Ottawa doit mieux protéger nos données

PHOTO DAVID BOILY, ARCHIVES LA PRESSE

Selon la vérificatrice générale, les nombreuses mesures de sécurité adoptées par le gouvernement fédéral pour protéger les cyberdonnées procurent un faux sentiment de sécurité. Dans les faits, elles sont peu ou pas appliquées au sein des ministères ou dans les contrats avec des fournisseurs de services.

Nathalie Collard La Presse

Le gouvernement fédéral gère de nombreux dossiers pour lesquels nous lui confions des renseignements personnels comme notre nom, notre âge, notre adresse, nos coordonnées bancaires, nos données fiscales… Il gère également des données ultra-sensibles en lien avec la sécurité du pays.

Publié le 21 nov. 2022

Or, ces données sont mal protégées.

C’est ce qui ressort d’un audit de la vérificatrice générale auprès de ministères et d’agences fédérales.

Pourquoi cette vérification maintenant ? Parce qu’il y a quatre ans, le Secrétariat du Conseil du Trésor a demandé aux ministères fédéraux de planifier le transfert de leurs bases de données vers l’infonuagique. Dans un contexte où les cyberattaques sont de plus en plus nombreuses, et où la sécurité des États est fragilisée, la vérificatrice générale a voulu s’assurer que le gouvernement fédéral protège adéquatement les informations sous sa responsabilité.

Or, son constat n’a rien de rassurant.

Elle indique dans un rapport déposé le 15 novembre dernier que les nombreuses mesures de sécurité adoptées par le gouvernement fédéral procurent un faux sentiment de sécurité. Dans les faits, elles sont peu ou pas appliquées au sein des ministères ou dans les contrats avec des fournisseurs de services.

Son rapport souligne également la confusion en ce qui concerne les rôles et les responsabilités des ministères et des agences. Qui fait quoi ? Ce n’est pas clair.

Résultat : personne n’a à répondre de ses gestes, les responsabilités de chacun tombent entre deux chaises et nos données sont vulnérables.

Ces règles devraient être clarifiées et mises à jour annuellement, selon elle.

Autre constat de la vérificatrice générale : le Secrétariat du Conseil du Trésor n’a pas rempli son mandat d’accompagnement des ministères en ce qui concerne la planification et le financement de cette transition et de la sécurisation des données dans le nuage.

La vérificatrice générale note aussi que le gouvernement n’est pas assez proactif en matière de cybersécurité. Parmi les lacunes : le peu de simulations pour tester l’efficacité des contrôles mis en place. Or, les experts en cybersécurité estiment qu’un serveur informatique d’une entreprise ou d’un ministère peut être la cible d’une centaine d’attaques quotidiennement. Pour s’assurer que nos mesures de protection sont adéquates, il faut les mettre à l’épreuve constamment.

Le gouvernement fédéral s’est traîné les pieds dans ce dossier. Certains experts le qualifient même d’irresponsable.

Cette incurie est d’autant plus flagrante que le gouvernement impose des normes plus strictes au secteur privé (le projet de loi C-26 qui vient renforcer la Loi concernant la cybersécurité a franchi l’étape de la première lecture à la Chambre des communes).

Pourquoi ne pas faire preuve de la même rigueur dans le secteur public dont la loi n’a pas été revue depuis 1982 (!), à l’époque où on envoyait des fax et où les clés USB n’existaient pas, sauf peut-être dans les films de science-fiction. Ce retard est injustifiable.

Il est plus que temps de revoir notre cadre législatif en profondeur en s’inspirant des normes imposées au privé. On peut également s’inspirer des normes européennes, une référence.

Le secteur public devrait être à l’avant-garde en matière de cybersécurité et montrer l’exemple en adoptant des lois robustes qui s’appliqueraient à tous les ministères.

La réflexion reste à faire quant au choix du ministère ou de l’agence qui serait responsable de l’application d’une loi revue et renforcée. Mais une chose est claire : cette entité devra rendre des comptes et détenir des pouvoirs clairs établis par la loi. Elle devra également être financée à la hauteur des responsabilités qu’elle assumera.

Le temps presse. La vérificatrice générale est formelle : le gouvernement fédéral doit agir « immédiatement », insiste-t-elle.

Nos gouvernements devraient également s’inquiéter de la pénurie de main-d’œuvre spécialisée en cybersécurité. Dans un contexte d’économie du savoir, alors qu’on souhaite s’imposer dans des domaines comme l’intelligence artificielle, il faut penser à des stratégies pour attirer les jeunes vers des formations de haut niveau pour répondre aux besoins du secteur public et privé. Notre sécurité individuelle et collective en dépend.

Lisez le rapport « La cybersécurité des renseignements personnels dans le nuage » Qu'en pensez-vous? Exprimez votre opinion