Note pour la période des questions : Lenovo - Risque de sécurité potentiel Contexte

Retour à la page de recherche

About

Numéro de référence :
PSPC-2023-QP-00032
Date fournie :
5 juin 2023
Organisation :
Services publics et Approvisionnement Canada
Nom du ministre :
Jaczek, Helena (L’hon.)
Titre du ministre :
Ministre des Services publics et de l’Approvisionnement

Enjeu ou question :

La présence et/ou l'accès à des produits informatiques fabriqués par des entreprises chinoises sur le marché canadien ont suscité des inquiétudes, car certaines d'entre elles, comme Lenovo et Huawei, pourraient avoir des liens directs avec le gouvernement chinois.

Le 6 juin 2023, un article, qui a été publié dans La Presse sous le titre « Faut-il avoir peur des appareils Lenovo ? », affirme que le gouvernement du Canada n'a pas interdit les appareils de Lenovo. Le Centre de la sécurité des télécommunications (CST) est cité dans l'article et indique qu'il évalue les appareils au cas par cas. Une experte, Fyscillia Ream, chercheure à l'Université de Montréal, affirme que la tendance est à l'interdiction des produits Lenovo.

Réponse suggérée :

  • Le gouvernement du Canada prend très au sérieux la sécurité et la confidentialité de son infrastructure de réseau et de tous les dispositifs qui y accèdent
    • Au cours du processus d’approvisionnement, Services partagés Canada effectue un contrôle de l'intégrité de la chaîne d'approvisionnement avec l'aide du Centre de la sécurité des télécommunications pour tous les achats de technologies de l'information
    • Cette évaluation évalue les risques en matière de sécurité de l'infrastructure informatique du gouvernement du Canada et assure la mise en place de mesures d’atténuation requises
    • L'intégrité de la chaîne d'approvisionnement n'est qu'une partie de l'approche plus large de Services partagés Canada en matière de cybersécurité, qui comprend également l'identification et l'empêchement des acteurs malveillants d'accéder aux réseaux gouvernementaux en utilisant des pare-feu, des analyses de réseau, des anti-virus, des anti-malware ainsi que des outils et des services d'identification et d'authentification. Lorsqu'un événement de cybersécurité se produit, Services partagés Canada et ses partenaires se coordonnent pour déterminer les causes profondes, limiter l'impact et entreprendre le rétablissement

Si l’on insiste :

  • Services partagés Canada dispose d'un processus d'intégrité de la chaîne d'approvisionnement qui est utilisé pour tous les achats, y compris ceux de Lenovo
  • Ce processus est mis en place pour s'assurer qu'il n'y a pas de vulnérabilités ou de risques connus en matière de sécurité dans le contexte dans lequel les biens et les services sont achetés
  • Ces évaluations sont effectuées en collaboration avec nos partenaires de la sécurité publique qui exploitent les renseignements provenant du Canada et de l'étranger
  • Si des risques de sécurité sont identifiés, des mesures d'atténuation sont mises en place avant d'officialiser l'achat, ou l'achat n'a pas lieu

Contexte :

  • Un certain nombre de ministères et d'organismes jouent un rôle dans la cybersécurité, notamment le Secrétariat du Conseil du Trésor (SCT), le Centre de la sécurité des télécommunications (CST), Sécurité publique Canada, la Gendarmerie Royale du Canada (GRC), le Service canadien du renseignement de sécurité (SCRS) et la Défense nationale
    • Tous les ministères et organismes ont la responsabilité d'assurer la cybersécurité au sein de leur organisation. Le Secrétariat du Conseil du Trésor, Services partagés Canada et le Centre de la sécurité des télécommunications sont les principales parties prenantes chargées de veiller à ce que le dispositif de cybersécurité du gouvernement soit efficace et capable de répondre à l'évolution des menaces
    • Le Secrétariat du Conseil du Trésor assure la supervision stratégique de la gestion des événements de cybersécurité du gouvernement
    • Services partagés Canada fournit l'infrastructure de sécurité informatique (conception, déploiement et exploitation). En collaboration avec le Secrétariat du Conseil du Trésor et le Centre de la sécurité des télécommunications, Services partagés Canada assure également la sécurité et la protection de la vie privée dès la conception dans le cadre de la mise en place de nouveaux services. La sécurité des biens et des services est évaluée par le CST et Services partagés Canada au cours de la procédure d'achat
    • Le Centre de la sécurité des télécommunications héberge le Centre canadien de cybersécurité (CCCS), qui surveille les systèmes et les réseaux à la recherche d'activités malveillantes et de cyberattaques, et qui dirige la réponse opérationnelle aux cyber événements
    • Sécurité publique Canada dirige la politique et la stratégie nationales en matière de cybersécurité
    • La Gendarmerie Royale du Canada est le principal service d'enquête sur tous les incidents liés à la cybersécurité, qu'il s'agisse de cybercriminalité réelle ou présumée d'origine non étatique contre l'infrastructure du gouvernement du Canada
    • Le Service canadien du renseignement de sécurité est chargé d'enquêter sur les menaces contre les systèmes d'information et les infrastructures essentielles posées par des acteurs étatiques étrangers et des terroristes
    • La Défense nationale/les Forces armées canadiennes sont chargées de traiter les cybermenaces, les vulnérabilités ou les incidents de sécurité contre ou sur les systèmes militaires

Renseignements supplémentaires :

N/A