Rapport final destiné au ministre des
Services au public et aux entreprises
Septembre 2022
L’évolution rapide et l’intégration omniprésente de la technologie bouleversent l’avenir du travail. Les entreprises, et la société en général, sont plus que jamais dépendantes des systèmes numériques, tant pour leurs interactions que pour leurs transactions. La transition numérique actuelle a engendré des avantages remarquables, tout en introduisant de nouveaux risques dans l’économie. Les environnements numériques sont en constante évolution et les besoins en ressources pour lutter contre les risques liés à la cybersécurité ne cessent de croître.
The Le ministère des Services gouvernementaux et des Services aux consommateurs, maintenant le ministère des Services au public et aux entreprises, a mis sur pied un Comité d'experts pour la cybersécurité en 2020 dans le cadre de la Stratégie ontarienne pour la cybersécurité. Depuis sa création, le Comité d’experts a dirigé des initiatives collaboratives en vue de déterminer les enjeux communs et sectoriels, et a fourni des conseils visant à améliorer la cyberrésilience et à forger un avenir numériquement sûr pour le secteur parapublic de l’Ontario
Dans le cadre du présent rapport, le Groupe d’experts a évalué l’état actuel de la cybersécurité de quatre (4) secteurs parapublics (programme scolaire K-12, programmes d’éducation supérieure, services de bien-être de l’enfance, et municipalités). Les recommandations qui y sont émises font appel à de nouvelles et d’actuelles compétences au sein du secteur parapublic.
Télécharger le rapport complet
Le Comité d'experts a examiné le paysage actuel de la cybersécurité en Ontario dans les milieux de l'éducation, de la protection de l'enfance, de la santé et des municipalités et a identifié les défis communs et spécifiques à chaque secteur.
Afin d’améliorer la cyberrésilience au sein du secteur parapublic, le Comité d’experts a fondé ses recommandations sur quatre des principaux enjeux identifiés, lesquels reflètent les besoins particuliers de la province de l’Ontario et orientent les efforts conjoints des intervenants de son écosystème pour y répondre. Les observations du Comité d’experts ont été regroupées en quatre thèmes principaux, assortis de recommandations :
Cliquer sur chaque icône pour obtenir plus de détails
Gouvernance et modèle opérationnel
Enjeu : il n’y a actuellement aucune cohérence à l’égard des politiques, des procédures et de la responsabilisation au sein des structures de gouvernance du secteur parapublic. Les initiatives en matière de cybersécurité sont déployées simultanément dans les différents secteurs, sans toutefois répondre à un modèle commun ou à une coordination centralisée. Bien que plusieurs grands organismes soient activement engagés dans l’évaluation des risques et de la maturité, d’autres organismes, plus petits, souffrent disproportionnellement d’un accès limité aux ressources et aux compétences communes en matière de gestion des risques liés à la cybersécurité.
Recommandation : le gouvernement de l’Ontario devrait renforcer la structure de gouvernance existante pour favoriser une gestion efficace des risques liés à la cybersécurité dans l’ensemble du secteur parapublic.
Éducation et formation
Enjeu : une lacune en matière de ressources éducatives sur la cybersécurité adaptées aux divers risques et aux groupes d’âge a été observée à l’échelle de la province. Le programme scolaire de la maternelle à la 12e année (K-12) ne comprend pas suffisamment d’objectifs relatifs aux environnements numériques, tandis que les programmes d’éducation supérieure offrent des formations spécialisées, mais limitées en possibilités d’expérience pratique. Des programmes de formation intégrée sont en cours de d’élaboration en réponse à la demande croissante de contenus relatifs aux environnements numériques; il faudrait cependant améliorer l’accès à ces ressources afin d’en faire profiter un auditoire plus large.
Recommandation : le gouvernement de l’Ontario devrait poursuivre l’élaboration d’initiatives diversifiées en matière de sensibilisation et de formation à la cybersécurité adaptées à tous les niveaux d’éducation, et assortir ces initiatives d’une variété de contenus généraux et spécialisés et d’activités pratiques.
Communications
Enjeu : les communications sont limitées au sein du secteur parapublic en raison de composants de cybersécurité mal définis et de la méconnaissance des plateformes communes. Des protocoles de partage des renseignements existent actuellement pour informer le gouvernement en cas d’incident, mais ces protocoles ne servent pas l’ensemble du secteur parapublic. Il convient que toute entité au sein du secteur parapublic soit mise au courant des canaux de communication au sein de son réseau pour favoriser et améliorer la cyberrésilience actuelle.
Recommandation : le gouvernement de l’Ontario devrait mettre en œuvreun cadre visant à favoriser le partage des protocoles de cybersécurité dans l’ensemble du secteur parapublic.
Services partagés
Enjeu : les niveaux de sensibilisation à la cybersécurité ainsi que les normes et cadres de cybersécurité des organismes du secteur parapublic sont inégaux. Comparativement aux grands organismes, la gestion des risques liés à la cybersécurité des entités de plus petite taille est insuffisante, notamment à l’égard des plans d’intervention et de rétablissement en cas d’incident. Il s’agit pourtant de compétences devenues aujourd’hui fondamentales et qui sont en outre requises pour souscrire à une police d’assurance cyberrisque. Par conséquent, l’acquisition d’une police d’assurance cyberrisque devient de plus en plus difficile et coûteuse pour les petits organismes en raison des exigences grandissantes en matière de cybersécurité et du manque de personnel qualifié qui s’y consacre.
Recommandation : le gouvernement de l’Ontario devrait poursuivre l’élaboration et l’optimisation des services partagés et des contrats en matière de cyberrésilience et étendre leur portée à l’ensemble du secteur parapublic en tenant compte des besoins sectoriels distincts.
Dans un monde de plus en plus axé sur les données, la cybersécurité devient un aspect central de la conception de services gouvernementaux accessibles, pratiques et fiables. Au fil de l’intégration des technologies numériques à ses services, le gouvernement de l’Ontario a lancé diverses initiatives pour promouvoir la sensibilisation à la cybersécurité et la cyberrésilience au sein du secteur parapublic. En dépit de ces efforts, les organismes du secteur parapublic ont toujours des niveaux de cybermaturité variables, ce qui nécessite une approche personnalisée et flexible pour atteindre l'objectif global de cybersécurité.Peu importe leur taille ou leur mandat, les organismes s’entendent pour dire que davantage de ressources, d’investissements et d’expertise en cybersécurité sont nécessaires.
Le Comité d'experts estime que la création d'un cyberenvironnement sécurisé nécessite une gouvernance solide, une formation continue, une communication efficace et une collaboration intersectorielle. Une mise en œuvre réussie des recommandations émises dans le présent rapport favorisera le maintien d’un écosystème numérique sûr favorable à la prestation de services publics pratiques et à la croissance économique dans un avenir prospère pour tous les Ontariennes et Ontariens.
En raison de l’apport croissant des technologies numériques dans la prestation des services gouvernementaux en Ontario, la cybersécurité devrait demeurer une priorité absolue du Ministère afin de prévenir toute perturbation de l’écosystème numérique d’aujourd’hui et de demain.