PACC Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
37e LÉGISLATURE, 1re SESSION
Comité permanent des comptes publics
TÉMOIGNAGES
TABLE DES MATIÈRES
Le mardi 21 mai 2002
| ¹ | 1545 |
 |
Le président (M. John Williams (St. Albert, Alliance canadienne)) |
|
M. Pat Martin (Winnipeg-Centre, NPD) |
|
Le président |
|
M. Pat Martin |
|
Le président |
|
M. Harb |
|
M. John Williams |
|
M. Mac Harb |
|
M. John Williams |
|
M. Pat Martin |
| ¹ | 1550 |
|
Le président |
|
M. John Bryden (Ancaster—Dundas—Flamborough—Aldershot, Lib.) |
|
Le président |
|
M. John Bryden |
|
Le président |
|
M. Mac Harb |
|
Le président |
|
M. Philip Mayfield (Cariboo—Chilcotin, Alliance canadienne) |
|
Le président |
|
M. Alex Shepherd (Durham, Lib.) |
|
Le président |
|
Mme Beth Phinney (Hamilton Mountain, Lib.) |
|
Le président |
|
M. Gerald Keddy (South Shore, PC) |
| ¹ | 1555 |
|
Le président |
|
M. Lebel |
|
Le président |
|
M. Ghislain Lebel |
|
Le président |
|
M. Ghislain Lebel |
|
Le président |
|
M. Ghislain Lebel |
| º | 1600 |
|
Le président |
|
M. Shawn Murphy (Hillsborough, Lib.) |
|
Le président |
|
M. Ghislain Lebel |
|
Le président |
|
M. Mac Harb |
|
Le président |
|
M. Ghislain Lebel |
|
Le président |
|
M. Ghislain Lebel |
|
Le président |
|
M. John Bryden |
|
Le président |
|
M. Paul Forseth (New Westminster—Coquitlam—Burnaby, Alliance canadienne) |
|
Le président |
| º | 1605 |
|
M. Mac Harb |
|
M. Ghislain Lebel |
|
Le président |
|
M. Mac Harb |
|
Le président |
|
M. Douglas Timmins (vérificateur général adjoint, Bureau du vérificateur général du Canada) |
| º | 1610 |
|
Le vice-président (M. Mac Harb) |
|
Mme Michelle d'Auray (dirigeante principale de l'information, Bureau du dirigeant principal de l'information, Secrétariat du Conseil du Trésor du Canada) |
| º | 1615 |
| º | 1620 |
|
Le président |
|
M. Philip Mayfield |
|
M. Douglas Timmins |
|
M. Philip Mayfield |
|
M. Douglas Timmins |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
| º | 1625 |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
| º | 1630 |
|
Mme Michelle d'Auray |
|
Le président |
|
M. Odina Desrochers (Lotbinière—L'Érable, BQ) |
|
Mme Michelle d'Auray |
| º | 1635 |
|
M. Odina Desrochers |
|
Mme Michelle d'Auray |
|
M. Odina Desrochers |
|
Mme Michelle d'Auray |
|
M. Odina Desrochers |
|
Mme Michelle d'Auray |
|
M. Odina Desrochers |
|
Le président |
|
M. John Bryden |
|
Mme Michelle d'Auray |
|
M. John Bryden |
|
Mme Michelle d'Auray |
| º | 1640 |
|
M. John Bryden |
|
Mme Michelle d'Auray |
|
M. John Bryden |
|
|
M. John Bryden |
|
M. John Weigelt |
|
M. John Bryden |
|
Mme Michelle d'Auray |
|
M. John Bryden |
|
M. Douglas Timmins |
| º | 1645 |
|
M. John Bryden |
|
Mme Michelle d'Auray |
|
Le président |
|
M. Pat Martin |
|
M. Douglas Timmins |
|
M. Pat Martin |
| º | 1650 |
|
M. Douglas Timmins |
|
M. Pat Martin |
|
Mme Michelle d'Auray |
|
Le président |
|
M. John Weigelt |
|
Le président |
|
M. Douglas Timmins |
|
M. Pat Martin |
|
Le président |
|
| º | 1655 |
|
Mme Michelle d'Auray |
|
Mme Val Meredith |
|
Mme Michelle d'Auray |
|
Mme Val Meredith |
|
Mme Michelle d'Auray |
|
Mme Val Meredith |
|
Mme Michelle d'Auray |
|
Mme Val Meredith |
|
Mme Michelle d'Auray |
|
Le président |
|
M. Shawn Murphy |
| » | 1700 |
|
Mme Michelle d'Auray |
|
M. Shawn Murphy |
|
Mme Michelle d'Auray |
|
Le président |
|
M. Mac Harb |
|
Mme Michelle d'Auray |
|
M. Mac Harb |
| » | 1705 |
|
Mme Michelle d'Auray |
|
M. Mac Harb |
|
Le président |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
| » | 1710 |
|
Mme Anne Brennan (directrice, Direction de la politique en matière d'information et de sécurité, Secrétariat du Conseil du Trésor) |
|
M. Philip Mayfield |
|
Mme Anne Brennan |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Mme Michelle d'Auray |
|
M. Philip Mayfield |
|
Le président |
| » | 1715 |
|
M. Douglas Timmins |
|
Le président |
|
Mme Michelle d'Auray |
|
Le président |
|
Mme Michelle d'Auray |
|
Le président |
|
Mme Michelle d'Auray |
|
Le président |
|
M. Douglas Timmins |
|
Le président |
|
Mme Michelle d'Auray |
| » | 1720 |
|
Le président |
|
Mme Michelle d'Auray |
|
Le président |
|
Mme Michelle d'Auray |
|
Le président |
|
Mme Michelle d'Auray |
|
Le président |
|
Mme Michelle d'Auray |
|
Le président |
|
M. Douglas Timmins |
|
Le président |
|
Mme Michelle d'Auray |
|
Le président |
|
M. Douglas Timmins |
|
Le président |
CANADA
Comité permanent des comptes publics |
|
l |
|
l |
|
TÉMOIGNAGES
Le mardi 21 mai 2002
[Enregistrement électronique]
¹ 
(1545)
[Traduction]
Le président (M. John Williams (St. Albert, Alliance canadienne)): Mesdames et messieurs, je crois que nous avons le quorum. Je demanderais aux équipes de la télévision de terminer leurs prises de vues et de sortir étant donné que les caméras ne sont pas permises dans la salle.
Monsieur Martin.
M. Pat Martin (Winnipeg-Centre, NPD): Monsieur le président, si la séance est ouverte, j'aimerais présenter une motion.
Le président: Je n'ai pas encore ouvert la séance, permettez-moi tout d'abord de le faire.
Monsieur Martin, vous avez la parole.
M. Pat Martin: Merci, monsieur le président.
J'ai une motion à présenter. Une fois qu'elle aura été distribuée, j'aimerais pouvoir en parler.
Le président: Donnons au greffier quelques minutes pour la distribuer.
Monsieur Harb.
M. Mac Harb (Ottawa-Centre, Lib.): A-t-il besoin qu'on suspende les règles?
M. John Williams: Au Comité des comptes publics, il n'existe pas de règle portant préavis d'une motion de 48 heures.
M. Mac Harb: Bien.
M. John Williams:
Bon. La motion que m'a remise M. Martin se lit comme suit:
| Je, Pat Martin, (député fédéral de Winnipeg-Centre) propose que le Comité des comptes publics tienne une ou plusieurs audiences sur le rapport de la Vérificatrice générale concernant les contrats de commandite accordés à la société Groupaction. |
Elle a été distribuée dans les deux langues officielles.
Monsieur Martin.
M. Pat Martin: Merci, monsieur le président. Maintenant qu'elle a été distribuée, j'aimerais formuler quelques commentaires pour expliquer pourquoi j'ai présenté cette motion aujourd'hui.
À mon sens, monsieur le président, le Comité des comptes publics a la responsabilité de surveiller toutes les dépenses publiques. Étant donné les révélations consternantes auxquelles ont donné lieu l'enquête et le rapport de la vérificatrice générale au sujet des contrats accordés à Groupaction, je crois qu'il est à la fois approprié et opportun que ce comité soit saisi de l'affaire et procède à une analyse approfondie de ces contrats. Bien des gens pourraient dire que la vérificatrice générale a déjà offert de pousser son enquête plus loin, et qu'en fait, la GRC enquêtera, mais j'aimerais faire valoir qu'une enquête de la GRC, par sa nature même, est secrète. Nous n'apprendrons rien de ce que découvrira la GRC, si ce n'est la preuve d'une activité criminelle, comme une fraude ou de fausses représentations de la part de l'entrepreneur. Le travail de la vérificatrice générale est limitée tant sur le plan de son ampleur que de son mandat étant donné qu'elle ne peut que formuler des commentaires sur les écarts de conduite des fonctionnaires en cause. Nous ne croyons donc pas que nous obtiendrons l'information que demande la population et qui devrait intéresser tous les parlementaires, à savoir un compte rendu et une analyse détaillés de la façon dont ces dépenses publiques ont si mal tourné. J'estime que le comité est la tribune appropriée pour traiter de cette question, et je propose qu'il en fasse l'étude.
¹ (1550)
Le président: Très bien, monsieur Martin. Merci beaucoup.
Monsieur Bryden.
M. John Bryden (Ancaster—Dundas—Flamborough—Aldershot, Lib.): Allons-nous débattre officiellement de la motion maintenant?
Le président: Le comité est saisi de la motion. Oui, nous allons avoir un débat, et nous allons voter.
M. John Bryden: J'ai quelques commentaires. Je pense effectivement que le comité est la tribune appropriée pour ce genre de rapport de la vérificatrice générale. Le seul ennui, à mon avis, c'est que la portée de la motion est très limitée. Il y a quelques séances, la vérificatrice générale a signalé le même genre de phénomène en ce qui concerne l'attribution très inhabituelle de contrats de Travaux publics au Réseau canadien de la santé. De fait, si je me rappelle bien, elle a déclaré qu'ils avaient enfreint toutes les règles, toutes les lignes directrices du Conseil du Trésor en la matière. Cela me donne l'impression que le problème que nous allons étudier se retrouve peut-être à la grandeur du gouvernement et qu'il émane des Travaux publics.
Je suis heureux de m'associer à une telle motion, qu'elle soit ou non vraiment limitée dans sa portée, et nous devrions vraiment attendre d'en entendre davantage de la part de la vérificatrice générale au sujet d'autres secteurs et de tenir nos audiences sur le Réseau canadien de la santé.
Le président: Merci.
Monsieur Harb.
M. Mac Harb: La motion ne me pose absolument aucun problème, monsieur le président. À la lumière de ce que mon collègue a clairement affirmé, je crois que la vérificatrice générale est en train d'examiner le dossier plus à fond, qu'une enquête de police est en cours, et je pense qu'il est tout à fait approprié que nous lui donnions suite, et que nous demandions au comité de direction d'établir le calendrier des travaux, et cela dès que possible.
Le président: Monsieur Mayfield.
M. Philip Mayfield (Cariboo—Chilcotin, Alliance canadienne): J'aimerais que cette motion soit adoptée. Je pense qu'il y a beaucoup de gens dans les ministères, de même qu'à la Chambre des communes, qui aimeraient examiner l'affaire et en venir à une décision rationnelle. Ce comité a pour coutume d'aborder ces choses d'une manière relativement non partisane. Dans l'examen d'une question aussi importante que celle-ci, je crois que nous devrions garder cela à l'esprit. Je suis très encouragé d'entendre les membres du côté ministériel parler en faveur de cette motion, et ils peuvent compter sur mon soutien.
Le président: Monsieur Shepherd.
M. Alex Shepherd (Durham, Lib.): Il est fort possible que j'appuie la motion et je suis d'accord pour qu'on en saisisse le comité de direction. L'ennui, cependant, c'est que nous allons bientôt ajourner pour l'été, si bien que nous devrions trouver un moyen d'en traiter le plus rapidement possible. Nous devrions demander au comité de direction de définir la portée de l'étude de façon à pouvoir en limiter la durée. Non pas que nous voulions procéder rapidement, mais nous voulons tirer tout le parti possible de la séance ou des deux séances que nous pourrons peut-être prévoir entre maintenant et l'ajournement d'été. Évidemment, nous réinviterons la vérificatrice générale à l'une de ces audiences.
Le président: La motion parle d'une ou plusieurs audiences sur le rapport de la vérificatrice générale. Je suis certain que le leader du gouvernement à la Chambre tiendra à s'assurer que le Parlement n'ajourne pas tant que tout ne sera pas réglé.
Madame Phinney.
Mme Beth Phinney (Hamilton Mountain, Lib.): Monsieur le président, j'aimerais proposer que nous passions au vote.
Le président: On a demandé la mise aux voix.
Monsieur Keddy, je vais vous permettre un très bref commentaire.
M. Gerald Keddy (South Shore, PC): Merci, monsieur le président. J'avais essayé d'attirer votre attention avant.
Votons-nous sur la motion telle que lue, ou sur une motion modifiée?
¹ (1555)
Le président: Nous votons sur la motion telle qu'elle a été lue. Elle n'a pas été modifiée.
(La motion est adoptée)
Le président: Monsieur Lebel.
M. Ghislain Lebel (Chambly, BQ): J'ai également une motion à déposer. Elle a été envoyée au greffier avant la réunion.
Le président: Je l'ai reçue aujourd'hui. Elle est en train d'être distribuée dans les deux langues officielles au moment où nous nous parlons.
Entendu, monsieur Lebel.
[Français]
M. Ghislain Lebel:
J'ai déposé un avis de motion que je vais vous lire:
| Que le Comité permanent des comptes publics étudie le rapport de la vérificatrice générale au ministre des Travaux publics et Services gouvernementaux... |
C'est le rapport de la vérificatrice générale dont parlait M. Martin plus tôt.
| ...sur trois contrats attribués à Groupaction, et entende les témoins concernés notamment... |
Je demanderais à mon collègue d'en face d'avoir la même politesse qu'on a à son endroit.
| ...madame Sheila Fraser, vérificatrice générale, monsieur Jean Brault, président de Groupaction, monsieur Roger Desjeans, vice-président Groupaction Marketing, madame Diane Donnelly, directrice aux affaires corporatives de Groupaction; monsieur Charles Guité, ancien fonctionnaire de TPSGC et M. Pierre Tremblay, fonctionnaire de l'Agence canadienne d'inspection des aliments. |
Ce dernier a remplacé M. Guité au moment où il a pris sa retraite.
Je vous explique pourquoi. C'est que la vérificatrice générale, dans le rapport qu'elle a fait au ministre et dont vous vous souvenez tous, nous dit qu'il y a des gens qui ont contourné des lois. Mais le travail de la vérificatrice générale se situe à l'intérieur des frontières gouvernementales et elle n'a pas le pouvoir d'aller à l'extérieur pour quérir de l'information, pour prendre de l'information.
Je mets le nom de Roger Desjeans et celui de Mme Diane Donnelly. Souvenez-vous qu'on a dit à la Chambre, au moment où toute cette histoire a sorti, alors que Groupaction prétendait avoir remis trois rapports distincts, que Mme Donnelly avait signé un affidavit devant M. Desjeans. L'affidavit comme tel, je veux bien le reconnaître, a été respecté, mais Mme Donnelly, qui est une employée de Groupaction, a signé un affidavit devant M. Desjeans, qui l'a assermentée. Cet affidavit disait qu'ils avaient effectué un travail et qu'ils avaient déposé un troisième rapport. Malheureusement, on ne peut pas interroger l'affidavit. Il faudrait interroger la personne qui a déposé sous serment cet affidavit disant que le troisième travail, celui qu'on ne trouvait pas, avait pourtant bel et bien été déposé.
Pourquoi M. Tremblay? C'est qu'on parle d'un rapport manquant en 1999, selon ce que la vérificatrice générale a mis dans son rapport, sauf que le 8 mai 2001, c'est-à-dire une année et demie après que le fameux rapport ait été déposé, semble-t-il, au ministère, M. Pierre Tremblay, par lettre...
Le président: Monsieur Lebel, s'il vous plaît, ce n'est pas le moment pour discuter du problème.
[Traduction]
Je pense que ce que nous voulons, c'est un synopsis de votre motion ou des raisons pour lesquelles vous aimeriez qu'elle soit présentée à ce moment-ci.
[Français]
M. Ghislain Lebel: Oui, mais je vous l'explique. Je ne veux pas débattre du fond de la motion; je vous explique que Pierre Tremblay demandait...
[Traduction]
Le président: Je ne veux qu'une indication générale de la raison pour laquelle vous estimez que la motion devrait être présentée, pas une explication détaillée de...
[Français]
M. Ghislain Lebel: Laissez-moi finir: vous allez le savoir dans 30 secondes.
Pierre Tremblay, un an et demi après, correspondait avec M. Jean Brault et disait, par la teneur des échanges, qu'il manquait quelque chose, que l'aspect étude qualitative, qui est le principal aspect des contrats confiés à Groupaction, n'avait pas été fourni. Or, quand la vérificatrice générale, Mme Fraser, dit qu'il y a des choses importantes dans l'essence même des contrats qui n'ont pas été rendues, c'est ce que M. Tremblay cherchait, semble-t-il, et c'est ce que M. Brault et Mme Donnelly, dans des lettres différentes datées du 8 mai 2001, faisaient remarquer à Pierre Tremblay, en disant qu'il avait été convenu par téléphone qu'on oubliait cet aspect-là du contrat, et que c'était le plus important.
Donc, c'est la raison pour laquelle il faudrait que ces gens-là viennent s'expliquer ici et produire des pièces à l'appui, afin que le Comité des comptes publics, qui défend les intérêts du public et qui fait l'orgueil de ce gouvernement, fasse toute la lumière sur cette situation.
Donc, ma motion va dans le même sens que celle de M. Martin, mais elle va plus loin en ce qui a trait aux témoins.
º (1600)
[Traduction]
Le président: Monsieur Murphy.
M. Shawn Murphy (Hillsborough, Lib.): Merci beaucoup, monsieur le président.
Tout d'abord, j'appuie la motion voulant que nous nous occupions de cette affaire aussi vite que possible. Cependant, monsieur le président, ce n'est pas ainsi que nous avons procédé auparavant. Je suis d'avis que cette question devrait être renvoyée au comité de direction. Nous devrions d'abord entendre la vérificatrice générale, puis, le comité de direction devrait se réunir avec le greffier et décider, après discussion, quels seraient les meilleurs témoins à convoquer. De cette façon, nous procéderons de la façon dont nous l'avons fait pour toutes les autres questions depuis que je siège à ce comité aussi rapidement que possible. C'est pour cette raison que je m'oppose à cette motion, monsieur le président.
Le président: Entendu.
[Français]
M. Ghislain Lebel: Est-ce que monsieur est en train de nous dire qu'il faudrait que la vérificatrice fasse un rapport sur son rapport?
[Traduction]
Le président: Monsieur Harb.
M. Mac Harb: Qu'il soit clair, monsieur le président, que le gouvernement n'a rien à cacher et je ne veux pas donner l'impression à mon collègue que nous essayons de bloquer quoi que ce soit. C'est tout à fait le contraire, nous sommes aussi anxieux que mon collègue d'aller au fond des choses. De fait, c'est à la demande du gouvernement que la vérificatrice générale a étudié l'affaire.
Ce que j'aimerais qu'il se passe, si mon collègue accepte un amendement favorable, étant donné qu'il va essentiellement dans le même sens que ce qu'a proposé M. Martin, c'est que la question soit renvoyée au comité de direction, comme mon collègue M. Murphy l'a clairement exprimé, de façon à pouvoir nous former une idée. Il y a peut-être d'autres témoins, peut-être moins de témoins, peut-être que la vérificatrice générale fera d'autres suggestions. De cette façon, nous pourrons accorder à la question toute la priorité requise. Je propose que nous nous réunissions à ce sujet aussi vite que possible, monsieur le président, pour en discuter. Si mon collègue est d'accord, je propose qu'il vaudrait mieux présenter un amendement pour renvoyer la question à l'examen du comité de direction.
Le président: Merci. Je vais demander à M. Lebel.
[Français]
M. Ghislain Lebel: Je veux bien comprendre, monsieur le président. Autrement dit, ce que me dit le député d'en face, c'est que le Comité des comptes publics ne serait plus public pour l'instant, et que nous ferions cela entre nous, dans un comité directeur.
Des voix: Non, non.
M. Ghislain Lebel: C'est ce que je crois comprendre de sa proposition.
[Traduction]
Le président: Non, laissez-moi vous expliquer. Comme M. Murphy l'a signalé, le comité principal approuve les recommandations du comité de direction de tenir des audiences sur certaines questions. Nous avons maintenant décidé de tenir une séance sur cette question particulière, le rapport de la vérificatrice générale sur Groupaction Communications. Le comité de direction décide des témoins en consultation avec le Bureau du vérificateur général, parce que la vérificatrice générale est la personne qui sait pertinemment quels témoins les plus importants doivent être entendus. Cette décision est prise au comité de direction. Nous tenons ensuite une séance publique, mais les témoins sont choisis par le comité de direction. Je crois que c'est ce que disent M. Harb et M. Murphy.
Ce que j'aimerais que vous me disiez, monsieur Lebel, c'est si vous voulez que l'on vote sur votre motion telle quelle ou si vous voulez accepter que la question du choix des témoins soit renvoyée au comité de direction? C'est à vous de décider.
[Français]
M. Ghislain Lebel: C'est très bien; on va accepter cela, s'il vote en faveur.
[Traduction]
Le président: Monsieur Bryden.
M. John Bryden: J'allais vous proposer autre chose, mais je crois que cela est tout à fait acceptable.
Le président: Entendu.
Monsieur Forseth.
M. Paul Forseth (New Westminster—Coquitlam—Burnaby, Alliance canadienne): En général, les comités de direction travaillent par consensus, et les rares fois où un comité de direction éprouve un problème, il le soumet à tout le comité , et c'est lui qui prend la décision. Mais les comités de direction arrivent habituellement à prendre des décisions par consensus.
Le président: Nous en prenons bonne note, monsieur Forseth, et c'est le comité au complet qui prend la décision finale.
M. Lebel a donc accepté d'amender sa motion. Ai-je raison de dire que les témoins seront choisis par le comité de direction? Nous allons répéter la première motion. Le greffier m'avise que la motion est superflue, étant donné que nous avons déjà accepté de tenir une séance aux termes de la motion de M. Martin, et que les témoins seront choisis par le comité de direction. Si le comité de direction est dans l'impasse et ne peut s'entendre, il en fera part à cette réunion. Étant donné que le greffier m'avise que la motion est superflue, je vais la déclarer irrecevable. Ça vous va? Tout le monde est d'accord?
º (1605)
M. Mac Harb: Monsieur le président, nous pouvons faire des suggestions.
[Français]
M. Ghislain Lebel: Monsieur le président, vous n'avez pas le droit de déclarer ma motion irrecevable.
[Traduction]
Le président: Le greffier m'avise que la motion peut être renvoyée au comité de direction.
M. Mac Harb: La renvoyer, oui, c'est ce que nous voulons faire.
Le président: Donc, plutôt que de déclarer la motion irrecevable, monsieur Lebel, elle sera renvoyée au comité de direction. Bien entendu, le Bloc québécois siège à ce comité, et votre représentant, sans aucun doute, proposera les mêmes noms que vous aviez suggérés. Si on n'arrive pas à s'entendre, c'est le comité au complet qui se chargera de régler le problème.
Conformément à l'alinéa 108(3)e) du Règlement, nous étudions aujourd'hui le chapitre 3 (La sécurité des technologies de l'information) du rapport de la vérificatrice générale du Canada d'avril 2002.
Nous recevons aujourd'hui, du Bureau du vérificateur général, M. Douglas Timmins, vérificateur général adjoint, Mme Nancy Cheng, directrice principale, et M. Richard Brisebois, directeur. Du Secrétariat du Conseil du Trésor du Canada, nous recevons Mme Michelle d'Auray, dirigeante principale de l'information, Bureau du dirigeant principal de l'information, M. John Weigelt, directeur, Sécurité des TI et Politique relative à l'Infrastructure à clés publiques, de ce même bureau, et Mme Anne Brennan, directrice, Division de l'information et de la politique de sécurité. Bienvenue à tous.
Nous allons commencer avec M. Timmins qui a une déclaration préliminaire à nous faire.
M. Douglas Timmins (vérificateur général adjoint, Bureau du vérificateur général du Canada): Monsieur le président, je vous remercie de me donner l'occasion de discuter des résultats de notre vérification de la sécurité des technologies de l'information. Comme vous l'avez déjà indiqué, j'ai à mes côtés Mme Nancy Cheng et Richard Brisebois, la directrice principale et le directeur responsables de cette vérification.
Les cybermenaces sont une réalité et elles peuvent causer d'importants dommages à une organisation. Des données d'origine américaine indiquent une hausse alarmante des incidents, en particulier ces dernières années. Les données canadiennes présentent une tendance parallèle. De plus, le projet Gouvernement en direct, un important projet du gouvernement visant à offrir aux Canadiens un accès en direct à ses services, a suscité des préoccupations majeures au chapitre de la sécurité et de la protection des renseignements personnels. Par conséquent, la sécurité des technologies de l'information au gouvernement revêt de plus en plus d'importance.
La Politique du gouvernement sur la sécurité avait déjà été mise à jour en 1994 et elle a été révisée au cours de l'année 2001. La version révisée de la Politique est entrée en vigueur en février 2002. Il s'agit d'un pas important dans la bonne direction. Cette politique met fortement l'accent sur la sécurité des technologies de l'information et fournit un cadre de régie pour la sécurité au sein du gouvernement. La Politique est étayée par des normes de sécurité opérationnelles et techniques. La dernière mise à jour des normes de sécurité opérationnelles date de 1995, et la Gendarmerie royale du Canada a publié un ensemble de normes de sécurité techniques en 1997. Ces normes n'ont pas été modifiées depuis, et un plan de mise à jour doit encore être dressé. Les technologies ont fait d'énormes progrès depuis ce temps. La politique sur la sécurité de 2002 ne sera pleinement efficace que si les normes sont actualisées.
La Politique de 1994 obligeait les ministères à effectuer des vérifications internes de la sécurité et à demander à la GRC d'examiner leur programme de sécurité des technologies de l'information au moins une fois tous les cinq ans. À la demande du Secrétariat du Conseil du Trésor, la GRC devait présenter un rapport sur l'état de la sécurité des technologies de l'information au gouvernement, rapport que la GRC devait préparer en s'appuyant sur ses examens. Nous avons constaté qu'on avait peu surveillé l'état de la sécurité des technologies de l'information à l'échelle du gouvernement. Des quelque 90 ministères et organismes assujettis à la Politique du gouvernement sur la sécurité, seulement 10 ministères ont présenté des rapports de vérification interne et 14 ont subi des examens de la GRC au cours des cinq dernières années. Le dernier rapport de la GRC sur le programme de sécurité des technologies de l'information du gouvernement a été présenté en 1995, et le Secrétariat n'a demandé aucun rapport depuis.
º (1610)
[Français]
En conséquence, le gouvernement ne dispose pas d'une base adéquate pour déterminer la mesure dans laquelle les pratiques actuelles en matière de sécurité des technologies de l'information sont acceptables, ni d'une base de référence appropriée pour mesurer les progrès futurs. La Politique de 2002 prévoit un rapport d'étape sur l'efficacité de son application vers l'année 2004. Selon nous, l'évaluation de l'efficacité de la sécurité des technologies de l'information au sein du gouvernement doit être faite plus tôt.
Dans la version révisée de la politique sur la sécurité, il n'y a plus d'exigence quant à la fréquence minimale des vérifications internes et des évaluations indépendantes. Selon la version révisée de la politique, le Secrétariat du Conseil du Trésor doit assurer une surveillance active, mais il revient à chaque ministère de décider quand les vérifications et les évaluations seront effectuées et à quelle fréquence.
Nous avons également examiné les pratiques de sécurité des technologies de l'information dans quatre ministères. Nous avons noté plusieurs faiblesses qui pourraient refléter des lacunes éventuelles dans d'autres ministères et organismes.
[Traduction]
Il n'est ni faisable ni rentable d'éliminer tous les risques ou toutes les menaces pesant sur les ressources d'information. Nous avons constaté que les ministères avaient préparé des évaluations de la menace et des risques de façon ponctuelle et que ces évaluations avaient tendance à porter sur une seule application. Nous avons également constaté que certains ministères avaient fait peu de tests techniques—voire aucun—de leurs systèmes de réseaux pour déceler les modems non autorisés et les points vulnérables.
Enfin, dans le cadre de la vérification, nous avons effectué quelques tests techniques dans certains ministères pour repérer les points vulnérables de leurs systèmes de réseaux sans toutefois les exploiter. Sur les 260 systèmes que nous avons testés, 85 présentaient des points vulnérables. Nous avons noté que la plupart de ces points vulnérables pouvaient compromettre l'intégrité du système lors d'une attaque ciblée. En fait, un de ces points vulnérables aurait pu présenter une menace imminente, et nous avons signalé immédiatement la situation au ministère concerné. En janvier 2002, nous avons fourni aux différents ministères tous les autres résultats et les données des essais inclus dans nos évaluations de la vulnérabilité pour leur permettre de prendre des mesures correctives. Les résultats ont confirmé l'avantage d'effectuer des évaluations de la vulnérabilité. Nous avons recommandé que le gouvernement songe à obliger les ministères à effectuer des évaluations périodiques de la vulnérabilité de leurs systèmes d'information.
Il est important de prendre rapidement des mesures particulières pour prendre en compte les préoccupations touchant la sécurité des technologies de l'information. Les membres du comité voudront peut-être demander un plan d'action détaillé pour la mise à jour des normes de sécurité des technologies de l'information. Ils voudront peut-être aussi vérifier la pertinence d'évaluer l'efficacité de la sécurité des technologies de l'information au sein du gouvernement plus tôt que ne le prévoit la politique du gouvernement sur la sécurité.
Monsieur le président, voilà qui conclut ma déclaration d'ouverture. Nous serons heureux de répondre aux questions des membres du comité.
Le vice-président (M. Mac Harb): Merci infiniment, monsieur Timmins.
Écoutons maintenant Mme Michelle d'Auray du Secrétariat du Conseil du Trésor.
Mme Michelle d'Auray (dirigeante principale de l'information, Bureau du dirigeant principal de l'information, Secrétariat du Conseil du Trésor du Canada): Je vous remercie, monsieur le président. Bonjour, mesdames et messieurs du comité. Je vous remercie de m'avoir donné l'occasion de comparaître aujourd'hui pour discuter du chapitre 3 du rapport de la vérificatrice générale intitulé «La sécurité des technologies de l'information».
Le gouvernement du Canada attache la plus grande importance à la nécessité de veiller à la sécurité de nos systèmes et réseaux et de protéger l'information. Cela est particulièrement important au moment où nous commençons à mettre en oeuvre l'initiative du Gouvernement en direct, qui vise à permettre aux particuliers et aux entreprises d'avoir accès en direct, d'ici 2005, aux services gouvernementaux les plus en demande, peu importe le moment et l'endroit où ils se branchent à Internet et ce, dans la langue officielle de leur choix.
Je suis heureuse de signaler au comité que pour la deuxième année consécutive, une entreprise indépendante de conseil a établi que le Canada se situe au premier rang dans le monde à la suite de son initiative d'information en direct. Compte tenu du but que nous poursuivons avec l'initiative du Gouvernement en direct et de notre détermination à assurer la sécurité de nos systèmes de technologies de l'information, je tiens à assurer les membres du comité que les principaux fonds de renseignements du gouvernement sont sécurisés. Le BVG a procédé à des évaluations de la vulnérabilité dans plusieurs ministères. Ces évaluations ont surtout porté sur les systèmes qui sont directement branchés à Internet et qui servent à fournir de l'information publique. Nous croyons qu'aucune des vulnérabilités recensées ne mettait en cause des fonds de renseignements confidentiels du gouvernement.
La vérification effectuée par le Bureau du vérificateur général avait pour objectif d'évaluer le cadre de sécurité des technologies de l'information mises en place au sein du gouvernement afin de protéger les ressources d'information et d'assurer la prestation fiable et ininterrompue des services électroniques aux Canadiens et aux Canadiennes.
º (1615)
[Français]
Les recommandations formulées au chapitre 3 du rapport visent essentiellement deux aspects principaux: les rapports sur l'état de la sécurité des TI au gouvernement et les normes gouvernementales de sécurité des TI. Nous sommes en général en accord sur les recommandations du chapitre 3 du rapport de la vérificatrice générale, et les réponses du gouvernement reproduites dans le chapitre en témoignent.
Notre stratégie repose donc sur trois volets ou trois composantes principales: l'architecture de la sécurité, qui vise une approche pangouvernementale; la politique, les normes et les lignes directrices; et, troisièmement, la mise en oeuvre de l'architecture et des politiques, normes et lignes directrices.
La nouvelle Politique du gouvernement sur la sécurité est entrée en vigueur le 1er février 2002, et la vérificatrice générale a reconnu qu'il s'agissait là de, et je cite: « un pas important dans la bonne direction». La politique précise les rôles et responsabilités des ministères, des organismes responsables et des fonctionnaires fédéraux pour ce qui touche la sécurité des TI.
Plus de 200 personnes de divers ministères ont participé à la refonte de la politique qui portait sur tous les aspects de la sécurité. Le groupe de travail sur la sécurité des TI comptait plus de 20 représentants de l'ensemble du gouvernement et a recueilli une multitude de renseignements sur des sujets pouvant servir à établir les normes et techniques pour guider les ministères dans la mise en place de leurs services électroniques sécurisés. Nous sommes d'accord sur l'accélération du travail pour la mise en oeuvre et le développement ou l'élaboration de ces normes.
[Traduction]
Nos organismes responsables en matière de sécurité connaissent à fond les pratiques exemplaires dans le domaine, qu'ils partagent régulièrement avec les ministères. À titre d'autorité principale en matière d'ingénierie de sécurité des TI au gouvernement, le Centre de la sécurité des télécommunications fournit des conseils aux ministères sur la façon de déployer les technologies en toute sécurité. Le banc d'essai de la plate-forme électronique sécuritaire du CST répond aux besoins opérationnels des ministères et fournit des rapports détaillés pour y appuyer le déploiement d'applications opérationnelles sécurisées. Même s'ils ne sont pas officiellement des «normes», les rapports du CST représentent la meilleure pratique du gouvernement pour ce qui est de sécuriser le service, le produit ou la technologie que vise chacun de ces rapports. L'un d'entre eux, par exemple, porte sur l'utilisation de l'appareil BlackBerry dans les réseaux gouvernementaux.
Nous sommes d'accord avec les observations du BVG selon lesquelles nous n'avons pas encore pleinement transposé ces connaissances dans des normes officielles. Nous acceptons en outre la recommandation de la vérificatrice générale selon laquelle nous devons intensifier nos efforts à cet égard. Nous avons maintenant élaboré un plan exhaustif qui établit l'ordre de priorité des principales normes à mettre en place. Nous serions heureux de communiquer les 40 principales normes aux membres du comité, mais nous sommes encore à intégrer tout ce que les ministères ont apporté à l'entreprise. Ces normes permettent de tenir compte des facteurs opérationnels et de la gestion du risque, si bien qu'elles établissent un équilibre entre l'accès ou l'ouverture au service en direct et la protection/l'assurance.
Les normes ne représentent cependant qu'un élément de notre stratégie. Nous envisageons aussi la sécurité du point de vue de la mise en place d'une architecture stratégique ou «d'entreprise». Cela signifie que nous tirons parti des connaissances spécialisées des organismes responsables et du secteur privé pour établir des plans détaillés que les ministères peuvent utiliser pour élaborer et mettre en oeuvre des services en direct sécurisés. Nous travaillons en collaboration avec le secteur privé, par exemple, pour mettre en place une voie de communication protégée et l'infrastructure à clé publique pour veiller à ce que les Canadiens et les Canadiennes puissent, en toute sécurité, effectuer des transactions en direct avec le gouvernement. La voie de communication protégée concrétise notre vision d'un environnement sécurisé et respectueux de la vie privée, que nous pourrons créer grâce à l'initiative du Gouvernement en direct.
Au nombre des aux autres mesures que le gouvernement a adoptées, mentionnons l'établissement, en février 2001, du Bureau de la protection des infrastructures essentielles et de la protection civile—portant le long sigle BPIEPC, qui est un organisme central chargé de coordonner les stratégies de surveillance et correctives «en temps réel» concernant les atteintes à la sécurité des TI dans les réseaux et les ministères. Grâce au BPIEPC et à l'obligation qu'ont les ministères de signaler toute atteinte à la sécurité des TI, comme le prescrit la nouvelle Politique du gouvernement sur la sécurité, nous sommes beaucoup mieux en mesure de coordonner les interventions nécessaires pour réagir aux atteintes à la sécurité des TI. Les rapports obligatoires permettront au BPIEPC de s'acquitter du mandat qui lui a été confié d'assumer cette coordination, de recueillir l'information d'une manière plus systématique et d'analyser les tendances à long terme. Il y a lieu de préciser aux membres du comité que depuis le passage à l'an 2000, des téléconférences réunissant des spécialistes de la sécurité des TI ont lieu toutes les semaines, offrant ainsi un autre moyen de déceler les tendances et de surveiller le travail de détection des atteintes.
º (1620)
[Français]
Par conséquent, le gouvernement reste d'avis que les ministères sont les mieux placés pour déterminer quand et à quelle fréquence il y a lieu de faire des vérifications internes et des évaluations indépendantes de la sécurité des TI, comme il est indiqué dans la nouvelle politique. Pour aider les ministères et les organismes à respecter cette obligation, nous sommes en train d'élaborer des outils d'auto-évaluation ainsi que des conseils portant sur les besoins relatifs aux analyses de vulnérabilité et sur la fréquence optimale des évaluations périodiques à effectuer.
Un des plus grands défis que pose la sécurité et la surveillance de la sécurité des TI, c'est de donner un sens à la masse de données sur les incidents que l'on recueille dans le cadre des activités normales d'administration des réseaux. Nous sommes en train d'élaborer des outils qui aideront les ministères à effectuer ces vérifications et à gérer les risques.
Nous agissons d'une manière responsable au chapitre de la sécurité des TI et nous tirerons parti des observations et des recommandations du Bureau de la vérificatrice générale pour veiller à ce que les systèmes, les réseaux et les renseignements du gouvernement du Canada soient sécurisés et protégés.
Je vous remercie de votre attention. Mes collègues et moi sommes à votre disposition pour répondre à vos questions.
Thank you, Mr. Chairman.
[Traduction]
Le président: Merci infiniment. Ce fut une déclaration d'ouverture qui a duré un long cinq minutes, mais il n'y a pas de mal.
Monsieur Mayfield, vous avez huit minutes.
M. Philip Mayfield: Merci, monsieur le président.
Ce fut une longue déclaration, et elle me rappelle ma première semaine de lectures en sociologie, où il a fallu apprendre un nouveau vocabulaire pour parvenir à comprendre ce qui se disait. Franchement, ce que nous venons d'entendre, les acronymes, le vocabulaire et tout le reste, n'aident pas beaucoup les gens comme moi à comprendre. Étant toujours méfiant, je me demande pourquoi on n'utilise pas un vocabulaire qui est facile à comprendre. Je lis le rapport de la vérificatrice générale et il y a des faits qui se dégagent: 85 systèmes présentaient des points vulnérables et l'un d'eux constituait une menace imminente qui a dû être signalée.
Par contre, dans votre rapport, madame d'Auray, on dit que les moyens sont là, qu'on profitera des occasions, qu'on utilisera le matériel, bref, on parle de tout sauf des faits. Une histoire me vient à l'esprit, qui n'a rien à voir avec tout ceci, et c'est celle du type qui a décidé d'aller vivre dans la nature et de piller les maisons d'été des gens, et c'est ce qu'il a fait pendant longtemps, pendant des mois, peut-être des années, je ne me souviens pas exactement. Ce qui m'a toujours étonné, c'est que la police ne parvenait pas à lui mettre la main au collet, mais une équipe de télévision, dès qu'elle voulait une entrevue, pouvait le trouver presque tout de suite. C'est ainsi que pendant que nous abordons cette question sous un angle assez particulier, la vérificatrice générale parvient à se faufiler et à dégager des problèmes concrets, tandis qu'il y a des pans entiers que nous n'avons pas encore examinés.
Monsieur Timmins, est-ce un rapport assez récent; ce ne sont pas des données dépassées, j'espère?
M. Douglas Timmins: Non. Il a été déposé en avril.
M. Philip Mayfield: J'ai vu la date d'avril 2002 sur la page couverture. La vérification a donc eu lieu relativement peu de temps avant?
M. Douglas Timmins: C'est juste.
M. Philip Mayfield: Madame d'Auray, dans votre réaction au rapport, à la page 2, vous dites que, dans l'ensemble, vous approuvez les recommandations du chapitre 3. On ne peut pas dire que vous débordez d'enthousiasme face aux recommandations de la vérificatrice générale. Sans me préciser ce avec quoi vous êtes d'accord, pourriez-vous me dire avec quoi exactement vous n'êtes pas d'accord?
Mme Michelle d'Auray: Si vous me le permettez, je vais commencer par dire que nous sommes d'accord avec la nécessité d'accélérer le travail sur les normes. Il nous a d'abord fallu achever l'examen de toute la politique sur la sécurité du gouvernement, ce que nous avons fait, et la nouvelle politique est en oeuvre depuis février 2002. Nous nous sommes depuis lors lancés dans l'examen des normes TI existantes. Là où nous ne sommes peut-être pas tout à fait d'accord, c'est lorsqu'il est question de savoir si une surveillance ou un rapport d'étape est vraiment la meilleure façon de s'y prendre, à des fins de sécurité, par exemple des technologies de l'information, pour quelque chose qui en réalité revient constamment. Cela change régulièrement. Donc, le fait d'avoir un cliché statique vous donnera justement cela, c'est-à-dire une vue statique d'une période bien précise, mais il ne portera pas forcément sur les changements constamment apportés, ce que font en fait les ministères et les organismes.
º (1625)
M. Philip Mayfield: Êtes-vous en train de dire que la vérificatrice générale n'a fait que prendre un cliché et qu'elle ne comprend pas en réalité la dynamique de la situation? Est-ce ce que vous laissez entendre?
Mme Michelle d'Auray: Ce n'est certes pas ce que j'ai dit. Je...
M. Philip Mayfield: Je vous demande si c'est ce que vous laissez entendre?
Mme Michelle d'Auray: Non. Vous m'avez demandé s'il y avait des désaccords...
M. Philip Mayfield: C'est juste. Je vous l'ai demandé.
Mme Michelle d'Auray: Le mot «désaccord» est peut-être trop fort. Tel que le prévoit la politique, nous laisserions le soin aux ministères et aux organismes de déterminer le meilleur moment pour entreprendre l'examen de la sécurité de leurs TI, plutôt que de leur imposer un échéancier fixe pour la présentation des rapports. C'est ainsi que fonctionnait la politique antérieure sur la sécurité et comme l'a fait remarquer la vérificatrice générale, elle n'a pas forcément entraîné la présentation de rapports périodiques de toute façon. Cependant, nous avons constaté que des ministères ont...
M. Philip Mayfield: Puis-je savoir pourquoi des rapports périodiques n'étaient pas présentés? Était-on trop occupé à faire autre chose, au point d'en oublier l'échéance, ou était-ce parce qu'on ne disposait pas de l'information ou qu'on ne pouvait pas l'obtenir? On fixe habituellement des échéances pour de bonnes raisons. Il est décevant de voir qu'on peut dire simplement que cela n'a pas été fait. J'aimerais en connaître la raison.
Mme Michelle d'Auray: Il y a eu plusieurs rapports et plusieurs activités. Nous avons entrepris un examen plutôt étendu des avoirs du gouvernement dans le cadre de l'initiative de l'an 2000. Plusieurs plans de poursuite des activités ont été entrepris et, par conséquent, on a effectué plusieurs examens de l'état de la sécurité. Il y a donc eu plusieurs initiatives et plusieurs entreprises. Toutefois, si vous me demandez sur quel point nous ne sommes pas d'accord, pour reprendre votre expression, je vous réponds que nous ne le sommes pas au sujet de la question de savoir s'il est si efficace, comme l'a conclu la vérificatrice générale dans son rapport, d'avoir une échéance fixe à laquelle les ministères sont tenus de présenter leurs rapports. Nous avons plutôt pour principe que c'est un exercice qui revient constamment et qu'il vaut mieux laisser au sous-ministre le soin de décider de la date, comme le précise la politique sur la sécurité du gouvernement.
M. Philip Mayfield: Qu'arrivera-t-il s'il ne présente jamais de rapport? Dans votre rapport, vous parlez d'information du gouvernement, mais ce sont les renseignements personnels que les gens fournissent au gouvernement qui m'inquiètent. À quel point ces renseignements sont-ils en sécurité? Nous avons lu des rapports de personnes qui s'étaient fait voler leur identité par des individus sans scrupule. Parfois, ils peuvent le faire par Internet, s'ils en ont l'expertise. À quel point l'information sur vos clients, plutôt que la seule information du gouvernement, vous préoccupe-t-elle? Lorsqu'il a été question de l'initiative de l'an 2000, on a donné l'exemple du ministère de la Défense, aux États-Unis, qui avait formé un groupe de pirates de l'informatique pour mettre à l'épreuve la sécurité de son système. En fait, le système n'était pas très sécuritaire. Seriez-vous même capable de dire si quelqu'un s'était introduit dans vos systèmes d'information au gouvernement?
Mme Michelle d'Auray: Vous me posez là plusieurs questions.
M. Philip Mayfield: Effectivement, mais j'ai de nombreuses préoccupations.
Mme Michelle d'Auray: C'est un fait. Quand nous mentionnons dans l'énoncé les avoirs, les banques d'information gouvernementales, nous parlons d'information que possède le gouvernement, ce qui inclut les renseignements que lui fournissent les particuliers et les entreprises. Donc, quand nous parlons de banques centrales de données, ce n'est pas d'information relevant du domaine public dont il est question, mais de l'information que nous recevons.
Nous sommes extrêmement préoccupés par cette question. Les ministères et organismes mettent à l'épreuve la vulnérabilité de certains systèmes. Ils s'en remettent aussi beaucoup au travail du CCST qui a un essai pour fournir...
M. Philip Mayfield: Je pourrais vous interroger au sujet de la gravité de votre préoccupation, parce que je vois des termes comme «nous pourrions», «nous pouvons», «nous pouvons miser sur», mais je n'entends rien au sujet de ce que vous faites et vous ne parlez pas de respecter des échéances. Je ne vois pas une bien grande préoccupation à ce sujet dans le rapport que vous faites, sauf pour dire que vous avez de réelles préoccupations. Je l'espère bien. Cependant, si je me fie au rapport de la vérificatrice générale et aux déclarations que vous faites ici, je ne crois pas que cette préoccupation soit en réalité bien grande. C'est du moins mon impression, compte tenu des termes que vous avez utilisés. Comment pouvez-vous affirmer être préoccupée quand vous n'en faites pas état vous-même, lorsque vous parlez? Vous ne parlez de rien d'autre que d'avoir un système en place au cas où il y aurait une situation d'urgence. Il me semble que la situation peut évoluer si rapidement qu'une situation d'urgence pourrait bien se présenter aujourd'hui même et nous n'en saurions rien.
Je vous remercie. Dès que vous aurez fini de me répondre, je vous laisse souffler jusqu'au prochain tour de table.
º (1630)
Mme Michelle d'Auray: En réalité, si je puis exprimer mon désaccord avec vous à cet égard, nous ne pouvons pas souffler. Nous sommes constamment sur la sellette dans ce dossier. En fait, nous sommes extrêmement préoccupés, et nous consacrons pas mal de temps, d'efforts et de fonds à ce dossier. Ce que nous faisons, toutefois, c'est de laisser aux ministères et aux experts des ministères et organismes, dont une des principales responsabilités est de voir à la sécurité de plus que de la simple information, le soin de surveiller la situation.
Vous m'avez demandé tout à l'heure si nous avons la capacité de détecter les intrusions. Oui, nous l'avons. Le disons-nous publiquement? Non. Faisons-nous en sorte que pareil cas ne se reproduise pas? Assurément. Nous tenons chaque semaine des appels conférences durant lesquels les experts en sécurité des TI partagent cette information et décident des meilleurs moyens de parer à certains incidents. Il est déjà arrivé au Canada que des gouvernements soient paralysés parce que leurs systèmes ont été infectés par des virus, mais ce n'est pas le cas du gouvernement du Canada. Notre mécanisme de sécurité est très efficace.
Les mots que j'utilise ne traduisent peut-être pas fidèlement notre préoccupation et l'effort que nous déployons dans ce dossier, mais croyez-moi, nous sommes vivement préoccupés par la question.
Le président: Je vous remercie beaucoup.
Monsieur Desrochers.
[Français]
M. Odina Desrochers (Lotbinière—L'Érable, BQ): Merci beaucoup, monsieur le président.
Il me fait plaisir de m'adresser aux témoins qui aujourd'hui viennent tenter d'apporter un peu de lumière sur d'autres constats qui ont été faits par la vérificatrice générale.
Monsieur le président, si vous me le permettez, je vais faire un constat. Lorsqu'on arrive au niveau du Secrétariat du Conseil du Trésor du Canada et que les gens qui sont identifiés pour venir donner des explications, ils arrivent toujours avec les mêmes préoccupations, c'est-à-dire qu'on semble avoir énormément de difficulté à établir des mesures de rendement et surtout, on réalise que les ministères se font tirer les oreilles lorsqu'on tente d'avoir de l'information.
Il semblerait, dans ce contexte, que la seule mesure donnée est celle qui est faite par la vérificatrice générale au moment où elle fait son rapport pour dire que quelques bonnes décisions ont été prises, que ça semble encourageant. Mais nous n'avons pas un portrait global quant à l'évolution précise du problème.
Madame d'Auray, dans le résumé du représentant de la vérificatrice générale d'aujourd'hui, on mentionne: «Sur les 260 systèmes que nous avons testés, 85 présentaient des points vulnérables.» C'est donc le tiers. J'aimerais savoir si ceux composant les deux autres tiers étaient au moins sécuritaires. Que pensez-vous du fait qu'une vérification sur un point donné donne des résultats aussi décevants?
Mme Michelle d'Auray: Je dois préciser que je n'ai pas eu accès à toutes les données produites par le Bureau de la vérificatrice générale, mais je peux vous dire, d'après les réactions que j'ai eues des ministères qui ont fait l'objet d'une vérification, que la plupart de ces systèmes étaient effectivement tournés vers l'extérieur. Ils ne contenaient pas--et c'est ce que j'essayais d'expliquer tout à l'heure--les données privilégiées ou primordiales que le gouvernement protège avec tous les mécanismes possibles.
Dans ce sens-là, ce sont aussi des informations que nous ne publions pas, et il ne serait pas intéressant de révéler quels systèmes en particulier auraient été sujets à une vulnérabilité quelconque, parce que tout ce que cela fait, dans un certain sens, c'est d'encourager d'autres attaques potentielles.
Par contre, je peux vous dire que dans la mesure où nous avons vérifié et validé des informations auprès des ministères concernés, ils nous ont assuré que les informations internes les plus susceptibles de créer des difficultés ont été complètement protégées.
º (1635)
M. Odina Desrochers: Dans la relance que vous faites régulièrement, est-ce que vous pourriez identifier pour nous quels sont les ministères qui collaborent le plus en vertu des objectifs que vous énoncez aujourd'hui.
Mme Michelle d'Auray: Tous les ministères collaborent, et je dois vous dire que dans l'initiative que nous entreprenons, soit celle du Gouvernement en direct, la participation est très active, surtout vis-à-vis la mise sur pied de la voie de communication protégée. Tous les ministères vont vouloir en dépendre, et cela nous donnera une infrastructure commune sur l'ensemble du gouvernement du Canada, chose que plusieurs autres administrations nous envient un peu partout dans le monde.
L'architecture, c'est le cadre, la construction, le concept de la sécurité des TI. Nous avons une architecture qui couvre l'ensemble du gouvernement du Canada. La mise en oeuvre, c'est ce que nous sommes en train de bâtir et c'est sur quoi nous investissons des sommes quand même assez importantes.
M. Odina Desrochers: Avez- vous un plan d'action avec des échéanciers précis? Comme M. Mayfield le disait, vous arrivez avec de grands principes organisationnels, mais on semble avoir de la difficulté à avoir une mesure. Par contre, si vous reveniez l'année prochaine à la même date, le 21 mai 2003, qu'est-ce que vous pourriez nous dire sur l'évolution des objectifs que vous apportez aujourd'hui?
Mme Michelle d'Auray: Une bonne partie de ce que j'appelais tout à l'heure le top 40 des normes en matière de sécurité serait complété et en vigueur. Nous aurions aussi une capacité d'échanger des informations beaucoup plus pointues dans un lieu sécuritaire pour permettre aux spécialistes de la sécurité des TI des ministères d'échanger et d'élaborer de bonnes pratiques. Nous aurions prélevé les meilleures pratiques internationales pour les appliquer au gouvernement du Canada.
Mais nous devions compléter, avant de pouvoir entreprendre ce travail beaucoup plus pointu, la refonte de la politique globale en matière de sécurité gouvernementale, et c'est ce que nous avons fait; elle est entrée en vigueur le 2 février 2002.
M. Odina Desrochers: Est-ce que la vulnérabilité des systèmes qui avait été dénoncée serait moins forte dans un an? Est-ce qu'il y aurait une amélioration?
Mme Michelle d'Auray: Je vais vous répondre que la plupart des systèmes ont été vérifiés, selon les informations qui m'ont été communiquées par les ministères, étaient tournés vers l'extérieur et que les systèmes les plus sensibles ou les plus délicats n'ont pas été affectés. Seront-ils davantage protégés? Oui. Le seront-ils de façon régulière? Oui. Sont-ils suivis? Oui.
M. Odina Desrochers: Monsieur le président, merci beaucoup.
[Traduction]
Le président: Merci beaucoup, monsieur Desrochers.
Monsieur Bryden, vous avez huit minutes, puisqu'il s'agit du premier tour de table.
M. John Bryden: Monsieur le président, je vous remercie.
Je n'ai pas besoin de lire le rapport de la vérificatrice générale pour savoir qu'il y a eu une nette augmentation des sites faisant l'objet de cyberattaques. Le nombre d'attaques dont font l'objet mes bureaux dans la circonscription et sur la Colline depuis quelques années est tout à fait remarquable. Je constate que nous sommes constamment sous attaque.
Cela étant dit, on peut maintenant transiger en direct avec l'Agence des douanes et du revenu du Canada. Est-on vulnérable si l'on traite en direct avec l'ADRC?
Mme Michelle d'Auray: L'ADRC est celle qui pourrait le mieux répondre à cette question. Cependant, la réponse qu'elle vous donnerait est qu'il n'y a pas de vulnérabilité. Tout comme DRHC et plusieurs autres ministères et organismes, elle prend la sécurité extrêmement au sérieux. Les banques de données dont elle dispose au sujet des particuliers sont extrêmement bien protégées.
M. John Bryden: Dans ce contexte, j'ai remarqué que vous commencez tout juste à créer une voix de communication protégée dans l'infrastructure à clés publiques, et il se trouve que je sais ce que cela signifie. Si elle n'existe pas actuellement, les systèmes qui n'en ont pas sont sûrement vulnérables.
Mme Michelle d'Auray: Ils se fient actuellement à la protection par couches, ce qui ne permet pas de communiquer de manière interactive dans un environnement sûr. Ce que l'infrastructure à clés publiques nous permettrait de faire, c'est d'échanger entre nous. Actuellement, vous pouvez envoyer votre déclaration d'impôt sur Internet, mais parce que rien ne nous dit que vous êtes bien qui vous dites lorsque vous êtes en ligne, nous ne pouvons pas vous envoyer l'avis de cotisation correspondant de la même manière. Par conséquent, vous continuez de le recevoir par courrier postal.
º (1640)
M. John Bryden: L'un d'entre vous peut-il expliquer alors, pour le bénéfice de M. Mayfield et d'autres membres du comité, ce que vous entendez exactement par infrastructure à clés publiques?
Mme Michelle d'Auray: Je vais demander à John Weigelt, directeur de la Politique en matière de l'infrastructure à clés publiques, de répondre.
M. John Bryden: J'aimerais aussi qu'il le fasse dans des mots que nous pouvons facilement comprendre. Je connais le jargon, mais certains d'entre nous ne le connaissent peut-être pas.
M. John Weigelt (directeur, Sécurité des technologies de l'information et politique en matière de l'Infrastructure à clé publique, Direction du dirigeant principal de l'information, Secrétariat du Conseil du Trésor du Canada): Dans une infrastructure à clés publiques, vous partagez une clé avec quelques personnes de manière à ce qu'elles puissent protéger l'information qui vous est destinée, à vous seul, et vous avez l'assurance que vous serez le seul à pouvoir la consulter. L'exemple concret que voici vous aidera peut-être. Voyons ce que font les banques. Je travaillais auparavant dans le tourisme réceptif et, le soir, il fallait que je dépose les recettes de la journée à la banque, dans le coffre de nuit. La banque m'a remis une de ses clés publiques. Je me rendais au coffre de nuit de la banque, je l'ouvrais, j'y plaçais les recettes de la journée et je le refermais, ayant l'assurance que seule la banque pourrait l'ouvrir, parce qu'elle seule avait la clé. C'est la même chose dans le monde électronique. Nous distribuons des clés publiques à certaines personnes, de manière à pouvoir protéger l'information qui leur est envoyée, et elles sont les seules à avoir la clé privée qui leur permet d'ouvrir cet envoi. Essentiellement, c'est ce que nous faisons par ordinateur.
M. John Bryden: Où en est rendu ce programme, parce qu'il est en place depuis pas mal longtemps maintenant, du moins en termes de technologie?
M. John Weigelt: Nous avons actuellement en place une infrastructure à clés publiques du gouvernement du Canada qui est au service de plus de 30 ministères, plus de petits groupes d'utilisateurs qui ont des certificats. Nous sommes en train d'élargir les applications à mesure que nous constatons le besoin chez les entreprises. Nous avons également mis en oeuvre récemment la plateforme d'infrastructure à clés publiques la plus importante au monde, une plateforme matérielle qui permet d'envoyer les certificats à tous ceux qui font des transactions avec le gouvernement du Canada. Cette plateforme est fonctionnelle depuis le 25 février.
M. John Bryden: Pour en revenir à toute la question des ministères individuels et à l'absence actuelle d'infrastructure à clés publiques, j'ai remarqué que vous avez dit que le Conseil du Trésor demande aux ministères de respecter la norme établie dans la politique. Comment pouvez-vous garantir que les ministères vont réellement respecter ces normes?
Mme Michelle d'Auray: Je soutiendrais que plusieurs ministères satisfont déjà à des normes internationales. Ce qu'a fait ressortir le Bureau du vérificateur général, à bon droit et nous y avons répondu en conséquence, c'est que nous n'avons pas documenté et officialisé les travaux sur les normes. C'est ce que nous sommes d'ailleurs en train de faire.
Comment assurerions-nous un suivi? Les ministères devront, par exemple, s'ils souhaitent se brancher sur la voie de communications protégée, répondre à des normes de sécurité plutôt strictes sur le plan du fonctionnement. Il existe donc des exigences opérationnelles manifestes. Vous ne pourrez pas vous brancher à la voie de communications protégée et l'utiliser à moins de respecter des normes de sécurité et de fonctionnement très précises. D'ici à 2004, nous produirons un rapport sur l'état et sur la mise en oeuvre de la politique sur la sécurité du gouvernement, mais pour pouvoir présenter ces rapports, il faut également avoir terminé les travaux de développement des normes. Nous produirons donc un rapport d'étape d'ici à 2004.
M. John Bryden: Une des choses qui me préoccupent, toutefois, c'est que ce sera aux ministères de décider par eux-mêmes quand ils ont besoin d'effectuer des vérifications internes pour voir au maintien du niveau voulu de sécurité. Je vais poser la question aux hauts fonctionnaires du Bureau du vérificateur général. Est-ce une réponse satisfaisante aux préoccupations que vous avez exprimées?
M. Douglas Timmins: Nous avons recommandé que les normes soient plus élevées, qu'il y ait une norme minimale quelconque. Nous faisons remarquer, comme il a été souligné, que la politique antérieure en prévoyait déjà et qu'on ne l'observait pas beaucoup. Par contre, je ne suis pas sûr que cela signifie que la politique n'était pas bonne. Cela veut dire au contraire qu'elle n'était pas appliquée ou que les gens ne s'y conformaient pas. En reculant d'un pas et ayant maintenant une politique qui ne l'exige pas, je ne suis pas sûr que la conformité va s'améliorer, que l'on sera plus conscient de la sécurité ou que l'on déploiera plus d'efforts en ce sens, tout simplement parce qu'il n'y a pas d'exigences à cet égard. Nous craignons que la priorité ne devienne la facilité d'accès, sans que la sécurité soit forcément assurée. Il est donc nécessaire, selon moi, d'avoir une norme minimale, et c'est ce que nous avons suggéré dans notre rapport.
º (1645)
M. John Bryden: C'est ce qui m'embête. Dans l'histoire d'espionnage et d'intrusion dans les systèmes du gouvernement, il est toujours question de ceux qui essaient de s'introduire à la recherche des ministères, des secteurs, les plus vulnérables, de ceux qui ont porté le moins d'attention aux politiques qui, lorsqu'elles sont mises en oeuvre, sont habituellement efficaces. Je crains qu'en réalité, si vous laissez le soin aux ministères de se surveiller eux-mêmes, vous ne laissiez beaucoup de place à la non-conformité qui, tôt ou tard, serait exploitée avant même que le gouvernement en ait conscience. Que répondez-vous à cela?
Mme Michelle d'Auray: La sécurité est abordée, en fait, par couches. C'est là un autre débat que nous avons avec le Bureau du vérificateur général, le fait qu'il n'existe pas actuellement de normes minimales dans le monde. Il existe des normes différentes, différentes couches de sécurité, selon la nature délicate de l'information et le type d'interaction qu'on souhaite avoir. Donc, à cet égard, il faudrait avoir une série de normes, plutôt qu'une simple norme repère, et nous aurons, comme nous l'avons actuellement, une approche par couches.
J'aimerais aussi souligner qu'en rendant le sous-ministre responsable de l'examen de l'état de la sécurité sur une base régulière, à mesure que nous passons aux communications en direct, les gens n'adopteront pas en fait les services en ligne à moins que nous n'assurions une sécurité très stricte et très étanche. Nous n'atteindrons pas notre objectif si nous ne nous préoccupons pas vivement de la sécurité. C'est pourquoi, à de nombreux égards, les ministères eux-mêmes, à mesure qu'ils offrent des services en direct, sont ceux qui sont les mieux placés pour décider du niveau de sensibilité, du degré voulu de couches de protection que peut offrir le gouvernement au sein d'un cadre global.
Le président: Je vous remercie beaucoup. Cela me semble très bien.
C'est maintenant au tour de M. Martin, qui dispose de huit minutes.
M. Pat Martin: Je vous remercie, monsieur le président.
Je dois avouer que plus j'en apprends sur le sujet, plus je me sens mal à l'aise. Je ne sais pas si les auteurs de ce document avaient l'intention de nous prévenir de certains risques dont beaucoup n'étaient pas conscients.
Je me pose plusieurs questions. Tout d'abord, les quatre ministères ayant fait l'objet de vérifications sont Développement des ressources humaines Canada, le ministère des Pêches et des Océans, le ministère de l'Industrie et la Commission des libérations conditionnelles. Ma première question se fonde sur ce qui est arrivé récemment dans ma province, le Manitoba, où l'ancien gouvernement conservateur avait donné en sous-traitance à une société privée la gestion des dossiers médicaux. Il se trouve que cette société a été rachetée par une compagnie de Houston et que les dossiers médicaux des Manitobains, y compris le mien, sont tenus, gérés et contrôlés par un entrepreneur privé établi à Houston, au Texas. Il y a toujours cette crainte que des listes de noms soient vendues aux compagnies pharmaceutiques désireuses de faire de la sollicitation auprès des consommateurs, etc. Il y a donc un problème de confidentialité des données. J'aimerais savoir jusqu'à quel point les quatre ministères que vous avez vérifiés pratiquent la diversification des modes de prestation de services et ont recours à la sous-traitance. Est-ce que la gestion des bases de données en fait partie? Avez-vous recueilli des preuves dans ce sens au cours de vos vérifications?
M. Douglas Timmins: Notre travail n'a pas porté là-dessus. Il consistait à évaluer les pratiques de ces différents ministères, notamment l'application de la Politique de 1994. Nous avons évalué la fréquence des vérifications internes, regardé s'il y avait eu des examens de la GRC, etc. Nous n'avons pas cherché à savoir s'ils donnaient des services en sous-traitance.
M. Pat Martin: Très bien, je continue.
Certains tableaux et graphiques sont vraiment très intéressants. Compte tenu des cyberincidents observés au Canada et décrits à la page 5 du rapport, j'aimerais savoir quels types d'attaques ont subi récemment ces quatre ministères fédéraux. Par ailleurs, comment pouvez-vous expliquer cette progression fulgurante de l'activité durant les mois d'août et de septembre 2001? Ce phénomène est-il lié à quelque sabotage industriel international ou autre? Peut-on parler de cyberterrorisme?
º (1650)
M. Douglas Timmins: C'est certainement quelque chose qui nous a frappés, mais rien n'indique qu'il existe un lien avec ce dont vous venez de parler. La réponse la plus logique est qu'à ce moment-là, on a assisté à l'apparition de virus très dommageables qui se sont propagés sur une assez grande échelle. Par contre, je ne peux pas vous dire jusqu'à quel point chacun des ministères vérifiés a été touché. Nous ne le savons pas. Les données de ce graphique portent sur l'ensemble du Canada.
M. Pat Martin: On pourrait penser que comme les écoles sont fermées durant les mois de juillet, août et septembre, les jeunes pirates informatiques disposent de plus de temps pour sévir. Il n'est pas impossible que des pirates informatiques déterminés paralysent les systèmes gouvernementaux, l'industrie et les marchés boursiers s'ils sont assez habiles pour infiltrer nos systèmes et décoder la façon dont nous compilons nos données actuellement. Ce que je veux dire, c'est que je partage le sentiment de malaise ressenti par M. Mayfield.
Combien de fois l'Agence des douanes et du revenu du Canada ou le Conseil du Trésor ont-ils été la cible de pirates informatiques? La fréquence des attaques est-elle quotidienne, hebdomadaire ou mensuelle?
Mme Michelle d'Auray: Certaines attaques se produisent régulièrement, mais je laisse à John Weigelt le soin de vous donner davantage de détails à ce sujet.
Il convient de souligner que pour avoir accès à certains systèmes essentiels du réseau, le Bureau de la vérificatrice générale a dû demander la permission aux ministères d'entrer de l'intérieur car, dans plusieurs cas, il n'était pas possible de pénétrer ces systèmes de l'extérieur. Voilà donc les leçons que nous avons apprises sur le déni de services et le piratage informatique. Nous en avons beaucoup appris, mais je demanderais à M. Weigelt de répondre précisément à la question.
Le président: M. Timmins souhaiterait également ajouter quelque chose.
M. Weigelt.
M. John Weigelt: Quelle est la fréquence des attaques informatiques sur nos réseaux? Si vous avez un système en réseau, les gens essaieront de voir s'il est vulnérable, un peu comme ceux qui rôdent autour de chez vous pendant que vous êtes en vacances et qui surveillent la pile de courrier. Les gens s'approchent pour vérifier si vous avez laissé les fenêtres ouvertes. On peut considérer cela comme de la vulnérabilité. L'estimation de la vulnérabilité permettra de savoir quand les fenêtres sont ouvertes. Est-ce un risque? Il se peut que vous vouliez aérer votre maison. Cela dépend donc du contexte; il s'agit de comprendre les risques que vous prenez et ceux que vous acceptez. Tous les jours, des gens frappent aux portes et cherchent la faille. Dans la plupart des cas, les ministères résistent à ces intrusions. Les véritables infiltrations sont plutôt rares.
Le président: Monsieur Timmins.
M. Douglas Timmins: J'aimerais apporter des éclaircissements au sujet d'un commentaire formulé par Mme d'Auray. Les tests que nous avons effectués sont externes, pas internes. Pour reprendre l'analogie avec la maison, nous nous sommes approchés de la porte et avons constaté qu'elle était ouverte. Nous ne sommes pas entrés, nous n'avons pas évalué les dommages éventuels dans la maison ni regardé s'il y avait quelqu'un, mais nous pouvons confirmer que la porte était ouverte. Nous aurions pu pénétrer à l'intérieur, mais nous ne l'avons pas fait.
M. Pat Martin: C'est très intéressant. Merci.
Le président: Je vous remercie beaucoup, monsieur Martin.
Madame Meredith, je vous accorde quatre minutes. Nous entamons maintenant notre deuxième série de questions.
Mme Val Meredith (South Surrey—White Rock—Langley, Alliance canadienne): Merci.
Je suis une utilisatrice, mais je ne peux pas dire que je sois très calée en informatique. J'imagine que je ne suis pas la seule. Beaucoup d'employés des ministères n'ont pas conscience qu'une porte ou une fenêtre est restée ouverte. En quoi les cours de formation que vous leur donnez constituent-ils un moyen de protection? Qui est responsable? Est-ce que cela fait partie des tentatives destinées à protéger les systèmes que de s'assurer que les utilisateurs comprennent bien que lorsqu'ils se servent d'un programme et qu'ensuite ils le ferment, il se peut qu'ils n'aient pas refermé la porte correctement?
º (1655)
Mme Michelle d'Auray: Oui. Cela fait partie de deux types d'activités. L'une vise à permettre aux ministères et aux agences de détecter les intrusions. La plupart des ministères ont des pare-feux. Par conséquent, ils ont la capacité de surveiller qui entre, qui attend à la porte et qui observe. Par ailleurs, il existe, depuis la création du Bureau de la protection des infrastructures essentielles et de la protection civile, une composante formative et éducative de sensibilisation qui fait également partie du travail que nous faisons dans le cadre de l'application de la politique de sécurité du gouvernement. Il y a des coordonnateurs des TI dans chaque ministère et agence, et cela fait aussi partie de leurs tâches.
Mais je pourrais peut-être demander à Anne Brennan de vous parler de nos activités de communication et de sensibilisation.
Mme Val Meredith: Ce qui m'intéresse surtout ce n'est pas tant le programme, mais qui supervise et qui s'assure que les utilisateurs de systèmes informatiques connaissent bien les mesures de protection. Si vous n'effectuez pas de vérifications régulièrement, comment pouvez-vous affirmer que votre personnel sait quand les portes sont ouvertes ou fermées?
Mme Michelle d'Auray: Il y a plusieurs façons de le savoir, mais c'est surtout au moyen du contrôle des systèmes du réseau. Les coordonnateurs responsables de la sécurité informatique, ou les API des ministères et des agences, établissent des normes de fermeture de session, de sorte que même si vous n'êtes pas sorti du système ou que celui-ci reste ouvert, cela ne met pas en péril l'ensemble du réseau. Il existe des mesures et des mécanismes pour protéger ces systèmes.
Mme Val Meredith: Ainsi, vous me dites que même si un employé a laissé la porte ouverte, il existe des mécanismes grâce auxquels cette porte sera refermée par quelqu'un d'autre ou par une autre partie du système.
Mme Michelle d'Auray: Je ne veux pas vous induire en erreur. Il existe différents types de portes et de fenêtres d'accès, ainsi que différentes couches. C'est comme si nous avions une maison à l'intérieur d'une maison. Oui, certaines fenêtres sont plus vulnérables et plus ouvertes que d'autres, mais lorsqu'on se rapproche des renseignements désignés, très protégés et très délicats, il n'y a aucune porte ni aucune ouverture. Lorsqu'on exploite des systèmes très ouverts et qu'on permet à des utilisateurs de se brancher à un système par l'entremise d'Internet, il existe des couches dans lesquelles des ouvertures sont créées pour que ces utilisateurs puissent avoir accès à l'information.
Mme Val Meredith: Vous avez parlé d'un processus d'accès à l'information en vertu duquel vous attribuez des certificats aux utilisateurs réguliers de l'information détenue par le gouvernement. Comment déterminez-vous à qui vous accordez des certificats? Quel genre de contrôle est effectué à propos des personnes qui sont autorisées à avoir accès à une base de données plus détaillées?
Mme Michelle d'Auray: Nous utilisons un processus d'autorisation en direct fondé sur le concept des secrets partagés. Donc, nous autorisons ou validons l'accès à l'information seulement si la personne nous fournit certains renseignements qu'elle seule peut connaître, et nous vérifions qu'ils correspondent bien à ceux que nous avons en main. Nous pouvons savoir si la personne est bien celle qu'elle prétend être et nous pouvons lui accorder un certificat, mais cela ne lui permet pas d'office d'avoir accès à des privilèges ou à des programmes, puisque le processus habituel de demande se met ensuite en branle.
Mme Val Meredith: Donc, un filtrage est effectué pour vérifier l'identité de la personne, mais elle est peut-être quelqu'un à qui vous ne voulez pas transmettre d'information. Est-ce que vous vérifiez ce genre de chose?
Mme Michelle d'Auray: Certains critères exigent le rejet automatique, et ces personnes ne peuvent pas obtenir de certificat.
Le président: Merci beaucoup, madame Meredith.
Monsieur Murphy, vous disposez de quatre minutes.
M. Shawn Murphy: Merci, monsieur le président.
Madame d'Auray, ce n'est peut-être pas pertinent, mais je tenais tout de même à le mentionner, vous avez répondu à l'une des recommandations en indiquant que les normes de sécurité doivent être mises en place plus rapidement afin d'appuyer la politique gouvernementale en matière de sécurité et que vous preniez des engagements en ce sens sous réserve des ressources disponibles. J'aimerais avoir des précisions sur ce que vous entendez par ressources disponibles; c'est une réponse plutôt inquiétante. Il me semble que lorsque l'initiative Gouvernement en direct sera en place en 2005, les services fournis par votre secrétariat deviendront beaucoup plus importants. D'une perspective globale, je crois que cette question est probablement mille fois plus importante que toute l'affaire à Groupaction. Un organisme ne peut pas être plus efficace que les gens qui y travaillent, et je ne parle pas seulement de votre secrétariat, mais aussi de tous les gens qui font partie du ministère et qui travaillent dans ce domaine. J'ai trois ou quatre questions à vous poser.
Les ressources affectées à ce secteur d'activité sont-elles suffisantes? Les gens qui y travaillent sont-ils ceux qu'il faut? Comment ces gens sont-ils recrutés? Nous avons souvent rencontré les gens de la Commission de la fonction publique, et nous entendons des histoires d'horreur sur le recrutement. Lorsqu'on décide de recruter une personne pour un travail en particulier, il faut parfois un an pour rédiger la description de travail, embaucher la personne et franchir toutes les étapes. Pouvez-vous nous décrire le processus de recrutement? Convient-il au genre de personnes que vous recherchez? Avez-vous des commentaires additionnels à formuler sur les ressources humaines dans ce secteur, car j'estime qu'il s'agit-là d'un facteur d'une grande importance?
» (1700)
Mme Michelle d'Auray: Dans notre secteur, nous disposons d'une certaine souplesse qui peut ne pas s'appliquer aux autres catégories ou classifications d'emploi dans la fonction publique fédérale. Nous pouvons faire du recrutement accéléré étant donné la nature de nos activités et les exigences de notre secteur. Nous pouvons embaucher des gens de l'extérieur du gouvernement assez rapidement. En fait, nous profitons en ce moment des mises à pied effectuées dans le secteur de la haute technologie, surtout dans la région d'Ottawa, et nous avons obtenu les services d'un certain nombre d'experts hautement spécialisés en sécurité des TI pour nous aider à effectuer le travail qui doit être accompli.
Quant aux ressources, nous dépensons en moyenne 100 millions de dollars par année pour la sécurité relative à l'initiative Gouvernement en direct, montant qui provient du financement global affecté à cette initiative et qui s'ajoute aux dépenses que font les ministères et les organismes.
M. Shawn Murphy: Ce que j'aimerais savoir, c'est si vous avez suffisamment de ressources et si vous croyez que vous embauchez les bonnes personnes pour travailler dans ce secteur au sein de la fonction publique?
Mme Michelle d'Auray: Nous avons la capacité de recruter des experts de très haut niveau dans ce domaine en particulier, ce que nous ne pourrions peut-être pas faire dans d'autres circonstances économiques. La conjoncture actuelle nous le permet, et nous continuerons de le faire. Quant à savoir si nous avons tous les experts dont nous avons besoin dans ce domaine, nous aurions probablement avantage à en avoir un peu plus. Toutefois, nous essayons aussi d'offrir nos services en ligne et nous devons donc avoir des experts du service en ligne et de la transformation de l'entreprise, en plus d'experts en sécurité des TI.
Le président: Merci beaucoup.
Monsieur Harb, vous disposez de quatre minutes.
M. Mac Harb: Merci beaucoup.
Je sais que vous vous occupez entre autres de l'information en ligne, et j'aimerais savoir de quelle manière le Canada se compare dans ce secteur par rapport au reste du monde? Sommes-nous les premiers? Sommes-nous le pays le plus branché?
Mme Michelle d'Auray: Nous sommes extrêmement efficaces. Pour une deuxième année de suite, un conseiller indépendant a attribué au Canada la première place mondiale pour ses efforts en matière d'information en ligne. Ce rang, nous le devons principalement à deux approches. La première consiste à placer l'utilisateur, le citoyen et l'entreprise au centre de nos activités. L'autre consiste en une approche gouvernementale globale, ce qui signifie que nos efforts reposent sur la réalisation de progrès pour la totalité du gouvernement. C'est une entreprise très complexe, mais nous semblons être dans la bonne voie. D'ailleurs, un certain nombre de pays nous consultent afin de savoir comment nous nous y prenons. À la blague, nous avons dit qu'ils n'obtiendraient plus de renseignements de notre part puisqu'ils étaient sur le point de nous rattraper.
M. Mac Harb: Lorsque j'essaie d'avoir accès à de l'information en ligne en tant que consommateur, je me retrouve souvent complètement perdu sur le Web. Lorsque je tente d'obtenir de l'information, soudainement, avant que je puisse réagir, je me retrouve dans un puits profond et noir. Souvent, j'ai de la difficulté à m'en sortir et à obtenir l'information que je cherche. Est-ce que des efforts ont été entrepris par votre ministère pour faciliter l'utilisation de l'information en ligne afin qu'une personne qui en est à sa première utilisation soit capable de trouver l'information qu'elle recherche un peu plus facilement? Il n'y a pas si longtemps, la vérificatrice générale a produit un rapport qui critiquait certains ministères. Il est extrêmement difficile d'obtenir certains renseignements en ligne à moins de travailler au ministère, et même si c'est le cas, c'est tout de même très difficile.
Deuxièmement, j'aimerais répondre aux questions de mes collègues en leur disant qu'il est toujours possible de mettre hors fonction un système même s'il s'agit du système le plus perfectionné au monde. Aucun système n'est entièrement à l'épreuve des incidents, il n'y a aucun doute à ce sujet. Aussi longtemps que les systèmes seront conçus par des personnes, d'autres personnes pourront toujours les détruire. La vérificatrice générale a abordé la question de la sécurité externe en indiquant que l'accès par la porte principale était trop facile. On aurait pu aller plus loin, mais on ne l'a pas fait. J'aimerais savoir quel est le mécanisme que vous utilisez pour vous assurer que les gens qui travaillent à l'interne ne créent pas de problème en fournissant de l'information à des gens de l'externe.
» (1705)
Mme Michelle d'Auray: En ce qui concerne la consultation de l'information offerte en ligne par le gouvernement du Canada, nous avons tenté de rendre l'accès le plus simple possible. Lorsqu'un utilisateur se rend sur le site du Canada, c'est-à-dire à l'adresse www.canada.gc.ca, il peut toujours, lorsqu'il navigue sur ce site, revenir à la page d'accueil. Les outils de recherche sont plutôt perfectionnés, et nous avons organisé l'information et les services pour que les gens puissent facilement s'y retrouver. Par exemple, quelqu'un qui cherche de l'information pour un parent vieillissant pourra retrouver cette information en faisant une recherche sur ce sujet et sans savoir de quel ministère ou de quel programme il s'agit.
Une grande partie des activités du gouvernement en matière de sécurité et de protection sont rattachées non seulement à l'examen des pratiques de sécurité relatives aux systèmes, mais aussi aux gens qui les utilisent. En clair, nous avons revu la manière dont les gens sont embauchés, dont les vérifications de sécurité sont effectuées et dont nous contrôlons l'accès aux immeubles. C'est pourquoi lorsque nous examinons la politique gouvernementale en matière de sécurité pour les TI, nous devons aussi tenir compte de toutes les mesures de sécurité à prendre. C'est bien d'avoir un système d'alarme dans une résidence, mais quelqu'un peut lancer une pierre, s'introduire à l'intérieur et en ressortir, ou alors quelqu'un de l'intérieur peut aussi révéler le code de sécurité du système. Nous devons tenir compte de toute la gamme des possibilités, et c'est ce que nous faisons lorsque nous examinons la sécurité des TI. Ce n'est qu'un élément du portrait global, d'où la nécessité d'examiner et de revoir la totalité de la politique gouvernementale en matière de sécurité.
M. Mac Harb: Merci.
Le président: Monsieur Mayfield, vous avez quatre minutes.
M. Philip Mayfield: Merci beaucoup, monsieur le président.
Je suis très inquiet d'apprendre que moins de 10 p. 100 des organismes ont effectué les vérifications requises, que le Conseil du Trésor n'a pas exigé des organismes fautifs que ces vérifications soient faites et que, si j'ai bien compris, le Conseil du Trésor n'a pas analysé les vérifications qui avaient été effectuées. Est-ce qu'un plan d'action a été préparé pour la mise en place des recommandations convenues?
Mme Michelle d'Auray: Nous avons élaboré un plan d'action pour mettre en place des normes de sécurité pour les TI et nous avons entrepris de créer un comité formé de membres de la haute direction qui se chargeraient de poursuivre cette mise en place.
M. Philip Mayfield: Pourriez-vous nous fournir ce plan d'action au comité?
Mme Michelle d'Auray: Je peux vous fournir les 40 premières normes de sécurité qui sont à l'étude, ainsi que le plan final, lorsque nous aurons terminé les discussions entreprises avec les ministères et les organismes.
M. Philip Mayfield: Pouvez-vous me donner une idée de la date?
Mme Michelle d'Auray: Probablement d'ici un mois.
M. Philip Mayfield: Si vous pouvez nous présenter ces normes et ce plan, nous vous en serons reconnaissants.
Avez-vous établi un échéancier pour la mise à jour des normes opérationnelles et techniques en ce qui concerne la PGS?
Mme Michelle d'Auray: Nous avons établi un échéancier relativement à la sécurité des TI. Certains des premiers étapes seront franchies cet été.
M. Philip Mayfield: Pourriez-vous remettre cet échéancier au comité?
Mme Michelle d'Auray: Oui, nous le ferons.
M. Philip Mayfield: Avez-vous établi des plans pour la communication et la mise en oeuvre de la politique gouvernementale en matière de sécurité?
Mme Michelle d'Auray: Nous l'avons fait et nous y avons consacré beaucoup d'efforts. Ma collègue, Anne Brennan, peut vous donner des précisions à ce sujet.
» (1710)
Mme Anne Brennan (directrice, Direction de la politique en matière d'information et de sécurité, Secrétariat du Conseil du Trésor): En janvier de l'année dernière, nous avons organisé des rencontres à l'interne dans la Région de la capitale nationale avec tout le personnel de la sécurité afin de préciser les exigences de la nouvelle politique. De mars à mai à peu près, nous avons aussi tenu des séances en région afin d'expliquer quelles étaient ces exigences; ces séances ne sont d'ailleurs pas terminées. Je crois qu'il ne reste que Winnipeg et Toronto. Nous organisons aussi avec le milieu de la sécurité des réunions bimestrielles au cours desquelles nous discutons de toutes les préoccupations relatives à la politique.
M. Philip Mayfield: Accepteriez-vous de fournir copie de cette politique au comité?
Mme Anne Brennan: Volontiers.
M. Philip Mayfield: Quelle priorité le Secrétariat du Conseil du Trésor a-t-il assignée à la correction des lacunes que les vérificateurs ont décelées dans la sécurité des TI?
Mme Michelle d'Auray: Comme je le disais, nous avons défini les 40 premières normes que nous utiliserons, et nous avons déjà entrepris notre travail dans ce domaine. Nous avons commencé à définir un certain nombre de fonctions de détection d'intrusion, et les ministères et organismes peuvent déjà en utiliser certaines. Nous achevons aussi la mise en place de la Voie de communication protégée, qui représente un élément très important de la politique de sécurité à l'échelle gouvernementale.
M. Philip Mayfield: Quelles ressources techniques, humaines et financières a-t-on affectées à cet effort?
Mme Michelle d'Auray: Ces ressources sont dispersées, mais le budget de décembre prévoit des fonds pour le BPIEPC, qui est l'organisme qui recueillera...
M. Philip Mayfield: C'est le bureau de la protection, n'est-ce pas?
Mme Michelle d'Auray: C'est le Bureau de la protection des infrastructures essentielles et de la protection civile. Le budget de décembre 2001 prévoit des fonds de 386 millions de dollars pour le BPIEPC.
M. Philip Mayfield: Est-ce que des ressources humaines supplémentaires ont aussi été prévues?
Mme Michelle d'Auray: Nous avons reçu des ressources humaines supplémentaires pour cette activité.
M. Philip Mayfield: Pouvez-vous nous en donner le nombre?
Mme Michelle d'Auray: Huit personnes.
M. Philip Mayfield: Huit.
Mme Michelle d'Auray: Au Secrétariat seulement. D'autres ont été affectées à d'autres ministères et organismes, y compris au CST et à la GRC.
M. Philip Mayfield: La vérificatrice générale signale que, aux termes des versions antérieures de la Politique du gouvernement sur la sécurité, les vérifications internes qui devaient être menées tous les cinq ans l'étaient très rarement. La nouvelle politique exige seulement une surveillance active. Pouvez-vous expliquer au comité pourquoi ce changement a été fait?
Mme Michelle d'Auray: Il existe plusieurs raisons, mais la principale est, comme vous l'avez indiqué vous-même, qu'il s'agit d'un environnement dynamique, de sorte que nous préférons avoir des discussions itératives et régulières avec les spécialistes de la sécurité des TI. Les conférences téléphoniques hebdomadaires auxquelles participent les 20 ministères et organismes les plus importants continueront de se tenir afin que ceux-ci puissent partager leurs meilleures pratiques et pour qu'une surveillance active puisse être maintenue sur une base hebdomadaire.
M. Philip Mayfield: Étant donné le rythme dynamique et la rapidité du changement technologique, croyez-vous que cela suffit?
Mme Michelle d'Auray: Chaque fois qu'un virus fait son apparition ou qu'il y a une attaque entraînant un refus de service, le BPIEPC émet des mises en garde. Il y en a parfois, tous les jours, voire trois ou quatre fois par jour. Des sous-programmes de modification sont alors téléchargés par les spécialistes de la sécurité et ils sont enregistrés dans le système. Donc, un examen global est effectué une fois par semaine, mais des activités de surveillance et autres se déroulent sur une base quotidienne et parfois même une fois l'heure.
M. Philip Mayfield: Lorsque vous parlez de faire emprunter une voie au gouvernement, je comprends que cela doit être difficile. Je sais combien il est difficile de déplacer un éléphant, surtout lorsqu'il vous marche sur les pieds. Je compatis donc avec vous.
Merci beaucoup.
Le président: Merci, monsieur Mayfield.
Dans l'exposé de M. Timmins, nous pouvons lire ce qui suit:
| Nous avons constaté qu'on avait pu surveiller l'état de la sécurité des technologies de l'information à l'échelle du gouvernement. Des quelque 90 ministères et organismes assujettis à la politique du gouvernement sur la sécurité, seulement 10 ministères ont présenté des rapports de vérification interne et 14 ont subi des examens de la GRC au cours des cinq dernières années. En conséquence, le gouvernement ne dispose pas d'une base adéquate pour déterminer la mesure dans laquelle les pratiques actuelles en matière de sécurité des technologies de l'information sont acceptables... |
Madame d'Auray, dans votre déclaration, vous dites que vous tenez à assurer les membres du comité que les principaux fonds de renseignements du gouvernement sont sécurisés. Je vois des contradictions dans ces deux déclarations. Je demanderai donc d'abord à M. Timmins s'il croit que le gouvernement peut affirmer que ces systèmes sont sécurisés.
» (1715)
M. Douglas Timmins: Ce qui nous préoccupe le plus, c'est le manque d'information. Même si nous appuyons les activités de suivi hebdomadaire, la tenue de réunions, etc., nous préférerions, comme nous le disons au travers de nos rapports, que soient réalisées des évaluations périodiques des risques et des menaces globales ainsi que des vérifications internes ou autres, pour réunir des informations; que soient effectués des tests de vulnérabilité et qu'on accumule des données pendant une certaine période, mais tout doit être lié. On prévoit faire tout cela en 2004, mais nous proposons un plan d'action concret permettant d'obtenir ces renseignements d'ici là. À notre avis, il faut établir un plan d'action beaucoup plus rigoureux, au lieu de s'en tenir à l'organisation de réunions et d'activités spéciales comme cela a été le cas jusqu'à présent.
Le président: Madame d'Auray, à la lumière de l'intervention de M. Timmins, selon laquelle ils ont effectué des tests de l'extérieur et ont trouvé plusieurs portes ouvertes—même s'ils ne sont pas entrés—, comment pouvez-vous garantir que les informations essentielles que détient le gouvernement sont en sécurité?
Mme Michelle d'Auray: Parce que certaines des portes, même si elles restent ouvertes, ne mènent pas nécessairement à des systèmes sensibles ou à des archives de données confidentielles du gouvernement.
Le président: S'il n'existe pas de rapports de vérification, certains ministères n'en ont d'ailleurs jamais produit, comment pouvez-vous l'affirmer?
Mme Michelle d'Auray: Maintenant, nous détenons les rapports de vérification et nous les avons examinés. Au moment où nous avons rédigé l'exposé que nous vous avons envoyé, nous ne disposions pas de toute l'information. Aujourd'hui, nous comprenons très bien ce qui s'est passé et si vous voulez des précisions concernant des éléments particuliers, vous pouvez les demander à mon collègue.
Le président: Non, je faisais référence au fait que vous disiez que ces portes ne menaient nulle part et qu'elles avaient toutes été fermées depuis. C'est bien ce que vous avez dit?
Mme Michelle d'Auray: Oui, les portes identifiées par le Bureau de la vérificatrice générale ont été fermées. Ce que je dis, c'est qu'un certain nombre de portes resteront ouvertes, parce que nous voulons que le public y ait accès et que l'information circule. Les systèmes essentiels, les systèmes internes, les registres de données sensibles sont bien protégés.
Le président: Très bien.
Monsieur Timmins, avez-vous prévenu le Conseil du Trésor que certaines portes étaient ouvertes?
M. Douglas Timmins: Chaque ministère ayant fait l'objet d'une vérification a été prévenu en janvier. Quand nous avions des préoccupations sérieuses, nous les avisions immédiatement. C'était particulièrement problématique. Une fois qu'on est à l'intérieur, il s'agit de déterminer si les pratiques internes permettent de protéger ce qui doit l'être. Il peut y avoir des barrières, il se peut aussi qu'il n'y en ait pas; c'est la question que nous avons soulevée. Tant que vous ne connaissez pas la situation, vous ne pouvez pas dire si les zones qui doivent être protégées sont adéquatement fermées.
Le président: J'ai du mal à vous croire, madame d'Auray, quand vous dites que tout est protégé. Peut-être que cela est vrai pour les ministères ou agences où vous avez effectué des vérifications, mais comme il n'y a eu qu'un seul test, il se peut que d'autres portes soient restées ouvertes et que vous n'en sachiez rien. Je vous trouve très optimiste quand vous dites que tout va très bien au sein du gouvernement. Je n'en suis pas si sûr, et je pense que mes doutes sont partagés par M. Mayfield et d'autres.
En lisant le paragraphe 3.42, je constate que le Bureau de la vérificatrice générale a observé que le Conseil du Trésor n'avait exercé absolument aucun suivi en vertu de vos propres règlements. Combien de personnes travaillent à la rédaction des politiques de sécurité des TI au sein du gouvernement?
Mme Michelle d'Auray: Pour la politique de sécurité du gouvernement, qui est la politique globale, je pense que nous avons deux personnes. Pour la sécurité des TI, nous en avons quatre.
» (1720)
Le président: Il n'y a donc que six personnes dans tout le gouvernement chargées de la rédaction des politiques. Combien d'employés participent au processus de contrôle pour s'assurer que vos règlements sont appliqués?
Mme Michelle d'Auray: Comme je l'ai précisé, nous organisons une conférence téléphonique hebdomadaire qui rassemble environ 20 représentants de ministères et agences ou autres.
Le président: Non, ma question ne portait pas sur les conférences téléphoniques. Combien de gens, parmi vos employés, s'assurent que les politiques que vous établissez sont bien appliquées?
Mme Michelle d'Auray: Pour la sécurité des TI? Ce sont les mêmes personnes.
Le président: Ainsi, il y a six personnes au total, au Conseil du Trésor, responsables de l'élaboration et de l'application de la politique de la sécurité pour l'ensemble du gouvernement. Pensez-vous que ce soit suffisant?
Mme Michelle d'Auray: Comme je l'ai dit plus tôt, on vient juste de nous affecter huit personnes supplémentaires.
Le président: Oh, plus du double. À quoi cela tient-il? Est-ce à cause du rapport de la vérificatrice générale?
Mme Michelle d'Auray: Non, cela avait été décidé avant. C'était pour la mise en oeuvre de la politique sur la sécurité au sein du gouvernement et l'établissement de normes.
Le président: D'accord.
Monsieur Timmins, voulez-vous ajouter quelque chose?
M. Douglas Timmins: Non.
Le président: Très bien.
Les difficultés auxquelles nous faisons face sont très bien connues. Il y a des pirates informatiques, partout dans le monde, qui s'essayent constamment. Certains sont arrivés à leurs fins, comme nous le savons, et pas seulement chez nous. Ils ont eu des occasions d'attaquer des systèmes gouvernementaux dans d'autres pays, ce qui a provoqué beaucoup de problèmes. Nous ne sommes pas à l'abri de telles attaques avec 6 personnes ni avec 14. Avoir 14 personnes pour rédiger des politiques et effectuer un suivi, je pense que c'est un début, mais j'ai toujours été très critique à l'égard du Conseil du Trésor et du fait que vous rédigiez un myriade de politiques, sans jamais en assurer le suivi. Voici un autre exemple montrant que le Conseil du Trésor prépare des politiques mais n'effectue aucun suivi. J'aimerais vous poser une question. Si toutes ces personnes qui rédigent les politiques disent: «vous devez faire des vérifications tous les cinq ans, vous devez faire ceci, vous devez faire cela, vous devez garantir la sécurité», comment pouvez-vous vérifier que tout ce que vous demandez est fait?
Mme Michelle d'Auray: Nous effectuerons un suivi et nous nous en remettrons également aux spécialistes qui travaillent au sein des ministères et des agences, comme les représentants du Centre de la sécurité des télécommunications ou de la GRC, car nous ne sommes pas les seuls à posséder l'information, la capacité et l'expertise pour établir des normes spécifiques. L'approche que nous entendons adopter dans l'élaboration de normes et le suivi consiste également à faire participer tous les ministères et agences, parce qu'ils ont une responsabilité de suivi, tout comme les dirigeants au sein de leur institution.
Le président:
Même si vous affirmez que tout va bien, j'aimerais citer l'extrait d'un rapport du Service canadien du renseignement de sécurité, daté du 6 mai 2002 et affiché sur son site Web:
| Par conséquent, beaucoup de groupes malveillants sont de plus en plus habiles à mener des OI, sous forme matérielle ou non, et peuvent donc représenter une menace pour la sécurité des Canadiens et la sécurité nationale du Canada. |
Ainsi, le 6 mai 2002, c'est-à-dire il y a deux semaines, le SCRS n'était pas convaincu que notre sécurité était garantie. C'est la raison pour laquelle je mets en doute vos affirmations.
Mais je vois que le temps nous manque. Je céderai donc la parole à M. Timmins pour le mot de la fin.
M. Douglas Timmins: On me demande d'être attentif aux réponses du Conseil du Trésor en ce qui a trait aux normes techniques et opérationnelles et au plan d'action qu'il a promis de fournir à ce comité. Mais je tiens à dire que certaines de mes préoccupations demeurent et je me demande toujours si on recueille suffisamment d'informations à l'intérieur du gouvernement pour connaître l'état de la sécurité. J'encourage certainement le Conseil du Trésor à revoir ceci, à moins que ce comité veuille se pencher de nouveau sur la question, après avoir examiné le plan d'action qui lui sera présenté.
Le président: Merci, monsieur Timmins.
Avant de lever la séance, je tiens à préciser que, par suite de la motion adoptée plus tôt par le comité, et d'après ce que me dit le greffier, Mme Falardeau-Ramsay ne pourra comparaître avant 16 heures, jeudi. Par conséquent, je propose que le comité de direction se réunisse de 15 h 30 à 16 heures, jeudi. Les témoins qui ne peuvent être entendus seront reconvoqués jeudi après-midi. Donc, je vous informe qu'il y aura réunion du comité de direction de 15 h 30 à 16 heures. Le comité permanent ne se réunira pas avant 16 heures, jeudi. Le greffier vous enverra un avis à cet effet.
La séance est levée.