Audit de la sécurité des TI – résumé

Janvier 2019

Contexte

Les administrateurs généraux sont responsables d’assurer une gestion efficace de la sécurité, y compris de la sécurité des TI, au sein de leur organisation. La Norme de gestion de la sécurité des technologies de l’information (GSTI) du Secrétariat du Conseil du Trésor (SCT) définit les exigences de base en matière de sécurité que doivent respecter les ministères et organismes du gouvernement fédéral pour assurer la sécurité de l’information et des biens de technologie de l’information qu’ils détiennent. Bien que les IRSC ne gèrent pas d’information et n’offrent pas de services jugés essentiels au gouvernement du Canada, l’organisation recueille et conserve des données qu’elle doit protéger, comme le contenu des propositions de recherche, les résultats des processus de sélection et les renseignements personnels des candidatsNote en bas de page 1.

Le dernier audit de la sécurité des TI remonte à 2012. Depuis, de nouveaux logiciels ont été installés et l’infrastructure de TI des IRSC a évolué, tout comme le contexte de la menace. Il était donc nécessaire de refaire un audit de la sécurité des TI pour s’assurer que les risques demeurent gérés efficacement.

Pourquoi est-ce important?

Les ministères du gouvernement du Canada (GC) comptent sur les systèmes d’information pour soutenir leurs activités opérationnelles. Ces systèmes d’information interconnectés sont souvent la proie d’attaques graves qui peuvent entraîner le vol ou la perte d’information, et ainsi nuire aux activités opérationnelles des ministères. Selon le Centre de la sécurité des télécommunications du Canada, le GC repousse chaque jour en moyenne plus de 600 millions de tentatives de détection ou d’exploitation des vulnérabilités de ses systèmes et réseauxNote en bas de page 2. Bien qu’on ignore le nombre exact de tentatives d’intrusion fructueuses dans les réseaux gouvernementaux, plusieurs cas d’accès non autorisé ont fait la manchette au cours des dernières années, mettant en lumière l’importance d’une sécurité des TI robuste dans tous les ministères.

Objectif et portée

L’audit avait pour objectif de fournir aux IRSC l’assurance qu’ils sont équipés pour protéger leurs systèmes d’information (et les données qu’ils contiennent) contre les menaces et les vulnérabilités. Pour ce faire, les auditeurs ont évalué la qualité et l’efficacité :

Conclusions et recommandations

Le programme de sécurité des TI des IRSC a été jugé bien implanté. L’organisation s’est dotée d’un plan de sécurité ministérielle, et les différents rôles, responsabilités et obligations redditionnelles à l’égard de la sécurité des TI sont attribués et documentés. Les auditeurs ont constaté que l’organisation, dans le cadre de son programme de sécurité des TI, avait introduit des mécanismes de contrôle clés pour prévenir, détecter et corriger les vulnérabilités.

Les auditeurs ont cerné des possibilités d’amélioration par rapport à certains aspects de la sécurité des TI, et ils ont formulé des recommandations relatives à la gouvernance, à la gestion des risques et aux contrôles. La direction a accepté les recommandations des auditeurs et a établi un plan d’action en réponse aux conclusions.

Énoncé de conformité

L’audit de la sécurité des TI a été effectué conformément à la Politique sur l’audit interne, comme le démontrent les résultats du programme d’assurance et d’amélioration de la qualité.

Les auditeurs remercient la direction et le personnel pour leur coopération dans la réalisation de cet audit.

Ian Raskin
Dirigeant principal de la vérification et de l'évaluation
Instituts de recherche en santé du Canada

La direction souscrit aux conclusions du présent audit.

Jason Reid
Dirigeant principal de l’information et directeur général de la gestion de l’information, des technologies et de la sécurité
Instituts de recherche en santé du Canada

Date de modification :