Examen de la cybersécurité de Transports Canada

Rapport d’audit interne décrivant l'Examen de la cybersécurité de Transports Canada.

Sur cette page

Renseignements généraux

L’examen de la cybersécurité de Transports Canada a été inclus dans le plan ministériel d’audit et d’évaluation axé sur les risques (PMAER) de 2024-2025 après avoir été reporté du PMAER précédent.

Comme les nouvelles technologies ouvrent la porte à de nouvelles vulnérabilités, le Ministère fait face à des défis de plus en plus complexes lorsqu'il s'agit de protéger la confidentialité, l’intégrité et la disponibilité de l’information qu’il crée, stocke, traite, transmet et archive.

L’accélération de la transformation numérique, en particulier le modèle de travail hybride, nécessite un réalignement des initiatives de sécurité pour aborder l’adoption du travail hybride, des appareils mobiles et des services infonuagiques, et pour gérer continuellement les risques émergents en matière de cybersécurité.

Le Secrétariat du Conseil du Trésor du Canada (SCT) a élaboré le Plan de gestion des événements de cybersécurité (PGEC) du gouvernement du Canada afin de fournir un cadre opérationnel pour la gestion des événements de cybersécurité.

En juillet 2024, le SCT, le Centre de la sécurité des télécommunications et Services partagés Canada (SPC) ont élaboré et publié conjointement la première Stratégie intégrée de cybersécurité du gouvernement du Canada afin de définir la vision et les objectifs stratégiques du GC et d’améliorer la sécurité et la résilience des opérations gouvernementales contre les cybermenaces.

Contrairement à la plupart des autres ministères, Transports Canada (TC) joue un rôle à la fois interne et externe en matière de gestion de la cybersécurité.

Une partie de l’organisation, qui relève du Groupe des services et du numérique (GSN), est chargée de répondre aux exigences internes en matière de cybersécurité communes à tous les autres ministères.

Une autre partie, sous le Groupe de la sûreté et de la sécurité (S&S), supervise les exigences en matière de cybersécurité pour les infrastructures essentielles du secteur des transports et les systèmes de contrôle industriel connexes.

Un degré élevé de collaboration est nécessaire entre les deux groupes pour gérer les risques de cybersécurité distincts mais interconnectés.

De nombreux groupes participent à la sensibilisation à la cybersécurité afin de protéger les actifs d’information contre les menaces internes et externes :

  • L’équipe de la cybersécurité, au sein de la Direction des solutions d’entreprise (DSE) du GSN, appuie les activités internes liées à la cybersécurité de TC (p. ex., fournir des conseils et des directives en matière de cybersécurité, élaborer des normes de sécurité, collaborer avec des partenaires tels que la Sécurité ministérielle, l’Équipe de réponse aux incidents cybernétiques du gouvernement du Canada (ERIC-GC) et SPC).
  • La nouvelle équipe du Transport terrestre intermodal, de la sûreté et des préparatifs d’urgence (TTISPU), au sein de la Sûreté et sécurité, travaille avec les modes et les programmes de TC pour appuyer le rôle du Ministère dans les incidents de cybersécurité axés sur le secteur des transports.
  • D’autres groupes jouent un rôle également, comme la Sûreté aérienne, qui sensibilise l’industrie à la cybersécurité, et le Centre d’innovation, qui explore les risques de cybersécurité liés aux véhicules autonomes.

Objectif et portée de l’examen

Objectif

L’examen a permis de déterminer si une gouvernance et un cadre de contrôle de gestion efficaces sont en place à l’interne pour appuyer de saines pratiques de cybersécurité dans l’ensemble de TC.

Portée

L’examen a porté sur la façon dont le Ministère a géré les risques de cybersécurité à l’interne de janvier 2024 à avril 2025.

La portée ne comprenait pas d’examen du rôle externe du Ministère dans la gestion des risques de cybersécurité au sein du réseau de transport, qui sera abordé dans les futurs travaux d’audit interne.

Approche de l’examen

L’approche comprenait des entrevues, des examens de documents et des analyses des données.

Plusieurs cadres ont été examinés afin d’établir les critères de l’examen, notamment les lignes directrices de l’Association d’audit et de contrôle des systèmes d’information (ISACA) sur la cybersécurité, le cadre COBIT, les exigences thématiques en matière de cybersécurité de l’Institut des auditeurs internes (IAI) et le programme d’orientation et d’audit du Centre canadien pour la cybersécurité.

  • Ces cadres ont permis à l’équipe d’examen de se concentrer sur les secteurs à risque élevé où TC peut améliorer sa gestion de la cybersécurité.
  • De plus, ils ont aidé à veiller à ce qu’aucun aspect critique ne soit négligé pendant l’examen. Par exemple, la nouvelle exigence thématique en matière de cybersécurité de 2025 de l’IAI oblige les fonctions d’audit interne à évaluer la conception et la mise en œuvre des processus de gouvernance, de gestion des risques et de contrôle de la cybersécurité, qui ont été pris en compte tout au long de l’examen.

Domaines examinés

  • Gouvernance – Structure, rôles et responsabilités
  • Gestion des ressources – Finances et personnes
  • Gestion du changement et gestion des correctifs
  • Outils, systèmes et technologies
  • Formation et sensibilisation
  • Surveillance et production de rapports
  • Gestion des risques
  • Communication

Les détails sur les critères d’évaluation sont énoncés à l'annexe A.

Structure des constatations

Les résultats sont classés en deux groupes.

1. Domaines qui nécessitent des améliorations. L’audit interne a fourni des détails sur les réalisations et les constatations et a formulé des recommandations, pour lesquelles le Bureau de première responsabilité (BPR) a élaboré un Plan d'action de la direction (PAD) correspondant :

  • Gouvernance
  • Gestion des ressources
  • Gestion des risques
  • Surveillance et production de rapports

2. Domaines où l’audit interne n’a pas relevé de lacunes majeures en matière de contrôle et pour lesquels nous n’avons pas formulé de recommandations. Le BPR n’a pas eu besoin d’élaborer un PAD :

  • Gestion du changement et gestion des correctifs
  • Outils, systèmes et technologies
  • Formation et sensibilisation
  • Communication

1. Gouvernance

Constatation générale

La Stratégie intégrée de cybersécurité du GC stipule que chaque ministère est responsable de sa gestion de la cybersécurité ministérielle afin de s’assurer que des mesures de protection sont en place pour protéger les programmes et les services contre les cyberattaques. TC tire parti de ses organes de gouvernance existants pour superviser certaines activités liées à la cybersécurité. Cependant, aucune stratégie de cybersécurité à l’échelle du Ministère n’a été élaborée pour planifier, gouverner et mobiliser les groupes dans la gestion de la cybersécurité.

Réalisations

Différents groupes tirent parti de la structure de gouvernance existante pour superviser certaines activités liées à la cybersécurité.

  • Divers groupes font appel à différents organes de gouvernance, comme le Comité de sécurité de sous-ministres adjoints (SMA), le Comité de la modernisation et de l'innovation (CMI), le Comité exécutif de gestion de Transports Canada (CGX) et le Comité ministériel d'audit (CMA), pour présenter leurs travaux liés à la cybersécurité afin d’obtenir des commentaires et des conseils.

L’équipe de la cybersécurité du GSN travaille à l’élaboration d’une feuille de route cybernétique pour renforcer la posture de sécurité du Ministère. Cette initiative représente une occasion précieuse d’intégrer les constatations et les recommandations de cet examen, favorisant une plus grande collaboration entre tous les groupes et permettant à TC de gérer la cybersécurité de manière proactive et stratégique.

L’équipe de la cybersécurité du GSN a commencé à collaborer avec l’équipe du TTISPU pour clarifier les rôles et les responsabilités et éviter les chevauchements.

Constatations

Une stratégie de cybersécurité intégrée à l’échelle du Ministère qui reflète les rôles distincts mais interreliés du Ministère dans la gestion de la cybersécurité n’a pas encore été élaborée.

  • La Feuille de route pour la cybersécurité du GSN est en cours d’élaboration et n’est pas encore prête à être examinée.
  • Le Plan de sécurité ministériel (PSM) de TC, qui devrait être révisé annuellement, n’a pas été mis à jour depuis 2022 (il est actuellement mis à jour par le Bureau de la sécurité ministérielle); il ne comprend pas de composante ministérielle en matière de cybersécurité. La Stratégie intégrée de cybersécurité du GC exige que chaque ministère veille à ce que les dirigeants principaux de l’information (DPI), les dirigeants principaux de la sécurité (DPS) et les agents désignés pour la cybersécurité (ADC) collaborent à la mise en œuvre des priorités et des activités de cybersécurité du GC dans le cadre des plans de sécurité ministériels généraux.
  • De plus, le Plan de continuité des activités (PCA) n’a pas été mis à jour depuis 2022. Conformément au document actuel du PSM, il devrait être mis à jour périodiquement. Le PCA est essentiel pour restaurer et protéger les données, les programmes et les services essentiels de TC à la suite d’une cyberattaque.

Les méthodes de collaboration pour mobiliser et coordonner les groupes ministériels ne sont pas officialisées, ce qui pourrait entraîner des efforts de coordination incohérents ou fragmentés.

  • Compte tenu de la participation de nombreux groupes à la cybersécurité, il y a eu confusion quant aux rôles et aux responsabilités dans le passé (p. ex., confusion quant aux procédures d’intervention en cas de cyberattaque contre un port maritime de Toronto en 2023).
  • Le GSN a récemment déployé des efforts pour coordonner et mobiliser les parties prenantes internes, par exemple, la Sûreté et la sécurité et le GSN ont récemment coorganisé un événement « TCprochain » axé sur la sensibilisation à la cybersécurité; le GSN a collaboré avec la Sûreté et la sécurité, le Groupe des programmes et le Groupe des politiques lors de l’examen horizontal propre aux processus de cybersécurité.

Même si la structure de gouvernance du Ministère a été mise à profit de temps à autre, il n’existe pas de tribune officielle pour favoriser une surveillance uniforme de la cybersécurité et l’échange d’information.

Recommandation 1

La dirigeante principale des services et du numérique devrait diriger l’élaboration d’une stratégie de cybersécurité intégrée à l’échelle du Ministère qui reflète les multiples rôles du Ministère dans la gestion de la cybersécurité, qui s’harmonise avec la Stratégie intégrée de cybersécurité du GC et qui tire parti des travaux en cours sur la Feuille de route pour la cybersécurité du GSN. La stratégie de cybersécurité à l’échelle du Ministère devrait :

  • Décrire les méthodes de collaboration pour tous les groupes impliqués dans la cybersécurité et préciser comment le Ministère supervisera les activités telles que la gestion des ressources, la gestion des risques, la surveillance du rendement et la production de rapports.
  • Établir un forum officiel où la surveillance de la cybersécurité et l’échange d’information ont lieu, ce qui pourrait tirer parti de la structure de gouvernance existante. Voici quelques exemples à prendre en considération :
    • Réunions périodiques du CGX consacrées à la cybersécurité;
    • Création d’un comité de niveau 3 axé sur la cybersécurité, composé de représentants du GSN, de la Sûreté et sécurité et de la Sécurité ministérielle, afin de réunir les groupes qui gèrent la cybersécurité;
    • Échange d’information et discussion au Comité ministériel de sécurité des SMA.

2. Gestion des ressources

Constatation générale

L’équipe de cybersécurité du GSN dispose d’un personnel complet et a reçu un financement dédié à ses activités. Cependant, il y a un manque de clarté quant aux besoins en ressources consacrées à la cybersécurité du point de vue ministériel.

Constatations – Finances

Un financement annuel dédié aux opérations de base et des fonds de pression supplémentaires ont été alloués pour soutenir l’équipe de cybersécurité du GSN. Notamment, à partir de 2024-2025, l’équipe s’est vu attribuer un fonds de projets d’investissement spécifiquement pour faire face aux risques identifiés dans le Profil de risques intégrés du ministère (PRIM) de 2023-2024.

Cependant, du point de vue de la planification à long terme, il n’est pas certain qu’il y aura du financement pour des investissements continus dans des projets liés à la cybersécurité au cours des trois prochaines années et si des fonds de pression seront disponibles.

Constatations – Personnes

En l’absence d’une stratégie de cybersécurité à l’échelle du Ministère qui définit les priorités, il est difficile de planifier efficacement les ressources et les compétences de soutien.

  • L’équipe de cybersécurité a indiqué qu’il est difficile de recruter et de retenir des cybers professionnels expérimentés. Il n’y a pas de cheminement de carrière ni de cadre de compétences, et ce sont les employés qui soulignent leurs besoins en formation.
  • Plusieurs groupes au sein du GSN ont souligné la nécessité d’une expertise en cybersécurité pour soutenir leurs programmes et leurs applications. Cette exigence a également été soulevée dans le récent examen horizontal de TC, mené par le Groupe des services financiers et de gestion. L’examen recommandait la création d’un centre d’excellence en cybersécurité pour exploiter les compétences cybernétiques afin d’atteindre des résultats multimodaux.

Recommandation 2

La dirigeante principale des services et du numérique devrait déterminer les ressources (finances et personnes) nécessaires à la mise en œuvre de la Feuille de route pour la cybersécurité et de la stratégie de cybersécurité à l’échelle du Ministère.

3. Gestion des risques

Constatation générale

Les risques liés à la cybersécurité sont identifiés selon les groupes d’intervenants, mais sont gérés en silo dans leurs secteurs respectifs. Il n’y a pas de surveillance et de production de rapports continues et systématiques pour aider à assurer la mise en œuvre de mesures efficaces d’atténuation des risques.

Réalisations

Deux risques liés à la cybersécurité, « Sécurité des données et cybermenaces » et « Incident de cybersécurité », ont été soulevés dans le PRIM de 2023-2024 et sont accompagnés de mesures d’atténuation ; les principaux indicateurs de risque ont été déterminés et suivis.

Les risques ministériels clés les plus récents qui ont été approuvés par le sous-ministre pour 2025-2026 comprennent le « risque cybernétique et lié aux données », qui est attribué à la dirigeante principale des services et du numérique.

L’équipe de la cybersécurité du GSN a élaboré le Plan de gestion des événements de cybersécurité (PGEC) de TC en fonction du PGEC du GC pour gérer les risques opérationnels, ce qui comprend les processus d’escalade et les procédures opérationnelles normalisées pour la gestion des incidents.

L’équipe de la cybersécurité du GSN a présenté des mises à jour sur l’état de la cybersécurité, y compris les risques et les priorités, à divers organes de gouvernance (le CMI, le CGX et le CMA).

Constatations

La Stratégie intégrée de cybersécurité du GC exige que les ministères veillent à ce que les DPI, les DPS et l’ADC travaillent ensemble pour s’assurer que les risques de cybersécurité ministériels sont gérés de manière à soutenir la gestion de la posture globale des risques en matière de cybersécurité.

Bien que divers groupes aient mis en œuvre des processus de gestion des risques pour gérer les risques liés à la cybersécurité, le Ministère ne dispose pas d’une approche intégrée de gestion des risques qui coordonne efficacement ces divers processus.

  • Le PSM actuel énumère les groupes responsables de la gestion des risques cybernétiques, mais on ne sait pas si ces risques sont gérés efficacement. La dernière mise à jour du PSM remonte à 2022.
  • Les risques ministériels clés actuels qui ont été approuvés par le sous-ministre pour 2025-2026 contiennent un risque lié à la cybersécurité sous la responsabilité de la dirigeante principale des services et du numérique. Au moment de la rédaction du rapport, il était trop tôt pour voir comment le Ministère atténuera ce risque, car les réponses aux risques étaient en cours d’élaboration.

Recommandation 3

La dirigeante principale des services et du numérique devrait élaborer un cadre de gestion des risques pour assurer une surveillance et une atténuation continues des risques de cybersécurité ministériels, en tirant parti des travaux en cours sur la Feuille de route pour la cybersécurité.

4. Surveillance et rapports

Constatation générale

Le GSN a mis en œuvre la surveillance et la production de rapports sur les paramètres opérationnels. Cependant, des mesures de rendement complètes pour les activités de cybersécurité à l’échelle du Ministère ne sont pas encore établies.

Réalisations

L’équipe de cybersécurité utilise divers paramètres pour mesurer, surveiller et rendre compte de la performance en matière de cybersécurité. Ces résultats sont présentés à divers organismes de gouvernance ministériels et mettent l’accent sur les aspects opérationnels tels que les résultats des campagnes d’hameçonnage et la gestion des correctifs.

Le Plan ministériel sur les services et le numérique (PMSN) sert à produire des rapports annuels au SCT, et comprend une autoévaluation de la gestion de la cybersécurité du Ministère dans les principaux secteurs opérationnels.

Constatations

Le GSN surveille actuellement les paramètres opérationnels et en rend compte, par exemple, les campagnes d’hameçonnage et l’utilisation d’appareils à l’étranger.

Cependant, les aspects stratégiques ne sont pas saisis ou surveillés, par exemple, l’attitude globale à l’égard de la cybersécurité au sein de l’organisation et l’engagement de la direction. Des paramètres liés aux objectifs stratégiques fourniraient des renseignements importants sur la gestion globale de la cybersécurité au Ministère.

Recommandation 4

La dirigeante principale des services et du numérique devrait créer des mesures de rendement pour les activités de cybersécurité de TC dans le cadre de l’élaboration d’une stratégie de cybersécurité à l’échelle du Ministère. Les paramètres devraient tenir compte des éléments suivants :

  • Mesures de rendement SMART pour s’assurer que les activités de cybersécurité sont surveillées et signalées efficacement.
  • Paramètres stratégiques tels que la culture liée à la sécurité (p. ex., l’attitude générale à l’égard de la cybersécurité au sein de l’organisation, l’engagement de la direction).

5. Autres constatations

Gestion du changement et gestion des correctifs

  • Un solide processus de gestion du changement est en place. Il y a aussi des rôles et des responsabilités clairement définis et des procédures documentées. La plupart des correctifs sont planifiés et automatiques.
  • Le GSN collabore avec différents secteurs de programme pour planifier et appliquer des mises à jour et des correctifs à leurs applications.

Outils, systèmes et technologies

  • Tous les outils, systèmes et technologies de sécurité sont achetés de manière centralisée pour tous les ministères du GC. Le GC exige l’utilisation d’outils Microsoft. TC a un contrôle limité sur ces outils, systèmes et technologies.
  • L’équipe de cybersécurité évalue les outils avant de les adopter pour déterminer s’ils conviennent à l’environnement de TC.

Formation et sensibilisation

  • Il n’y a pas de cheminement de carrière ou de cadre de compétences pour les membres de l’équipe de cybersécurité du GSN. Cela a été noté dans la section « Gestion des ressources ».
  • Cependant, l’équipe de cybersécurité veille à ce que les membres reçoivent une formation appropriée pour exercer leurs fonctions. Des exercices sur table sont effectués pour déterminer les points à améliorer.
  • Au cours du Mois de la sensibilisation à la cybersécurité du GC, diverses activités de sensibilisation ont été organisées. L’équipe de cybersécurité communique régulièrement avec les employés de TC pour promouvoir la sensibilisation à la cybersécurité. Une formation personnalisée est offerte aux utilisateurs qui ont besoin d’une sensibilisation approfondie.

Communication

  • Différents groupes au sein du Ministère s’efforcent d’améliorer la communication et de briser les cloisonnements. Cependant, il y a encore place à une collaboration accrue et à une meilleure communication.
  • Ce domaine est abordé dans la section « Gouvernance ».

Annexe A – Critères d’examen

  1. Une structure de gouvernance efficace est établie et fonctionne comme prévu. Les rôles et les responsabilités des principaux intervenants sont bien définis, documentés, communiqués et compris.
  2. Des ressources financières suffisantes sont allouées et des ressources humaines dotées des connaissances, des compétences et des capacités nécessaires sont acquises.
  3. Une saine gestion du changement et une bonne gestion des correctifs sont déployées efficacement en temps opportun.
  4. Les outils, les systèmes et les technologies appropriés sont acquis et appliqués correctement.
  5. Suffisamment d’activités de formation et de sensibilisation sont élaborées et offertes, et la participation et l’évaluation sont bien gérées.
  6. Les activités de surveillance et de production de rapports nécessaires, appuyées par des mesures de rendement établies, sont menées à bien.
  7. Un cadre de gestion des risques est en place et les risques associés à la cybersécurité sont identifiés, analysés, signalés et atténués de manière efficace et en temps opportun.
  8. Une stratégie ou un protocole de communication adéquat et efficace est en place pour favoriser la participation des intervenants pertinents.

Annexe B – Recommandations et Plan d’action de la direction

Recommandation Plan d’action de la direction Date d’achèvement ciblée

Recommandation 1

La dirigeante principale des services et du numérique devrait diriger l’élaboration d’une stratégie de cybersécurité intégrée à l’échelle du Ministère qui reflète les multiples rôles du Ministère dans la gestion de la cybersécurité, qui s’harmonise avec la Stratégie intégrée de cybersécurité du GC et qui tire parti des travaux en cours sur la Feuille de route pour la cybersécurité du GSN. La stratégie de cybersécurité à l’échelle du Ministère devrait :

  • Décrire les méthodes de collaboration pour tous les groupes impliqués dans la cybersécurité et préciser comment le Ministère supervisera les activités telles que la gestion des ressources, la gestion des risques, la surveillance du rendement et la production de rapports.
  • Établir un forum officiel où la surveillance de la cybersécurité et l’échange d’information ont lieu, qui pourrait tirer parti de la structure de gouvernance existante. Voici quelques exemples à prendre en considération :
    • Réunions périodiques du CGX consacrées à la cybersécurité;
    • Création d’un comité de niveau 3 axé sur la cybersécurité, composé de représentants du GSN, de la Sûreté et sécurité et de la Sécurité ministérielle, afin de réunir les groupes qui gèrent la cybersécurité;
    • Échange d’information et discussion au Comité ministériel de sécurité des SMA.

Le GSN créera un plan de cybersécurité pour renforcer la posture de cybersécurité du Ministère.

Le GSN mettra sur pied un comité permanent trimestriel sur la cybersécurité avec la participation horizontale d’autres secteurs de TC qui participent à la cybersécurité. La surveillance comprendra la communication des indicateurs de rendement clés (IRC) liés aux mesures d’atténuation énoncées dans la réponse ministérielle aux risques.

Le rôle des ministères du GC en matière de cybersécurité relève de plus en plus des organismes centraux de sécurité (SPC, le SCT, le Centre canadien pour la cybersécurité). On s’attend à ce que SPC assume davantage de cyberfonctions liées à la sécurité du nuage et des terminaux au cours des prochaines années; toute nouvelle stratégie cybernétique devrait tenir compte de ces changements.

Comité permanent sur la cybersécurité –
T2 2025-2026
(septembre 2025)

Stratégie de cybersécurité – T4 2025-2026
(mars 2026)

Recommandation 2

La dirigeante principale des services et du numérique devrait déterminer les ressources (financières et humaines) nécessaires à la mise en œuvre de la Feuille de route pour la cybersécurité et de la stratégie de cybersécurité à l’échelle du Ministère.

Le GSN déterminera les ressources appropriées nécessaires pour faire fonctionner et améliorer continuellement la posture de cybersécurité de TC. Le GSN comparera le financement et la dotation de TC à ceux des autres ministères pour éclairer cet exercice. Les tendances de SPC et du SCT en matière de centralisation de la gestion de la sécurité peuvent avoir une incidence sur les besoins en ressources.

Le GSN dispose des ressources nécessaires pour commencer la mise en œuvre de la feuille de route pour la cybersécurité au cours de l’exercice 2025-2026, mais certaines des ressources financières sont de nature temporaire. Le GSN aura besoin d’un financement de base continu pour soutenir les opérations et les améliorations en cours.

Plan de financement et de ressources en matière de cybersécurité pour les exercices financiers de 2026-2027 à 2028-2029 –
T4 2025-2026
(mars 2026)

Recommandation 3

La dirigeante principale des services et du numérique devrait élaborer un cadre de gestion des risques pour assurer une surveillance et une atténuation continues des risques de cybersécurité ministériels, en tirant parti des travaux en cours sur la Feuille de route pour la cybersécurité.

Le GSN élaborera un cadre de gestion des risques liés à la cybersécurité afin de déterminer, d’évaluer, de surveiller et d’atténuer les risques pour les systèmes d’information et les actifs de l’organisation. Ce processus continu s’adapte aux menaces émergentes et aux changements technologiques. Le cadre permet au Ministère de gérer le risque de cybermenaces et de menaces à la sécurité des données, qui pourraient perturber les activités de TC, causer la perte de données ou compromettre des renseignements sensibles, et entraîner des dommages économiques ou à la réputation.

Cadre de gestion des risques de cybersécurité –
T4 2025-2026
(mars 2026)

Recommandation 4

La dirigeante principale des services et du numérique devrait élaborer des mesures de rendement pour les activités de cybersécurité de TC dans le cadre de l’élaboration d’une stratégie de cybersécurité à l’échelle du Ministère. Les paramètres devraient tenir compte des éléments suivants :

  • Mesures de rendement SMART pour s’assurer que les activités de cybersécurité sont surveillées et signalées efficacement.
  • Paramètres stratégiques tels que la culture liée à la sécurité (p. ex., l’attitude générale à l’égard de la cybersécurité au sein de l’organisation et l’engagement de la direction).

Le GSN élaborera un ensemble de mesures pour évaluer l’efficacité de la cybersécurité dans l’ensemble du Ministère.

Rapports sur les mesures de cybersécurité –
T1 2025-2026
(30 juin 2025)

Annexe C – Énoncé de conformité

Cette mission est conforme à la Politique sur l’audit interne du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes, comme en témoignent les résultats d’une évaluation externe du Programme d’assurance et d’amélioration de la qualité de l’audit interne.

Chantal Roy, CIA

Dirigeante principale de l’audit et de l’évaluation

Date de modification :