Évaluation à mi-parcours des initiatives réalisées par Sécurité publique Canada dans le cadre de la Stratégie nationale de cybersécurité - Rapport d’évaluation
Table des matières
- Résumé
- 1. Contexte
- 2. Objet et méthodologie de l’évaluation
- 3. Constatations
- 3.1 Pertinence
- 3.2 Rendement
- 3.2.1 Capacité en matière de politiques stratégiques sur la cybersécurité et la cybercriminalité
- 3.2.2 Appui aux propriétaires et exploitants d’infrastructures essentielles canadiennes
- 3.2.3 Programme de coopération en matière de cybersécurité
- 3.2.4 Analyse comparative entre les sexes plus (ACS Plus)
- 3.3 Leçons tirées
- 4. Conclusions
- 5. Recommandations
- 6. Plan d’action de la gestion
- Annexe A - Comités de gouvernance en matière de cybersécurité
- Annexe B - Initiatives de la SNCS
28 mars 2022
Résumé
À propos du programme
Les technologies numériques occupent de plus en plus de place au sein des entreprises, des services publics et de la vie des gens au Canada, avec les risques et les menaces que cela comporte.
La Stratégie nationale de cybersécurité (SNCS) a été lancée en 2018. Sécurité publique Canada (SP) est responsable de trois initiatives qui relève de la SNCS et permettent d’obtenir une gamme d’extrants, comme des études et des recommandations; de la formation et des exercices pour les membres des secteurs des infrastructures essentielles (IE); et le financement de projets qui aident le programme à atteindre les résultats escomptés.
Le montant total du financement alloué aux trois initiatives relevant de SP pour la période comprise entre 2019-2020 et 2023-2024 se chiffre à 33,2 millions de dollars, dont 24,6 millions de dollars versés directement par l’entremise de la SNCS.
Ce que nous avons examiné
L’évaluation a pour but d’examiner les progrès réalisés grâce aux initiatives relevant de SP dans le cadre de la SNCS vers l’atteinte des résultats escomptés qui permettront d’améliorer la cybersécurité au Canada. L’évaluation couvre la période comprise entre l’exercice 2018-2019 et la première moitié de l’exercice 2021-2022.
Constatations de l’évaluation
- Les initiatives qui relèvent de SP dans le cadre de la SNCS sont toujours nécessaires en raison des menaces constantes et nouvelles à la cybersécurité, comme les rançongiciels, les attaques visant des IE et les cyberattaques. La manière dont ces initiatives sont conçues donne une certaine marge de manœuvre dans la façon de réagir aux acteurs malveillants et aux menaces en constante évolution.
- L’initiative Capacité en matière de politiques stratégiques a permis d’améliorer la coordination interministérielle et de faire davantage connaître les enjeux liés à la cybersécurité. Les avancées sur le plan des politiques sont toutefois timides, ce qui est problématique considérant le nombre sans cesse croissant d’enjeux liés à la cybersécurité et la complexité du paysage cybernétique.
- Depuis le lancement de la SNCS, SP a rejoint l’ensemble des 10 secteurs des IE grâce à ses programmes et activités. La participation à certaines activités a augmenté après la transition vers un mode d’exécution en ligne. Ces activités ne sont suivies d’aucun processus continu de collecte de renseignements afin d’avoir l’heure juste sur les mesures d’atténuation mises en place par la suite.
- Les intervenants sont au fait du Programme de coopération en matière de cybersécurité (PCCS), et des projets sont en cours. S’il était prévu au départ d’utiliser les résultats et les conclusions issus des projets pour orienter le programme politique et la prise de décisions dans leur ensemble, il ne semble pas y avoir pour le moment de mécanisme ou de plan à cette fin.
- Les bénéficiaires d’un financement avaient des avis partagés sur le soutien reçu de la part de SP relativement à l’initiative réalisée dans le cadre du PCCS. Certains des problèmes relevés pourraient être attribuables à la situation difficile dans laquelle s’est retrouvé le programme après qu’il a été décidé qu’il serait administré dans une direction générale ou un secteur, tandis que l’orientation stratégique serait déterminée ailleurs.
- L’analyse comparative entre les sexes plus (ACS Plus) est une priorité pour SP. Bien que la diversité et l’inclusion figuraient parmi les facteurs prioritaires dans l’appel de demandes de 2020 pour le PCCS, la pleine portée de l’ACS Plus n’a pas été prise en considération pour la majorité des initiatives de SP dans le cadre de la SNCS. Cela dit, des données démontrent que des efforts sont déployés pour remédier à ces lacunes.
- La pandémie de COVID 19 a mené à des résultats inattendus pour les initiatives qui relèvent de SP dans le cadre de la SNCS. Heureusement, pour la majorité d’entre elles, il a été possible de les adapter et de passer en mode virtuel.
Recommandations
Le sous-ministre adjoint principal, Secteur de la sécurité nationale et de la cybersécurité, devrait :
- Améliorer les efforts de leadership et de coordination en établissant des priorités dans le programme d’action, notamment résoudre les problèmes de partage de renseignements et tisser des liens avec d’autres ordres de gouvernement, plus particulièrement les provinces et territoires.
- Concevoir et mettre en place des processus de suivi afin de recueillir des données sur l’instauration de mesures d’atténuation par les participants ayant pris part à des activités destinées aux secteurs des IE.
- Élaborer une approche afin d’utiliser les conclusions des projets du PCCS pour orienter le programme d’action et la prise de décisions.
- Informer les intervenants sur l’application des volets diversité et inclusion inhérents à l’ACS Plus à la cybersécurité.
Plan d'action de la gestion
Les gestionnaires du programme acceptent toutes les recommandations et mettront en place un plan d'action.
1. Contexte
Les technologies numériques occupent de plus en plus de place au sein des entreprises, des services publics et de la vie des gens au Canada, avec les risques et les menaces que cela comporte. La SNCS a été lancée en 2018 en réponse à l’Examen de la cybersécurité réalisé en 2017, mais entrepris en 2016, pour donner suite à l’engagement énoncé dans le mandat du ministre de la Sécurité publique de « diriger un examen des mesures en place pour assurer la protection des Canadiens et des infrastructures critiques du Canada contre les cybermenaces ». Cet examen a mis au jour des domaines clés où doivent être exercées des actions concertées, et a mis en exergue le besoin pour une stratégie renouvelée en raison de l’évolution rapide de la cybersécurité et des technologies depuis la toute première Stratégie de cybersécurité du Canada, lancée en 2010.
Avant même le lancement de la SNCS, des ministères et organismes du gouvernement du Canada avaient pris l’initiative de travailler chacun de leur côté sur certains éléments de la cybersécurité. La stratégie a cependant ouvert la voie à une plus grande collaboration dans ce domaine et permis d’éviter de travailler en double, grâce notamment au rôle de gouvernance de l’initiative Capacité en matière de politiques stratégiques sur la cybersécurité et la cybercriminalité.
La SNCS est une initiative multigouvernementale dont le plan d’action national en matière de cybersécurité sur cinq ans décrit les initiatives qui seront déployées pour atteindre chacun des trois objectifs clés (annexe B), ci-dessous.
Des systèmes canadiens sécurisés et résilients
En collaboration avec des partenaires et grâce à des capacités améliorées en cybersécurité, le gouvernement du Canada pourra mieux protéger les Canadiens contre la cybercriminalité, réprimer les menaces émergentes et défendre les systèmes essentiels du gouvernement et du secteur privé.
Un écosystème du cyberespace novateur et adaptable
En appuyant la recherche de pointe, en encourageant l’innovation numérique, et en perfectionnant les compétences et les connaissances en matière de cybersécurité, le gouvernement fédéral va positionner le Canada comme un chef de file mondial dans le domaine de la cybersécurité.
Un leadership, une gouvernance et une collaboration efficaces
En collaboration étroite avec les provinces, les territoires et le secteur privé, le gouvernement fédéral jouera un rôle phare pour améliorer la cybersécurité au pays et, en coordination avec ses alliés, travaillera à façonner l’environnement de cybersécurité international de manière avantageuse pour le Canada.
1.1 Initiatives réalisées par la Sécurité publique dans le cadre de la SNCS
La stratégie a été lancée en 2018, mais SP a officiellement entrepris les initiatives prévues dans le cadre de celle-ci seulement en 2019-2020 et est responsable de trois initiatives qui offrent à des intervenants, parmi lesquels des hauts fonctionnaires, des homologues provinciaux et territoriaux, des organismes du secteur privé et le milieu universitaire, des moyens d’améliorer leur niveau de cybersécurité.
Les travaux réalisés par l’entremise de ces initiatives permettent d’obtenir une gamme d’extrants, comme des études et des recommandations; de la formation et des exercices; et le financement de projets qui aident le programme à atteindre les résultats escomptés. Le montant total du financement alloué aux trois initiatives relevant de SP pour la période comprise entre 2019-2020 et 2023-2024 se chiffre à 33,2 millions de dollars, dont 24,6 millions de dollars versés directement par l’entremise de la SNCS.
Capacité en matière de politiques stratégiques sur la cybersécurité et la cybercriminalité . Assurer une coordination adéquate des questions stratégiques en matière de cybersécurité et de cybercriminalité parmi les intervenants de la SNCS.
- Gestion assurée par la Direction générale de la cybersécurité nationale
- Financement de 5,4 millions de dollars sur cinq ans alloué dans le budget de 2018, et 1,1 million de dollars par la suite
- Obtention de cinq employés à temps plein par l’intermédiaire de la SNCS
Appui aux propriétaires et exploitants canadiens d’infrastructures essentielles : Mettre sur pied et réaliser des activités afin d’aider les membres des secteurs des infrastructures essentielles (IE) à mieux protéger leurs systèmes et leurs renseignements.
- Gestion assurée par la Direction des infrastructures essentielles
- Financement de 8,9 millions de dollars sur cinq ans alloué dans le budget de 2018, et 1,7 million de dollars par la suite
- Obtention de sept employés à temps plein par l’intermédiaire de la SNCS
Programme de coopération en matière de cybersécurité : Verser un financement à des projets liés à la cybersécurité qui contribuent à confirmer le rôle de chef de file du gouvernement fédéral dans l’amélioration de la cybersécurité au pays.
- Gestion assurée par la Direction générale de la cybersécurité nationale
- Financement de 10,3 millions de dollars sur cinq ans alloué dans le budget de 2018
- Obtention de deux employés à temps plein par l’intermédiaire de la SNCS
2. Objet et méthodologie de l’évaluation
L’évaluation a pour but d’examiner les progrès réalisés grâce aux initiatives relevant de SP dans le cadre de la SNCS vers l’atteinte des résultats escomptés qui permettront d’améliorer la cybersécurité au Canada. L’évaluation couvre la période comprise entre l’exercice 2018-2019 jusqu’à la première moitié de l’exercice 2021-2022.
2.1 Sources des données
Entrevues et questionnaire : Au total, ce sont 27 entrevues qui ont été réalisées avec des intervenants de la SNCS pour chacune des initiatives relevant de SP ainsi qu’avec les membres des ministères et agences de la SNCS. Dans le cadre d’un examen de programme interne distinct lié à la SNCS, un questionnaire a été rempli par les ministères et organismes participant à la Stratégie. Les questions qui étaient pertinentes à l’évaluation ont été analysées.
Revue de la littérature et des documents du programme : Des documents de toutes sortes (p. ex. articles dans les médias, rapports) ainsi que des documents gouvernementaux (p. ex. documents concernant des politiques et le programme) ont été examinés.
Données sur le rendement et données financières : Les données disponibles sur le rendement dans le cadre du programme ont été analysées, de même que les données financières du programme. De plus, des données relatives à des pages Web sélectionnées portant sur les initiatives réalisées par SP dans le cadre de la SNCS ont été analysées afin d’en dégager les tendances pendant la période comprise entre l’exercice 2018-2019 jusqu’à la première moitié de l’exercice 2021-2022.
2.2 Restrictions
Peu de données sur le rendement avaient été récoltées pour certaines des activités réalisées dans le cadre des initiatives de SP. Afin de contourner ce problème, l’équipe chargée de l’évaluation s’est tournée vers d’autres documents de programme et renseignements du domaine public, en plus d’aller chercher des renseignements additionnels dans les entrevues réalisées avec le personnel du programme et les partenaires.
3. Constatations
3.1 Pertinence
3.1.1 Besoin continu
Constatation
Les initiatives qui relèvent de SP dans le cadre de la SNCS sont toujours nécessaires en raison des menaces constantes et nouvelles à la cybersécurité, comme les rançongiciels, les attaques visant des IE et les cyberattaques. La manière dont ces initiatives sont conçues donne une certaine marge de manœuvre dans la façon de réagir aux acteurs malveillants et aux menaces en constante évolution.
Les initiatives réalisées dans le cadre de la SNCS sont toujours nécessaires, puisque les données démontrent l’existence de menaces à la cybersécurité qui sont constantes et de plus en plus ravageuses pour les organisations et les citoyens canadiens. Bien que les menaces puissent provenir de partout, les programmes de certains gouvernements étrangers représentent la plus grande menace. Comme le paysage change sans cesse, les menaces évoluent et de nouvelles menaces voient constamment le jour, les initiatives de SP dans le cadre de la SNCS jouent un rôle de plus en plus important dans la sécurité et la prospérité canadiennes en cette ère numérique.
La rapidité avec laquelle les technologies évoluent fait qu’il est plus facile pour les acteurs malveillants de pénétrer les réseaux de TI des organisations des infrastructures essentielles (IE) canadiennes et d’en perturber le fonctionnement. La prolifération des technologies opérationnelles qui relient les procédés physiques à Internet met à risque les opérations des IE (p. ex. transmission de l’électricité, exploitation des oléoducs, équipement médical) si les mesures de cybersécurité mises en place ne sont pas suffisantes.
Proportions de Canadiens qui utilisent Internet pour les appels vocaux et vidéos en ligne
- 2020 : 64 %
- 2018 : 47 %
Proportions de Canadiens qui magasinent en ligne
- 2020 : 82 %
- 2018 : 73 %
Proportions de Canadiens qui ont signalé des incidents de cybersécurité
- 2020 : 58 %
- 2018 : 52 %
De plus, et comme le démontrent les statistiques ci‑dessus, le risque cybernétique associé à l’activité en ligne augmente de façon marquée au fur et à mesure que les organisations et les citoyens canadiens utilisent Internet plus souvent et pour une plus grande variété d’activités quotidiennes, une tendance qui s’est accélérée depuis la pandémie de COVID 19. Prenons par exemple l’obligation pour un plus grand nombre de gens de travailler de la maison pendant la pandémie, ce qui a apporté son lot de difficultés pour ce qui est de préserver l’infrastructure de cybersécurité et des télécommunications. Bien au fait des difficultés et des risques occasionnés par cette transformation dans la vie professionnelle des Canadiens, SP a ajouté à certaines de ses activités portant sur les systèmes de contrôle industriels (SCI), dont des colloques virtuels, un volet tout spécialement consacré à ce sujet.
Les organisations et les citoyens canadiens sont exposés à une multitude de menaces à la cybersécurité, parmi lesquelles l’exploitation des vulnérabilités au chapitre de la sécurité, qu’elles soient attribuables à l’humain ou au réseau, pour installer des logiciels malveillants, ou le vol de données personnelles et commerciales à des fins de fraude ou d’extorsion.
Les rançongiciels bénéficient d’une attention accrue au Canada en raison de la hausse importante du nombre d’attaques et parce qu’ils posent un risque important pour les secteurs des IE et la population en général. Ce type de menace à la cybersécurité est une forme de maliciel qui chiffre les fichiers sur un appareil de façon à perturber les activités de TI. Les auteurs de la menace demandent ensuite un paiement en échange du déchiffrage des fichiers. Certaines initiatives de SP dans le cadre de la SNCS s’attaquent aux rançongiciels en priorité puisqu’il s’agit d’un risque qui devrait continuer d’être présent et de causer des ravages en entraînant des pertes financières et une perte de productivité.
Commission de transport de Toronto (TTC) : Une attaque à l’aide d’un rançongiciel visant les systèmes informatiques de la TTC en octobre 2021 a causé une fuite de données qui a perturbé les activités de la TTC, notamment le « Système Vision » utilisé pour communiquer avec les conducteurs des véhicules, la réservation en ligne pour les transports adaptés, le site Web de la TTC, les écrans d’affichage numérique situés un peu partout sur le réseau de la TTC et le service de courriel interne. La TTC a annoncé que les pirates informatiques pourraient avoir volé les renseignements personnels de 25 000 anciens employés et employés actuels. Il a fallu plus de deux semaines pour restaurer la majorité des systèmes.
Système de santé de Terre-Neuve-et-Labrador (T.-N.-L) : Le 30 octobre 2021, les réseaux de santé électroniques de T.-N.-L. et leur système de sauvegarde ont été piratés. Bien que l’information n’ait pas été confirmée par le gouvernement de la province, des sources affirment qu’il s’agissait d’une attaque par rançongiciel.
L’événement n’a pas été sans conséquence pour le personnel et les patients, au contraire. Des milliers de rendez‑vous médicaux ont été annulés, dont des traitements de chimiothérapie et des interventions chirurgicales non urgentes. Les renseignements personnels de membres du personnel et de patients ont été compromis, y compris les numéros d’assurance sociale et les renseignements personnels relatifs à la santé.
« Les organisations responsables des soins de santé sont des cibles attrayantes pour les pirates parce qu’elles ont de gros budgets, mais ne dépensent pas beaucoup pour sécuriser leurs données. »
3.2 Rendement
3.2.1 Capacité en matière de politiques stratégiques sur la cybersécurité et la cybercriminalité
Constatation
L’initiative Capacité en matière de politiques stratégiques a permis d’améliorer la coordination interministérielle et de faire davantage connaître les enjeux liés à la cybersécurité. Les avancées sur le plan des politiques sont toutefois timides, ce qui est problématique considérant le nombre sans cesse croissant d’enjeux liés à la cybersécurité et la complexité du paysage cybernétique.
Sous l’objectif clé général « Leadership, gouvernance et collaboration efficaces », SP assume à la fois les rôles de direction et de coordination afin de faire sa part dans la gestion de la SNCS, l’objectif étant de faire davantage connaître les enjeux liés à la cybersécurité au sein des ministères et organismes partenaires.
C’est aux différents comités de gouvernance qu’il incombe de coordonner les travaux entre les différents ministères partenaires du gouvernement du Canada.
Plus précisément, SP copréside les comités sur la cybersécurité composés des sous-ministres, des sous-ministres adjoints et des directeurs généraux et assure les fonctions de secrétariat pour ceux-ci, en plus de jouer un rôle dans au moins 10 groupes de travail qui appuient ces comités (annexe A).
Parallèlement, SP a mis sur pied et coordonne des partenariats avec des intervenants internationaux sur des enjeux liés à la cybersécurité. Elle coordonne notamment les réponses du gouvernement du Canada aux menaces à la cybersécurité internationales. Plus particulièrement, SP :
- participe au Groupe de politiques en matière de cybersécurité Ottawa Five (l’O5), un groupe stratégique sur la cybersécurité du Groupe des cinq, ainsi qu’à d’autres sous-groupes de l’O5 qui collaborent sur des enjeux précis liés à cybersécurité;
- contribue à de nombreux forums internationaux, comme le G7, les Nations Unies et l’OTAN; et,
- forme des partenariats avec des pays ayant la même mentalité afin d’intensifier le partage de renseignements et le renforcement des capacités.
Les différents échelons de gouvernance ont donné naissance à un collectif dans le domaine de la cybersécurité qui a fait passer le partage de renseignements, tant formel qu’informel, à un autre niveau. La structure de comité est propice à une collaboration entre les membres et les participants (annexe A), ce qui favorise le partage de renseignements. Depuis 2020, le Centre de la sécurité des télécommunications (CST) agit en la qualité de coprésident du comité des sous-ministres sur la cybersécurité afin d’apporter un meilleur équilibre opérationnel et de contribuer à tous les volets de la SNCS.
Un autre aspect positif des comités de gouvernance sur la cybersécurité dans le cadre de la SNCS a été de donner accès aux comités à des membres non-financés, une décision qui est considérée comme étant à l’origine du niveau de coordination renouvelé et d’un plus grand partage de renseignements à l’échelle du gouvernement fédéral.
Le mandat des comités a évolué au fil du temps, passant de présentations informatives de SP à une diversification des sujets présentés par d’autres organismes et des thèmes sujets à discussion ou approbation.
Certains problèmes ont cependant été soulevés, notamment la difficulté de réaliser des progrès sur certains enjeux stratégiques. Ainsi, des sources clés ont indiqué que cette initiative est essentiellement axée sur des processus administratifs visant à maintenir la coordination au sein des intervenants et à les tenir informés du rendement des programmes réalisés dans le cadre de la SNCS.
Puisque l’attention est essentiellement centrée sur les processus de gouvernance, il est difficile de réaliser des progrès sur des enjeux stratégiques. Par exemple, depuis que la SNCS est une stratégie nationale, on se serait attendu à ce que d’autres ordres de gouvernement et, surtout, les provinces et territoires soient mis à contribution, mais ceux-ci ont pratiquement été tenus à l’écart jusqu’à maintenant.
De plus, le programme d’action progresse plus lentement que les intervenants l’auraient voulu. Bien que des aspects de la cybersécurité entre ministères fédéraux soient coordonnés par l’entremise de la SNCS, des lacunes demeurent, particulièrement en ce qui a trait à la coordination et au partage des renseignements. Pour remédier à ces lacunes, SP propose de mettre au point une stratégie sur les cyberdonnées à l’échelle du gouvernement du Canada. Une telle stratégie figure déjà dans le plan d’action, et les travaux préliminaires ont débuté, mais peu de progrès ont été réalisés à ce jour en raison des impératifs posés par les processus administratifs.
Dans un souci de remédier aux lacunes relatives aux cyberdonnées, SP, par l’entremise de la SNCS, a commandé l’Enquête canadienne sur la cybersécurité et le cybercrime, qui permet de recueillir de l’information sur l’incidence de la cybercriminalité sur les Canadiens et les entreprises canadiennes.
En 2021, l’Enquête a reçu un financement permanent et sera désormais réalisée par Statistique Canada tous les deux ans. Les données recueillies à l’issue des enquêtes réalisées en 2017 et 2019 sont utilisées aux fins de l’analyse des programmes, de l’élaboration des politiques, de la planification et de la recherche dans les domaines de la cybersécurité et du cybercrime.
3.2.2 Appui aux propriétaires et exploitants d’infrastructures essentielles canadiennes
Constatation
Depuis le lancement de la SNCS, SP a rejoint l’ensemble des 10 secteurs des IE grâce à ses programmes et activités. La participation à certaines activités a augmenté après la transition vers un mode d’exécution en ligne. Ces activités ne sont suivies d’aucun processus continu de collecte de renseignements afin d’avoir l’heure juste sur les mesures d’atténuation mises en place par la suite.
Sous l’objectif clé de la SNCS « Des systèmes sécurisés et résilients », SP est responsable de trois programmes qui aident les membres des 10 secteurs des IE au Canada à mieux protéger leurs systèmes et leurs renseignements :
- Programme des systèmes de contrôle industriel (SCI)
- Programme de cyberévaluation des IE
- Programme d’exercices de cybersécurité des IE
Ces programmes, ou leurs activités, étaient en place avant le lancement de la SNCS en 2018, mais ont pris de l’ampleur et évolué au fur et à mesure que les technologies et les menaces à la cybersécurité ont elles aussi évolué. Le travail réalisé dans le cadre de ceux-ci a permis de respecter les priorités du gouvernement du Canada et de SP de protéger les Canadiens et les IE du Canada.
La pandémie de COVID 19 a été porteuse de bien des perturbations pour les programmes de protection des SCI et des IE, notamment l’obligation, pour certains membres du personnel, de mettre de côté leurs tâches habituelles pendant de nombreux mois pour se concentrer sur la réponse à la pandémie. En dépit de cela et d’autres difficultés, les responsables des programmes sont parvenus à apporter des changements à la façon dont certaines activités étaient réalisées, à en réaliser d’autres plus tôt que prévu et à rejoindre des membres de tous les secteurs des IE.
Secteurs des IE
- Énergie et services publics
- Finances
- Alimentation
- Gouvernement
- Santé
- Technologies de l’information et des communications
- Secteur manufacturier
- Sécurité
- Transport
- Eau
3.2.2.1 Programme des SCI
SP a lancé une gamme d’activités à l’intention des membres des secteurs des IE afin d’approfondir leurs connaissances de la gestion des risques liés aux SCI. Le Programme des SCI prévoit des conférences, des webinaires et des ateliers à l’intention des membres des secteurs des IE au Canada ainsi qu’à l’international avec l’objectif de mieux préparer les participants à la gestion des risques liés aux SCI.
Avant la pandémie de COVID 19, des ateliers et des colloques en personne étaient tenus à différents endroits, tandis que les webinaires donnaient l’occasion aux participants de voir des présentations sur un éventail de sujets données par des experts et des chefs de file de l’industrie. Les restrictions sur les voyages et les rassemblements en personne rattachées à la pandémie de COVID 19 ont entraîné l’annulation de certaines activités, tandis que d’autres sont passées entièrement en mode virtuel en 2020 2021. Or, le nombre de participants aux activités d’apprentissage a connu un bond lorsqu’elles sont passées en mode virtuel, ce qui pourrait s’expliquer par des coûts en dollars et en temps moins élevés comparativement aux événements en personne, surtout pour les petites et moyennes entreprises. Les événements portant sur les SCI ont permis de rejoindre des membres dans les 10 secteurs des IE, bien que très peu de participants aux événements virtuels et en personne aient indiqué provenir des secteurs des finances, de l’agroalimentaire, de la santé ou de la sécurité.
2019-2020 |
2020-2021 |
2021-2022 (en date du 31 déc. 2021) |
Total |
||
---|---|---|---|---|---|
Colloques |
Événements |
1 |
2 (virtuels) |
2 (virtuels) |
5 |
Participants |
176 |
1 218 |
782 |
2 176 |
|
Ateliers |
Événements |
4 |
1 (virtuel) |
0 |
5 |
Participants |
200 |
63 |
0 |
263 |
|
Webinaires* |
Événements |
4 |
2 (virtuels) |
0 |
6 |
Participants* |
800 |
400 |
0 |
1 200 |
|
TOTAL |
Événements |
9 |
5 |
2 |
16 |
Participants |
1 176 |
1 681 |
782 |
3 639 |
* Le nombre total de participants aux webinaires est inconnu, puisque le nombre maximal d’ouvertures de session uniques à Webex est établi à 200. Il se peut donc que le nombre véritable de participants soit plus élevé.
Des sondages ont été distribués aux participants des colloques et des ateliers en personne et virtuels après leur tenue et, bien que le taux de réponse variait, les réponses ont été positives dans l’ensemble. Ces sondages portent toutefois sur une activité précise, et les taux de réponse semblent beaucoup plus faibles pour les événements virtuels que pour les événements en personne. Les formulaires de commentaires reçus comportaient pour la plupart des commentaires positifs au sujet des événements, y compris une meilleure connaissance des risques à la sécurité des SCI et des mesures d’atténuation ainsi qu’une meilleure préparation pour la gestion des risques à la sécurité des SCI. Il n’y a cependant aucun mécanisme en place pour effectuer un suivi auprès des participants par la suite afin de vérifier si, mus par ce qu’ils ont appris dans le cadre des événements portant sur les SCI, ils ont mis en place des mesures d’atténuation dans leur milieu de travail.
Cela dit, dès le début de 2022, les responsables du programme s’attachaient à mettre au point un sondage à distribuer aux intervenants afin d’évaluer l’utilité du programme des SCI dans son ensemble, et non seulement des activités individuelles.
3.2.2.2 Programme de cyberévaluation des IE
SP offre gratuitement aux propriétaires et exploitants des IE et aux organisations trois outils d’évaluation virtuels de leurs réseaux :
Analyse de la résilience de la sécurité du réseau (ARSR) – Réalisation d’une analyse technique pour informer les organisations sur les voies de risques d’attaques critiques, les secteurs de non-conformités avec les normes, et les options d’amélioration de la résilience.
Examen de la cyberrésilience du Canada (ECRC) – Mesure du degré de cybersécurité de l’organisation.
Outil canadien de cybersécurité (OCC) – Mesure de la résilience de la cybersécurité technique et de celle des programmes.
L’ARSR et l’ECRC sont des outils d’évaluation sur place qui sont offerts dans le cadre du Programme d’évaluation de la résilience régionale (PERR), mais qui ont dû être modifiés en outils en ligne pendant la pandémie de COVID 19.
Lancé en 2021, l’OCC est un outil d’autoévaluation qui prend moins de temps à réaliser, mais ne fournit pas aux organisations les mêmes données personnalisées que l’ARSR et l’ECRC.
Il n’y a pas eu à ce jour beaucoup d’évaluations réalisées à l’aide de l’ARSR et de l’ECRC, en partie en raison du travail requis pour modifier ces outils afin qu’ils puissent être réalisés en ligne et parce que de nombreux employés ont été contraints de mettre de côté leurs tâches habituelles pour se consacrer à la réponse à la pandémie de COVID 19.
2019-2020 |
2020-2021 |
2021-2022 (en date du 31 déc. 2021) |
Total |
|
---|---|---|---|---|
ARSR |
2 |
1 |
5 |
8 |
ECRC |
26 |
6 |
5 |
37 |
OCC |
- |
- |
190 |
190 |
Total |
28 |
7 |
200 |
235 |
Des évaluations ont été réalisées dans le cadre de l’ECRC pour des membres de huit des 10 secteurs des IE dans huit provinces pour la période comprise entre l’exercice 2019-2020 et celui de 2021-2022 (au 31 décembre 2021). Les trois quarts (76 %) des évaluations ont été réalisés dans les secteurs de l’énergie et des services publics, du gouvernement, des transports et de l’eau, tandis que plus de 40 % des évaluations étaient pour des membres en Ontario.
D’après les responsables du programme, la réponse aux outils d’évaluation en ligne est positive jusqu’à maintenant, et les propriétaires et exploitants d’IE sont nombreux à s’être inscrits pour des évaluations à venir. On constate toutefois l’absence de sondage de suivi à même le processus pour évaluer l’incidence des outils d’évaluation sur les activités de cybersécurité des clients. Si les outils du PERR comprennent un volet d’évaluation après coup, ce n’est pas le cas des outils d’évaluation virtuels de l’ARSR, de l’ECRC et de l’OCC.
Les responsables du Programme de cyberévaluation entendent intégrer des sondages de suivi aux évaluations virtuelles de l’ARSR, de l’ECRC et de l’OCC, puisqu’une rétroaction des clients serait fort utile, notamment pour ce qui est d’évaluer la mesure dans laquelle les évaluations ont aidé les organisations et de recueillir des données sur la mesure du rendement pour SP, en plus de cerner les aspects des outils d’évaluation qui gagneraient à être améliorés.
3.2.2.3 Programme d’exercices de cybersécurité des IE
Les responsables du Programme d’exercices de cybersécurité conçoivent et offrent des exercices à l’échelle nationale afin de mettre à l’épreuve les capacités des secteurs des IE à résister aux menaces et aux événements de cybersécurité. Ils prennent également part à des exercices mettant à l’épreuve les IE à l’échelle internationale, ou aident à la réalisation de tels exercices.
SP a dirigé ou codirigé deux exercices de cybersécurité depuis le lancement de ses initiatives dans le cadre de la SNCS. L’un de ces exercices, réalisé au pays, a été conçu par SP pour les intervenants d’un secteur d’IE précis canadien, tandis que l’autre, tenu à deux reprises, a été conçu afin de mieux informer les intervenants des 10 secteurs des IE sur les risques posés par les rançongiciels et sur l’importance de mettre en place et de renforcer les mesures d’atténuation. SP a également participé à trois exercices de cybersécurité internationaux, et le bilan a posteriori de certains de ces exercices a permis de fournir aux participants des conseils et des documents de référence afin de les aider à diminuer leur vulnérabilité aux cyberattaques comme les rançongiciels.
On ne peut que constater l’absence de données relatives aux mesures d’atténuation mises en place par les participants canadiens après les exercices dirigés par SP et de rétroaction de la part des participants au sujet des exercices. Il y a donc de toute évidence un besoin pour un outil de collecte de renseignements concernant les avantages que les participants ont tirés des exercices, par exemple les changements qu’ils ont apportés aux processus de cybersécurité de leur organisation en fonction de ce qu’ils y ont appris, de même qu’un outil de collecte de commentaires en vue des prochains exercices.
Certains exercices ont été annulés en raison de la pandémie de COVID 19, mais SP a profité de l’occasion pour améliorer sa capacité à offrir des exercices en ligne et s’est surtout attachée à mettre sur pied une application de conception d’exercices en ligne qui devrait être offerte aux intervenants en 2022.
3.2.3 Programme de coopération en matière de cybersécurité
Constatation
Les intervenants sont au fait du Programme de coopération en matière de cybersécurité (PCCS), et des projets sont en cours. S’il était prévu au départ d’utiliser les résultats et les conclusions issus des projets pour orienter le programme politique et la prise de décisions dans leur ensemble, il ne semble pas y avoir pour le moment de mécanisme ou de plan à cette fin.
Le PCCS est un programme de subventions et de contributions qui s’inscrit dans le troisième objectif de la SNCS, soit « Leadership, gouvernance et collaboration efficaces ». Il a pour but de commanditer des recherches et de produire des résultats complets qui aideront les gouvernements, les entreprises et les citoyens canadiens à mieux prévoir les tendances, s’adapter à un environnement en évolution et demeurer à la fine pointe de l’innovation au chapitre de la cybersécurité.
La mouture actuelle du PCCS est la réplique d’un programme pilote créé en 2014. Depuis, il y a eu deux appels de demandes, un en 2019 et un en 2020. En août 2021, 15 projets avaient reçu un financement et d’autres projets en étaient à différentes étapes du processus d’approbation. Le financement alloué au programme est déjà épuisé même s’il prend fin en 2024. Les demandes de projets sont évaluées par le personnel régional de SP, puis portées devant un comité consultatif interministériel composé de partenaires du secteur de la cybersécurité financés et non-financés. Ce comité consultatif recommande ensuite l’approbation des demandes les plus prometteuses par un comité de directeurs généraux.
L’analyse Web révèle que les intervenants consultent régulièrement la page Web du PCCS, les périodes les plus achalandées coïncidant avec les appels de demandes. Le nombre de visites dans une seule journée a plus que doublé en février 2021, ce qui coïncidait avec la date limite du dernier appel de demandes, par rapport à août 2019, qui coïncidait avec la date limite du premier appel de demandes. On peut donc en conclure que de plus en plus d’intervenants connaissent le programme, une conclusion que vient aussi confirmer le nombre de demandes reçues en 2020, qui étaient plus nombreuses que celles reçues en 2019.
Les appels de demandes visent à obtenir des propositions de projets dans trois volets différents :
Sécurité et résilience : Ce volet se veut un incitatif à la recherche et à l’action dans le domaine de la cyberrésilience. Seront financés les projets qui développent la capacité de prévenir les cyberattaques raffinées contre les systèmes et institutions du Canada, d’en atténuer les impacts et d’y répondre, ainsi que les projets qui contribuent à défendre les systèmes critiques des secteurs public et privé.
Innovation en matière de cybersécurité : Ce volet se veut un incitatif à la recherche et à l’action dans le domaine de la cyberrésilience. Seront financés les projets qui aident les gouvernements, les entreprises et les citoyens du Canada à anticiper les tendances, ainsi que les projets qui s’attaquent aux menaces émergentes envers la cybersécurité dues aux technologies nouvelles et perturbatrices.
Leadership efficace : Ce volet vise à ce que le gouvernement fasse preuve de leadership et encourage une action nationale coordonnée pour développer les connaissances, les compétences et l’innovation canadiennes en cybersécurité. Seront financés les projets qui affermissent la collaboration et la coordination des intervenants pour ce qui est d’approfondir la base de connaissances et la compréhension des enjeux de cybersécurité, ainsi que les projets qui affirment, préservent et défendent les valeurs et les intérêts du Canada.
2019 |
2020 |
Total |
||||
---|---|---|---|---|---|---|
Reçues |
Financées |
Reçues |
Financées |
Reçues |
Financées |
|
Sécurité et résilience |
41 |
7 |
69 |
4 |
110 |
11 |
Innovation en matière de cybersécurité |
35 |
8 |
27 |
5 |
62 |
13 |
Leadership efficace |
14 |
1 |
19 |
1 |
33 |
2 |
Total |
90 |
16 |
115 |
10 |
205 |
26 |
Les projets ayant été financés par le PCCS couvrent un large éventail d’enjeux de cybersécurité. En guise d’exemple, les projets de 2019 avaient pour but d’accroître le nombre de professionnels en cybersécurité; d’informer les policiers appelés à intervenir dans les cybercrimes et de perfectionner leurs compétences; d’approfondir les connaissances en cybersécurité dans les secteurs des IE; d’améliorer la cybersécurité pour les avancées technologiques comme les véhicules connectés et autonomes et l’informatique quantique; et de rehausser la cybersécurité de secteurs ciblés.
Sécurité et résilience
- Capacités en cybersécurité dans le secteur canadien de l’agriculture : Les technologies utilisées pour produire et distribuer des aliments évoluent à un rythme effréné. Ce projet a pour but de mieux protéger le secteur agricole essentiel du Canada contre les cyberattaques, tout d’abord en évaluant la capacité des producteurs à reconnaître les menaces, puis en obtenant la coopération des exploitants agricoles grâce à des ressources et des outils éducatifs.
Innovation en matière de cybersécurité
- Coding for Veterans : En situation de pénurie de professionnels en cybersécurité, l’organisme sans but lucratif Coding for Veterans aide les anciens combattants canadiens à se recycler et à apprendre de nouvelles compétences afin de trouver un emploi dans le secteur des technologies canadien, dont la cybersécurité.
Leadership efficace
- Projet de renforcement des capacités en cybersécurité des policiers des Premières Nations : Ce projet permet d’approfondir les connaissances des agents d’exécution de la loi au sujet du cybercrime et de constituer une trousse d’outils pour répondre aux incidents qualifiés de cybercrimes. Il comprend également une campagne de sensibilisation publique afin d’informer les communautés des Premières Nations en Alberta sur la cybersécurité et l’importance de se montrer alerte et prudent lorsqu’on utilise des cybersystèmes.
Bien que les projets financés couvrent un large éventail d’enjeux de cybersécurité, on constate que le montant du financement alloué pour ce programme représente moins du huitième du financement qui avait été demandé. D’aucuns craignent qu’avec une proportion de seulement 10 % des demandes qui reçoivent un financement, l’intérêt envers le programme s’émousse si les demandes sont continuellement rejetées par manque de fonds, cela sans compter que le financement versé pour les projets approuvés à l’issue des appels de demandes de 2019 et 2020 a complètement épuisé les fonds qui avaient été alloués dans le budget de 2018.
« Nous perdons peut-être de l’élan lorsque les gens font des demandes répétées et n’obtiennent pas de financement. »
Figure 1 : Montant des fonds demandés par rapport aux fonds approuvés en 2019 et 2020
Description de l’image
Un graphique circulaire qui démontre le montant des fonds demandés par rapport aux fonds approuvés.
Sur les 85,5 millions de dollars demandés dans les 205 demandes en 2019 et 2020, 26 projets financés ont reçu 10,4 millions de dollars.
Les responsables du Plan d’action national en matière de cybersécurité ont fait savoir que les projets financés par l’entremise du PCCS devraient servir à orienter les travaux futurs, à concevoir des solutions stratégiques proactives aux enjeux émergents et à mieux outiller le gouvernement pour ce qui est d’anticiper les tendances et les progrès.
Il est précisé dans le Plan d’action national en matière de cybersécurité et d’autres documents de programmes internes que ces intentions se concrétiseront grâce au soutien reçu par l’entremise de l’initiative Capacité en matière de politiques stratégiques. Il est indiqué plus précisément que cette initiative devrait être utile pour analyser les conclusions de recherche et veiller à ce que les résultats des projets financés soient pris en considération et intégrés au programme politique en général.
Bien qu’il soit trop tôt pour faire rapport des résultats des projets, il ne semble pas y avoir de mécanisme ou de plan en place pour consolider les conclusions des projets réalisés dans le cadre du PCCS d’une façon qui pourrait orienter le programme politique et la prise de décisions, ce qui complique l’établissement des rapports sur les résultats à moyen et à long terme. Des informateurs clés se sont dits préoccupés par le fait que la priorité soit mise sur le versement d’un financement aux bénéficiaires plutôt que sur la manière dont les résultats seront utilisés pour orienter les politiques ou serviront à réaliser des progrès vers l’atteinte des objectifs de la stratégie.
Constatation
Les bénéficiaires d’un financement avaient des avis partagés sur le soutien reçu de la part de SP relativement à l’initiative réalisée dans le cadre du PCCS. Certains des problèmes relevés pourraient être attribuables à la situation difficile dans laquelle s’est retrouvé le programme après qu’il a été décidé qu’il serait administré dans une direction générale ou un secteur, tandis que l’orientation stratégique serait déterminée ailleurs.
Les bénéficiaires d’un financement n’ont pas tous eu une expérience positive à rapporter concernant le soutien reçu de SP relativement à l’initiative réalisée dans le cadre du PCCS. Certains d’entre eux se sont dits satisfaits de l’expérience, en dépit des problèmes rencontrés.
Six bénéficiaires d’un financement ont indiqué avoir été satisfaits de certains aspects du soutien reçu ainsi que du processus de demande et des formulaires d’établissement de rapports. Le soutien pour la modification des projets lorsque la pandémie de COVID 19 a bouleversé le plan de travail et le budget a également été bien reçu.
Cinq bénéficiaires d’un financement ont indiqué avoir rencontré des difficultés avec certains aspects du soutien offert, notamment le processus de demande et les formulaires d’établissement de rapports. Certains bénéficiaires d’un financement ont fait état de retards dans les décisions relatives au financement et la distribution des fonds qui ont rejailli sur leur travail.
Certaines des difficultés rencontrées par les bénéficiaires d’un financement pourraient s’expliquer par les problèmes récemment mis au jour lors d’un examen interne qui portait sur les répercussions des programmes de subventions et de contributions sur les rôles et les responsabilités lorsqu’un programme est administré dans une direction générale ou un secteur, mais que l’orientation stratégique est déterminée ailleurs. Cet examen était centré plus particulièrement sur le PCCS, qui a servi d’exemple pour ce type de programme.
L’examen a révélé qu’en dépit des orientations mises en place, il régnait une certaine confusion au sein des deux secteurs responsables du PCCS quant aux rôles et aux responsabilités de chacun. Les aspects à examiner afin d’améliorer l’exécution du programme comprenaient un examen du modèle de gestion opérationnelle du Centre d’expertise des subventions et des contributions (S et C) afin de l’adapter comme il se doit, ainsi que la rédaction d’une entente écrite afin de communiquer avec précision les rôles et les responsabilités et de les jumeler avec les pouvoirs et les obligations appropriés. Des travaux sont en cours à cet égard.
3.2.4 Analyse comparative entre les sexes plus (ACS Plus)
Constatation
L’ACS Plus est une priorité pour SP. Bien que la diversité et l’inclusion figuraient parmi les facteurs prioritaires dans l’appel de demandes de 2020 pour le PCCS, la pleine portée de l’ACS+ n’a pas été prise en considération pour la majorité des initiatives de SP dans le cadre de la SNCS. Cela dit, des données démontrent que des efforts sont déployés pour remédier à ces lacunes.
Si l’importance de l’ACS Plus n’a pas été suffisamment expliquée dans la SNCS ou le Plan d’action national en matière de cybersécurité, ce n’était pas dans le cas des documents organisationnels relatifs aux initiatives de SP, dans lesquels il est indiqué que les Canadiens de différentes origines ethniques vivent les problèmes de cybersécurité chacun à leur manière. De plus, les lettres de mandat du ministre de la Sécurité publique de 2019, janvier 2021 (supplémentaire) et décembre 2021 comportaient une directive claire à l’intention de SP de soumettre toutes ses décisions à une ACS Plus.
La compréhension de l’ACS Plus n’est pas la même dans toutes les initiatives de SP dans le cadre de la SNCS, et on ne semble pas savoir avec exactitude comment l’utiliser lorsqu’il est question de cybersécurité et de technologies. Dans certains cas même, on ne semble pas du tout comprendre l’importance d’aborder l’élaboration et la mise en œuvre des activités sous l’angle de l’ACS Plus. Le problème ne semble cependant pas exclusif à SP, puisque certains répondants externes concernés par la SNCS ont eux aussi fait état d’un besoin similaire pour une meilleure compréhension de l’ACS Plus et de la manière de l’appliquer à la cybersécurité et aux technologies. Certains répondants dans le cadre de la SNCS ont expliqué les moyens pris pour améliorer la prise en compte du genre dans le cadre de leurs initiatives, tandis que quelques autres ont simplement indiqué que l’ACS Plus ne s’appliquait pas à la cybersécurité et aux technologies. Ce point de vue témoigne de l’importance d’apprendre à utiliser la perspective de l’ACS Plus pour évaluer l’incidence des technologies sur les personnes ayant des origines ethniques et des réalités différentes (p. ex. handicap, langue, revenus).
« Des personnes sont devenues vulnérables en raison de la pandémie parce qu’elles doivent interagir avec leur gouvernement entièrement en ligne pour recevoir des paiements essentiels et des soins de santé; et des petites et moyennes entreprises qui n’avaient aucune présence en ligne ont dû passer à une plateforme de commerce électronique juste pour joindre les deux bouts, … Cette situation crée un énorme vecteur de menaces et un risque pour ces populations vulnérables. »
Des données démontrent que SP et d’autres ministres et organismes prenant part à la SNCS accordent davantage d’importance à l’ACS Plus dans leurs initiatives. À l’automne 2021, SP a coanimé un atelier avec le CST afin de renforcer les capacités dans ce domaine des organisations participant à la SNCS et de cerner leurs besoins, l’objectif étant de faire des avancées à ce chapitre. Des plans ont été mis au point pour travailler avec les partenaires de la SNCS au renforcement de leurs capacités en matière d’ACS Plus. Il est notamment prévu d’établir des pratiques exemplaires et de poursuivre les recherches et les analyses en matière d’ACS Plus dans le secteur de la cybersécurité. De plus, SP collabore avec Statistique Canada pour ajouter des questions relatives à l’ACS Plus à l’Enquête canadienne sur la cybersécurité et le cybercrime, réalisée aux deux ans.
SP se dit déterminée à faire un usage régulier de l’ACS Plus pour l’avancement des priorités du Canada relatives à la cybersécurité et aux IE, qui englobent les initiatives de la SNCS dans son Plan ministériel de 2020-2021. Le PCCS illustre bien comment appliquer l’ACS Plus dans une initiative de la SNCS. L’appel de demandes de 2020 pour le PCCS était l’une des premières tentatives de SP de faire une plus grande place à la diversité et à l’inclusion dans les S et C, et il était clairement indiqué dans l’appel que les projets bénéficiant aux groupes sous représentés et vulnérables seraient privilégiés. L’appel de 2019 comprenait quant à lui des questions sur la place qui était accordée à la diversité dans le projet et les moyens pris pour veiller à ce qu’elle soit favorisée. Pour la majorité des 15 projets approuvés, la réponse à ces deux questions était positive et décrivait les différents problèmes liés à la cybersécurité qui pouvaient être vus sous l’angle de l’ACS Plus, comme le manque de diversité dans le secteur de la science, de la technologie, de l’ingénierie et des mathématiques et les difficultés avec lesquelles les communautés autochtones sont aux prises.
3.3 Leçons tirées
3.3.1 COVID 19
Constatation
La pandémie de COVID 19 a mené à des résultats inattendus pour les initiatives qui relèvent de SP dans le cadre de la SNCS. Heureusement, pour la majorité d’entre elles, il a été possible de les adapter et de passer en mode virtuel.
Une recrudescence des activités en ligne dans la vie personnelle et professionnelle s’accompagne d’une multiplication des risques cybernétiques.
Les colloques sur les SCI tenus depuis mars 2020 comprennent un volet sur les risques associés à la recrudescence du travail à distance pour la cybersécurité.
Les restrictions liées à la COVID 19 ont entraîné le report ou l’annulation de voyages et d’une majorité d’événements en personne, comme les réunions et les séances de formation.
SP a fait passer bon nombre des activités liées au programme des SCI en mode virtuel, temporairement pour certaines et de façon permanente pour d’autres. Dans le cas des colloques sur les SCI, on a observé une augmentation marquée du nombre de participants.
SP travaille également à trouver des moyens d’améliorer ses capacités en ligne, notamment en ce qui a trait aux exercices relatifs aux IE.
Sans que cela soit exclusivement attribuable aux restrictions relatives à la pandémie, des comités d’orientation stratégique et des groupes de travail ont dû adopter un modèle uniquement virtuel, et il a fallu pour cela trouver des moyens de favoriser la collaboration interministérielle et les appliquer.
4. Conclusions
Le nombre sans cesse croissant de menaces à la cybersécurité, les changements technologiques constants et l’utilisation des technologies virtuelles ne font que confirmer le caractère essentiel des initiatives de SP dans le cadre de la SNCS. En outre, la pandémie de COVID 19 a fait augmenter certains des risques liés à la cybersécurité, les organisations et les citoyens canadiens se tournant de plus en plus vers Internet pour s’acquitter de leurs activités au quotidien.
Pendant la période visée par l’examen, l’initiative Capacité en matière de politiques stratégiques a permis de réaliser des progrès vers l’atteinte de l’objectif général de la SNCS « Leadership, gouvernance et collaboration efficaces » en améliorant le partage de renseignements entre les ministères et agences financés et non-financés de la SNCS au moyen de réunions sur la cybersécurité entre sous-ministres, sous-ministres adjoints et directeurs généraux, de la mise sur pied de groupes de travail connexes et de la création d’un collectif en matière de cybersécurité qui communique de façon informelle. SP, grâce au travail réalisé dans le cadre de cette initiative, a été en mesure d’établir et de coordonner des partenariats avec des intervenants internationaux, quoique l’initiative portait surtout sur les processus administratifs visant à mettre à contribution le milieu, plutôt que sur l’avancement d’enjeux stratégiques, et sur la participation d’autres ordres de gouvernement à la SNCS.
L’initiative Appui aux propriétaires et exploitants canadiens d’IE consiste en trois programmes dont les activités ont permis de rejoindre des membres des dix secteurs des IE. La rétroaction des participants à la suite des activités s’est révélée être positive, quoiqu’elle se limite aux sondages réalisés à l’issue des activités et ne mesure pas l’incidence des programmes sur la cybersécurité des organisations.
Le PCCS a financé 15 projets dans trois volets d’activités dont les objectifs variaient, allant de l’augmentation du nombre de professionnels en cybersécurité à l’amélioration de la cybersécurité pour les avancées technologiques, telles que les véhicules connectés et autonomes et l’informatique quantique. D’autres projets débuteront en 2022-2023. Certains intervenants ont manifesté leur crainte que le financement alloué au programme ne soit pas suffisant pour répondre à la demande. Par ailleurs, il était prévu d’utiliser les résultats et les conclusions des projets du PCCS pour orienter le programme politique et la prise de décisions dans leur ensemble. Bien qu’il soit encore trop tôt pour les résultats, il ne semble pas y avoir de mécanisme en place pour consolider les conclusions.
Si SP s’était engagée à appliquer l’ACS Plus à ses priorités relatives à la cybersécurité et aux IE, il est toutefois manifeste qu’elle et ses partenaires dans la SNCS n’ont pas tout à fait compris comment appliquer la pleine portée de l’ACS Plus à la cybersécurité et aux technologies. Cela dit, des efforts récents de la part de SP et du CST témoignent d’une volonté parmi les partenaires participant à la SNCS d’en apprendre davantage sur les moyens à leur disposition pour mettre davantage l’accent sur l’ACS Plus dans le cadre de leurs initiatives, et des plans sont en cours de réalisation pour améliorer le renforcement des capacités dans ce domaine. Le PCCS comprenait un volet sur l’ACS Plus dans les appels de demandes, et la majorité des projets approuvés décrivaient comment la diversité était prise en considération et favorisée.
La pandémie de COVID 19 a entraîné un lot de difficultés pour les initiatives de SP, y compris l’obligation d’annuler des activités et des évaluations en personne. Heureusement, pour la majorité d’entre elles, il a été possible de les adapter et de passer en mode virtuel, ce qui semble avoir été bien reçu par les intervenants.
5. Recommandations
Le sous‑ministre adjoint principal, Secteur de la sécurité nationale et de la cybersécurité, devrait :
- Améliorer les efforts de leadership et de coordination en établissant des priorités dans le programme d’action, notamment résoudre les problèmes de partage de renseignements et tisser des liens avec d’autres ordres de gouvernement, plus particulièrement les provinces et territoires.
- Concevoir et mettre en place des processus de suivi afin de recueillir des données sur l’instauration de mesures d’atténuation par les participants ayant pris part à des activités destinées aux secteurs des IE.
- Élaborer une approche afin d’utiliser les conclusions des projets du PCCS pour orienter le programme d’action et la prise de décisions.
- Informer les intervenants sur l’application des volets diversité et inclusion inhérents à l’ACS Plus à la cybersécurité.
6. Plan d’action de la gestion
Recommandation |
Mesures prévues |
Date d’achèvement prévue |
---|---|---|
1. Améliorer les efforts de leadership et de coordination en établissant des priorités dans le programme d’action, notamment résoudre les problèmes de partage de renseignements et tisser des liens avec d’autres ordres de gouvernement, plus particulièrement les provinces et territoires. |
Améliorer le leadership et la coordination : En améliorant la gouvernance :
Améliorer l’échange de renseignements :
Renforcer les relations :
|
31 mars 2024 |
2. Concevoir et mettre en place des processus de suivi afin de recueillir des données sur l’instauration de mesures d’atténuation par les participants ayant pris part à des activités destinées aux secteurs des IE. |
La Direction générale des infrastructures essentielles (DGIE) examinera ses procédures et ses processus actuels de collecte d’information à la suite de sa participation aux activités relatives aux IE, en mettant l’accent sur les cyberévaluations, afin de recueillir d’autres renseignements dans le but de déterminer si les organisations ont mis des mesures d’atténuation en œuvre à la suite de leur participation à une cyberévaluation. |
31 mars 2023 |
3. Élaborer une approche afin d’utiliser les conclusions des projets du Programme de coopération en matière de cybersécurité (PCCS) pour orienter le programme d’action et la prise de décisions |
Renforcer la prise de décisions fondée sur des données probantes :
|
31 mars 2024 |
4. Informer les intervenants sur l’application des volets diversité et inclusion inhérents à l’analyse comparative entre les sexes plus (ACS Plus) à la cybersécurité. |
Accroître la sensibilisation et les capacités au sujet des sexes et de la diversité dans le domaine de la cybersécurité :
|
31 mars 2024 |
Annexe A - Comités de gouvernance en matière de cybersécurité
Membres financés :
- Service canadien du renseignement de sécurité
- Centre de la sécurité des télécommunications
- Emploi et Développement social Canada
- Affaires mondiales Canada
- Innovation, Sciences et Développement économique
- Ressources naturelles Canada
- Sécurité publique Canada
- Gendarmerie royale du Canada
Autres membres :
- Ministère de la Défense nationale
- Ministère des Finances
- Ministère de la Justice
- Santé Canada
- Bureau du Conseil privé
- Services publics et Approvisionnement Canada
- Services partagés Canada
- Transports Canada
- Secrétariat du Conseil du Trésor du Canada
Figure 2 : Organigramme des comités et groupes de travail sur la cybersécurité
Description de l’image
Cette graphique représente un organigramme des comités et groupes de travail sur la cybersécurité.
- Au sommet se trouve le Comité des sous-ministres sur la cybersécurité;
- En dessous se trouve le Comité des sous-ministres adjoints sur la cybersécurité; et,
- En dessous se trouve le Comité des directeurs généraux sur la cybersécurité.
Sous le Comité des directeurs généraux sur la cybersécurité se trouvent neuf groupes de travail et équipes spéciales:
- Groupe de travail sur les menaces hybrides
- Groupe de travail sur le perfectionnement des compétences et de la main d’œuvre
- Groupe de travail sur la stratégie de données
- Équipe spéciale sur l’examen de mi-parcours
- Groupe de travail sur les rançongiciels
- Groupe de travail sur la technologie 5G
- Groupe de travail sur les cybersystèmes essentiels
- Groupe de travail sur la coordination du Groupe des cinq
- Groupe de travail sur l’innovation
Annexe B - Initiatives de la SNCS
Initiative |
Ministère responsable |
---|---|
Objectif 1 – Des systèmes sécurisés et résilients |
|
Appui aux propriétaires et exploitants des IE du Canada |
Sécurité publique Canada |
Évaluation intégrée des menaces améliorée |
Centre de la sécurité des télécommunications |
Préparer les communications gouvernementales pour les progrès de l’informatique quantique |
Centre de la sécurité des télécommunications |
Étendre la portée des conseils et des directives aux secteurs des finances et de l’énergie |
Centre de la sécurité des télécommunications |
Collecte de renseignement cybernétique et évaluation des cybermenaces |
Service canadien du renseignement de sécurité |
Groupe national de coordination contre la cybercriminalité |
Gendarmerie royale du Canada |
Capacité de la Police fédérale à réprimer la cybercriminalité |
Gendarmerie royale du Canada |
Objectif 2 – Un écosystème du cyberespace novateur et adaptable |
|
Programme de stages pratiques en cybersécurité pour étudiants |
Emploi et Développement social Canada |
Évaluation et certification en cybersécurité pour les petites et moyennes entreprises (PME) |
Innovation, Sciences et Développement économique Canada (ISDE), avec le CST et le Conseil canadien des normes (CCN) |
Objectif 3 – Leadership, gouvernance et collaboration efficaces |
|
Capacité en matière de politiques stratégiques sur la cybersécurité et la cybercriminalité |
Sécurité publique Canada |
Programme de coopération en matière de cybersécurité (PCCS) |
Sécurité publique Canada |
Centre canadien pour la cybersécurité |
Centre de la sécurité des télécommunications |
Cadre stratégique international pour le cyberespace |
Affaires mondiales Canada |
Collaboration bilatérale sur la cybersécurité et l’énergie |
Ressources naturelles Canada |
- Date de modification :