Axe 1 : Accroître la cybersécurité de l’administration publique | Stratégie gouvernementale de cybersécurité et du numérique 2024-2028

La transformation numérique de l’administration publique nécessite que la gestion des risques en sécurité de l’information soit prise en compte dès qu’elle est planifiée afin d’éviter la perturbation ou l’arrêt des services essentiels à la population, ou encore le vol de données. Ces défis mettent en lumière la nécessité d’assurer la protection des données des citoyennes et des citoyens ainsi que celles des organisations à l’égard des cybermenaces ainsi que la résilience des services publics et des infrastructures critiques. Ainsi, la cybersécurité s’impose comme un pilier essentiel de l’évolution de la société à l’ère du numérique.

Dans ce contexte, il incombe à l’État de jouer un rôle de leader en veillant à ce que sa propre transformation numérique soit réalisée dans un environnement cybersécuritaire. L’exemplarité de l’administration publique en cette matière revêt une importance particulière, car elle constitue un facteur clé pour développer et maintenir la confiance des citoyennes et des citoyens à l’égard de sa capacité à prévenir les incidents de sécurité, à assurer la résilience de ses services offerts à la population et à conduire une transformation numérique réussie. L’État entend ainsi renforcer la sécurité des services publics notamment en augmentant sa capacité à cibler les menaces, les vulnérabilités et à prévenir les incidents de cybersécurité.

Pour ce faire, l’administration publique se donne les deux objectifs suivants :

L’administration publique a une importante responsabilité envers la sécurité et la résilience des services publics. Elle doit notamment assurer la confidentialité, l’intégrité et la disponibilité de l’information générée par les services qu’elle offre à la population.

Pour bien protéger l’information, la posture de sécurité des organismes publics doit évoluer et s’adapter continuellement aux nouvelles technologies ainsi qu’aux nouvelles techniques d’attaques des acteurs malveillants. L’administration publique mise sur la force du Réseau gouvernemental de cyberdéfense (Réseau) pour mettre en place les mesures de cybersécurité et pour mutualiser les services ainsi que les expertises nécessaires au renforcement de la sécurité des services publics.

En complément, afin de détecter et de contrer les cyberattaques tentant de contourner les mécanismes de protection, une détection et une surveillance accrue seront déployées. En se dotant d’une vue d’ensemble des tentatives d’atteintes à la sécurité de l’information, l’administration publique pourra réagir plus rapidement et réduire les préjudices.

1.1 Accroître les capacités gouvernementales de surveillance des menaces, vulnérabilités et incidents relatifs à la cybersécurité

La transformation numérique de l’État représente une opportunité pour l’administration publique d’améliorer la performance et la convivialité des services offerts aux citoyennes et aux citoyens. Une augmentation du nombre de services numériques implique toutefois des opportunités additionnelles d’exploitation par des acteurs malveillants. Qu’ils aient pour objectif le vol ou la corruption de données, l’extorsion ou l’atteinte à la disponibilité d’un service, les acteurs malveillants ciblent l’administration publique en raison de l’importance de ses services à la population, de son accès aux données citoyennes et de sa visibilité médiatique. L’identification actuelle des menaces et des vulnérabilités ainsi que la surveillance des événements de sécurité sont des éléments essentiels à la protection des services publics. Une meilleure surveillance permet de détecter rapidement les tentatives d’attaques et les incidents de sécurité pour en informer les organismes publics concernés. Une intervention immédiate élimine ou minimise les préjudices afférents.

La bonification des capacités gouvernementales est essentielle afin de découvrir davantage et plus rapidement les brèches de données et tout autre type d’incident pour diminuer les préjudices pouvant y être associés. L’automatisation des pratiques et l’utilisation de technologies émergentes, telles que l’intelligence artificielle et ses capacités d’analyse prédictive, seront considérées pour décupler la capacité d’analyse gouvernementale et améliorer la performance des processus. Ainsi, le temps de détection et de réaction aux cybermenaces et aux cyberattaques pourra être réduit.

1.2 Renforcer la posture de sécurité de l’information gouvernementale

Assurer la cybersécurité et la résilience des services publics contre des cybermenaces et des cyberattaques en constante mouvance requiert une posture de sécurité évolutive.

D’une part, l’adoption d’un référentiel gouvernemental permettant de déterminer les mesures de sécurité devant être mises en place par les organismes publics est essentielle à l’amélioration de la maturité gouvernementale en matière de cybersécurité.

D’autre part, l’encadrement stratégique, tactique et opérationnel de l’action gouvernementale quant aux mesures devant être mises en place est requis pour assurer des niveaux de sécurité cohérents et adéquats au sein des organismes publics de l’administration publique.

Par ailleurs, la standardisation des pratiques gouvernementales, par l’adoption et le maintien à jour de processus gouvernementaux normalisés, ainsi que la centralisation de services clés contribuent également au renforcement de la posture de sécurité en permettant une action gouvernementale rapide et concertée.

Finalement, la poursuite du développement d’une offre de services à l’intention des organismes publics, centralisée au MCN, est également indispensable pour répondre aux besoins opérationnels du Réseau gouvernemental de cyberdéfense. Pour ce faire, le Centre gouvernemental de cyberdéfense élargira la portée des services actuels, mettra en place une équipe d’intervention spécialisée en réponse aux incidents et offrira de nouveaux outils et services, tel que le service de protection lors de la navigation Web.

En somme, la mise en place de ces processus et mesures de contrôle contribuera à l’établissement des fondations nécessaires à l’atteinte de cette posture en sécurité de l’information.

1.3 Mutualiser les initiatives et les expertises au sein du Réseau gouvernemental de cyberdéfense

L’encadrement opérationnel de la sécurité de l’information et la centralisation des services de cybersécurité requérant peu de connaissances sectorielles sont réalisés au Centre gouvernemental de cyberdéfense. Les centres opérationnels de cyberdéfense, quant à eux, soutiennent les organismes publics dans l’application des exigences, dans la prise en charge des menaces, vulnérabilités et incidents détectés par les services centralisés.

Ils complètent également l’offre du Réseau en concentrant leurs efforts sur les actions nécessitant une connaissance des particularités et des technologies propres aux organismes publics qui leur sont rattachés afin de mutualiser les pratiques et les services adaptés à leur secteur d’activité.

L’administration publique détient et traite une masse critique de renseignements personnels et confidentiels. La confiance du public envers l’État est importante à préserver et dépend, entre autres, de sa capacité à protéger de tels renseignements d’une utilisation malveillante des données telle que l’usurpation d’identité.

Le contexte de mobilité et de valorisation des données numériques gouvernementales rehausse l’importance de la sécurité de l’information. Au sein de l’administration publique, cela passe notamment par une classification de sécurité des données uniforme et applicable à l’ensemble des organismes publics.

Par ailleurs, il importe que l’ensemble du personnel de l’administration publique dispose des connaissances, des compétences et des réflexes appropriés en matière de cybersécurité pour être en mesure d’utiliser les outils numériques et de réaliser son travail quotidien sans compromettre la sécurité des données détenues par l’administration publique.

2.1 Classifier et sécuriser les données numériques gouvernementales

La classification de sécurité est à la base de la sécurisation des données numériques gouvernementales et donc, des renseignements personnels et confidentiels des citoyennes et des citoyens, des entreprises et de l’État. Les organismes publics ont la responsabilité de classifier les données qu’ils détiennent selon leur sensibilité et de leur accorder un niveau de sécurité propre à leur contexte organisationnel. Dans une optique de cohérence gouvernementale, un nouveau modèle de classification de sécurité sera déployé dans les organismes publics. Celui–ci prendra appui sur les meilleures pratiques de classification des données numériques et tiendra compte de leur nature, de leurs caractéristiques, de leur utilisation, de même que des règles qui les régissent.

Le modèle permettra aux organismes publics de réduire les risques d’une atteinte à la confidentialité, à l’intégrité ou à la disponibilité des données. Il assurera également une classification plus cohérente entre les organismes publics et facilitera une interopérabilité avec d’autres acteurs de l’écosystème de la sécurité de l’information.

2.2 Développer les compétences et l’expertise en cybersécurité au sein de l’administration publique

La première ligne de défense contre les cyberattaques repose sur l’humain. Le personnel de l’État doit donc être informé des bonnes pratiques à intégrer au quotidien, ainsi que des tendances et menaces émergentes en matière de cybersécurité. Ces connaissances et le développement des compétences de l’ensemble du personnel de l’administration publique sont nécessaires pour adopter les bons réflexes et réduire les cyberrisques. Chaque décision ou action d’une personne doit être effectuée en pleine conscience des éventuelles répercussions sur la sécurité de l’information.

À cet effet, il est essentiel de promouvoir une culture de la cybersécurité à l’échelle gouvernementale. Cela contribuera à minimiser les erreurs humaines en favorisant un apprentissage continu adapté aux nouvelles menaces, fournissant ainsi au personnel de l’État les compétences nécessaires pour se protéger efficacement contre les attaques et assurer la sécurité des données, des systèmes et des infrastructures numériques.

Il faut également mentionner que les rôles et responsabilités des intervenants du Réseau gouvernemental de cyberdéfense et des autres contributeurs à la sécurité de l’information, oeuvrant dans la prévention, la détection et la réaction en cette matière, revêtent une importance capitale. Leur expertise doit être maintenue à jour en continu. Ils doivent pouvoir s’adapter à un environnement en perpétuel changement. Ainsi, une offre de formations spécialisées en cybersécurité et de formations pratiques dans un environnement simulé doit être disponible.