Note pour la période des questions : Rapport de la vérificatrice générale sur la cybersécurité des renseignements personnels dans le nuage

Retour à la page de recherche

About

Numéro de référence :
PSPC-2022-QP-00066
Date fournie :
10 nov. 2022
Organisation :
Services publics et Approvisionnement Canada
Nom du ministre :
Jaczek, Helena (L’hon.)
Titre du ministre :
Ministre des Services publics et de l’Approvisionnement

Enjeu ou question :

Le Bureau du vérificateur général du Canada déposera au Parlement du Canada un rapport indépendant de la vérificatrice le 15 novembre 2022. Services partagés Canada (SPC) participe à la réponse au chapitre sur la cybersécurité des renseignements personnels dans le nuage. La présidente du Conseil du Trésor dirigera la réponse du gouvernement au rapport intégral à la Chambre des communes.

Réponse suggérée :

  • Nous accueillons favorablement les résultats de l’audit et les recommandations formulées par le Bureau du vérificateur général. Cet audit aidera le gouvernement à renforcer son cadre opérationnel pour les services infonuagiques
    • SPC, Services publics et Approvisionnement Canada et le Secrétariat du Conseil du Trésor travaillent de façon proactive pour assurer la sécurité des renseignements personnels
    • SPC collabore étroitement avec le Secrétariat du Conseil du Trésor pour renforcer la validation et l’application des mesures de sécurité et pour assurer la coordination avec les ministères
    • Quand il est question de l’hébergement des renseignements dans le nuage, cela comprend :
    • L’application des exigences de sécurité dans le cadre des contrats;
    • Le processus de validation et d’application des mesures de sécurité;
    • La validation de la conformité des fournisseurs en matière de sécurité

Si l’on insiste sur les critères environnementaux dans le cadre des processus d’approvisionnement en services infonuagiques :

  • SPC et Services publics et Approvisionnement Canada publieront bientôt un modèle standard pour les contrats de services infonuagiques qui comprendra des conditions relatives à la durabilité pour les fournisseurs de services infonuagiques
  • À l’avenir, SPC inclura des critères environnementaux cotés dans les nouveaux appels d’offres concurrentiels aux termes de l’accord-cadre infonuagique du gouvernement du Canada

Si l’on insiste sur l’infonuagique :

  • SPC joue le rôle de centre d’excellence pour les services infonuagiques dans l’ensemble du gouvernement, fournissant une expertise technique et des outils pour guider les clients dans l’adoption de l’infonuagique
  • Des normes de sécurité ont été établies pour soutenir l’adoption sûre et agile de services d’hébergement en nuage comme outil permettant aux ministères et organismes fédéraux d’améliorer les services à la population canadienne
  • Huit accords-cadres sont en place avec des fournisseurs de services qualifiés pour des services infonuagiques sécurisés, ainsi que sept arrangements en matière d’approvisionnement actifs pour l’achat d’applications SaaS (logiciel en tant que service) axées sur les clients

Si l’on insiste sur la sécurité :

  • SPC travaille avec les organisations gouvernementales pour s’assurer que les systèmes d’infrastructure sont robustes et exécutent les services qui leur sont demandés, maintenant et dans l’avenir, et qu’ils sont hébergés dans des environnements modernes et sécurisés
  • SPC permet aux ministères de migrer leurs applications vers le nuage en fournissant des services de connectivité au nuage sécurisés

Contexte :

L’audit avait pour objectif de déterminer si le gouvernement du Canada (GC), notamment le Secrétariat du Conseil du Trésor (SCT), le Centre de la sécurité des télécommunications du Canada (et son Centre canadien pour la cybersécurité), Services partagés Canada (SPC) ainsi que Services publics et Approvisionnement Canada (SPAC), avaient mis en place une gouvernance, des lignes directrices et des outils adéquats pour prévenir les événements de cybersécurité qui pourraient toucher les renseignements personnels de la population canadienne stockés dans le nuage, détecter ces événements et agir en conséquence. L’audit a aussi permis d’examiner si le GC respectait ses engagements en matière d’environnement et de développement durable dans le cadre de ses processus d’approvisionnement en services infonuagiques.

Pour SPC, l’audit a porté plus particulièrement sur les rôles et les responsabilités du ministère concernant l’approvisionnement en services infonuagiques commerciaux ainsi que la validation et la surveillance de la conformité des contrôles de sécurité de l’informatique en nuage. SPAC était visé en raison de son rôle en matière d’approvisionnements à l’échelle du GC et de sécurité des contrats.

Le GC n’a pas inclus de critères environnementaux dans le cadre de ses processus d’approvisionnement en services infonuagiques afin de suivre des pratiques d’approvisionnement durables et de réduire les émissions de gaz à effet de serre.

La vérificatrice générale a formulé cinq recommandations dans son rapport, dont quatre concernent SPC.

Recommandation 1

En consultation avec SPC et SPAC, le SCT devrait faire ce qui suit :

  • Étendre les exigences relatives aux mesures de sécurité aux contrats de services infonuagiques qui découlent d’arrangements en matière d’approvisionnement établis par SPAC;
  • Préciser qui est responsable de la validation initiale et de la surveillance en continu des mesures de sécurité d’informatique en nuage ainsi que les processus à suivre

Recommandation 2

En consultation avec le Centre de la sécurité des télécommunications du Canada, SPC, SPAC et les ministères, le SCT devrait documenter les rôles et responsabilités nécessaires pour concevoir, mettre en œuvre, valider, surveiller, coordonner et appliquer les contrôles de sécurité nécessaires pour protéger les renseignements sensibles et personnels stockés dans le nuage et communiquer ces rôles et responsabilités de façon proactive à tout ministère qui a recours aux services infonuagiques ou qui envisage d’y avoir recours. Le SCT devrait revoir et actualiser ces rôles et responsabilités au moins tous les 12 mois.

Recommandation 3

En consultation avec SPC et d’autres ministères, le SCT devrait :

  • Élaborer et fournir un modèle d’établissement des coûts afin d’aider les ministères à prendre des décisions éclairées au sujet de la transition vers l’infonuagique et à déterminer si des ressources et du financement additionnels sont nécessaires;
  • Aider les ministères à évaluer le financement de fonctionnement à long terme dont ils ont besoin et appuyer leur accès au financement pour qu’ils puissent s’acquitter de leurs responsabilités en constante évolution à l’égard des activités liées à l’infonuagique, notamment la protection des renseignements de nature délicate dans le nuage

Recommandation 4

SPAC et Services partagés Canada SPC devraient inclure des critères environnementaux dans le cadre de l’approvisionnement en services infonuagiques afin de favoriser la durabilité des pratiques d’approvisionnement et de contribuer à l’atteinte de l’objectif de carboneutralité du Canada.

Renseignements supplémentaires :

aucun