Formation obligatoire de sensibilisation à la sécurité parmi les changements depuis l’arrestation d’un employé : GRC

Contenu de l’article

OTTAWA — La GRC affirme avoir instauré une formation obligatoire de sensibilisation à la sécurité pour ses employés, l’un des nombreux changements provoqués par l’arrestation en 2019 d’un membre civil haut placé pour avoir prétendument divulgué des informations classifiées.

Contenu de l’article

La GRC affirme qu’elle a également facilité le signalement des failles de sécurité, renforcé le profil interne des opérations de sécurité du ministère et fait de grands progrès vers la création d’un programme visant à réduire le risque que le personnel divulgue des secrets.

Contenu de l’article

Ces mesures font suite à un rapport d’examen de la GRC de juin 2020 qui appelait à un changement fondamental dans la culture de sécurité de la police nationale, qui serait mené aux plus hauts niveaux.

Le rapport, publié l’année dernière dans le cadre de la Loi sur l’accès à l’information, formule 43 recommandations, notamment des mises à jour de la formation, un respect plus strict des normes fédérales de contrôle de sécurité et l’introduction possible de fouilles physiques aléatoires.

L’examen, dirigé par un surintendant à la retraite de la GRC, a débuté après l’arrestation en septembre 2019 de Cameron Jay Ortis, qui était alors directeur général du Centre national de coordination du renseignement de la GRC.

Contenu de l’article

Ortis doit être jugé devant un tribunal de l’Ontario pour avoir enfreint la Loi sur la sécurité de l’information en ayant prétendument révélé des secrets à trois reprises et en tentant de le faire en quatrième instance, ainsi que pour abus de confiance et infraction informatique.

Pour préparer le rapport de 2020, l’équipe d’examen s’est appuyée sur les connaissances d’experts de la GRC et a examiné les audits, les évaluations et les dossiers d’incidents de sécurité antérieurs. Il a également examiné les informations issues de l’enquête sur Ortis, connue sous le nom de Projet Ace, sur la base du « besoin d’en connaître ».

Le rapport souligne que les allégations contre Ortis n’ont pas été prouvées devant les tribunaux. Mais les évaluateurs ont conclu qu’il était capable de gagner et de conserver la confiance d’un certain nombre de hauts dirigeants.

Le rapport révèle que la formation de sensibilisation à la sécurité n’est pas obligatoire à la GRC et qu’il existe une attitude omniprésente selon laquelle les restrictions de sécurité étaient quelque chose qu’il fallait contourner pour faire le travail.

Contenu de l’article

Il y avait également un manque de normes sur la gestion des actifs informatiques, y compris les dispositifs de stockage portables. L’autorisation d’accéder à des systèmes informatiques, tels que le réseau canadien Top Secret, était accordée même lorsque les fonctions d’un employé n’exigeaient pas l’accès.

Les évaluateurs ont également déclaré que les employés semblaient réticents à signaler des incidents de sécurité parce qu’ils avaient peur des conséquences pour eux-mêmes ou pour leurs collègues.

Certaines recommandations ont été jugées trop sensibles pour être divulguées.

En réponse à une récente question de La Presse canadienne sur les progrès réalisés dans le traitement du rapport, la porte-parole de la GRC, Marie-Ève ​​Breton, a déclaré que parmi les recommandations non classifiées, bon nombre ont été mises en œuvre tandis que d’autres sont en cours de réalisation.

Contenu de l’article

La GRC a mis en place un programme de signalement en ligne des événements de sécurité permettant aux employés de signaler les incidents, les menaces et les vulnérabilités, a déclaré Breton.

De plus, un cours de formation obligatoire de sensibilisation à la sécurité a été lancé pour tous les membres réguliers, civils et employés de la fonction publique de la GRC afin de mieux comprendre leurs rôles et responsabilités en matière de sécurité, a-t-elle déclaré.

VIDÉO RECOMMANDÉE

Parmi les autres mesures :

— des communications internes continues et des campagnes de sensibilisation à la sécurité sur les rôles et responsabilités en matière de sécurité de tous les employés de la GRC ;

— un modèle de gouvernance interne pour la sécurité des technologies de l’information est en cours de création, avec des considérations à court, moyen et long terme ;

— dans la mesure du possible, la GRC consolide et limite le nombre de zones de haute sécurité dotées de réseaux classifiés au strict minimum en fonction des besoins opérationnels partout au Canada;

Contenu de l’article

— au sein de la force, la sécurité départementale est désormais un programme autonome au sein des services de police spécialisés, ce qui rehausse sa visibilité interne, et le chef de la sécurité est désormais membre de l’équipe de haute direction;

– et un programme de gestion des risques internes est en cours d’élaboration pour aider à prévenir de manière proactive les problèmes de sécurité interne.

La GRC a confiance dans son processus actuel de contrôle de sécurité, a déclaré Breton. Elle a noté que le processus en plusieurs étapes comprend la vérification des études et de l’emploi, des vérifications de crédit, des vérifications de casier judiciaire, des enquêtes open source, des entretiens et des enquêtes sur le terrain.

« À mesure que le paysage des risques et des menaces évolue, la GRC s’engage à examiner et à renforcer continuellement ses pratiques de sécurité afin de protéger les informations, les biens et les employés sous sa responsabilité », a-t-elle ajouté.

Ces efforts surviennent au milieu des efforts déployés par la communauté de la sécurité nationale pour contenir les fuites d’informations classifiées au cours de la dernière année concernant des allégations d’ingérence étrangère dans les affaires canadiennes. La GRC a lancé une enquête criminelle sur ces violations, qui comprend la divulgation de documents classifiés produits par le Service canadien du renseignement de sécurité.

Contenu de l’article