Services partagés Canada : Comité permanent des opérations gouvernementales et des prévisions budgétaires – 24 novembre 2022
Navigation pour document « Comité permanent des opérations gouvernementales et des prévisions budgétaires : 24 novembre 2022 »
Sur cette page
- Aperçu de la cybersécurité
- État de préparation du gouvernement du Canada pour le retour au lieu de travail
- Impartition de services de technologies de l’information
- Réponse au rapport de la Comité des parlementaires sur la sécurité nationale et le renseignement
- Contrat de gestion des services de technolgies de l’information
- Services infonuagiques au gouvernement du Canada
Aperçu de la cybersécurité
Réponses suggérée
- Services partagé Canada (SPC) travaille sans relâche pour conserver des réseaux sûrs, convenablement sécurisés et accessibles pour les Canadiens
- SPC applique des mesures de cybersécurité afin de cerner et prévenir les auteurs malveillants d’avoir accès aux réseaux du gouvernement en utilisant des pares-feux, analyses de réseau, antivirus, anti-maliciel, des outils et des services d’identification et d’authentification
- La cybersécurité est une responsabilité partagée entre SPC, le Centre de la sécurité des télécommunications (CST), le Secrétariat du Conseil du Trésor et les organisations partenaires. SPC est une partie intégrante du groupe de la tripartite sur la cybersécurité
- Lorsqu’un événement lié à la cybersécurité survient au sein de son infrastructure de réseau, SPC et ses partenaires se coordonnent pour déterminer les causes profondes, limiter l’impact et entreprendre le rétablissement
- SPC appuie la conception, l’exécution et la gestion efficace des initiatives de sécurité prioritaires
Si l’on insiste sur la responsabilité de SPC par rapport à celle du CST:
- bien que la plupart des systèmes de sécurité utilisés pour protéger l’infrastructure de la technologie de l'information (TI) du gouvernement du Canada (GC) soient conçus et gérés par SPC, le CST utilise également un éventail de solutions complémentaires qu’il a élaborées pour compléter les systèmes de sécurité gérés par SPC
- tandis que SPC fournit l’infrastructure de sécurité informatique, le CST surveille les systèmes et les réseaux gouvernementaux pour détecter les activités malveillantes, et dirige la réponse opérationnelle du gouvernement aux incidents relatifs à la cybersécurité
Si l’on insiste sur un événement lié à la cybersécurité (vulnérabilité MS Exchange, Log4j, PrintNightmare, incident d’Affaires mondiales Canada (AMC), incident du Conseil national de recherches Canada (CNRC), etc.) :
- SPC a des gens, de la technologie et des processus en place pour protéger les systèmes et travaille en collaboration avec le Secrétariat du Conseil du Trésor du Canada (SCT), le CST et les partenaires afin de détecter et de répondre aux cybermenaces
- lorsqu’un événement lié à la cybersécurité survient au sein de son infrastructure de réseau, SPC et ses partenaires se coordonnent pour déterminer les causes profondes, limiter l’impact et entreprendre le rétablissement
- les risques de cyberattaques sont persistants et exigent une vigilance constante
Éléments de donnés clés
- Entre le budget de 2022 et l’Énoncé économique de l’automne 2022, un financement de 515,8 millions de dollars sur 6 ans et 104,6 millions de dollars en financement permanent ont été annoncés pour que SPC s’attaque à l’évolution rapide du contexte des cybermenaces. Ces fonds sont indiqués dans les documents de SPC, du CST et du SCT et la répartition par initiative est la suivante :
- Budget de 2022
- Un financement de 178,7 millions de dollars sur 5 ans pour SPC et le CST à partir de 2022 à 2023 et 39,5 millions de dollars en financement permanent pour étendre la portée de la protection en matière de cybersécurité des organismes et des petits ministères
- Énoncé économique de l’automne 2022
- un financement de 205,1 millions de dollars sur 5 ans à compter de 2023 à 2024, 15,7 millions de dollars en amortissement résiduel et 40,9 millions de dollars en financement permanent pour appuyer le système de gestion des informations et des événements de sécurité de SPC. Ce financement vise uniquement l’appui de ce système et les fonds excédentaires doivent être retournés au cadre financier
- un financement de 15,7 millions de dollars sur 2 ans, à partir de 2022 à 2023, pour appuyer la sécurité infonuagique à SPC
- un financement de 167,8 millions sur 6 ans à partir de 2022 à 2023 et 37,1 millions de dollars en financement permanent, qui comprend 102 équivalents temps plein (ETP) supplémentaires, pour la modernisation de la cybersécurité. Ces ressources devraient être utilisées en partie pour moderniser l’approche du gouvernement du Canada en matière de cybersécurité
- un financement de 16,7 millions de dollars sur 6 ans à compter de 2022 à 2023 et 2,8 millions en financement permanent pour appuyer les efforts connexes du SCT visant à renforcer la cybersécurité du gouvernement
- Budget de 2022
Contexte
Aperçu
Le gouvernement du Canada travaille continuellement à améliorer la cybersécurité au Canada par la prévention des attaques au moyen de mesures de sécurité robustes, en cernant les cybermenaces et les vulnérabilités informatiques, et en étant prêt à répondre à toutes sortes de cyberincidents afin de mieux protéger le Canada et les Canadiens.
À cette fin, le gouvernement a :
- amélioré sa capacité d’entreprise à détecter, à défendre et à répondre aux cybermenaces
- des points d’accès internet centralisés
- lancé un programme d’architecture de sécurité d’entreprise
- établi les bases d’un Programme gouvernemental de cybersécurité
- mis en œuvre un plan pangouvernemental d’intervention en cas d’incident
Rôles
Un certain nombre de ministères et d’organismes jouent un rôle dans la cybersécurité, notamment le SCT, le CST, Sécurité publique Canada (SP), la Gendarmerie royale du Canada (GRC), le Service canadien du renseignement de sécurité (SCRS) et la Défense nationale.
Tous les ministères et organismes fédéraux ont la responsabilité de veiller à la cybersécurité au sein de leur organisation. Le SCT, SPC et le CST sont les principaux intervenants avec la responsabilité de veiller à ce que la cybersécurité du gouvernement est efficace et est en mesure de répondre à l’évolution des menaces.
Le SCT fournit une surveillance stratégique de gestion d’événements de cybersécurité
SPC fournit l’infrastructure de sécurité de la TI (conception, déploiement et fonctionnement). En collaboration avec le SCT et le CST, SPC fournit également la sécurité et la protection des renseignements personnels dans le cadre de l’établissement de nouveaux services. La sécurité des biens et des services est évaluée lors du processus d’approvisionnement par le CST et SPC.
Le CST abrite le Centre canadien de cybersécurité (CCC), qui surveille les systèmes et réseaux du gouvernement pour les activités malveillantes et des cyberattaques, et dirige l’intervention opérationnelle du gouvernement en matière de cybersécurité.
Sécurité publique Canada dirige la stratégie et la politique de cybersécurité nationale.
La GRC est le principal ministère d’enquête pour tous les incidents de cybersécurité portant sur la cybercriminalité réelle ou soupçonnée sur l’infrastructure du GC d’origine non étatiques.
Le SCRS est le principal ministère chargé de faire enquête sur des menaces contre les infrastructures essentielles et de systèmes d’information posés par les acteurs de l’État étranger et les terroristes.
Défense nationale / Forces armées canadiennes est le principal ministère responsable de répondre aux menaces cybernétiques, vulnérabilités ou les incidents de sécurité contre ou sur des systèmes militaires.
État de préparation du gouvernement du Canada pour le retour au lieu de travail
Messages clés
- En réponse à la croissance rapide du télétravail, SPC a augmenté la capacité du réseau à l’échelle du gouvernement et amélioré l’accès aux outils de collaboration modernes
- SPC s’appuie sur ces améliorations pour soutenir les nouvelles manières de travailler des employés, y compris le retour sur le lieu de travail, le travail hybride ou le télétravail
- SPC continue à mettre à niveau les réseaux et à moderniser les fonctionnalités des salles de conférence pour faciliter la collaboration entre divers lieux en se concentrant sur les lieux de travail prioritaires
- SPC collabore avec ses partenaires pour répondre à leurs besoins uniques tout en veillant à ce que les outils et technologies nécessaires soient en place à l’échelle du gouvernement pour appuyer les opérations essentielles et servir les Canadiens
- SPC continue de mettre le gouvernement du Canada en position de pouvoir s’adapter rapidement aux avancées technologiques constantes
Éléments de données clés
- Plus de 3 500 immeubles sont reliés au réseau du gouvernement du Canada. Il n’est pas nécessaire, faisable ou rentable de mettre à niveau tous les sites. Par conséquent, SPC collabore avec les ministères fédéraux pour prioriser les sites les plus critiques pour les Canadiens et les opérations gouvernementales
- SPC a établi l’interopérabilité entre Microsoft Teams et l’infrastructure de vidéoconférence existante située dans environ 7 800 salles de conférence gouvernementales partout au pays
Contexte
Services partagés Canada a pris des mesures importantes pour régler les problèmes technologiques pangouvernementaux liés à l’organisation du travail imposée par la COVID-19, notamment sur le plan des besoins en matière de capacité et de sécurité du réseau et de la fonctionnalité des outils de collaboration en milieu de travail.
Modernisation du réseau
SPC a effectué d’importantes mises à niveau du réseau d’entreprise à l’été et à l’automne 2020. D’autres mises à niveau de l’Internet et de la sécurité sont en cours.
Plus de 3 500 immeubles sont connectés au réseau du gouvernement. Il n’est pas nécessaire, faisable ou économique de mettre à niveau tous les sites. SPC collabore avec les ministères clients pour prioriser les sites les plus importants pour les Canadiens et les opérations du gouvernement.
Outils de collaboration
La vidéoconférence, principalement par Microsoft Teams, est devenue le principal moyen de communication des employés, compte tenu des besoins actuels en communication à partir de divers emplacements.
SPC a établi l’interopérabilité entre Microsoft Teams et les quelque 7 800 salles de conférence gouvernementales partout au pays. À mesure que les employés du GC retourneront sur les lieux de travail et adopteront des solutions de travail hybrides, SPC continuera de travailler avec ses partenaires pour créer des espaces de réunion normalisés et des capacités de conférence modernes. S’il y a lieu, SPC déploiera des technologies Salles Microsoft Team (SMT) certifiées pour mettre à niveau l’équipement de vidéoconférence et offrir aux utilisateurs de l’ensemble du GC une expérience utilisateur améliorée. Ces technologies utilisent une quantité importante de bande passante. Alors que les employés retournent aux lieux de travail, le niveau de service auquel ils s’attendent n’est pas nécessairement offert dans les immeubles du Gouvernement du Canada. SPC a publié des directives en janvier 2022 sur les seuils de consommation de bande passante pour Microsoft Teams afin d’aider les ministères à gérer l’expérience de leurs utilisateurs. Après avoir collaboré avec Services publics et Approvisionnement Canada (SPAC), SPC a mis à jour les directives en août 2022 pour permettre aux ministères de fixer des seuils pour les personnes travaillant sur le réseau du GC tout en laissant aux télétravailleurs la possibilité d’utiliser pleinement la bande passante qui leur est disponible, ce qui génère une meilleure expérience utilisateur pour tout le monde.
Collaborer avec les partenaires
Le travail requis pour mettre en œuvre les futures stratégies de chantier est partagé avec d’autres ministères fédéraux. SPC continuera de travailler avec les ministères fédéraux pour répondre à leurs besoins particuliers. Certains ministères peuvent choisir de renvoyer leurs employés sur les lieux de travail avant la mise en place de l’infrastructure modernisée; toutefois, l’infrastructure de visioconférence actuelle prendra en charge les exigences d’interopérabilité avec Microsoft Teams. Chaque ministère effectuera également des essais et des analyses proactifs pour ses opérations respectives.
Impartition de services de technologies de l’information
Messages clés
- SPC s’efforce d’assurer le fonctionnement de systèmes de technologie de l'information gouvernementaux sécurisés, modernes et fiables
- SPC a établi un processus de gestion de projet solide qui implique l'évaluation de toutes les options potentielles pour une livraison réussie. Au cours du développement du projet, les options sont évaluées en mettant l'accent sur les meilleures pratiques, la capacité, les solutions existantes et en déterminant si la solution peut être construite et exploitée à l’interne, si elle doit inclure l'utilisation de solutions commerciales et si une expertise externe sera nécessaire pour atteindre le résultat
- En accédant à certaines technologies par le biais de contrats, SPC peut fournir des produits et des services de pointe – alignés sur les pratiques exemplaires mondiales tout en offrant des fonctionnalités et un soutien exhaustif aux utilisateurs
- SPC reste concentré sur l’offre de solutions les plus sécurisées et les plus rentables à ses partenaires pour répondre aux besoins et aux attentes d'un gouvernement numérique
- SPC tire parti des investissements industriels à grande échelle dans d'autres secteurs publics et marchés privés pour obtenir des produits prêts à l'emploi rentables, sécuritaires et fiables et des solutions hautement spécialisées
- À titre d'exemple, mentionnons l'approche du gouvernement en matière de services infonuagiques, qui représente un changement fondamental dans la façon dont il fournit et utilise les services de gestion de l’information et de technologie de l’information (GI/TI). L'utilisation d'offres de services basées sur le nuage du secteur privé permet une plate-forme sécurisée à l'échelle de l'entreprise qui permet à une main-d'œuvre de travailler ensemble à distance, de n'importe où, en ne consommant que les services informatiques dont ils ont besoin quand ils en ont besoin
Si l’on insiste sur les raisons de “l’impartition“ des technologies:
- par exemple, il serait moins rentable de fournir et de gérer des services par satellite avec des ressources internes. Un domaine aussi hautement spécialisé où l'industrie excelle est mieux assuré par le secteur privé
- un autre exemple est le contrat pour l'ordinateur haute puissance d'Environnement et Changement climatique Canada pour générer des prévisions environnementales et météorologiques, des avis et des avertissements afin de protéger la santé, la sécurité et le bien-être économique des Canadiens. Il s'agit d'un domaine hautement spécialisé qu'il serait moins rentable de fournir en interne
Si l’on insiste sur les raisons du travail "d'impartition":
- SPC utilise des services professionnels temporaires pour soutenir des programmes et des projets qui ont des périodes de temps définies et qui nécessitent une capacité de pointe pour la livraison
- SPC utilisera des ressources supplémentaires de l'industrie, au fur et à mesure des besoins, pour compléter son personnel de programme et de projet actuel afin de soutenir la planification et l'exécution de ces programmes et projets
Contexte
Le 17 janvier 2022, un rapport a été publié dans le Globe and Mail, indiquant que les dépenses du gouvernement fédéral pour les contrats en impartition au cours de l'exercice 2020 à 2021 ont augmenté de 40 % par rapport à l'exercice 2015 à 2016. Cette information provient des Comptes publics du Canada, déposés à la Chambre des communes le 14 décembre 2021.
Bien que ces récents rapports médiatiques ne mentionnent pas Services partagés Canada, des ministères, notamment SPC, ont été critiqués par le passé en ce qui concerne l'impartition des services de TI.
En février 2022, le Comité permanent des opérations gouvernementales et des prévisions budgétaires de la Chambre des communes a adopté une motion visant à mener une étude sur l'impartition des contrats dans les services publics et l'approvisionnement. La première réunion de cette étude a eu lieu le 3 octobre 2022, à laquelle ont participé des représentants de SPC, du Secrétariat du Conseil du Trésor et de Services publics et Approvisionnement Canada.
Réponse au rapport de la Comité des parlementaires sur la sécurité nationale et le renseignement
Messages clés
- Services partagés Canada s'engage à protéger la confidentialité, l'intégrité et la disponibilité des services numériques offerts aux Canadiens, y compris les données et les technologies connexes, en fournissant une infrastructure et des services de TI fiables et sécurisés à ses organisations partenaires
- Bien que certains clients soient obligés de s'adresser au SPC pour obtenir des services dans le cadre des responsabilités du ministère, ce ne sont pas tous les organismes des petits ministères qui sont actuellement obligés d'utiliser les services du SPC
- Le SPC travaille en étroite collaboration avec le Secrétariat du conseil du Trésor et le Centre de la sécurité des Télécommunications pour évaluer la position actuelle en matière de sécurité des petits ministères et organismes afin de comprendre leurs besoins et d'étudier comment l'adoption de l'internet d'entreprise pourrait réduire l'exposition aux réseaux gouvernementaux
Si l’on insiste sur les petits départements et agences :
- le rapport recommandait l'extension des services de sécurité du SPC à des entités qui ne relèvent pas actuellement du portefeuille de SPC comme un certain nombre de petits départements et agences
- les recommandations du rapport vont dans le sens des travaux que le SPC et ses partenaires gouvernementaux en matière de cybersécurité avaient déjà entrepris, et ne font que valider davantage le travail accompli à ce jour
- SPC reste concentrer sur l’approvisionnement des solutions les plus sécuritaires et les plus rentables pour les départements du gouvernement fédéral afin de répondre aux besoins et aux attentes d'un gouvernement numérique
- dans le Budget 2022, un financement de 178,7 millions de dollars sur 5 ans, à compter de 2022 à 2023, et de 39,5 millions de dollars par année suivante, a été annoncé afin d’élargir la protection de la cybersécurité pour les petits ministères, les organismes et les sociétés d’État
Si l’on insiste sur les sociétés d'État :
- le rapport recommandait également l'extension des services de sécurité de SPC aux entités qui ne relèvent pas actuellement de SPC, comme les sociétés d'État
- SPC travaille en étroite collaboration avec le SCT et le CST pour évaluer la posture de sécurité actuelle des sociétés d'État afin de comprendre leurs besoins et d'explorer comment l'adoption d'internet d'entreprise pourrait réduire l'exposition des réseaux gouvernementaux aux cybermenaces
- bien que les sociétés d'État ne soient pas des clients obligatoires de SPC, SPC travaillera avec les sociétés d'État intéressées pour tirer parti des services d'entreprise qu'il fournit là où ils répondent à leurs besoins et pour leur fournir les solutions les plus sûres et les plus rentables pour répondre aux attentes d'un gouvernement numérique
Si l’on insiste sur le rôle du SPC en matière de cybersécurité :
- Services partagés Canada travaille avec diligence pour assurer la sécurité, la sûreté et l'accessibilité des réseaux pour les Canadiens
- la cybersécurité est une responsabilité partagée entre le SPC, le CST et le SCT. Le SPC fait partie intégrante de la tripartite de la cybersécurité
- le SPC soutient la conception, l'exécution et la gestion efficaces des initiatives prioritaires en matière de sécurité des TI qui touchent les systèmes gouvernementaux et les opérations à l'échelle du gouvernement
- lorsqu'un événement de cybersécurité se produit au sein de son infrastructure réseau, le SPC et ses partenaires se coordonnent pour déterminer les causes profondes, limiter l'impact et entreprendre la récupération. Ceci est également vrai pour les composants gérés par le SPC dans l’infonuagique
- le SPC travaille continuellement à l'amélioration de la cybersécurité des actifs numériques du gouvernement du Canada en se préparant à tous les types de cyber incidents et aux réponses aux menaces
Contexte
Le Secrétariat du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) a été créé en vertu de la Loi sur le Comité des parlementaires pour la sécurité nationale et le renseignement, qui a reçu la sanction royale en juin 2017. Il ne s'agit pas d'un comité parlementaire, mais plutôt d'un comité de parlementaires, composé à la fois de députés et de sénateurs. Tous les membres détiennent une habilitation de sécurité de niveau top secret et sont tenus au secret de façon permanente en vertu de la Loi sur la sécurité de l'information.
En juillet 2020, l'honorable David McGuinty, président du CPSNR, a écrit au président du Secrétariat du Conseil du Trésor pour l'informer que le comité examinera le cadre et les activités du gouvernement du Canada pour défendre ses systèmes et réseaux contre les cyberattaques.
Le CPSNR a terminé son examen des activités du gouvernement du Canada visant à défendre ses systèmes et réseaux contre les cyberattaques. Cela comprenait l'examen des éléments suivants :
- cadre fédéral pour la cyberdéfense
- activités qui constituent une cyberdéfense
- autorités et structures de la gouvernance sous lesquelles elles sont conduites
Dans le rapport, déposé à la Chambre des communes le 14 février 2021, la recommandation 2 de l'annexe A préconisait l'utilisation des services Internet d'entreprise gérés par le SPC par tous les petits ministères et organismes, et se lisait comme suit :
Dans la mesure du possible, le gouvernement étendra à toutes les organisations fédérales les services de cyberdéfense avancés, notamment le Service Internet pour entreprises de Services partagés Canada et les capteurs de cyberdéfense du Centre de la sécurité des télécommunications.
Réponses au rapport du Comité des parlementaires sur la sécurité nationale sur la cybersécurité
La Tripartite sur la cybersécurité du GC (SPC, CST et SCT) continue d'étudier des options pour améliorer la posture globale de cyberdéfense de toutes les organisations fédérales. L'allocation du budget de 2022 fournit un soutien à SPC et au CST pour étendre ces services avancés aux petits ministères et organismes, et ce travail a déjà commencé. Ces services, lorsqu'ils sont fournis conjointement par SPC et le CST, améliorent la posture de sécurité globale d'une entité en les rapprochant du périmètre du GC, en normalisant les outils opérationnels clés et en assurant la surveillance du trafic réseau pour détecter les menaces ou vulnérabilités potentielles. SPC peut fournir ces services aux sociétés d'État qui en font la demande; cependant, ils continueront d'être recouvrés à moins qu'un financement ne soit identifié.
Le Bureau du dirigeant principal de l'information du Secrétariat du Conseil du Trésor continue d'étudier les mesures nécessaires pour appliquer ces mêmes politiques et directives en matière de cybersécurité et de sécurité des TI à toutes les entités fédérales, qui ne relèvent pas actuellement du Secrétariat du Conseil du Trésor.
Le SCT, le SPC et le CST continuent de travailler pour s'assurer que la cyberdéfense est appliquée de manière égale dans tous les ministères et organismes, dans la mesure du possible, y compris l'alignement entre le champ d'application de la Politique sur la sécurité du gouvernement et la Politique sur le service et le numérique.
Contrat de gestion des services de technolgies de l’information
Messages clés
- SPC a conclu un contrat avec BMC pour fournir un outil unique et moderne de gestion des services de TI (GSTI) disponible dans l’ensemble du gouvernement du Canada et pour permettre aux organisations de passer à l’utilisation d’un système de TI commun
- SPC conclut des contrats avec des fournisseurs pour appuyer le développement de systèmes d’infrastructure de TI et accéder aux technologies disponibles sur le marché, afin que les ministères puissent fournir des services numériques aux Canadiens à la vitesse et à l’échelle requises. Cela permet à SPC de tirer parti de la capacité et de l’agilité du secteur privé et d’adopter rapidement des solutions novatrices à moindre coût pour les Canadiens
- L’outil de GSTI permettra à SPC de gérer la prestation des services de TI aux clients en intégralité et appuiera une gestion pangouvernementale des processus et des activités de prestation des services de TI
- Cet outil est une application commerciale pour gérer les demandes de services de TI, comme la commande d’un téléphone mobile, et la gestion des incidents et des changements, comme les mises à niveau des systèmes, au sein de SPC ainsi qu’entre SPC et les ministères clients
- Le contrat offre également aux ministères clients l’accès à des services professionnels, qui les appuient en travaillant de concert avec les fonctionnaires pour configurer la solution qui leur convient le mieux et veiller à ce que les besoins des ministères soient satisfaits
Si l’on insiste sur la sécurité :
- nous avons expliqué les pratiques exemplaires de protection de l’information aux entrepreneurs : utiliser les blocs-notes fournis par le gouvernement, garder l’équipement en sécurité et le ranger lorsqu’il n’est pas utilisé et chiffrer toutes les informations électroniques, entre autres
- les entrepreneurs travaillant à l’extérieur du Canada étaient cantonnés au développement de l’environnement, sans avoir accès aux données de production
Si l’on insiste sur la divulgation :
- SPC s’est engagé à suivre les lignes directrices du Conseil du Trésor sur la divulgation proactive des contrats et des modifications dépassant 10 000 $; cette divulgation doit être faite 30 jours après les 3 premiers trimestres de l’exercice ou 60 jours après le dernier
- une modification à hauteur de 20 M$ a été divulguée en retard à cause de problèmes techniques, mais elle a depuis été publiée. On a déterminé que la divulgation n’a pas été faite comme prévu en raison d’une anomalie dans le transfert de données entre SPC et le système du gouvernement ouvert du SCT. Des discussions ont été tenues avec le SCT pour discuter des constatations et veiller à ce que ce problème technique soit réglé afin d’éviter des situations du genre à l’avenir
- on créera de nouvelles entrées de divulgation proactive à l’avenir, au fil des modifications du contrat
Contexte
Le 24 janvier 2022, SPC a répondu à une demande de renseignement des médias à propos du processus d’approvisionnement pour un outil de GSTI, qui donnait suite à des informations obtenues par une demande d’accès à l’information. BMC Software Canada Inc. avait remporté le contrat pour cet approvisionnement.
Le 14 mars 2022, le Globe and Mail a publié un article sur le contrat qui critiquait le processus de divulgation proactive l’entourant, le fait qu’il a été octroyé à une entreprise américaine, les règles de sécurité pour travailler aux États-Unis et la sous-traitance plus généralement.
SPC investit dans des technologies qui encouragent une approche pangouvernementale (« d’entreprise ») en permettant aux organisations d’adopter des systèmes de TI communs. Le contrat de SPC avec BMC reflète cette approche de la transformation des TI : il fournit un seul outil de GSTI moderne à l’ensemble du gouvernement du Canada.
La Gestion des services de Technologie de l’information consiste, entre autres, à gérer la livraison et les opérations de TI pour les clients d’une organisation. À SPC, la solution de GSTI est configurée pour gérer les demandes de service, les changements et les incidents pour tous les services de SPC. La mise en œuvre de la solution permet à SPC de mieux fournir des services intégrés de qualité à ses ministères partenaires.
Le 4 février 2022, le député Kelly McAuley a mentionné le contrat à la Chambre des communes, s’attardant particulièrement au fait que le travail était exécuté à l’étranger et à la posture de cybersécurité globale du gouvernement.
SPC a effectué une évaluation de sécurité complète. De manière exceptionnelle, les entrepreneurs ont eu la permission d’exécuter du travail non classifié à l’extérieur du Canada jusqu’au 31 mai 2022 alors que des restrictions de voyage liées à la COVID-19 étaient en vigueur pour les voyageurs non essentiels. Les risques de sécurité ont été rigoureusement évalués et des mesures d’atténuation solides ont été mises en place pour protéger les biens et l’information du gouvernement. On a également mis en œuvre des mesures de sécurité pour veiller à ce que les non-Canadiens non autorisés n’aient pas accès à certaines informations.
Une modification ayant ajouté 20 M$ au contrat a été divulguée proactivement en retard à cause de problèmes techniques, mais elle a depuis été publiée. On a réglé les problèmes techniques en ajoutant des processus manuels pour éviter des situations du genre à l’avenir.
Le contrat initial et toutes les modifications jusqu’en juin 2022 ont été divulgués de manière proactive au 30 juillet 2022. Toute modification apportée entre juillet et septembre 2022 a été divulguée par le 30 octobre 2022 sur le site gouvernement ouvert, conformément aux lignes directrices sur la divulgation proactive.
Une modification supplémentaire au contrat a été complétée le 17 octobre 2022 pour prolonger le contrat jusqu’au 27 août 2026 (du 28 août 2019 initial au 27 août 2022). Cependant, aucun fonds n’a été ajouté au contrat.
Services infonuagiques au gouvernement du Canada
Messages clés
- Le développement et l’hébergement d’applications infonuagiques offrent des possibilités d’améliorer les services numériques essentiels offerts aux Canadiens
- La Stratégie d’adoption de l’informatique en nuage oriente les ministères à utiliser l’infonuagique publique pour stocker, gérer et traiter des données et des applications, lorsqu’il est logique de le faire
- Le gouvernement du Canada bénéficie de la souplesse offerte par l’infonuagique publique, car les services banalisés peuvent croître et diminuer avec le niveau de la demande; Nous ne payons que ce dont nous avons besoin, quand nous en avons besoin
- Bien que la dépendance à l’égard des services infonuagiques augmente, la plupart des opérations de TI continuent de dépendre, et continueront de dépendre, de centres de données et de réseaux exploités par des employés du gouvernement du Canada
- L’accès sécurisé aux services infonuagiques fait partie de la gamme de services offerts par SPC à ses partenaires et clients
- À ce titre, SPC investit pour accroître la capacité de son personnel à soutenir les ministères partenaires et les clients, afin qu’ils puissent fonctionner en toute sécurité dans les centres de données et dans l’infonuagique
- L'utilisation des services infonuagiques via SPC est passée de 1,4 million de dollars au cours de l'exercice 2019 à 2020 à 103,8 millions de dollars au cours de l'exercice 2021 à 2022
Si l’on insiste sur l'achat de services infonuagiques :
- l'adoption du nuage est une responsabilité partagée à l'échelle du gouvernement. SPC permet l'adoption du nuage et fournit des éléments de base essentiels, tels que l'accès aux services infonuagiques, une connectivité sécurisée et une surveillance active, des conseils et une expertise
- grâce à un processus concurrentiel, SPC a établi un véhicule d'approvisionnement pour fournir aux ministères un accès à des services infonuagiques sécurisés de classe mondiale de fournisseurs préqualifiés qui répondent aux exigences de sécurité
- les départements peuvent sélectionner les services infonuagiques qui répondent le mieux à leurs besoins commerciaux et techniques, et selon des normes claires
Si l’on insiste sur Amazon Web Services:
- Amazon Web Services est l'un des 8 fournisseurs pré-qualifiés. Ceux-ci sont séparés et distincts des services généraux de distribution, d'expédition ou d'entreposage proposés par des sociétés telles qu'Amazon
Si l’on insiste sur ThinkOn Inc.:
- ThinkOn Inc. est l'un des 8 fournisseurs pré-qualifiés sur le véhicule d'approvisionnement de SPC
- grâce au véhicule d'approvisionnement de SPC, les services ThinkOn sont actuellement exploités par 5 ministères et organismes du GC :
- SPC
- l’Office des transports du Canada
- Destination Canada
- Innovation, Sciences et Développement économique Canada
- Femmes et Égalité des genres Canada
Si l’on insiste sur la sécurité du nuage:
- la protection et la confidentialité des données du Gouvernement du Canada stockées et traitées dans le nuage sont une priorité absolue pour SPC
- des mesures sont en place afin d’assurer où les données résident et la façon dont elles sont contrôlées
- des processus sont en place pour veiller à ce que les besoins particuliers en matière de sécurité et les normes soient respectées lors de l’attribution des contrats infonuagiques
- afin de consommer les services infonuagiques de façon sécuritaire, chaque ministère doit mettre en œuvre et maintenir des standards de sécurité précis
- SPC surveille activement le respect des exigences en matière de sécurité
Contexte
Pour permettre l’adoption de l’infonuagique du GC et appuyer les progrès vers un gouvernement numérique, SPC s'assure qu'une variété de services infonuagiques soient disponibles pour répondre aux besoins commerciaux uniques de chaque organisation gouvernementale. SPC agit également en tant que centre d'excellence pour les services infonuagiques à l'échelle du gouvernement, fournissant une expertise technique et des outils pour guider les clients et simplifier l'adoption de l'infonuagique.
Le service de courtage en nuage optionnel de SPC offre aux clients un accès libre-service aux services commerciaux en nuage. SPC agit comme un pont entre les clients et les fournisseurs de services infonuagiques offrant des services de logiciel en tant que service, de plateforme en tant que service et d'infrastructure en tant que service infonuagique public.
Pour soutenir l'accès du gouvernement du Canada à l'approvisionnement infonuagique, Services partagés Canada a établi des ententes-cadres avec 8 principaux fournisseurs de services infonuagiques:
- Amazon Web Services, Inc.
- Google Cloud Canada Corporation
- IBM Canada Limited
- IPSS Inc., ServiceNow Inc. en coentreprise
- Microsoft Corporation
- Oracle Canada ULC
- Salesforce.com Canada Corporation
- Think On, Inc
Les ententes-cadres fournissent aux ministères des modalités normalisées et des services infonuagiques qui ont été évalués par le Centre canadien pour la cybersécurité et le Programme de sécurité des contrats. Le gouvernement a mis en place des processus pour s'assurer que les exigences de sécurité spécifiques sont respectées lors de l'attribution de contrats d'infonuagique.
Depuis la mise en place des accords-cadres, la consommation globale a augmenté. La consommation totale pour l'année 2019 à 2020 était de 1 395 709 $ et est passée à 103 807 761 $ à l'exercice 2021 à 2022. La consommation liée aux ententes-cadres est partagée entre les 8 fournisseurs de services d’infonuagique, en harmonie avec les besoins des ministères et organismes du gouvernement du Canada.
Tous les fournisseurs pré-qualifiés et services infonuagiques disponibles peuvent être trouvés à un endroit : le portail de Services infonuagiques du gouvernement du Canada
D'autres ordres de gouvernement peuvent recourir à ces ententes-cadres, et le font. Quelques exemples :
- Ministère de la Santé et ministère des Soins de longue durée l’Ontario
- la région de Halton
- le gouvernement de la Colombie-Britannique
- un conseil scolaire du district scolaire à Vancouver
La protection et la confidentialité des données du Gouvernement du Canada entreposées et traitées dans le nuage sont une priorité absolue pour SPC.
Les ministères et organismes du GC qui utilisent des services d’infonuagique demeurent responsables de la confidentialité, l’intégrité et la disponibilité des services de TI et les renseignements connexes qu’un fournisseur de services infonuagiques hôtes.
En 2019, SPC, le Bureau du dirigeant principal de l'information (BCIO) du Secrétariat du Conseil du Trésor et le Centre canadien pour la cybersécurité ont élaboré conjointement un Cadre d'opérationnalisation d'infonuagique sécurisé pour permettre un accès sécurisé aux services publics d'infonuagique Protégé B du gouvernement du Canada. Cela comprenait un ensemble minimum de 12 garde-fous obligatoires, que les départements sont tenus de mettre en œuvre. SPC a la fonction de validation, y compris la déclaration et la notification de la conformité des clients aux garde-corps, tandis que le BCIO du SCT a la fonction de conformité, comme la surveillance et l'application des mesures correctives.
Amazon Web Services Inc
Le 1er avril 2022, TVA partageait un reportage indiquant que les dépenses liées à Amazon Web Services (AWS) avaient augmenté, tant pour le gouvernement du Canada que pour le gouvernement du Québec. Il indique que, dans l'ensemble du gouvernement fédéral, au cours de l'année dernière, le gouvernement fédéral a dépensé 24,6 millions de dollars en services fournis par AWS.
Au Comité des opérations gouvernementales, le 29 avril 2022, la députée Julie Vignola (Bloc Québécois) a posé la question suivante à la ministre Tassi :
L'an dernier seulement, le gouvernement fédéral a signé des contrats totalisant 24,6 millions de dollars avec Amazon Web Services, soit environ 2,4 millions de dollars de plus que le montant annuel qu'il investit dans Postes Canada. C'est sans compter les autres contrats de 2011 à 2020 et ceux avec l'Agence des services frontaliers du Canada.
Est-il normal que le gouvernement fédéral et ses agences fassent affaire avec des entreprises américaines plutôt qu'avec une société d'État? Cela n'envoie-t-il pas le message que la société d'État n'est même pas assez compétitive pour bien servir le gouvernement?
Les services Web d'Amazon sont séparés et distincts des services généraux de distribution, d'expédition ou d'entreposage offerts par des entreprises telles qu'Amazon, et ne sont pas des services offerts par Postes Canada
ThinkOn Inc
Le 21 octobre 2022, le Globe and Mail a publié un article indiquant que ThinkOn n'a jamais travaillé sur l'application ArriveCan de l'ASFC, malgré le nom de ThinkOn figurant sur le rapport de septembre 2022 de l'ASFC au Parlement sur les coûts de développement et de soutien de l'application. Le 26 octobre 2022, le Globe and Mail a publié un deuxième article indiquant que Microsoft, et non ThinkOn, avait reçu le contrat de 1,2 million de dollars lié à l'application ArriveCan. L'ASFC procède à un examen complet des contrats liés à l'application ArriveCan.
L'application ArriveCan a été créée et est hébergée dans un environnement Amazon Web Services et utilise la solution Captcha de Google comme mesure de sécurité pour vérifier que les utilisateurs ne sont pas des robots. Il a été lancé dans tout le pays le 20 juillet 2020 afin de permettre aux voyageurs de soumettre des déclarations de douane et d'immigration en ligne avant de voler au Canada pour une expérience frontalière plus rapide. L'application infonuagique a été développée entre l'ASFC et l'Agence de la santé publique du Canada. Le rôle principal de SPC dans l'application ArriveCan a été d'activer la connectivité infonuagique, de tester la solution et de surveiller l'infrastructure de support.
Actuellement, seuls 5 clients ont des comptes avec ThinkOn via les accords-cadres de SPC :
- SPC – consommation totale 472 580 $
- L’Office des transports du Canada– consommation totale 47 984 $
- Destination Canada – total consumption 33 622 $
- Innovation, Sciences et Développement économique Canada– consommation totale 30 094 $
- Femmes et Égalité des genres Canada – consommation totale 2 523
Consommation totale des services ThinkOn depuis 2020 à 2021: 586 803 $
Navigation pour document « Comité permanent des opérations gouvernementales et des prévisions budgétaires : 24 novembre 2022 »
- Date de modification :