Note pour la période des questions : Rapport du Bureau de la Vérificatrice générale du Canada (BVG) sur la cybersécurité des réseaux et des systèmes du gouvernement

Retour à la page de recherche

About

Numéro de référence :
SSC-2025-QP-2710A
Date fournie :
27 oct. 2025
Organisation :
Services partagés Canada
Nom du ministre :
Lightbound, Joël (L’hon.)
Titre du ministre :
Ministre de la transformation du gouvernement, des travaux publics et de l’approvisionnement

Enjeu ou question :

• Le 21 octobre 2025, la Vérificatrice générale a déposé un rapport sur la cybersécurité des réseaux et des systèmes fédéraux. Elle a conclu que le gouvernement « disposait d'outils pour défendre » ses réseaux et que son plan de cybersécurité était « solide et détaillé».

• Toutefois, le rapport a soulevé des préoccupations concernant les retards dans des projets clés visant à améliorer la visibilité des événements de cybersécurité et à coordonner la réponse aux incidents. Il a mis en lumière les lacunes dans la gestion de l’équipement et a fait remarquer que certains petits ministères et organismes (PMO) n’utilisaient pas les services de cybersécurité de Services partagés Canada (SPC).

Réponse suggérée :

Faits saillants

• Le rapport a indiqué que parmi les 204 organisations fédérales du gouvernement du Canada :

  • 85 étaient tenues, en vertu des politiques du Secrétariat du Conseil du trésor du Canada (SCT), d’utiliser le service Internet de SPC. Cependant, 22 ne se conformaient pas à cette exigence et utilisaient plutôt les capteurs de défense de cybersécurité du Centre de la sécurité des télécommunications Canada (CST).

  • 119 organisations n’étaient pas tenues d’utiliser le service Internet de SPC. Parmi celles-ci, 24 ont choisi d’utiliser les services de SPC, et une majorité (76 organisations) ont utilisé les capteurs du CST.

Messages clés

• SPC apprécie le travail de la vérificatrice générale et reconnaît que la lutte contre les cybermenaces exige une vigilance constante et des mesures de sécurité robustes.

• SPC est d’accord avec les conclusions du rapport et travaille à résoudre les problèmes soulevés. Plus précisément, SPC :

  • s’engage à mener à bien un projet visant à accroître la visibilité des événements de cybersécurité suspects;

  • a commencé le travail nécessaire pour renforcer les pratiques de gestion des actifs;

  • est en train de dresser un inventaire des points d’extrémité de réseau afin d’améliorer la supervision et le contrôle;

  • collaborera avec le SCT pour mettre à jour le plan gouvernemental de gestion des événements de cybersécurité cet automne.

• Ces mesures renforceront les cyberdéfenses de SPC, qui bloquent 6,5 billions de cybermenaces chaque année.

Si l’on insiste sur le délai d’intervention de « 7 jours » lors de la cyberattaque à Affaires Mondiales Canada (AMC)

• Le vendredi 19 janvier 2024, le Centre canadien pour la cybersécurité (le Centre pour la cybersécurité) a officiellement demandé à SPC des renseignements de sécurité précis liés aux RPV. La demande a été approuvée en moins d’une heure et toutes les parties (SPC, AMC et le Centre pour la cybersécurité) ont convenu d’effectuer le transfert le lundi 22 janvier 2024.

• Bien que ce type de transfert ne soit généralement pas requis, SPC a inclus ce processus dans ses procédures opérationnelles normalisées afin de s’assurer que les demandes futures sont traitées plus rapidement.

Si l’on insiste sur la cyberattaque contre AMC

• SPC offre un soutien réactif aux ministères pour les aider à se défendre contre les cyberattaques.

• Nous reconnaissons l’importance d’une excellente communication lors d’un événement de cybersécurité, et SPC travaille continuellement avec le Centre pour la cybersécurité et le SCT pour améliorer les communications.

• SPC et AMC ont conjointement élaboré un plan de mesures correctives afin d’améliorer la sécurité des réseaux et la collaboration. Le plan reflète notre engagement commun envers une coordination efficace et le renforcement des pratiques de sécurité.

  • Il réaffirme les pouvoirs décisionnels, définit les rôles et responsabilités respectifs, établit un processus de transmission de l’information et précise les mécanismes permettant de résoudre rapidement les problèmes.

Si l’on insiste sur la gestion des informations et des événements de sécurité (GIES)

• Le gouvernement du Canada (GC) mène un processus d’approvisionnement collaboratif et concurrentiel pour une obtenir une solution de gestion des informations et des événements de sécurité (GIES).

  • Ces efforts permettront au GC de mieux anticiper et détecter les cybermenaces et d’y répondre.

  • Par exemple, l’intégration des agrégateurs de renseignements sur les menaces facilitera la réponse aux incidents de cybersécurité.

  • Une solution centralisée permettra de recueillir des données afin de réagir plus rapidement aux menaces.

Si l’on insiste sur le projet visibilité, sensibilisation et sécurité de point d’extrémité (VSSPE)

• Le projet VSSPE de SPC permettra de voir en temps réel tous les appareils de points d’extrémité dans les réseaux du GC, tels que les ordinateurs et les serveurs.

• Le projet améliorera également les capacités de sécurité, comme la protection contre les logiciels malveillants contenus dans des fichiers et d’autres activités malveillantes. Il assurera aussi une surveillance continue aux points d’extrémité avec une réponse automatisée aux événements de cybersécurité.

• Le projet est en cours et devrait être terminé d’ici mars 2028.

Si l’on insiste sur la gestion des vulnérabilités et des correctifs

• SPC continue d’améliorer ses processus de gestion des vulnérabilités et des correctifs dans l’ensemble de ses systèmes et services. Ces améliorations permettront de réduire l’exposition aux cyberattaques, de limiter la perte de productivité et de protéger les données et l’infrastructure.

Si l’on insiste sur les petits ministères et organismes (PMO)

• SPC travaille à fournir des services de connectivité et de sécurité à 43 PMO.

  • À la fin de l’exercice 2024-2025, 23 PMO avaient effectué la transition complète vers les services Internet et d’accès à distance gérés par le gouvernement, tandis que 15 autres avaient adopté le système de courriel partagé.

  • D’ici la fin de l’exercice 2025-2026, 6 autres PMO devraient avoir effectué la transition.

Contexte :

Le GC, comme toutes les organisations dans le monde, fait constamment face à des cybermenaces provenant d’auteurs malveillants, tant à l’échelle nationale qu’internationale. Celles-ci exigent une vigilance constante et des mesures de sécurité rigoureuses. Les cybermenaces deviennent de plus en plus complexes et sophistiquées, et comprennent des activités criminelles telles que les attaques par rançongiciel et les attaques menées par des adversaires parrainés par des États.

Renseignements supplémentaires :

N/A