Malgré la fréquence et la sévérité croissante des attaques de pirates informatiques sur les systèmes canadiens, Ottawa « tarde » à assumer son rôle pour répondre adéquatement aux cybermenaces.
Le rapport automnal du vérificateur général Michael Ferguson dévoile d'importantes lacunes dans la gestion de ces risques, tant dans le stockage des données sensibles que dans la surveillance d'éventuels pirates prêts à sévir.
Or, terroristes, organisations criminelles ou États étrangers peuvent s'introduire dans les systèmes - électriques, bancaires, téléphoniques, gouvernementaux - pour les détruire volontairement ou en voler l'information, a rappelé M. Ferguson dans le document déposé mardi aux Communes.
Revoir le fonctionnement du CCRIC
Le fonctionnement du Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue un exemple révélateur des failles qui persistent dans la gestion de la menace. Le Centre n'est en effet ouvert actuellement qu'aux heures de bureau de la capitale fédérale, de 8 h à 16 h, 5 jours par semaine. Au-delà de ces heures, un employé en disponibilité est simplement prévenu par téléavertisseur.
Or, les attaques peuvent évidemment être pilotées de l'étranger, dans un fuseau horaire éloigné, ou tout bonnement fomentées par des pirates locaux faisant peu de cas des heures d'ouverture du bureau chargé de contrecarrer leurs initiatives.
Si le gouvernement envisage de prolonger les heures d'ouverture du centre, le vérificateur général est d'avis qu'il devrait être ouvert en permanence, pour favoriser la détection de menaces à toute heure du jour ou de la nuit.
L'attaque dont des organismes gouvernementaux ont été victimes en janvier 2011 a mis au grand jour la faiblesse de la protection informatique au pays, a noté M. Ferguson dans son rapport. Les renseignements, pourtant délicats, n'étaient pas stockés comme il se doit, selon les « bonnes pratiques » en technologie de l'information.
« En conséquence, certains de ces renseignements, qui n'ont pas été protégés de façon appropriée contre un accès non autorisé, étaient vulnérables à une compromission », a écrit M. Ferguson.
Le CCRIC, une ressource peu connue
Autre point noir: les propriétaires de systèmes d'exploitation ignorent l'existence d'un centre destiné à les aider à faire face aux cyberattaques, malgré sa mise sur pied il y a sept ans. Ils n'y signalent alors pas tous les incidents pouvant se produire. Le CCRIC ne dispose donc pas de l'ensemble des données pouvant lui permettre d'avoir un portrait précis de l'ampleur des attaques contre des sites canadiens, et est en conséquence moins capable de prodiguer des conseils pour y faire face.
« Nous avons observé que, lors d'un incident où les systèmes du gouvernement fédéral avaient été la cible de pirates, le CCRIC n'avait été avisé par les organismes touchés que plus d'une semaine après la découverte de l'intrusion, ce qui va à l'encontre de la procédure », a souligné M. Ferguson à titre d'exemple.
Le vérificateur général a signalé par ailleurs que le ministère de la Sécurité publique n'avait pas de plan interministériel pour mesurer l'évolution du gouvernement en matière de sécurité informatique.
Le gouvernement a réalisé des progrès depuis 2010 quant à la protection de ses systèmes, mais il y a eu peu de progrès au chapitre de l'établissement de partenariats avec les exploitants de systèmes pour faciliter l'échange d'information.
M. Ferguson a également souligné que le gouvernement avait investi 780 millions de dollars de 2001 à 2011 dans 13 ministères avec pour objectif l'amélioration de la cybersécurité, mais on ignore précisément quelles sommes ont été dépensées à cette fin en réalité.
Le rapport de M. Ferguson, déposé mardi, comprend au total six chapitres. Il a notamment abordé le processus trop complexe de transition des militaires à la vie civile, si bien que les vétérans n'ont pas toujours accès aux services dont ils ont droit.
Selon le vérificateur, le gouvernement devrait également publier ses analyses de viabilité à long terme des finances publiques.