Note pour la période des questions : Rôles et responsabilités du GC en matière de cyber sécurité

Que fait le gouvernement pour se protéger et protéger les informations des Canadiens contre les cyberattaques ?

• Le gouvernement du Canada, comme toutes les organisations, est confronté à des cybermenaces constantes.
• Les Canadiens peuvent être assurés que nous avons mis en place des mesures de protection solides pour protéger leurs informations, nos systèmes et notre capacité à fournir des services numériques sûrs et fiables.
• Les mesures de protection de la cybersécurité surveillent, détectent et étudient en permanence les menaces potentielles afin que des mesures actives puissent être prises pour les neutraliser.
• En outre, la stratégie de cybersécurité des entreprises du gouvernement du Canada, publiée l'année dernière (mai 2024), contribue à renforcer la capacité du gouvernement à lutter efficacement contre les cybermenaces et à remédier
aux vulnérabilités.

Le gouvernement s’efforce en permanence de renforcer la cybersécurité dans ses services en prévenant les attaques par la mise en œuvre de mesures de sécurité protectrices, en repérant les cybermenaces et les vulnérabilités, et en se préparant et en réagissant à tous les types de cyberincidents afin de mieux protéger le Canada et sa population.
La cybersécurité est une responsabilité partagée dans l’ensemble du gouvernement. Les ministères et les agences ont la responsabilité de veiller à ce que la cybersécurité soit gérée au sein de leur organisation, y compris la cybersécurité des programmes et des services ministériels. Le SCT, SPC et le CST sont les principaux intervenants chargés de veiller à ce que la posture du gouvernement en matière de cybersécurité soit efficace et capable de répondre à l’évolution des menaces. Le CST, de concert avec la sécurité publique, apporte également son soutien à la cybersécurité d’un point de vue national. Le SCT fournit une direction politique, des conseils et des orientations pour toutes les questions liées à la sécurité du gouvernement, établit et supervise une approche pangouvernementale de la sécurité, et assure une supervision stratégique de la gestion des événements de cybersécurité du gouvernement afin de garantir une coordination efficace des événements de sécurité majeurs et de soutenir la prise de décision à l’échelle du gouvernement. La dirigeante principale de l’information du Canada établit la politique de sécurité des technologies de l’information, définit les exigences en matière de cybersécurité et exécute les décisions relatives à la gestion des risques de cybersécurité au nom du GC.
Au cours de la dernière décennie, le gouvernement a pris des mesures progressives pour améliorer sa posture en matière de cybersécurité en normalisant l’infrastructure de TI et en intégrant les services de cyberdéfense, en établissant le Centre canadien pour la cybersécurité et en mettant en place une gouvernance, des politiques et des outils clairs pour soutenir la cybersécurité.
En novembre 2024, le SCT a lancé une formation obligatoire de sensibilisation à la cybersécurité pour tous les employés de l’administration publique centrale, qui vise à établir un niveau uniforme de connaissances de base en cybersécurité dans tous les ministères.
Malgré ces progrès, des lacunes subsistent. La Stratégie de cybersécurité intégrée du GC vise à combler ces lacunes et à faire en sorte que le gouvernement soit bien placé pour faire face aux futures cybermenaces. Il s’agit d’un plan prospectif qui servira de cadre pour faire passer le gouvernement d’une position défensive à une approche proactive en matière de cybersécurité. Le budget 2024 prévoit 11,1 millions de dollars sur trois ans (sans continuité), à partir de 2024- 2025, pour que le SCT mette en œuvre une stratégie de cybersécurité pangouvernementale. . Plus précisément, le financement soutient des actions clés telles que :
• Mettre en place un système d’évaluation centralisé avec des évaluations indépendantes et des examens approfondis de la cybersécurité des ministères afin d’identifier les risques et de les classer par ordre de priorité.
• Créer une plateforme fédérée de gestion intégrée des risques afin de permettre l’établissement de priorités et de rapports fondés sur des données, en tant qu’élément clé d’un système élargi de gestion du portefeuille de l’organisation.

• La création d’un programme de gestion des vulnérabilités dans l’ensemble du gouvernement pour un processus coordonné de divulgation des vulnérabilités et se concentrera sur les personnes, les processus, les politiques et la technologie.
• La création d'une nouvelle « équipe violette » qui assure une surveillance active et stratégique de la conformité aux politiques et de la cyberhygiène en imitant les techniques utilisées par les acteurs de la menace contre les systèmes gouvernementaux afin de tester et d'auditer de manière proactive les lacunes en matière de sécurité. Ce type d'équipe n'existe pas actuellement au sein du gouvernement.
Le SCT procède à un examen de la politique afin de déterminer les options et les recommandations visant à renforcer les pouvoirs du Bureau du dirigeant principal de l’information afin d’améliorer la cybersécurité à l’échelle de l’organisme. À l’heure actuelle, ce ne sont pas toutes les organisations fédérales, p. ex. les sociétés d’État, qui sont assujetties aux exigences du Conseil du Trésor en matière de cybersécurité en vertu de la Politique sur la sécurité du gouvernement et de la Politique sur les services et le numérique.
Afin d’améliorer la cybersécurité à l’extérieur du gouvernement du Canada, Sécurité
publique (SP) a publié en février 2025 la Stratégie nationale de cybersécurité (SNC). La nouvelle SNC met l’accent sur la collaboration pansociétale, notamment des partenariats avec d’autres ordres de gouvernement, des organismes d’application de la loi, des peuples autochtones, le secteur privé, le monde universitaire et la société civile. La SNC comprend trois piliers :
• Travailler avec des partenaires pour protéger les Canadiens et les entreprises canadiennes contre les cybermenaces. Par exemple, grâce au nouveau collectif canadien de cyberdéfense, le gouvernement du Canada se servira de partenariats directs entre le secteur public et le secteur privé pour relever des défis en matière de cybersécurité à l’échelle nationale, définir des priorités politiques et mener des cyberopérations.
• Faire du Canada un chef de file mondial en matière de cybersécurité. Le gouvernement du Canada a notamment annoncé le Programme canadien de certification en matière de cybersécurité afin de renforcer la cybersécurité dans le secteur de la défense.
• Détecter et perturber les auteurs de cybermenaces. Notamment, le gouvernement du Canada œuvrera à mieux protéger les Canadiens contre les cybercriminels en renforçant les partenariats avec les propriétaires d’infrastructures énergétiques essentielles.

Le SCT et SP ont également des responsabilités liées à la gestion des événements de cybersécurité. Le SCT tient à jour le Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC). Le PGEC GC est le plan pangouvernemental d’intervention en cas d’incident qui fournit un cadre opérationnel, lequel décrit les intervenants et les mesures nécessaires pour s’assurer que les événements de cybersécurité sont traités de manière uniforme, coordonnée et opportune dans l’ensemble du gouvernement. Le plan s’applique à tous les ministères assujettis à la Politique sur la sécurité du gouvernement. Pour s’assurer que le PGEC GC est à jour et efficace, le plan est mis à l’essai régulièrement, examiné annuellement et mis à jour si des changements sont nécessaires, par exemple à la lumière des leçons tirées de cyberévénements. La dernière version du PGEC GC a été publiée en octobre 2023. La plus récente cybersimulation a eu lieu en mai 2025 dans le cadre des

exercices de cybersimulation au niveau de la direction du gouvernement conçus pour tester la façon dont le gouvernement du Canada réagit à un cyberévénement important touchant plusieurs ministères fédéraux.
SP tient à jour le Plan fédéral de réponse aux cyberincidents, qui est le plan d’intervention en cas d’incident visant à assurer la coordination efficace par le gouvernement du Canada des événements de cybersécurité ou des incidents touchant des systèmes autres que le gouvernement fédéral.
En réponse aux cyberincidents touchant le gouvernement du Canada, le SCT a publié en
août 2024 l’avis intitulé « Renforcement de la cybersécurité au gouvernement du Canada : Avis de mise en œuvre de la Politique sur la sécurité » afin de renforcer les exigences particulières de la Politique sur la sécurité du gouvernement et de la Politique sur les services et le numérique. Le SCT surveille les progrès réalisés en matière de conformité ministérielle dans les délais de trois, six et neuf mois.
Les cyberincidents ont également eu des répercussions sur les services sous-traités par le gouvernement. Les compromis au sein de la chaîne d’approvisionnement ont une incidence sur le gouvernement du Canada et introduisent des risques opérationnels lorsque des services tiers sont utilisés. La gestion des risques de cybersécurité dans les chaînes d’approvisionnement nécessite d’assurer l’intégrité, la sécurité, la qualité et la résilience de la chaîne d’approvisionnement et de ses produits et services. Le SCT, SPC et le CST travaillent ensemble pour renforcer la gestion des risques liés à la chaîne d’approvisionnement au sein du gouvernement du Canada. Ils y parviennent notamment grâce à des processus d’examen de l’intégrité de la chaîne d’approvisionnement mis à jour, intégrés plus tôt dans les acquisitions, qui comprennent des clauses contractuelles de sécurité solides, l’établissement d’une stratégie de diversification et le renforcement de la gouvernance.

aucun