Sélection de la langue

Recherche

Gendarmerie royale du Canada

Examen spécial du contrat entre la GRC et Sinclair Technologies

Rapport final
Juin 2023

Sur cette page

  1. Liste des acronymes et abréviations
  2. Sommaire
  3. Réponse de la direction
  1. Cadre de l’examen
  2. Aperçu du processus d’acquisition
  3. Observations et recommandations
  4. Conclusion
  5. Recommandations
  1. Annexe A – Description de l’équipement de filtrage de radiofréquences
  2. Annexe B – Autres processus de sécurité
  3. Annexe C – Plan d’action de la direction
  4. Notes de bas de page

Liste des acronymes et abréviations

AI
Cote d’accès aux installations
CFA
Cote de fiabilité approfondie
CPIT
Comité permanent de l’industrie et de la technologie
DGS
Direction générale de la surveillance
DOC
Demande d’offre à commandes
EMS
État-major supérieur
ESN
Exception relative à la sécurité nationale
GAMA
Gestion des acquisitions, du matériel et de l’actif
GI-TI
Gestion de l’information et technologie de l’information
ICA
Intégrité de la chaîne d’approvisionnement
LVERS
Liste de vérification des exigences relatives à la sécurité
MAI
Moyens antitechniques d’intrusion
PA
Programme des approvisionnements
PCIE
Participation, contrôle et influence de l’étranger
RF
Radiofréquence
SCT
Secrétariat du Conseil du Trésor
SDSM
Sous-direction de la sécurité ministérielle
SPAC
Services publics et Approvisionnement Canada
SRN
Services radio nationaux
TI
Technologie de l’information
VIEE
Vérification interne, Évaluation et Examen
VOD
Vérification d’organisation désignée

Sommaire

Contexte

Sinclair Technologies est une entreprise d’équipement de communication qui conçoit et fabrique de l’équipement de radiofréquence (RF). Sa société mère, Norsat International, a été acquise par la société chinoise de télécommunications Hytera Communications en 2017. Le gouvernement chinois détient environ 10 p. 100 des parts de la société Hytera Communications par l’intermédiaire d’un fonds d’investissement.

Une offre à commandes attribuée par Services publics et Approvisionnement Canada (SPAC) à Sinclair Technologies pour l’acquisition d’équipement de communication a attiré l’attention des médias et été l’objet d’un examen attentif de la part des élus parlementaires en décembre 2022, en raison des liens entre le fournisseur et le gouvernement chinois. La GRC a suspendu l’offre en décembre 2022 afin d’examiner, à la demande du ministre de la Sécurité publique, certains aspects de l’offre à commandes (notamment la façon dont le marché a été accordé) et d’atténuer les risques potentiels.

Par la suite, l’État-major supérieur (EMS) de la GRC a demandé que le personnel de Vérification interne, Évaluation et Examen (VIEE) procède à un examen de la diligence raisonnable exercée dans les processus d’acquisition et de sécurité qui ont donné lieu à l’offre à commandes et aux contrats avec Sinclair Technologies afin de vérifier que les évaluations et les protocoles de sécurité étaient appropriés et de tirer des enseignements de cette situation.

Objectif et portée de l’examen

L’examen avait pour objectif de faire une évaluation indépendante des processus d’acquisition et de sécurité (y compris la détermination des exigences et les mesures de sécurité) qui ont donné lieu à l’offre à commandes de SPAC et aux contrats de la GRC avec Sinclair Technologies relatifs à l’équipement de RF et d’autre équipement, afin d’assurer qu’une diligence raisonnable a été exercée et que les précautions appropriées ont été prises. Les leçons apprises, s’il y a lieu, devaient aussi être examinées et consignées. L’examen portait sur les éléments et les actions relevant des pouvoirs, des processus et de la gestion de la GRC.

Plus précisément, l’examen consistait à évaluer les processus ayant donné lieu à l’offre à commandes attribuée à Sinclair Technologies pour l’acquisition d’équipement de RF et d’autre équipement ainsi qu’à trois commandes subséquentes en 2021 et 2022.note de bas de page 1 L’examen ne portait que sur les éléments relevant de la responsabilité de la GRC.

Observations générales et conclusion

La GRC a respecté les politiques et procédures applicables dans le cadre de l’attribution à Sinclair Technologies de l’offre à commandes relative à l’équipement de filtrage de RF. Bien que les experts en la matière aient confirmé que l’équipement visé par l’offre représente un risque faible et ne compromet pas les communications protégées selon l’utilisation qu’en fait la GRC, certaines leçons et possibilités d’amélioration ont été relevées en vue de mieux prendre en compte et définir les exigences de sécurité dans les processus d’acquisition. Ces améliorations nécessiteront de collaborer avec les organismes centraux et d’autres ministères. C’est pourquoi la GRC devrait élaborer une directive ou mettre des mesures en place afin de s’assurer que les exigences en matière de sécurité de la GRC sont décrites dans les contrats, de remédier aux lacunes de sécurité entourant la Liste de vérification des exigences relatives à la sécurité (LVERS) et de déterminer les circonstances où des contrôles de sécurité additionnels sont nécessaires.

Prochaines étapes

La réponse et le plan d’action de la direction à l’égard du présent rapport témoignent de la détermination des cadres supérieurs à donner suite aux conclusions et recommandations découlant de la vérification. L’équipe de la Vérification interne de la GRC suivra l’évolution de la mise en œuvre du plan d’action de la direction.

Réponse de la direction

Gestion générale et Contrôle appuie les conclusions de l’examen spécial. La GRC dispose d’une solide structure de gouvernance et de surveillance qui est conforme aux exigences des politiques d’acquisition du Secrétariat du Conseil du Trésor. La GRC continuera de se conformer aux politiques et procédures en vigueur et s’engage à collaborer avec les intervenants internes et externes afin de renforcer les procédures et de protéger la population canadienne et ses intérêts dans les processus d’acquisition.

Samantha Hazen, dirigeante principale des Finances

Les Services de police spécialisés appuient les conclusions de l’examen spécial. La GRC applique des procédures d’examen rigoureuses pour protéger la population canadienne et les intérêts de cette dernière. Elle continuera de respecter les politiques et procédures en place et collaborera avec les intervenants internes et externes à l’appui des constatations énoncées dans le présent rapport, puisque la responsabilité en cette matière revient à Services publics et Approvisionnement Canada.

Bryan Larkin, sous-commissaire, Services de police spécialisés

1. Cadre de l’examen

1.1. Contexte

Sinclair Technologies est une entreprise d’équipement de communication qui conçoit et fabrique de l’équipement de radiofréquence (RF). Sa société mère, Norsat International, a été acquise par la société chinoise de télécommunications Hytera Communications en 2017. Le gouvernement chinois détient environ 10 p. 100 des parts de la société Hytera Communications par l’intermédiaire d’un fonds d’investissement.

En octobre 2021, Services publics et Approvisionnement Canada (SPAC) a attribué, au nom de la GRC, une offre à commandes à Sinclair Technologies d’une valeur maximale estimée à 550 000 $ pour l’acquisition d’équipement de RF.note de bas de page 2 Plus d’information sur l’équipement de RF se trouve à l’annexe A.

Une offre à commandes attribuée par Services publics et Approvisionnement Canada (SPAC) à Sinclair Technologies pour l’acquisition d’équipement de communication a attiré l’attention des médias et été l’objet d’un examen attentif de la part des élus parlementaires en décembre 2022, en raison des liens entre le fournisseur et le gouvernement chinois. La GRC a suspendu l’offre en décembre 2022 afin d’examiner, à la demande du ministre de la Sécurité publique, certains aspects de l’offre à commandes (notamment la façon dont le marché a été accordé) et d’atténuer les risques potentiels.

Par la suite, l’État-major supérieur (EMS) de la GRC a demandé que le personnel de Vérification interne, Évaluation et Examen (VIEE) procède à un examen afin d’assurer qu’une diligence raisonnable a été exercée et d’obtenir une vue d’ensemble indépendante des processus d’acquisition et de sécurité qui ont donné lieu à l’offre à commandes et aux contrats avec Sinclair Technologies, dans le but de veiller à ce que les évaluations et les protocoles de sécurité appliqués étaient appropriés et de tirer des enseignements de la situation. Les équipes des Services radio nationaux (SRN) et des Moyens antitechniques d’intrusion (MAI) de la GRC ont inspecté un système de filtrage de RF récemment acquis auprès de Sinclair Technologies et l’ont soumis à des tests techniques. Aucune préoccupation en matière de sécurité n’a été relevée. L’équipe de VIEE a pris connaissance du rapport et des résultats, mais compte tenu des exigences techniques spécialisées de ces tests, elle n’avait pas l’expertise nécessaire pour vérifier de façon indépendante les résultats de l’inspection et des tests menés par les SRN. En décembre 2022, la Sous-direction de la sécurité ministérielle (SDSM) a consulté le Centre de la sécurité des télécommunications du Canada (CSTC), qui estime que l’équipement de filtrage de RF ne compromet pas les communications chiffrées selon l’utilisation qu’en fait la GRC. De plus, la GRC a été invitée à comparaître devant le Comité permanent de l’industrie et de la technologie (CPIT) le 30 janvier 2023. À cette occasion, la dirigeante principale des Finances et le sous-commissaire aux Services de police spécialisés (SPS) ont répondu à des questions sur le contrat accordé à Sinclair Technologiesnote de bas de page 3

1.2. Objectif

L’examen avait pour objectif de procéder à une évaluation indépendante des processus d’acquisition et de sécurité (y compris la détermination des exigences et les mesures de sécurité) qui ont donné lieu à l’offre à commandes de SPAC et aux contrats de la GRC avec Sinclair Technologies relatifs à l’équipement de RF et d’autre équipement, afin d’assurer qu’une diligence raisonnable a été exercée et que les précautions appropriées ont été prises. Les leçons apprises, s’il y a lieu, devaient aussi être examinées et consignées. L’examen portait sur les éléments et les actions relevant des pouvoirs, des processus et de la gestion de la GRC.

1.3. Portée

L’examen consistait à évaluer les processus ayant donné lieu à l’offre à commandes accordée à Sinclair Technologies pour l’acquisition d’équipement de RF et d’autre équipement ainsi qu’à trois commandes subséquentes en 2021 et 2022.note de bas de page 4 L’examen ne portait que sur les éléments relevant de la responsabilité de la GRC.

1.4. Méthodologie

L’examen de l’acquisition d’équipement de RF auprès de Sinclair Technologies a été effectué en trois phases : la planification, l’examen et le compte rendu.

Dans le cadre de la planification, des réunions ont été tenues avec des cadres supérieurs en vue de lancer l’examen, d’en élaborer le mandat, de recueillir les documents initiaux auprès des clients et de formuler les stratégies d’enquête pour la phase de l’examen. Cette phase consistait aussi à faire de la recherche et à réaliser des consultations sur les politiques et procédures internes et externes qui s’appliquaient.

L’examen a comporté l’étude de documents pertinents au dossier d’acquisition et des entrevues avec les principaux secteurs d’activité liés au processus d’acquisition ayant donné lieu à l’offre à commandes attribuée à Sinclair Technologies. Les experts en la matière consultés faisaient partie des secteurs suivants :

  • les SRN de la GRC;
  • la Gestion des acquisitions, du matériel et de l’actif (GAMA) de la GRC;
  • la SDSM de la GRC;
  • la Direction générale de la surveillance (DGS) de SPAC;
  • le Programme des approvisionnements de SPAC.

Finalement, la phase de compte rendu a consisté à rédiger le rapport final et à consulter des intervenants pour valider les faits.

1.5. Énoncé de conformité

La mission d’examen est conforme aux normes applicables du Cadre international de référence des pratiques professionnelles de l’Institut des auditeurs internes et de la Directive sur la vérification interne du Conseil du Trésor, comme en font foi les résultats du programme d’assurance et d’amélioration de la qualité. 

2. Aperçu du processus d’acquisition

2.1. Lancement du processus d’acquisition

Le processus d’acquisition à la GRC débute quand un besoin est constaté par un secteur d’activité de la GRC. Un expert en la matière de l’organisation, aussi appelé responsable technique, détermine les exigences techniques et de sécurité pour le processus d’acquisition. Le responsable technique définit les exigences techniques liées aux biens et aux services nécessaires et les consigne dans un énoncé des besoins ou un énoncé des travaux. Le responsable technique envoie ensuite le dossier à la GAMA. Ce dossier comprend l’énoncé des besoins ou des travaux, un formulaire de demande, une liste de vérification des exigences relatives à la sécurité (LVERS) et une Demande d’approbation préalable de biens et services de TI, si les biens et services sont considérés comme des éléments de TI. L’agent des acquisitions de la GAMA chargé du dossier détermine la meilleure stratégie d’acquisition ou le mécanisme de passation des marchés approprié. Les acquisitions dont la valeur dépasse les pouvoirs d’approbation de la GRC sont déléguées à SPAC, qui agit comme autorité contractante. Le personnel de SPAC examine les documents fournis et consulte l’agent des acquisitions et le responsable technique de la GRC pour clarifier les besoins et obtenir des documents supplémentaires, au besoin.

2.2. Évaluation de sécurité

Les exigences relatives à la sécurité sont évaluées au début du processus d’acquisition. Tout d’abord, le responsable technique évalue les risques au moyen de la LVERS, un document fort important dans la détermination des exigences relatives à la sécurité. La LVERS et les documents d’acquisition connexes sont examinés par la SDSM de la GRC, qui tient compte du personnel, de la GI-TI et des risques pour la sécurité matérielle et formule des recommandations sur le niveau de sécurité approprié. Si la SDSM recommande des exigences en matière de sécurité, elle doit fournir à la GAMA un guide qui explique les mesures de sécurité que doit prendre le fournisseur dans l’exécution du contrat. Si aucune exigence n’est recommandée, ce sera indiqué dans les formulaires de demande et aucune disposition relative à la sécurité ne figurera dans le contrat. La LVERS dûment remplie est signée par les représentants de la GAMA et de la SDSM et par le responsable technique, puis versée dans le dossier d’approvisionnement remis à SPAC, si celui-ci agit comme autorité contractante. Si la LVERS contient des exigences relatives à la sécurité pour une acquisition dont SPAC est responsable, la Direction générale de la surveillance (DGS) de SPAC fera un examen de la LVERS ainsi que de l’énoncé des besoins ou des travaux et de tout autre document pertinent et pourrait recommander d’autres mesures de sécurité, conformément à son mandat de responsable de la sécurité. La DGS de SPAC rédigera aussi les clauses de sécurité qui doivent se trouver dans l’offre à commandes et les commandes subséquentes (contrats). Après l’évaluation de la sécurité vient le processus de sollicitation.

Les employés de la SDSM et de SPAC consultés ont signalé que le formulaire de la LVERS date de 2004 et que les questions qu’il contient comportent des lacunes (p. ex., infonuagique, cybersécurité et autres éléments de nature délicate liés à la sécurité nationale). Il serait utile d’actualiser le formulaire en fonction des risques modernes à la sécurité. De plus, ce formulaire est utilisé par tous les ministères du gouvernement et ne tient donc pas compte de certaines subtilités liées aux processus de sécurité de la GRC (voir l’art. 3.2 ci-dessous pour plus d’information sur le sujet).

2.3. Sollicitation évaluation et attribution

À cette étape, une méthode d’approvisionnement est choisie. Lorsque la méthode privilégiée est une offre à commandes, les besoins sont consignés dans une demande d’offre à commandes (DOC) qui renferme les directives à l’intention des fournisseurs potentiels, le fondement de l’évaluation, les exigences techniques et les clauses contractuelles. La DOC est affichée sur le site du Service électronique d’appels d’offres du gouvernement. Quand la période de soumission se termine, le responsable technique de la GRC évalue l’aspect technique des soumissions reçues afin de déterminer si elles sont conformes aux exigences établies. Le SPAC évaluera les autres aspects, comme les prix.

L’offre à commandes est attribuée à un fournisseur conformément à la méthode de sélection décrite dans la DOC. Avant d’attribuer une offre à commandes pour toute acquisition de plus de 10 000 $, SPAC doit procéder à une vérification liée au Régime d’intégrité, conformément à la Politique d’inadmissibilité et de suspension de SPAC. Cette vérification permet de déterminer si le fournisseur est suspendu ou autrement inadmissible à recevoir le contrat, s’il est accusé ou a été déclaré coupable d’une infraction figurant sur la liste dans la politique.note de bas de page 5 Si la vérification ne relève aucun problème, l’offre à commandes est attribuée au soumissionnaire retenu. L’offre à commandes n’est pas un contrat. Il s’agit d’une offre déposée par un fournisseur éventuel qui propose de fournir, au besoin, des biens ou des services à des prix préétablis, selon des clauses et des conditions prédéfinies. Aucune obligation contractuelle n’existe tant qu’un utilisateur autorisénote de bas de page 6 passe une commande subséquente à l’offre à commandesnote de bas de page 7

2.4. Commandes subséquentes

Une commande subséquente à l’offre à commandes est préparée en vue d’obtenir des biens ou des services. La commande subséquente doit être conforme aux exigences décrites dans l’offre, y compris les utilisateurs admissibles de l’offre à commandes, les articles énumérés et leur prix, le prix de la main-d’œuvre et les exigences de sécurité, au besoin. Les commandes subséquentes doivent être faites conformément à la délégation de pouvoirs d’un utilisateur, donc normalement moins de 10 000 $ à la GRC, à l’exception du personnel des Acquisitions de la GRC.

Conformément à la Loi sur la gestion des finances publiques (LGFP), la signature en vertu de l’article 32 est apposée sur le formulaire de demande par le client, qui confirme que les fonds sont disponibles. Une fois que le contrat est exécuté par le fournisseur et qu’une facture est reçue, la signature en vertu de l’article 34 de la LGFP doit être apposée pour confirmer que les biens et services ont été reçus conformément au contrat.

3. Observations et recommandations

3.1. Conformité

Dans l’ensemble, la GRC a respecté les politiques et procédures applicables pour établir l’offre à commandes, mais certains problèmes représentant un risque faible ont été relevés dans l’une des trois commandes subséquentes.

L’équipe d’examen ont effectué plusieurs tests afin de déterminer si l’offre à commandes et les commandes subséquentes (contrats) étaient conformes aux politiques pertinentes. Il a été déterminé que la GRC avait respecté les exigences applicables énoncées à l’article 2, c’est-à-dire la vérification des formulaires requis pour l’acquisition et la sécurité, l’obtention des approbations appropriées et la consultation. De plus, une vérification dans le cadre du Régime d’intégrité a été effectuée par SPAC.

Trois commandes subséquentes de la GRC, passées avant la suspension de l’offre en décembre 2022, ont aussi été évaluées en fonction des politiques et des exigences prévues dans l’offre à commandes. L’équipe d’examen a déterminé que les activités liées à deux des trois commandes étaient entièrement conformes, mais que celles liées à la troisième commande n’étaient que partiellement conformes, car certains biens achetés (évalués à environ 5 700 $) ne figuraient ni dans les annexes de l’offre ni dans les listes de prix. Les commandes subséquentes doivent être conformes à l’offre à commandes; par conséquent, ces biens auraient dû être achetés séparément. Cette non-conformité n’est pas considérée comme un problème grave, puisque ces biens ne représentent qu’un risque faible et auraient pu être achetés indépendamment de l’offre à commandes à titre de dépenses autorisées d’employés dans les divisions ou les secteurs d’activités.

Bien qu’il soit important que les utilisateurs comprennent les exigences de l’offre à commandes et s’assurent que les commandes subséquentes sont conformes aux conditions du marché, aucune recommandation à cet égard n’était justifiée dans le contexte de l’examen.

3.2. Sécurité des contrats de la GRC

La sécurité a été prise en compte par la GRC dans le cadre du processus d’acquisition. Toutefois, il serait utile d’élaborer une directive ou de mettre des mesures en place afin de s’assurer que les exigences de sécurité propres à la GRC sont incluses dans les documents relatifs aux marchés et qu’elles sont communiquées aux utilisateurs des offres à commandes et aux parties prenantes clés. De plus, il faudrait combler les lacunes liées aux exigences de la GRC dans la LVERS et mettre en place des mesures d’atténuation jusqu’à ce que la LVERS soit modernisée par les ministères responsables.

L’examen a révélé que des consultations ont eu lieu entre la GAMA, la SDSM et les SRN pour établir les exigences en matière de sécurité pour l’offre à commandes attribuée à Sinclair Technologies en 2021. À la suite de consultations entre la GRC et SPAC, ce dernier n’avait aucune exigence en matière de sécurité à imposer dans l’offre à commandes, puisqu’aucune option dans la LVERS ne s’appliquait à l’équipement de filtrage de RF. Cependant, la SDSM a déterminé qu’une cote d’accès aux installations de niveau 2 (AI2) avec escorte serait requise, étant donné que les fournisseurs de service pourraient devoir accéder aux installations de la GRC. Le filtrage de sécurité pour l’AI est effectué par la GRC pour toute personne dont les fonctions ou les tâches nécessitent l’accès à des installations de la GRC. Les titulaires de la cote d’AI ne sont pas autorisés à accéder à des systèmes, des biens, des installations ou des renseignements protégés ou classifiés. La cote d’AI2 est interne à la GRC et ne figure ni dans la LVERS ni dans la Norme sur le filtrage de sécurité du SCT. Par conséquent, aucune exigence en matière de sécurité n’a été indiquée dans la LVERS et dans l’offre à commandes de SPAC, puisque la GRC est entièrement responsable des exigences liées à ces cotes d’accès. Les entrevues auprès du personnel de la GRC et de SPAC ont révélé que le formulaire de la LVERS ne permet pas de saisir certaines subtilités des processus de sécurité de la GRC, puisqu’il est utilisé par tous les ministères du gouvernement. Les entrevues ont aussi révélé que la LVERS est désuète. Par conséquent, ce pourrait être l’occasion d’examiner la LVERS afin de déterminer si elle convient aux exigences de sécurité modernes et de s’assurer que des mesures d’atténuation sont en place.

La SDSM de la GRC a effectué les vérifications de sécurité et une cote AI2 a été accordée à six employés de Sinclair Technologies, au cas où des travaux sur place seraient nécessaires. Jusqu’à présent, la situation ne s’est pas présentée. L’exigence de réaliser une vérification de sécurité pour les cotes AI2 n’a toutefois pas été incluse dans l’offre à commandes ou dans l’énoncé des besoins. Il est donc possible que le personnel de la GRC ne soit pas au courant de cette exigence au moment de passer des commandes subséquentes, ce qui peut accroître le risque que les mesures de sécurité voulues ne soient pas appliquées. L’inclusion de toutes les exigences de sécurité dans les documents relatifs au marché permettrait de clarifier les attentes en matière de sécurité pour le personnel de la GRC et le fournisseur.

Il est recommandé que la SDSM et la GAMA, en consultation avec d’autres ministères du gouvernement concernés :

  1. élaborent une directive et mettent des mesures internes en place pour veiller à ce que les exigences en matière de sécurité de la GRC soient incluses dans les prochains contrats et offres à commandes;
  2. mettent en place des mesures d’atténuation, où il est nécessaire, pour combler les lacunes liées aux exigences de la GRC dans la LVERS, étant donné que ce formulaire appartient aux organismes centraux et ne relève pas de la responsabilité de la GRC.

3.3. Autres processus de sécurité externes

D’autres processus de sécurité liés aux acquisitions pourraient être appliqués dans certaines circonstances. Des directives doivent être établies pour déterminer dans quelles circonstances il faut demander d’autres processus de sécurité, comme une évaluation de la participation, du contrôle et de l’influence de l’étranger, une évaluation de l’intégrité de la chaîne d’approvisionnement ou une exception relative à la sécurité nationale.

L’examen a permis de relever plusieurs autres processus et mesures de sécurité qui peuvent être appliqués à un marché, mais l’acquisition d’équipement de filtrage de RF ne satisfaisait pas aux critères d’application. Parmi ces autres processus et mesures de sécurité, citons l’évaluation de la participation, du contrôle et de l’influence de l’étranger (PCIE), l’évaluation de l’intégrité de la chaîne d’approvisionnement (ICA), l’exception au titre de la sécurité nationale (ESN), la vérification d’organisation désignée (VOD) ou l’attestation de sécurité d’installation (ASI) et ****************** (plus d’information sur ces processus et mesures se trouve à l’annexe B). Bien que la GRC puisse donner son avis sur certains de ces processus de sécurité, d’autres ministères du gouvernement en sont les principaux responsables.

Des critères précis doivent être satisfaits pour lancer une évaluation de PCIE ou de l’ICA ou une demande d’ESN, mais aucun de ces processus n’a été nécessaire selon les exigences de l’offre à commandes attribuée à Sinclair Technologies. Ces processus peuvent aussi être demandés au cas par cas, à la suite de consultations entre l’équipe des acquisitions et les agents de sécurité de la GRC et leurs homologues du ministère responsable du processus voulu. Ces processus de sécurité supplémentaires peuvent avoir des incidences importantes sur les opérations, puisqu’ils peuvent prolonger le processus d’acquisition. Bien que la GRC ait utilisé certains processus (évaluations de PCIE ou de l’ICA ou ESN) par le passé, aucune directive officielle dans ses manuels et politiques ne précise les circonstances dans lesquelles ces processus doivent être demandés pour des acquisitions qui ne correspondent pas aux critères établis. La GRC n’a ni pouvoir ni responsabilité en ce qui a trait à la VOD et ******************.

Il est recommandé que la SDSM et la GAMA, en consultation avec d’autres ministères concernés, élaborent des directives internes ou améliorent les directives existantes relatives aux mesures et processus de sécurité supplémentaires (comme les évaluations de PCIE ou de l’ICA ou les ESN) et définissent les circonstances dans lesquelles ces processus doivent être demandés dans le cadre des acquisitions de la GRC.

4. Conclusion

La GRC a respecté les politiques et procédures applicables dans le cadre de l’attribution de l’offre à commandes à Sinclair Technologies pour l’acquisition d’équipement de filtrage de RF. Bien que les experts en la matière aient confirmé que l’équipement visé par l’offre ne compromet pas les communications protégées selon l’utilisation qu’en fait la GRC, certaines leçons et possibilités d’amélioration ont été relevées dans le but de mieux prendre en compte et définir les exigences de sécurité dans les processus d’acquisition à l’avenir.

5. Recommandations

Les politiques et processus liés aux acquisitions et à la sécurité du gouvernement relèvent de la responsabilité de différents ministères et sont hors du contrôle de la GRC. Par conséquent, une vaste collaboration gouvernementale en vue de moderniser la législation, les politiques et les outils en place est nécessaire pour faciliter les prochaines acquisitions qui pourraient avoir une incidence sur la sécurité nationale. Entre-temps, la GRC peut atténuer le risque en prenant des mesures internes temporaires, notamment :

1. La SDSM et la GAMA devraient, en consultation avec d’autres ministères du gouvernement concernés :

  1. élaborer une directive et mettre des mesures internes en place pour veiller à ce que les exigences en matière de sécurité de la GRC soient incluses dans les prochains contrats et offres à commandes;
  2. mettre en place des mesures d’atténuation, si nécessaire, pour combler les lacunes liées aux exigences de la GRC dans la LVERS, étant donné que ce formulaire appartient aux organismes centraux et ne relève pas de la responsabilité de la GRC.

2. La SDSM et la GAMA devraient, en consultation avec d’autres ministères concernés, élaborer des directives internes ou améliorer les directives existantes relatives aux mesures et processus de sécurité supplémentaires (comme les évaluations de PCIE ou de l’ICA ou les ESN) et définir les circonstances dans lesquelles ces processus doivent être demandés dans le cadre des acquisitions de la GRC.

Annexe A – Description de l’équipement de filtrage de radiofréquencesnote de bas de page 8

Tous les sites radio sont sensibles aux interférences de radiofréquence (RF) et en créent. Aux sites radio, des filtres de RF s’interposent entre les antennes sur la tour et les radios bidirectionnelles dans l’abri, rejetant les interférences des transmetteurs à proximité pour ne laisser passer que les fréquences voulues vers les radios de la GRC. La plupart des filtres de RF sont des assemblages non électrifiés de boîtes en fer blanc, de tiges métalliques, de blocs de ferrite magnétiques et de câbles coaxiaux. Certains comportent des amplificateurs à transistors pour amplifier les signaux entrants faibles. Les tiges permettent de syntoniser les boîtes en fer blanc sur des fréquences précises et sont utilisées dans des équipements de radiodiffusion, de communications sans fil et de télédiffusion. L’équipement sert à optimiser l’efficacité du système radio et à réduire les interférences sur le fonctionnement des services à proximité comme les cellulaires, les téléavertisseurs et les satellites. Une fois installé et réglé, l’équipement ne bouge plus pendant des décennies habituellement.

Les filtres de RF n’échangent pas de données avec d’autres équipements; ils ne servent qu’à bloquer les signaux parasites. L’équipement de filtrage de RF n’est pas en mesure d’accéder aux radiocommunications de la GRC et ne pose donc aucun problème de sécurité.

Les filtres de RF offrent plusieurs avantages :

Les antennes radio sont des dispositifs passifs qui ne sont utilisés que pour deux raisons :

  1. envoyer des signaux radio d’un transmetteur à des employés sur le terrain;
  2. recevoir des signaux radio et les transmettre par liaison filaire à des récepteurs radio.

Une antenne est considérée comme passive parce qu’elle ne fait que transmettre les signaux entrants à d’autres appareils. Les antennes de RF ne posent aucun problème de sécurité lié à l’accès aux données ou à l’information vocale puisqu’elles ne font que rediriger de l’énergie. Elles sont installées sur des tours et des toits, où elles restent habituellement pendant des décennies et demandent peu d’entretien, à part une inspection périodique afin de vérifier que les boulons sont bien serrés et que les câbles sont scellés.

Annexe B – Autres processus de sécurité

Évaluation de la participation, du contrôle et de l’influence de l’étranger

Dans le cadre de ses programmes de sécurité et de surveillance, SPAC peut offrir aux secteurs du gouvernement des évaluations de la participation, du contrôle et de l’influence de l’étranger (PCIE). Le processus vise à évaluer la participation, le contrôle et l’influence que pourraient avoir des intérêts étrangers sur une organisation canadienne. Ces évaluations peuvent être demandées par un secteur de programme lorsqu’elles sont justifiées selon la politique, en raison d’une clause d’approvisionnement ou d’une exigence réglementaire ou législative. Ces évaluations nécessitent un fondement stratégique, contractuel, réglementaire ou législatif parce qu’elles font partie d’un processus participatif où une partie tierce doit être encouragée, par la perspective d’un gain économique par exemple, ou appelée par la loi à participer à l’évaluation afin qu’elle soit fructueuse.

Lorsqu’elles sont employées dans le contexte du Programme de sécurité des contrats (PSC) de SPAC, ces évaluations permettent de cerner et d’atténuer le risque que des tiers non autorisés exercent une influence indue sur une organisation canadienne dans le but d’accéder à des renseignements et à des biens gouvernementaux classifiés.note de bas de page 9 Aux fins de l’administration du PSC, SPAC est responsable du processus d’évaluation de la PCIE. La GRC ne peut pas mener sa propre évaluation, même si elle est l’autorité contractante de ce marché. Pour qu’une évaluation de la PCIE soit nécessaire, une entité doit avoir besoin d’accéder à des communications, à des renseignements ou à des systèmes classifiés étrangers, de l’OTAN ou pour des questions de COMSEC. L’acquisition de l’équipement de filtrage de RF ne satisfaisait pas aux critères d’une évaluation de la PCIE. Une telle évaluation n’aurait pas été la mesure appropriée pour contourner toute menace à la chaîne d’approvisionnement.

Intégrité de la chaîne d’approvisionnement

Les évaluations de l’intégrité de la chaîne d’approvisionnement (ICA) permettent d’évaluer des produits et services des technologies de l’information et de la communication (TIC) qui seront utilisés dans l’infrastructure du gouvernement du Canada. Ces évaluations ont pour objectif de protéger la confidentialité, l’intégrité et la disponibilité des communications et des données du gouvernement du Canada en favorisant la résilience contre les vulnérabilités et les compromissions de la chaîne d’approvisionnement.note de bas de page 10 Le Centre canadien pour la cybersécurité (CCS) est responsable du processus. Chaque évaluation de l’ICA s’applique à un produit et est lancée au cas par cas. L’acquisition d’équipement de filtrage de RF ne satisfaisait pas aux critères d’une évaluation de l’ICA.

Exception relative à la sécurité nationale

L’exception relative à la sécurité nationale (ESN) permet au Canada de soustraire un achat à certaines ou à l’ensemble des modalités d’un accord commercial pertinent afin de protéger ses intérêts en matière de sécurité nationale.note de bas de page 11 À la GRC, la nécessité d’avoir recours à l’ESN est normalement soulevée par le responsable technique, en consultation avec la GAMA et la SDSM. S’il est justifié d’obtenir une telle exception, une demande est envoyée à SPAC, qui est responsable de la traiter et de l’approuver. L’acquisition d’équipement de filtrage de RF ne satisfaisait pas aux critères d’une ESN.

Vérification d’organisation désignée

La vérification d’organisation désignée (VOD) est une attestation de sécurité qui vise à évaluer la fiabilité d’une organisation qui doit accéder à des renseignements ou à des biens Protégé A ou B. L’obtention d’une attestation de VOD permet à l’organisation de demander le filtrage de sécurité pour ses employés ou des contractants en vue de l’obtention de cotes de fiabilité ou, dans des circonstances exceptionnelles, des cotes d’accès aux sites.note de bas de page 12 SPAC est responsable de la VOD et la GRC n’a ni pouvoir ni responsabilité en lien avec ce processus. **********************, l’offre à commandes pour l’équipement de filtrage de RF a été attribuée à l’entreprise en 2021, car l’offre et les commandes subséquentes n’étaient visées par aucune exigence relative à la sécurité qui aurait pu nécessiter la vérification de la sécurité de l’entreprise par l’autorité contractuelle avant l’attribution du contrat.

*******************************

Annexe C – Plan d’action de la direction

Les politiques et processus liés aux acquisitions et à la sécurité du gouvernement relèvent de la responsabilité de différents ministères et sont hors du contrôle de la GRC. Par conséquent, une vaste collaboration gouvernementale en vue de moderniser la législation, les politiques et les outils en place est nécessaire pour faciliter les prochaines acquisitions qui pourraient avoir une incidence sur la sécurité nationale. Entre-temps, la GRC peut atténuer le risque en prenant des mesures internes temporaires, notamment les suivantes :

Recommandation 1er

La SDSM et la GAMA devraient, en consultation avec d’autres ministères du gouvernement concernés :

  1. élaborer une directive ou mettre des mesures internes en place pour veiller à ce que les exigences en matière de sécurité de la GRC soient incluses dans les prochains contrats et offres à commandes;
  2. mettre en place des mesures d’atténuation, si nécessaire, pour combler les lacunes liées aux exigences de la GRC dans la LVERS, étant donné que ce formulaire appartient aux organismes centraux et ne relève pas de la responsabilité de la GRC.

Plan d’action de la direction

Accepté. La SM soumet dorénavant les contrats à des examens plus minutieux pour s’assurer que les contrôles appropriés sont en place, sous réserve de l’adoption d’une orientation stratégique et de processus plus officiels comme il est décrit ci-dessous.

  1. En collaboration avec la GAMA, la SM lancera un projet pilote pour l’examen des exigences en matière d’acquisition d’équipement et de technologies de nature délicate pour des services d’application de la loi qui ne requièrent actuellement pas de formulaire LVERS (lorsque les biens ou les services ne sont pas considérés comme classifiés). En se fondant sur les résultats du projet pilote, la GRC pourra évaluer les risques et les processus en vue d’élaborer des directives ciblées ou les mesures de contrôle nécessaires. L’objectif est de veiller à ce que les exigences relatives à la sécurité soient respectées plus systématiquement au cours des activités d’acquisition futures.
  2. En s’appuyant sur les résultats du projet pilote susmentionné, la SM, en consultation avec la GAMA, élaborera et mettra en œuvre des directives et des contrôles supplémentaires au besoin pour corriger les lacunes sur le formulaire LVERS actuel.

Date d’achèvement

  1. Le projet pilote devrait être achevé à l’été 2023.
  2. L’examen et l’évaluation des résultats, de même que l’élaboration des directives et des contrôles améliorés, seront achevés d’ici décembre 2023.

Postes responsables

Dirigeant principal de la Sécurité et directeur général, Gestion des acquisitions, du matériel et de l’actif

Recommandation 2

La SDSM et la GAMA devraient, en consultation avec d’autres ministères concernés, élaborer des directives internes ou améliorer les directives existantes relatives aux mesures et processus de sécurité supplémentaires (comme les évaluations de PCIE ou de l’ICA ou les ESN) et définir les circonstances dans lesquelles ces processus doivent être demandés dans le cadre des acquisitions de la GRC.

Plan d’action de la direction

Accepté, sous réserve de la reconnaissance de la capacité limitée de la GRC à diriger le changement dans ce domaine. Néanmoins, la GRC est soucieuse de soutenir les améliorations apportées aux contrôles de sécurité dans le cadre des activités d’acquisitions du gouvernement.

La GRC fera appel à d’autres ministères du gouvernement afin de collaborer à des processus de sécurité améliorés pour les activités d’acquisition du gouvernement. Des discussions préliminaires au sujet de ces recommandations ont été amorcées avec le Secrétariat du Conseil du Trésor (SCT), Sécurité publique et Services publics et Approvisionnement Canada (SPAC). L’aide d’autres partenaires du milieu de la sécurité et du renseignement au gouvernement du Canada a également été sollicitée pour examiner des solutions possibles, des pratiques exemplaires que l’on pourrait adopter et des leçons que l’on pourrait tirer de ce genre d’exercice. La GRC organisera ensuite deux réunions : une avec des représentants de SPAC pour faire part des résultats de l’examen et formuler des avis en tant qu’organisme client; et une avec des représentants du SCT pour faire part des lacunes relevées au cours de l’examen et formuler des avis sur les améliorations qui pourraient être apportées à la LVERS.

De plus, des cadres supérieurs de la GRC prennent part à des discussions sur des processus et des contrôles de sécurité liés à l’acquisition d’équipement et de technologies de nature délicate pour des services d’application de la loi à l’occasion de forums de mobilisation du gouvernement du Canada, notamment aux réunions du Comité consultatif sur la gestion de la fonction publique (CCGFP).

Selon le fruit de ces discussions et les résultats du projet pilote (recommandation 1), la SM et la GAMA élaboreront des documents présentant des directives relatives à des processus et à des mesures de sécurité supplémentaires pour les programmes de la GRC. Ces documents décriront les situations où des évaluations de la participation, du contrôle et de l’influence de l’étranger (PCIE) ou de l’intégrité de la chaîne d’approvisionnement (ICA) ou une exception au titre de la sécurité nationale (ESN) sont nécessaires et préciseront clairement toutes les étapes du processus d’acquisition.

Date d’achèvement

  1. On prévoit que les réunions avec les ministères gouvernementaux et les forums de cadres supérieurs seront terminés d’ici septembre 2023.
  2. Les directives destinées aux programmes de la GRC devraient être prêtes d’ici décembre 2023.

Postes responsables

Dirigeant principal de la Sécurité et directeur général, Gestion des acquisitions, du matériel et de l’actif

Notes de bas de page

Note de bas de page 1

OC no M7594-210528/001/HN et commandes subséquentes nos 7255017, 7260562 et 7257258.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

« RCMP suspends contract with China-linked company » | CBC News

Retour à la référence de la note de bas de page 2

Note de bas de page 3

CPIT – Contrat attribué à Sinclair Technologies (noscommunes.ca)

Retour à la référence de la note de bas de page 3

Note de bas de page 4

OC no M7594-210528/001/HN et commandes subséquentes nos 7255017, 7260562 et 7257258.

Retour à la référence de la note de bas de page 4

Note de bas de page 5

https://www.tpsgc-pwgsc.gc.ca/ci-if/politique-policy-fra.html

Retour à la référence de la note de bas de page 5

Note de bas de page 6

L’offre à commandes comprend une liste des utilisateurs désignés au sein du ministère qui sont autorisés à passer des commandes subséquentes.

Retour à la référence de la note de bas de page 6

Note de bas de page 7

https://achatsetventes.gc.ca/pour-les-entreprises/vendre-au-gouvernement-du-canada/le-processus-d-approvisionnement/offres-a-commandes#10

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Description fournie par les Services de police spécialisés de la GRC.

Retour à la référence de la note de bas de page 8

Note de bas de page 9

https://www.tpsgc-pwgsc.gc.ca/esc-src/msc-csm/chap3-fra.html#s33

Retour à la référence de la note de bas de page 9

Note de bas de page 10

https://www.cyber.gc.ca/fr/orientation/la-cybersecurite-et-la-chaine-dapprovisionnement-evaluation-des-risques-itsap10070

Retour à la référence de la note de bas de page 10

Note de bas de page 11

https://achatsetventes.gc.ca/politiques-et-lignes-directrices/guide-des-approvisionnements/section/3/105

Retour à la référence de la note de bas de page 11

Note de bas de page 12

https://www.tpsgc-pwgsc.gc.ca/esc-src/organisation-organization/information-fra.html

Retour à la référence de la note de bas de page 12

Date de modification :