Vérification de la sécuritéde l’information Rapport final Conclusions L’objectif de la vérification visait à fournir l’assurance que des processus sont établis, qu’une

1

Vérification de la sécurité de l’informationRapport final

Préparé par la VIE pour le:

Comité de la vérification et de l’évaluation

Finances Canada

15 juin 2009

2

Table des matières

Sommaire 3

Contexte 4

Objectif et étendue de la vérification 5

Démarche, énoncé d’assurance et normes de vérification utilisés 6

Conclusions 7

Constatations par critère de vérification 8

Recommandations et plan d’action de la direction 14

Annexes

Annexes A – Liste des principaux documents de référence consultés 18

Annexe B – Liste des employés de Finances Canada interviewés 20

3

Sommaire

La sécurité de l’information, lorsqu’elle est efficace, aide le ministère des Finances Canada (le Ministère) à réaliser ses objectifs stratégiques puisqu’elle assure la protection des renseignements opérationnels du Ministère et, par conséquent, la confidentialité, l’intégrité et la disponibilité de ceux-ci. La sécurité de l’information conservée sur support papier ou électronique suppose une stratégie ministérielle globale qui définit les processus et établit les niveaux appropriés de sensibilisation, de formation et de surveillance. La vérification permet au Ministère d’identifier des possibilités d’amélioration de processus.

La vérification a été approuvée et planifiée en 2007, puis effectuée en 2008. Elle conclut que, globalement, le Ministère applique généralement de bonnes pratiques de gestion de l’information sensible. Quatre secteurs se sont distingués, leurs processus étant consignés par écrit et leur formation adaptée à leurs besoins :

l’unité responsable des processus du Budget et de la mise à jour financière;la Direction juridique;la Division de l’AIPRP de la Direction juridique; etla salle du courrier.

Des possibilités d’amélioration ont aussi été identifiées. Elles concernent la mise en place d’un cadre structuré afin de consolider les pratiques actuelles des employés du Ministère. Les principales possibilités d’amélioration sont les suivantes :

Élaborer et mettre en œuvre un programme de formation à l’échelle du Ministère;Surveiller la gestion de l’information sensible et tenir les employés responsables; etFaciliter l’accès aux lignes directrices et aux outils expliquant la façon de gérer l’information sensible.

4

ContexteHistoriqueLa vérification de la sécurité de l’information est prévue dans le Plan triennal de vérification axée sur les risques du ministère des Finances Canada (le Ministère); ce plan a été approuvé par le Comité de vérification et d’évaluation. La phase de planification de la vérification s’est déroulée à l’automne 2007. À ce moment, les vérificateurs ont étéinformés des initiatives de gestion planifiées, susceptibles d’avoir une incidence sur la sécurité de l’information au Ministère. Ces initiatives incluaient : l’élaboration de lignes directrices ministérielles sur la sécurité de l’information, un projet pilote en vue de connaître les besoins de formation ainsi que des améliorations à apporter au programme de sensibilisation. Conséquemment, l’examen détaillé a été reporté à l’automne 2008 afin que la vérification puisse tenir compte de toute incidence que pourraient avoir ces initiatives.

ContexteDans l’exercice de ses fonctions, le Ministère crée, reçoit, stocke, transmet, archive et élimine de l’information sensible sur support papier ou électronique. La sécurité de l’information est capitale; les résultats d’une compromission, présumée ou réelle, de renseignements pourraient nuire à la réputation du Ministère et, éventuellement, celle du gouvernement.Au gouvernement du Canada (le gouvernement), l’information sensible désigne une information, dont la divulgation sans autorisation, ou la compromission risquerait vraisemblablement de lui porter préjudice. Le gouvernement reconnaît l’importance de la gestion de l’information sensible, sur support papier ou électronique, par l’application de la Politique du gouvernement sur la sécurité (PGS). Compte tenu de la complexité de la gestion de l’information sensible sur support électronique, le Conseil du Trésor du Canada a ajouté à la PGS une norme de gestion de la sécurité des technologies de l’information (GSTI) et d’autres documents d’orientation énumérés à l’annexe A.Au Ministère, la sécurité relève de deux organisations de la Direction des services ministériels : la Division des services de sécurité (DSS) et le Directorat de la gestion de l’information et de la technologie (DGIT). L’agent de sécurité du Ministère (ASM) de la DSS est responsable de tous les aspects de la sécurité sauf de la sécurité des TI, dont est chargé le coordonnateur de la sécurité des TI (CSTI) qui rend compte au dirigeant principal de l’information (DPI). De plus, le CSTI a un rapport hiérarchique fonctionnel avec l’ASM. Ce double rapport hiérarchique découle de la GSTI et sert à assurer un lien efficace entre la sécurité et la TI.En fin de compte, la protection efficace de l’information incombe à la haute direction et à chaque employé qui crée, gère, stocke, archive et élimine l’information sensible. La personne qui crée un dossier est responsable de sa désignation de sécurité initiale. Les employés qui se voient confier des renseignements précédemment classifiés sont à leur tour responsables de les protéger adéquatement, selon leur désignation.

5

ObjectiveL’objectif de la vérification visait à fournir l’assurance que des processus sont établis, qu’une formation est offerte, qu’un cadre de responsabilisation existe et que des mesures de contrôle ont été adoptées en vue de gérer l’information sensible, conformément aux bonnes pratiques de gestion ainsi qu’aux politiques et aux lignes directrices connexes qui s’appliquent.

La portéeLa vérification a porté sur toute l’information sensible, sur support papier ou électronique, créé ou reçu à l’échelle du Ministère.

La vérification ne portait pas sur les aspects suivants :

La sécurité de systèmes informatiques spécifiques; toutefois, la vérification incluait l’information sensible stockée dans le réseau électronique du Ministère;

L’information sensible détenue par le Ministère concernant ses employés;

La sécurité des communications verbales. L’information de cette nature est extrêmement difficile à définir, à mesurer et à analyser, si bien que tout examen effectué aurait été fondé, au mieux, sur des éléments anecdotiques;

La sécurité de l’information conservée l’extérieur du Ministère. L’examen se limitait à l’information sensible gérée par les employés dans leur milieu de travail et non, par exemple, à la maison ou au cours de leurs déplacements;

La compétence des employés du Ministère dans la classification des documents.

Objectif et étendue

6

Au cours de la vérification, des procédures appropriées ont été effectuées et suffisamment d’éléments probants ont étéassemblés pour confirmer l’exactitude des constatations et conclusions présentées dans ce rapport. La vérification a étéeffectuée conformément aux Normes internationales pour la pratique professionnelle de la vérification interne. Selon ces normes, la vérification doit être planifiée et menée de façon à pouvoir obtenir une assurance raisonnable au sujet de l'atteinte de l'objectif. La procédure de vérification comprenait notamment : des entrevues, des observations, des révisions, l’examen de documents à l’appui, un échantillonnage discrétionnaire et des examens analytiques. Les critères utilisés dans l’élaboration des procédés de vérifications requis, s’appuyaient sur de bonnes pratiques de gestion ainsi que sur les politiques, les règlements et les lois applicables, y compris les contrôles de gestion de base du Bureau du contrôleur général. Ces derniers ont trait à l’administration, à la gestion des risques, aux personnes et à la responsabilisation.

Au total, 39 personnes ont été interviewées, dont des employés de chacune des 9 directions du Ministère. On trouvera àl’annexe B la liste des employés interviewés. De plus, l’équipe de vérification a examiné les lois, les politiques, les normes et les directives pertinentes ainsi que les documents connexes (liste fournie à l’annexe A). La méthode prévoyait également l’élaboration et la vérification d’organigrammes illustrant le cycle de vie de l’information sensible conservée sur support papier ou électronique.

Par ailleurs, les résultats de la vérification ont été communiqués à la gestion de façon à ce qu’elle puisse examiner et commenter les constatations et les conclusions avant le dépôt du rapport final.

Démarche, énoncé d’assurance et normes de vérification utilisés

7

Conclusions

L’objectif de la vérification visait àfournir l’assurance que des processus sont établis, qu’une formation est offerte, qu’un cadre de responsabilisation existe et que des mesures de contrôle ont été adoptées en vue de gérer l’information sensible, conformément aux bonnes pratiques de gestion ainsi qu’aux politiques et aux lignes directrices connexes qui s’appliquent.

La vérificatrice conclut que, globalement, le Ministère applique généralement de bonnes pratiques de gestion de l’information sensible. Quatre fonctions se sont distinguées, leurs processus étant consignés par écrit et leur formation adaptée à leurs besoins :

l’unité responsable des processus du Budget et de la mise à jour financière;la Direction juridique;la Division de l’AIPRP de la Direction juridique; etla salle de courrier.

Des possibilités d’amélioration ont aussi été identifiées. Elles concernent la mise en place d’un cadre mieux structuré en vue d’appuyer la sécurité de l’information. Les principales possibilités d’amélioration sont les suivantes :

Élaborer et mettre en œuvre un programme de formation à l’échelle du Ministère;Surveiller la gestion de l’information sensible et tenir les employés responsables; Faciliter l’accès aux lignes directrices et aux outils expliquant la façon de gérer l’information sensible.

Objectif dela vérification

8

Le tableau qui suit présente l’évaluation du niveau d’exposition au risque selon la vérification. Les niveaux d’exposition au risque sont classés par critère de vérification.

Les critères de vérification utilisés pour évaluer l’exposition au risque s’appuient sur de bonnes pratiques de gestion, sur les contrôles de gestion de base du Bureau du contrôleur général ainsi que sur les politiques et les normes gouvernementales qui s’appliquent.

Le classement est basé sur le niveau d’exposition au risque. Les niveaux élevé, moyen ou faible correspondent àl'exposition au risque possible qui, selon les vérificateurs, pourrait avoir une incidence sur l'atteinte des objectifs du Ministère et il indique la priorité que devrait accorder la direction aux recommandations connexes.

L’évaluation résume les observations de la vérification fondées sur des éléments probants factuels recueillis et analysés durant la mission. À la lumière de ces évaluations, les questions et les thèmes ainsi que les causes possibles, les initiatives de gestion et les recommandations sont résumées à la section « Recommandations et réponses de la direction ».

Constatations par critère de vérification

Exposition faible

Exposition moyenne

Exposition élevée

9

FORMATION

Les nouveaux employés du Ministère reçoivent une formation générale propre à leurs responsabilités, mais il n’existe aucune formation à l’échelle du Ministère sur la gestion de l’information sensible. En outre, le Ministère n’a aucune stratégie visant à former les employés au traitement de l’information sensible dans l’exercice de leurs tâches quotidiennes. Font exception les employés affectés aux quatre fonctions suivantes : 1) l’unité responsable des processus du Budget et de la mise à jour financière; 2) la Direction juridique; 3) la Division de l’AIPRP de la Direction juridique; et 4) la salle de courrier. Ces quatre secteurs ont élaboré des procédures et des lignes directrices particulières pour le traitement de l’information sensible, et les nouveaux employés reçoivent une formation à cet effet.Durant les entrevues, certains employés ont mentionné qu’ils avaient une connaissance et une compréhension limitées des principes et des procédures de classification de l’information sensible. Ces déclarations se rapportaient à leurs tâches habituelles; elles ne concernaient pas les quatre fonctions susmentionnées.Il faut souligner une initiative visant à mettre en œuvre une stratégie de formation à l’échelle du Ministère. Au printemps 2008, le Directorat de la gestion de l’information et de la technologie a fait appel à un cabinet pour mener un projet pilote de formation portant surl’identification, le marquage et le traitement de l’information sensible conformément à la PGS. Un cours de formation pilote, accompagné de lignes directrices écrites, a donc été offert. Toutefois, le projet d’étendre la formation à l’ensemble du Ministère ne s’est pas réalisé. Les vérificateurs ont voulu connaître les raisons de cette interruption et, par suite d’une enquête, ils ont appris qu’il s’agissait d’un projet conjoint relevant de trois organisations : le Secrétariat du Conseil du Trésor (SCT), l’Agence de la fonction publique du Canada (AFPC) et le Ministère; elles n’ont pas pu s’entendre sur une approche d’approvisionnement commune en vue d’élaborer et de mettre en œuvre le projet.

MoyenneLes employés reçoivent une formation leur permettant de gérer adéquatement l’information sensible.

ÉvaluationExposition au risque

Critère


10

Constatations par critère de vérificationÉvaluationExposition

au risqueCritère

La gestion a mis en place des mesures pour rappeler aux employés leurs responsabilités face à la gestion de l’information sensible. Elles comprennent entre autres :La Division des services de sécurité offre, aux nouveaux employés du

Ministère, une brève séance d’information qui porte notamment sur la sécuritéde l’information protégée et classifiée.

Le Ministère organise une semaine de sensibilisation en matière de sécurité qui prévoit des rappels au sujet de la sécurité de l’information.

Un courriel est envoyé à tous les employés au début de la période de préparation budgétaire pour leur rappeler les mesures de sécurité qui s’appliquent aux documents du Budget sur support papier et électroniques.

Beaucoup d’employés ont affirmé que l’importance de connaître les normes de sécurité relatives aux renseignements sensibles est soulignée régulièrement durant les réunions du personnel et les séances d’information àl’intention des nouveaux employés dans leur secteur. Toutefois, cette pratique est mal documentée.

À intervalles réguliers, les employés sont obligés, à l’ouverture d’une session de leur ordinateur, de confirmer qu’ils observent la Politique d'utilisation des réseaux électroniques. Un point de cette politique concerne directement la sécurité de l’information et il stipule que les employés doivent : « se conformer aux instructions de leur institution destinées à assurer la

sécurité des réseaux informatiques et de l'information qu'ils contiennent ».

Malheureusement, les instructions dont il est question dans la politique ne sont pas énoncées dans un seul document clair et simple.

FaibleLes employés connaissent leurs obligations et responsabilités face à la gestion de l’information.

SENSIBILISATION

11


Critère

PROCESSUS

Certains secteurs et directions du Ministère se sont dotés de documents, d’outils et de processus en vue de faciliter la gestion de l’information sensible et de guider les employés dans leur travail. L’unité responsable des processus du Budget et de la mise à jour financière, la Direction juridique, la Division de l’AIPRP de la Direction juridique, ainsi que la salle de courrier, ont consigné par écrit leurs processus.

Mis à part celles de ces quatre secteurs, les procédures documentées se font rares; les employés n’ont généralement pas d’instruction précise quant à la gestion de l’information sensible, ni à l’échelon de la direction, ni à celui du Ministère. Les lignes directrices et les documents de référence connexes sont diffusés sur un certain nombre de sites Web de différents ministères et organismes tels que le Ministère, le SCT et la Gendarmerie royale du Canada (GRC). Il faut donc consacrer beaucoup d’efforts et de temps à la recherche des documents et des lignes directrices servant au travail quotidien.

Selon les vérificateurs, la production de lignes directrices sur l’identification et le marquage de l'information sensible représente un pas dans la bonne direction; toutefois, des employés ont indiqué qu’il n’était pas facile de les retrouver. De plus, au moment de la vérification, le projet consistant à élaborer des lignes directrices ministérielles sur la sécurité de l’information, qui seraient complètes et traiteraient de l’ensemble du cycle de vie, n’était toujours pas terminé.

MoyenneDes processus et des outils sont mis en place afin de favoriser l’observation des bonnes pratiques de gestion de l’information sensible.


12


Critère

RESPONSABILISATION ET CONTRÔLES INTERNES

L’équipe de vérification a évalué les critères de responsabilisation et les contrôles internes par un examen des contrôles servant à surveiller l’information sensible conservée sur support papier et électronique. L’équipe a constaté un manque de surveillance des pratiques ministérielles.

Contrôles des TI – Il n’y a généralement pas de surveillance active de l’information sensible conservée dans le réseau électronique du Ministère (par exemple sur les lecteurs communs). La surveillance active des activités de TI des employés du Ministère se limite, la plupart du temps, à l’accès aux sites Web.

Conformément à plusieurs politiques du Conseil du Trésor, notamment la Politique sur la surveillance active, le Ministère est tenu de surveiller activement l’état des pratiques de gestion de tous ses programmes et activités. Selon une exigence propre à la sécurité des TI, le coordonnateur de la sécurité des TI doit s’assurer que les employés du Ministère respectent les normes pertinentes et les documents qui s’y rattachent, et il doit entre autres surveiller le stockage des renseignements sensibles sur les lecteurs communs. Faute de quoi, des employés autres que ceux qui ont un « besoin de connaître » ou qui ont une cote de sécurité appropriée risquent d’avoir accès à des renseignements sensibles. Comme les politiques gouvernementales ne précisent pas de moyens quant à la façon d’exercer cette surveillance, le Ministère dispose d’une certaine latitude pour mettre en œuvre une solution adaptée pour résoudre cette question.

La Vérification interne reconnaît les droits garantis aux employés par la Loi sur la protection des renseignements personnels et la Charte des droits et libertés. Le Ministère doit donc respecter ces droits et concevoir des politiques et des pratiques de contrôle de façon à concilier raisonnablement les attentes légitimes des personnes et son devoir de protéger l’information sensible qu’il détient, tout en s’assurant qu’il s’acquitte de ses activités avec efficience et dans le respect des politiques et des lois.La Politique d’utilisation des réseaux électroniques du Conseil du Trésor sert de cadre aux institutions en matière de protection des renseignements personnels en ce qui a trait au contrôle de l’usage que font les employés des réseaux électroniques.

ÉlevéeLes employés sont tenus responsables de la gestion de l’information sensible, notamment d’une mauvaise protection ou classification et de la divulgation non autorisée.


13



Critère

RESPONSABILISATION ET CONTRÔLES INTERNES

…suite de la page précédente.

Contrôles physiques — Les patrouilles de sécurité ont été abandonnées. Ces patrouilles consistaient en des visites non-annoncées par des membres du personnel chargés de la sécurité sur les lieux de travail d’une direction, d’une division, d’un étage ou autres afin de vérifier que les documents sensibles et les appareils portatifs pouvant contenir de l’information sensible étaient placés sous clé. Dans le cas contraire, l’article était acheminé à la Sécurité et un message était laissé à l’employéafin qu’il vienne le réclamer. L’incident était consigné et lorsque l’employé venait réclamer l’article, son nom était noté et son superviseur informé.

Les patrouilles de sécurité ont cessé en 2008. Selon le personnel chargé de la sécurité, les employés ne venaient pas réclamer leurs documents ou leurs appareils, et la plupart ne tenaient pas compte de ce système de réprimande.

Élevée Les employés sont tenus responsables de la gestion de l’information sensible, notamment d’une mauvaise protection ou classification et de la divulgation non autorisée.

14

Recommandations et plan d’action de la direction

La section qui suit présente les principales possibilités d’amélioration découlant des constatations de la vérification. Les incidences et les recommandations ainsi que les initiatives de gestion pertinentes déjà en cours, le cas échéant, y sont également exposées. Pour chaque recommandation, la gestion a fourni :

un plan d’action qui donne suite à la recommandation;

le poste dont relève la mise en œuvre du plan;

la date d’achèvement visée.

15

D’ici la fin du troisième trimestre de 2009-10, l'ASM élaborera un programme approprié de sensibilisation à l'égard de la sécurité de l'information, ainsi qu'un plan visant l'exécution du programme auprès du personnel. L'ASM veillera, d’ici la fin du troisième trimestre de 2009-10, à ce que les nouveaux employés assistent à une séance d'information obligatoire sur la sécurité de l'information lorsqu'ils intègrent le ministère. Et finalement, toujours d’ici la fin du troisième trimestre 2009-10, l'administrateur des RH inclura le volet «sensibilisation à la sécurité de l'information » à la séance d'orientation, et l'ASM ajoutera un résumé du guide sur les cotes de sécurité de l'information à la trousse destinée aux nouveaux employés ainsi qu'au cahier virtuel.

Il est recommandé que l’ASM, en consultation avec le DPI et les ressources humaines, relance le projet afin d’offrir une formation sur la gestion de l’information sensible à tous les employés, àl’échelle du ministère.

(À titre de pratique exemplaire, il est suggéré que le programme de formation soit concis, tout en traitant de tous les éléments du cycle de vie de l’information sensible et en accordant une attention particulière aux besoins les plus fréquents des employés. La formation devrait être recommandée à tous et obligatoire au moins pour les nouveaux employés.)

Réponse de la direction

Il n’existe pas de programme de formation à l’échelle du Ministère portant sur la gestion de l’information sensible. Certains employés signalent qu’ils ne savent pas exactement comment classifier l’information sensible et qu’ils profiteraient d’une telle formation.

L’absence de formation comporte des risques d’erreurs et de manquement aux responsabilités. Faute d’une formation offerte à l’échelle du Ministère, il est plus risqué que les employés : 1) ne gèrent pas convenablement l’information sensible; 2) n’accordent pas l’attention nécessaire à une bonne gestion de l’information sensible, malgré leur responsabilité à cet égard.

En plus, des employés risquent de sur classifier ou de sous-classifier les documents. La classification de l’information entraîne des responsabilités importantes pour les années à venir, si bien qu’une sur classification pourrait avoir des incidences à long terme en raison des exigences de sécurité et de stockage additionnelles associées aux documents qui ont les cotes les plus élevées. Ailleurs, le Ministère risque que des informations sensibles soient divulguées tort si des employés sous-classifient des documents en raison d’un manque de formation.

L’une des directions du Ministère a bénéficié d’un cours de formation pilote sur ce sujet; les résultats de ce cours assurent les bases d’un programme de formation qui pourrait être offert à l’échelle du Ministère.

Recommandation

Résumé de la constatation de la vérification et de ses incidences

1. Élaborer et mettre en œuvre un programme de formation à l’échelle du Ministère

16

Le CSTI demandera un avis juridique d'ici la fin du troisième trimestre de 2009-10 afin de confirmer la mesure dans laquelle le ministère peut effectuer une surveillance et de préparer un programme de surveillance en conséquence. Le CSTI mettra en œuvre un programme de surveillance d'ici fin du quatrième trimestre de 2009-10. Le CSTI, en collaboration avec l'ASM, le DPI et le fournisseur de services communs, élaborera un plan de gestion des incidents, conformément au Plan de gestion des incidents du gouvernement du Canada, d'ici la fin du troisième trimestre de 2009-10. L'ASM rétablira les vérifications de sécurité afin de garantir la gestion appropriée de l'information sensible sur papier et des dispositifs portables d'ici la fin du troisième trimestre de 2009-10.

Il est recommandé que le coordonnateur de la sécuritédes TI (CSTI) mette en œuvre un programme officiel de surveillance et de présentation de rapports afin d’assurer l’observation des politiques en matière de sécurité qui s’appliquent. Le coordonnateur devrait aussi établir un processus efficace de gestion des incidents touchant la sécurité des TI.

Il est recommandé que l’ASM rétablisse les patrouilles de sécurité afin de surveiller la gestion de l’information sensible conservée sur papier et de voir à la sécuritématérielle.


Le traitement de l’information sensible, sur support papier ou électronique, n’est pas suffisamment surveillé. Au Ministère, on ne surveille généralement pas dans quelle mesure et de quelle manière les documents sensibles sont stockés sur les lecteurs informatiques communs. Le Ministère ne peut donc pas vérifier si l’accès aux renseignements sensibles est réservé à ceux qui ont un « besoin de connaître » ou qui ont une cote de sécurité appropriée.

De plus, les patrouilles de sécurité ont cessé, ce qui a entraîné un relâchement des contrôles servant à surveiller la sécuritématérielle de l’information sensible conservée sur papier.

Une surveillance restreinte augmente le risque que les pratiques et les politiques efficaces liées à la gestion de l’information sensible ne soient pas observées. Cette situation peut s’aggraver au fil du temps, à mesure que les employés commettent des erreurs sans s’en rendre compte. En outre, le manque de surveillance pourrait envoyer un mauvais message et amener certains employés à croire que la gestion de l’information sensible importe peu.

Recommandation


2. Surveiller la gestion de l’information sensible et tenir les employés responsables

17

L'ASM, en collaboration avec le DPI et le coordonnateur de la sécuritédes TI, examinera et mettra à jour la page Web actuelle consacrée à la sécurité de l'information pour s'assurer qu'elle contient des liens renvoyant vers l'information la plus récente et la plus pertinente en matière de gestion de l'information sensible, et ce, d'ici la fin du troisième trimestre de 2009-10. Une fois la page Web mise à jour, un lien clairement visible sera ajouté dans l'Infosite afin de faciliter l'accès à cette page Web. Pour faire connaître l'existence de la page Web, celle-ci sera mentionnée dans le cadre de la formation sur la sécurité de l'information une fois que celle-ci aura été mise en œuvre, ainsi que dans des courriels mensuels de sensibilisation à l'égard de la sécurité, en plus des rappels mensuels concernant la Politique d'utilisation des réseaux électroniques. Un lien renvoyant à ce résumé sera ajouté au cahier virtuel, afin que tous les employés puissent y accéder facilement.

Il est recommandé que l’ASM, aidé du coordonnateur de la sécurité des TI et du DPI, lance un site Web constituant un point d’accès unique qui permettrait de communiquer rapidement, à tous les employés, les éléments essentiels de la gestion de l’information sensible, et qui comprendrait des liens vers les documents de références les plus utiles. La formation initiale serait l’occasion de renseigner les employés sur ce site, et les confirmations périodiques prévues dans la Politique d'utilisation des réseaux électroniques

pourraient servir de rappel.


Il est difficile d’obtenir les lignes directrices et les documents de référence portant sur la gestion de l’information sensible. Ces renseignements sont diffusés sur différents sites Web de plusieurs ministères et organismes du gouvernement.

La situation actuelle augmente le risque d’erreurs dans la gestion et le traitement de l’information sensible. Si les employés n’ont pas facilement accès aux lignes directrices pouvant les aider lorsqu’ils gèrent l’information sensible, ils sont plus susceptibles de prendre des décisions mal éclairées ou de tirer des conclusions fondées sur des connaissances insuffisantes, dépassées ou erronées. De cette situation découlent deux risques importants. Premièrement, les employés pourraient perdre leur temps dans des recherches inefficaces et, deuxièmement, les erreurs de gestion de l’information sensible pourraient avoir de graves conséquences sur la sécurité de l’information au Ministère.

Recommandation


3. Faciliter l’accès aux lignes directrices et aux outils expliquant la façon de gérer l’information sensible

18

Annexe A – Liste des principaux documents de référence consultés

Lois

• Loi sur la protection de l’information

• Charte canadienne des droits et libertés

• Loi sur la protection des renseignements personnels

Politiques

• Politique du gouvernement sur la sécurité• Politique sur l’utilisation des réseaux informatiques• Politique de gestion de l’Infrastructure à clé publique au gouvernement du Canada• Politique sur la gestion des technologies de l’information• Politique sur la gestion de l’information• Politique sur la gestion des risques

Normes

• Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI)• Norme relative à la capacité organisationnelle de gestion de projet• Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (PCA)• Norme opérationnelle de sécurité - Niveaux de préparation des installations du gouvernement fédéral• Norme sur la sécurité du personnel• Norme opérationnelle sur la sécurité matérielle• Politique du gouvernement sur la sécurité - Norme opérationnelle de la Loi sur la protection de l'information

19

Annexe A – Liste des principaux documents de référence consultés (suite)

Directives du Conseil du Trésor• Directive sur les rôles et responsabilités en matière de gestion de l'information• Directive sur la gestion de la sécurité ministérielle • Directive sur la gestion des technologies de l'information

Autres documents• Guide de la GRC G1-009 , Norme pour le transport ou la transmission de renseignements et de biens de

nature délicate• Cadre de responsabilisation de gestion• Cadre stratégique sur l'information et la technologie • Plan d'action en matière de sécurité des TI de 2008-2011(ébauche) – Directorat de la gestion de

l'information et de la technologie • Politique sur la sécurité - Guide du gestionnaire

Documents propres à Finances Canada• Ligne directrice sur la détermination et le marquage de l'information sensible - FIN/SCT/AFPC

20

Annexe B – Liste des employés de Finances Canada interviewés

Isabelle Amano, directrice, Division de l'analyse et des prévisions économiques, Direction des politiques économique et fiscale Leah Anderson, directrice, Direction du développement économique et des finances intégréesRobert Aubé, directeur exécutif et directeur principal de l'information, Directorat de la gestion de l'information et de la technologie (DGIT), Direction des services ministériels (DSM)Eileen Bays-Coutts, chef, Services de la bibliothèque, Division de la gestion de l’information (DGI), DGIT, DSMDanielle Bourdeau, adjointe administrative, Direction des politiques économique et fiscale Garry Bradley, agent de gestion de l’information, Division des services juridiques généraux, Direction juridiqueRobert Brodeur*, directeur exécutif et directeur principal de l'information, DGIT, DSMJean-Michel Catta, directeur général, Direction des consultations et des communications Gerrylyn Chambers*, chef, Services de publication et de distribution, DSMYves Cloutier, gestionnaire, Services de sécurité, Directorat de l'administration, DSMDebra Crawford, directrice principale par intérim, Directorat de l'administration, DSM ; directrice, Services de sécurité (agente de sécurité du Ministère)Diane Crouse, directrice, DGIT, DSMAlan Darisse*, sous-ministre adjoint, Direction des consultations et des communications Paul Berg Dick, directeur, Direction de la politique de l'impôt Robert Dunlop, directeur général, Direction du développement économique et des finances intégrées Chris Forbes, directeur, Division de la politique fiscale, Direction des politiques économique et fiscale Yves Giroux, directeur, Division de la politique sociale, Direction des relations fédérales-provinciales et de la politique sociale Jim Haley, directeur général, Direction des finances et des échanges internationaux Karen Koster*, gestionnaire, Services de sécurité, Directorat de l'administration, DSMDiane Lafleur, directrice, Direction de la politique du secteur financier

* N’occupait plus ce poste en mars 2009

21

Annexe B – Liste des employés de Finances Canada interviewés (suite)

Daniel Lamarche, gestionnaire, Services de distribution et de courrier, Directorat de l'administration, Services de publication et de distribution, DSMAlfred LeBlanc, directeur, Direction des relations fédérales-provinciales et de la politique sociale Frank Lee, chef, Division de l'analyse et des prévisions économiques, Direction des politiques économique et fiscale Louise Levonian, sous-ministre adjointe, Direction de la politique de l'impôt Diane Manseau, chef d’équipe, Division de l'accès à l'information et de la protection des renseignements personnels, Direction juridiqueJim Marasco, spécialiste des solutions de TI, DGIT, DSMKaren Martin*, conseillère principale et coordonnatrice de la gestion, Bureau du SMA, DSMTracy Miller, adjointe exécutive du SMA, Direction de la politique du secteur financier Carol Nelder-Corvani, directeur, Direction des finances et des échanges internationaux Luc Parson, spécialiste des solutions de TI, DTI, DGTI, DSMJeremy Rudin, sous-ministre adjoint, Direction de la politique du secteur financierGertie Senuik – chef (Centre de dépannage), DGTI, DSM Susan Spénard*, directrice, agente de sécurité du Ministère, Services de sécurité, Directorat de l'administration, DSMJohn Stalker*, directeur, agent de sécurité du Ministère, Services de sécurité, DSMRob Stewart, directeur général, Direction de la politique du secteur financier Denys Tremblay*, chef, Sécurité des TI, DTI, DGTI, DSMFrancine Trotman, chef, Opérations des programmes et services administratifs, Direction des consultations et des communications Kathy Wesley, directrice, Division de l’accès à l’information et de la protection des renseignements personnels, Direction juridiqueSharon Young, gestionnaire des opérations, Direction de la politique de l'impôt

* N’occupait plus ce poste en mars 2009