Un rapport de vérification interne publié l’an dernier soulignait déjà l’importance d’une révision régulière des attestations de sécurité des employés de la GRC.

La GRC peine à mettre à jour les attestations de sécurité de ses employés

La Gendarmerie royale du Canada (GRC) essayait désespérément de tenir à jour les attestations de sécurité de son personnel au moment où un de ses officiers supérieurs du renseignement tentait, selon la Couronne, de révéler des secrets «à une entité étrangère ou à un groupe terroriste».

Un rapport de vérification interne, publié discrètement l’an dernier, soulignait déjà l’importance d’une révision régulière des attestations de sécurité des employés de la GRC, afin de se prémunir précisément contre une telle menace de trahison.

Les vérificateurs ont constaté que toutes les sections de la GRC responsables de ces attestations de sécurité affichaient «un arriéré important» de mises à jour, ainsi qu’un arriéré moins important de nouvelles autorisations et de mises à niveau.

Dans l’ensemble, l’audit a permis de conclure que les risques et les lacunes minaient l’efficacité du programme d’attestation de sécurité pour les quelque 30 000 employés, 25 000 sous-traitants et plus de 17 000 bénévoles de la police fédérale dans plus de 700 communautés au pays.

Cette vérification interne, achevée en 2016 et rendue publique sous forme caviardée l’année dernière, revêt une pertinence nouvelle depuis l’arrestation de Cameron Jay Ortis, un responsable du renseignement de la GRC.

M. Ortis, âgé de 47 ans, était directeur général du Centre national de coordination du renseignement de la GRC lors de son arrestation le 12 septembre. Il est accusé d’avoir violé trois articles de la Loi sur la protection de l’information ainsi que deux dispositions du Code criminel, notamment une accusation d’abus de confiance. La Couronne soutient qu’il a tenté de divulguer des informations secrètes à une entité étrangère ou à un groupe terroriste, qui n’est pas précisé.

La commissaire de la GRC, Brenda Lucki, a déclaré que les allégations contre M. Ortis, si elles s’avéraient, étaient «extrêmement perturbantes» car cet officier supérieur avait accès aux renseignements fournis par des services alliés, au pays et à l’étranger.

M. Ortis a fait vendredi une troisième et brève comparution devant le tribunal, par visioconférence. Il doit revenir devant le tribunal vendredi prochain, une fois que la Couronne aura communiqué à la défense davantage d’informations sur l’affaire. Une date d’audience pour sa demande de libération sous caution pourra alors être fixée.

Attestation «ultra-secrète»

«L’une des nombreuses questions soulevées dans l’affaire Ortis est de savoir quelles mesures de sécurité à l’interne ont échoué ou auraient pu échouer», estime Wesley Wark, expert du renseignement à l’Université d’Ottawa. «La question des attestations de sécurité et de la surveillance de la sécurité doit être au coeur des préoccupations.»

Une attestation de sécurité «ultra-secrète» implique un filtrage supplémentaire, qui comprend notamment un test polygraphique. Ces cotes de fiabilité et autorisations sont en général valables pour 10 ans, mais les autorisations «ultra-secrètes» doivent être mises à jour tous les cinq ans.

Mme Lucki a déclaré en conférence de presse le 17 septembre que M. Ortis détenait une autorisation «ultra-secrète» valide, mais qu’il n’avait pas subi de test polygraphique.

La GRC a refusé de préciser à La Presse canadienne, cette semaine, à quel moment M. Ortis, qui a joint la police fédérale en 2007, avait subi sa plus récente mise à jour de sécurité.

Le cas de Jeffrey Paul Delisle, un officier de la Marine qui a plaidé coupable en 2012 d’avoir remis des documents secrets à la Russie, démontre que le système n’est pas parfait. Le professeur Wark note que l’autorisation «ultra-secrète» de M. Delisle avait expiré en 2011, mais qu’il avait toujours accès à des bases de données sensibles.

À la suite de cette affaire Delisle, le gouvernement fédéral avait adopté en 2014 de nouvelles normes en matière de contrôle de sécurité. On a notamment introduit un nouvel élément, le concept de «suivi», qui oblige le personnel de sécurité du ministère et les autres membres du personnel à surveiller et à signaler tout changement dans la situation personnelle d’un employé qui serait susceptible de susciter des préoccupations en matière de sécurité, souligne le professeur Wark.

On parle par exemple d’abus de drogues ou d’alcool, de changements soudains dans la situation financière de l’employé, d’expressions de soutien aux opinions extrémistes ou d’absences fréquentes et inexpliquées.