Mise à jour sur l’Orientation sur l’habilitation de l’accès aux services Web

Catégorie
septembre 13, 2018

Il y a environ trois mois que nous avons publié l’Avis de mise en œuvre de la politique (AMOP) sur la Politique sur l’utilisation acceptable des dispositifs et des réseaux (PANDU), alors je me suis dit que le moment serait bien choisi pour faire le point sur la façon dont cet exercice se déroule à l’échelle du gouvernement du Canada (GC).

Dans l’ensemble, je dois dire que l’AMOP a été bien reçu. Je n’ai pas été étonné que les utilisateurs finaux l’aient bien accueilli, mais j’ai été agréablement surpris par le nombre de praticiens de la sécurité qui l’ont accepté rapidement. Je reconnais pleinement qu’il s’agit d’un virage important pour les pratiques de filtrage sur le Web, passant d’une attitude « de prévention » à une « de surveillance/détection », mais je suis encouragé par les progrès réalisés à ce jour.

Progrès de la mise en œuvre

Bien sûr, cela ne veut pas dire que tous les ministères du GC ont pleinement mis en œuvre cette orientation. Bien que nous ayons des ministères très progressistes (comme Services publics et Approvisionnement Canada, Transports Canada et le Conseil de recherches en sciences naturelles et en génie du Canada) qui ont déjà adopté l’orientation grâce à des programmes de sensibilisation et à des outils de surveillance bien établis, d’autres travaillent encore à l’atteinte de cet objectif. L’aspect positif est que la grande majorité des ministères ont ouvert l’accès complet aux sites de médias sociaux (p. ex., Facebook, Twitter, LinkedIn), ce qui constitue une excellente première étape pour encourager une plus grande participation du public. Lorsqu’il s’agit de sites de collaboration (p. ex., Google Docs, Trello, Slack - des sites qui sont si importants dans nos efforts de collaboration à l’extérieur du gouvernement fédéral), les progrès ne sont pas aussi universels. Même si une bonne partie des ministères ont donné un accès complet à ces sites, il y en a encore qui hésitent, citant souvent comme motif de blocage le « risque accru de perte de données».

Gérer le risque

Je ne peux certainement pas nier qu’il existe un risque qu’un utilisateur affiche accidentellement quelque chose de sensible sur l’un de ces sites. Mais, comme je l’ai mentionné sur mon billet de blogue précédent, ce risque existera toujours quand on est connecté à Internet. Bloquer une poignée de sites de collaboration authentiques ne change rien à cela et, en fait, ne fait qu’encourager les utilisateurs à trouver leurs propres solutions, ce qui présente un risque encore plus grand.

Bien sûr, certains ministères ont des profils de risque plus élevés que d’autres, et c’est tout à fait compréhensible. Quelques-uns devront peut-être améliorer leurs outils de surveillance ou de prévention de la perte de données avant d’ouvrir ces sites. D’autres ont élaboré des programmes adaptés d’orientation et de sensibilisation et formation pour leurs employés afin de veiller à ce qu’ils sachent comment utiliser les outils correctement. Un investissement accru dans les personnes, les processus et la technologie pour permettre une expérience plus conviviale est toujours une bonne chose. Finalement, l’objectif de la sécurité est de permettre à l’organisation de fonctionner; si l’organisation a besoin de collaborer à l’extérieur, alors c’est notre travail d’investir et de permettre que cette activité se déroule de façon sécuritaire.

Changer la culture

Nous n’avons pas tout à fait terminé avec la mise en œuvre de l’AMOP à l’échelle du gouvernement, mais nous continuerons de travailler avec les ministères pour apporter conseils et orientation afin qu’ils y parviennent. L’une des choses que l’AMOP a certainement permis de réaliser dans tous les ministères, c’est de favoriser la conversation, et cela contribue grandement à changer la culture de la sécurité au GC pour qu’elle soit davantage axée sur les utilisateurs. Le fait d’adopter une attitude d’ouverture par défaut dès le début et d’expliquer les raisons motivant le blocage (au lieu de bloquer par défaut et de justifier l’ouverture), crée un environnement qui encourage une analyse plus axée sur le risque, ce qui devrait être le but véritable de la sécurité. En fin de compte, les praticiens de la sécurité doivent se rappeler que les utilisateurs ne viennent pas travailler dans le but premier de contourner la sécurité et, de même, les utilisateurs doivent se rappeler que les praticiens de la sécurité ne viennent pas travailler dans le but premier de tout fermer. Les deux essaient simplement de faire leur travail.

Dans le cas de cet AMOP particulier, plus vite nous pourrons favoriser le dialogue entre les deux parties, plus vite nous pourrons établir des relations et une collaboration plus efficaces entre les partenaires nationaux et internationaux. Si nous voulons vraiment devenir des chefs de file mondiaux du numérique, c’est une première étape importante.


Imraan Bashir

Image
Imraan Bashir
Directeur principal, Cybersécurité, Direction du dirigeant principal de l'information, Secrétariat du Conseil du Trésor du Canada

Imraan dirige l'équipe chargée d'assurer le leadership, l'orientation et la surveillance de la cybersécurité pour l'ensemble de l'organisation du GC, ce qui permet la prestation sécuritaire des programmes et des services aux Canadiens. Il est un membre actif de la collectivité de la sécurité du gouvernement du Canada, et il milite pour que les praticiens adoptent une approche à la sécurité fondée sur le risque plus équilibrée, en mettant l'accent sur l'obtention de résultats opérationnels. Imraan est un fervent partisan de #securitépragmatique, et on l'entend souvent en parler sur Twitter.

Ajouter un commentaire

Règles de participation

Nous avons hâte de recevoir vos commentaires. Vos idées et vos commentaires sont essentiels au développement du portail du gouvernement ouvert et de l’approche du gouvernement du Canada en matière de gouvernement ouvert.

Même si les commentaires sont modérés, le portail ne censurera aucun commentaire sauf dans les quelques cas précis énoncés ci-dessous. Les comptes des personnes qui ne respectent pas ces règles pourraient être désactivés de façon temporaire ou permanente.

Commentaires et interaction

Notre équipe lira les commentaires et participera aux discussions lorsque ce sera approprié. Vos commentaires et contributions doivent être pertinents et respectueux.

Notre équipe ne s’engagera pas dans les questions partisanes ou politiques et ne répondra pas aux questions qui enfreignent ces modalités.

Notre équipe se réserve le droit de supprimer des commentaires et des contributions, et de bloquer des utilisateurs en fonction des critères ci-dessous :

Les commentaires ou les contributions seront supprimés s'ils :

  • contiennent des renseignements personnels, ou des renseignements protégés ou classifiés du gouvernement du Canada, ou portent atteinte à la propriété intellectuelle ou à un droit de propriété;
  • ne respectent pas les principes de la Charte canadienne des droits et libertés, Loi constitutionnelle de 1982;
  • communiquent des messages racistes, haineux, sexistes, homophobes ou diffamatoires, ou contiennent du matériel obscène ou pornographique ou y font allusion;
  • sont menaçants, violents, intimidants ou harcelants;
  • ne respectent pas les lois fédérales, provinciales ou territoriales du Canada;
  • constituent de l'usurpation d'identité, de la publicité ou un pourriel;
  • encouragent ou incitent toute activité illégale ou criminelle;
  • sont rédigés dans une autre langue que le français ou l'anglais;
  • constituent une violation de cet avis de quelque autre manière que ce soit.

Notre équipe ne peut s’engager à répondre à chaque message ou commentaire qui est publié, mais nous participerons aux conversations lorsque cela est possible. Veuillez prendre note que les réponses seront fournies dans la langue d’origine du commentaire.

Notre équipe répondra aux commentaires dans la langue officielle dans laquelle ils sont affichés. Il se peut que nous répondions dans les deux langues officielles lorsque nous estimons que la réponse présente de l'intérêt pour le grand public.

Date de modification :