(Ottawa) Un examen interne révèle des manquements à la sécurité en matière de technologie de l’information au ministère fédéral de la Sécurité publique. Il fait notamment état d’un contrôle laxiste sur l’utilisation des clés USB, d’une sensibilisation et d’une formation inadéquates.

Selon cet examen, des employés qui ne faisaient plus partie du ministère « avaient toujours un accès privilégié au réseau ». Certains employés actuels ont un accès administratif inutile aux « applications essentielles à la mission ».

L’audit interne peu remarqué a été achevé en avril et rendu public en juillet.

L’auteur réclame plusieurs améliorations pour assurer la sécurité et l’intégrité de l’information à la Sécurité publique, le ministère responsable de la GRC, du Service canadien du renseignement de sécurité, du Service correctionnel et de la Commission des libérations conditionnelles du Canada.

Le rapport a été achevé sept mois après que l’arrestation d’un directeur d’un centre de renseignement de la GRC eut fait la une des journaux, même à l’extérieur du pays.

PHOTO JUSTIN TANG, ARCHIVES LA PRESSE CANADIENNE

L’ex-officier de la Gendarmerie royale du Canada, Cameron Jay Ortis

Cameron Jay Ortis est inculpé en vertu de la loi sur la sécurité de l’information pour avoir prétendument révélé des secrets à un destinataire non identifié et avoir planifié de donner des informations classifiées supplémentaires à une entité étrangère non spécifiée.

L’audit indique qu’il n’existait aucun moyen officiel au sein du ministère pour identifier, analyser et évaluer systématiquement les risques liés à la sécurité des technologies de l’information.

Les responsables n’ont pas procédé à des examens périodiques ou à une surveillance continue des privilèges d’accès au réseau, déplore-t-on.

La suppression de l’accès dépend de la présentation d’un « formulaire de départ » par l’employé au moment de quitter la Sécurité publique, mais les inspecteurs ont été informés que celui-ci n’est parfois pas rempli.

De plus, il n’y avait « aucun suivi officiel » des incidents de sécurité liés à la technologie au ministère.

Les auteurs du rapport ont appris que seulement quatre des cinq incidents de ce type avaient été signalés ou avaient fait l’objet d’une enquête au cours des deux dernières années. Toutefois, ils n’ont pu le confirmer, car « il n’y a pas de dossier ou de rapport documenté ».

« L’audit n’a pas pu confirmer que tous les incidents de sécurité informatique ont été enregistrés et traités par les canaux appropriés afin de garantir que des mesures correctives ont été prises en temps opportun. »

Le rapport signale aussi qu’il y avait une connaissance limitée des exigences relatives au traitement des documents électroniques et à l’utilisation d’outils pour assurer la transmission sécurisée des informations par les employés.

« La transmission d’informations ou de documents PS sensibles à des adresses électroniques personnelles sans protection supplémentaire telle que le cryptage n’est pas non plus surveillée. »

La politique fédérale rédigée par le secrétariat du Conseil du Trésor exige que tous les ministères tiennent des registres des dispositifs de stockage de données portables, comme les clés USB, émis au sein de leur organisation. Ces appareils sont censés être protégés par mot de passe et les informations qui y sont stockées sont cryptées.

« L’audit a révélé que le ministère de la Sécurité publique ne tient pas de registres des clés USB qui ont été émises et qu’il y a des contrôles limités en place pour identifier si des individus sauvegardent des informations sensibles sur une clé USB », peut-on lire dans le rapport.

« De plus, il ne récupère pas les clés USB lors des contrôles de sécurité pour examiner leur contenu. Il existe donc un risque que les clés USB contiennent des informations sensibles non chiffrées qui pourraient constituer un incident de sécurité. »

Le ministère a l’intention de crypter toutes les données stockées sur les ordinateurs de bureau et les ordinateurs portables et de désactiver tous les ports USB par défaut lorsqu’une mise à niveau logicielle est terminée dans le département, indique le rapport.

Les contrôles effectués pour évaluer la sécurité n’ont pas évalué les contrôles clés, tels que les périphériques USB sans surveillance et non protégés ou les ordinateurs portables laissés connectés et déverrouillés par les utilisateurs.

« La sensibilisation et la formation à la sécurité doivent être menées de manière systématique et exhaustive pour garantir que les individus sont informés de leurs responsabilités en matière de sécurité informatique et maintiennent les connaissances et les compétences nécessaires pour s’acquitter efficacement de leurs fonctions », recommande le rapport.

Si certaines améliorations étaient déjà en cours au moment de l’examen, plusieurs autres devront être mises en place au cours des deux prochaines années.

La mise en œuvre du nouveau plan de sécurité est en cours et garantira la cohérence avec les politiques du Conseil du Trésor, assure Zarah Malik, une porte-parole du ministère de la Sécurité publique.

Chris Schulz, de la firme Etly Risk Management Solutions, applaudit l’attention apportée par les auteurs du rapport, étant donné l’importance d’avoir des mesures en place pour détecter les vulnérabilités en matière de sécurité, y compris les menaces internes.

Comme de nombreuses personnes, y compris des employés du gouvernement, travaillent maintenant à domicile, quelqu’un se connectant à un réseau informatique tard dans la nuit pourrait ne pas être considéré comme étant inhabituel, mentionne M. Schulz.

La chose la plus importante à considérer est ce que fait réellement l’employé, dit-il.

« S’il arrive en retard, télécharge des fichiers ou en imprime, s’il se rend dans un endroit où il ne va normalement pas. Une combinaison de ces signes pourrait peindre une image de cette personne comme étant potentiellement une menace. »