Vérification interne des processus relatifs à la gestion de l’information, à la sécurité et à la vie privée de PPP Canada

Sommaire du rapport

La vérification avait pour objectif de s’assurer de l’efficacité de la gouvernance, de la gestion du risque et des contrôles concernant la gestion de l’information, la sécurité et la vie privée (GISVP). Afin de mener à bien la vérification, les vérificateurs ont utilisé les lignes directrices de la norme ISO 27001, un outil couramment utilisé pour évaluer la capacité d’une organisation à respecter ses exigences en matière de sécurité de l’information. Ce faisant, l’ISO 27001 définit les exigences nécessaires pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue d’un système de gestion de la sécurité de l’information au sein d’une organisation.

En 2013, PPP Canada a également conclu une entente de services partagés avec la Corporation commerciale canadienne (CCC) afin d’éviter les coûts redondants et de réaliser des gains d’efficience par le biais de l’utilisation partagée d’une gamme de services généraux. En vertu de l’entente, CCC doit établir et maintenir une capacité suffisante pour soutenir à la fois CCC et PPP Canada dans les secteurs de services internes suivants : les services de technologies de l’information (y compris le réseau et les applications internes) et le traitement de la paie.

Les vérificateurs ont réparti la portée de la vérification selon les champs d’enquête connexes suivant :

  1. Pour s’assurer qu’un processus de planification stratégique relatif à la GISVP est en place.
  2. Pour s’assurer qu’un ensemble de politiques relatives à la GISVP sont à jour, approuvées et communiquées.
  3. Pour s’assurer de fournir un niveau convenu de sécurité de l’information et de prestation de services correspondant aux ententes intervenues avec les fournisseurs tout en protégeant les actifs de l’organisation auxquels les fournisseurs ont accès.
  4. Pour s’assurer de fournir un accès réservé aux utilisateurs autorisés et de prévenir l’accès non autorisé aux systèmes et aux services.
  5. Pour s’assurer que l’information fait l’objet d’un niveau de protection approprié correspondant à son importance pour l’organisation.
  6. Pour prévenir l’accès physique non autorisé à l’information et aux installations de traitement de l’information de l’organisation.
  7. Pour assurer l’intégrité et la sécurité des opérations et des processus des installations de traitement de l’information.
  8. Pour assurer une approche cohérente et efficace à l’égard de la détection et de la gestion des incidents reliés à la sécurité de l’information, y compris la communication des incidents et des failles de sécurité.

La vérification a permis de conclure que certains contrôles clés concernant la gestion de l’information et les processus de la Société examinés ne fonctionnaient pas comme prévu, entraînant un avis d’amélioration des exigences. 

La vérification a également permis de relever les points forts suivants :

  • Un plan stratégique de technologies de l’information (TI) qui intègre la sécurité des TI a été élaboré pour l’organisation;
  • Des contrôles efficaces de l’accès physique sont en place pour assurer le fonctionnement sûr des installations de sécurité de l’information;
  • La compétence du personnel en matière de sécurité de l’information en raison de l’expérience de travail acquise au gouvernement du Canada.

Le tableau suivant présente des constatations précises de la vérification, les observations du vérificateur, les risques et les répercussions possibles, ainsi que des recommandations et les réponses et le plan d’action de la direction.

Par conséquent, la responsabilité incombera à CCC de donner suite à de nombreuses observations de vérification qui feront l’objet d’un suivi par PPP Canada en vertu des responsabilités qui lui ont été confiées dans l’entente de services partagés. 

No

Observations

 Incidence/risques

Recommandations

A1

PPP Canada a élaboré un plan stratégique triennal de gestion de l’information et technologies de l’information (GI-TI) qui comprend diverses activités de sécurité des TI comme la mise en œuvre d’un système de classification de sécurité ainsi que la réalisation d’évaluations de la menace et des risques sur une base régulière. Cependant, nous n’avons relevé aucune mise à jour officielle sur le statut ou l’état d’avancement des produits livrables définis au comité de gestion.

Par exemple, l’un des objectifs définis dans le plan stratégique de GI-TI consiste à mettre en œuvre les recommandations formulées dans le rapport d’évaluation de la menace et des risques (EMR). Cependant, en nous fondant sur notre vérification, nous n’avons relevé aucun processus formel de présentation de mises à jour sur l’état d’avancement des recommandations contenues dans le rapport et des plans d’action de la direction correspondants pour vérifier qu’ils sont suivis en temps opportun et de manière efficace. Pour cette raison, nous avons constaté que certaines des recommandations formulées dans le rapport d’EMR de décembre 2014 préparé par Deloitte n’étaient toujours pas entièrement mises en œuvre au moment de la vérification. L’absence d’un plan de mesures correctives établi afin de donner suite à la recommandation de l’évaluation externe de la sécurité réalisée en 2014 a également été relevée dans le rapport d’examen spécial du Bureau du vérificateur général (BVG) de 2015.

L’absence d’un processus efficace de mesure de rendement et de surveillance pourrait faire en sorte que l’organisation ne puisse pas suivre l’approche définie dans le plan stratégique de GI-TI approuvé.

En outre, ne pas donner suite aux observations formulées dans les diverses évaluations continuera à exposer la Société à des risques qui pourraient avoir une incidence sur l’intégrité, la disponibilité et la sécurité de l’information.

Mettre en œuvre des mesures de rendement axées sur les priorités et les risques recensés dans le plan stratégique de GI-TI, et présenter au comité de gestion et au conseil d’administration des mises à jour régulières du plan et les mesures de rendement qui s’y rattachent.

Mettre en œuvre un processus de suivi officiel et systématique pour gérer et surveiller l’état d’avancement des observations relevées à la suite de différentes évaluations afin d’assurer une mise en œuvre et une gestion des risques recensés rapides et efficaces.

Plan d’action de la direction

Personne responsable de l’exécution du plan d’action de la direction
A1 – Vice-président, Finances, gestion du risque et administration, et dirigeant principal des finances
Description détaillée du plan d’action de la direction
PPP Canada accepte cette observation. Afin d’assurer le suivi du rendement, PPP Canada créera un tableau de bord de gestion pour surveiller la mise en œuvre du plan stratégique et d’autres initiatives de l’équipe des TI de CCC. Le tableau de bord permettra également d’assurer un suivi des normes de rendement définies dans l’entente de services partagés conclue entre PPP Canada et CCC. Le tableau de bord sera présenté au comité de gestion sur une base trimestrielle ainsi que lors des réunions périodiques entre CCC et PPP Canada. 
Date à laquelle le plan d’action de la direction sera achevé
Juin 2017
Décrire les activités afin d’aider les utilisateurs à accepter les changements
PPP Canada collaborera avec le directeur des TI de CCC afin d’établir un échéancier acceptable pour la mise en œuvre des recommandations et des initiatives ainsi que des normes de rendement en fonction desquelles le groupe sera évalué. 
No Observations
Incidence/risques
Recommandations
B1 Une politique d’utilisation fournissant une orientation relative à l’utilisation de maCLÉ n’a pas été élaborée comme il était prévu dans l’accord sur les niveaux de service de Services partagés Canada (SPC).
Un ensemble de politiques caduques ou incomplètes pourrait augmenter le risque d’activités incohérentes, inefficaces et non efficientes qui pourraient ne pas être cohérentes avec l’orientation de la direction en matière de sécurité de l’information conforme aux exigences opérationnelles, aux attentes des partenaires et aux lois et règlements pertinents.
La direction doit examiner et mettre à jour les directives et les politiques sur la sécurité de l’information pour recenser et pallier toute lacune ou incohérence, ou donner suite à d’autres améliorations possibles afin d’assurer l’application uniforme et complète correspondant aux objectifs généraux de la Société.
B2 Les politiques n’officialisent pas l’exigence de supprimer l’accès aux systèmes en temps opportun lorsque l’accès n’est plus nécessaire.
B3 Même si huit différentes catégories de documents sont désignées dans l’Instruction sur la sécurité de l’information (PROTÉGÉ A, PROTÉGÉ B, PROTÉGÉ C, COMMERCIAL CONFIDENTIEL, TRÈS DÉLICAT, CONFIDENTIEL, SECRET ET TRÈS SECRET), elle ne fournit aucune directive sur les exigences de traitement de l’information de nature COMMERCIALE CONFIDENTIELLE et TRÈS DÉLICATE.
B4

Un des éléments essentiels d’un ensemble de politiques efficaces est un programme de formation efficace et permanente visant à sensibiliser les employés et à leur fournir les connaissances nécessaires pour gérer l’information tout au long de son cycle de vie.

Bien que des séances de formation générale sur la sécurité de l’information aient été offertes, nous n’avons recensé aucune formation officielle spécifiquement axée sur la sécurité des TI afin de sensibiliser aux intrusions et aux diverses vulnérabilités liées à la sécurité de l’information en matière de TI, et sur la manière de répondre efficacement à ces vulnérabilités et de s’en remettre.

Le manque de formation efficace en matière de TI contribue à accroître le risque que les employés n’aient pas les connaissances suffisantes pour appliquer systématiquement les lignes directrices cohérentes avec l’orientation de la direction en matière de sécurité de l’information conforme aux exigences relatives aux opérations et aux mesures législatives pertinentes.

La direction devrait offrir aux utilisateurs des programmes permanents de formation et de sensibilisation sur la sécurité des TI en fonction des politiques mises à jour, qui porteraient entre autres sur la façon d’identifier les logiciels malveillants et les virus et de les gérer, et sur l’utilisation de maCLÉ comme outil de cryptage des courriels.

Plan d’action de la direction
Personne responsable de l’exécution du plan d’action de la direction
B1, B2, B3, B4 – Vice-président, Finances, gestion du risque et administration, et dirigeant principal des finances
Description détaillée du plan d’action de la direction
PPP Canada accepte cette recommandation et fera les mises à jour nécessaires à ces politiques. PPP Canada intégrera la formation en matière de sécurité des TI dans son programme de formation en matière de TI. L’information sera communiquée à l’ensemble des membres du personnel par le biais du programme « Conseil du mois en matière de GI ».
Date à laquelle le plan d’action de la direction sera achevé
PPP Canada tiendra une séance actualisée sur les TI d’ici juin 2017.
Décrire les activités afin d’aider les utilisateurs à accepter les changements
Un module de formation détaillé sera développé pour souligner l’importance de la sécurité des TI et des risques liés aux brèches de sécurité. Au moyen de la plate-forme en ligne des ressources humaines, le personnel devra répondre à des questions relatives à la sécurité des TI et confirmer avoir reçu les instructions appropriées.
No Observations Incidence/risques 
Recommandations
C1 L’équipe des TI ne participe pas de manière systématique et proactive à la sélection et à la gestion des fournisseurs de TI pour s’assurer que des contrôles de sécurité des TI et de l’information sont intégrés dans tous leurs processus.
Risque accru que les contrôles efficaces de sécurité des TI et de l’information nécessaires au maintien de la disponibilité, de l’intégrité et de la confidentialité de l’information ne soient pas en place en ce qui concerne les fournisseurs du soutien informatique.
Demander à l’équipe des TI de participer à la sélection et à la gestion des fournisseurs de TI externes pour évaluer s’ils disposent de contrôles de sécurité des TI adéquats et s’assurer que des dispositions de sécurité des TI adéquates sont ajoutées aux ententes et aux contrats avec les fournisseurs.
C2 Aucun processus officiel n’est en place pour examiner les évaluations qui doivent être effectuées (p. ex., évaluation des facteurs relatifs à la vie privée [EFVP], EMR, évaluation des vulnérabilités [EV]) avant l’ajout ou la modification de systèmes informatiques au sein de la Société.
Risque accru que les contrôles efficaces de sécurité des TI et de l’information nécessaires au maintien de la disponibilité, de l’intégrité et de la confidentialité de l’information ne soient pas en place dans les systèmes informatiques.
Mettre en œuvre un processus officiel pour examiner les évaluations qui doivent être effectuées (p. ex., EFVP, EMR, EV) avant l’ajout ou la modification de systèmes informatiques. 
C3 Bien que certains fournisseurs présentent un rapport de vérification sur l’état des contrôles qu’ils ont en place, la Société n’a aucun processus officiel en place pour demander et examiner les rapports de manière proactive de façon permanente et annuelle. Par ailleurs, le rapport d’examen spécial du BVG de 2015 a permis de constater que la Société n’avait pas documenté de façon officielle l’examen des rapports sur les contrôles ou l’évaluation des contrôles pour lesquels elle était toujours responsable.
Risque accru que les lacunes dans les contrôles de sécurité des TI et de l’information qu’utilisent les fournisseurs ne soient pas relevées et corrigées en temps opportun.

Mettre en œuvre un processus officiel pour demander et examiner, sur une base annuelle, tout rapport de vérification disponible des fournisseurs sur les contrôles qu’ils ont mis en place.

Plan d'action de la direction
Personne responsable de l’exécution du plan d’action de la direction
C1, C2, C3 – Vice-président, Finances, gestion du risque et administration, et dirigeant principal des finances
Description détaillée du plan d’action de la direction

PPP Canada accepte ces recommandations.

En ce qui concerne les observations C1, C2 et C3, ces activités font partie de l’entente de services partagés avec CCC. Bien que l’équipe des TI de CCC participe au processus de sélection de nouveaux fournisseurs, ce dernier n’est pas documenté officiellement. Dans le cadre de l’entente conclue entre CCC et PPP Canada, CCC devrait fournir des conseils et des recommandations sur l’acquisition de matériel informatique sur demande de PPP Canada. Au moyen de réunions régulières tenues entre les équipes, PPP Canada veillera à ce que l’équipe des TI de CCC émette ses recommandations concernant l’acquisition de nouveau matériel et de nouveaux services informatiques.

Afin d’utiliser pleinement les services fournis par l’équipe des TI de CCC, PPP Canada créera un tableau de bord (voir la réponse à la section A). Grâce au tableau de bord, PPP Canada s’assurera que les services décrits dans l’entente sont fournis conformément aux normes établies. Toute situation problématique relative au rendement sera discutée lors des réunions régulières entre les deux organisations et avec le comité de gestion de PPP Canada.
Date à laquelle le plan d’action de la direction sera achevé
Juin 2017
No Observations Incidence/risques
Recommandations
D1 Les contrôles d’accès pour le réseau et les applications comme Bamboo (système de gestion des congés) et FreeBalance (système financier) ne respectent pas la Politique sur l’accès aux systèmes et l’utilisation acceptable des systèmes selon laquelle le système devrait forcer l’utilisateur à modifier son mot de passe tous les 90 jours. Le rapport d’examen spécial du BVG de 2015 relève également un manque d’uniformité dans l’application des mots de passe. 
Le réseau interne et les applications pourraient devenir plus vulnérables aux attaques externes par des utilisateurs non autorisés, ce qui pourrait compromettre la confidentialité et possiblement l’intégrité des données.
Faire en sorte que tous les mots de passe pour les applications et le système soient conformes aux exigences imposées par la Politique sur l’accès aux systèmes et l’utilisation acceptable des systèmes approuvée.
D2 Certains services informatiques accessibles par Internet (le Wi-Fi par exemple) résident directement dans le réseau interne de PPP Canada plutôt que dans une zone d’accès public intermédiaire (aussi appelée « zone démilitarisée » [zone DMZ]) afin de réduire la vulnérabilité du réseau interne aux attaques externes.
Le réseau interne et les applications pourraient devenir plus vulnérables aux attaques externes par des utilisateurs non autorisés, ce qui pourrait compromettre la confidentialité et possiblement l’intégrité des données.

Examiner l’architecture de sécurité des TI du réseau ainsi que la possibilité de transférer les services accessibles par Internet vers une zone d’accès public conformément aux recommandations de la ligne directrice ITSG-22 du Centre de la sécurité des télécommunications (CST).

D3 PLe mot de passe utilisé pour accéder au réseau Wi-Fi est partagé par les utilisateurs et n’expire jamais, ce qui rend plus difficile le suivi des actions de l’utilisateur. Le rapport d’examen spécial du BVG de 2015 relève également un manque d’uniformité dans l’application des mots de passe.
Le réseau interne et les applications pourraient devenir plus vulnérables aux attaques externes par des utilisateurs non autorisés, ce qui pourrait compromettre la confidentialité et possiblement l’intégrité des données.
Renforcer les contrôles d’accès pour le réseau Wi-Fi en changeant régulièrement le mot de passe partagé conformément à la Politique sur l’accès aux systèmes et l’utilisation acceptable.
D4 Les mots de passe des comptes de service (comptes à privilèges élevés utilisés par les applications) sont définis pour ne jamais expirer, ce qui n’est pas conforme à la politique approuvée de la Société. Le rapport d’examen spécial du BVG de 2015 relève également un manque d’uniformité dans l’application des mots de passe.
Le réseau interne et les applications pourraient devenir plus vulnérables aux attaques externes par des utilisateurs non autorisés, ce qui pourrait compromettre la confidentialité et possiblement l’intégrité des données.
Protéger les comptes de service en changeant manuellement les mots de passe conformément à la Politique sur l’accès aux systèmes et l’utilisation acceptable des systèmes.
D5 Le processus de gestion des comptes d’utilisateurs, y compris les boîtes aux lettres partagées, lorsque les employés partent en vacances ou en congé, n’est pas officiellement documenté. De plus, il n’y a pas de processus d’examen des comptes d’utilisateurs ordinaires et privilégiés sur une base régulière (c.‑à‑d. annuelle) pour s’assurer que l’accès accordé aux utilisateurs demeure approprié. Le rapport d’EMR de 2014 fait également ressortir l’absence d’un processus officiel d’attribution et d’examen de l’accès des utilisateurs.
Accès non autorisé au système informatique qui pourrait compromettre la confidentialité et possiblement l’intégrité des données en raison de l’absence d’un processus officiel d’attribution et d’examen de l’accès des utilisateurs.
Documenter et mettre en œuvre à la Société un processus officiel de gestion des comptes d’utilisateurs et des boîtes aux lettres partagées, y compris un processus officiel pour examiner et approuver sur une base régulière l’accès des utilisateurs à toutes les applications importantes.
Plan d'action de la direction
Personne responsable de l’exécution du plan d’action de la direction

D1, D5 – Vice-président, Finances, gestion du risque et administration, et dirigeant principal des finances

D2, D3, D4 – Directeur, Technologies de l’information, CCC
Description détaillée du plan d’action de la direction

PPP Canada accepte ces recommandations. En ce qui concerne l’observation D1, PPP Canada veillera à mettre en œuvre, de concert avec les fournisseurs de services, le changement de mot de passe obligatoire conformément à la politique de la Société. En ce qui concerne l’observation D5, PPP Canada limite actuellement l’accès des utilisateurs à certains dossiers du système de gestion électronique des documents et des dossiers (SGEDD). Cependant, aucun processus officiel n’est en place en ce qui concerne l’accès aux boîtes aux lettres. PPP Canada veillera à mettre en œuvre un processus officiel en vertu duquel l’accès sera accordé par le gestionnaire de la GI-TI sur approbation du directeur des ressources humaines. La liste des personnes ayant accès sera examinée sur une base semestrielle.

En ce qui concerne les observations D2, D3 et D4, PPP Canada utilisera le tableau de bord sur le rendement décrit à la section A pour surveiller la mise en œuvre de ces recommandations par CCC.

Date à laquelle le plan d’action de la direction sera achevé
Juin 2016
No Observations Incidence/risques
Recommandations
E1 Un employé avait stocké des documents SECRETS transmis par d’autres ministères dans l’application P3C Docs de PPP Canada qui n’est pas conforme à l’Instruction sur la sécurité de l’information. La même personne a aussi indiqué qu’elle envoyait à l’occasion des renseignements de nature COMMERCIALE CONFIDENTIELLE non chiffrés aux clients puisque ses homologues n’avaient accès à aucune fonction de cryptage maCLÉ. 
Lorsque le niveau de protection approprié n’est pas attribué aux renseignements de nature délicate ou personnelle selon leur importance pour la Société, ces renseignements pourraient être compromis, ce qui pourrait nuire à la réputation de la Société et donner lieu à la non-conformité aux mesures législatives telles que la Loi sur la protection des renseignements personnels.

Offrir de la formation permanente aux utilisateurs sur la sécurité de l’information pour faire en sorte que les employés soient conformes à la politique et aux directives sur la sécurité de l’information. Il conviendrait d’envisager des programmes de formation particuliers à chaque unité en raison des exigences en matière de sécurité propres à chacune.

Conformément à la politique approuvée sur la sécurité de l’information, la direction doit s’assurer de documenter officiellement tout cas de non-conformité et son approbation par le propriétaire de la politique pour assurer une transparence et une visibilité adéquates.

E2 Selon l’Instruction sur la sécurité de l’information, les renseignements liés « à la rémunération et aux avantages sociaux » doivent porter la mention PROTÉGÉ B. À la lumière de nos observations et de nos discussions toutefois, nous avons constaté que, depuis l’adoption d’ADP comme fournisseur des services de paie, toutes les données relatives à la paie étaient envoyées non chiffrées à l’extérieur de la Société et que ce faisant, elles n’étaient pas conformes à l’Instruction sur la sécurité de l’information

Plan d'action de la direction
Personne responsable de l’exécution du plan d’action de la direction
E1, E2 – Vice-président, Finances, gestion du risque et administration, et dirigeant principal des finances
Description détaillée du plan d’action de la direction
PPP Canada accepte cette recommandation et a déjà adopté des mesures pour traiter le transfert à des organisations externes de renseignements non chiffrés en matière de ressources humaines. Ces renseignements sont maintenant envoyés en utilisant le chiffrement maCLÉ. PPP Canada offrira également des séances de formation sur le transfert de renseignements de nature délicate à des intervenants externes.
Date à laquelle le plan d’action de la direction sera achevé
La recommandation concernant les renseignements relatifs aux ressources humaines a déjà été corrigée. PPP Canada a l’intention d’offrir des séances de formation en matière de sécurité informatique avant juin 2017. 
No Observation Incidence/risques
Recommandations
G1 Même si les feuilles de travail des TI comportent un certain nombre de mesures de sécurité des TI comme la modification des mots de passe par défaut, rien ne démontre que la Société a choisi de privilégier une configuration de base suggérée par un organisme de normalisation réputé comme le recommande le bulletin ITSB-110 du CST.
Risque accru de configurations et de postes de travail non conformes, et de vulnérabilité des serveurs à l’accès non autorisé ou une attaque avec l’intention de voler, d’altérer ou de détruire les données.
Mettre en place l’examen et la mise à jour proactifs et continus de la feuille de travail afin d’intégrer la sécurité efficace des serveurs et des postes de travail. Dans le cadre de l’examen, incorporer les techniques d’atténuation et les configurations recommandées en matière de sécurité dans le bulletin ITSB-110 du CST. 
G2 La feuille de travail des TI actuelle ne comprend aucune directive sur le nettoyage des disques durs avant d’attribuer un poste de travail à un autre utilisateur. Les membres de l’équipe des TI ont confirmé qu’ils effectuaient le nettoyage des disques durs, mais qu’il s’agissait d’un processus ponctuel et informel qui n’est pas mis en œuvre de manière systématique.
Cela pourrait accroître le risque de fournir sans le vouloir un accès non autorisé à des données ou à des fonctionnalités de nature délicate aux utilisateurs.

Officialiser le processus de nettoyage des disques durs avant qu’ils ne soient éliminés ou attribués à un autre utilisateur.

G3 Toujours selon les feuilles de travail actuelles, seuls les disques durs de portables ou de tablettes doivent être chiffrés, une mesure de contrôle nécessaire compte tenu du risque plus élevé de perte ou de vol de ces appareils mobiles. Cependant, nous n’avons pas relevé la même exigence pour les postes de travail fixes. L’EMR de 2014 avait également souligné l’absence de disques durs chiffrés pour les postes de travail fixes.
Bien que le risque de perte ou de vol soit moins élevé en ce qui concerne les postes de travail fixes, le fait que les disques durs soient non chiffrés contribue à augmenter le risque qu’une personne ayant des intentions malveillantes puisse voler ou modifier des informations de nature délicate ou y accéder.
Nous recommandons à la direction d’envisager le chiffrement des disques durs des postes de travail et des serveurs d’autant plus que les systèmes d’exploitation des postes de travail et des serveurs intègrent déjà des mécanismes de chiffrement.
G4 Nous avons constaté que même si l’équipe des TI avait récemment commencé à dresser une liste des postes de travail, des portables et des tablettes chiffrés, la liste ne comportait pas les clés USB chiffrées.
L’absence d’un processus de suivi efficace des clés USB chiffrées contribue à accroître le risque que les données puissent être compromises si les clés USB sont perdues ou volées.
Afin d’atténuer et de gérer de façon proactive le risque de perte de données, veiller à ce que l’attribution de tous les appareils soit répertoriée et enregistrée à des fins d’identification et de suivi.
G5 Nous avons également constaté que même si la Société utilise des clés USB chiffrées pour transférer l’information, la configuration actuelle des postes de travail n’empêche pas l’utilisation d’une clé USB non chiffrée.
L’absence d’un processus efficace pour limiter l’accès contribue à accroître le risque que les données puissent être compromises si les clés USB sont perdues ou volées.
Modifier la configuration de tous les terminaux (postes de travail, portables et tablettes) afin de permettre uniquement l’utilisation de clés USB chiffrées approuvées sur ces appareils.
G6

Nous avons été en mesure de constater que la plupart des correctifs de sécurité avaient été installés. Toutefois, nous avons noté qu’aucun processus documenté de gestion des correctifs n’était en place pour vérifier que tous les correctifs de sécurité pour les serveurs et les postes de travail sont installés de façon systématique.

Par ailleurs, nous avons constaté que les processus de sauvegarde mis en place par l’équipe des TI étaient adéquats. Cependant, nous avons constaté l’absence d’un processus de sauvegarde documenté pour s’assurer que ces activités étaient effectuées de manière systématique.

Enfin, nous avons pu constater qu’un processus de protection contre les logiciels malveillants était en place et des éléments de preuve démontrent que l’équipe des TI surveille de façon active les logiciels malveillants. Toutefois, nous avons constaté l’absence d’un processus documenté de protection contre les logiciels malveillants afin d’assurer une gestion systématique des logiciels malveillants.
Risque accru que les activités visant à assurer la sécurité, l’intégrité et la disponibilité de l’information ne soient pas mises en œuvre de manière cohérente, efficiente et efficace.
Documenter tous les processus de sécurité des TI, y compris les processus de gestion des correctifs, de sauvegarde et de protection contre les logiciels malveillants.
G7 Compte tenu de la taille du réseau informatique et du personnel de soutien (cinq membres), la séparation des tâches n’est pas toujours efficace parmi les fonctions exercées au sein de l’équipe.
Le manque de séparation des tâches pourrait accroître le risque d’erreurs ou d’activités intentionnelles et non intentionnelles, ce qui pourrait avoir une incidence considérable sur l’intégrité et la confidentialité de l’information.
Bien qu’une séparation efficace des tâches ne soit peut-être pas possible en raison de la taille de l’équipe, nous recommandons qu’à tout le moins l’équipe des TI étudie la possibilité de faire examiner tout changement à l’infrastructure des TI par une deuxième personne.
Plan d'action de la direction
Personne responsable de l’exécution du plan d’action de la direction

G4 – Vice-président, Finances, gestion du risque et administration, et dirigeant principal des finances

G1, G2, G3, G5, G6, G7 – Directeur, Technologies de l’information, CCC
Description détaillée du plan d’action de la direction

PPP Canada accepte partiellement ces recommandations. En ce qui concerne la recommandation G4 toutefois, PPP Canada n’est pas d’accord avec la recommandation. PPP Canada est d’avis qu’il serait administrativement très lourd de documenter les clés USB.

En ce qui concerne les observations G1, G2, G3, G5, G6 et G7, PPP Canada utilisera le tableau de bord sur le rendement présenté à la section A pour surveiller la mise en œuvre de ces recommandations par CCC.

No Observations Incidence/risques
Recommandations
H1 Bien que l’équipe des TI ait déclaré qu’aucun incident important en matière de sécurité des TI n’avait été relevé au cours des dernières années, nous avons constaté que les rapports de sécurité faisaient uniquement l’objet d’un examen ponctuel et informel, et qu’aucun suivi régulier et proactif des registres de vérification générés par les serveurs et les applications de sécurité n’était effectué au sujet des questions de sécurité. Nous avons également constaté que le processus de surveillance et de détection des incidents n’était pas documenté afin d’assurer une intervention cohérente et rapide. Le rapport d’EMR de 2014 a également relevé un besoin d’officialiser l’examen et le suivi réguliers, périodiques et systématiques des registres de vérification ainsi que le processus de gestion des incidents de sécurité.
Cette situation pourrait contribuer à accroître le risque que des agresseurs mènent des attaques sans être détectés pendant de longues périodes contre des systèmes compromis pour voler, modifier ou supprimer des informations, ce qui pourrait avoir une incidence majeure sur la Société.
Documenter et officialiser les processus de gestion des incidents et de surveillance de la sécurité, et déterminer la faisabilité du recours à un outil comme le système de gestion des incidents et de l’information de sécurité (GIIS) pour automatiser la collecte et l’analyse des registres de vérification afin de détecter les incidents potentiels de manière efficiente et efficace. De plus, la documentation devrait inclure un moyen de faire rapport sur les risques, les vulnérabilités, les incidents, les événements et les mesures d’atténuation liés à la sécurité des TI aux personnes qui doivent être informées et prendre des mesures en temps opportun.
H2 Le programme de gestion de la continuité des activités (PGCA) de PPP Canada en est encore à la forme provisoire et n’a pas été testé.
Cela contribuera à augmenter le risque que les services et les applications informatiques ne soient pas disponibles pour une durée prolongée en cas de sinistre qui dépasse le temps de reprise visé.
Mettre à jour et approuver le PGCA et vérifier son efficacité sur une base annuelle.
Plan d'action de la direction
Personne responsable de l’exécution du plan d’action de la direction

H2 – Vice-président, Finances, gestion du risque et administration, et dirigeant principal des finances

H1 – Directeur, Technologies de l’information, CCC
Description détaillée du plan d’action de la direction
PPP Canada agrees with the recommendations. With respect to observation H2, PPP Canada will update and approve the BCMP, and implement simulations to test its effectiveness, at a minimum, on an annual basis and with any changes to the IM/IT infrastructure. The results will be shared with management. With respect to observation H1, PPP Canada will use the performance dashboard highlighted in Section A to monitor the implementation of these recommendations by CCC.
Date à laquelle le plan d’action de la direction sera achevé
Juin 2016