Services partagés Canada : Comité permanent des opérations gouvernementales et des prévisions budgétaires – 29 avril 2022

Navigation pour document « Comité permanent des opérations gouvernementales et des prévisions budgétaires : 29 avril 2022 »

• Page précédente
• Table des matières

Aperçu de la cybersécurité

Réponse suggérée

• Services partagés Canada (SPC) travaille sans relâche pour conserver des réseaux sûrs, sécuritaires et accessibles pour les Canadiens
• La cybersécurité est une responsabilité partagée entre SPC, le Centre de la sécurité des télécommunications (CST), le Secrétariat du Conseil du Trésor du Canada (SCT) ainsi que chaque ministères. SPC est une partie intégrante du groupe de cybersécurité tripartite
• SPC appuie la conception, l’exécution et la gestion efficace des initiatives de sécurité prioritaires touchant les systèmes du gouvernement et les opérations gouvernementales
• Lorsqu’un événement lié à la cybersécurité survient au sein de son infrastructure de réseau, SPC et ses partenaires coordonnent avec les ministères et organismes prise en charge par SPC pour déterminer les causes profondes, limiter l’impact et entreprendre le rétablissement. Cela est également vrai pour composantes dans le nuage gérés par SPC
• SPC travaille continuellement pour accroître la cybersécurité des biens numériques du gouvernement du Canada en préparant pour tous types d’incidents cybernétiques et pour répondre aux menaces

Si l’on insiste sur le budget de 2022 :

• la Stratégie nationale de cybersécurité, annoncée en 2018, vise à protéger les Canadiens contre l’évolution des menaces à la cybersécurité qui ciblent les Canadiens, les entreprises canadiennes et nos infrastructures essentielles
• à mesure que les Canadiens deviennent de plus en plus dépendants des systèmes numériques, les conséquences potentielles des cyberincidents continuent d’augmenter, et le Canada doit être prêt
• c’est pourquoi le budget de 2022 propose de fournir 875,2 millions de dollars sur 5 ans, à compter de 2022 à 2023, et 238,2 millions de dollars en cours pour des mesures supplémentaires visant à faire face à l’évolution rapide du paysage des cybermenaces
• cela comprend 178,7 millions de dollars sur 5 ans alloués à SPC et à CST, à compter de 2022 à 2023, et 39,5 millions de dollars en cours, afin d’accroître la protection de la cybersécurité pour les petits organismes ministériels et les sociétés d’État

Si l’on insiste sur la responsabilité de SPC contre celle de la CST:

• bien que la plupart des systèmes de sécurité servant à protéger le gouvernement sont conçus et gérés par SPC, le Centre canadien de cybersécurité (Centre de cybersécurité) utilise aussi un éventail de solutions complémentaires qui lui sont propres pour complémenter systèmes de sécurité gérés par SPC
• alors que SPC fournit une infrastructure de sécurité des technologies de l'information (TI), le Cyber Centre surveille les systèmes et les réseaux gouvernementaux à la recherche d’activités malveillantes, et dirige la réponse opérationnelle du gouvernement aux événements de cybersécurité

Éléments de données clés

• Services partagés Canada a pour mandat de gérer les services d’infrastructure de TI liés au courriel, aux centres de données et aux télécommunications pour 43 autres organisations fédérales
• Selon son rapport annuel 2020 à 2021, le Centre de la sécurité des télécommunications bloque régulièrement entre 2 et 7 milliards d’actions malveillantes chaque jour

Historique

Aperçu

Le gouvernement du Canada (GC) travaille continuellement à améliorer la cybersécurité au Canada par la prévention des attaques au moyen de mesures de sécurité robustes, en cernant les cybermenaces et les vulnérabilités informatiques, et en étant prêt à répondre à toutes sortes de cyber incidents afin de mieux protéger le Canada et les Canadiens.

Le GC a amélioré sa capacité d’entreprise afin de détecter, défendre et répondre aux menaces cybernétiques:

• a centralisé les services de points d’accès à internet
• a lancé un programme d’architecture de sécurité de l’entreprise
• a jeté les bases d’un programme de cybersécurité du GC
• mis en œuvre un Plan d'intervention en cas d'incident pangouvernementale

Compte tenu de la nature transversale de la cybersécurité, un certain nombre d’autres ministères et organismes fédéraux jouent un rôle dans différents aspects de la cybersécurité, y compris :

• le SCT
• le CST
• la Sécurité publique Canada (SP)
• la Gendarmerie royale du Canada (GRC)
• le Service canadien du renseignement de sécurité (SCRS)
• la défense nationale

Les ministères et organismes du GC jouent un rôle essentiel dans l’établissement de la gouvernance pour assurer la gestion intégrée des services de l’information, des données, de la sécurité et de la cybersécurité, au sein de leurs ministères.

Rôles et responsabilités

Les ministères et organismes fédéraux ont la responsabilité de veiller à la cybersécurité au sein de leur organisation.

Le SCT, SPC et le CST sont les principaux intervenants avec la responsabilité de veiller à ce que la cybersécurité du gouvernement est efficace et est en mesure de répondre à l’évolution des menaces.

Le SCT fournit une surveillance stratégique de gestion d’événements de cybersécurité pour assurer une coordination efficace des grands événements de sécurité et pour soutenir la prise de décisions du GC. Le Plan de gestion des événements de cybersécurité du GC fournit un cadre opérationnel qui décrit les intervenants et les mesures nécessaires pour s’assurer que les activités de cybersécurité soient traitées de façon uniforme, coordonnées et en temps opportun dans l’ensemble du gouvernement. Le dirigeant principal de l’information pour le GC, au SCT, établit la Politique de sécurité de la technologie de l’information ainsi que d’autres pouvoirs délégués.

SPC fournit l’infrastructure de sécurité de la TI (dotation, conception, déploiement et fonctionnement). En collaboration avec le SCT et le CST, SPC fournit également la sécurité et la protection des renseignements personnels dans le cadre de l’établissement de nouveaux services.

Bien que la plupart des systèmes de sécurité servant à protéger le gouvernement sont conçus et gérés par SPC, le Centre canadien de cybersécurité (CCCS) utilise aussi un éventail de solutions complémentaires qui lui sont propres pour complémenter systèmes de sécurité gérés par SPC (par exemple capteur, basés sur un hôte pour la surveillance et la protection des paramètres du GC).

Le CST abrite le CCCS, qui surveille les systèmes et réseaux du gouvernement pour les activités malveillantes et des cyberattaques, et dirige l’intervention opérationnelle du gouvernement en matière de cybersécurité. Le CCCS protège et défend les atouts cybernétiques précieux du pays et travaille côte à côte avec les secteurs privé et public, y compris les infrastructures essentielles du Canada, pour résoudre les problèmes de cybersécurité les plus complexes.

Sécurité publique Canada dirige la stratégie et la politique de cybersécurité nationale en, par exemple : coordonnant la réponse à d’importantes activités de cybersécurité nationale par le Centre des opérations du gouvernement, en étroite collaboration avec le SCT; et travaillant avec les gouvernements canadiens et internationaux, des associations, des universités et l’industrie pour continuellement faire avancer la cybersécurité à l’échelle nationale et internationale. Sécurité publique Canada est également responsable de l'élaboration d'une nouvelle politique concernant la façon dont le GC soutient les entités non gouvernementales; l'ébauche de politique s'appelle actuellement Politique de coordination du gouvernement du Canada pour les incidents et événements de cybersécurité touchant les systèmes électroniques non-gouvernementaux du Canada. Le rôle de SPC en vertu de cette politique devra être défini.

La GRC est le principal ministère d’enquête pour tous les incidents de cybersécurité portant sur la cybercriminalité réelle ou soupçonnée sur l’infrastructure du GC d’origine non étatiques. Ils dirigent également l’enquête criminelle suite aux cas présumés d’incidents cybernétiques nationaux, et aident les partenaires nationaux et internationaux avec des conseils et des directives pour répondre aux menaces de cybercriminalité.

Le SCRS est le principal ministère chargé de faire enquête sur des menaces contre les infrastructures essentielles et de systèmes d’information posés par les acteurs de l’État étranger et les terroristes.

Le ministère de la Défense nationale / Forces armées canadiennes est le principal ministère responsable pour répondre aux menaces cybernétiques, vulnérabilités ou les incidents de sécurité contre ou sur des systèmes militaires.

Chaque ministère a des responsabilités en vertu de la Politique sur les services et le numérique du SCT pour des aspects précis de la cybersécurité, comme :

• l’intégration de la cybersécurité dans la gouvernance de service générale, de renseignements, de données et de la technologie de l’information
• désigner un représentant pour la cybersécurité qui est responsable de la gestion de cybersécurité du ministère
• assurer l’inclusion de la cybersécurité dans la planification ministérielle, en harmonie avec le plan approuvé par le dirigeant principal de l’information du Canada

État de préparation du gouvernement du Canada au retour au travail

Messages clés

• Services partagés Canada continue de travailler avec ses partenaires pour mettre en œuvre les mises à niveau technologiques et de réseau nécessaires pour permettre aux employés du gouvernement de disposer d’outils de communication et de collaboration efficaces
• Pour permettre le travail virtuel, SPC a rapidement effectué d’importantes mises à niveau du réseau d’entreprise, de la sécurité Internet et du réseau à l’échelle du gouvernement, et a permis le déploiement dans toute l’entreprise de la plateforme de communication et de collaboration numériques rendue possible par Microsoft 365
• Aujourd’hui, le SSC procède à d’importantes mises à niveau des réseaux et des salles de réunion afin de permettre aux employés de collaborer avec leurs collègues à distance depuis leur lieu de travail et de prendre en charge les outils de vidéoconférence gourmands en bande passante
• Cela favorisera le retour au lieu de travail et permettra la mise en place d’une main-d’œuvre hybride, ainsi que la préparation de l’infrastructure et des plateformes de base qui moderniseront la prestation des programmes et des services aux Canadiens

Si l’on insiste:

• la vidéoconférence, principalement par le biais de Microsoft (MS) Teams, est devenue le principal canal de communication et de collaboration numérique, compte tenu de l’environnement de travail à domicile. Cette offre de service a été accélérée et mise en œuvre dans l’ensemble du GC, en réponse à la pandémie

Éléments de données clés

• Plus de 3 500 bâtiments sont reliés au réseau du gouvernement du Canada
• Avant la pandémie, il y avait en moyenne 20 000 connexions à distance simultanées. Pendant la pandémie, nous constatons en moyenne 240 000 connexions à distance simultanées durant la première année. Basé sur les 6 derniers mois, la moyenne de connexions à distance s’est stabilisée à environ 230 000

Contexte

Les technologies de vidéoconférence utilisent beaucoup de bande passante. Par conséquent, le maintien de la même expérience utilisateur que celle d’un utilisateur à domicile n’est pas pris en charge à l’intérieur des immeubles du gouvernement du Canada en raison des limites de l’infrastructure.

Il y a plus de 3 500 bâtiments connectés au réseau du GC. Par conséquent, SPC établit la priorité, avec les ministères partenaires, des sites les plus critiques qui ont besoin d’outils de communication et de collaboration numériques pour soutenir les Canadiens et les opérations gouvernementales. Cela permettra au GC d’accroître son efficacité à fournir ces outils aux employés et aux lieux de travail qui continueront à tirer parti de ces outils modernes à l’avenir.

Le travail nécessaire à l’amélioration de l’expérience utilisateur pour une main-d’œuvre hybride repose sur SPC et ses partenaires pour ce qui est d’assurer l’efficacité informatique par le biais de tests et d’analyses proactifs des opérations, des appareils et des outils. SPC continue de travailler avec ses partenaires pour s’assurer que leurs exigences opérationnelles sont prises en compte.

Impartition de services de technologie d’information par le gouvernement

Messages clés

• SPC s’efforce d’assurer le fonctionnement de systèmes de technologie de l'information gouvernementaux sécurisés, modernes et fiables
• SPC reste concentré sur l’offre de solutions les plus sécurisées et les plus rentables à ses partenaires pour répondre aux besoins et aux attentes d'un gouvernement numérique
• SPC s'appuie sur l'expertise et la vaste expérience de son effectif en accédant à certaines technologies de pointe par l’entremise de contrats conformes aux pratiques exemplaires mondiales tout en offrant des fonctionnalités et un soutien exhaustifs aux utilisateurs
• Par exemple, l'approche du gouvernement en matière de services infonuagiques représente un changement fondamental dans la façon dont le GC fournit et consomme les services de gestion de l’information et de technologie de l’information (GI/TI). Les offres de services infonuagiques du secteur privé permettent de disposer d'une plateforme commune à l'échelle de l'entreprise, avec une accessibilité accrue, qui permet à un effectif de travailler ensemble à distance, de n'importe où
• Les services infonuagiques accroissent l’adaptation, la souplesse et la rentabilité des applications utilisées pour offrir des programmes et des services aux Canadiens
• Dans certaines situations, le ministère peut ne pas avoir les ressources ou les compétences nécessaires pour offrir certains services
• Voici des exemples de services que SPC ne serait pas en mesure de fournir sans le secteur privé :
  • service d’appareils mobiles, qui offre 3 types de plans de services cellulaires et une large sélection d’appareils mobiles
  • Le réseau étendu du gouvernement du Canada, qui est un service de réseau entièrement géré qui interconnecte les emplacements des partenaires ou des clients au-delà des frontières métropolitaines, régionales, nationales ou internationales

Contexte

Le 17 janvier 2022, un rapport a été publié dans le Globe and Mail, indiquant que les dépenses du gouvernement fédéral pour les contrats en impartition au cours de l'exercice 2020 à 2021 ont augmenté de 40 % par rapport à l'exercice 2015 à 2016. Cette information provient des Comptes publics du Canada, déposés à la Chambre des communes le 14 décembre 2021.

Bien que ces récents rapports médiatiques ne mentionnent pas Services partagés Canada, des ministères, notamment SPC, ont été critiqués par le passé en ce qui concerne l'impartition des services de TI.

Exemples de contrats de services de technologie d’information

En 2019, Services partagés Canada, en consultation avec le Secrétariat du Conseil du Trésor du Canada et le Centre de la sécurité des télécommunications Canada (CSTC), a conclu l'accord d'entreprise Microsoft pour le gouvernement du Canada comme base afin de remplacer un contrat pluriannuel pour un service de courriel entièrement géré par le fournisseur. Cela a permis la transition vers un service de courriel géré par le GC et hébergé sur des composantes infonuagiques, ce qui a permis au GC de mettre fin au service géré par le fournisseur en décembre 2021.

De plus, l'accord Microsoft enterprise a fourni un ensemble d'outils de collaboration numérique, approvisionné par un fournisseur de services infonuagiques (software-as-a-service), qui a été fondamental pour permettre au GC de réagir rapidement en se tournant vers un effectif mobile tout au long de la pandémie et de continuer à offrir des programmes et des services aux Canadiens.

L’initiative Ressources humaines et paye de la prochaine génération (ProGen RH et paye) est un exemple de cas où le GC a stratégiquement choisi l’approvisionnement extérieur, ou impartition. Cette initiative fait partie de l'effort de modernisation du gouvernement, dans le cadre duquel les anciens systèmes de TI sont remplacés par des solutions numériques modernes. Pour la solution ProGen RH et paye, le GC a choisi d'explorer un modèle Software as a Service (SaaS), qui est configuré pour l'environnement du GC, mais n’est pas personnalisé par des changements fondamentaux au logiciel. Les outils SaaS sont fournis avec une configuration standard alignée sur les pratiques exemplaires internationales (y compris pour la gestion des RH et de la paye).

Par conséquent, en optant pour une solution SaaS disponible dans le commerce, le GC teste une solution de pointe à l'échelle mondiale, sans avoir à la personnaliser en profondeur. Dans le cas de ProGen RH et paye, le choix de l'impartition signifie que le GC a accès à un produit éprouvé jouissant d'une solide réputation internationale, qui alignera notre approche des RH et de la paye sur les pratiques exemplaires mondiales. Cela signifie également que le logiciel est rigoureusement testé et que les utilisateurs ont accès à un soutien exhaustif.

Réponse au rapport de la Comité des parlementaires sur la sécurité nationaleNSICOP

Messages clés

• Services partagés Canada s'engage à protéger la confidentialité, l'intégrité et la disponibilité des services numériques offerts aux Canadiens, y compris les données et les technologies connexes, en fournissant une infrastructure et des services de TI fiables et sécurisés à ses organisations partenaires
• Bien que certains clients soient obligés de s'adresser au SPC pour obtenir des services dans le cadre des responsabilités du ministère, ce ne sont pas tous les organismes des petits ministères qui sont actuellement obligés d'utiliser les services du SPC
• Le SPC travaille en étroite collaboration avec le SCT et le CST pour évaluer la position actuelle en matière de sécurité des petits ministères et organismes afin de comprendre leurs besoins et d'étudier comment l'adoption de l'Internet d'entreprise pourrait réduire l'exposition aux réseaux gouvernementaux

En cas de pression sur les petits départements et agences :

• Lle rapport recommandait l'extension des services de sécurité du SPC à des entités qui ne relèvent pas actuellement du SPC comme un certain nombre de petits départements et agences
• Lles recommandations du rapport vont dans le sens des travaux que le SPC et ses partenaires gouvernementaux en matière de cybersécurité avaient déjà entrepris, et ne font que valider davantage le travail accompli à ce jour
• Ddans le Budget 2022, un financement de 178,7 millions de dollars sur cinq 5 ans, à compter de 2022-2023, et de 39,5 millions de dollars par année suivante, a été annoncé pour SPC et le CST afin d’élargir la protection de la cybersécurité pour les petits ministères, les organismes et les sociétés d’État
• SPC reste concentrer sur l’approvisionnement des solutions les plus sures et les plus rentables à ses partenaires des solutions les plus sûres et les plus rentables pour répondre aux besoins et aux attentes d'un gouvernement numérique

Si on le presse sur le rôle du SPC en matière de cybersécurité :

• Services partagés Canada travaille avec diligence pour assurer la sécurité, la sûreté et l'accessibilité des réseaux pour les Canadiens
• Lla cybersécurité est une responsabilité partagée entre le SPC, le CST et le SCT. Le SPC fait partie intégrante de la tripartite de la cybersécurité
• Lle SPC soutient la conception, l'exécution et la gestion efficaces des initiatives prioritaires en matière de sécurité des TI qui touchent les systèmes gouvernementaux et les opérations à l'échelle du gouvernement
• Llorsqu'un événement de cybersécurité se produit au sein de son infrastructure réseau, le SPC et ses partenaires se coordonnent pour déterminer les causes profondes, limiter l'impact et entreprendre la récupération. Ceci est également vrai pour les composants gérés par le SPC dans l’infonuagique
• Lle SPC travaille continuellement à l'amélioration de la cybersécurité des actifs numériques du gouvernement du Canada en se préparant à tous les types de cyberincidents et aux réponses aux menaces

Contexte

Le Secréterait du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) a été créé en vertu de la Lloi sur le Comité des parlementaires pour la sécurité nationale et le renseignement, qui a reçu la sanction royale en juin 2017. Il ne s'agit pas d'un comité parlementaire, mais plutôt d'un comité de parlementaires, composé à la fois de députés et de sénateurs. Tous les membres détiennent une habilitation de sécurité de niveau top secret et sont tenus au secret de façon permanente en vertu de la Loi sur la sécurité de l'information.

En juillet 2020, l'honorable David McGuinty, président du CPSNR, a écrit au président du Secrétariat du Conseil du Trésor pour l'informer que le comité examinera le cadre et les activités du gouvernement du Canada pour défendre ses systèmes et réseaux contre les cyberattaques.

Le CPSNR a terminé son examen des activités du gouvernement du Canada visant à défendre ses systèmes et réseaux contre les cyberattaques. Cela comprenait l'examen des éléments suivants

• Ccadre fédéral pour la cyberdéfense
• Aactivités qui constituent une cyberdéfense
• Aautorités et structures de la gouvernance sous lesquelles elles sont conduites

Dans le rapport, déposé à la Chambre des communes le 14th février 2021, la recommandation 2 de l'annexe A préconisait l'utilisation des services Internet d'entreprise gérés par la SPC par tous les petits ministères et organismes (PMO), et se lisait comme suit :

Dans la mesure du possible, le gouvernement étendra à toutes les organisations fédérales les services de cyberdéfense avancés, notamment le Service Internet pour entreprises de Services partagés Canada et les capteurs de cyberdéfense du Centre de la sécurité des télécommunications.

Cinq PMO ont été choisis pour participer à des projets pilotes visant à améliorer la protection et la visibilité de la sécurité. Le Bureau du dirigeant principal de l'information du Secrétariat du Conseil du Trésor a continué d'étudier les mesures nécessaires pour appliquer ces mêmes politiques et directives en matière de cybersécurité et de sécurité des TI à toutes les entités fédérales, qui ne relèvent pas actuellement du Secrétariat du Conseil du Trésor.

Le SCT, le SPC et le CST continuent de travailler pour s'assurer que la cyberdéfense est appliquée de manière égale dans tous les ministères et organismes, dans la mesure du possible, y compris l'alignement entre le champ d'application de la Politique sur la sécurité du gouvernement et la Politique sur le service et le numérique.

Contrat de gestion des services de technologies d’information

Messages principaux

• La sécurité des biens et de l’information gouvernementaux est une priorité absolue du gouvernement du Canada
• SPC investit dans des technologies qui encouragent une approche pangouvernementale (« d’entreprise ») en permettant aux organisations d’adopter peu à peu des systèmes de TI communs. Ce contrat fournit un unique outil de contrat de gestion des services de technologie d'information (GSTI) moderne qui sera accessible à tous les utilisateurs au sein du gouvernement du Canada
• L’outil en question permettra à SPC de gérer la prestation de bout en bout des services de TI à ses clients. Il comprend les processus et activités nécessaires pour fournir et soutenir les services de TI
• Il s’agit d’une application commerciale permettant de gérer les demandes de service de TI, comme les commandes de téléphone mobile, les incidents et les changements, comme les mises à niveau de système, au sein de SPC et entre SPC et ses ministères clients
• Le contrat, qui a été octroyé dans le cadre d’un processus d’appel d’offres ouvert, juste et concurrentiel, prévoyait une évaluation de sécurité complète effectuée par SPC de manière exceptionnelle pour permettre aux entrepreneurs d’exécuter du travail non classifié à l’extérieur du Canada jusqu’au 31 mai 2022 alors que des restrictions de voyage liées à la COVID-19 étaient en vigueur
• La valeur totale initiale du contrat (32,4 M$) a été publiée sur achatsetventes.gc.ca, et plusieurs entrées aux fins de divulgation proactive ont depuis été faites en lien avec des modifications subséquentes au contrat
• La demande de propositions originale, qui faisait partie du processus d’approvisionnement concurrentiel, était structurée de manière à pouvoir être élargie grâce à des modifications au fur et à mesure que les ministères adoptent l’outil. Quand les modifications seront appliquées, elles seront divulguées proactivement

Si l’on vous questionne sur la sécurité :

• nous avons expliqué les pratiques exemplaires de protection de l’information aux entrepreneurs : utiliser les blocs-notes fournis par le gouvernement, garder l’équipement en sécurité et le ranger lorsqu’il n’est pas utilisé et chiffrer toutes les informations électroniques, entre autres
• les entrepreneurs travaillant à l’extérieur du Canada étaient cantonnés au développement de l’environnement, sans avoir accès aux données de production
• on a également mis en œuvre des mesures de sécurité pour veiller à ce que les non-Canadiens non autorisés n’aient pas accès à l’information

Si l’on vous questionne sur la divulgation :

• SPC s’est engagé à suivre les lignes directrices du Conseil du Trésor sur la divulgation proactive des contrats et des modifications dépassant 10 000 $; cette divulgation doit être faite 30 jours après les 3 premiers trimestres de l’exercice ou 60 jours après le dernier
• une modification à hauteur de 20 M$ a été divulguée en retard à cause de problèmes techniques, mais elle a depuis été publiée. On a déterminé que la divulgation n’a pas été faite comme prévu en raison d’une anomalie dans le transfert de données entre SPC et le système du gouvernement ouvert du SCT. Des discussions ont été tenues avec le SCT pour discuter des constatations et veiller à ce que ce problème technique soit réglé afin d’éviter des situations du genre à l’avenir
• on créera de nouvelles entrées de divulgation proactive à l’avenir, au fil des modifications du contrat

Si l’on vous questionne sur la GSTI :

• SPC a aussi rassemblé les licences existantes (et leurs composantes d’entretien) des autres ministères en une seule licence d’entreprise offerte gratuitement à tous les ministères
• de plus, les ministères peuvent accéder au contrat pour obtenir les services et le soutien dont ils ont besoin pour combler leurs propres besoins et adopter l’outil

Si l’on vous questionne sur la sous-traitance :

• SPC exploite et soutient le plus important réseau de TI au pays, tout en composant avec une demande pour ses services en croissance exponentielle
• SPC octroie des contrats pour le développement de systèmes d’infrastructure de TI ou achète des technologies offertes sur le marché pour permettre aux ministères de fournir des services numériques aux Canadiens à la vitesse et à l’échelle nécessaire
• SPC peut ainsi profiter des capacités et de l’agilité du secteur privé pour adopter rapidement des solutions novatrices à moindre coût pour les Canadiens

Contexte

Le 24 janvier 2022, SPC a répondu à une demande de renseignement des médias à propos du processus d’approvisionnement pour un outil de GSTI, qui donnait suite à des informations obtenues par une demande d’accès à l’information. BMC Software Canada inc. avait remporté le contrat pour cet approvisionnement.

Le 14 mars 2022, le Globe and Mail a publié un article sur le contrat qui critiquait le processus de divulgation proactive l’entourant, le fait qu’il a été octroyé à une entreprise américaine, les règles de sécurité pour travailler aux États-Unis et la sous-traitance plus généralement.

SPC investit dans des technologies qui encouragent une approche pangouvernementale (« d’entreprise ») en permettant aux organisations d’adopter peu à peu des systèmes de TI communs. Le contrat de SPC avec BMC reflète cette approche de la transformation des TI : il fournit un seul outil de GSTI moderne à l’ensemble du gouvernement du Canada.

La GSTI consiste, entre autres, à gérer la livraison et les opérations de TI pour les clients d’une organisation. À SPC, la solution de GSTI est configurée pour gérer les demandes de service, les changements et les incidents pour tous les services de SPC. La mise en œuvre de la solution permet à SPC de mieux fournir des services intégrés de qualité à ses ministères partenaires.

Le 4 février 2022, le député Kelly McAuley a mentionné le contrat à la Chambre des communes, s’attardant particulièrement au fait que le travail était exécuté à l’étranger et à la posture de cybersécurité globale du gouvernement.

SPC a effectué une évaluation de sécurité complète de manière exceptionnelle pour permettre aux entrepreneurs d’exécuter du travail non classifié à l’extérieur du Canada jusqu’au 31 mai 2022 alors que des restrictions de voyage liées à la COVID-19 étaient en vigueur pour les voyageurs non essentiels. Les risques de sécurité ont été rigoureusement évalués et des mesures d’atténuation solides ont été mises en place pour protéger les biens et l’information du gouvernement. On a également mis en œuvre des mesures de sécurité pour veiller à ce que les non-Canadiens non autorisés n’aient pas accès à l’information.

Une modification ayant ajouté 20 M$ au contrat a été divulguée proactivement en retard à cause de problèmes techniques, mais elle a depuis été publiée. On a réglé les problèmes techniques en ajoutant des processus manuels pour éviter des situations du genre à l’avenir.

En date du 24 janvier 2022, le contrat initial et toutes les modifications jusqu’à décembre 2021 ont été divulgués proactivement. Toute modification effectuée entre janvier et mars 2022 sera divulguée d’ici le 30 mai 2022 sur le site du gouvernement ouvert, conformément aux lignes directrices sur la divulgation proactive.

Navigation pour document « Comité permanent des opérations gouvernementales et des prévisions budgétaires : 29 avril 2022 »

• Page précédente
• Table des matières

Date de modification :

2023-05-10