37-1
37e législature,
1re session
(29 janvier 2001 - 16 septembre 2002)
Choisissez une session différente
Délibérations du comité sénatorial permanent de la
Défense et de la sécurité
Fascicule 2 - Témoignages pour la séance de l"après-midi
OTTAWA, le jeudi 19 juillet 2001 Le Comité sénatorial permanent de la défense et de la sécurité se réunit aujourd'hui à 14 h 15 pour faire une étude préliminaire des principales questions de défense et de sécurité qui touchent le Canada en vue de la préparation d'un plan de travail détaillé pour des études plus poussées. Le sénateur Colin Kenny (président) occupe le fauteuil. [Traduction] Le président: Mesdames et messieurs, bonjour. Si vous permettez, je crois savoir que certaines personnes qui suivent les délibérations de notre comité à la télévision ou sur Internet ont téléphoné pour adresser des questions à des membres du comité. Nous ne sommes pas organisés pour répondre à ces questions. La télévision est simplement un point de contact pour obtenir un complément d'information et le site Web est aussi un point de contact pour obtenir des renseignements sur d'autres réunions du comité et pour publier occasionnellement des renseignements comme le compte rendu des témoignages. Ceux ou celles qui sont intéressés par les travaux du comité sont invités à communiquer avec nous par la poste et nous nous ferons un plaisir de leur répondre. Maintenant, je vais céder la parole à nos témoins d'aujourd'hui qui sont M. James Harlick, sous-ministre adjoint, Bureau de la protection des infrastructures essentielles et de la protection civile au ministère de la Défense nationale. À ce titre, M. Harlick conseille et assiste la sous-ministre déléguée sur les questions stratégiques et opérationnelles, sur les responsabilités du gouvernement concernant la gestion des mesures d'urgence et la protection des infrastructures essentielles. M. Harlick a occupé récemment les postes de directeur général, Groupe de travail du ministère de la Défense nationale sur la protection des infrastructures essentielles, ainsi que le poste de directeur général, Groupe de coordination et de planification de l'an 2000 au Bureau du Conseil privé. M. Harlick nous entretiendra du rôle du Bureau de la protection des infrastructures essentielles et de la protection civile. Il est accompagné de M. Gary O'Bright qui travaille au Centre de la sécurité des télécommunications depuis 1975 où il a occupé plusieurs postes. En 1991, il a suivi des cours au Collège de la Défense nationale à Kingston, après quoi il est devenu directeur de la planification stratégique au Centre et en 1995, directeur de la Gestion ministérielle. En août 1997, M. O'Bright a été nommé directeur du Groupe des services stratégiques et de la sécurité de la technologie de l'information. En avril 2000, il s'est joint au groupe de travail du gouvernement sur les infrastructures essentielles et en 2001 il a assumé son poste actuel de directeur, Opérations générales, Bureau de la protection des infrastructures essentielles et de la protection civile. Nous accueillons également M. Alan Bartley, directeur général, Planification des politiques et disponibilité opérationnelle au Bureau de la protection des infrastructures essentielles et de la protection civile. Auparavant, il était directeur de la Politique en matière de sécurité au ministère du Solliciteur général du Canada. Il a également été membre du Service canadien du renseignement de sécurité avant d'entrer au ministère du Solliciteur général. Ancien journaliste, M. Bartley possède un doctorat en science politique de l'Université McGill. M. James Harlick, sous-ministre adjoint, Bureau de la protection des infrastructures essentielles et de la protection civile, ministère de la Défense nationale: Monsieur le président, je vais vous lire ma déclaration, et je répondrai ensuite aux questions. Monsieur le président, mesdames et messieurs les membres du comité, je suis heureux de m'adresser à vous aujourd'hui. Comme le président, le sénateur Kenny, l'a signalé, mes collègues MM. Bartley et O'Bright m'accompagnent. Je me suis dit qu'ils pouvaient apporter une contribution remarquable aux délibérations d'aujourd'hui compte tenu des responsabilités que chacun occupe au Bureau. J'aimerais profiter de l'occasion pour, premièrement, vous relater les origines du Bureau. Deuxièmement, j'aimerais vous parler des perspectives en matière de protection des infrastructures essentielles et de protection civile au Canada. Troisièmement, j'aimerais vous décrire la relation du Bureau avec le ministère de la Défense nationale et le ministère et les organismes du portefeuille du Solliciteur général. Je vous parle de ces deux ministères parce que vous avez entendu hier les témoignages de représentants du ministère de la Défense nationale, dont nous sommes partie, et ce matin, de représentants du portefeuille du Solliciteur général. Le nouveau Bureau est un organisme civil situé au sein du ministère de la Défense nationale, ayant pour mandat d'assurer le leadership national en matière de gestion de la protection des infrastructures essentielles et de protection civile. Le Bureau relève de la sous-ministre déléguée au ministère de la Défense nationale, Mme Margaret Purdy. Je vais d'abord vous parler des origines du nouveau Bureau et de ses premières interventions en matière de protection des infrastructures essentielles. Le travail gouvernemental sur la protection des infrastructures essentielles remonte à 1996, lorsque des fonctionnaires de l'appareil canadien de sécurité et de renseignement ont effectué un examen préliminaire des incidences de la révolution informationnelle pour le Canada. Cet examen découlait de l'apparition de graves préoccupations au sujet de la menace d'une guerre de l'information, ou d'une guerre électronique, comme on l'appelait à l'époque. L'une des principales conclusions de cet examen a été que le gouvernement du Canada devait moderniser son programme d'identification et de protection des installations les plus importantes du pays, c'est-à-dire les installations dont dépendent les services les plus essentiels. L'examen concluait que la technologie de l'information avait transformé la nature et la configuration de ces installations et que les efforts de protection du Canada n'étaient pas demeurés à la hauteur. Le gouvernement des États-Unis en était arrivé à la même conclusion, à peu près au même moment. La Commission présidentielle sur la protection de l'information essentielle révélait en 1997 qu'il fallait établir des mesures d'urgence pour protéger les intérêts vitaux des États-Unis contre les nouvelles cybermenaces et vulnérabilités. En 1998, au Canada, nous étions prêts à mettre de l'avant des propositions précises sur la façon d'aborder le défi de la protection des infrastructures essentielles. Toutefois, nous avons reporté ce projet pour faire un excellent travail sur le défi du bogue informatique de l'an 2000. Nous n'aurions pu nous concentrer simultanément sur ces deux projets avec succès, compte tenu du niveau des ressources qu'ils auraient exigées et de la participation des mêmes intervenants. Tout compte fait, nous croyons avoir pris la bonne décision. Le report s'est effectué sans problème important et nous avons grandement profité du séquencement après l'an 2000. Nous avons maintenant une vue plus claire de la nature de nos infrastructures nationales essentielles. L'an 2000 a fait ressortir notre dépendance à l'égard de cette infrastructure et nous en a appris beaucoup au sujet des interdépendances et des vulnérabilités connexes. Nous avons également amorcé des relations avec le secteur privé, en particulier avec les secteurs de l'énergie, des télécommunications, des banques et des transports. En outre, nous avons établi des liens plus solides avec les provinces et les territoires et avec nos plus importants partenaires étrangers. Au début de l'an 2000, peu après la fermeture du dossier du bogue de l'an 2000, le gouvernement créait un groupe de travail pour une durée d'un an, chargé de préparer des propositions détaillées sur la protection des infrastructures essentielles. Le groupe de travail avait pour mandat de conseiller les ministres sur le rôle permanent que le gouvernement devrait jouer, le cas échéant, pour protéger les infrastructures essentielles du pays. Le groupe de travail a adopté une approche générale, plus générale que celle prise aux États-Unis, qui était centrée sur la menace de cyberattaques malveillantes. Le groupe de travail a adopté une définition des infrastructures essentielles établie en l'an 2000, à savoir: les systèmes, installations et réseaux dont une panne ou une défectuosité affecterait gravement la santé, la sécurité et le bien-être économique des Canadiens et des Canadiennes, ou qui sont essentiels au fonctionnement efficace des gouvernements dans ce pays. Les infrastructures essentielles du Canada existent dans six secteurs hautement interdépendants. Le premier est l'énergie et les services publics. Le deuxième, les transports, dans ses quatre modes, soit le transport par air, par eau, par rail et sur terre. Les communications, qui incluent les télécommunications et l'Internet, constituent le troisième secteur. Le quatrième est la sécurité, y compris la sécurité nucléaire, la recherche et le sauvetage. Le cinquième secteur est les services, y compris les services financiers, alimentaires et sanitaires et le sixième groupe est le secteur du gouvernement, c'est-à-dire les services essentiels que tous les paliers de gouvernement offrent aux citoyens et aux citoyennes. Le groupe de travail a effectué une recherche approfondie et a mené des consultations au Canada et auprès de collègues internationaux. Il a conclu que les infrastructures essentielles du Canada, dans leurs dimensions matérielle et cybernétique, couraient des risques accrus au XXIe siècle. Je vais maintenant vous parler des menaces aux infrastructures essentielles. Des accidents matériels graves et des catastrophes naturelles continueront de se produire, ce qui aura des répercussions sur nos infrastructures matérielles et entraînera des conséquences importantes pour les Canadiennes et les Canadiens. Le Canada a connu au moins 30 catastrophes importantes au cours des cinq dernières années. Au cours des années à venir, des déversements dangereux, des incendies et d'autres accidents industriels continueront de se produire, tout comme des événements météorologiques violents. De 1996 à 1998, trois événements météorologiques, soit l'inondation du Saguenay au Québec en 1996, l'inondation de la rivière Rouge au Manitoba en 1997 et la crise du verglas en Ontario et au Québec en 1998, ont entraîné des coûts de plus de 5 milliards de dollars, pour les travaux de réparation et de récupération. Le gouvernement du Canada à lui seul a fourni 1,5 milliard de dollars aux provinces sous forme d'aide financière en cas de catastrophe. Pendant que les planificateurs des mesures d'urgence du Canada concentraient leurs efforts sur des désastres matériels et naturels, une nouvelle série de menaces à nos infrastructures essentielles faisait son apparition, des menaces axées sur la cybernétique en ce sens qu'elles exploitent la technologie de l'information et les télécommunications, qu'elles ont une incidence sur cette technologie et ces télécommunications et sur notre dépendance envers ces dernières. Tous nos services essentiels reposent sur la technologie de l'information, qui apporte de toutes nouvelles vulnérabilités. L'Internet manque de maturité, de sécurité et de stabilité. Les personnes qui élaborent des logiciels commerciaux de série se préoccupent souvent davantage d'être des leaders sur le marché plutôt que d'examiner minutieusement leurs produits pour détecter les pannes aléatoires et des défectuosités qui peuvent les rendre vulnérables. Et parce que nous avons tendance à tous opter pour les mêmes séries de logiciels populaires, ces défectuosités et pannes aléatoires peuvent se répandre rapidement et avoir des conséquences négatives importantes. Une série d'outils cybernétiques peuvent exploiter ces vulnérabilités. Les virus, les vers, les trappes troyennes font déjà partie de notre vocabulaire et de notre vie quotidienne. Si vous utilisez un ordinateur à la maison ou au travail, vous reconnaîtrez l'importance des références à Melissa, au Love Bug, toutes des cyberattaques graves qui ont touché les utilisateurs de l'informatique dans le monde entier depuis 1999. Il est peu probable que la situation change: les outils du piratage informatique sont facilement disponibles; ils sont peu coûteux ou pire encore, gratuits, et faciles à utiliser - et les criminels les utilisent avec de plus en plus de dextérité. Les anciennes menaces prennent une nouvelle forme. La technologie révolutionne les milieux du crime, de l'espionnage et du terrorisme. Les ordinateurs, Internet, le cryptage de données et tout l'éventail des outils de communication, que ce soit à l'aide de fil ou sans fil, sont tout aussi répandus dans ces milieux que dans les entreprises ordinaires. Les criminels, les terroristes et les gouvernements étrangers hostiles peuvent tirer profit de ces vulnérabilités et outils de piratage pour escroquer des personnes, des entreprises et des économies nationales, ou pour promouvoir une cause politique, ethnique ou religieuse. Bien que les agresseurs ayant des motifs précis constituent un danger réel, il en va de même pour les mordus de l'informatique qui utilisent leurs connaissances en informatique pour tenter d'attaquer, de corrompre ou de manipuler les ordinateurs ou les réseaux des autres. Ils n'ont souvent d'autre motivation que de voir jusqu'où ils peuvent pénétrer dans un réseau et combien de dommages ils peuvent causer. La plupart des cyberattaques les plus graves perpétrées au cours des trois dernières années étaient l'9uvre de pirates informatiques agissant seuls, non affiliés à un groupe organisé. Selon CanCERT, un organisme privé spécialisé dans la gestion des urgences informatiques, les attaques malveillantes contre les systèmes informatiques s'accroissent à un rythme effarant. Les statistiques canadiennes concernant les balayages et les tentatives d'attaque contre des systèmes et des réseaux révèlent une hausse du niveau d'activité de 430 p. 100, de 1999 à 2000. On prévoit que le niveau d'activité augmentera de 525 p. 100 en 2001. Les menaces sont réelles et graves. Par exemple, en Australie, un pirate informatique a modifié les mécanismes de contrôle de 100 stations de pompage, causant le débordement d'un million de litres d'eaux d'égout brutes. En février 2000, on s'en souviendra tous, l'attaque contre eBay, Yahoo, Amazon et plusieurs autres entreprises importantes basées sur Internet aurait entraîné une perte de revenus d'environ 1,2 milliard de dollars américains. Cette attaque a été perpétrée par un garçon de Montréal, âgé de 15 ans, qui utilisait le cybernom Mafia Boy. Même la puissante firme Microsoft a écopé. En octobre dernier, son réseau interne de haut niveau a été la cible d'un pirate informatique pour une période de sept à 12 jours. Les représentants de Microsoft ont admis que le pirate avait eu accès au code de source d'un produit aux premiers stades de son développement. En 2001, nous avons constaté l'apparition d'un nouveau type d'événement cybernétique, mettant en cause des personnes et des groupes s'opposant dans une lutte politique, sans nécessairement agir sous le contrôle ou la direction d'un État. Le premier événement largement diffusé mettait en cause les parties opposées du conflit israélo-palestinien, plus de 200 attaques ont été lancées, y compris la détérioration de sites Web, des attaques de déni de services et des virus, sur une période de quatre mois. Les attaques visaient le gouvernement, les entreprises et les infrastructures et elles se sont répandues au-delà du Moyen-Orient. Un autre exemple s'est produit en décembre 1999, lorsque le collectif Electrohippies, un groupe de cinq activistes du Royaume-Uni, organisa une «manifestation virtuelle» contre le site Web de l'Organisation mondiale du commerce. Au cours d'une attaque de déni de services, plus de 450 000 personnes inondèrent le site de messages électroniques, interrompant sa présence en ligne. Le même groupe tenta, avec moins de succès, de faire la même chose durant le récent Sommet des Amériques, à Québec le printemps dernier. En résumé, les menaces à nos infrastructures matérielles et informatiques essentielles mettront en danger les collectivités et les entreprises canadiennes au cours du XXIe siècle. Quatre facteurs amplifieront ces risques. Premièrement, la population, les infrastructures et la richesse du Canada sont de plus en plus concentrées dans un nombre limité de zones très vulnérables et bon nombre de ces collectivités courent des risques liés à des dangers multiples. Deuxièmement, on prévoit que le changement climatique accroîtra la fréquence et la gravité d'événements météorologiques violents. Troisièmement, les infrastructures canadiennes vieillissent et sont par conséquent plus susceptibles d'être endommagées, que ce soit par une tornade ou un attentat à la bombe terroriste. Quatrièmement, les collectivités comptent de plus en plus sur des technologies de pointe qui sont vulnérables pour les raisons déjà mentionnées. Afin de mieux préparer le Canada à relever ces défis, le premier ministre créait, le 5 février 2001, le Bureau de la protection des infrastructures essentielles et de la protection civile (BPIEPC). Dans son annonce, il a expliqué les raisons pour lesquelles des mesures de protection des infrastructures essentielles sont nécessaires. Il a déclaré ceci: «Il est indispensable de protéger l'infrastructure essentielle du Canada contre les risques de panne ou de dérangement pour assurer la santé, la sécurité et le bien-être économique des Canadiens.» M. Chrétien a souligné le rôle du gouvernement du Canada dans ce domaine: «Je suis persuadé que ces nouvelles mesures permettront au gouvernement du Canada d'assurer un leadership national sur cette importante question et garantiront que nous serons prêts à faire face aux situations d'urgence.» Et il a mentionné que le gouvernement ne pouvait accomplir ce travail seul: «Nous pourrons en outre former des partenariats solides afin d'assurer la protection de l'infrastructure nord-américaine.» Le Bureau est une approche particulière au Canada, que plusieurs autres pays songent à adopter. Il traduit l'approche «tous risques» spécifique au Canada visant à protéger les dimensions matérielle et cybernétique de nos infrastructures essentielles, peu importe la source de la vulnérabilité et de la menace. De manière significative, le Bureau englobe le mandat et les programmes de l'ancienne Protection civile Canada. Et le travail entrepris sous la direction du Bureau soutiendra directement trois autres priorités nationales importantes. La première est le commerce électronique dont le succès dépend de la confiance suffisante des utilisateurs publics dans la sécurité et la confidentialité des renseignements personnels et exclusifs fournis lors des transactions commerciales. La seconde est l'administration électronique qui dépend du développement et du maintien de la confiance des clients dans la sécurité et la confidentialité de ses systèmes et de ses réseaux sous-jacents. La troisième est la sécurité des collectivités qui exige une capacité de combattre la criminalité informatique, de maintenir les services essentiels et de réagir efficacement à tous les types de sinistres. Le nouveau Bureau a élaboré un cadre national pour assurer la protection des infrastructures essentielles et une gestion efficace des catastrophes centrée sur les cinq éléments suivants. Le premier est de faire en sorte que les infrastructures du gouvernement du Canada prêchent par l'exemple. Si l'on veut que le gouvernement du Canada assure un leadership national crédible, il faut d'abord qu'il protège adéquatement sa propre partie des infrastructures nationales essentielles et de protection civile, notamment les biens matériels comme le laboratoire de Winnipeg de catégorie 4, les immeubles abritant les systèmes et les réseaux de TI, les ponts et les barrages; les systèmes et les réseaux comme ceux qui prennent en charge les prévisions météorologiques, la recherche et le sauvetage, l'Assurance-emploi et la Sécurité de la vieillesse. Le gouvernement du Canada ne dispose pas actuellement, mais il en aura besoin, d'une «carte» complète de ses infrastructures essentielles, surtout en ce qui concerne l'aspect cybernétique, où l'on constate un manque de connaissances flagrant. Il aura besoin également d'une compréhension complète de ses interdépendances en matière de TI, de ses vulnérabilités ou de l'ensemble de sa position en matière de sécurité de la TI. Nous devons nous mettre à jour et poursuivre l'excellent travail réalisé dans ce domaine lors de la préparation au passage de l'an 2000, pour être dans une bonne position pour régler les effets graduels des pannes ou des défaillances des infrastructures. Le Bureau est en train de mettre au point une solide capacité de surveillance et de coordination 24 heures sur 24, sept jours sur sept, pour aider le gouvernement du Canada à réagir aux menaces et aux incidents qui affectent ses propres systèmes essentiels. Il est indispensable d'établir une collaboration étroite avec les centres d'autres ministères. Voici des exemples des services opérationnels et des activités du Bureau: l'échange d'information sur les menaces et les vulnérabilités; la communication d'avis de sécurité et d'alertes au moment opportun; la compilation et la diffusion des pratiques exemplaires en matière de TI; la promotion et l'adoption de solutions communes en matière de sécurité; la coordination de la réaction aux incidents cybernétiques. Ces services seront fournis en collaboration étroite avec d'autres organismes consultatifs de sécurité fédéraux clés, surtout ceux qui appartiennent au portefeuille du Solliciteur général. Nous allons améliorer ou établir des partenariats créateurs et durables. Le nouveau Bureau accordera une priorité élevée à l'amélioration des partenariats existants en matière de protection civile et créera de nouveaux partenariats en matière de protection des infrastructures essentielles, notamment avec tous les ministères et organismes fédéraux; les gouvernements provinciaux et territoriaux, ainsi que toutes les administrations municipales; les propriétaires et exploitants d'infrastructures publiques et privées et les associations d'entreprises comme la Chambre de commerce du Canada et l'Association des banquiers canadiens; des organisations non gouvernementales comme la Société canadienne de la Croix-Rouge; des organisations gouvernementales étrangères comme la Federal Emergency Management Agency, le Critical Infrastructure Assurance Office et les départements responsables des infrastructures aux États-Unis; des organismes internationaux comme l'OTAN, le G8 et l'OCDE. Le nouveau Bureau misera sur le travail solide et les réalisations de l'ancienne Protection civile Canada, en particulier dans les domaines de l'éducation et de la sensibilisation du public, pour ce qui est de l'élaboration de ses programmes. Il améliorera aussi le travail de recherche et de développement en matière de protection civile et de protection des infrastructures essentielles. Nous examinerons, par exemple, les problèmes les plus graves en matière de sécurité informatique et trouverons les meilleurs moyens de nous protéger contre ces risques. Nous améliorerons les capacités opérationnelles nécessaires. Nous devons renforcer nos capacités opérationnelles nationales d'urgence pour tenir compte du nouvel environnement des risques. Par l'entremise de son centre de surveillance et de coordination, le nouveau Bureau travaillera avec ses partenaires clés, à tous les paliers de gouvernement dans le secteur privé et à l'échelle internationale, pour améliorer l'analyse et l'échange d'information et de renseignements, la réaction aux incidents et les efforts liés aux enquêtes et aux poursuites judiciaires. Nous améliorerons le cadre stratégique existant pour notre mandat. Un défi particulier lorsqu'il s'agit de prendre des décisions éclairées concernant l'atténuation des risques et pour assurer des niveaux d'intervention adéquats lors d'incidents est l'échange d'information sur la menace et la vulnérabilité au moment opportun. Le nouveau Bureau devra évaluer si, dans le contexte canadien, les ententes relatives à l'échange d'information, peut-être fondées sur le modèle du concept de l'Information Sharing and Analysis Centre des États-Unis, peuvent être un moyen utile de promouvoir l'échange d'information avec le secteur privé. Le Bureau a déjà établi un dialogue encourageant avec certains secteurs clés dans le domaine des infrastructures sur l'échange d'information. Par exemple, le secteur bancaire canadien envisage maintenant la possibilité de créer un mécanisme d'échange d'information. Je vais maintenant vous parler des liens du Bureau avec la Défense nationale et le portefeuille du Solliciteur général. Le Bureau convient bien à la Défense nationale pour diverses raisons: premièrement, les Forces canadiennes, comme vous le savez, ont une réputation solide et positive en ce qui concerne l'aide aux Canadiens et Canadiennes lors de catastrophes, comme l'inondation au Manitoba et la crise du verglas en ont donné la preuve. Le ministre de la Défense nationale est le ministre compétent en matière de protection civile - et pour assurer le leadership dans les secteurs décrits dans la Loi sur la protection civile. Protection civile Canada était déjà bien établie au sein du MDN au moment de la création du Bureau; le ministère et les Forces canadiennes accordent une priorité élevée à la sécurité informatique et à la planification d'urgence en cas de nouvelles menaces. Nous tentons activement de repérer et de renforcer les synergies et les partenariats possibles avec les personnes du ministère et des Forces canadiennes chargées: d'identifier et de comprendre les vulnérabilités afférentes aux biens matériels essentiels et aux réseaux, systèmes et dispositifs informatiques essentiels; de comprendre l'environnement menaçant comme les menaces que représentent le piratage informatique et la guerre de l'information pour le personnel, les opérations et les installations militaires; d'effectuer des recherches en vue de régler plus efficacement les problèmes de sécurité informatique; de gérer les relations militaires bilatérales avec les États-Unis où la défense du territoire, la protection des infrastructures essentielles et la sécurité informatique constituent des priorités nationales élevées. De même, le Bureau collaborera étroitement avec le ministère du Solliciteur général, la Gendarmerie royale du Canada et le Service canadien du renseignement de sécurité. Ces relations pourraient couvrir les activités ci-dessous où le ministère et les organismes assument déjà des rôles et des responsabilités: la réaction opérationnelle, y compris l'examen des menaces et incidents, l'évaluation de la vulnérabilité et la réaction aux menaces et incidents, y compris les enquêtes criminelles et les enquêtes en matière de renseignement et de sécurité qui, bien sûr, sont menées par la GRC et le SCRS; la sensibilisation et l'établissement possible de partenariats avec les provinces et les territoires et le secteur privé; la recherche et le développement en vue de trouver des solutions à nos vulnérabilités et risques technologiques; la formation et l'éducation en vue de mieux renseigner les personnes et les organismes et de les sensibiliser à la sécurité informatique. Le Canada doit relever les nouveaux défis que j'ai décrits aujourd'hui en matière de gestion des infrastructures et des urgences. Pour y arriver, nous devons atteindre un niveau sans précédent de coopération horizontale au sein du gouvernement et à l'extérieur. Le sénateur Stratton: Monsieur Harlick, j'ai eu l'insigne honneur au début du mois dernier de rencontrer la sous-ministre déléguée, Mme Margaret Purdy. Elle a eu la gentillesse de venir à mon bureau pour me donner un aperçu de la nouvelle structure en matière de sécurité. Je félicite le gouvernement d'établir une telle structure parce que la sécurité constitue un problème réel et grave auquel nous faisons face, comme vous l'avez mentionné. Même s'il est pénible de m'entendre répéter la même chose si souvent, je suis très préoccupé par notre façon de réagir aux catastrophes naturelles, plus particulièrement aux inondations. Je vis au Manitoba, près de la rivière Rouge où, à trois reprises au cours des six dernières années, nous avons subi d'importantes inondations. Le phénomène semble se répéter de plus en plus souvent. Je m'en réfère plus particulièrement à la page 5 de votre exposé où vous évoquez ces catastrophes. Je sais que l'inondation de la rivière Saguenay en 1996 aurait pu être évitée. Corrigez-moi si j'ai tort, mais je crois que cette inondation a été causée par le mauvais fonctionnement des structures de contrôle de l'eau le long de la rivière. Les pannes d'électricité qui se sont produites lors de la crise du verglas au Québec et en Ontario seront évitées à l'avenir en accroissant la capacité des lignes de transmission. Est-ce que vous surveillez actuellement ces deux situations? Je m'inquiète également à l'idée qu'une solution au problème de la rivière Rouge, malgré les études en cours, ne sera appliquée que dans 12 à 13 ans. Est-ce que vous examinez la situation? Est-ce que vous pouvez assurer les riverains de la rivière Rouge au Manitoba qu'ils ne risquent pas de subir une autre inondation comme celle de 1997? Pouvez-vous forcer la province à réfléchir et à agir? Je vous en prie, donnez-nous un aperçu des questions de prévention touchant la région du Saguenay, le verglas et l'inondation de la rivière Rouge. Quelles mesures ont été prises pour empêcher que ces événements ne se reproduisent? M. Harlick: Je vais vous répondre de façon assez générale. Les membres du comité aujourd'hui présents savent bien, tout comme le sénateur Stratton, qui est un spécialiste dans les mesures de protection civile, que les catastrophes naturelles imprévues comme les tornades, le verglas, les inondations posent des défis particulièrement difficiles aux gouvernements et aux autres organismes d'intervention. Nous devons être prêts à réagir lorsque ces événements se produisent et à offrir notre aide pour assurer les secours. Le sénateur a mentionné le Manitoba. Dans le contexte de la protection civile, ce sont les provinces et les municipalités qui ont la responsabilité première de se préparer et de réagir aux catastrophes qui se produisent sur leur territoire. Le rôle du gouvernement fédéral, en vertu de la Loi sur la protection civile, est de veiller, là où nous le pouvons, à les aider à bien se préparer à réagir. Nos efforts nous permettent d'atteindre un niveau de préparation nationale pour faire face à ce genre de catastrophes. Permettez-moi d'aborder plus spécifiquement cette question: quelle prévention faisons-nous pour enrayer les inévitables problèmes qui se produiront? Oui, la rivière Rouge va encore déborder. Selon le rapport de la Commission mixte internationale sur l'inondation de la rivière Rouge, les gens qui vivent dans cette région sont constamment en danger. L'une des choses que j'ai omis de souligner en relation avec la protection civile et les secours, c'est l'atténuation des risques. Si on sait qu'il y aura des problèmes, quel genre de prévention pouvons-nous faire pour réduire au minimum les impacts inévitables? Le sénateur Stratton n'en a pas fait mention, mais il a prononcé le discours-programme lors de la Conférence mondiale sur la gestion des catastrophes qui s'est tenue à Hamilton dernièrement. Le lendemain, le ministre de la Défense, Art Eggleton, a annoncé la création d'une Stratégie nationale d'atténuation des catastrophes. M. Eggleton a indiqué que le gouvernement fédéral entreprendrait des consultations avec les provinces, les territoires et les intervenants non gouvernementaux pour envisager la possibilité d'élaborer une stratégie canadienne d'atténuation des catastrophes qui nous permettrait de prévoir les événements. Nous voulons faire ressortir les pratiques exemplaires, les éléments scientifiques et technologiques et de même, nous espérons, obtenir certaines ressources pour réduire au minimum l'impact de l'inévitable. M. Bartley dirigera ces consultations sur la Stratégie nationale d'atténuation des catastrophes. Avec votre permission, monsieur le président, je vais lui demander de compléter ma réponse. Le président: Le sénateur Atkins aimerait poser une question supplémentaire. Le sénateur Atkins: Est-ce que vous songez à créer un fonds de secours aux victimes de catastrophes qui servirait à équiper les forces armées ou un autre groupe? M. Harlick: Nous allons examiner cette question dans le cadre des consultations. Les gens intéressés par la question ont lancé cette idée récemment. Je vais demander à M. Bartley de répondre, mais cette question sera abordée lors des consultations. M. Alan Bartley, directeur général, Planification des politiques et disponibilité opérationnelles, Bureau de la protection des infrastructures essentielles et de la protection civile: Le sujet d'une stratégie nationale d'atténuation des catastrophes a été maintes fois soulevé. Comme le savent peut-être les honorables sénateurs, il y a eu une série de consultations régionales impliquant l'ancienne Protection civile Canada, plusieurs provinces et territoires, des organisations non gouvernementales et d'autres intervenants du secteur privé. Ils ont entrepris d'examiner les questions d'atténuation des risques qui doivent être étudiées plus à fond. Par exemple, au cours de ces discussions, on a proposé d'établir une carte des inondations, on a mentionné la gestion de l'eau et le contrôle des inondations. Oui, on en discute depuis un certain temps. Les expériences des inondations de 1996 et de 1997, certains incidents ultérieurs de moindre envergure et le projet d'indemnisation pour les plans de secours nous ont fait voir à quel point une stratégie d'atténuation des catastrophes pourrait nous aider à éviter que les citoyens, les provinces, les territoires et le gouvernement fédéral en général aient à assumer certaines dépenses de secours. C'est une question très vaste qui a des répercussions sur le plan économique. Dans les discussions qui ont eu lieu en 1998 - et nous prévoyons que les questions vont être soulevées à nouveau lors de l'exercice de consultation - certains ont proposé la création d'un fonds de secours. Nous examinons cette question dans le cadre de notre étude globale. Nous sommes conscients de l'impact que les coûts des plans de secours exercent sur le Trésor public et sur les mécanismes existants en vertu des ententes d'aide financière en cas de catastrophe pour que les provinces et les territoires aident leurs citoyens à se remettre sur pied. Il y a peut-être d'autres façons plus adéquates de régler ces problèmes, et c'est ce que nous aimerions examiner dans ce contexte. De façon plus générale, l'atténuation des risques d'inondations sera à l'ordre du jour des consultations. Nous entendrons les représentants du Manitoba, plus spécifiquement, sur certaines de leurs préoccupations à cet égard. À la fin de l'exercice de consultation, j'espère être en mesure de vous donner, ainsi qu'à d'autres, des commentaires plus spécifiques sur la façon dont nous prévoyons aborder les enjeux touchant l'atténuation des risques. Le sénateur Stratton: J'aimerais que vous fassiez preuve de gentillesse et de persuasion à cet égard, que vous exerciez une pression sur les provinces pour qu'elles prennent des mesures le plus rapidement possible. Après l'inondation de la rivière Rouge en 1950, il a fallu attendre 18 ans à partir de l'étude, des débats et enfin de la construction du système avant que le canal de dérivation ne fonctionne. Ce qui m'inquiète, c'est que quatre ans sont passés depuis l'inondation de 1997. Si nous devons étirer les choses encore 14 ans, cela m'inquiète. Une inondation comme celle de 1997 a un facteur de récurrence d'environ une fois tous les 100 ans. On pense maintenant à protéger les populations contre une inondation tous les 500 ans, au minimum, ou une inondation tous les 1 000 ans. C'est vraiment inquiétant parce que la situation ne semble tout simplement pas s'améliorer. La situation est dramatiquement inquiétante parce que lorsqu'on parle d'inondation une fois tous les deux ans, c'est important. Il ne s'agit pas ici que d'inondations qui peuvent être contrôlées par des mesures de protection, mais ce qui est grave, c'est que nous allons être frappés par une inondation de 250 ou 500 ans au cours des 14 prochaines années. Au XIXe siècle, il y avait des inondations tous les 35 ans, des inondations semblables ou supérieures à celle de 1997; il y a eu deux inondations en neuf ans, semblables ou supérieures à celle de 1997. Comme vous le savez, et vous êtes des spécialistes dans le domaine, les inondations peuvent se produire en masses. Ce qui m'inquiète, c'est que nous vivons actuellement cette situation et que nous devrons agir le plus rapidement possible. Votre aide à cet égard, et les pressions que vous exercerez pour que l'on en vienne rapidement à une conclusion sur ce que l'on essaie de faire au Manitoba, seraient appréciées. Le sénateur Banks: Monsieur Bartley, ai-je raison de dire que vous avez englobé Protection civile Canada? M. Harlick: Le Bureau de la protection des infrastructures essentielles et de la protection civile est constitué de trois organismes, dont le plus important était Protection civile Canada. Le deuxième élément qui a été intégré est le Groupe de travail sur la protection des infrastructures essentielles dont j'ai parlé dans mon exposé. Le troisième organisme, plus modeste, était le Centre de coordination de la protection de l'information du gouvernement, logé à l'Administration centrale de la GRC dans l'est d'Ottawa. Cet organisme offrait des services de coordination et d'analyse des menaces et des incidents au gouvernement fédéral pour lutter contre les problèmes ou les attaques informatiques. Ces trois éléments ont été intégrés pour former le Bureau. Le sénateur Banks: En Alberta, nous avons un réseau radiophonique public, CKUA, formé de 17 stations de radio réparties dans toute la province. Le réseau CKUA a été retenu par la province de l'Alberta et le gouvernement du Canada pour prévenir les Albertains d'une crise imminente, d'une catastrophe naturelle ou autre et, le temps de le dire, il prendra le contrôle de toutes les stations de radio en Alberta. Une bonne partie de ce plan est en place. Je suppose que ce réseau est confié au nouvel organisme ou dépend d'une contribution fédérale. Nous en sommes très heureux en Alberta parce que de cette façon, on peut joindre presque tous les Albertains en cas, par exemple, de tornade. Est-ce qu'il est prévu d'offrir ce genre de système d'alerte préalable, si je peux dire, à d'autres provinces? M. Bartley: Le système de l'Alberta est particulier à cette province. La responsabilité de ce genre de services est de compétence provinciale. Nous appuyons normalement toutes les formes d'avertissement public en cas de situations d'urgence. Le système de l'Alberta est un bon système. On a annoncé au début de la semaine qu'il s'étendra à toute la province. Nous croyons que c'est une bonne chose. Compte tenu du fait qu'il s'agit d'une compétence provinciale, à notre niveau, nous ne prévoyons pas appuyer ou encourager d'autres provinces à faire de même. D'autres provinces ont accès à la technologie et au principe de fonctionnement de ce système en particulier, mais c'est à elles de décider si elles veulent le mettre en pratique. Le sénateur Banks: J'espère sincèrement qu'elles le feront. Actuellement, le Comité sénatorial de l'énergie mène une étude sur la sécurité nucléaire. Comme pour bien des problèmes, les opinions diffèrent sur ce qui est bon et sur ce qui ne l'est pas. Avez-vous eu l'occasion de vous pencher sur la question de la sécurité nucléaire dans quelques secteurs? Peut-être voudrez-vous répondre à ces questions plus tard en communiquant avec la greffière. Premièrement, les démarches pour réactiver l'usine nucléaire en Ontario suscitent des protestations, ce qui est normal dans ce genre de projets. Après la construction de l'usine, qui est maintenant exploitée par le gouvernement de l'Ontario, l'usine de Bruce, je crois, on a découvert des failles dans le lac à proximité de cette usine. Je me demande si vous en avez été informé. Ma deuxième question est plus vaste. Nous avons entendu un témoignage troublant en ce qui concerne la sécurité nucléaire et la radiation en général. Il y a de la radiation partout, tout le temps. Il y a des gens qui déterminent le niveau acceptable de radiation qui sert de barème à tous les pays du monde, et selon lequel les organismes de réglementation nucléaire au Canada et dans d'autres pays peuvent vérifier qu'ils sont bien en deçà du niveau accepté de radiation. Or, il s'avère que c'est une commission internationale, dont tous les membres sont nommés par l'industrie nucléaire, qui détermine le niveau acceptable de radiation. Pour autant que nous sachions, il n'y a pas de médecins qui siègent à la commission, mais nous allons pousser notre recherche. On nous a dit que c'est le cas depuis la fin des années 40 ou le début des années 50. Est-ce que vous vous intéressez à la remise en état de l'usine nucléaire de l'Ontario? Êtes-vous satisfaits des mesures de réactivation? Êtes-vous d'accord? Je suis sûr que vous l'êtes sinon vous nous l'auriez dit. Deuxièmement, est-ce que le «niveau acceptable de radiation» que l'on établit en se fondant sur une analyse coûts-avantages vous inquiète? Un nombre de morts par 100 000 personnes est acceptable à cause des avantages que l'on tire du système. C'est la norme de conduite qu'utilise le monde. Je ne dis pas que le ciel est en train de nous tomber sur la tête, mais est-ce que vos analyses de la sécurité nucléaire englobent l'un ou l'autre de ces faits? M. Harlick: Je crains de ne pouvoir répondre directement à ces deux questions très judicieuses parce que nous ne nous occupons pas de sécurité nucléaire. Quand j'ai mentionné le nucléaire dans mes remarques préliminaires, je parlais des infrastructures essentielles et de leur protection. Une structure essentielle pourrait être le secteur nucléaire. Nous sommes certainement désireux de voir comment le secteur nucléaire gère ses risques parce que si les risques sont mal gérés, l'impact sur la population pourrait être alarmant. Nous abordons la question d'un point de vue légèrement différent de celui des organismes de réglementation. Le sénateur Banks: Je ne parle pas ici de réglementation. L'examen du lit du lac qui se trouve sous l'usine de Bruce a permis de déceler des failles qui étaient inconnues lorsque l'usine a été construite. On a creusé des tranchées qui ont permis aux géologues de déterminer l'âge et l'importance de ces failles. Nous nous demandons si cette étude a été terminée et quels en sont les résultats. S'ils sont connus, je n'en sais rien. Je parle précisément de ce qui pourrait être une catastrophe. Je ne peux imaginer rien de plus catastrophique. Là encore, je ne veux pas être alarmiste parce que je suis convaincu que les possibilités d'un tel accident sont de une sur un million, ou peut-être un milliard. Cependant, l'éventualité d'un tremblement de terre sous une usine nucléaire n'est pas une question de réglementation. C'est un risque qui pourrait avoir des conséquences catastrophiques et c'est le sens de la question. M. Harlick: Je comprends très bien votre inquiétude. Du point de vue de la sécurité nucléaire, notre responsabilité consisterait à gérer les conséquences d'un accident ou d'une agression nucléaire radiologique. Il existe un plan d'urgence en matière de sécurité nucléaire au gouvernement fédéral qui a été confié à Santé Canada. Nous travaillerions en étroite collaboration avec ce ministère pour nous préparer à faire face à un événement radiologique nucléaire qui menacerait la population. Tel serait notre mandat, qui n'est pas de surveiller les normes de sécurité de l'industrie nucléaire, ni d'assumer d'autres fonctions de ce genre. Le sénateur Banks: Ma question concerne la réaction: qui serait responsable? Au cours des deux derniers jours, nous avons posé beaucoup de questions à beaucoup de gens sur un grand nombre de conjonctures qui toutes se chevauchent. Je commence à m'inquiéter et à me demander qui est responsable. Si un accident se produit, qui prendra les commandes? Qui prendra les décisions? Qui donnera les ordres? Est-ce votre Bureau? M. Harlick: Non. De toute évidence, le gouvernement provincial est très impliqué dans le nucléaire... Le sénateur Banks: Mais pas dans la réglementation du nucléaire. M. Harlick: En ce qui concerne Hydro Ontario, oui. Il y a aussi des ententes fédérales sur le nucléaire, l'Office national de l'énergie, ce genre d'organisme. Le sénateur Banks: Aucune province ne réglemente la production d'énergie nucléaire. C'est le seul type de production d'énergie qui n'est pas de compétence provinciale. Cela est réglementé uniquement par un organisme fédéral. M. Harlick: Oui, par la Commission de l'énergie atomique, ce genre d'organismes ou de commissions affiliés à Ressources naturelles Canada et qui relèvent du ministre. Le sénateur Banks: En cas d'accident nucléaire, là ou ailleurs, est-ce que c'est votre organisme qui est en charge? M. Harlick: Non. Comme je l'ai dit, c'est Santé Canada qui est l'organisme fédéral responsable du plan d'urgence en matière d'énergie nucléaire. Oui, nous avons des liens très étroits avec le ministère, liens que nous assumons dans le cadre de notre rôle de soutien et de coordination. Compte tenu du caractère particulier de ce cas précis, le gouvernement a décidé d'en confier la responsabilité à Santé Canada. Normalement, nous sommes les responsables dans le cas d'autres accidents non nucléaires. Le sénateur Wiebe: Je félicite le gouvernement d'avoir pris cette initiative. Cependant, je dois dire que vous, messieurs, avez d'énormes responsabilités. Je comprends que l'objectif du Bureau sera, en grande partie, d'établir les mesures d'urgence pour un événement comme le passage à l'an 2000, si une telle catastrophe menaçait à nouveau notre pays. Dans combien de temps prévoyez-vous que le programme vous permettra de convaincre les Canadiens de ne pas s'inquiéter en cas de catastrophe? Deuxièmement, nous ne savons pas si les mesures que nous avons prises en ce qui concerne le passage à l'an 2000 ont été un succès. Ou le travail a été si formidable que rien ne s'est produit, ou rien ne devait arriver de toute façon. Nous avons eu dix ans pour nous y préparer. La prochaine catastrophe pourrait survenir dans dix minutes, ou dans un an. Nous n'aurons pas le même délai pour nous y préparer que pour assumer le passage à l'an 2000. C'est la raison pour laquelle je vous demande dans combien de temps, à votre avis, votre Bureau sera opérationnel. M. Harlick: Comme je l'ai précisé dans ma déclaration préliminaire, le passage à l'an 2000 a été très fructueux pour nous renseigner sur la protection des infrastructures essentielles. Nous en avons appris beaucoup sur le caractère essentiel et l'interdépendance des infrastructures. Le bogue de l'an 2000 était axé sur un type unique de panne - la panne du code, c'est-à-dire l'incapacité de lire la date correctement à un moment précis. Le monde de la protection des infrastructures essentielles et des attaques contre les cyberéchecs est beaucoup plus complexe que cela. En réalité, nous faisons face à ce problème depuis un certain temps et il continuera de nous menacer jusqu'à un avenir indéterminé. Il n'y a ni début ni fin. C'est un état permanent de gestion de risques. En ce sens, nous ne voulons pas nous lier indûment à l'exemple du bogue de l'an 2000. Deuxièmement, il s'agit d'un problème très complexe. Bien que le gouvernement fédéral ait déployé beaucoup d'efforts pour assurer le passage en douceur à l'an 2000, tous les autres paliers de gouvernement ainsi que les entreprises et les associations ont fait de même. Aucun particulier, aucune entité ou aucun palier de gouvernement ne pourrait régler le problème. C'est assez semblable à la protection des infrastructures essentielles. Les Américains disent que 90 p. 100 de leurs infrastructures essentielles - et j'imagine que ce serait la même chose pour nous - n'appartiennent pas au gouvernement fédéral des États-Unis, ni n'en relèvent. En ce qui nous concerne, le gouvernement fédéral est dans la même situation. Ce sont les provinces, et surtout le secteur privé, qui sont les propriétaires de ces infrastructures qui les contrôlent et les exploitent. Comme on le sait, il y a le principe de la responsabilisation. Les provinces et le secteur privé sont responsables de veiller à ce que ça fonctionne. Ça fait partie du métier, que l'on pense à la production d'électricité, au système bancaire ou aux télécommunications. C'est très difficile de répondre aux besoins. Quel est le problème? Ça pourrait être n'importe quoi, pas seulement une panne de code à un moment précis, qui ne se répéterait pas pendant plusieurs centaines d'années. Le problème est très diversifié et très étendu. Ce que le gouvernement a décidé de faire, comme l'a précisé le premier ministre dans son communiqué de presse, c'est de créer un Bureau de la protection des infrastructures essentielles et de la protection civile qui soit un noyau pour assurer le leadership national sur cette question. Cependant, ce n'est pas une solution «à toute épreuve». C'est un point de mire où le gouvernement fédéral peut rassembler toutes ses forces pour gérer nos propres systèmes de sécurité, pour dialoguer avec d'autres paliers de gouvernement et le secteur privé, pour faire preuve de collaboration afin d'aider tout le monde à se protéger et ce, en transmettant des connaissances et de l'information, en effectuant une analyse coordonnée des menaces et en assurant une réaction coordonnée aux problèmes lorsqu'ils se posent. Maintenant que le Bureau a été créé, nous sommes en voie de consolider notre capacité, en commençant par mettre de l'ordre dans les affaires du gouvernement, tout en communiquant avec les secteurs clés en matière de protection d'infrastructures essentielles au Canada pour établir avec eux des partenariats sur des fonctions d'analyse et de réaction très substantielles et concrètes. Le sénateur Wiebe: Vous êtes en train de me dire qu'en réalité, le Bureau n'est pas un programme ou un organisme qui va protéger les Canadiens contre une catastrophe naturelle? Les gouvernements provinciaux devront se débrouiller s'il s'agit d'une catastrophe régionale, et pourront compter sur une certaine collaboration de l'organisme national. S'il s'agit d'une catastrophe majeure, comme une tempête de verglas ou une inondation, on pourra peut-être demander l'aide de quelques réservistes ou des gens de l'armée. Essentiellement, nous ne coordonnerons pas les efforts ou nous n'aurons pas de plan ou de programme en place? M. Harlick: Je vous ai peut-être induit en erreur. La coordination des efforts à l'échelle nationale est l'objectif premier. C'est le rôle du Bureau. Cependant, le Bureau n'a pas de baguette magique lui permettant de tout régler. Nous devons coordonner nos efforts, comme nous l'avons fait dans le secteur des télécommunications avec le bogue de l'an 2000, afin que les provinces soient informées des problèmes et qu'elles coordonnent leurs efforts avec nous pour les régler. Elles doivent régler leurs systèmes. Nous voulons travailler avec elles pour nous assurer que c'est fait et pour leur transmettre ce que nous savons au sujet des menaces et des vulnérabilités afin de les aider à y faire face. Le sénateur Wiebe: Vous êtes incapable de me donner une date à laquelle, vous pensez, le système sera opérationnel? M. Harlick: Oui, je le peux. Est-ce que le Bureau est opérationnel aujourd'hui? Oui, il l'est. Dispose-t-il d'un programme pour faire face à une éventualité dans le cadre des services bancaires? Oui. A-t-il un programme pour le secteur électrique? Oui. Y aura-t-il une solution au problème? Le problème disparaîtra-t-il? Non. C'est là la nature de ce problème particulier en matière de cyberdéfense. Le sénateur Wiebe: Ce n'est pas très rassurant. Le sénateur Forrestall: Ça fait peur. M. Harlick: Ce n'est pas rassurant, mais on connaît la nature du problème. Le sénateur Wiebe: Connaître le problème, prendre des mesures pour le régler, donner des assurances au public que nous faisons quelque chose, cela est essentiel. Je peux reconnaître qu'il y a un problème jusqu'à ce que j'aie 400 ans, mais je dois faire quelque chose pendant ce temps pour montrer que nous sommes conscients du problème et déterminer comment nous allons l'aborder. M. Harlick: C'est exact. Je vous ai fait état du cadre national à cinq composantes qui indique la façon dont le Bureau, en partenariat avec d'autres ministères et d'autres paliers de gouvernement, et plus particulièrement avec le secteur privé, assumera le leadership national à cet égard pour régler le problème et obtenir des résultats. Le sénateur Stratton: Je voudrais faire un bref commentaire additionnel à la défense de ces messieurs. Je crois que ce nouveau Bureau fera un travail remarquable. Si on regarde ce qui s'est fait dans le passé, Protection civile Canada a accompli un travail remarquable pour combattre les inondations au Manitoba, tout comme les Forces armées. J'ai bonne confiance dans le projet en cours et j'estime qu'ils feront un bon travail si on se fie à l'histoire, et je pense qu'on doit le faire. Le sénateur Wiebe: L'histoire nous enseigne que nous pouvons être très fiers de ce que nos réservistes et les soldats réguliers ont réalisé dans le passé. Cependant, ce qui m'inquiète, à titre d'habitant de l'Ouest, c'est que la Défense nationale est en voie de centraliser énormément les postes de commande. L'Ouest possède maintenant un poste de commande à Edmonton où sont logés les hommes et l'équipement. Est-ce que nous allons nous dépouiller de plus en plus? Nous avons deux appareils Hercules qui peuvent amener les hommes et l'équipement dans une région, à la condition qu'il n'y ait pas de tempête de neige. Cela m'inquiète beaucoup, surtout quand je vois que l'intervenant clé dans tout ça sera le Bureau du ministère de la Défense nationale. Nos réservistes et nos soldats réguliers ont fait un travail remarquable, lors des trois inondations, surtout les réservistes. Moi je pense que l'on dilue trop nos forces, et c'est ce qui me préoccupe. Le sénateur Atkins: Avec le réchauffement de la planète et les modèles météorologiques actuels, il y a une région dont nous n'avons pas parlé, c'est cette région où l'on risque d'avoir des inondations tous les ans, c'est-à-dire la vallée de la rivière Saint-Jean. Depuis 1973, rien ne s'est produit, mais je le fais remarquer parce que tous les printemps, nous nous demandons si nous allons avoir de graves inondations. Celle de 1973 a été une catastrophe. En ce qui concerne les provinces, je suppose que chacune d'elles a un organisme de protection civile. Est-ce que cet organisme relève du solliciteur général ou d'un ministre désigné par le premier ministre de chaque province? Est-ce que vous travaillez avec ces organismes? Les relations vous satisfont-elles? M. Harlick: Pour revenir à votre premier commentaire au sujet de la rivière Saint-Jean, je vous dirai que dans le passé, notre Bureau a été fier de pouvoir organiser la contribution financière du gouvernement fédéral à la province du Nouveau-Brunswick pour l'indemniser d'une partie des dépenses qu'elle a engagées pour ramener la région de la rivière Saint-Jean à son état d'origine. Quant aux provinces, chacune ou chaque territoire a sa propre organisation de mesures d'urgence ou de protection civile. Chaque organisme est comptable à divers ministres, selon la province. En Ontario, c'est le solliciteur général. Ce pourrait être le ministre du Logement ou des Affaires communautaires. Peu importe le ministère responsable, nos directeurs régionaux entretiennent d'étroites relations avec les provinces et les organisations de gestion des mesures d'urgence. Nous avons un bureau dans chaque province et territoire, et tous ces bureaux sont en contact quotidien l'un avec l'autre. Et nos bureaux régionaux, par l'entremise du directeur régional, sont le principal point de contact entre le fédéral et la province en ce qui a trait à la protection civile et à la façon de traiter un incident. Les liens ont toujours été très étroits et la collaboration extrêmement bonne. Le point qu'a soulevé le sénateur Stratton tout à l'heure reflétait cette très bonne collaboration au niveau local. Le sénateur Atkins: Le sénateur Banks a soulevé une question intéressante: je suppose que s'il devait y avoir un problème nucléaire en Ontario, le gouvernement de l'Ontario serait appelé à intervenir aussi rapidement que vous. M. Harlick: La liaison se ferait directement et rapidement entre la Protection civile de l'Ontario et notre Bureau central, via notre bureau régional à Toronto. [Français] Le sénateur Pépin: Ma question porte sur les services de la technologie de l'information ainsi que des outils de piratage disponibles. Ce matin, j'ai posé une question au représentant de la GRC qui m'a dit que vous alliez probablement me fournir une meilleure réponse. Notre pays, à l'instar des autres pays industrialisés, est de plus en plus dépendant du système informatique. Après votre présentation, devrions-nous être plus inquiets avec tous ces virus électroniques qui circulent et ces attaques cybernétiques qui peuvent se produire? Pouvez-vous nous dire si, sans entrer dans les détails, les Canadiens et les Canadiennes peuvent être rassurés avec les moyens mis en place actuellement? Avez-vous déjà fait quelque chose de concret contre ces attaques? Si jamais on rendait la loi plus sévère et qu'on augmentait les peines, croyez-vous que cela dissuaderait les jeunes délinquants informatiques à attaquer les sites Internet? M. Harlick: Je pense que les Canadiens et les Canadiennes peuvent être rassurés par les efforts du gouvernement fédéral. Nous sommes en train d'implanter un plan d'action. Quant à la protection de nos ordinateurs, même personnels, chacun doit prendre ses responsabilités. Vous vous souviendrez du virus «Love Bug» qui a fait le tour du monde. Dès que l'utilisateur ouvrait l'annexe de ce message, son ordinateur était infecté. Cependant, dans les mois suivants, les autres virus n'ont pas eu le même impact parce que nous avons appris comment gérer le problème. Il ne fallait donc plus ouvrir les annexes des courriels dont on ne connaissait pas l'origine. Nous sommes en train d'apprendre comment faire face à ce genre de problèmes et comment nous pouvons mieux nous protéger. Le sénateur Pépin: Il y a un processus d'éducation et d'entraînement pour tout le monde. M. Harlick: Exactement. Il faut que les gens prennent conscience du problème et qu'ils prennent connaissance des solutions. Au sein du gouvernement fédéral, nous sommes en train d'aider les ministères et les agences à résoudre les problèmes qui se trouvent dans leur réseau cybernétique. M. O'Bright, le directeur général des opérations, et ses collègues sont chaque jour occupés à répondre aux questions et aux demandes d'aide de soutien de la part des organisations fédérales quant à des menaces et des attaques dans leur système. Également, pour protéger les infrastructures essentielles natio nales, c'est-à-dire en dehors du gouvernement fédéral, nous sommes en discussion avec les secteurs essentiels pour déterminer ce que nous pouvons faire ensemble pour protéger leur système. Nous avons eu une réunion avec le secteur de l'électricité il y a une semaine pour échanger de l'information et des conseils dans le but d'avoir une meilleure connaissance du problème. Nous allons aussi aborder des questions qui traitent de l'entraînement nécessaire pour mieux nous protéger contre les attaques et pour trouver des solutions technologiques. Vous avez également posé une question au sujet de la législation criminelle du Canada. Selon mes collègues du ministère de la Justice, les dispositions actuelles dans le Code criminel qui touchent ce genre de phénomène sont plus ou moins adéquates pour le moment. Le Parlement a adopté des amende ments au Code criminel il y a quatre ou cinq ans. Comme vous savez, nous pouvons intenter des poursuites contre «Mafia Boy» ici au Canada alors que les autorités des Philippines ne pouvaient pas le faire contre la personne qui a créé le virus «Love Bug». Cependant, les gens du ministère de la Justice sont aussi conscients qu'il faut suivre de près l'évolution de la technologie s'assurer que nos employés sont en mesure de faire face aux problèmes. Nous pouvons leur donner de l'information basée sur nos expériences. [Traduction] Le sénateur Forrestall: Est-ce que nous pourrions parler de votre structure, de la taille de votre Bureau, des coûts et du fait que vous n'êtes assujetti à aucune loi? Quoi qu'il en soit, nous voulons savoir qui vous êtes et ce que vous faites. Il nous faut nous adresser au MDN pour obtenir l'information. De quel budget disposez-vous pour les infrastructures essentielles? M. Harlick: Le budget du Bureau n'a pas encore été établi; il est à l'étude dans les hautes sphères du gouvernement. Comme je l'ai dit tout à l'heure, nous étions au départ Protection civile Canada, et maintenant, en deux petites entités, nous travaillons à partir du budget de services votés de Protection civile Canada et les ressources nous sont fournies de façon intérimaire par le ministère de la Défense nationale, en attendant une décision finale au sujet de notre budget. Le budget définitif sera disponible lorsque le ministère en fera la demande au Parlement au moment du vote sur les crédits supplémentaires. Le sénateur Forrestall: Nous ne verrons donc pas les chiffres avant? Vous êtes aussi secret que tous les autres. M. Harlick: Je ne peux prédire quels seront les chiffres. Le sénateur Forrestall: Combien de personnes prévoyez-vous engager lorsque le Bureau sera pleinement opérationnel d'ici un an? Quelle sera la taille de votre organisation? M. Harlick: Là encore, cela dépend des crédits que nous recevrons. Je dirais que nous serons entre 180 et 200 personnes, peut-être un peu plus. Le sénateur Forrestall: Prévoyez-vous être assujetti à une loi habilitante? Ou croyez-vous demeurer assujetti à la Loi sur la défense nationale? M. Harlick: Nous allons examiner la question. Notre fondement législatif actuel relève de la Loi sur la protection civile qui détermine les responsabilités du ministre responsable de la protection civile. Ces dernières années, c'était le ministre de la Défense nationale. L'ancienne Protection civile Canada, en tant que direction du ministère de la Défense nationale, tirait ses pouvoirs et son mandat de cette source. Avec l'ajout de la protection des infrastructures essentielles au mandat du gouvernement confié à notre Bureau, nous verrons s'il est souhaitable, approprié ou nécessaire que le Bureau soit assujetti à une loi habilitante. Si le Bureau est intégré au MDN et n'a pas le statut d'organisme autonome, d'après ce que je comprends, la pratique au gouvernement pourrait s'appliquer et nous ne serions pas dotés d'une loi parce que nous ferions partie d'une autre organisation et nous ne serions pas une entité distincte. Nous allons examiner la question à moyen terme. Pour l'instant, nous concentrons nos efforts sur l'embauche de personnel pour relever les défis que nous avons aujourd'hui. Le sénateur Forrestall: Combien de personnes avez-vous maintenant? M. Harlick: Pour l'instant, nous en avons environ 110 à 120. Le nombre augmente chaque jour. Le sénateur Forrestall: Est-ce que vous avez un personnel professionnel et compétent en matière d'informatique? M. Harlick: Effectivement. Si vous le voulez, je peux demander à M. O'Bright de décrire les composantes générales de sa direction parce qu'elle est responsable de l'analyse des menaces et de la réaction aux incidents. Le sénateur Forrestall: J'aimerais bien entendre ce qu'il a à dire, mais d'abord j'aimerais poser une question. Un événement critique qui se produirait dans le port de Halifax ne perturberait pas le transport ferroviaire parce que le problème peut être réglé en 72 heures. Mais si quelqu'un brouillait les connaissements de 8 000 ou 10 000 conteneurs, au point où le contenu et la destination de ces conteneurs ne puissent plus être identifiés, nous aurions un problème majeur. Cela viendrait perturber les services bancaires, irriter les directeurs et les présidents-directeurs généraux de nombreuses entreprises de tout le pays. Cela ne mettrait pas la vie de personne en danger, mais montrerait qu'il serait facile de priver le port de Halifax d'une importante activité. M. Gary O'Bright, directeur général, Opérations, Bureau de la protection des infrastructures essentielles et de la protection civile, ministère de la Défense nationale: La composante Opérations du nouveau Bureau comportera cinq éléments majeurs. Nous espérons que la synergie fonctionnera entre tous ces éléments. Un élément portera sur l'analyse des menaces et des incidents. Nous ne serons pas les premiers à recueillir les renseignements, par exemple, mais nous espérons entretenir d'étroites relations de travail avec le service de sécurité et d'autres services pour recevoir l'information. Nous allons examiner cette information plus particulièrement à la lumière de l'impact qu'elle peut avoir sur un secteur en particulier, comme le secteur ferroviaire. Quelle est la menace? D'où vient-elle et quel est son impact potentiel sur ce secteur précis? La deuxième division au sein des Opérations s'occupera de ce que l'on appelle la «cartographie» des infrastructures essentielles à l'échelle nationale. Le terme est peut-être légèrement inexact, mais c'est le meilleur auquel on peut penser pour l'instant pour indiquer que nous allons essayer de décrire les infrastructures. À quoi ressemblent-elles? Dans le monde réel, un barrage ou un pont ne déménage pas habituellement, donc c'est facile. Si on entre dans le cybermonde, ça devient plus compliqué de cartographier les infrastructures parce que les propriétaires ou les opérateurs changent et reconstituent régulièrement les réseaux. La troisième division de la Direction des opérations s'occupera des vulnérabilités et des dépendances. À cet égard, nous chercherons à comprendre les interactions réciproques des infrastructures. La crise du verglas est un exemple intéressant. L'électricité était coupée, mais il y avait beaucoup d'autres effets multiplicateurs qui se sont fait sentir dans diverses infrastructures. Nous cherchons à voir comment les infrastructures sont reliées et où elles sont en danger. Tout le monde travaillera en étroite collaboration, nous l'espérons, avec les personnes qui possèdent et exploitent ces systèmes. La quatrième division est essentiellement une division de planification. Nous avons fait certains travaux préalables avant le Sommet des Amériques en avril. Un groupe de personnes, quelques-unes provenant de notre organisation et sous la direction de la GRC, se sont rendues à Québec pour évaluer les systèmes informatiques à la disposition des participants. Nous avons pu donner des conseils relativement à la protection de ces systèmes. La dernière division est celle dont a parlé M. Harlick - c'est-à-dire un Centre de coordination 24 heures sur 24, sept jours sur sept, 365 jours sur 365 qui surveillera les événements au fur et à mesure qu'ils se déroulent, qu'ils soient matériels ou virtuels. Le Centre s'occupera de toute question qui exige de prévenir les Canadiens contre les problèmes susceptibles de les menacer, d'émettre des avis sur l'évolution des dangers et de coordonner ensuite les réactions du gouvernement fédéral face aux problèmes particuliers au fur et à mesure qu'ils se produisent, surtout les problèmes graves. Le sénateur Forrestall: Où sont vos locaux? M. Harlick: Actuellement, nous sommes à l'angle de Bank et Slater, dans l'édifice Jackson. C'est là qu'étaient les locaux de Protection civile Canada. Le sénateur Forrestall: Si vous aviez votre mot à dire, préféreriez-vous la voie que vous empruntez maintenant ou avoir votre propre loi? M. Harlick: Actuellement, les pouvoirs implicites que nous avons en tant qu'élément du MDN sont adéquats. Comme je l'ai dit, nous allons examiner s'il est souhaitable et prudent, pour diverses raisons, d'incorporer cette responsabilité et toutes les exigences connexes en une mesure législative, une loi autonome sur la Défense nationale ou quelque chose du genre. Pour l'instant, nous ne voyons aucun problème à faire ce que nous devons faire en vertu de la loi actuelle. Le sénateur Forrestall: Si vous pouvez faire quelque chose au sujet des cyberproblèmes, franchement, les coûts m'importent peu, allez-y tout simplement. Bonne chance. M. Harlick: Votre exemple au sujet des connaissements à Halifax est bien choisi. Beaucoup de gens dans le monde des transports de surface ou même du transport aérien voient ce monde comme rien d'autre qu'un mode de transport de l'information. Les biens matériels comme tels sont si souvent repérés par les réseaux et les systèmes que le système d'information est, en fait, très vulnérable, tout comme le seraient le contrôle de la surveillance et les systèmes d'acquisition pour les pipelines. Qu'est-ce qui fait qu'un pipeline est exploité si ce n'est de l'électricité et des télécommunications? Les gens de l'industrie en sont très conscients aussi. La question a été examinée lors du bogue de l'an 2000 et nous allons pousser la recherche dans notre examen du secteur du transport au Canada. Le président: Monsieur Harlick, pouvez-vous dire au comité quelle formule de paiement vous avez conclue avec les provinces en cas de catastrophe naturelle? M. Harlick: Je vais peut-être demander à M. Bartley de vous donner les détails, mais le gouvernement a mis en place des ententes d'aide financière en cas de catastrophe. Il s'agit d'ententes fédérales en vue de compenser les provinces et les municipalités pour les dépenses qu'elles engagent afin de restaurer des biens, des entreprises, des maisons, dans leur état originel précédant une catastrophe comme une inondation, une crise du verglas ou une tornade. Les Accords d'aide financière en cas de catastrophe prévoient une formule à ce sujet. Elle prévoit que la province a la responsabilité de payer les coûts jusqu'à concurrence de 1 dollar par tête d'habitant de la province. Si la province compte 4 millions d'habitants, elle assume alors les 4 premiers millions de dollars de dépenses. Ensuite, il y a une échelle selon laquelle le gouvernement fédéral assume une proportion plus grande des coûts. Dans les grandes catastrophes naturelles, c'est 90 cents au dollar de dépenses admissibles. Il y a à ce moment-là proportion de 90/10. Le président: Pour faire suite aux commentaires du sénateur Wiebe, lorsque les gens entendent le nom de votre organisation pour la première fois, n'est-il pas juste de dire qu'ils ont l'impression que vous êtes responsables des urgences? M. Harlick: Non, quoique le Bureau pourrait très bien être chargé de s'occuper d'une urgence nationale au nom du gouvernement fédéral. Le président: Pouvez-vous nous donner un exemple? M. Harlick: Cela découle de la responsabilité ministérielle. Si on confiait au ministre de la Défense nationale la responsabilité de diriger la réaction du gouvernement fédéral à une urgence donnée, à ce moment-là il pourrait s'en remettre à notre Bureau et aux autres éléments du MDN et des Forces canadiennes pour faire le travail. Par exemple, lors d'un verglas ou d'une inondation, le Bureau pourrait coordonner la prestation de l'aide fédérale à la province touchée. Le président: Coordonner, non pas diriger, est-ce exact? M. Harlick: C'est exact. Surtout dans le domaine de la protection civile, c'est la province qui est la première responsable de réagir à une urgence publique. Lorsqu'elle n'y arrive plus, ou qu'elle a besoin d'aide spécialisée que le gouvernement fédéral peut fournir, la province fait alors parvenir sa demande à l'administration régionale de notre Bureau, et c'est ce dernier qui coordonne les interventions et assure la prestation d'aide à la région, dans la mesure où le gouvernement fédéral a la capacité nécessaire d'intervenir. Le président: D'après ce que je comprends, vous jouez un rôle important. Dans un sens large, votre rôle est un rôle de discussion, de consultation, de persuasion et de planification. Ce travail est très utile. Les gens ont tendance à dire: «Voici les personnes qui sont responsables et qui vont s'occuper de tout.» Mais ce n'est pas vraiment votre perception de votre rôle, n'est-ce pas? M. Harlick: Je n'exclus pas cela non plus, monsieur. Le Bureau a la capacité d'agir. Prenons le cas d'un cyberproblème. Au cours des dernières semaines, nous avons donné des conseils judicieux et directs aux ministères qui ont subi une cyberattaque: faites ceci, réparez cela, consultez telle ou telle source d'information. On n'a pas juste servi de canne blanche. Le président: Je reçois d'excellents conseils de mon bureau, mais c'est moi qui décide. Êtes-vous en train de me dire que vous décidez de ce que le ministère devrait faire? M. Harlick: Non. C'est important pour des fins de responsabilité. Pour faire écho à la préoccupation du sénateur Wiebe, il est impossible, soit dans le monde de la protection civile ou des infrastructures essentielles, qu'un bureau comme le nôtre se porte au secours de tout le monde chaque fois. Plus particulièrement, dans le monde cybernétique, les gens qui connaissent leurs systèmes et les problèmes et qui ont la responsabilité de les réparer sont ceux qui en sont les propriétaires et qui en ont la responsabilité. Le problème, c'est lorsqu'ils ne savent pas quoi faire. S'ils le savaient, ils ne nous appelleraient pas, ils régleraient le problème s'ils le pouvaient, ou ils consulteraient leurs fournisseurs. Lorsqu'ils s'adressent à nous, c'est qu'ils sont pratiquement au bout de leur rouleau, ça déborde, les problèmes se multiplient. Ils cherchent de l'aide ailleurs. C'est notre champ d'intervention. Nous pouvons obtenir, du gouvernement canadien tout autant que du secteur privé, les conseils d'experts pour exterminer cette nouvelle variante de ver ou de virus qui attaque ce genre de système et donner des conseils pour le restaurer. Le président: Vous donnez donc des conseils? M. Harlick: C'est exact. Le président: Prévoyez-vous faire une évaluation des 100 principaux dangers qui pourraient perturber les infrastructures essentielles, et des répercussions de ces dangers? M. Harlick: Nous n'avons pas de plan précis à cet égard, au moment où on se parle, mais c'est fort possible que nous nous engagions dans cette direction. C'est ce qui a été fait de façon rudimentaire pour le bogue de l'an 2000. Un certain nombre de spécialistes, sous les auspices d'un groupe de planification d'urgence à l'échelle nationale, se sont rencontrés et ont conçu une matrice sur la nature des infrastructures essentielles, le caractère de chacune, et leur degré d'interdépendance réciproque. Autrement dit, si quelque chose frappe une infrastructure, quel en est l'impact sur les autres? C'est ce à quoi faisait allusion M. O'Bright lorsqu'il a parlé d'analyse des vulnérabilités et des dépendances. Quand on considère le contexte d'une aire géographique du pays, ou un système ou un réseau, on cartographie les infrastructures. Quelle est cette infrastructure, quels sont son caractère essentiel et son interdépendance? Si vous avez du bon matériel et de bons logiciels, vous pouvez deviner ce qui pourrait se produire en cas de panne à cet endroit, quelles seraient les conséquences pour la région, les gens, tel secteur ou telle industrie. C'est important de le faire. Nous le ferons et nous allons finalement nous retrouver à élaborer 30 ou 50 scénarios d'éventualités. Ces scénarios informeront les propriétaires des structures et le Bureau sur les conséquences possibles. Les propriétaires effectueront alors une analyse de risques en se fondant sur ce qui pourrait se produire dans leur région. Ils adopteront les mesures de protection appropriées. Nous allons travailler dans ce domaine. Vous avez tout à fait raison. Le président: Monsieur Harlick, je tiens à vous remercier ainsi que vos collègues de cette intéressante présentation. Vous avez donné au comité un bon aperçu de ce que vous êtes en train de faire. Cette partie de la réunion est terminée et le comité siégera maintenant à huis clos. La séance se poursuit à huis clos.