Le vérificateur général s’inquiète des cybermenaces

23 oct 2012 10h36

OTTAWA – Malgré la fréquence et la sévérité croissante des attaques de pirates informatiques sur les systèmes canadiens, Ottawa « tarde » à assumer son rôle pour répondre adéquatement aux cybermenaces.

Le rapport automnal du vérificateur général Michael Ferguson dévoile d’importantes lacunes dans la gestion de ces risques, tant dans le stockage des données sensibles que dans la surveillance d’éventuels pirates prêts à sévir.

Or, terroristes, organisations criminelles ou États étrangers peuvent s’introduire dans les systèmes _ électriques, bancaires, téléphoniques, gouvernementaux _pour les détruire volontairement ou en voler l’information, a rappelé M. Ferguson dans le document déposé mardi aux Communes.

Le fonctionnement du Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue un exemple révélateur des failles qui persistent dans la gestion de la menace. Le Centre n’est en effet ouvert actuellement qu’aux heures de bureaux de la capitale fédérale, de 8h à 16h, cinq jours par semaine. Au-delà des ces heures, un employé en disponibilité est simplement prévenu par téléavertisseur.

Or, les attaques peuvent évidemment être pilotées de l’étranger, dans un fuseau horaire éloigné, ou tout bonnement fomentées par des pirates locaux faisant peu de cas des heures d’ouverture du bureau chargé de contrecarrer leurs initiatives.

Si le gouvernement envisage prolonger les heures d’ouvertures du centre, le vérificateur général est d’avis qu’il devrait être ouvert en permanence, pour favoriser la détection de menace à toute heure du jour ou de la nuit.

L’attaque dont des organismes gouvernementaux ont été victimes en janvier 2011 a mis au grand jour la faiblesse de la protection informatique au pays, a noté M. Ferguson dans son rapport. Les renseignements, pourtant délicats, n’étaient pas stockés comme il se doit, selon les « bonnes pratiques » en technologie de l’information.

« En conséquence, certains de ces renseignements, qui n’ont pas été protégés de façon appropriée contre un accès non autorisé, étaient vulnérables à une compromission », a écrit M. Ferguson.

Autre point noir: les propriétaires de systèmes d’exploitation ignorent l’existence d’un centre destiné à les aider à faire face aux cyberattaques, malgré sa mise sur pied il y a sept ans. Ils n’y signalent alors pas tous les incidents pouvant se produire.

Le CCRIC ne dispose donc pas de l’ensemble des données pouvant lui permettre d’avoir un portrait précis de l’ampleur des attaques contre des sites canadiens, et est en conséquence moins capable de prodiguer des conseils pour y faire face.

« Nous avons observé que, lors d’un incident où les systèmes du gouvernement fédéral avaient été la cible de pirates, le CCRIC n’avait été avisé par les organismes touchés que plus d’une semaine après la découverte de l’intrusion, ce qui va à l’encontre de la procédure », a souligné M. Ferguson à titre d’exemple.

Le vérificateur général a signalé par ailleurs que le ministère de la Sécurité publique n’avait pas de plan interministériel pour mesurer l’évolution du gouvernement en matière de sécurité informatique.

Le gouvernement a réalisé des progrès depuis 2010 quant à la protection de ses systèmes, mais il y a eu peu d’avancées au chapitre de l’établissement de partenariats avec les exploitants de systèmes pour faciliter l’échange d’information.

M. Ferguson a également soulevé que le gouvernement avait investi 780 millions $ de 2001 à 2011 dans 13 ministères avec pour objectif l’amélioration de la cybersécurité, mais on ignore précisément quelles sommes ont été dépensées à cette fin en réalité.

Le rapport de M. Ferguson déposé mardi comprend au total six chapitres. Il a notamment abordé le processus trop complexe de transition des militaires à la vie civile, si bien que les vétérans n’ont pas toujours accès aux services dont ils ont droit.

Selon le vérificateur, le gouvernement devrait également publier ses analyses de viabilité à long terme des finances publiques.

Points saillants du rapport

_ Le gouvernement doit faire plus pour protéger les infrastructures importantes, comme le réseau électrique, contre les cybermenaces.

_ Le Centre canadien de réponse aux incidents cybernétiques n’est pas en opération à toute heure de la journée tel qu’il avait été promis et est même fermé la fin de semaine.

_ Les ministères de la Défense nationale et celui des Anciens combattants n’ont pas l’information nécessaire pour s’assurer que les soldats qui réintègrent la vie civile reçoivent l’aide et les bénéfices auxquels ils ont droit.

_ La Défense nationale ne réussit pas à garder la cadence pour l’entretien de milliers de bâtiments et autres structures sous sa responsabilité.

_ Le gouvernement n’a pas tenu une promesse de 2007 de publier des analyses de ses perspectives fiscales à long terme, mais s’est engagé à le faire dès l’an prochain.

_ La décision de hausser l’âge d’admissibilité à la sécurité du revenu à 67 ans va épargner au gouvernement environ 10 milliards $ par an, lorsque la mesure sera entièrement en vigueur en 2029.

Pas encore bilingue

Par ailleurs, à un an presque jour pour jour de l’échéance que s’était imposée Michael Ferguson pour apprendre le français, force est de constater que le vérificateur général du Canada n’est pas encore bilingue.

Près de 12 mois se sont écoulés depuis sa nomination au poste traditionnellement réservé à des candidats parlant les deux langues officielles du pays. En déposant son rapport automnal mardi, M. Ferguson a convenu que la maîtrise de la langue de Molière représentait encore un défi pour lui.

Interrogé en conférence de presse sur son bilinguisme, il a d’abord prononcé quelques mots en français, avant de se terminer sa réponse en anglais.

M. Ferguson a convenu qu’il avait encore beaucoup de travail à faire, avant de conclure en anglais qu’il voulait toujours devenir bilingue mais qu’il lui restait du chemin à parcourir.

La nomination de M. Ferguson le 3 novembre 2011 avait suscité la colère des partis d’opposition, puisque la fonction de vérificateur général était par le passé assortie d’une exigence de bilinguisme. Les libéraux avaient boycotté le vote de sa nomination et les néo-démocrates l’avait invité à mots à peine couverts à céder sa place.

Le lieutenant québécois de Stephen Harper, Christian Paradis, avait alors rétorqué que M. Ferguson avait « pris l’engagement » de parler français en un an et qu’il « s’attendait à ce qu’il le fasse ».

Le Nouveau Parti démocratique (NPD) a déposé un projet de loi ce printemps afin de rendre obligatoire la maîtrise des deux langues officielles pour 10 postes clés au fédéral. L’initiative divise le caucus conservateur.