Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Audit de la cybersécurité à Santé Canada et à l’Agence de la santé publique du Canada

Télécharger en format PDF
(394 Ko, 10 pages)

Organisation : Santé Canada

Date publiée : Avril 2024

Rapport définitif
Décembre 2023

Préparé par le Bureau de l'audit et de l'évaluation
Santé Canada et l'Agence de la santé publique du Canada

Table des matières

Résumé

Introduction

Depuis le début de la pandémie de COVID 19, la connectivité de réseau continue à augmenter à une vitesse exponentielle. Les entreprises et les gouvernements sont donc exposés à un risque accru de cyberattaques, qui deviennent de plus en plus fréquentes et sophistiquées. C'est pourquoi la cybersécurité est devenue un domaine particulièrement préoccupant et de plus en plus important pour tous les organismes du gouvernement fédéral.

La cybersécurité est une responsabilité pangouvernementale partagée entre Services partagés Canada (SPC), le Centre de la sécurité des télécommunications (CST) et tous les autres ministères et agences. Santé Canada (SC) et l'Agence de la santé publique du Canada (ASPC) font appel à SPC pour leur réseau d'entreprise et l'infrastructure connexe. SPC constitue la première ligne de défense en matière de cybersécurité en surveillant les réseaux et les serveurs du gouvernement du Canada de façon continue et en assurant la protection du périmètre. De plus, le CST, plus précisément le Centre canadien pour la cybersécurité (CCC), assure la surveillance de la cybersécurité à l'échelle du gouvernement et émet des alertes et des conseils à l'intention des ministères. Santé Canada et l'ASPC sont responsables de toutes les activités relatives aux points finaux, y compris la surveillance des ordinateurs de bureau, les journaux des applications professionnelles et les campagnes de sensibilisation sur des questions telles que l'hameçonnage et les activités des utilisateurs.

La cybersécurité est une responsabilité partagée au sein de Santé Canada et de l'ASPC. Depuis sa création, en avril 2022, la Direction générale de la transformation numérique (DGTN) partage la responsabilité en matière de cybersécurité avec la Direction générale des services de gestion (DGSG). Conformément à la Politique sur la sécurité du gouvernement (PSG) du Secrétariat du Conseil du Trésor du Canada (SCT), le dirigeant principal de la sécurité (DPS), qui est également le sous ministre adjoint de la DGSG, est chargé de la création, de la gouvernance et de la mise à jour des programmes de sécurité. Conformément à la Directive sur les services et le numérique (DSN) du SCT, l'agent désigné pour la cybersécurité (ADC), qui fait partie de la DGTN, est chargé des opérations quotidiennes de cybersécurité, y compris le processus d'évaluations et d'autorisations de sécurité (EAS). Bien que la responsabilité ultime de la sécurité, tant la sécurité physique que la cybersécurité, incombe au DPS, les deux directions générales doivent travailler en étroite collaboration pour garantir un succès continu.

Étant donné l'importance de la cybersécurité, ainsi que la récente répartition des responsabilités entre la DGTN et la DGSG, il est essentiel d'évaluer si les processus de gestion des risques et les structures de gouvernance actuels fonctionnent correctement pour permettre à Santé Canada et à l'ASPC de se protéger efficacement contre les menaces en matière de cybersécurité, de les reconnaître, de les détecter, d'y réagir et d'y remédier. Cet audit a été proposé comme le premier d'une série de missions d'assurance potentielles en matière de cybersécurité afin de garantir que les concepts clés de gouvernance et de gestion des risques sont en place et fonctionnent efficacement. D'autres projets sont envisagés dans le cadre des mises à jour du Plan d'audit axé sur les risques.

Objectif de la mission

L'objectif était d'évaluer l'efficacité des processus de gouvernance et de gestion des risques en matière de sécurité des TI conçus pour contrer et atténuer les risques en matière de cybersécurité auxquels Santé Canada et l'ASPC sont confrontés. Veuillez consulter l'annexe B pour plus de détails sur la portée de l'audit, les critères, la méthodologie et l'approche, ainsi que pour un énoncé de conformité.

Conclusions générales

Globalement, Santé Canada et l'ASPC ont mis en œuvre les éléments des processus de gouvernance et de gestion des risques nécessaires pour reconnaître et atténuer les risques en matière de cybersécurité. Plus précisément, Santé Canada et l'ASPC ont désigné des responsables de la cybersécurité pour promouvoir la responsabilisation, ont mis en œuvre un processus de gestion des cyberincidents et ont défini les rôles et responsabilités du groupe de sécurité des TI et des autres intervenants au moyen de normes et de lignes directrices publiées. Santé Canada et l'ASPC ont également indiqué et évalué les risques de haut niveau dans les documents de l'organisation, défini des processus d'évaluation des risques au niveau opérationnel, conclu des accords avec des tiers et des intervenants pour soutenir les activités de sécurité des TI et proposé à la haute direction un nouveau comité de sécurité des TI intraministériel à la fin de la période de l'audit.

L'audit a relevé la possibilité suivante d'amélioration des principaux processus de gouvernance et de gestion des risques à Santé Canada et à l'ASPC :

Critère 1 – Gouvernance

Contexte

Il est important de disposer d'une structure de gouvernance clairement définie et bien comprise, incluant des rôles et des responsabilités définis en matière de cybersécurité, afin de prévenir et d'atténuer efficacement les cybermenaces.

Au sein de Santé Canada et de l'ASPC, les activités et les responsabilités en matière de sécurité sont réparties entre l'équipe de sécurité des TI de la DGTN et la Division générale de la sécurité nationale (DGSN) de la DGSG.

Les activités liées à la cybersécurité au sein de la DGTN sont principalement régies par la Directive sur les services et le numérique du SCT. Les activités relatives à la sécurité en général, y compris la cybersécurité, sont principalement régies par la Directive sur la gestion de la sécurité du SCT.

Que nous attendions-nous à trouver?

Nous pensions constater que la structure de gouvernance soutenant la cybersécurité assure une surveillance efficace des principales activités ministérielles de sécurité des TI et qu'elle garantit une harmonisation avec les politiques, les directives et les normes pertinentes. Nous pensions de plus constater que les rôles et responsabilités étaient clairement définis, que les responsables de la sécurité étaient désignés de manière appropriée et que les comités travaillaient conformément aux mandats qui leur ont été confiés, les informations clés étant partagées en temps utile avec les décideurs. Nous nous attendions à ce que des accords aient été conclus avec les principaux partenaires et à ce que la structure de gouvernance soit réexaminée de manière continue afin de garantir sa pertinence et son efficacité.

Constatations

Globalement, nous avons constaté que Santé Canada et l'ASPC ont désigné des responsables, tels que le DPI, le DPS et l'ADC, qui sont chargés de la cybersécurité et qui doivent rendre compte à ce sujet. Santé Canada et l'ASPC disposent de processus documentés pour gérer les différents cyberincidents, et les rôles et responsabilités des comités de sécurité des TI du niveau opérationnel ont été bien définis. Nous avons toutefois constaté que la structure de gouvernance plus large soutenant la cybersécurité, y compris les relations hiérarchiques informelles et les attentes des autres comités concernés, n'était pas clairement documentée. De plus, les comités de la haute direction chargés de donner une orientation stratégique en matière de cybersécurité ne s'étaient pas réunis régulièrement au cours de la période d'audit ou n'avaient pas abordé la question de la cybersécurité. Cette absence de rapports systématiques sur la cybersécurité lors des réunions des comités pourrait faire en sorte que la haute direction ne soit pas avisée du volume et de la nature des atteintes à la cybersécurité ou qu'elle ne comprenne pas bien ces éléments. Elle pourrait également accroître le niveau de coordination et de surveillance nécessaire pour gérer efficacement les risques en matière de cybersécurité. De plus, une structure et un processus de gouvernance non documentés pourraient entraîner une mauvaise communication et un chevauchement des efforts au sein du Ministère et de l'Agence.

Santé Canada et l'ASPC se sont appuyés sur des relations hiérarchiques informelles pour communiquer des informations sur les cyberincidents, les risques globaux et les décisions de gouvernance. De plus, il n'existe pas de lien hiérarchique formel avec la haute direction au sein du Ministère et de l'Agence. En conséquence, les fonctions attendues du comité, telles que le suivi des risques en suspens, la notification des changements touchant le contexte de risque et l'évaluation du rendement, ont été traitées par d'autres moyens, généralement incident par incident. Par exemple, le rendement en matière de cybersécurité a été évalué lors de l'établissement de rapports à l'intention de la haute direction sur des initiatives menées par le SCT, telles que le Plan ministériel sur les services et le numérique (PMSN) et l'auto-évaluation de la cybermaturité (AEC), ainsi que lors d'exercices visant à garantir l'harmonisation avec les orientations du CST. Les structures et processus informels de production de rapports pourraient entraîner une rupture de la communication, ce qui aurait pour conséquence que des questions essentielles ne seraient pas abordées ou ne seraient pas communiquées en temps opportun aux personnes concernées, qu'il y aurait un chevauchement des efforts et qu'on entraînera un manque de comptabilité en ce qui concerne les responsabilités en matière de cybersécurité.

Les rôles et responsabilités généraux en matière de cybersécurité, y compris le rôle de l'équipe de sécurité des TI, du DPI et du dirigeant principal adjoint de la sécurité (DPAS) au sein de la DGSN, ont été décrits dans les 22 normes et lignes directrices approuvées en matière de sécurité des TI auxquelles les employés ont accès dans l'intranet, ainsi que dans les plans de sécurité ministériels (PSM) 2019 2022 de Santé Canada et de l'ASPC. L'accord sur les services partagés a également défini les rôles, les responsabilités et les obligations de rendre compte de ces groupes. Bien que la plupart (77 %) des normes et lignes directrices en matière de sécurité des TI aient été révisées depuis janvier 2020, peu d'entre elles ont été mises à jour depuis la création de la DGTN en avril 2022 afin de refléter le récent changement de rôles et de responsabilités au sein de la DGSG et de la DGTN. À la fin de la période de l'audit, les PSM devaient également être mis à jour et n'avaient pas été examinés ainsi que l'exige la Politique sur la sécurité du gouvernement du SCT. L'absence de rôles et de responsabilités clairs en matière de cybersécurité, au niveau général et dans le contexte des organes directeurs, peut entraîner une utilisation inefficace des ressources, un chevauchement des efforts et un manque de collaboration nécessaire pour répondre aux menaces de cybersécurité et les prévenir, en particulier dans le nouveau contexte DGTN DGSG.

Enfin, la structure de gouvernance n'a pas fait l'objet d'un examen approfondi pour s'assurer de sa pertinence et de son efficacité et pour faire en sorte que les comités existants discutent des questions liées à la cybersécurité. Des examens réguliers des processus de cybersécurité ont été menés dans le cadre d'initiatives prescrites par le SCT, telles que le PMSN et l'AEC, et certains éléments de ces examens, en particulier dans le cadre de l'AEC, étaient liés à la gouvernance. Toutefois, compte tenu de la récente répartition des responsabilités en matière de cybersécurité entre la DGSG et la DGTN, il serait particulièrement important de revoir officiellement la structure de gouvernance afin d'assurer une communication efficace entre le DPI, le DPS, l'ADC, le coordonnateur de la sécurité des technologies de l'information (CSTI) et leurs équipes respectives. Cela peut nécessiter des travaux allant au delà du comité de sécurité intraministériel proposé, en particulier en ce qui concerne les relations hiérarchiques formelles. Une structure de gouvernance inefficace peut entraîner des prises de décision inopportunes ou mal éclairées, des problèmes clés non corrigés, des activités cloisonnées et une utilisation inefficace des ressources.

Il convient de noter que, afin de rationaliser les communications et d'atténuer les risques, un nouveau comité intraministériel sur la sécurité des TI a été proposé à la haute direction au cours de la période d'audit. Le comité n'avait toutefois pas été constitué à la fin de la période de l'audit.

Conclusions

Globalement, Santé Canada et l'ASPC ont mis en place les éléments d'un cadre de gouvernance pour établir et maintenir un dispositif de cybersécurité approprié. Il était toutefois possible d'améliorer le partage d'informations, la production de rapports et la surveillance afin de faciliter la prise de décision au niveau de la haute direction. Des discussions sur des questions telles que les priorités, les tendances, les préoccupations et les contrôles émergents devraient avoir lieu soit au niveau de la haute direction, soit au sein du nouveau comité intraministériel sur la sécurité des TI. Les principaux documents de gouvernance devraient également être mis à jour afin de garantir que les rôles et les responsabilités respectifs de la DGTN et de la DGSG sont clairement définis et compris. Sans une compréhension claire des rôles et des responsabilités, les risques en matière de cybersécurité pourraient ne pas être gérés de manière appropriée, ce qui pourrait accroître le risque de cyberattaques contre le Ministère et l'Agence.

Recommandation 1 : Il est recommandé que le SMA de la DGTN, qui est l'agent désigné pour la cybersécurité, en collaboration avec le DPI et le SMA de la DGSG, qui est aussi le DPS, examine, mette à jour, documente et communique la structure de gouvernance et les comités existants en matière de cybersécurité afin de refléter le nouveau contexte opérationnel de la DGTN DGSG et de faire en sorte que la haute direction soit tenue informée des problèmes potentiels et évoluants en matière de cybersécurité, des pratiques de gestion des risques et des mesures de rendement. Cela leur permettra de prendre des décisions éclairées et de donner des orientations stratégiques sur la manière d'atténuer les problèmes anticipés en matière de cybersécurité.

Critère 2 – Gestion des risques

Contexte

La Directive sur la gestion de la sécurité (DGS) et la Politique sur les services et le numérique (PSN) renferment l'une et l'autre des orientations sur les activités prévues de gestion des risques en matière de cybersécurité. De plus, les procédures opérationnelles normalisées existantes décrivent la manière dont les risques doivent être déterminés, évalués, surveillés et signalés.

Bien que SPC et le CCC soient chargés de surveiller les cybermenaces à l'échelle du gouvernement, Santé Canada et l'ASPC sont chargés de surveiller toutes les activités des points finaux et d'évaluer, de prioriser et d'atténuer les risques relevés, selon le besoin.

Que nous attendions-nous à trouver?

Nous pensions constater que des processus de gestion des risques étaient en place et suivis pour cerner, évaluer et prioriser les risques en matière de cybersécurité. Nous nous attendions à ce que ces processus soient bien documentés et harmonisés avec les politiques, les directives et les pratiques exemplaires du gouvernement. Nous nous attendions de plus à ce que les processus de gestion des risques renferment la détermination de stratégies appropriées d'atténuation des risques et des recommandations adressées à la haute direction sur la manière d'améliorer le dispositif global de Santé Canada et de l'ASPC en matière de cybersécurité.

Constatations

Globalement, nous avons constaté que Santé Canada et l'ASPC ont défini des processus de gestion des risques pour identifier et évaluer les risques en matière de cybersécurité, mais uniquement au niveau opérationnel et au niveau des cyberincidents. Ces processus ont été documentés dans des procédures opérationnelles normalisées internes et dans d'autres documents à l'appui. Nous avons également constaté que les risques sont suivis au niveau de l'organisation au moyen des PSM et du profil de risque de l'organisation (PRO). Nous avons toutefois constaté que les processus de priorisation et de suivi des risques au sein de Santé Canada et de l'ASPC sont insuffisants, notamment en raison de l'absence de registre centralisé des risques en matière de cybersécurité. De plus, le suivi et l'établissement de rapports sur les cybermenaces ont été réalisés de manière informelle, en fonction des besoins, et se sont fortement concentrés sur les rapports relatifs à des incidents particuliers.

Les processus opérationnels de gestion des risques étaient bien documentés, en particulier ceux relatifs au processus d'évaluation et d'autorisation de sécurité (EAS). La documentation n'a toutefois pas été revue régulièrement, ni mise à jour, et certaines sections sont périmées. Par exemple, comme nous l'indiquons plus haut, la plupart des normes disponibles dans l'intranet n'avaient pas été mises à jour pour tenir compte du récent changement de responsabilités au sein de la DGTN et de la DGSG, de sorte que les sections relatives à la responsabilité n'étaient plus d'actualité. Si les processus de gestion des risques ne sont pas mis à jour régulièrement, les processus de planification pourraient ne pas refléter le paysage actuel des risques et il est possible que des risques soient négligés, ce qui exposerait le Ministère et l'Agence à un risque accru de cyberattaque.

Il n'existait pas de registre centralisé des risques permettant de suivre l'évolution des risques et de s'assurer qu'ils n'étaient pas négligés. Les risques liés aux applications opérationnelles ont été évalués de manière formelle dans le cadre du processus d'EAS, mais les informations permettant de suivre ou de prioriser les risques n'ont pas été saisies de manière formelle entre les évaluations. Bien que les risques au niveau de l'organisation aient été pris en compte dans les PSM et le PRO, la priorisation des risques en matière de cybersécurité a été principalement discutée dans le cadre de courriels et de discussions informels; certains risques pourraient donc être négligés et ne pas être évalués, ce qui rendrait ainsi les mesures de contrôle actuelles moins efficaces et augmenterait en fin de compte le risque de cyberattaques réussies.

Bien que les normes et les lignes directrices publiées décrivent les exigences en matière de suivi et d'établissement de rapports pour les activités de gestion des cyberrisques, les données relatives à ces paramètres n'ont pas été recueillies ou communiquées systématiquement de manière formelle. La plupart des rapports adressés à la haute direction étaient basés sur les incidents de cybersécurité au fur et à mesure qu'ils se produisaient. Tous les exemples de rapports fournis à l'équipe d'audit sur le paysage des risques et les mesures d'atténuation dataient de moins d'un an, aucun rapport n'ayant été fourni pour la période de janvier 2020 à janvier 2022. Les rapports d'incidents informatiques ne renfermaient pas d'informations permettant de suivre l'évolution du rendement au fil du temps, ce qui rendait difficile la détermination des tendances en matière de gestion des risques. À la fin de la période de l'audit, les mécanismes informels de notification, tels que les courriels, les appels et les réunions bilatérales prévues, constituaient la principale méthode par laquelle les rapports et les informations relatifs à la cybersécurité étaient partagés avec la haute direction, notamment le DPI, l'ADC et le DPAS. Les structures informelles d'établissement de rapports peuvent conduire à une mauvaise communication, ainsi qu'à des enjeux importants qui ne sont pas pris en compte ou qui ne sont pas communiqués en temps utile aux personnes appropriées, à un chevauchement des efforts et à un manque de responsabilisation.

Il est important de noter que les activités d'établissement de rapports prescrites par le SCT, comme l'auto-évaluation de la cybermaturité, ont été utilisées pour rendre compte à la haute direction des processus existants de gestion des risques, étayer les évaluations des risques, déterminer les possibilités d'amélioration et planifier les étapes suivantes. Cela n'a toutefois pas été fait d'une manière régulière ou programmée ni dans le cadre d'une gouvernance formelle. La recommandation 1 comprend les éléments suivants :

L'existence de ces éléments aidera la haute direction à prendre des décisions éclairées et à donner une orientation stratégique sur la manière d'atténuer les problèmes liés à la cybersécurité.

Conclusion

Globalement, Santé Canada et l'ASPC ont mis en œuvre certains processus de gestion des risques afin de cerner, d'évaluer et de prioriser les risques en matière de cybersécurité à Santé Canada et à l'ASPC. Il existe toutefois des possibilités d'améliorer la priorisation et le suivi des risques dans les deux organisations. De plus, Santé Canada et l'ASPC devraient veiller à ce que leurs normes reflètent les rôles et responsabilités actualisés de la DGTN et de la DGSG et à ce que le suivi et les rapports sur l'efficacité de la gestion des risques en matière de cybersécurité soient effectués de manière plus formelle. Si les cyberrisques ne sont pas priorisés et surveillés, cela pourrait donner un dispositif de cybersécurité inefficace et perturber les activités de Santé Canada et de l'ASPC en cas de cyberattaque réussie.

Recommandation 2 : Il est recommandé que le SMA de la DGTN, en collaboration avec le DPI et le SMA de la DGSG, mette en œuvre un système centralisé de suivi et de priorisation des risques en matière de cybersécurité en saisissant les risques issus des processus internes tels que les EAS, les tendances relevées par le Centre canadien pour la cybersécurité et les risques issus de la surveillance exercée à l'échelle du gouvernement.

Annexe A – Fiche d'évaluation

Cote de risque (risque qui demeurera si la recommandation n'est pas mise en œuvre)

  1. Risque minimal
  2. Risque mineur
  3. Risque modéré
  4. Risque important
  5. Risque majeur
Risques provenant de l'audit
Critère Cote de risque Risque qui demeurera si la recommandation n'est pas mise en œuvre No. de la recommandation
Critère 1 : Santé Canada et l'ASPC ont mis en place un cadre de gouvernance pour établir et maintenir un dispositif de cybersécurité approprié. 3

Un cadre de gouvernance inadéquat a des répercussions négatives sur toutes les activités de cybersécurité et, à ce titre, des cadres sont nécessaires pour donner une orientation stratégique, promouvoir la collaboration et établir des processus appropriés de gestion des risques. Par conséquent, un cadre de gouvernance de la cybersécurité qui ne fonctionne pas comme prévu peut avoir une incidence sur l'aptitude de l'organisation à reconnaître les cyberévénements, s'en protéger, les détecter, y réagir et y remédier. En outre, le manque de caractère officiel et de cohérence dans la gestion de la cybersécurité signifie que Santé Canada et l'ASPC fonctionnent de manière réactive et non proactive, ce qui peut laisser subsister des risques liés à la continuité des activités et à la garantie que les informations parviennent aux décideurs en temps utile pour faciliter la prise des décisions.

Étant donné que Santé Canada et l'ASPC ont proposé de mettre en place un comité de sécurité intraministériel des TI, le niveau de risque applicable à ce critère est modéré. Toutefois, compte tenu de la récente restructuration organisationnelle des activités de sécurité entre la DGSG et la DGTN, Santé Canada et l'ASPC auraient intérêt à revoir la structure de gouvernance pour garantir que les cyberrisques continuent d'être gérés et atténués comme il se doit.

 1
Critère 2 : Des processus sont en place pour cerner, évaluer et prioriser les risques liés à la sécurité des TI, y compris la détermination des mesures d'atténuation appropriées. 2

Des processus efficaces de gestion des risques sont essentiels pour garantir que les cyberrisques auxquels les deux organisations sont confrontées sont cernés, évalués, priorisés, atténués et signalés correctement. Ainsi, si les processus sont inadéquats, les risques pourraient ne pas être gérés ou traités correctement, ce qui laisserait Santé Canada et l'ASPC exposés à des cyberattaques.

Bien que les risques soient gérés aux niveaux stratégique et opérationnel, ils n'ont pas fait l'objet d'une priorisation, d'un suivi ou d'un contrôle formels et Santé Canada et l'ASPC se sont appuyés sur des relations informelles entre les partenaires en matière de sécurité pour communiquer des informations et atténuer les risques.

 2

Annexe B – À propos de l'audit

  1. Objectif de l'audit

    L'objectif était d'évaluer l'efficacité des processus de gouvernance et de gestion des risques en matière de sécurité des TI conçus de manière à contrer et à atténuer les risques de cybersécurité auxquels Santé Canada et l'ASPC sont confrontés.

  2. Critères d'audit

    Critère 1 – Santé Canada et l'ASPC ont mis en place un cadre de gouvernance pour établir et maintenir un dispositif de cybersécurité approprié.

    Critère 2 – Des processus sont en place pour cerner, évaluer et prioriser les risques liés à la sécurité des TI, y compris la détermination des mesures d'atténuation appropriées.

  3. Portée de l'audit

    La portée était limitée aux processus de gouvernance de la sécurité des TI et de gestion des risques que Santé Canada et l'ASPC ont mis en œuvre pour atténuer les cyberattaques contre leurs informations et leurs actifs de TI. L'audit n'a pas porté sur le caractère adéquat des mesures techniques visant à prévenir, surveiller et détecter les cyberattaques, à y réagir et à y remédier. Ces domaines peuvent faire l'objet d'audits futurs. L'audit a également exclu le Laboratoire national de microbiologie au sein de l'ASPC, qui fait l'objet d'un audit distinct et simultané sur la cybersécurité.

  4. Méthode de l'audit

    La méthode de l'audit comprenait notamment les éléments suivants, sans s'y limiter :

    • des entretiens avec la haute direction et les employés;
    • des examens de la documentation pertinente et des mesures de contrôle connexes.

  5. Énoncé de conformité

    Le présent audit a été réalisé conformément aux Normes internationales pour la pratique professionnelle de l'audit interne et est validé par les résultats du programme d'amélioration et d'assurance de la qualité du Bureau de l'audit et de l'évaluation.

Détails de la page

Date de modification :