Note pour la période des questions : Intégrité de la chaîne d’approvisionnement

Retour à la page de recherche

About

Numéro de référence :
PSPC-2023-QP-00066
Date fournie :
6 sept. 2023
Organisation :
Services publics et Approvisionnement Canada
Nom du ministre :
Duclos, Jean-Yves (L’hon.)
Titre du ministre :
Ministre des Services publics et de l’Approvisionnement

Enjeu ou question :

La présence et/ou l'accès au marché canadien de produits des technologies de l'information et de la communication (TIC) fabriqués par des entités détenues par des Chinois ont suscité des inquiétudes. D'aucuns affirment que certaines de ces entités ont des liens directs avec le gouvernement chinois. Par exemple, des entreprises telles que TikTok, Huawei et Lenovo sont souvent citées

Réponse suggérée :

  • Le gouvernement du Canada prend très au sérieux la sécurité et la confidentialité de son infrastructure de réseau et de tous les appareils qui y accèdent
    • Services partagés Canada effectue une vérification de l'intégrité de la chaîne d'approvisionnement avec le soutien du Centre de la sécurité des télécommunications pour tous les achats de technologies de l'information.
    • Cette évaluation garantit la sécurité de l'infrastructure informatique du gouvernement du Canada

Si l’on insiste sur le verification de la chaîne d’approvisionnement :

  • SPC se fie sur le Centre canadien de cybersécurité (CCCS) comme le centre d’excellence gouvernementale de vérification de la chaîne d’approvisionnement
  • La fonction à été établie en 2012, et garantit que les biens et les services achetés sont protégé contre les cybermenaces
  • Elle s’applique à l’apprivoisement dans quatre domaines : le courrier électronique, les centres de données, les réseaux et les appareils informatiques du bureau, tel que les ordinateurs portables, les imprimantes et les appareils cellulaires
  • Non seulement ces domaines sont essentiels au fonctionnement du gouvernement, mais ils sont aussi les principales cibles des cybermenaces
  • SPC travail continuellement à améliorer les défenses contre les cybermenaces au Canada en collaborant à l’échelle du gouvernement pour se préparé à tous types de cyberincidents

Si l’on insiste sur Tiktok :

  • Le sous-ministre et directeur de l'information du Canada a estimé que TikTok présentait un risque pour la confidentialité et la sécurité des informations gouvernemental
  • Services partagés Canada, qui gère les téléphones intelligents du GC, a bloqué l'application conformément à cette directive le 27 février 2023

Contexte :

  • Le 6 juin 2023, un article a été publié dans La Presse sous le titre « Faut-il avoir peur des appareils Lenovo ? » https://www.infomedia.gc.ca/tbs-sct/en/2023/06/04/250880487
    • L'article affirme que le gouvernement du Canada n'a pas interdit les appareils de Lenovo
    • Le Centre de la sécurité des télécommunications (CST) est cité dans l'article. Le CST confirme que le gouvernement du Canada n'a pas interdit les appareils de Lenovo et mentionne qu'il évalue les appareils au cas par cas
    • Le SCT assure la supervision stratégique de la gestion des événements liés à la cybersécurité du gouvernement
    • SPC fournit l'infrastructure de sécurité informatique (conception, déploiement et exploitation). En collaboration avec le SCT et le CST, il assure également la sécurité et la protection de la vie privée dès la conception dans le cadre de la mise en place de nouveaux services. La sécurité des biens et des services est évaluée par le CST et SPC au cours de la procédure d'achat
    • Le CST héberge le Centre canadien de cybersécurité (CCCS), qui surveille les systèmes et les réseaux à la recherche d'activités malveillantes et de cyberattaques, et dirige la réponse opérationnelle aux évènements lié à la cybersécurité
    • SP dirige la politique et la stratégie nationales en matière de cybersécurité.
    • La GRC est le principal service d'enquête sur tous les incidents liés à la cybersécurité qui concernent la cybercriminalité réelle ou présumée d'origine non étatique contre l'infrastructure du gouvernement du Canada
    • Le SCRS est chargé d'enquêter sur les menaces contre les systèmes d'information et les infrastructures essentielles posées par des acteurs étatiques étrangers et des terroristes
    • La Défense nationale/Forces armées canadiennes est chargée de traiter les cybermenaces, les vulnérabilités ou les incidents de sécurité contre ou sur les systèmes militaires
    • Le 27 février 2023, le sous-ministre du SCT et le dirigeant principal de l'information du Canada ont annoncé que, conformément à leurs responsabilités en vertu de la section 4.4.1.9 de la Politique sur les services et le numérique, le sous-ministre et le dirigeant principal de l'information du Canada ont ordonné que l'utilisation de l'application TikTok soit bloquée sur les appareils du gouvernement du Canada à compter de 17h (HNE) le 27 février 2023. Cette décision a été prise après un examen du comportement de l'application par rapport à nos normes de confidentialité et de sécurité, et elle a une incidence sur toutes les organisations assujetties à la Politique sur les services et le numérique
    • Services partagés Canada, qui gère les téléphones intelligents du GC, a bloqué l'application conformément à cette directive le 27 février 2023

Renseignements supplémentaires :

  • Un certain nombre de ministères et d'organismes jouent un rôle dans la cybersécurité, notamment le Secrétariat du Conseil du Trésor du Canada (SCT), Services partagés Canada (SPC), le Centre de la sécurité des télécommunications (CST), la Sécurité publique Canada (SP), la Gendarmerie royale du Canada (GRC), le Service canadien du renseignement de sécurité (SCRS) et le ministère de la Défense nationale (MDN)
    • Tous les ministères et organismes ont la responsabilité d'assurer la cybersécurité au sein de leur organisation. Le SCT, SPC et le CST sont les principales parties prenantes chargées de veiller à ce que le dispositif de cybersécurité du gouvernement soit efficace et capable de répondre à l'évolution des menaces