACIA disposent de mesures de contrôle appropriées pour leurs systèmes de TI relativement à la sécurité des TI et que ces mesures sont efficaces et efficientes. La vérification portait sur les processus courants en place en ce qui a trait à la sécurité des TI à AAC et à l'ACIA, et comportait un sondage de vérification visant l'exercice 2013-2014.

Comme indiqué tout au long du rapport, AAC et l'ACIA ont adopté un certain nombre de mesures positives liées à la sécurité des TI. Il n'en demeure pas moins que la vérification a permis de cerner des lacunes dans le cadre actuel de contrôle de la sécurité des TI. Pour corriger ces lacunes, il est possible d'améliorer les choses sur les plans de la gouvernance de la sécurité des TI, de la gestion des risques liés à la sécurité des TI, des contrôles de sécurité ayant trait aux tiers fournisseurs de services, de la gestion des renseignements numériques de nature délicate, de la sécurité matérielle des biens de TI, de l'évaluation des risques pour la sécurité des TI liés aux systèmes de TI et de la mise en œuvre de contrôles d'accès logique aux systèmes de TI. Le rapport de vérification contient un certain nombre de recommandations pour corriger les lacunes relevées. Bien que la vérification cible le cadre de contrôle de la gestion pour la sécurité des TI, aucune atteinte particulière à la sécurité n'a été observée.

1.0 Introduction

1.1 Contexte

Contexte particulier d'Agriculture et Agroalimentaire Canada

Contexte particulier de l'Agence canadienne d'inspection des aliments

1.2 Objectif de la vérification

1.3 Portée de la vérification

1.4 Stratégie de vérification

1.5 Conclusion

1.6 Déclaration de conformité

2.0 Observation détaillées, recommandations et réponses de la direction

2.1 Gouvernance de la sécurité des technologies de l'information

Constatations propres à Agriculture et Agroalimentaire Canada

Constatations propres à l'Agence canadienne d'inspection des aliments

2.1.7 Recommandations

2.2 Gestion des risques liés à la sécurité des technologies de l'information

Constatations propres à Agriculture et Agroalimentaire Canada

Constatations propres à l'Agence canadienne d'inspection des aliments

2.2.9 Recommandation

2.3 Gestions des tiers fournisseurs de services

Constatations propres à Agriculturet et Agroalimentaire Canada

Constatations propres à l'Agence canadienne d'inspection des aliments

2.3.9 Recommandation

2.4 Gestion des renseignements numériques

Constatations propres à Agriculture et Agroalimentaire Canada

Constatations propres à l'Agence canadienne d'inspection des aliments

2.4.14 Recommandations

2.5 Sécurité matérielle des biens des technologies de l'information

Constatations propres à Agriculture et Agroalimentaire Canada

Constatations propres à l'Agence canadienne d'inspection des aliments

2.5.9 Recommandation

2.6 Évaluation des risques liés à la sécurité des technologies de l'information

Constatations propres à Agriculture et Agroalimentaire Canada

Constatations propres à l'Agence canadienne d'inspection des aliments

2.6.8 Recommandation

2.7 Contrôles d'accès logique

Constatations propres à Agriculture et Agroalimentaire Canada

Constatations propres à l'Agence canadienne d'inspection des aliments

2.7.14 Recommandations

Annexe A : Critères de vérification

Secteur d'intérêt 1 :
On a établi une structure de gouvernance pour la sécurité des Technologie de l'information (TI) pour le Ministère/l'Agence et les relations avec les partenaires et tierces parties.

Secteur d'intérêt 2 :
Un processus officiel pour la gestion des renseignements de nature délicate est en place et il est appliqué de façon uniforme pour veiller à la classification, l'utilisation et la gestion appropriées des renseignements numériques de nature délicate.

Secteur d'intérêt 3 :
Un processus officiel pour la gestion des risques relatifs à la sécurité des TI est en place et est appliqué pour les systèmes de TI.

Secteur d'intérêt 4 :
L'accès logique aux systèmes est accordé seulement aux utilisateurs autorisés.

Annexe B : Acronymes

AAC
Agriculture et Agroalimentaire Canada
ACIA
Agence canadienne d'inspection des aliments
ASA
Agent de sécurité de l'Agence
ASM
Agent de sécurité du Ministère
BVE
Bureau de la vérification et de l'évaluation
BVG
Bureau du vérificateur général
CDSI
Comité directeur de la sécurité et des identités
CGH
Comité de gestion horizontale
CGSM
Comité de la gestion de la sécurité ministérielle
CSPG
Comité de gestion du programme de sécurité
CSTC
Centre de la sécurité des télécommunications Canada
CSTI
Coordonnateur de la sécurité de la technologie de l'information
CVDS
Cycle de développement des systèmes
DG
Directeur général
DGGI
Direction générale de la gestion intégrée
DGGITI
Direction générale de la gestion de l'information et de la technologie de l'information
DGSI
Direction générale des systèmes d'information
DGVE
Direction générale de la vérification et de l'évaluation
EMR
Évaluation de la menace et des risques
ESA
Évaluation de la sécurité et autorisation
EV
Évaluation de la vulnérabilité
GI-TI
Gestion de l'information et technologie de l'information
GRSTI
Politique sur la gestion des risques pour la sécurité des TI
GTSTI
Groupe de travail sur la sécurité des TI
LVERS
Listes de vérification des exigences relatives à la sécurité
PSA
Plan de sécurité de l'Agence
PSD
Plan de sécurité ministériel
PSG
Politique sur la sécurité du gouvernement
RH
Ressources humaines
RPRM
Registre des possibilités et des risques du Ministère
SA
Service d'annuaire
SGI
Services de gestion de l'information
SMA
Sous-ministre adjoint
SPC
Services partagés Canada
TI
Technologie de l'information
Date de modification :