Déclaration d’ouverture devant le Comité permanent des comptes publics
La cybersécurité des renseignements personnels dans le nuage
(Rapport 7 — Rapports de 2022 de la vérificatrice générale du Canada)
Le 30 mars 2023
Andrew Hayes
Sous-vérificateur général
Monsieur le Président, je vous remercie de nous donner l’occasion de discuter de notre rapport sur la cybersécurité des renseignements personnels dans le nuage, qui a été déposé à la Chambre des communes le 15 novembre 2022. Je tiens à reconnaître que cette audience se déroule sur le territoire traditionnel non cédé du peuple algonquin anishinaabe. Je suis accompagné aujourd’hui de Jean Goulet et de Gabriel Lombardi, qui ont dirigé cet audit.
De plus en plus, les ministères fédéraux font passer leurs applications logicielles et leurs bases de données au nuage. Certaines de ces applications et bases de données contiennent des renseignements personnels de Canadiennes et de Canadiens. L’information stockée numériquement, soit sur place dans des centres de données ou dans le nuage, est exposée à des risques de compromission.
Cet audit visait à déterminer si le Secrétariat du Conseil du Trésor du Canada, Services partagés Canada, Services publics et Approvisionnement Canada, le Centre de la sécurité des télécommunications du Canada et les ministères sélectionnés disposaient de contrôles pour prévenir et détecter les menaces à la sécurité des renseignements personnels de la population canadienne stockés dans le nuage et intervenir en conséquence.
Dans l’ensemble, nous avons constaté que les ministères que nous avons audités ne respectaient et ne mettaient pas toujours en œuvre les contrôles établis par le gouvernement pour protéger les renseignements stockés dans le nuage ou transmis au moyen du nuage. Ces contrôles comprennent entre autres le chiffrement et les exigences relatives à la sécurité du réseau. Nous avons aussi constaté que les exigences de sécurité, de même que les responsabilités et les rôles connexes, n’étaient pas toujours clairement définies, ce qui a donné lieu à une mise en œuvre non uniforme. Par conséquent, l’information stockée dans le nuage est vulnérable aux cyberattaques, qui sont de plus en plus fréquentes et perfectionnées.
Nous avons aussi constaté que, 4 ans après avoir demandé aux ministères fédéraux d’envisager la transition vers l’infonuagique, le Secrétariat du Conseil du Trésor du Canada n’avait toujours pas fourni de plan de financement à long terme pour son adoption. Il n’avait pas non plus donné aux ministères les outils pour calculer le coût de la transition et de l’exploitation de l’infonuagique.
En l’absence d’un plan de financement et d’outils d’établissement des coûts, il est difficile pour les ministères de s’assurer qu’ils disposent de la main‑d’œuvre, des ressources et de l’expertise dont ils ont besoin pour sécuriser l’information stockée dans le nuage et intervenir en cas de menaces. Ce plan et ces outils renforceraient les capacités de cyberdéfense du gouvernement du Canada, tant à l’échelle des ministères que dans l’ensemble du gouvernement.
Enfin, nous avons constaté que Services publics et Approvisionnement Canada et Services partagés Canada n’avaient pas exigé que les fournisseurs de services infonuagiques fassent état de leur rendement environnemental ou qu’ils expliquent comment leurs services contribueraient à réduire les émissions de gaz à effet de serre du Canada. Cette constatation est importante, car le Canada s’est fixé l’objectif d’atteindre la carboneutralité d’ici 2050 et s’est engagé à inclure des critères visant à réduire les émissions de gaz à effet de serre dans les processus d’approvisionnement de biens et de services du gouvernement. À ce jour, cela n’a pas été fait dans le cadre de l’approvisionnement en services infonuagiques.
Le gouvernement doit prendre des mesures immédiates, pendant que les ministères en sont aux premières étapes de la transition vers l’infonuagique. Il doit s’assurer que du financement est disponible et que les principaux contrôles de sécurité sont renforcés de façon à prévenir et à détecter les cyberattaques et à intervenir en conséquence. Il est entre autres nécessaire de définir des responsabilités et des rôles communs clairs en matière de cybersécurité, de sorte que les ministères concernés, les organismes centraux et les fournisseurs de services infonuagiques sachent exactement ce qu’ils doivent faire.
Monsieur le Président, je termine ainsi ma déclaration d’ouverture. Nous serions heureux de répondre aux questions des membres du Comité. Merci.