Note pour la période des questions : Événements du GC en matière de cybersécurité – Rôles et responsabilités du gouvernement du Canada et événements récents

Comment le gouvernement du Canada traite-t-il de la cybersécurité, y compris des cybermenaces qui peuvent présenter un risque pour l’infrastructure et les services, de même que la réponse du gouvernement aux cyberincidents considérables de la dernière année?

•Le gouvernement du Canada, comme de nombreuses autres organisations des secteurs public et privé dans le monde, est confronté à des cybermenaces constantes et persistantes.
•Le Secrétariat du Conseil du Trésor du Canada travaille en étroite collaboration avec le Centre canadien pour la cybersécurité, Services partagés Canada et d’autres partenaires afin d’enquêter sur les cyberévénements et y répondre dès qu’ils sont signalés, et d’assurer la sécurité des données, des applications et des systèmes pour les Canadiens.
•Le gouvernement a mis en place des systèmes et des outils solides pour surveiller et détecter les menaces potentielles, pour enquêter sur celles-ci et pour neutraliser les menaces lorsqu’elles se produisent.
•Le gouvernement s'efforcera continuellement d'améliorer la cybersécurité au Canada en se préparant à tous les types de cyberincidents, afin de protéger les Canadiens et leurs données.

Aperçu
Le gouvernement du Canada travaille continuellement à améliorer la cybersécurité au Canada en prévenant les attaques au moyen de mesures de sécurité robustes, en cernant les cybermenaces et les vulnérabilités et en se préparant et en réagissant à toutes sortes de cyberincidents pour mieux protéger le Canada et les Canadiens.

Le gouvernement a amélioré sa capacité organisationnelle à détecter les cybermenaces, à s’en défendre et à y réagir, centralisé les points d’accès à Internet, lancé un programme d’architecture de sécurité intégrée, jeté les bases d’un programme de cybersécurité du GC et mis en œuvre un plan pangouvernemental d’intervention en cas d’incident.

Investissements récents
Le Budget de 2021 a prévu des fonds supplémentaires pour ce projet afin d’améliorer davantage l’infrastructure, d’accroître la bande passante, la disponibilité et les ressources pour faciliter la connectivité des ministères.

Rôles et responsabilités
Il incombe à tous les ministères et organismes gouvernementaux d’assurer la cybersécurité au sein de leur organisation. la Politique sur les services et le numérique aborde des aspects spécifiques de la cybersécurité, tels que :
ol’intégration de la cybersécurité dans la gouvernance globale des services, de l’information, des données et de la technologie de l’information;
ola désignation d’un agent pour la cybersécurité responsable de la fonction de gestion de la cybersécurité ministérielle;
ol’intégration de la cybersécurité à la planification ministérielle conformément au plan pangouvernemental approuvé par la dirigeante principale de l’information du Canada.

Le Secrétariat du Conseil du Trésor du Canada (SCT), SPC et le CST sont les principaux intervenants chargés de veiller à ce que la posture de cybersécurité du gouvernement soit efficace et capable de répondre à l’évolution des menaces.

Le SCT veille à la surveillance stratégique de la gestion des événements de cybersécurité du gouvernement afin d’assurer la coordination efficace des événements de sécurité majeurs et d’appuyer la prise de décisions à l’échelle du gouvernement. La dirigeante principale de l’information du gouvernement du Canada relève du SCT et établit la Politique sur la sécurité de la technologie de l’information, parmi d’autres pouvoirs délégués.

Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC)
Le SCT élabore et tient à jour le Plan de gestion des événements de cybersécurité du GC.
Le PGEC GC est le plan pangouvernemental d’intervention en cas d’incident sous la supervision du SCT. Il fournit un cadre opérationnel qui précise les parties prenantes et les mesures nécessaires pour veiller à ce que les événements de cybersécurité soient traités de façon cohérente, coordonnée et rapide à l’échelle pangouvernementale. Le plan s’applique à tous les ministères assujettis à la Politique sur la sécurité du gouvernement.
La dernière mise à jour du PGEC GC est entrée en vigueur en avril 2020. Le plan est accessible au public à partir du site canada.ca. La mise à jour a été faite pour tenir compte de la création du CCC ainsi que des leçons tirées depuis 2018 et n’est pas liée à la pandémie de la COVID19.

En 2020-2021, le gouvernement du Canada a connu cinq événements notables en matière de cybersécurité : l’attaque par bourrage de crédence CléGC, la compromission de la chaîne d’approvisionnement SolarWinds, l’exploitation des vulnérabilités critiques de MS Exchange, un incident de rançongiciel chez un service d’impression tiers qui a des contrats avec le GC, et une vulnérabilité de MS Print Spooler. Ces incidents sont le résultat de menaces auxquelles sont confrontées des organisations des secteurs public et privé.

CléGC
Le 5 août 2020, le gouvernement du Canada a été mis au courant d’une attaque de bourrage des justificatifs d’identité contre le service CléGC. Le service CléGC en soi n’a pas été compromis et les justificatifs utilisés ne provenaient pas du service. À peu près à la même époque, une attaque semblable a été lancée contre l’Agence du revenu du Canada (ARC). Il s’agit d’une menace pour les organismes du secteur privé aussi bien que ceux de la fonction publique. Des quelque 12 millions de justificatifs actifs de CléGC au Canada, les mots de passe et les noms d’utilisateurs d’un peu plus de 9 300 justificatifs de CléGC ont été utilisés par des auteurs malveillants pour accéder aux comptes gouvernementaux. En réponse, le gouvernement a révoqué les justificatifs touchés de CléGC et mis en place des mesures pour empêcher toute nouvelle tentative d’accès à ses services avec ces justificatifs compromis. Ces mesures ont bloqué les attaques ultérieures.

Le 31 août 2020, un recours collectif proposé a été déposé devant la Cour fédérale. Le recours concerne la divulgation non autorisée à un tiers des renseignements personnels et financiers de milliers de Canadiens à partir de leurs comptes en ligne auprès du Service de justificatifs d’identité portant la marque du GC (CléGC), de l’ARC et de Mon dossier Service Canada.

Le gouvernement a mis en place d’autres caractéristiques de sécurité, comme l’authentification à facteurs multiples (AFM), pour aider les Canadiens à protéger leurs comptes et fait progresser les efforts en matière d’identité numérique. Au Canada, des projets et des projets-pilotes sont en cours qui permettent aux utilisateurs de se connecter avec leur identité numérique provinciale de confiance pour accéder aux services du gouvernement fédéral en temps opportun et en toute sécurité.

Vulnérabilité de Microsoft Print Spooler
Le 30 juin 2021, le Centre pour la cybersécurité a publié une alerte pour sensibiliser à une vulnérabilité critique de type 0-Day dans Microsoft Windows Print Spooler affectant tous les ordinateurs de bureau et serveurs Windows. Le lendemain, Microsoft a confirmé l’existence de vulnérabilités qui, si elles étaient exploitées, permettraient à un acteur de la menace d’exécuter du code à distance et de prendre le contrôle d’un système.

Compte tenu de l’utilisation généralisée de Microsoft dans le GC, du fait que le service de spooler d’impression est activé par défaut et de la nature critique de cette vulnérabilité, une réponse à l’échelle du GC dans le cadre du PGEC GC a été déclarée le 2 juillet 2021, afin d’assurer une approche coordonnée dans l’ensemble du GC. Le risque d’un impact supplémentaire sur le GC a été atténué, mais le Centre pour la cybersécurité continue de surveiller la situation.

aucun