L’examen de la GRC demande des changements pour renforcer la sécurité intérieure
Un examen confidentiel de la GRC, mené après l’arrestation d’un cadre supérieur pour avoir prétendument divulgué des informations classifiées, demande qu’un changement fondamental dans la culture de sécurité de la police nationale soit mené aux plus hauts niveaux.
Le rapport récemment divulgué fait 43 recommandations, y compris des mises à jour de la formation, un respect plus strict des normes fédérales de filtrage de sécurité et l’introduction possible de fouilles physiques aléatoires.
L’examen « confirme des lacunes dans les pratiques de sécurité de la GRC qui pourraient être comblées ou du moins réduites », indique un message dans le rapport des coprésidents de l’exercice.
« La posture de sécurité de la GRC peut et doit être améliorée afin de réduire les risques pour la GRC et de protéger la sécurité publique », lit-on.
L’examen, dirigé par un surintendant à la retraite de la GRC, fait suite à l’arrestation en septembre 2019 de Cameron Jay Ortis, qui était alors directeur général du Centre national de coordination du renseignement de la force.
Ortis est accusé d’avoir enfreint la loi sur la sécurité de l’information en révélant prétendument des secrets à un destinataire anonyme, ainsi que d’abus de confiance et d’infraction informatique. Un procès est prévu l’année prochaine.
L’examen, ordonné par la commissaire de la GRC Brenda Lucki, a examiné les facteurs organisationnels et les problèmes de sécurité liés au personnel, aux paramètres physiques et à la technologie de l’information, ainsi que la «menace interne» au sein de la force.
Le rapport qui en a résulté, achevé en juin 2020, n’a été divulgué que récemment à La Presse canadienne en réponse à une demande d’accès à l’information déposée il y a 19 mois.
Plusieurs parties du document de 78 pages ont été jugées trop sensibles pour être publiées.
Le rapport indique qu’un plan de gestion était en cours d’élaboration pour déterminer comment la force pourrait apporter des changements. En réponse à des questions sur les progrès réalisés sur des mesures spécifiques, la GRC a indiqué que l’effort est toujours en cours.
« La GRC s’est engagée à donner suite aux recommandations découlant de l’examen, ce qui donne à l’organisation l’occasion de moderniser nos pratiques et notre posture en matière de sécurité », a déclaré la porte-parole de la Gendarmerie royale, Robin Percival.
« Nous continuons d’examiner et d’adapter notre posture de sécurité pour protéger les informations, les actifs et les personnes de la GRC compte tenu de l’évolution constante du paysage auquel est confrontée une force de police nationale. »
L’équipe d’examen s’est appuyée sur les connaissances d’experts de l’ensemble de la GRC et a examiné des vérifications, des évaluations et des dossiers d’incidents de sécurité antérieurs.
Il a également examiné les informations de l’enquête sur Ortis, connue sous le nom de Project Ace, sur la base du « besoin de savoir », indique le rapport.
Ces informations ont été complétées par 53 entretiens avec des employés qui ont permis à l’équipe « d’étudier les violations qu’Ortis est soupçonné d’avoir perpétrées, ce qui, à son tour, a informé les efforts pour identifier les vulnérabilités ».
Cependant, certaines personnes n’ont pu être interrogées afin de préserver l’intégrité de l’enquête criminelle.
Parmi les principales conclusions du rapport :
— la formation de sensibilisation à la sécurité n’était pas obligatoire à la GRC, et la formation qui existait était désuète;
— une attitude omniprésente selon laquelle les restrictions de sécurité étaient quelque chose qu’il fallait contourner pour faire le travail ;
— bien que la GRC ait traité les demandes de mise à jour et de mise à niveau des autorisations de sécurité, des ressources limitées ont été affectées à l’examen des nouvelles embauches, ce qui a entraîné des retards et des arriérés concernant les mises à jour pour les employés actuels ;
— un manque de normes sur la gestion des actifs des technologies de l’information, y compris les dispositifs de stockage portables ;
— l’autorisation d’accès à des systèmes informatiques, comme le Réseau canadien très secret, était accordée même lorsque les fonctions d’un employé n’exigeaient pas d’accès;
— un sentiment que les employés étaient réticents à signaler les incidents de sécurité parce qu’ils avaient peur des conséquences pour eux-mêmes ou pour leurs collègues ; et
— des facteurs au niveau de l’organisation, y compris de mauvaises pratiques de gestion, une communication inefficace entre les différents secteurs de la GRC et une croyance persistante que les contrôles de sécurité existants étaient suffisants, ont contribué à « la création de possibilités d’exploitation ».
Le rapport souligne que les allégations contre Ortis n’ont pas été prouvées devant les tribunaux. Mais l’équipe d’examen a conclu qu’il était capable de gagner et de conserver la confiance d’un certain nombre de hauts dirigeants.
« Le niveau de confiance et de confiance qu’Ortis a recueilli semble avoir fait en sorte que les signes d’avertissement courants de menace interne qui ont fait surface bien avant l’arrestation d’Ortis ont été manqués. »
Le rapport indique que la prétendue violation d’Ortis pourrait inciter des partenaires précieux à refuser à la GRC l’accès à des documents sensibles essentiels à la lutte contre le crime, à la protection de la sécurité publique et à la préservation de la sécurité nationale.
« L’effort et le coût pour rétablir l’accès et les capacités perdus peuvent être considérables », indique le rapport.
À ce titre, il était important d’entreprendre un examen interne critique non seulement des grands problèmes de sécurité, mais aussi de l’environnement à l’intérieur de la GRC qui « a été un facteur critique dans le déroulement des événements ».
Le rapport recommandait de nombreux changements, notamment des mesures pour :
— renforcer le rôle et l’influence du chef de la sécurité de la GRC;
— mettre en œuvre dans toute la mesure du possible la norme du Conseil du Trésor sur le filtrage de sécurité;
— développer des solutions de formation obligatoires spécifiques pour faire face aux menaces internes et accroître les connaissances et la sensibilisation aux responsabilités en matière de sécurité ;
— demander au ministère de la Justice de fournir des conseils sur la manière d’effectuer des contrôles de sécurité physiques aléatoires ;
— consolider au strict minimum le nombre de zones de haute sécurité dotées de réseaux et d’emplacements d’impression classifiés ;
— procéder à une analyse des postes nécessitant l’accès au Réseau canadien Top Secret;
— intégrer dès le départ des contrôles de sécurité physique dans les futurs bâtiments ;
— créer un nouveau centre de décision sur les menaces internes au sein de la direction de la sécurité du ministère ;
— élaborer un programme pour fournir une assurance continue de la fiabilité d’un individu lorsque cela est justifié ;
— mettre en place un moyen en ligne pour soumettre un rapport d’incident de sécurité anonyme ; et
— mettre à jour les formulaires d’autorisation de sécurité pour inclure les vulnérabilités et les pressions auxquelles les employés de la GRC peuvent être confrontés.
« La grande majorité des employés de la GRC sont dévoués et loyaux mais, comme le démontrent les actions présumées d’Ortis, nous ne pouvons plus faire confiance sans vérifier régulièrement », indique le message des coprésidents de l’examen.
Le rapport révèle que les enquêtes criminelles et administratives et divers processus internes déclenchés par l’affaire Ortis « ont entraîné des millions de dollars de coûts supplémentaires » pour une force qui lutte pour respecter les éléments de police de base de son mandat.
Il conclut que la mise en œuvre des recommandations doit se faire « en conjonction avec un changement clair dans la culture de sécurité de la GRC dirigée par le plus haut échelon de l’organisation ».
Mais le rapport prévient qu’il est impossible de supprimer tous les risques de sécurité.
« Même lorsque la GRC a pris des décisions prudentes en matière de risque, mis en place les contrôles de sécurité appropriés et permis une culture de sécurité solide et consciente des risques, elle ne peut pas complètement se protéger des employés qui prennent des décisions individuelles pour utiliser leurs connaissances, leurs privilèges et leurs droits d’accès. pour contourner ces contrôles et nuire à l’organisation et aux Canadiens. »
Ce rapport de La Presse canadienne a été publié pour la première fois le 30 octobre 2022.