Messages des dirigeants

Image
Image of Minister Todd McCarthy

Message de Todd McCarthy

Ministre des Services au public et aux entreprises et de l’Approvisionnement

Offrir des services gouvernementaux plus simples, plus rapides et de meilleure qualité s’accompagne d’un devoir de protection de la population de l’Ontario. La technologie ne cesse de progresser, tout comme les menaces qui pèsent sur nos résidents en ligne. Notre gouvernement contribue à mettre en place les protections adéquates pour que la population et les entreprises de l’Ontario puissent participer en toute sécurité et s’épanouir dans un monde de plus en plus numérique, en particulier pour les personnes vulnérables comme les enfants et les personnes âgées.

Conformément à cet engagement, j’ai le privilège de partager avec vous la stratégie et les activités du secteur parapublic en réponse au rapport du Comité d’experts en cybersécurité (2022). L’Ontario est l’une des premières provinces du Canada à adopter une stratégie à l’échelle de l’entreprise et du secteur public concernant la réglementation de la protection de la vie privée, de la cybersécurité et de l’utilisation de l’intelligence artificielle. L’intersection de ces trois éléments est d’une importance capitale dans notre économie numérique moderne.

L’établissement d’une confiance numérique permettant à la population de l’Ontario d’interagir avec le gouvernement est le fruit d’un travail sans relâche. Le ministère continue d’innover dans ses outils, ses programmes et ses services fondamentaux. Grâce à des consultations avec des partenaires clés du gouvernement et du secteur public, nous travaillerons ensemble pour renforcer la cybersécurité, protéger les données personnelles et préserver l’utilisation de l’intelligence artificielle dans le secteur public.

Image
Image of Deputy Minister Sarah Harrison

Message de Sarah Harrison

Sous-ministre des Services au public et aux entreprises et de l’Approvisionnement

Le secteur parapublic assure des services essentiels à la population de l’Ontario et les données collectées par ces organisations, notamment les sociétés d’aide à l’enfance et les conseils scolaires, doivent rester protégées contre les cybermenaces. Alors que les services publics continuent de subir une transformation numérique, nous reconnaissons qu’en combinant notre expertise et nos perspectives, nous sommes plus forts. Alors que l’Ontario cherche à élaborer des orientations réglementaires potentielles pour le secteur public en matière de cybersécurité et d’intelligence artificielle, nous nous réjouissons de pouvoir consolider ces partenariats déjà établis. Ce travail garantit que les programmes de cybersécurité renforcent la résilience pour faire face à l’évolution du paysage des cybermenaces et fournir à l’Ontario des services numériques sécurisés dans l’ensemble du secteur public.

Introduction

Le domaine de la cybersécurité évolue rapidement, et, proportionnellement, le niveau de risque grandit pour les organisations qui ne sont pas préparées à ce type de risques. Les cyberattaques visant les diverses entités du gouvernement et du secteur public, comme les établissements de santé et d’enseignement sont de plus en plus fréquentes et complexes. Cette augmentation a un effet déstabilisant et négatif sur la population de l’Ontario, ce qui entraîne une augmentation des risques, une perte de confiance et un sentiment de crainte. Au fur et à mesure que les technologies, telles que l’intelligence artificielle (IA) continuent d’évoluer, il sera de plus en plus difficile de distinguer les sources malveillantes des sources dignes de confiance.

Ce rapport met en lumière le parcours et les mesures que le ministère ontarien des Services au public et aux entreprises et de l’Approvisionnement a prises afin d’améliorer la cyberrésilience dans le secteur parapublic de l’Ontario. L’engagement de l’Ontario a progressé grâce à l’instauration de la Stratégie ontarienne de cybersécurité (2019-2022) et à la nomination du Groupe d’experts en cybersécurité en octobre 2020. Le Groupe d’experts était mandaté pour identifier les défis en matière de sécurité dans le secteur parapublic et pour formuler des recommandations afin d’améliorer notre cyberrésilience dans toute la province, notamment dans les secteurs de l’éducation, du bien-être de l’enfance, de la santé, et des espaces municipaux.

Le rapport final du Groupe d’experts en cybersécurité (2022) a mis en lumière quatre grands thèmes pour améliorer la résilience numérique au sein du gouvernement et du secteur parapublic :

  1. le renforcement de la gouvernance et des modèles opérationnels.
  2. l’amélioration de l’éducation et de la formation.
  3. l’adoption de services partagés entre les entités pour affaiblir les futures cyberattaques.
  4. l’élargissement de la communication entre les organisations.

Les recommandations du groupe ont servi de base à l’élaboration des actions décrites ci-dessous. De plus, le rapport a contribué à l’élaboration des éléments relatifs à la cybersécurité dans le projet de loi 194, Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public, qui a reçu la sanction royale le 25 novembre 2024.

L’Ontario s’efforce constamment de renforcer ses pratiques en matière de cybersécurité et de protéger les données que lui confient sa population et ses entreprises. L’Ontario s’engage à fournir les outils adéquats pour répondre rapidement aux cyberattaques et aux nouvelles menaces, à protéger les personnes contre les préjudices liés aux données, aux cybermenaces et à l’IA, tout en soutenant la croissance sûre et prospère du secteur de l’économie numérique.

La cybersécurité est une responsabilité collective, et non celle d’une seule personne ou d’une seule organisation, ainsi, nous avons tous un rôle à jouer pour atteindre la maturité et la résilience dans ce domaine et ainsi, mieux protéger la population de l’Ontario.

La stratégie en bref

La protection des données confiées au gouvernement et au secteur parapublic par la population et les entreprises de l’Ontario est de la plus haute importance. En matière de cybersécurité, l’Ontario utilise une approche de défense en profondeur qui consiste à recourir à plusieurs couches de contrôles de sécurité, des pare-feux, une analyse des vulnérabilités en continu, une surveillance 24 heures sur 24 et 365 jours par an, la détection et la réponse au niveau des terminaux (EDR), des évaluations de routine de cybersécurité comme des tests d’intrusion et des évaluations de la menace et des risques. 

La Stratégie de cybersécurité du secteur parapublic de l’Ontario a été conçue pour donner les bons outils à la fonction publique de l’Ontario (FPO) et au secteur parapublic afin de mieux prévoir, identifier, prévenir, surveiller, se défendre et résoudre les menaces et les incidents liés à la cybersécurité, et de réduire les actions menées en double. Cette stratégie renforce l’approche de défense en profondeur de la FPO pour sécuriser et moderniser les services publics numériques. La cybersécurité évolue, tout comme les mesures de soutien, les politiques et les outils décrits ci-dessous, au fur et à mesure que ces derniers seront adoptés par nos partenaires du secteur parapublic.

Contexte du renforcement de la résilience de la FPO

Les activités relatives à la Stratégie de cybersécurité entre 2019 et 2022 se sont concentrées sur l’augmentation significative du nombre de plateformes de cybertechnologie dans l’ensemble de la FPO, afin d’accroître la surveillance et le renseignement sur les menaces informatiques. Ces systèmes gèrent de façon proactive les cyberrisques et améliorent les expériences en ligne pour les clients de la FPO et du secteur parapublic.

Pour aller encore au-delà de ces enseignements, le ministère des Services au public et aux entreprises et de l’Approvisionnement évalue régulièrement son expertise en matière de cybersécurité dans l’ensemble de la FPO en suivant des orientations reconnues par l’Industrie. La maturité de l’organisation en matière de cybersécurité est évaluée dans sa globalité et comprend les personnes, les processus et la technologie, comme les processus opérationnels et les mesures de protection. Ceux-ci sont actualisés par le biais de changements opérationnels et de produits tout au long du cycle de vie afin de refléter les modifications apportées à la législation, à la réglementation, à la politique, aux normes et aux processus opérationnels, et en réponse aux besoins de la population de l’Ontario.

Le ministère a affiné les recommandations issues des évaluations de la maturité numérique et du rapport du Groupe d’experts en cybersécurité de 2022, en consultation avec les partenaires du ministère, afin de constituer un ensemble de priorités stratégiques pour la période allant de 2023 à 2026. Ces priorités renforcent encore la cyberprotection pour la FPO ainsi que les moyens de fournir une cyberprotection dans les secteurs critiques en donnant aux organisations du secteur parapublic les moyens d’accroître leur cyberrésilience.

Aucune stratégie ne peut prévenir tous les cyberrisques auxquels l’Ontario est confronté. Cependant, la Stratégie de cybersécurité fournit au secteur parapublic la formation et les ressources nécessaires afin de mieux prévoir et prévenir les cybermenaces, ainsi que pour surveiller et résoudre les incidents, en minimisant les interruptions de service afin de garantir que ces organisations peuvent continuer à fonctionner, même en cas de brèche.

Étapes vers la résilience du secteur parapublic

Outre les recommandations formulées dans le rapport du Groupe d’experts en cybersécurité, l’approche de la Stratégie de cybersécurité de l’Ontario (passée et présente) a permis d’obtenir plusieurs succès sur la voie du renforcement de la résilience de la cybersécurité dans le secteur parapublic.

2017

En 2017, le ministère a créé le Centre d’excellence pour la cybersécurité pour aider à sensibiliser les ministères du gouvernement de l’Ontario et les organisations du secteur parapublic à la cybersécurité et aux meilleures pratiques afin de préserver la sécurité des données de l’Ontario.

2019

Afin d’améliorer encore le soutien et l’éducation du secteur parapublic, la Communauté de pratique sur la cybersécurité a été créée en 2019. Elle a démarré avec 63 membres issus de six secteurs. Cette communauté de pratique fournit aux membres de l’ensemble du gouvernement, du secteur parapublic et des municipalités, des conseils, de l’information et des services pour renforcer la résilience en matière de cybersécurité tout en répondant aux attentes liées à la prestation de services numériques.

2020

Le Centre d’excellence pour la cybersécurité a lancé le portail Cybersécurité Ontario en ligne en 2020 pour que les services parapublics et les municipalités puissent offrir éducation et apprentissage en matière de cybersécurité à tous les niveaux de compétence.

2019 à 2023

En 2019, la Division de cybersécurité du ministère a commencé à travailler en partenariat avec le ministère de la Santé et Santé Ontario, ainsi qu’avec des partenaires du secteur de la santé afin d’aider à soutenir la maturité de la cybersécurité dans le secteur de la santé. Ensemble, ils ont élaboré le Modèle opérationnel provincial de cybersécurité pour les soins de santé et ont commencé à le déployer en 2023.

 Le ministère, en collaboration avec ApprovisiOntario, a conclu des accords sur des produits et des services de sécurité informatique avec plus de 70 fournisseurs, à la disposition de la fonction publique et du secteur parapublic.

2024

L’Ontario a présenté le projet de loi 194, Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public, qui a reçu la sanction royale le 25 novembre 2024. Le projet de loi a introduit une nouvelle loi, la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique, qui, une fois en vigueur, établirait un cadre pour renforcer la cybersécurité, mieux protéger les données personnelles, y compris celles des enfants, et soutenir l’utilisation responsable de l’IA dans l’ensemble du secteur parapublic. Cette étape a été franchie grâce au soutien commun de la Division de la cybersécurité et de la Division de la politique.

Avec son adoption, l’Ontario est devenue l’une des premières provinces du Canada à réglementer trois éléments clés de la sécurité numérique dans le secteur public : la cybersécurité, la protection des données et l’utilisation de l’intelligence artificielle. En adoptant des mesures de sécurité rigoureuses, en rehaussant la responsabilisation et en encourageant l’innovation, cette loi fait de l’Ontario un chef de file en matière de confiance et de résilience numériques.

Activité stratégique

Les activités décrites dans la section suivante ont permis de faire avancer la cyberstratégie de l’Ontario, passée et présente et de mettre en place une approche à l’échelle du gouvernement pour répondre aux cyberincidents. Les activités opérationnelles ont été conçues, pilotées, évaluées et améliorées pour garantir leur efficacité. Les organismes du secteur parapublic ont des défis uniques à relever et l’amélioration continue fait partie intégrante de l’approche du gouvernement en matière de réponse aux cyberincidents.

1. Renforcer la gouvernance et les modèles opérationnels 

La gouvernance, la supervision et la gestion efficace des risques liés à la cybersécurité dans l’ensemble de la fonction publique et du secteur parapublic restent une priorité pour le gouvernement.

Mise à jour de la politique et des normes

  • En collaboration avec des partenaires clés de la fonction publique, la Division de la cybersécurité a créé des cadres, consulté des experts et développé des supports pour intégrer dans les domaines d’activité les éléments suivants :
    • Le projet de loi 194 introduit une nouvelle loi qui, une fois en vigueur, établira un cadre pour mettre en place des mesures de protection modernes et réactives qui contribueront à assurer la sécurité des données tout en garantissant une utilisation responsable des technologies émergentes telles que les systèmes d’IA.
    • Annonce de la création d’un Groupe de travail de spécialistes en intelligence artificielle chargé de fournir au gouvernement de l’Ontario des conseils et des recommandations sur l’élaboration du Cadre ontarien pour la fiabilité de l’intelligence artificielle et l’utilisation responsable de l’IA dans le service public.
  • Les principales politiques de cybersécurité et les Normes en technologie de l’information ont été actualisées en fonction des nouvelles possibilités et menaces, des changements adoptés par l’industrie, des priorités de l’organisation et des technologies de rupture.

Modèles opérationnels   

  • Le ministère a travaillé en partenariat avec Santé Ontario et le ministère de la Santé afin de concevoir, piloter et évaluer le Modèle opérationnel provincial de cybersécurité pour les soins de santé.
    • Au cours d’une période de deux ans (2021-2023), six projets pilotes régionaux ont été menés sur 44 % des hôpitaux de soins aigus de l’Ontario. Fort du succès du projet pilote, en 2023, Santé Ontario a officialisé et commencé à étendre le modèle de cybersécurité dans toute la province, 100 % des hôpitaux de soins aigus étant désormais engagés.
    • Le modèle pour les soins de santé définit les rôles et les responsabilités en matière de gouvernance et de prestation de services afin d’accroître la cyberrésilience et la protection des données et des services sensibles.
    • Pour en savoir plus sur le projet pilote du Modèle opérationnel provincial de cybersécurité de Santé Ontario et sur les plans opérationnels, veuillez consulter le site suivant :
  • Grâce aux recommandations du Groupe d’experts en cybersécurité, la Division de la cybersécurité a pu étendre le Modèle opérationnel provincial de cybersécurité à certaines organisations du secteur parapublic, en partenariat avec le ministère des Services à l’enfance et des Services sociaux et communautaires, le ministère de l’Éducation et le ministère des Collèges et Universités.
  • Le Modèle opérationnel provincial de cybersécurité pour les soins de santé servira de base à d’autres modèles opérationnels de cybersécurité dans d’autres secteurs. Les modèles aideront le secteur parapublic à piloter stratégiquement les investissements et à protéger les actifs et les services numériques provinciaux.

2. Éducation et formation

Le ministère s’est engagé à donner aux diverses communautés de l’Ontario les moyens d’accroître leur niveau de sensibilisation à la cybersécurité par le biais de l’éducation et de la formation.

Améliorer l’éducation et la formation pour des publics divers

  • L’une des stratégies les plus efficaces contre les cyberattaques est l’éducation et la sensibilisation. Le Centre d’excellence pour la cybersécurité de l’Ontario élabore du matériel et des cours pratiques pour la fonction publique de l’Ontario et le secteur parapublic afin de soutenir le développement de la main-d’œuvre dans le domaine de la cybersécurité.
    • Le Centre d’excellence pour la cybersécurité contribue à sensibiliser les différents ministères du gouvernement, les organisations du secteur parapublic et les partenaires municipaux à la cybersécurité et aux meilleures pratiques pour assurer la sécurité des données de la population de l’Ontario. Il offre des conseils, des orientations, de l’information, des cours et des services pour renforcer la résilience numérique tout en répondant aux attentes liées à la prestation de services numériques.
    • Le Centre d’excellence pour la cybersécurité propose des exercices sur table de cybersécurité en partenariat avec Gestion des situations d’urgence Ontario pour les groupes qui gèrent des actifs de valeur critique, ces exercices permettent de s’assurer que la planification de la continuité des opérations est à jour et qu’il est possible d’agir rapidement.
  • En outre, le Centre d’excellence pour la cybersécurité développe et promeut des initiatives diverses et inclusives de sensibilisation à la cybersécurité, ainsi que des initiatives de formation pour la fonction publique de l’Ontario, et ce, à tous les stades d’apprentissage, le tout supporté par une variété de contenus communs ou adaptés, ainsi que des activités pratiques disponibles sur Cybersécurité Ontario notamment:
    • Le catalogue de cours en ligne est en constante évolution et compte actuellement 18 modules de formation sur des sujets tels que la gestion de la vulnérabilité, la planification de la gestion des incidents, la gouvernance et la gestion des risques.
    • La Bibliothèque des connaissances contient des informations générales sur une série de sujets liés à la cybersécurité, notamment la cyberhygiène, l’identification et la réponse aux attaques d’ingénierie sociale et les cyberattaques.
    • La Zone M-12, lancée en 2023 est une ressource en ligne pour les élèves, les enseignants et les parents, qui a pour but de les sensibiliser à l’importance de la sécurité en ligne.
    • Le projet de loi 194 introduit une nouvelle loi qui, une fois en vigueur, permettra d’établir des règlements régissant la cybersécurité pour les organismes du secteur public, y compris les programmes de cybersécurité, ainsi que les mesures d’éducation et de sensibilisation. 

3. Ressources et services partagés

L’arrêt des cyberattaques exige de la proactivité, non seulement pour détecter les acteurs de la menace, mais également pour atténuer ou éliminer les risques cybernétiques potentiels au sein des systèmes, des applications et des processus.

Évolution et pérennisation des services de base

  • L’une des clés de la gestion des cyberrisques consiste à identifier les actifs de valeur les plus critiques. Le ministère fournit des orientations pour aider à identifier les actifs de valeur critique contenant des données sensibles qui peuvent être protégées, privées ou confidentielles. En outre, les lignes directrices relatives à l’assurance de l’identité et des justificatifs ont été renforcées, clarifiant les contrôles de gestion de l’accès aux systèmes et aux services. Ensemble, ces directives permettent de cibler les investissements et les mises à jour qui protègent ce qui est le plus important pour les citoyens et les entreprises de l’Ontario.
  • Une approche à l’échelle du gouvernement a été appliquée pour améliorer le guide d’intervention en cas d’incident, en rationalisant les procédures et les communications lors d’un cyberincident. Elle a simplifié le rapport sur les incidents afin de faciliter une prise de décision rapide, la communication et le suivi des décisions. En outre, cette approche favorise l’établissement de relations permanentes avec Gestion des situations d’urgence Ontario et sa portée dans l’ensemble du secteur parapublic.
  • Des pratiques de gestion de produits en continu sont utilisées pour équilibrer l’évolution des besoins en services de cybersécurité avec l’expérience de l’utilisateur, la gestion du cycle de vie, les responsabilités commerciales et fiscales.

Étendre la cyberprotection à l’ensemble des secteurs critiques

  • La mise en commun des ressources et le partage des services permettent de réduire le risque de cybermenace dans les domaines où nos citoyens sont les plus vulnérables comme l’éducation, la santé et les services sociaux.
  • En collaboration avec ApprovisiOntario, des conseils en matière d’approvisionnement sont offerts à la fonction publique de l’Ontario et au secteur parapublic quand il est question de tirer parti des aides et des ressources existantes en lien avec l’approvisionnement.

4. Élargir les communications

La collaboration opérationnelle est renforcée entre la fonction publique de l’Ontario et le secteur parapublic grâce à la sensibilisation de ces partenaires aux cybermenaces.

Développer et améliorer le partage intersectoriel des connaissances en matière de cybersécurité

  • Un canal de partage d’information a été mis en place pour encourager les organisations de la fonction publique de l’Ontario et du secteur parapublic à partager facilement et en toute sécurité des renseignements relatifs à la cybersécurité.
    • Le Centre d’excellence pour la cybersécurité organise des campagnes de sensibilisation à la cybersécurité, notamment en accueillant des événements et des activités interactives pour les organisations du secteur parapublic telles que des marathons de programmation et des exercices de simulation.
    • La Communauté de pratique fournit à ses membres de l’information sur les dernières évolutions et les nouvelles en matière de cybersécurité afin de contribuer à maintenir la sécurité des systèmes de prestation de services publics. Cette communauté s’est développée et compte aujourd’hui plus de 1 600 participants issus de plus de 600 organisations.

Accroître l’échange de renseignements sur les menaces tactiques et opérationnelles

  • Les avis de cybermenaces et les avis de réponse aux incidents sont partagés rapidement afin d’aider le gouvernement et les partenaires du secteur parapublic à se défendre et à protéger les données des Ontariens.

Renforcer la sécurité et la confiance en matière de numérique — Projet de loi 194

Le projet de loi 194, intitulé Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public, a introduit une nouvelle loi, la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique. Une fois en vigueur, cette loi établirait un cadre pour des garanties modernes et réactives en matière de cybersécurité, d’IA et de protection des données des enfants.

La Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique permet au gouvernement d’établir des exigences réglementaires ainsi que des directives régissant la cybersécurité dans les organismes du secteur public. Des règlements peuvent être adoptés concernant la cybersécurité des organismes du secteur public, y compris des règlements exigeant qu’elles élaborent et mettent en œuvre des programmes de cybersécurité. La réglementation peut également fixer des normes techniques en matière de cybersécurité.

Les exigences réglementaires en vertu de la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique seraient élaborées avec les principaux partenaires, y compris ceux qui sont concernés par les réglementations potentielles. Toutes les réglementations élaborées dans le cadre de la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique feront l’objet d’une consultation publique par l’intermédiaire du Registre de la réglementation de l’Ontario.

La province consulte en permanence les principaux intervenants du secteur public, y compris les partenaires autochtones, les universités, la société civile, les experts en technologie, la Commission ontarienne des droits de la personne, le Commissaire à l’information et à la protection de la vie privée de l’Ontario et le public, alors qu’elle étudie les futures réglementations qui pourraient être soumises à l’approbation de la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique.

Les réglementations peuvent être introduites progressivement afin de soutenir l’amélioration de la cyberrésilience des organismes du secteur public au fur et à mesure que la maturité numérique s’accroît. Cette approche permet d’améliorer la résilience et la maturité en matière de cybersécurité au sein d’organismes spécifiques du secteur public.

Cette loi a été élaborée selon des recommandations du Groupe d’experts en cybersécurité et des commentaires des partenaires ministériels et sectoriels, en particulier les secteurs de la santé, de l’éducation et du bien-être de l’enfant et de la famille. En renforçant la cyberrésilience, l’Ontario veille à ce que ces secteurs essentiels restent sécurisés et opérationnels, protégeant ainsi la sécurité et la vie privée de la population de l’Ontario, tout en lui fournissant des services plus connectés et plus pratiques dans l’ensemble du gouvernement.

Conclusion

Le gouvernement continuera de renforcer les mesures de protection et de soutien nécessaires afin d’être toujours plus résilient et meilleur à repousser les cyberincidents, y répondre et à s’en relever. Il s’agira notamment de mener des actions de renforcement et d’amélioration de la sécurité dans l’ensemble de la fonction publique de l’Ontario et dans les principaux secteurs publics. Le ministère continuera de travailler à l’élaboration de règlements en vertu de la proposition de loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique, y compris la consultation avec le public et l’engagement avec les différents secteurs.

Le renforcement de la résilience numérique à l’échelle du gouvernement et du secteur parapublic requiert un réseau de partenaires. En plus des collaborateurs mentionnés dans le présent rapport, le ministère a consulté ses partenaires du gouvernement fédéral, des universités et du secteur de la sécurité et du renseignement, notamment Sécurité publique Canada, le Service canadien du renseignement de sécurité, la Gendarmerie royale du Canada, le Centre de la sécurité des télécommunications du Canada et le Centre canadien pour la cybersécurité.

En travaillant ensemble, le gouvernement, les organisations du secteur parapublic et leurs partenaires peuvent assurer la cohésion et l’accessibilité dans des services publics plus solides et plus résilients, afin d’assurer la sécurité numérique de l’Ontario d’aujourd’hui et de demain.