Note pour la période des questions : Questions de cybersécurité

Retour à la page de recherche

About

Numéro de référence :
PSPC-2023-QP-00063
Date fournie :
21 août 2023
Organisation :
Services publics et Approvisionnement Canada
Nom du ministre :
Duclos, Jean-Yves (L’hon.)
Titre du ministre :
Ministre des Services publics et de l’Approvisionnement

Enjeu ou question :

La cybersécurité est une dimension clé des services fournis aux canadiens. Les incidents de cyber sécurité, en plus d’affecté la prestation continue de service de qualité, ont un impact sur la confiance envers les institutions. Le rôle de Services partagés Canada (SPC) dans le traitement des questions de cybersécurité pour le gouvernement du Canada (GC), y compris les petits ministères et organismes (PMO)

Réponse suggérée :

  • SPC travaille sans relâche pour conserver des réseaux sûrs, sécuritaires et accessibles pour les Canadiens
    • SPC applique des mesures de cybersécurité à l’échelle de l’entreprise afin d’identifier les acteurs malveillants et de les empêcher d’avoir accès aux réseaux gouvernementaux en utilisant des outils et des services de défense du périmètre, de gestion de la vulnérabilité et de sécurité des points d’extrémité
    • La cybersécurité est une responsabilité partagée entre SPC, le CST, le SCT et les organisations partenaires. Lorsqu’un événement lié à la cybersécurité survient, SPC et ses partenaires coordonnent leur travail pour en déterminer les causes, limiter l’incidence et lancer la reprise
    • SPC appuie la conception, l’exécution et la gestion efficaces des initiatives prioritaires en matière de sécurité de la TI
    • SPC élabore avec les petits ministères et organismes (PMO) une approche visant à renforcer la sécurité de leurs réseaux

Si l’on insiste sur les investissements actuels et futurs :

  • Les responsabilités de SPC comprennent les réseaux, le courriel, les centres de données et les infrastructures de TI classifiées du GC
  • Grâce au financement du budget de 2022, SPC sera en mesure d’étendre son offre à 43 PMO avec un bouquet de réseaux, de sécurité et de services numériques afin qu’ils puissent améliorer leur situation de sécurité

Si l’on insiste sur la responsabilité de SPC par rapport à celle du CST :

  • SPC assure que le gouvernement du Canada tire parti de solutions de cybersécurité commerciale de pointe sur l’ensemble de nos réseaux, tandis que le CST les supplémentes avec des outils uniques qui adresse les techniques adversaires qui ne sont pas encore défendue contre les solutions commerciales

Si l’on insiste sur les services de cyberdéfense pour les petits ministères et organismes :

  • SPC a mis au point une stratégie de déploiement basée sur l’état de préparation de chaque PMO. Les travaux de mise en place de réseaux, de sécurité et de services numériques sont déjà en cours pour 11 PMO
  • Les réseaux, la sécurité et les services numériques comprennent les éléments suivants :
    • Internet d’entreprise
    • Accès Internet local
    • Sécurité du service de courriel d’entreprise et d’Exchange dans le cadre de Microsoft 365
    • Accès à distance protégé
  • Ces services amélioreront la position des PMO en matière de cybersécurité grâce à :
    • la surveillance accrue du trafic Internet
    • des pare-feu fournis par SPC pour les sites à distance
    • la connectivité à distance sécurisée
    • des capacités améliorées de prévention et de détection des cybermenaces

Si l’on insiste sur la campagne/attaque par déni de service distribué (ddos) de 2023 :

  • Une vaste campagne DDoS contre le GC a eu lieu entre le 10 avril 2023 et le 14 mai 2023
  • Une DDoS est une cyberattaque qui consiste à envoyer un flot de requêtes à une ressource en ligne dans le but de la rendre indisponible pour les utilisateurs légitimes
  • SPC, le CCCS du CST et leurs partenaires disposent de systèmes et de processus permettant de détecter et d’atténuer ces attaques courantes. La plupart des attaques sont atténuées automatiquement, sans intervention manuelle

De nombreux sites ont été touchés. Des mesures d’atténuation ont permis de rétablir l’accès aux sites Web touchés. SPC surveille en permanence la situation pour s’assurer que les mesures d’atténuation restent efficaces

Contexte :

  • Le GC s’efforce en permanence de renforcer la cybersécurité au Canada en prévenant les attaques grâce à des mesures de sécurité solides, en détectant les cybermenaces et les vulnérabilités, et en se préparant et en réagissant aux cyber incidents afin de mieux protéger le Canada et la population canadienne
    • Le gouvernement a amélioré sa capacité d’entreprise à détecter les cybermenaces, à se défendre contre celles-ci et à y intervenir; a centralisé les points d’accès Internet; a lancé un programme d’architecture de sécurité d’entreprise; a jeté les bases d’un programme gouvernemental de cybersécurité et a mis en œuvre un plan de réponse aux incidents à l’échelle du gouvernement

Renseignements supplémentaires :

  • La cybersécurité est une responsabilité partagée entre SPC, le Centre de la sécurité des télécommunications (CST), le Secrétariat du Conseil du Trésor (SCT) et les organisations partenaires
    • Le budget de 2022 comprend 178,7 millions de dollars sur cinq ans pour SPC et le CST à partir de 2022-2023 et 39,5 millions de dollars en financement permanent pour étendre la portée de la protection en matière de cybersécurité des petits ministères et organismes (PMO)