Cybersécurité : Et si le ministère fédéral de la sécurité publique a été laxiste ?
Récemment, un rapport publié révèle que le ministère fédéral de la sécurité publique pose un sérieux problème en terme d’organisation et de respect des règles en matière de sécurité informatique.
L’administration serait alors « laxiste » quand à l’utilisation de périphérique externe dans les supports.
Cet article va aussi vous intéresser : Sécurité informatique et l’être humain
« Le ministère fédéral de la Sécurité publique a l’intention de crypter toutes les données stockées sur les ordinateurs de bureau et les ordinateurs portables et de désactiver tous les ports USB par défaut lorsqu’une mise à niveau logicielle est terminée dans le département », pouvait-on cependant lire dans le rapport.
La partie intrigante de ce même rapport déclare que certains employés qui ne faisait plus partie du ministère en question « avaient toujours un accès privilégié au réseau » alors que « certains employés actuels ont un accès administratif inutile aux applications essentielles à la mission ».
C’est suite à un audit réalisé durant le mois d’avril dernier est rendue publique 11 juillet que le rapport a été édité
L’audit interne peu remarqué a été achevé en avril et rendu public en juillet.
De son côté l’auteur du rapport conseil d’apporter plusieurs améliorations pour rassurer l’intégrité de la sécurité des systèmes informatiques du ministère. Une administration qui est responsable de la plupart des institutions liées à la sécurité savoir la GRC, les services canadiens de renseignements ou encore le service correctionnel de la Commission des libérations conditionnelles du Canada
C’est après l’arrestation de l’ancien directeur de la GRC quel rapport a été rendu public. Il s’agit de Cameron Jay Ortis, un ancien officier de la gendarmerie Royale du Canada. Ce dernier a été accusé pour avoir divulguer des informations de nature secrète à un destinataire qui probablement n’en n’avait pas l’accréditation ou même le droit. Une divulgation qui s’est faite de manière illégale. L’enquête pour l’hypothèse d’une entité étrangère.
Selon le rapport de l’audit, il n’y a aucun moyen officiel qui permettrait à l’administration ministérielle d’identifier, d’évaluer et d’analyser de manière systématique les risques qui pourrait être liés à la sécurité de l’ensemble de leurs technologies de l’information. Les responsables d’alors n’avaient pas pensé institué des examens périodiques ou encore une surveillance de manière continue de l’ensemble a des privilèges à qui donner accès au réseau informatique.
Par exemple, supprimer un accès lors du départ d’un, on lui faire remplir un formulaire. Selon les informations reçues par les inspecteurs, ce formulaire est rarement rempli. Sans oublier que les incidents en question étaient rarement suivis, lorsqu’ils concernaient les services technologiques.
« L’audit n’a pas pu confirmer que tous les incidents de sécurité informatique ont été enregistrés et traités par les canaux appropriés afin de garantir que des mesures correctives ont été prises en temps opportun. » lit-on dans le rapport.
On peut lire dans le rapport que les personnes impliquées directement dans la gestion des technologies de l’information au ministère n’étaient pas suffisamment formées sur les exigences relatives au traitement des dossiers de nature électronique ainsi qu’à l’utilisation des moyens de transmission sécurisé.
« La transmission d’informations ou de documents PS sensibles à des adresses électroniques personnelles sans protection supplémentaire telle que le cryptage n’est pas non plus surveillé. » explique le rapport.
« L’audit a révélé que le ministère de la Sécurité publique ne tient pas de registres des clés USB qui ont été émises et qu’il y a des contrôles limités en place pour identifier si des individus sauvegardent des informations sensibles sur une clé USB »,
« De plus, il ne récupère pas les clés USB lors des contrôles de sécurité pour examiner leur contenu. Il existe donc un risque que les clés USB contiennent des informations sensibles non chiffrées qui pourraient constituer un incident de sécurité. », pouvait-on lire dans le rapport.
Face à cette situation, le ministère propose alors de crypter l’ensemble des données qui seront dorénavant stockées dans les ordinateurs présents dans les bureaux du ministère.
« La sensibilisation et la formation à la sécurité doivent être menées de manière systématique et exhaustive pour garantir que les individus sont informés de leurs responsabilités en matière de sécurité informatique et maintiennent les connaissances et les compétences nécessaires pour s’acquitter efficacement de leurs fonctions », indique le rapport.
Accédez maintenant à un nombre illimité de mot de passe :