OTTAWA – Malgré la fréquence et la sévérité croissante des attaques de pirates informatiques sur les systèmes canadiens, Ottawa «tarde» à assumer son rôle pour répondre adéquatement aux cybermenaces.

Le rapport automnal du vérificateur général Michael Ferguson dévoile d’importantes lacunes dans la gestion de ces risques, tant dans le stockage des données sensibles que dans la surveillance d’éventuels pirates prêts à sévir.

Or, terroristes, organisations criminelles ou États étrangers peuvent s’introduire dans les systèmes — électriques, bancaires, téléphoniques, gouvernementaux — pour les détruire volontairement ou en voler l’information, a rappelé M. Ferguson dans le document déposé mardi aux Communes.

Le fonctionnement du Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue un exemple révélateur des failles qui persistent dans la gestion de la menace. Le centre n’est en effet ouvert actuellement qu’aux heures de bureaux de la capitale fédérale, de 8h à 16h, cinq jours par semaine. Au-delà des ces heures, un employé en disponibilité est simplement prévenu par téléavertisseur.

Or, les attaques peuvent évidemment être pilotées de l’étranger, dans un fuseau horaire éloigné, ou tout bonnement fomentées par des pirates locaux faisant peu de cas des heures d’ouverture du bureau chargé de contrecarrer leurs initiatives.

Si le gouvernement envisage prolonger les heures d’ouverture du centre à 15 heures par jour, le vérificateur général est d’avis qu’il devrait être ouvert en permanence, pour favoriser la détection de menace à toute heure du jour ou de la nuit.

Attaque coûteuse

L’attaque dont des organismes gouvernementaux ont été victimes en janvier 2011 a mis au grand jour la faiblesse de la protection informatique au pays, a noté M. Ferguson dans son rapport. Les renseignements, pourtant délicats, n’étaient pas stockés comme il se doit, selon les «bonnes pratiques» en technologie de l’information.

«En conséquence, certains de ces renseignements, qui n’ont pas été protégés de façon appropriée contre un accès non autorisé, étaient vulnérables à une compromission», a écrit M. Ferguson.

L’attaque, possiblement orchestrée de la Chine, aurait coûté des millions de dollars en réparation, temps supplémentaire et perte de productivité.

Autre point noir: les propriétaires de systèmes d’exploitation ignorent l’existence d’un centre destiné à les aider à faire face aux cyberattaques, malgré sa mise sur pied il y a sept ans. Ils n’y signalent alors pas tous les incidents pouvant se produire.

Le CCRIC ne dispose donc pas de l’ensemble des données pouvant lui permettre d’avoir un portrait précis de l’ampleur des attaques contre des sites canadiens, et est en conséquence moins capable de prodiguer des conseils pour y faire face.

«Nous avons observé que, lors d’un incident où les systèmes du gouvernement fédéral avaient été la cible de pirates, le CCRIC n’avait été avisé par les organismes touchés que plus d’une semaine après la découverte de l’intrusion, ce qui va à l’encontre de la procédure», a souligné M. Ferguson à titre d’exemple.

Le vérificateur général a signalé par ailleurs que le ministère de la Sécurité publique n’avait pas de plan interministériel pour mesurer l’évolution du gouvernement en matière de sécurité informatique.

Le gouvernement a réalisé des progrès depuis 2010 quant à la protection de ses systèmes, mais il y a eu peu d’avancées au chapitre de l’établissement de partenariats avec les exploitants de systèmes pour faciliter l’échange d’information.

M. Ferguson a également soulevé que le gouvernement avait investi 780 millions $ de 2001 à 2011 dans 13 ministères avec pour objectif l’amélioration de la cybersécurité, mais on ignore précisément quelles sommes ont été dépensées à cette fin en réalité.

En conférence de presse, le ministre de la Sécurité publique Vic Toews a rappelé que les conservateurs avaient injecté 155 millions $ sur cinq ans pour faire face aux menaces grandissantes.

«Il n’y a pas qu’une ou deux attaques par année. Nous sommes attaqués sur une base constante», a-t-il expliqué. Le gouvernement doit donc créer un système robuste de protection pour répondre à ces attaques issues de pirates, d’organisations criminelles et aussi de pays étrangers, a ajouté le ministre.

Mais pour le chef de l’opposition, la réponse du gouvernement aux cybermenaces est «une blague».

«C’est hallucinant que le gouvernement garde ce centre, qui est censé de veiller aux cyberattaques, ouvert seulement pendant les heures de bureau (…). Ça témoigne de l’insouciance et de l’incompétence des conservateurs dans ce dossier primordial», a soutenu le chef néo-démocrate Thomas Mulcair.

Autres chapitres

Le rapport de M. Ferguson déposé mardi comprend au total sept chapitres. Il a notamment abordé le processus trop complexe de transition des militaires à la vie civile, si bien que les vétérans n’ont pas toujours accès aux services dont ils ont droit.

Selon le vérificateur, le gouvernement devrait également publier ses analyses de viabilité à long terme des finances publiques.

M. Ferguson recommande d’autre part au gouvernement de mieux planifier le coûteux recours au travailleurs contractuels.

Il blâme aussi Ottawa pour ne pas avoir exigé de reddition de comptes de la part de Bombardier pour le développement des CSeries, en dépit d’un financement à la hauteur de 350 millions $.

Aussi dans National :

Nous utilisons maintenant la plateforme de commentaires Facebook Comments sur notre site web. Grâce à celle-ci, vous pourrez laisser vos commentaires par l’entremise de votre compte Facebook directement sous les articles sur notre site web. Pour ceux qui ne sont pas membres du réseau social, nous vous invitons à faire vos commentaires via l’adresse courriel opinions@journalmetro.com. Merci de nous lire!