Audit de la sécurité des TI : Gestion des menaces et des vulnérabilités
Sommaire du rapport final
Affaires mondiales Canada
Bureau du dirigeant principal de l’audit
Contexte
Conformément au Plan d’audit axé sur le risqué 2018-2019 approuvé d’affaires mondiales Canada (AMC), le Bureau du dirigeant principal de l’audit a effectué un audit de la gestion des menaces et des vulnérabilités dans le cadre de la sécurité des technologies de l’information (TI).
Des programmes de gestion des menaces et des vulnérabilités bien planifié et mis en œuvre de manière adéquate représentent un élément clé du programme en matière de sécurité des TI d’une organisation pour détecter les cybermenaces et établir une approche d’atténuation des risques et des vulnérabilités proactive, axée sur les activités et fondée sur le risque, c’est-à-dire une approche non seulement réactive et axée sur la technologie. Ces programmes de gestion des menaces et des vulnérabilités visent à offrir une manière d’évaluer l’incidence potentielle sur les activités et la probabilité des menaces et des risques sur l’infrastructure de l’information d’une organisation avant que des incidents à la cybersécurité ne se produisent. Des programmes efficaces de gestion des menaces et des vulnérabilités aident les organisations à respecter et à surpasser ces exigences essentielles.
Les cyberattaques et les risques qui s’y rattachent forcent la plupart des organisations à accorder une plus grande attention à la sécurité de l’information. Plusieurs facteurs ont entraîné une hausse des risques et de l’attention accordée par la suite aux questions liées à la sécurité des TI, y compris l’évolution des menaces et les changements rapides dans les technologies. Chaque jour, les ministères et organismes du gouvernement fédéral font l’objet de millions de tentatives de cyberintrusion.
Les systèmes de TI du ministère appuient la présence du Canada dans le monde dans 178 points de service dans plus de 100 pays. Le Ministère est constamment aux prises avec des menaces et des risques à la cybersécurité en raison de la nature de son mandat. La sécurité de la TI au Ministère consiste à atténuer les vulnérabilités et à renforcer la sécurité de ses systèmes de TI et de ses renseignements numériques par le biais de programmes de gestion des menaces et des vulnérabilités bien planifiés et mis en œuvre.
Les programmes de menace et de vulnérabilité liés à la sécurité des TI sont régis par un certain nombre de politiques et de lignes directrices comme suit :
- La Politique sur la sécurité du gouvernement du Conseil du Trésor (CT) établit le cadre stratégique pour les activités de sécurité ministérielle.
- La Directive sur la gestion de la sécurité ministérielle du CT exige que les ministères établissent un plan de sécurité interne, définissent les rôles et les responsabilités en matière de sécurité et établissent des contrôles de sécurité minimaux.
- La Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) du CT explique comment les contrôles de sécurité de base devraient être effectués pour assurer la sécurité de l’information et des biens de TI sous contrôle ministériel.
- La gestion des risques liés à la sécurité des TI (GSTI-33) fournit des directives sur la mise en œuvre d’une sécurité des TI selon une approche axée sur le cycle de vie.
Objectif de l’audit
L’audit avait pour objectif d’évaluer l’existence, la conception et l’efficacité des contrôles de sécurité de l’information mis en place par le Ministère pour détecter et évaluer les menaces et les vulnérabilités associées à la sécurité des TI.
Portée de l’audit
L’équipe d’audit a évalué les processus et les contrôles en place en matière de gestion des menaces et des vulnérabilités des TI entre le 1et avril 2018 et le 28 février 2019.
Aux fins du présent audit, les processus de gestion des menaces et des vulnérabilités comprenaient ce qui suit :
- Détection, la gestion et la correction des menaces et vulnérabilités des TI applicables aux systèmes de TI existants d’AMC;
- Évaluation des vulnérabilités en TI pendant le cycle chronologique d’élaboration des systèmes;
- Processus en place pour mesurer les menaces et les vulnérabilités en TI et en rendre compte jusqu’à la haute direction.
La portée de cet audit n’incluait pas d’organisations externes à AMC, mais elle a tenu compte de la manière dont le Ministère gère les renseignements reçus de ces organisations pour orienter leur programme de sécurité des TI.
L’équipe d’audit a examiné des documents, mené des entrevues avec des représentants du Ministère et évalué la vulnérabilité du système de TI du Ministère. De plus, l’équipe d’audit a effectué une évaluation de la vulnérabilité technique de trois application d’AMC.
Points forts observés
Les forces suivantes ont été cernées durant l’audit :
- Des processus de collecte de renseignements sur les cybermenaces de sources internes et externes sont en place;
- Le Ministère a rédigé une évaluation des risques liés à la sécurité des TI qui permet d’adapter les exigences en matière de sécurité des TI;
- Le Ministère dispose d’un cadre de mesure du rendement en matière de sécurité comprenant des indicateurs de rendement et des cibles ont été établis.
Constatations
En se fondant sur un ensemble d’éléments de preuve recueillis grâce à l’examen de documents et procédés, aux analyses et aux entrevues, l’équipe de vérification a évalué chaque critère de vérification.
Des observations ont été formulées dans les domaines suivants au cours de l’audit:
- Programme de gestion des menaces et des vulnérabilités à l’échelle de l’entreprise
- Rôles et responsabilités;
- Évaluation des risques; et
- Formation.
Conclusion
L’équipe d’audit a constaté que le Ministère avait mis en œuvre certains contrôles de la sécurité de l’information pour détecter et évaluer les menaces et les vulnérabilités liées à la sécurité des TI. Cependant, l’équipe a remarqué qu’il y avait place à l’amélioration en ce qui a trait à l’existence, à la conception et à l’efficacité des contrôles.
Plus précisément, l’équipe d’audit a constaté que le Ministère avait mis en place des processus pour recueillir des renseignements sur les cybermenaces auprès de sources internes et externes, mais que le Ministère profiterait d’un Programme de gestion des menaces et des vulnérabilités pour coordonner les activités à l’échelle du Ministère.
Énoncé de conformité
Selon mon jugement professionnel à titre de dirigeant principal de l’audit, le présent audit a été effectué conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes ainsi que la Politique et la Directive du Conseil du Trésor sur l’audit interne, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les procédés d’audit appliqués et les éléments de preuve recueillis sont suffisants et appropriés pour appuyer l’exactitude des constatations ainsi que la conclusion formulée dans le présent rapport, et pour fournir le niveau d’assurance que procure un audit. Les constatations et la conclusion reposent sur une comparaison entre les conditions qui existaient au moment de l’audit et les critères d’audit préétablis convenus avec la direction. Elles s’appliquent uniquement à l’entité examinée ainsi qu’à la portée et à la période visée par l’audit.
Acronymes
- AMC
- Affaires mondiales Canada
- CT
- Conseil du trésor
- GSTI
- Gestion de la sécurité des technologies de l’information
- SPC
- Services partagés Canada
- TI
- Technologies de l’information
Critères
| Critères | Sous-critères |
|---|---|
1. Veiller à ce qu’AMC ait mis en œuvre un cadre de contrôle de gestion efficace, y compris la responsabilisation, les politiques et la surveillance pour atténuer les menaces et les vulnérabilités des TI. | 1.1 Les rôles et responsabilités liés à la gestion des menaces et des vulnérabilités entre les partenaires internes et externes, y compris entre l’AC et les missions, sont clairement définis et bien compris. 1.2 Il existe un processus efficace pour gérer les biens en TI et établir des priorités dans la portée pour la gestion des menaces et des vulnérabilités à AMC 1.3 Le programme de gestion des menaces et des vulnérabilités et le cadre des politiques connexe est adéquat pour veiller à ce que les contrôles de la sécurité des TI exigés soient appliqués de manière uniforme dans toute l’organisation. 1.4 Un processus de surveillance du rendement est en place pour évaluer le rendement de la gestion des menaces et des vulnérabilités et l’évolution des vulnérabilités de la sécurité des TI et produire des rapports à cet égard. |
2. Veiller à ce qu’AMC ait mis en œuvre des contrôles opérationnels et techniques efficaces dans tout le Ministère pour atténuer les risques liés aux menaces et aux vulnérabilités des TI. | 2.1 Il y a des contrôles et des processus efficaces en place pour détecter et évaluer des vulnérabilités de la sécurité des TI et établir des priorités à cet égard. 2.2 Il existe un processus efficace pour définir les exigences de sécurité des TI dans les missions, harmonisé aux niveaux des menaces et des vulnérabilités définies. 2.3 Il existe un processus efficace pour sensibiliser divers groupes d’utilisateurs à la sécurité des TI et leur donner de la formation sur les menaces et les vulnérabilités en sécurité des TI adaptée 2.4 Il existe des processus et des contrôles efficaces pour mettre en œuvre des mesures correctives aux vulnérabilités cernées en temps voulu, compte tenu de la gravité de la vulnérabilité et de la menace sous-jacente, y compris la gestion des correctifs et le renforcement des systèmes. 2.5 Il existe un processus pour s’assurer que les vulnérabilités en sécurité des TI sont prises en compte dans le cycle chronologique d’élaboration des systèmes. |
