LE COMITÉ SÉNATORIAL PERMANENT DES BANQUES ET DU COMMERCE
TÉMOIGNAGES
OTTAWA, le jeudi 19 octobre 2017
Le Comité sénatorial permanent des banques et du commerce se réunit aujourd’hui, à 10 h 33, pour poursuivre son étude sur les questions et préoccupations relatives à la cybersécurité et à la cyberfraude.
Le sénateur Joseph A. Day (vice-président) occupe le fauteuil.
Le vice-président : Honorables sénateurs et sénatrices, soyez les bienvenus. Nous allons continuer notre étude sur les questions et préoccupations relatives à la cybersécurité et à la cyberfraude.
J’aimerais donner la parole à notre témoin pour commencer ce matin. Nous accueillons M. Benoît Dupont, directeur scientifique, qui témoignera par vidéoconférence.
Benoît Dupont, directeur scientifique, Réseau intégré sur la cybersécurité (SERENE-RISC) : Merci, monsieur le président. Honorables sénateurs, j’aimerais vous remercier de l’occasion que vous m’offrez de comparaître devant vous aujourd’hui dans le cadre de l’étude sur la cybersécurité et la cyberfraude.
Mon nom est Benoît Dupont, et je suis le titulaire de la Chaire de recherche du Canada en cybersécurité, à l’Université de Montréal, où je suis également professeur de criminologie. Comme vous l’avez indiqué, je suis le directeur scientifique du Réseau intégré sur la cybersécurité, connu également sous l’acronyme de SERENE-RISC, qui est l’un des Réseaux de centres d’excellence (RCE) du Canada.
[Traduction]
Je vais commencer mon exposé avec de l’information contextuelle sur la situation actuelle de la cybersécurité au Canada. Je parlerai ensuite plus en détail de ce que fait le Réseau intégré sur la cybersécurité, de son importance et des défis futurs qui devront être relevés en matière de recherche et de développement.
Le Canada est l’une des sociétés les plus branchées de la planète et sa croissance économique dépend du développement d’un écosystème numérique robuste et productif.
La technologie est certes un atout, mais force est de reconnaître qu’elle est aussi devenue une très importante source de risque. Selon l’Enquête mondiale menée auprès des chefs de direction que PricewaterhouseCoopers a publiée en 2016, 61 p. 100 des chefs de direction canadiens considèrent que la cybersécurité est, en puissance, l’aspect opérationnel le plus risqué pour les perspectives de croissance de leurs organisations respectives, surpassant en cela les compétences clés, la volatilité des cours des produits de base et les habitudes de dépenses des consommateurs.
De plus, dans L’état de préparation en matière de cybersécurité des organisations canadiennes, une étude publiée en 2017 par Scalar, on décrit les effets négatifs qu’ont les cyberattaques sur la productivité. En 2016, 53 p. 100 des entreprises sondées ont rapporté un incident ayant causé la perte d’information sensible. La moyenne est de 44 incidents par année par entreprise, et l’on note une augmentation marquée de la complexité et de la gravité des attaques.
Les petites et moyennes entreprises, qui ont très peu de ressources à consacrer à la sécurité des TI et aux activités en ligne, sont particulièrement vulnérables, même si ce sont elles qui contribuent à plus de 50 p. 100 du PIB du secteur des affaires. C’est ce qui explique pourquoi les risques cybernétiques ont un impact disproportionné sur ce segment de notre économie.
Les citoyens canadiens sont, eux aussi, de plus en plus exposés à des arnaques en ligne et à des cyberfraudes. Nous n’avons pas de statistiques canadiennes fiables à ce sujet, mais la plus récente enquête sur la victimisation en Angleterre et au pays de Galles indique que la fraude en ligne et le piratage informatique sont désormais la principale forme d’infraction contre les biens, et qu’ils sont à l’origine de la moitié de toutes les infractions commises, c’est-à-dire de toutes les infractions contre les biens et les personnes.
Malheureusement, les internautes reçoivent encore très peu de conseils — quand ils ne sont pas contradictoires — sur les comportements qu’ils devraient adopter pour réduire au minimum les risques de se faire prendre au piège, et il en résulte une perte de confiance relativement à la fiabilité des transactions en ligne. Parallèlement à cela, les services policiers canadiens n’ont pas encore mobilisé les ressources humaines et financières nécessaires pour contrer cette forme de criminalité qui prend des proportions épidémiques, et ils ne sont pas tout à fait certains de ce qu’ils doivent faire pour régler cet énorme problème de la façon la plus efficace possible.
Nous sommes à la croisée des chemins technologiques. Nous sommes en train de passer d’une société industrielle vastement dépendante du secteur de la transformation à une société numérique carburant aux données et à l’information. Nous avons aussi des infrastructures héritées du passé, mais qui jouent un rôle névralgique puisqu’elles sont presque toutes branchées à Internet, ce qui crée une interdépendance sans précédent et donne lieu à un flux interminable de vulnérabilités.
Entretemps, avec l’Internet des objets, nous sommes sur le point d’ajouter à ce paysage imprévisible du risque plus de 50 milliards de nouveaux appareils non sécurisés fonctionnant avec divers degrés d’autonomie, ce qui décuplera la complexité du défi de la cybersécurité.
Jusqu’ici, le Canada n’a pas placé la cybersécurité très haut sur sa liste de priorités en matière d’économie, de recherche et développement, et de politiques, alors que d’autres, comme les États-Unis, le Royaume-Uni, l’Australie, Israël, les Pays-Bas ou Singapour, pour ne nommer que ceux-là, sont en train de prendre les devants et de devenir des meneurs mondiaux à cet égard.
Cybersecurity Ventures, une société d’experts-conseils, évalue à 1 000 milliards de dollars le montant qui sera consacré aux systèmes de cybersécurité entre 2017 et 2021. Dans notre pays, les efforts investis pour combler cette lacune sont louables, mais ils manquent de coordination; ils n’ont pas encore atteint la masse critique nécessaire pour stimuler l’innovation et favoriser l’adaptation à cette nouvelle dynamique du risque. Nous sommes à un moment charnière et le Canada risque fort bien de prendre du retard.
Le Réseau intégré sur la cybersécurité a recensé plus de 250 chercheurs répartis dans 47 universités qui s’intéressent à divers aspects de la cybersécurité; 65 p. 100 d’entre eux sont de facultés et de départements d’informatique, et 35 p. 100 évoluent dans le domaine des sciences sociales. Nous avons également recensé 34 partenariats institutionnels entre intervenants des secteurs public et privé qui se sont donné pour mission d’atténuer les risques cybernétiques. Toutefois, malgré les nombreuses collaborations ponctuelles, il n’y a pas de réseau national qui pourrait systématiquement lier entre elles ces ressources fragmentées.
Le rôle du réseau intégré sur la cybersécurité est limité par ses ressources et son mandat actuels. Le réseau s’est donné pour mandat de mobiliser les connaissances, c’est-à-dire d’acheminer la bonne information aux bonnes personnes dans le format qui convient et en temps opportun.
Notre réseau regroupe 33 partenaires institutionnels issus de l’industrie, du secteur gouvernemental et du secteur sans but lucratif, ainsi que 42 universitaires travaillant dans 8 disciplines et répartis dans 23 institutions postsecondaires à l’échelle du Canada.
Voici les six grands secteurs où nous œuvrons. Deux fois par année, nous organisons des ateliers. Au cours des trois dernières années, nos ateliers ont mobilisé près de 850 théoriciens et professionnels du domaine de la cybersécurité issus d’organismes des secteurs public et privé. Nous hébergeons un forum en ligne pour le partage des connaissances, forum qui contient déjà plus de 800 documents, vidéos originales et sommaires de recherche portant sur la cybersécurité. Nous publions également des synthèses de connaissances sur une base trimestrielle. Il s’agit en fait de bulletins qui s’adressent aux professionnels du domaine et qui, dans un format pratique, font le point sur la recherche de pointe en cybersécurité.
Au fil des ans, nous avons organisé huit forums afin de rassembler les intervenants des grands centres de haute technologie du Canada qui ont un intérêt commun pour la cybersécurité. Nous avons également mis au point des activités de développement professionnel à l’intention des étudiants postsecondaires et des jeunes professionnels. Nous sommes d’ailleurs fiers de dire que 42 p. 100 de nos participants étaient des femmes, ce qui est toute une réussite si l’on considère que les femmes n’occupent que 11 p. 100 des postes dans ce domaine.
Enfin, grâce au généreux soutien financier de Sécurité publique Canada, nous avons mis au point un outil de sensibilisation et de formation novateur, Cybersec 101, que nous offrons en français et en anglais dans des bibliothèques publiques d’un peu partout au pays. L’outil s’adresse essentiellement aux aînés.
En concevant et en offrant des activités de mobilisation des connaissances adaptées aux besoins des décideurs gouvernementaux, des professionnels de l’industrie et du grand public, le Réseau intégré sur la cybersécurité contribue de façon stratégique à améliorer les capacités de l’écosystème numérique du Canada, à comprendre la complexité des menaces actuelles et à tenter d’anticiper les risques émergents, à faire face aux risques cybernétiques en cernant les éléments de preuve susceptibles d’appuyer la prise de décisions efficaces et efficientes, ainsi qu’à améliorer la résilience de l’écosystème numérique du Canada en formant une nouvelle génération de professionnels de la cybersécurité.
Bien que je souhaite terminer sur une note positive, je tiens à souligner que la cybersécurité n’est pas seulement une question technique. La cybersécurité a de multiples répercussions sociales et stratégiques qui retiennent rarement l’attention comparativement aux aspects techniques. La question est d’une telle complexité que, selon moi, la découverte, l’élaboration et la mise en œuvre des solutions innovatrices dont nous avons instamment besoin ne pourront se faire que par un réseau interdisciplinaire de chercheurs et d’utilisateurs finals de l’industrie et du gouvernement. Or, j’ai bien peur que nous n’ayons pas encore de réseau de la sorte dans notre pays.
Merci beaucoup de votre attention. Je serai heureux de répondre à vos questions.
[Français]
Le vice-président : Professeur Dupont, merci beaucoup pour vos commentaires.
Le sénateur Massicotte : Merci d’être parmi nous ce matin pour parler d’un sujet que je considère comme étant très important. Hier après-midi, nous avons reçu quatre représentants du gouvernement canadien qui ont des responsabilités en matière de sécurité. Ils ont fait l’effort de relativiser le sujet en disant qu’il y a toujours eu des attaques ou des craintes d’attaques à notre sécurité et à notre information personnelle, et que c’est une différente méthode de transmission électronique. Cependant, je demeure toujours inquiet de la cybermenace. On parle d’agences de crédit, des élections américaines et des élections au Kenya. On parle de choses très présentes, et c’est très menaçant pour nos renseignements personnels, nos coutumes et aussi pour les entreprises. Est-ce un grave problème ou est-ce seulement nous qui réagissons avec démesure, parce que nous nous sentons menacés?
M. Dupont : Personnellement, je pense que c’est un grave problème qui accompagne des changements de société. Nous devenons une société numérique dans tous les aspects de nos activités humaines. Il est normal que les risques deviennent aussi numériques.
Le problème que je constate, ce n’est pas que les risques sont plus nombreux qu’auparavant, c’est que les institutions qui sont censées répondre à ces risques sont peut-être plus lentes à s’adapter à cette nouvelle réalité. Un exemple concret que je donne, c’est la police, qui est une institution qui a été créée pour répondre à des problèmes de sécurité de la révolution industrielle à la fin du XIXe siècle. C’est une institution qui a été créée à une autre période, dans un autre contexte et qui, maintenant, doit s’adapter à une nouvelle révolution qui n’est pas industrielle, mais qui est numérique. Peut-être qu’on aura besoin de créer de nouvelles institutions pour répondre à ces risques. Pour répondre à votre question, je pense que le problème est relativement grave. Pour moi, c’est un problème aussi grave que les changements climatiques.
Le sénateur Massicotte : C’est majeur. Lorsqu’on regarde les problèmes de violation de la confidentialité, on parle de plusieurs entreprises américaines qui sont ciblées, comme Target et Equifax. Je pense que c’est aussi grave au Canada. Cependant, peut-être qu’il y a moins de transparence, moins de communication de l’information. On dirait que ces entreprises — à qui l’on a fait confiance en leur divulguant de l’information personnelle — ne subissent aucune conséquence financière, criminelle, ou autre. Pourquoi n’y a-t-il pas de conséquence? Chaque semaine, il se passe quelque chose, un autre bris d’information. Cela signifie que les entreprises n’ont pas pris les mesures nécessaires pour protéger les renseignements confidentiels que nous avons partagés avec eux en toute confiance. Il y a un abus de confiance dans cette relation.
M. Dupont : Je vais répondre à votre question en deux phases. Pourquoi en entend-on moins parler au Canada? C’est parce que notre encadrement réglementaire des entreprises et des organisations ne les force pas à divulguer ce type d’incident lorsqu’elles en sont victimes. La situation est légèrement différente aux États-Unis, où il y a des lois qui obligent les entreprises victimes à divulguer les incidents. Cela se passe parfois à retardement. On apprend la nouvelle quelques mois plus tard et, dans certains cas, plusieurs années plus tard.
Mais il y a un encadrement réglementaire qui est différent aux États-Unis, qui oblige les entreprises à divulguer ces renseignements. Par contre, aux États-Unis, il n’y a pas d’encadrement réglementaire qui impose des pénalités très sévères. C’est ce qui explique aussi pourquoi, en partie, on a le sentiment que les entreprises sont peu exposées à des sanctions qui pourraient les inciter à prendre des mesures plus robustes pour protéger nos renseignements personnels.
[Traduction]
La sénatrice Wallin : Merci. Je vais poursuivre sur le sujet que vous venez tout juste d’aborder. Hier, nous avons discuté en long et en large de la question de l’absence d’obligations redditionnelles. Il n’y a aucune façon de forcer une entreprise à admettre ou à rapporter soit à la police ou à une structure gouvernementale qu’elle a été piratée ou influencée de quelque façon, et que les renseignements personnels qu’elle détient à notre sujet pourraient être en danger. Je sais que vous approchez cette question du point de vue de la recherche, mais j’aimerais savoir si, personnellement, vous croyez que nous devrions être davantage comme les Américains à cet égard et forcer les entreprises à rapporter de telles choses. À défaut de rapporter, il y aurait des conséquences. Il pourrait y en avoir même si elle rapportait. Comme tenu de cette optique très législative, quelle serait votre opinion en la matière?
M. Dupont : Tout d’abord, il importe de dire qu’une nouvelle loi va très bientôt entrer en vigueur au Canada, et c’est la Loi sur la protection des renseignements personnels numériques. Je crois qu’on est en train de mettre la dernière touche au cadre réglementaire, mais essentiellement, la loi forcera les entreprises à informer le commissaire à la protection de la vie privée des occurrences d’atteintes à la protection des renseignements personnels, du moins, dans un certain nombre de circonstances. Le cas échéant, les entreprises seront également tenues d’informer leurs clients ou leurs employés que de telles fuites se sont produites.
Personnellement et par souci de transparence, je crois que c’est une très bonne chose, un changement positif. J’estime que les entreprises où ces fuites se produisent devraient être tenues d’en informer le public, pas pour les mettre dans leurs petits souliers, mais bien parce que cela ajoute à la transparence et que les consommateurs devraient savoir ce qui se passe avec leurs renseignements personnels. Cela leur permettra de faire des choix mieux éclairés au sujet des entreprises à qui ils décideront de donner leurs affaires et leur confiance, leur argent ou leurs renseignements personnels.
Il y a aussi des mesures qui sont sur le point d’être mises en œuvre en Europe et qui prévoient des amendes salées pour ce type d’incidents. Je crois qu’il est question d’environ 4 p. 100 des revenus annuels. L’approche de l’Europe à l’égard des entreprises où se produisent des fuites de données est beaucoup plus coercitive.
La sénatrice Wallin : Quel est le motif de l’amende? Est-ce pour punir le défaut de rapporter la fuite ou l’occurrence de la fuite?
M. Dupont : Elle sert à punir l’occurrence de la fuite.
La sénatrice Wallin : D’accord.
M. Dupont : Une amende est donnée si l’autorité réglementaire établit qu’il y a eu une négligence manifeste ou qu’on a omis de mettre en place des mesures de protection.
La sénatrice Wallin : J’aurais une question complémentaire à ce sujet. Après avoir rapporté l’incident au commissaire à la protection de la vie privée, les entreprises seront-elles ensuite obligées d’avertir la GRC ou la sécurité publique? Sinon, pour quelle raison seraient-elles tenues de n’avertir que le commissaire à la protection de la vie privée?
M. Dupont : Je ne suis pas un avocat, alors je ne suis pas sûr à 100 p. 100, mais je ne crois pas qu’elles seront obligées d’avertir qui que ce soit d’autre que le commissaire, puisque c’est lui qui est l’autorité chargée de faire appliquer la Loi sur la protection des renseignements personnels numériques. Ce n’est pas une loi sur la notification des fuites de données. Une partie de la loi porte là-dessus, mais la loi qui est sous l’autorité du commissaire est plus vaste que les simples fuites de données.
La sénatrice Wallin : Si je comprends bien, il n’y a aucune obligation de rapporter les fuites proprement dites à un organisme d’enquête — dont la GRC ou le SCRS —, et ce, même s’il y a des conséquences à l’étranger?
M. Dupont : C’est exact.
La sénatrice Wallin : Merci.
Le sénateur Black : Bonjour, monsieur, et merci de votre présence parmi nous. Avez-vous eu la chance d’écouter le témoignage que nous avons entendu ici, hier soir?
M. Dupont : J’ai lu une partie des transcriptions, ce matin.
Le sénateur Black : À la fin de la séance d’hier, je me suis réjoui de penser que la GRC, Sécurité publique Canada — ou l’organisme dont le témoin a parlé — et le SCRS avaient ce dossier bien en main. J’ai entendu ce que vous nous avez dit ce matin, et je ne suis pas certain que j’ai un portrait fidèle de la réalité ou que vous seriez nécessairement d’accord avec l’idée que je m’en fais.
Dans votre exposé, vous avez souligné deux choses. Vous avez dit que ces crimes atteignaient des proportions épidémiques, et vous avez dit ne pas croire que le Canada ait les ressources voulues pour s’attaquer à ce problème. Vous avez aussi dit qu’en tant que nation, le Canada n’était pas haut sur la liste des pays du monde qui traitent efficacement cette forme de criminalité. Vous avez mentionné Singapour, les Pays-Bas, le Royaume-Uni et les États-Unis. Hier, nous avons entendu tout le contraire, ce qui, bien entendu, est consternant.
J’aimerais vous entendre là-dessus, puis j’aimerais que vous nous disiez quelles sont les deux ou trois choses sur lesquelles notre comité devrait insister.
M. Dupont : Je ne veux pas contredire qui que ce soit du SRCS, de la GRC ou de Sécurité publique Canada, car je crois qu’ils disaient l’absolue vérité, hier, et qu’ils ont probablement le contrôle sur ce qui relève d’eux. Sauf que cela ne représente peut-être qu’une petite fraction de ce qui se passe dans le grand monde.
Je crois que c’était hier qu’un témoin de la GRC expliquait que les entreprises et les personnes ne rapportent à la police qu’une minuscule fraction des crimes cybernétiques qui se produisent. Dans certains pays, des statistiques laissent entendre que moins de 10 p. 100 des crimes cybernétiques sont rapportés à la police. Alors, dans la mesure où ils sont probablement capables de traiter avec cette petite fraction qui leur est signalée, oui, leur déclaration était sans doute fidèle à la réalité, mais ce qui m’inquiète c’est de savoir que près de 90 p. 100 des crimes cybernétiques ne sont pas rapportés à la police.
Ce sont des crimes bien réels. Ils ont des répercussions bien réelles sur les victimes et sur les entreprises. Ils peuvent mettre en péril la survie même des PME et d’autres sociétés. Ces crimes ne sont pas combattus par des organismes d’application de la loi, mais parfois, ce sont les entreprises elles-mêmes qui prennent les choses en main ou des sociétés privées spécialisées dans les enquêtes en cybersécurité. Le gouvernement ne voit pas nécessairement tous les incidents, et c’est pour cette raison que nous n’avons pas un portrait complet de la situation et que nous ne sommes pas en mesure de protéger les citoyens. Du reste, sur une base individuelle, les consommateurs n’ont pas les ressources voulues pour retenir les services de sociétés privées aptes à enquêter sur des cyberfraudes.
Oui, les banques investissent elles aussi des sommes colossales pour protéger leurs clients, mais encore une fois, c’est un effort qui vient du secteur privé. Je crois que le gouvernement a la responsabilité de faire beaucoup plus. Les pays dont j’ai parlé investissent des milliards de dollars pour faire face à ce problème parce qu’ils reconnaissent que c’est un enjeu stratégique déterminant pour la prospérité ou la déchéance de leur économie.
Le sénateur Black : Quels sont les deux ou trois pays qui, selon vous, ont des pratiques exemplaires dont nous devrions nous inspirer?
M. Dupont : Pour ce qui est du rôle de l’État, je dirais le Royaume-Uni. Je choisirai des pays qui ont des expériences politiques et stratégiques similaires aux nôtres, puisque cela facilitera le transfert des éventuelles leçons à retenir. Bref, je dirais le Royaume-Uni pour le rôle de l’État. Je dirais Israël et les Pays-Bas pour ce qui est de la prospérité économique. Ce sont deux petits pays qui, comme nous, n’ont pas nécessairement d’énormes ressources, sauf qu’ils arrivent quand même à faire beaucoup de choses formidables parce qu’ils ont été en mesure de créer une sorte de réseau reliant l’industrie, le gouvernement et les milieux universitaires.
Je crois que le message que je tiens à vous laisser, c’est qu’il est très important que nous nous coordonnions mieux, beaucoup mieux. Ici, au Canada, l’État fait de l’excellent travail de coordination à l’interne. Je ne blâme personne. Tout ce que je dis, c’est qu’il y a tellement plus de choses que nous devons faire. Nous devons tisser des liens entre différents groupes d’intervenants si nous voulons faire pencher la balance du bon côté.
Le sénateur Campbell : Merci beaucoup de votre présence. J’aimerais poursuivre là-dessus. C’est comme si nous avions entendu le conte de deux villes. Hier, on nous a dit que tout allait bien, que nous maîtrisions la situation et que le Canada était une figure de proue dans une foule de domaines. Nous nous occupons surtout de la divulgation déficiente, qui est encore un de ces domaines où il est bien difficile de savoir qui fait quoi.
J’ai remarqué deux choses. Vous énumérez tous vos partenaires. C’est assez impressionnant, mais je constate, par exemple, qu’il n’y a aucune banque parmi vos partenaires du secteur privé, même si vous faites mention de la Banque du Canada pour les possibilités de stages. Est-ce un oubli? Il me semble que le secteur bancaire serait un intervenant privilégié dans le domaine de la cybersécurité.
M. Dupont : C’est exact. Le secteur bancaire est très évolué à cet égard puisqu’il s’occupe de problèmes de cybersécurité depuis probablement bien plus longtemps que les autres types d’organisations.
Nous travaillons avec le secteur bancaire par l’intermédiaire d’une autre entité, appelée ECMC, soit l’Échange canadien de menaces cybernétiques. Il s’agit là d’une autre excellente initiative dans le cadre de laquelle non seulement le secteur bancaire, mais aussi le secteur des télécommunications et d’autres grandes entreprises canadiennes échangent des renseignements sur les menaces. Je siège au conseil d’administration de cette organisation en tant qu’invité permanent afin d’assurer une liaison entre le secteur bancaire, cette initiative et le milieu de la recherche. Nous collaborons avec l’industrie bancaire autrement que par l’entremise du Réseau intégré sur la cybersécurité, quoique nous entretenions des liens très étroits avec ce dernier aussi.
Ainsi, nous collaborons avec Desjardins, qui ne figure pas encore parmi les partenaires mentionnés dans les diapositives PowerPoint que je vous ai remises, car nous nous apprêtons à conclure un protocole d’entente avec cette institution, mais elle va se joindre au réseau. N’oublions pas qu’au Québec, Desjardins est la plus grande institution financière, couvrant 80 p. 100 de la clientèle à l’échelle de la province et au-delà.
Le sénateur Campbell : Donc, vous dites que les banques mettent à profit leur expérience dans le cadre du Réseau intégré sur la cybersécurité?
M. Dupont : Non. Nous collaborons avec elles, mais par le truchement d’une autre entité appelée ECMC. Elles nouent des liens non seulement avec nous, mais aussi avec toutes les autres industries au Canada pour mettre à contribution les résultats de leur approche.
Le sénateur Campbell : La deuxième chose que j’ai remarquée, c’est qu’il n’y a aucune mention de la GRC dans la liste des partenaires gouvernementaux.
M. Dupont : Il y a le Centre antifraude, qui relève, sauf erreur, de la GRC. Nous avons également tenu des discussions avec la GRC. Nous collaborons fréquemment avec ses représentants. Ils assistent à nos conférences. Ils nous envoient aussi des conférenciers. Même si nous n’avons pas de protocole d’entente officiel avec la GRC, nous collaborons très étroitement avec elle.
Le sénateur Campbell : Enfin, pour ce qui est de l’idée d’amener l’industrie, le gouvernement et le milieu universitaire à unir leurs efforts, je crois que cela ne se produira pas tant que vous ne ferez pas intervenir tous les joueurs, y compris les banques et la GRC. D’après ce que j’entends dire, c’est le cas classique du travail en vase clos. Chacune de ces organisations agit indépendamment l’une de l’autre. Même si elles affirment collaborer et travailler ensemble, ce n’est pas ce que les gens me disent. Ce n’est pas ce que j’ai entendu hier. Je conviens qu’il faut rassembler tous ces intervenants, mais pour ce faire, quelqu’un doit piloter cette initiative. J’ignore à qui revient cette tâche. Je ne sais pas si c’est la GRC qui doit assumer cette responsabilité. Elle prétend que non, parce qu’elle s’occupe d’enquêtes criminelles. Le SCRS dit non, lui aussi, sauf si la menace provient de l’extérieur du Canada ou s’il s’agit d’une menace terroriste. La Direction générale de la cybersécurité nationale… bref, personne ne prend ce dossier en main.
J’aimerais savoir qui, d’après vous, devrait diriger cette initiative. Le gouvernement? L’industrie? Le milieu de la recherche et les universités? Je ne sais pas, mais j’aimerais bien connaître la réponse.
M. Dupont : Si on examine les pays que j’ai énumérés comme étant en tête du peloton, on constate qu’ils ont tous un point en commun: l’autorité qui dirige ces efforts est le chef d’État. C’est soit le premier ministre, soit le président. Le tout est coordonné sous l’égide du cabinet du premier ministre ou du président. Le but est d’envoyer un message clair: c’est un enjeu tellement important que le premier ministre prend les devants dans ce dossier pour s’assurer que tous les organismes travaillent main dans la main, que l’industrie apporte sa contribution et que le milieu universitaire est très conscient de l’importance de ce défi sociétal. Dans tous les pays qui sont définis comme des chefs de file, la responsabilité incombe au cabinet du président ou du premier ministre.
Le sénateur Campbell : C’est ce que je voulais entendre. Merci bien.
La sénatrice Unger : Merci beaucoup de votre exposé. J’abonde certainement dans le sens de ce que tous mes collègues ont dit au sujet de la réunion d’hier.
À en juger par les témoignages d’hier, on dirait que les cyberattaques contre les entreprises sont inévitables et qu’il s’agit simplement d’un prix à payer pour faire des affaires. Cela vaut-il aussi pour nos infrastructures nationales? Les attaques sont-elles inévitables? Disposons-nous des systèmes adéquats pour les empêcher? Si oui, pourquoi alors cela ne serait-il pas possible pour les entreprises également?
M. Dupont : Je crois que vous avez raison de dire que les attaques sont inévitables.
Nous avons appris la semaine dernière que la NSA, la National Security Agency des États-Unis, avait été victime de piratage. Ce service du renseignement est probablement doté des meilleures ressources au monde. Si la NSA peut se faire pirater, alors tout le monde le sera sans doute à un moment donné. Nous avons appris cette nouvelle parce que le service du renseignement israélien a piraté Kaspersky, un autre organisme de cybersécurité, et a constaté que son homologue russe s’était introduit dans le système de la NSA. Tout le monde pirate tout le monde, et les entreprises ne seront pas à l’abri de ce phénomène ni de la vague de piratage.
Pour répondre à la deuxième partie de votre question sur nos infrastructures essentielles, je pense que oui, les entreprises seront probablement, elles aussi, exposées au piratage, mais elles ont des paramètres et des données trop limités pour comprendre leur degré de vulnérabilité ainsi que leur niveau de protection. Il est difficile de faire des déclarations très fiables lorsqu’on ne dispose pas de données solides pour les étayer. Selon moi, un des défis à relever au cours des prochaines années du point de vue des infrastructures essentielles, des entreprises et des gouvernements, ce sera de pouvoir produire des données et des preuves qui nous indiqueront où concentrer nos énergies, efforts et investissements pour nous assurer de renforcer notre cybersécurité.
Enfin, nous devons également élaborer un concept qui se veut une réponse possible à cette nouvelle réalité, à savoir que personne n’est à l’abri du piratage, et il s’agit du concept de résilience. Comment pouvons-nous veiller à ce que les infrastructures essentielles au sein des entreprises soient toujours en état de fonctionner même dans un environnement hostile où il y a lieu de supposer que certains de leurs systèmes risquent d’être attaqués, voire compromis? Je crois que nous devons également trouver une façon complémentaire de répondre aux défis de cybersécurité, c’est-à-dire rendre les organisations plus fortes et plus résilientes et être en mesure de s’adapter à ce nouvel environnement, qui restera ici pendant longtemps.
La sénatrice Unger : J’ai récemment entendu dire qu’une des cinq banques canadiennes envoie des gens à Israël pour qu’ils y suivent une formation sur la cybersécurité. Vous avez mentionné que les banques ont des systèmes de sécurité très efficaces et très fiables, pour ainsi dire. Visiblement, cette banque a jugé bon d’aller dans un pays qui offre une meilleure formation aux gens. Je suppose que c’est le nouveau monde merveilleux dans lequel nous vivons. Merci.
Le vice-président : Monsieur Dupont, aviez-vous des commentaires à faire à ce sujet?
M. Dupont : Oui et non. Je crois qu’en envoyant des employés à Israël, les banques indiquent, d’une part, qu’il s’agit d’un problème planétaire qui doit être réglé à l’échelle mondiale et, d’autre part, que le Canada ne dispose pas nécessairement de tout le savoir-faire en la matière. Mon but, aujourd’hui, n’est pas de semer la peur chez vous parce que le Canada dispose bel et bien des compétences voulues, et ce n’est pas tout noir, mais quand les banques envoient des gens à Israël pour leur permettre de suivre une formation, elles reconnaissent qu’il s’agit d’un problème mondial et que certaines des compétences se trouvent à l’étranger, d’où la nécessité d’établir des liens avec ces experts.
Le sénateur Wetston : Merci d’être des nôtres aujourd’hui. Je voulais aborder le sujet de la cybersécurité sous un angle quelque peu différent. J’ai posé la même question à l’un des témoins d’hier en partant de l’idée qu’Internet devient de plus en plus une scène de crime au XXIe siècle. Si je le mentionne, c’est parce que nous avons également reçu, de toute évidence, des agents de la GRC ainsi que des représentants du SCRS.
La question que je voulais vous poser concerne la crise financière de 2007-2008, un événement dont on se souvient très bien. C’était il y a 10 ans. L’essentiel de ce qui s’est produit pendant cette crise a été attribuable à la technologie. En effet, l’interconnectivité a permis la propagation du risque d’un pays à un autre, ce qui a créé une récession mondiale. Je crois que vous serez peut-être d’accord avec moi sur ce point.
J’en viens donc à ma question : puisque le monde évolue de plus en plus rapidement et que les frontières se rétrécissent de plus en plus grâce à la technologie, nous avons souvent tendance à penser que c’est la technologie qui crée le problème, alors que ce n’est pas le cas en réalité: oui, la technologie contribue probablement au problème, mais elle ne le crée pas. Le problème tient au comportement humain. Pouvez-vous nous dire ce que vous pensez de la relation entre les comportements et les technologies dans le contexte de votre travail?
M. Dupont : Oui. J’essaierai de ne pas trop pontifier. Je suis tout à fait d’accord avec vous. En revanche, j’ajouterai un troisième composant à votre modèle d’interactions: technologies, comportements et politiques. La façon dont la technologie évolue peut être fortement influencée par les politiques. Jusqu’à présent, nous n’avons pas trop osé réglementer les technologies. Le raisonnement est le suivant: si nous réglementons trop les technologies et Internet, nous étoufferons l’innovation, et ce sera une mauvaise chose. Or, nous apprenons maintenant que nous n’avons pas suffisamment réglementé les technologies, et nous en payons le prix parce que nous avons permis un développement très chaotique dans ce domaine, d’où la difficulté que nous éprouvons à reprendre le tout en main. Je parle de la situation dans les démocraties. Je ne préconise pas l’approche adoptée par la Chine ou la Russie en matière de technologie et de réglementation, mais nous devons tout de même offrir une certaine protection aux citoyens.
Pour répondre à votre question initiale sur les comportements et les technologies, je suis d’avis, moi aussi, que nous devons probablement faire mieux pour former les gens et les sensibiliser non seulement aux possibilités offertes par les technologies, mais aussi aux risques qui en découlent. En même temps, il arrive très souvent que les gens s’approprient des technologies et s’en servent à des fins qui n’avaient jamais été prévues par les concepteurs de ces technologies. Il y a 50 ans, les inventeurs d’Internet n’auraient jamais imaginé qu’Internet serait si présent dans les moindres aspects de l’activité humaine.
Voilà sans doute pourquoi nous devons — et c’est l’un des objectifs de notre réseau — amener les ingénieurs informaticiens qui inventent la technologie de demain à comprendre également les répercussions de leurs inventions sur la sécurité et la protection de la vie privée. Il y a le principe de la protection de la vie privée et de la sécurité dès la conception, et nous devons probablement consacrer beaucoup plus d’efforts à la formation des ingénieurs informaticiens au sujet de ces pratiques ou disciplines pour nous assurer que les nouvelles technologies qui seront déployées dans les villes intelligentes, dans l’Internet des objets, auront des fonctions plus solides en matière de sécurité et de protection de la vie privée que ce que nous avons vu dans le passé.
Le sénateur Wetston : J’aimerais faire une observation simplement aux fins du compte rendu parce que je ne connais pas la réponse à la question. Dans le cas des banques et des compagnies d’assurance qui sont réglementées par le BSIF, le Bureau du surintendant des institutions financières, il me semble — et je n’en suis pas sûr, mais il serait intéressant de tirer les choses au clair — que les banques sont tenues de signaler les atteintes à la protection des données, contrairement peut-être à d’autres secteurs d’activité qui pourraient ne pas avoir une telle obligation. Je fais simplement suite à la question posée par le sénateur Massicotte et la sénatrice Wallin. Nous devrions probablement essayer d’obtenir une réponse à ce sujet parce que, de toute évidence, les institutions financières sont importantes. Vous n’avez peut-être pas de réponse à cette question, alors je ne fais que la poser.
Il y a un autre point sur lequel j’aimerais revenir. Quand je vous ai posé ma question sur l’interconnectivité, grâce à laquelle tout cela est possible, vous en conviendrez sans doute, j’ai parlé de risque — et le comité des banques s’intéresse souvent aux risques sur les marchés financiers —, mais il se trouve que le risque susceptible de s’être proposé d’un pays à l’autre, d’une institution à l’autre, n’est pas nécessairement attribuable à un mauvais comportement. Qu’il s’agisse d’un bon ou d’un mauvais comportement, ce risque se répandra, et on aura beaucoup de difficulté à le maîtriser et à le gérer sur les marchés financiers. Comme vous l’avez dit, il se peut que la technologie fonctionne d’une façon bien différente de ce que les créateurs avaient prévu au départ. Je ne sais pas si vous avez des commentaires à ce sujet. Je voulais donc aborder la question sous ses deux angles.
M. Dupont : Je suis d’accord avec vous. J’ajouterai un autre élément de complexité, à savoir le recours imminent à l’intelligence artificielle, ce qui permettra beaucoup d’autonomie au chapitre de la prise de décisions, augmentera la vitesse de propagation de certaines décisions et favorisera l’interconnectivité, moyennant une intervention humaine très limitée. C’est une chose à laquelle nous devons penser dès maintenant parce que les progrès et les innovations dans le domaine de l’intelligence artificielle se multiplient à un rythme effréné, et nous devons également réfléchir à ce qui arrivera le jour où nous déléguerons la gestion des infrastructures technologiques aux intelligences artificielles — peut-être pas demain, mais très bientôt.
Le sénateur Wetston : Autrement dit, l’avenir sera prometteur pour les algorithmes.
Le sénateur Enverga : Merci de l’exposé. J’aimerais revenir sur ce que vous avez mentionné tout à l’heure, à savoir que la cybersécurité est une des grandes priorités de notre pays. Vous avez dit que beaucoup de mesures s’imposent. Ma question est la suivante: que devons-nous faire? Pouvez-vous me nommer trois mesures que le gouvernement doit prendre pour protéger notre réseau ou pour assurer la cybersécurité?
M. Dupont : Je vais vous en indiquer une seule. Je crois que le gouvernement s’en tire très bien pour ce qui est de protéger ses propres systèmes, mais il doit continuer de coordonner les efforts des gouvernements provinciaux, des administrations municipales, de certaines industries et des consommateurs. À mon avis, une mesure qui pourrait avoir une incidence, c’est la création d’un nouvel organisme, probablement sous l’égide du Cabinet du premier ministre, organisme dont le rôle serait justement de coordonner les efforts.
Pour l’instant, nous souffrons d’une fragmentation excessive, car la responsabilité est répartie entre tous les intervenants. Puisque tout est lié et interdépendant, il serait utile d’avoir un organisme qui chapeauterait le tout et qui serait doté des capacités et des pouvoirs nécessaires pour comprendre la multiplicité des efforts déployés afin d’en promouvoir certains selon l’ordre de priorité, en plus de recueillir des données qui nous permettraient d’avoir une idée générale de la situation.
Je dirais donc qu’une des mesures à prendre serait de créer un nouvel organisme de cybersécurité qui n’empiéterait pas sur les responsabilités des organismes existants, mais qui servirait de point de coordination pour l’ensemble du gouvernement.
Le sénateur Enverga : Parlant de créer un nouvel organisme, y a-t-il d’autres pays qui ont adopté le même modèle? Est-ce le cas pour Singapour ou peut-être la Chine, comme vous l’avez dit plus tôt?
M. Dupont : Oui.
Le sénateur Enverga : J’ai posé hier une question sur le bilan de la situation actuelle au Canada et, pour une raison quelconque, je n’ai pas réussi à obtenir une réponse directe. Sur une échelle de 1 à 10, comment évalueriez-vous la cybersécurité, les infrastructures et l’état de préparation de notre pays?
M. Dupont : Eh bien, en tant que scientifique, je ne pourrais pas répondre à votre question, car nous n’avons aucune donnée ou, à tout le moins, les données dont nous disposons sont très limitées et, par conséquent, inutiles.
Le sénateur Enverga : Cette information nous est utile. Merci.
M. Dupont : Je crains que ce ne soit pas non plus une réponse directe.
[Français]
Le sénateur Massicotte : On a parlé plus tôt des bris de confidentialité. Ne serait-il pas utile que les victimes d’un manquement à la sécurité soient indemnisées ou aient le droit de poursuivre les compagnies qui n’auraient pas pris les mesures nécessaires pour protéger les renseignements confidentiels? Nous avons tous, à un moment ou un autre, signé une décharge quant à la responsabilité des compagnies. Toutefois, peut-être devraient-elles être tenues responsables? Si on imposait des conséquences aux compagnies qui n’ont pas pris les mesures nécessaires, celles-ci s’assureraient de mieux nous protéger à l’avenir. Est-ce une bonne idée? Est-ce possible? Est-ce faisable?
M. Dupont : Encore une fois, comme je l’ai indiqué, je ne suis pas juriste. J’imagine que tout est faisable. Avant de permettre ce type de poursuite, il pourrait être utile d’aider les entreprises qui détiennent ces renseignements personnels à comprendre ce à quoi on s’attend d’elles et les mesures de sécurité qui ont été démontrées comme produisant des résultats tangibles en matière de protection. À l’heure actuelle, les organisations et les entreprises disposent de très peu de directives qui leur permettent de savoir avec certitude quelles mesures elles peuvent prendre qui seront efficaces.
Vous entendrez dans quelques minutes deux représentants du Centre de la sécurité des télécommunications, lequel essaie justement de diffuser de l’information à ce sujet. Cependant, l’information demeure incomplète. Cette information sera utile. Avant de laisser les consommateurs poursuivre de grandes entreprises à titre individuel, ce qui risque d’être un combat inégal, il pourrait être intéressant de transmettre aux grandes et aux petites entreprises des attentes plus claires et des directives plus explicites sur les niveaux de sécurité auxquels on s’attend de leur part. À partir de là, si elles ne mettent pas en place les mesures nécessaires, on pourra ensuite, éventuellement, envisager des pénalités ou autoriser des poursuites si on se rend compte qu’elles n’ont pas fait le strict nécessaire.
[Traduction]
La sénatrice Unger : J’ai une question à vous poser pour donner suite à celle que j’ai formulée hier. Des chercheurs d’une université de Flandre, en Belgique, ont découvert une façon pour un pirate de lire les renseignements de nature délicate transmis à l’aide de réseaux Wi-Fi protégés par le protocole WPA2. Ce problème touchait les utilisateurs de tablettes et de liseuses numériques. Comme vous le savez probablement, cela a eu des répercussions considérables sur des services tels que ceux offerts par Amazon et Echo. Apparemment, oui, le gouvernement connaissait l’existence du problème en février, et il a fait ce qu’il fallait faire pour y remédier. Toutefois, si ce problème touche un nombre aussi important de gens qui utilisent des réseaux Wi-Fi, des tablettes et tous les appareils de ce genre, pourquoi n’en avons-nous pas été informés? Quelles obligations existent à cet égard? Google met au point un correctif et le distribue, mais les gens ignorent que le problème est survenu.
M. Dupont : Je pense qu’une des réponses à votre question pourrait être qu’en raison de la découverte d’un grand nombre d’alertes, d’incidents et de vulnérabilités, le gouvernement doit établir des priorités. Je crois qu’au cours des derniers mois et de l’été, les organismes gouvernementaux ont été très absorbés par leurs tentatives visant à mettre les gens en garde contre, par exemple, les rançongiciels, les crypto-verrouilleurs et toutes les applications malveillantes qui chiffrent l’ensemble de vos données et vous forcent à payer une rançon pour y avoir de nouveaux accès. Compte tenu des ressources limitées dont disposent les organismes gouvernementaux, il se peut qu’ils aient choisi d’accorder la priorité à un problème qui touchait un nombre assez important de Canadiens et de remettre à plus tard la question de la vulnérabilité du protocole WPA2, ce problème ayant été découvert en laboratoire par des chercheurs plutôt que dans la nature.
La sénatrice Unger : Merci.
Le vice-président : Chers collègues, veuillez vous joindre à moi pour remercier M. Benoît Dupont, qui est directeur scientifique du Réseau intégré sur la cybersécurité. Il est aussi titulaire de la Chaire de recherche du Canada sur la sécurité, l’identité et la technologie. De plus, M. Dupont enseigne à l’École de criminologie de l’Université de Montréal.
[Français]
Merci beaucoup, professeur Dupont, d’être venu nous rencontrer aujourd’hui.
M. Dupont : Merci de m’avoir invité.
[Traduction]
Le vice-président : Nous allons maintenant entendre notre deuxième groupe de témoins de la journée. J’aimerais souhaiter la bienvenue aux représentants du Centre de la sécurité des communications, qui a été mentionné à plusieurs reprises au cours de notre audience d’hier. Il s’agit de M. Scott Jones, chef adjoint, Sécurité des TI, et de M. André Boucher, directeur général, Partenariats en cybersécurité. Nous sommes heureux d’apprendre que vous êtes ici pour combler certaines lacunes en matière d’information.
Je vous remercie beaucoup de votre présence. Je crois comprendre que vous avez un exposé à donner. Nous échangerons ensuite des questions et des réponses. Merci.
Scott Jones, chef adjoint, Sécurité des TI, Centre de la sécurité des télécommunications : Merci beaucoup. Je m’appelle Scott Jones, et je suis sous-ministre adjoint de la Sécurité des TI, au Centre de la sécurité des télécommunications. André Boucher, directeur général des Partenariats en cybersécurité, m’accompagne aujourd’hui. Nous sommes heureux d’être des vôtres pour vous assister dans votre étude sur la cybersécurité et la cyberfraude.
[Français]
Il s’agit d’un sujet fort à propos et extrêmement important. Comme vous le savez, le Canada fait partie des pays comptant le plus grand nombre de connexions à Internet. Chaque jour, nous entendons parler de la façon dont le commerce électronique stimule la croissance économique et offre de nouvelles occasions à tous les secteurs de l’économie, ce qui comprend, entre autres, les services bancaires et les ventes en ligne. Bien entendu, les Canadiens ne peuvent récolter les fruits du commerce électronique que s’ils sont en mesure de mener en toute confiance leurs activités en ligne.
[Traduction]
Malheureusement, nous avons tous été témoins de cybercompromis qui ont mené à d’importantes pertes financières, ou encore porté atteinte à la propriété intellectuelle ou à la réputation d’une entreprise. De nos jours, les auteurs de cybermenaces ont des motivations et des capacités diverses, et présentent différents niveaux de menaces. Il s’agit notamment d’auteurs parrainés par un État, d’hacktivistes, de criminels et de terroristes capables de provoquer maintes perturbations, allant des attaques par rançongiciel à la divulgation de renseignements personnels.
Je peux d’ailleurs vous dire qu’à titre de responsables de la Sécurité des TI au CST, le principal organisme technique chargé de la cybersécurité du gouvernement, nous nous préoccupons grandement des vulnérabilités auxquelles les Canadiens s’exposent en ligne en raison de ces auteurs de menaces. Mon objectif aujourd’hui est de répondre à vos questions et de vous aider à mieux comprendre ce qu’est le CST, ce qu’il fait et la façon dont il collabore avec ses partenaires du gouvernement et, plus particulièrement, avec le secteur privé, pour contribuer à protéger l’information importante du Canada.
[Français]
Comme il s’agit de mon premier témoignage devant ce comité, permettez-moi de prendre quelques instants pour vous parler du CST. Le CST et l’un des principaux organismes de sécurité et de renseignement du Canada. Le mandat du CST est énoncé dans la Loi sur la défense nationale et l’organisme relève du ministre de la Défense nationale.
Notre mandat compte trois volets. La partie A comprend la collecte de renseignements étrangers, conformément aux priorités en matière de renseignement du gouvernement du Canada. La deuxième partie de notre mandat, la partie B, autorise le CST à fournir des avis, des conseils et des services pour aider à protéger les renseignements électroniques et les infrastructures d’information importantes pour le gouvernement du Canada. Ce sont les activités qui sont menées sous ma direction. Enfin, le troisième volet de notre mandat, la partie C, consiste à fournir de l’assistance technique et opérationnelle aux organismes fédéraux qui sont chargés de l’application de la loi et de la sécurité en vertu des fonctions que la loi leur confère.
Le CST est le centre d’excellence du Canada en matière de cyberopérations. Nous misons sur notre expertise technique du cyberenvironnement pour assurer la surveillance des systèmes du gouvernement fédéral, afin de repérer les cybermenaces complexes et d’agir pour les neutraliser.
Nos activités s’étendent bien au-delà du gouvernement fédéral. En outre, puisque la cybersécurité est la responsabilité de tous, le CST contribue à soutenir le secteur privé, particulièrement les infrastructures essentielles, en prodiguant de l’information et des conseils sur l’atténuation des cybermenaces. Il est ainsi possible de mieux protéger leurs systèmes et l’information importante qu’ils renferment.
[Traduction]
Les partenariats sont essentiels à la réussite de la mission de notre organisme. Nous savons qu’un échange d’information efficace facilite la gestion et l’atténuation des répercussions d’une cybermenace, et c’est pourquoi nous travaillons en étroite collaboration avec nos principaux partenaires, dont le ministère de la Sécurité publique, le Centre canadien de réponse aux incidents cybernétiques, l’organisme Échange canadien des menaces cybernétiques et le Comité consultatif canadien pour la sécurité des télécommunications, afin de concevoir une capacité plus robuste, capable de résister aux menaces et de défendre nos systèmes contre les diverses cybermenaces qui planent aujourd’hui.
Il importe toutefois de souligner que même les systèmes les plus sécurisés peuvent se révéler inefficaces s’ils ne sont pas utilisés correctement. Notre travail consiste essentiellement à mieux faire connaître les enjeux liés à la cybersécurité. À la lumière des nombreux conseils sur l’atténuation des cybermenaces que nous avons offerts aux ministères du gouvernement du Canada au fil des ans, nous avons dressé la liste des 10 meilleures mesures de sécurité des TI en vue d’aider à réduire considérablement la menace contre tous les types d’organismes. Vous trouverez la liste sur notre site web ainsi qu’une panoplie de conseils, d’avis et d’alertes. Par ailleurs, nous publions souvent des messages traitant des pratiques exemplaires en matière de cybersécurité sur notre compte Twitter et notre site web afin de mieux sensibiliser le public.
Je suis particulièrement heureux de m’adresser à vous sur cet enjeu important en ce mois de la sensibilisation à la cybersécurité. Dans le cadre de cet événement, on incite les Canadiens, les ministères et les organismes du gouvernement du Canada, à faire la promotion des pratiques à adopter pour accroître la cybersécurité.
Je ne saurais trop insister sur le fait que la cybersécurité est une responsabilité qui incombe à tous; aucune entité ne peut la garantir à elle seule. Nous devons mettre en place une cybersurveillance de quartier. Pour mieux protéger l’information sensible du Canada, il est primordial que nous prenions tous part aux initiatives liées à la cybersécurité. En unissant nos efforts, nous rendrons le Canada plus fort et plus résilient contre les cybermenaces.
Dans le cadre de cet effort, le CST procède aujourd’hui à la diffusion d’un produit appelé Chaîne de montage, un outil d’analyse et de détection des logiciels malveillants développé par l’organisme dans le cadre de son Programme de cyberdéfense en vue de détecter et d’analyser les fichiers malveillants dès leur réception. Chaîne de montage aidera les petites et grandes entreprises à mieux protéger leurs données contre le vol et les compromis. La plupart des logiciels de ce type sont exclusifs à une entreprise et ne sont pas mis à la disposition des développeurs de logiciels. Nous modifions cette tendance aujourd’hui.
Le CST met son outil Chaîne de montage à la disposition des entreprises, des chercheurs du secteur privé dans le domaine des logiciels malveillants, de l’industrie et du milieu universitaire. La diffusion de Chaîne de montage sert à la fois les intérêts du Canada et le travail qu’effectue le CST pour protéger les systèmes canadiens. La collectivité de la cybersécurité pourra ainsi assurer de concert l’évolution de ce logiciel de source ouverte fort utile.
[Français]
Si j’ai l’occasion de m’adresser à ce comité une deuxième fois, j’espère être en mesure de faire part aux membres du comité des résultats de la Chaîne de montage. Entre-temps, je vous remercie de me donner l’occasion de participer à cette étude.
Mon collègue et moi serons heureux de répondre à vos questions.
[Traduction]
Le vice-président : Merci beaucoup.
Le sénateur Wetston : Parlons de Chaîne de montage. Manifestement, vous êtes ici, et vous êtes très fier de cette réalisation. Je ne comprends pas vraiment en quoi consiste cet outil étant donné que c’est la première fois que j’en entends parler. Pourriez-vous renseigner le comité sur la nature de cet outil et sur ce qu’il est censé accomplir?
M. Jones : Chaîne de montage est un outil que certaines personnes décrivent comme le couteau suisse des outils d’analyse des logiciels malveillants. Il permet à une équipe d’analystes des logiciels malveillants d’y insérer divers types d’outils afin d’automatiser leurs processus. Il facilite le travail des analystes en éliminant les efforts manuels qu’ils doivent déployer pour examiner chacune des menaces. Il leur permet de se concentrer vraiment sur les nouvelles menaces non découvertes et d’optimiser leur temps précieux. Nous utilisons cet outil pour procéder au triage d’une énorme quantité d’activités cybernétiques visant le gouvernement. Nous souhaitions mettre cet outil à la disposition des autres afin qu’ils puissent faire la même chose que nous et éviter de passer du temps à élaborer l’infrastructure plutôt que des outils liés aux logiciels malveillants. Maintenant nous pouvons mettre l’accent sur ces menaces.
Le sénateur Wetston : Son utilisation n’entraîne pas de frais?
M. Jones : Ce logiciel de source ouverte est gratuit et peut être téléchargé par n’importe qui.
Le sénateur Wetston : Nous avons entendu un certain nombre de témoins hier, à savoir la GRC, le SCRS et le ministère de la Sécurité publique. Nous avons abordé alors certains enjeux, dont la collaboration et l’état de préparation de la cybersécurité canadienne. Pouvez-vous indiquer au comité où le Centre de la sécurité des télécommunications se situe dans ce cadre de collaboration? Je remarque que vous avez énuméré un certain nombre d’organisations, mais, mis à part le ministère de la Sécurité publique, je n’aperçois pas le SCRS ou la GRC dans la liste. Alors, pourriez-vous formuler des observations à ce sujet?
M. Jones : Au sein du gouvernement, nous collaborons assurément avec nos partenaires. Par conséquent, la GRC étant responsable des enquêtes criminelles, nous l’appuyons non seulement grâce à nos compétences techniques, mais aussi en la tenant au courant des éléments que nous observons dans l’environnement cybernétique en général. Nous nous assurons de tenir le milieu de la sécurité informé de tout ce que nous découvrons afin qu’elle soit aussi renseignée que nous. En outre, dans le cadre de la prestation de notre service, nous travaillons étroitement avec ses membres en raison des enquêtes liées à la sécurité nationale. En fait, dans notre nouvelle installation, ils sont nos plus proches voisins.
Nous nous employons à fournir nos compétences techniques approfondies; c’est le rôle fondamental que notre programme a joué au cours des 70 dernières années. Alors, au lieu de reproduire ce que font les autres, nous voulons apporter notre propre contribution, c’est-à-dire notre connaissance du milieu des TI, notre connaissance des auteurs des menaces qui découlent de notre expérience en matière de renseignements électromagnétiques étrangers et notre observation des activités des acteurs étrangers. Lorsque nous intervenons dans le cadre d’un incident, nous travaillons avec le milieu de la sécurité en nous assurant qu’un groupe est responsable, mais en reconnaissant également le rôle de toutes les organisations participantes. S’il s’agit du secteur privé, le CCRI et le ministère de la Sécurité publique seront les organisations responsables. Nous veillerons alors à leur apporter toute l’aide que nous pouvons.
Le sénateur Wetston : Je n’ai pas posé cette question à la GRC hier, mais j’aimerais savoir dans quelle direction la cybercriminalité s’engage et connaître les outils d’enquête qui sont nécessaires pour recueillir les éléments de preuves, pour évaluer si une infraction criminelle a été commise, pour procéder à l’enquête et pour mener l’affaire devant les tribunaux. Votre organisation pourrait-elle aider la GRC à mener une enquête criminelle? Dans l’affirmative, une telle enquête a-t-elle déjà été menée?
M. Jones : Si la GRC demandait notre aide, elle le ferait en vertu de la troisième partie de notre mandat, la partie C, qui correspond au soutien de l’application de la loi et des organismes de sécurité. En même temps, nous voulons nous assurer que l’application de la loi est exercée par les gens qui sont les mieux placés pour le faire, et ces gens sont les membres de la Gendarmerie royale du Canada. Nous leur apportons l’aide qu’ils demandent en vertu des pouvoirs légitimes dont ils sont investis pour exercer ce genre d’activités.
En ce qui concerne la question de savoir si des incidents de ce genre sont survenus, je dirais que nous travaillons régulièrement avec les membres de la GRC afin de leur faire part de la situation générale. En toute honnêteté, si une enquête particulière survenait, nous limiterions grandement nos communications à ce sujet, car il reviendrait à la GRC de formuler des commentaires. Je ne suis pas au courant d’un cas en particulier, mais nous avons accompli beaucoup de travail général avec eux.
Le sénateur Wetston : Je me demande simplement si des poursuites rendues publiques ont été intentées et si les divers organismes gouvernementaux ont appuyé la GRC, parce qu’elle dispose peut-être de nombreux outils, mais elle ne dispose pas de la totalité d’entre eux. Évidemment, je comprends que vous puissiez ne pas avoir accès à cette information.
[Français]
Le sénateur Massicotte : Merci à vous deux d’être parmi nous ce matin. Je suis toujours à étape où j’essaie de me faire une opinion sur la gravité du piratage et de la menace qu’on subit en tant que consommateur, citoyen et chef d’entreprise. Est-ce un problème très important? On en a entendu beaucoup parler aux États-Unis, particulièrement lors des dernières élections. Récemment, Equifax Canada a été la cible d’un incident de cybersécurité. En tant que client de ces entreprises, cela me frustre de savoir que mes renseignements confidentiels ont été compromis, que quelqu’un en qui j’avais confiance m’a trahi et qu’on n’a pas pris les mesures nécessaires pour prévenir de tels incidents.
Est-ce une question de malchance ou est-ce quelque chose de très important? En tant que citoyens canadiens et comme gouvernement, devrions-nous changer notre façon de faire en consacrant plus d’efforts ou en investissant plus d’argent pour mieux gérer tous ces risques?
André Boucher, directeur général, Partenariats en cybersécurité, Centre de la sécurité des télécommunications : Bonjour, et merci de votre question. Oui, il s’agit d’un problème concret et réel pour les Canadiens et les Canadiennes. Ce que vous voyez, en fait, c’est une migration. Auparavant, on le faisait en se déplaçant. Une personne allait cogner à la porte de votre banque pour prendre vos renseignements et votre argent. Ce mode de criminalité se fait désormais par voie électronique. Malheureusement, je pense que c’est inévitable. Les gens qui ont de mauvaises intentions évoluent avec la technologie qui est disponible et essaient d’en tirer avantage. En fait, les Canadiens sont tout aussi ciblés que n’importe qui dans le monde.
Pour ce qui est de savoir si on déploie suffisamment d’efforts, je crois que le parallèle demeure. Je pense que les gouvernements doivent définitivement jouer un rôle en prenant des mesures pour contrer la cybercriminalité. Les mauvais acteurs qu’on a connus par le passé ont tout simplement évolué vers le monde technologique. Le CST a un rôle d’expert technique à jouer dans cette sphère. On a vécu l’évolution technologique, on en a fait partie, on s’en est servi dans notre travail et on a vu, dans le cadre de nos activités, l’évolution des mauvais acteurs. Cela nous donne une position stratégique pour pouvoir intervenir au sein de notre communauté.
Le sénateur Massicotte : J’ai vraiment l’impression qu’on risque de perdre cette bataille contre le crime organisé. On reçoit des courriels à la recherche d’information presque tous les jours, et ce sont souvent de très bonnes imitations de nos banques canadiennes. Nous nous méfions de ces fausses alertes. Imaginez les personnes qui sont moins outillées, qui ont moins de connaissances ou qui sont moins habituées à ce concept. Je suis certain que des sommes importantes sont réclamées chaque jour parce que personne ne dénonce ces fraudeurs.
Je vois cela comme une course entre vous, l’ordre et le milieu criminel qui génère des millions, sinon des milliards de dollars en manipulant l’information. Cela attire les meilleures connaissances. Cela me fait peur aussi. Nous allons perdre la bataille parce que ces personnes sont bien outillées, sont motivées financièrement et sont très bien payées. Qu’est-ce qu’on fait? Nous sommes exposés à cela et je crois que nous allons perdre la bataille.
M. Boucher : J’aimerais faire un autre parallèle, parce que la situation peut être envisagée de façon simple. Nous avons tous appris à répondre aux colporteurs qui viennent frapper à notre porte pour nous vendre un produit ou un service. Nous avons appris à faire preuve de discernement, à déterminer si une personne est légitime ou non. Il faut maintenant le faire dans le monde électronique. C’est plus difficile, parce qu’il faut faire un bon en avant beaucoup plus rapide que par le passé. Il faut reconnaître que c’est une réalité. Il faut aussi sensibiliser les consommateurs et les citoyens pour qu’ils apprennent à reconnaître, dans leurs interactions sur Internet, ce qui est légitime et illégitime. Plus de 88 p. 100 des Canadiens sont branchés. Il s’agit d’un problème bien réel.
Le sénateur Massicotte : Merci.
[Traduction]
Le sénateur Enverga : Je vous remercie de votre exposé. Vous avez mentionné les acteurs étrangers. Y a-t-il des pays en particulier qui semblent nous préoccuper davantage? Vous n’avez pas besoin de les nommer. Je veux simplement savoir s’il y a des pays précis dont nous devrions peut-être nous soucier.
M. Jones : En ce qui concerne les pays, je crois que l’avantage et l’inconvénient d’Internet, c’est que l’information peut provenir de n’importe quel endroit. Il y a certainement des pays qui causent plus de difficultés à la GRC lorsqu’elle s’apprête à mener des enquêtes. À mon avis, l’un des plus grands défis à relever, c’est qu’au lieu de prendre des contre-mesures techniques, sur lesquelles nous nous concentrons habituellement lorsqu’il est question de cybermenaces, et d’avoir recours à l’application de la loi, il faut déployer d’importants efforts intergouvernementaux pour attraper les cybercriminels. On peut dissimuler sa présence sur Internet, et on peut passer d’un pays à l’autre.
Je dirais que, lorsque des pays d’origine semblent ressortir, les auteurs de ces crimes se déplacent très rapidement selon les circonstances et les endroits où ils pensent être en mesure de mieux se cacher. Les cybercriminels se rendent dans l’État qui convient le mieux à leurs activités et avec lequel il est le plus facile de transiger. Il en va de même des États, en ce sens qu’ils visent différents objectifs en fonction de ce qu’ils recherchent sur Internet. Le fait est qu’il est très facile de passer incognito.
Entre autres choses, les gens cherchent vraiment à attribuer la responsabilité à quelqu’un. C’est la première question qu’on me pose lorsqu’un incident survient: qui est le responsable? Il est maintenant difficile de faire la distinction entre les États et les criminels. Comme cela a été signalé auparavant, leur degré de perfectionnement a augmenté. Par conséquent, la question n’est plus de savoir quels pays facilitent la tâche aux criminels et quels criminels sont à l’œuvre. La question est de savoir si nous pouvons accroître notre résilience et de déterminer comment le monde doit réagir au fait qu’Internet est un milieu sans borne où la territorialité ne s’applique pas vraiment. Il est possible de s’y cacher. Il s’agit presque d’un nouveau domaine que nous n’avons pas encore maîtrisé.
Le sénateur Enverga : Vous avez mentionné Chaîne de montage. Pratiquement tout le monde pourra avoir accès à cet outil? J’entends par là que ce sera un genre de logiciel gratuit à la disposition de tous.
M. Jones : Oui.
Le sénateur Enverga : Compte tenu de votre expérience et de vos compétences, vous attendez-vous à ce que cet outil apporte un soutien universel, en tant que solutions de rechange aux autres logiciels antivirus et anti-pourriels? Selon vous, sera-t-il utilisé ainsi?
M. Jones : L’outil ne remplace aucun produit commercial vendu en ce moment ni les mesures que nous devrions tous prendre, comme l’exécution de produits antivirus ou anti-pourriels efficaces et actualisés, l’application de correctifs à nos systèmes et la mise à niveau continuelle de nos technologies.
L’outil permet aux chercheurs et aux analystes du domaine des logiciels malveillants, ainsi qu’au personnel de première ligne des grandes organisations, de combiner différents outils afin d’éviter d’avoir à les exécuter manuellement. Vous n’êtes plus forcés d’exécuter l’outil A, puis de transférer manuellement les résultats à l’outil B. Chaîne de montage vous permet de regrouper tous ces différents éléments de manière à automatiser le déroulement du travail. L’utilisation de cet outil est vraiment axée sur la recherche universitaire dans le domaine des logiciels malveillants, sur les entreprises spécialisées en cyberdéfense ou sur les grandes sociétés qui doivent prendre en charge ce genre de travail.
Par exemple, ce n’est pas le genre de logiciel que j’exécuterais à la maison si je n’étais pas un mordu de la cybersécurité. Selon moi, c’est un outil qu’une grande entreprise téléchargerait et exécuterait. Ce n’est pas un outil que nous, les citoyens, rechercherions. Grâce à cet outil, nous tentons vraiment de stimuler toute cette industrie, sachant que nous dépendons d’elle pour la fourniture de ces services.
Le sénateur Enverga : Compte tenu de tous les problèmes actuellement liés à la cybercriminalité et à la cybersécurité, quel est le premier point d’entrée? Croyez-vous que nos fournisseurs de services devraient surveiller cet aspect? Peuvent-ils d’une certaine façon rendre le tout sécuritaire pour que tout le monde profite d’une connexion sécurisée?
M. Jones : Le véritable problème est que les appareils des utilisateurs sont les points vulnérables. Nous utilisons par exemple des systèmes désuets ou d’anciennes versions de systèmes d’exploitation ou nous n’installons pas la rustine sur notre téléphone intelligent au moment où il faut le faire. C’est l’Internet des objets, comme les thermostats que nous avons dans nos maisons. Ce sont les points d’entrée où nos fournisseurs sont vulnérables. Un fournisseur au milieu qui joue le rôle de défenseur devrait en fait interdire une énorme quantité d’activités. Vous commenceriez vraiment à entraver l’utilisation d’Internet.
Nous devons vraiment nous assurer que la résilience des systèmes des utilisateurs est renforcée et que ces systèmes peuvent être facilement mis à jour. Vous ne devriez pas avoir à vous inquiéter lorsque vous utilisez un nouveau logiciel. Comment nous assurer que c’est sécuritaire par défaut? Cela signifie que les consommateurs n’ont pas à s’en soucier. L’appareil est sécuritaire par défaut. Il n’est pas nécessaire de prendre des mesures complexes pour veiller à ce que l’appareil soit toujours à jour. Actuellement, dans la majorité des cas, une telle mesure complexe est nécessaire.
Le sénateur Enverga : Le fournisseur de services peut-il empêcher l’utilisateur de se servir de son appareil pour s’assurer que tout le monde peut être protégé?
M. Jones : Par exemple, dans le cas des fournisseurs de services de courriel à la maison, la majorité d’entre eux redoublent d’efforts pour essayer de réduire les pourriels et les maliciels connus; ils essaieront de vous protéger. Au bout du compte, c’est un équilibre pour laisser les gens faire ce qu’ils veulent. Il y a certaines choses que les fournisseurs ne peuvent simplement pas empêcher. Ils ne peuvent certainement pas bloquer les courriels, par exemple, étant donné que vous utilisez leurs services. C’est un exemple facile. Si le thermostat que vous avez installé dans votre domicile est vulnérable à une cyberattaque externe, il y a très peu de choses que peuvent faire à ce sujet vos fournisseurs de services. Ils peuvent protéger le reste du monde de votre appareil, mais ils ne pourront pas vous protéger de ce que fera votre appareil.
M. Boucher : C’est un problème vraiment complexe, parce que cela concerne l’écosystème interne. En plus de l’appareil que vous branchez au système, de vos propres responsabilités quant à son utilisation adéquate et, comme vous l’avez souligné, des gens qui apportent des données dans votre maison par l’entremise de votre véhicule, il y a également les fabricants des appareils, les fournisseurs et les fabricants des systèmes ou ceux qui exploitent certains systèmes au nom d’autres personnes. Toute personne qui participe à la prestation et à l’exploitation de l’écosystème doit générer le niveau de sécurité dont nous avons besoin.
Le sénateur Enverga : C’est inquiétant.
La sénatrice Unger : Je vous remercie de votre exposé. Monsieur Jones, vous avez mentionné qu’ensemble nous pouvons rendre le Canada plus fort et plus résilient contre les cybermenaces. Que devons-nous faire pour renforcer notre résilience?
M. Jones : Selon moi, nous pouvons tabler sur plusieurs éléments. Premièrement, c’est un sport d’équipe. En tant que citoyens, nous devons tout d’abord nous améliorer et être plus conscients de la technologie que nous utilisons. Nous devons demander de meilleurs produits lorsque nous magasinons. Nous devons demander que ce soit sécuritaire par défaut, tout comme nous nous attendons à ce que viennent de série certaines fonctionnalités de sécurité, par exemple, lorsque nous achetons un véhicule. Nous devrions exiger que des éléments de sécurité soient intégrés dans les appareils branchés à Internet.
Nous devons collaborer avec l’industrie pour nous assurer de mettre en œuvre l’écosystème dont nous avons parlé et de trouver une nouvelle manière d’établir des relations. Actuellement, nos relations ont énormément tendance à se fonder sur une réglementation qui repose sur la confrontation. Malheureusement, Internet évolue plus rapidement que nous arrivons à conclure de telles ententes officielles, ce qui signifie que nous devons collaborer. Nous devons trouver une manière de collaborer où tout le monde en sort gagnant pour nous attaquer ensemble à ce problème. Cela passe au départ par les citoyens et l’information; il faut poser les bonnes questions, acheter les produits qui sont sécuritaires dès le départ et faire en sorte que ce soit un aspect prisé par les consommateurs. Nous devons également déterminer la manière dont le gouvernement peut s’assurer que nous faisons notre travail de concert avec l’industrie.
Cela semble un peu naïvement optimiste. Je le sais, mais ce sera vraiment la seule façon de renforcer la résilience dans le domaine de la cybersécurité; nous devons établir des partenariats, collaborer, trouver des moyens de renforcer tout le monde et chercher de telles occasions. C’est vraiment un aspect sur lequel nous nous penchons depuis quelques années.
La sénatrice Unger : Il y a un projet de loi visant à créer la Loi sur le Centre de sécurité des communications qui éliminera les ambiguïtés en ce qui a trait à ce qu’il nous est permis de faire et à ce que nous sommes autorisés à faire dans le cyberespace. Pouvez-vous nous dire quelques mots à ce sujet?
M. Jones : Le mandat du Centre de sécurité des communications se trouve dans l’actuelle Loi sur la Défense nationale. Cette partie de la Loi sur la Défense nationale a été créée en 2001, et les technologies ont considérablement évolué depuis. Le mandat de notre organisme est en fait une ligne de cette loi: fournir des avis, des conseils et des services pour aider à protéger les renseignements électroniques et les infrastructures d’information importantes pour le gouvernement du Canada.
Cela remonte à bien avant la cybersécurité. En fait, nous n’utilisions pas l’expression « cyber ». Les téléphones intelligents n’étaient pas encore inventés. Nous ne savions pas qu’un iPhone s’en venait. Les technologies ont considérablement évolué. Honnêtement, nous mettions passablement l’accent sur un aspect: notre seul travail est le gouvernement du Canada. La situation a pris de l’expansion, et nous avons commencé à en voir les effets potentiels sur les infrastructures essentielles dans les divers secteurs, y compris les finances, les transports, et cetera; nous avons premièrement réalisé que nous avons des outils de calibre mondial que nous utilisons pour défendre le gouvernement. Nous n’avons trouvé personne qui défend leur organisme comme nous sommes en mesure de défendre le gouvernement du Canada. Par exemple, il n’est pas rare de prendre un milliard de mesures par jour pour protéger le gouvernement du Canada d’activités malveillantes.
Nous aimerions rendre disponibles ces outils. Actuellement, la Loi sur le Centre de sécurité des communications nous permettrait, à la demande d’une entreprise ou d’un fournisseur d’infrastructure essentielle, si le ministre désigne cela comme étant important, de déployer ces outils pour assurer notre protection et d’utiliser des techniques classifiées pour assurer notre défense, au besoin. Nous ne pouvons pas le faire actuellement. Voilà la première ambiguïté qui serait réglée, et cette mesure législative nous donnerait un tel pouvoir. Certains croient que nous pouvons le faire actuellement, mais nous ne le pouvons pas. Je peux seulement offrir ces services au gouvernement du Canada.
Deuxièmement, cela définirait la forme que prendrait l’échange de renseignements. Nous n’avons jamais prévu le besoin d’échanger divers éléments comme des indicateurs de compromission, des outils, des techniques et la façon dont une personne peut compromettre un système. Nous avions imaginé en 2001 que notre rôle viserait à expliquer comment sécuriser votre système d’exploitation Windows 95 à la maison — c’était Windows 95 à l’époque — ou Windows 2000. Nous ne pensions pas que cela prendrait la forme d’un bref communiqué à publier sur un indicateur de compromission. En défendant le gouvernement, nous détectons parfois que des infrastructures canadiennes ont été compromises. Nous devons avoir les moyens de diffuser cette information. Cette possibilité n’a jamais été prévue. Ce projet de loi précise tout simplement les aspects ayant trait à l’échange de renseignements.
Troisièmement, la mesure législative ajoute un nouveau rôle : les cyberopérations défensives. Cela vise à intervenir dans l’infrastructure mondiale pour protéger des systèmes canadiens. Si quelque chose doit être fait, le mécanisme défensif vise à arrêter l’activité avant qu’elle touche l’infrastructure canadienne, mais nous devons évidemment pour ce faire obtenir les autorisations appropriées, assurer une surveillance adéquate et avoir les bons mécanismes d’examen en place. C’est le troisième élément du mandat qui est précisé par le projet de loi.
La sénatrice Unger : J’ai une dernière petite question. Le gouvernement exerce vraiment des pressions pour réaliser des études sur les véhicules automatisés. J’habite à Edmonton, et notre administration municipale souhaite également mettre l’accent sur cet aspect. À Edmonton, des dispositifs spéciaux sont déjà installés sur des poteaux et de grands édifices pour communiquer avec les véhicules automatisés. Je présume que ce sera une réalité dans quelques années, mais je me demande si ce sera vraiment plus facile. Des gens peuvent pirater ces véhicules à des fins précises. À mesure que cela deviendra réalité, constaterons-nous une forte hausse de la cybercriminalité?
M. Jones : Nous voyons la tendance se dessiner. L’industrie commence à réagir, et cela fait partie des partenariats. Nous devons intégrer dès le départ la sécurité dans ces véhicules. Si une personne pirate certains éléments de votre véhicule, comme votre système de divertissement, ce ne sera probablement pas plaisant, mais ce n’est pas dangereux. Par contre, si l’individu pirate vos freins et bloque vos freins ou votre volant ou vous fait dévier de votre route, c’est un problème beaucoup plus important. La conception de la sécurité doit notamment veiller à ce que les éléments de cette infrastructure soient hautement défendus, protégés et isolés pour éviter qu’ils soient très facilement piratables.
Normalement, ce que nous constatons dans les divers cas de cybercompromissions, c’est que les gens ne s’attaquent pas directement au système qu’ils cherchent à pirater. Ils piratent quelque chose qui est branché à ce système. Nous devons nous assurer que le système de contrôle du véhicule est très fortement défendu et probablement très isolé. Nous ne consacrerons probablement pas autant d’énergie à la sécurité du système de divertissement. J’utilise cela comme exemple, parce qu’il s’agit probablement du dispositif le moins important dans votre véhicule du point de vue des véhicules automatisés. Sa conception doit être adéquate. Nous devons adéquatement isoler le tout, et la conception de la sécurité doit être appropriée; nous devons nous assurer qu’aucun élément ne peut servir de point de départ. C’est également quelque chose que nous faisons dans l’environnement actuel.
Je crois qu’il y a une solution, et nous appuyons le ministère des Transports pour réussir à la trouver ensemble. Nous avons établi un partenariat avec lui. Je sais que le ministère collabore également avec l’industrie automobile, et je crois que nous le faisons, parce que c’est l’avenir.
La sénatrice Unger : C’est bon à entendre. Merci.
[Français]
Le sénateur Maltais : Aujourd’hui, on va vous parler d’un citoyen ordinaire qui a simplement le câble, Internet et le Wi-Fi sur son ordinateur. Il sauvegarde sa comptabilité, il accède à ses comptes de banque, à ses avoirs, il suit la bourse, comme un peu tout le monde le fait au Canada. Si je vous ai bien compris, cet individu n’est pas du tout en sécurité. Plusieurs personnes pourraient aller jouer dans son ordinateur.
Une chose m’intrigue. Les drones sont une source épouvantable de renseignements pour les malfaiteurs. Il suffit pour eux de positionner le drone au-dessus de votre maison, et ils pourront alors photographier et tout enregistrer. Ce phénomène est maintenant présent dans les aéroports. On en a eu la preuve à Québec, en fin de semaine, où un drone a failli causer une catastrophe. Comment se fait-il qu’aujourd’hui, avec toutes les mesures de sécurité dont nous disposons, nous ne soyons pas en mesure de les capter à l’aide d’un simple radar ni de les détruire avant qu’ils ne causent de réelles catastrophes? Nous avons été chanceux, car il n’y a pas eu de catastrophe à Québec. Toutefois, il aurait pu en être autrement. Comment se fait-il qu’on ne puisse protéger un mode de transport parmi les plus importants au Canada et partout ailleurs d’un petit objet qui peut causer la mort de centaines de personnes? Comment pouvez-vous expliquer ce phénomène?
M. Boucher : Je vais élargir votre question, qui rejoint un peu celle de la sénatrice Unger sur les différents appareils qui voient le jour et qui sont tous connectés de façon électronique. La conversation doit comporter deux aspects. Il y a l’utilisateur malveillant, et cette responsabilité découle de la sécurité publique. Le drone, dans votre exemple, présentait-il un problème de design?
Comme l’a mentionné M. Jones, je crois que nous avons un travail à faire pour veiller à ce que les différents appareils construits et connectés à Internet pour différentes fonctions, y compris le transport des marchandises, respectent des normes minimales de sécurité. Ces protections rendront les véhicules autonomes, les drones et les systèmes de chauffage dignes de confiance, comme le sont une foule d’autres appareils.
Je crois que c’est une question de normes de sécurité. C’est un problème qu’on voit venir, et on est déjà engagé aujourd’hui à le résoudre. Il y a des gens en recherche et développement qui y travaillent. Les manufacturiers sont au courant et ils ont tout à gagner à bien faire les choses. Je crois que c’est un problème réel que l’on comprend et pour lequel on peut prendre des mesures.
Le sénateur Maltais : Je vous comprends. Toutefois, un drone est beaucoup plus dangereux. Mon thermostat, je peux l’arrêter manuellement ou en coupant l’électricité s’il chauffe. Si je fais partie des 125 passagers dans un appareil Q400, je ne peux arrêter le drone.
Ce n’est pas d’hier que les drones ont été inventés. Ils circulent depuis quelques années. Comment se fait-il qu’on ne soit ni en mesure de les arrêter ni capable d’identifier les sources? Je ne sais pas combien de millions de passagers dans le monde voyagent par avion. Je ne peux concevoir que les organismes de recherche n’aient pas déjà trouvé le moyen de les identifier, de les détruire et de poursuivre les individus ou groupes qui les ont mis en circulation. J’ai de la difficulté à comprendre ce phénomène. Nous sommes en 2017, nous serons bientôt en 2018. Il y va de la protection de millions de personnes.
Aujourd’hui, on va sur mars, sur la lune et un peu partout. Cependant, on n’est pas capable de détruire un petit drone qui peut causer le décès de quelques milliers de personnes. Pouvez-vous nous dire si, dans un avenir rapproché, au lieu de développer les iPhone 3 au iPhone 14, on aura un petit dispositif dans les aéroports qui puisse détecter les drones qui se trouvent à proximité afin que les avions puissent atterrir en toute sécurité?
M. Boucher : Je n’ai pas de réponse précise à votre question. Je crois que la mise en priorité de nos infrastructures critiques et les actions de sécurité qui s’y joindront se situeront probablement en aval de ce que vous demandez. Grâce au travail que nous faisons en ce moment, qui a été planifié conjointement avec les organismes de sécurité publique pour mieux nous situer dans le but d’intervenir auprès du secteur privé en ce qui concerne les infrastructures critiques, ce problème devrait émerger et être examiné. Je suis d’accord avec vous quant à l’ampleur du problème.
Le sénateur Maltais : Quelqu’un qui se fait vider son compte de banque peut en mourir, mais il faudra un peu plus de temps. Or, un drone qui frappe un avion cause la mort instantanément. La personne humaine a plus de valeur à mes yeux qu’un compte de banque.
[Traduction]
La sénatrice Wallin : Je m’excuse d’avoir manqué votre exposé. Ironie du sort, j’ai reçu un appel de mon institution financière concernant une fraude et j’ai dû m’en occuper. Si vous avez traité de cette question, vous n’avez qu’à me le mentionner, et je consulterai le compte rendu.
Je sais que cela ne vise pas votre champ de compétence, mais j’aimerais avoir votre opinion compte tenu de votre expertise. Devons-nous en fait rendre obligatoire la déclaration des incidents? Dans l’affirmative, à quel organisme les signalerions-nous?
M. Jones : Vous posez en fait là une question très complexe. Il y a divers éléments.
Actuellement, les victimes de tout cyberincident sont en fait celles qui en font le plus les frais. Toute déclaration cause un grand tort à la réputation ainsi qu’une certaine panique. Malheureusement, c’est lié à la grande question des problèmes de sécurité dans l’industrie. Nous essayons de nous attaquer à la croissance rapide et à l’attrait économique de la cybercriminalité.
L’obligation de déclarer toute atteinte à la sécurité doit être faite très minutieusement, parce que cela peut en fait avoir l’effet contraire, soit de susciter une certaine panique. Dans bien des cas, ce que nous avons actuellement, c’est la déclaration des atteintes à la sécurité, ce qui ne vous permet pas de prendre de mesures.
Nous devons vraiment en priorité éliminer les préjugés entourant les victimes de cybercriminalité, contribuer à renforcer leur résilience en vue de contrer la cybercriminalité et cerner les causes communes. Ce sont pratiquement toujours les mêmes gestes qui ont mené à l’atteinte à la sécurité. C’est très rarement, en particulier dans le secteur financier, l’industrie financière qui est en cause. L’atteinte à la sécurité prend naissance normalement très loin dans la chaîne d’approvisionnement. Comment renforcer cette résilience et commencer à mettre en pratique les leçons retenues à l’avenir?
La sénatrice Wallin : Notre précédent témoin nous a expliqué qu’il faudra signaler toute atteinte à la sécurité au commissaire à la protection de la vie privée, mais le but n’est pas clair. Est-il utile de communiquer ces renseignements à la GRC, à votre organisme, au SCRS ou à d’autres? Pouvez-vous vraiment faire quelque chose à ce chapitre? Nous entendons également sans cesse que nous sommes surchargés dans le domaine.
M. Jones : Nous avons notamment essayé d’être les meilleures victimes possible. Le gouvernement du Canada subit des compromissions, peu importe ce que nous faisons. C’est l’époque dans laquelle nous vivons. Lorsque je prends la parole devant des entreprises, je dis toujours aux gens qu’une compromission est possible, peu importe ce qu’ils font. Il n’y a aucun moyen de l’éviter, mis à part de débrancher l’appareil.
Nous essayons d’être les meilleures victimes possible. Nous prenons la parole; nous informons les gens sur ce qui s’est passé et nous prenons toutes les mesures pour nous protéger et en déterminer les effets sur la protection des renseignements personnels. Nous collaborons avec le commissaire à la protection de la vie privée. Nous essayons de donner l’exemple. Avec un peu de chance, cela permettra de commencer à réduire les préjugés entourant les victimes de cybercriminalité et de trouver des moyens de nous y attaquer. Comment pouvons-nous nous assurer de renforcer notre résilience? Nous devrions être tenus de renforcer notre résilience pour que la même situation ne se reproduise plus.
La déclaration des atteintes à la sécurité est en fait un sujet vraiment difficile pour cette raison. Elle a tendance à mettre davantage l’accent sur l’atteinte à la vie privée plutôt que l’intervention. Vous examinez un incident dans le domaine des communications et vous commencez à le minimiser plutôt qu’à déterminer ce qui s’est vraiment passé. J’ai appris lors d’interventions en cas d’incident que votre opinion au jour 1 sera différente de ce que vous penserez rendu au jour 30. C’est toujours quelque chose de différent et de beaucoup plus complexe.
La sénatrice Wallin : Il faut peut-être un processus, parce que la réponse est que c’est complexe et que nous ne devrions donc rien faire, n’est-ce pas?
M. Jones : Selon moi, l’objectif est de trouver un moyen de contribuer à améliorer la situation grâce à nos interventions, à protéger les renseignements privés compromis et à cerner ce qui s’est produit. C’est la position que nous essayons d’adopter. Lorsqu’une personne vient nous demander notre aide, nous voulons essayer de nous assurer que le gouvernement fait ce qu’il peut pour l’aider et la conseiller.
Je tiens vraiment à mettre l’accent sur la façon de trouver le moyen de nous assurer que ce même type d’atteinte ne se reproduit plus jamais, mais c’est vraiment un sujet difficile. C’est un secteur où il y a des avantages et des inconvénients.
La sénatrice Wallin : De quel côté devrions-nous pencher pour l’instant?
M. Jones : Je crois que nous devrions vraiment mettre l’accent sur le renforcement de la résilience des gens et prendre des mesures pour les rendre plus forts.
La sénatrice Wallin : Cependant, comment pouvons-nous renforcer leur résilience si vous n’êtes pas au courant qu’un incident est survenu?
M. Jones : Nous le faisons en collaborant avec l’industrie pour définir des normes et déterminer les pratiques exemplaires dans le domaine de la cybersécurité. L’industrie réussit de mieux en mieux à établir des points de référence pour ces éléments. Je m’appliquerai à vraiment déterminer comment nous pouvons fixer ensemble des normes suffisamment élevées. Cela contribuerait à prévenir une grande partie de la cybercriminalité.
Par exemple, le gouvernement n’est pas plus à l’abri de la cybercriminalité que les autres, mais nous sommes en mesure de pratiquement arrêter toutes les attaques. Nous sommes pratiquement immunisés à ces attaques, parce que nous avons suffisamment renforcé notre résilience et que nous pouvons bloquer les attaques et prendre des mesures. Le gouvernement arrive de mieux en mieux à mettre en œuvre nos 10 grands éléments fondamentaux. Ce n’est pas parfait, mais la situation s’améliore. Quiconque prétend avoir atteint la perfection dans le domaine de la cybersécurité est un menteur.
Bref, cela nous permet de faire abstraction de plusieurs catégories d’activités malveillantes. Ensuite, vos ressources en sécurité informatique peuvent se concentrer sur les attaques vraiment complexes et les activités que vous devez vraiment repérer. Actuellement, l’industrie se fait manger tout rond par de la cybercriminalité de bas étage, qui a, par contre, d’énormes répercussions.
La sénatrice Wallin : C’est un point intéressant.
Le vice-président : Monsieur Jones, avant de passer à la deuxième série de questions et aux deux sénateurs sur ma liste qui ont des questions complémentaires, nous avons beaucoup parlé de votre collaboration avec le secteur privé et du soutien que vous lui offrez. À mon avis, ce serait utile pour nous si vous pouviez nous décrire très brièvement les divers partenaires que vous avez nommés. Vous avez mentionné plusieurs importants organismes partenaires et leur mandat. Je vous saurais gré de bien vouloir nous aider à cet égard. Le Centre canadien de réponse aux incidents cybernétiques est le premier que vous avez mentionné.
M. Jones : Avec plaisir. Adam Hatfield, qui est venu répondre à vos questions hier, est le directeur de cet organisme relevant de Sécurité publique Canada. C’est l’organisme qui assume la direction générale des interventions en cas d’incident cybernétique, soit l’équipe nationale d’intervention en cas d’incident cybernétique. Voilà pour ce qui est du Centre canadien de réponse aux incidents cybernétiques.
Le vice-président : Si l’industrie a un problème, elle est au courant qu’elle peut communiquer avec cet organisme, et les membres de l’industrie ont son numéro de téléphone ou son adresse courriel sur leur bureau.
M. Jones : C’est ce que nous espérons. Si une industrie nous demande l’organisme avec lequel elle doit communiquer en cas d’incident, nous lui disons certainement de communiquer avec le Centre canadien de réponse aux incidents cybernétiques et nous nous ferons un devoir de collaborer avec nos collègues au sein d’Équipe Canada pour intervenir en cas d’incident.
Le vice-président : Qu’en est-il de l’Échange canadien de menaces cybernétiques?
M. Jones : L’Échange canadien de menaces cybernétiques est un organisme sans but lucratif qui a été mis sur pied par l’industrie canadienne en vue de favoriser l’échange de renseignements cybernétiques. Par exemple, il peut s’agir d’indicateurs de compromission. C’est un moyen de faire sauter les préjugés entourant les victimes et de communiquer lorsqu’une atteinte survient. Il faut communiquer ce qui s’est passé, ce qui a mené à l’incident et les éléments que les autres devraient surveiller pour essayer de faciliter le tout. C’était une initiative de l’industrie que nous appuyons évidemment. Notre organisme agit à titre de conseiller auprès du conseil d’administration. Nous essayons également de fournir nos indicateurs à cet organisme pour essayer de stimuler l’échange de renseignements et de renforcer un peu plus la résilience des divers partenaires.
Le vice-président : N’y a-t-il pas un double emploi avec ce que fait le Centre de réponse aux incidents cybernétiques?
M. Jones : Non. En fait, j’ai fait preuve de négligence. J’aurais dû mentionner que nous collaborons également avec le ministère de la Sécurité publique à cet égard. Nous agissons tous les deux à titre de conseillers. Nous nous assurons d’éviter un tel double emploi. Nous soutenons l’Échange canadien de menaces cybernétiques en nous assurant également que les renseignements sont diffusés au plus grand nombre possible de personnes.
Le vice-président : Le dernier est le Comité consultatif canadien pour la sécurité des télécommunications.
M. Jones : Il s’agit d’un organisme fédéral qui regroupe tous les principaux fournisseurs canadiens de télécommunications. Ce comité nous permet de collaborer sur des enjeux comme les normes de cybersécurité et les aspects auxquels nous devons tous nous préparer. Nous essayons d’échanger des renseignements sur les tendances dans l’industrie pour anticiper les tendances technologiques à venir. C’est un forum collaboratif très ouvert. Cela relève d’Innovation, Sciences et Développement économique Canada. Notre organisme, le SCRS et le ministère de la Sécurité publique sont des partenaires au sein de ce comité; nous tentons de faciliter la tenue d’un dialogue productif avec les partenaires des télécommunications pour échanger des pratiques exemplaires et mettre l’accent sur ce que nous devons faire de concert pour renforcer la résilience du Canada à la base.
Le vice-président : De nombreuses questions ont été posées depuis deux jours pour nous assurer qu’il n’y a aucun chevauchement et que le travail ne se fait pas en vase clos. Êtes-vous convaincu que chacun de ces organismes remplit une fonction particulière et que la façon optimale de le faire est d’avoir des organismes distincts?
M. Jones : Les enjeux cybernétiques sont omniprésents. Lorsque nous commençons à nous pencher sur la cybersécurité quant aux pipelines, nous passons de la sécurité des pipelines au réseau de distribution électrique, et ce sont tous des secteurs réglementés qui touchent les administrations fédérale, provinciales, territoriales, municipales, et cetera. Je crois que la cybersécurité est un enjeu tellement horizontal qu’une grande collaboration est nécessaire.
Nous travaillons d’arrache-pied pour essayer de nous assurer de ne pas faire double emploi. Nous le faisons mieux. Nous essayons de nous améliorer à ce chapitre au gouvernement fédéral. Il y a de nombreuses années, j’avais l’habitude de comparer la cybersécurité au gouvernement lorsqu’un incident survenait à un groupe d’enfants de six ans qui jouent au soccer. Tout le monde court après le ballon, mais personne ne joue vraiment. Nous réussissons à mieux déterminer les fonctions des divers joueurs et nous y travaillons.
Actuellement, cela dépend de nos mandats. Nous essayons de maximiser ce que nous pouvons faire pour aider l’industrie, mais cela continue d’être un défi, en particulier en raison de la rapide évolution des technologies et de la vitesse à laquelle l’industrie s’y adapte.
Le vice-président : Qui prend l’initiative de déterminer les fonctions des divers organismes et de leur dire qui fait quoi? Qui s’en charge?
M. Jones : Nous le faisons de concert avec les ministères en fonction du type d’incident. Par exemple, si nous avons l’impression qu’il y a eu une compromission au sein du gouvernement du Canada, nous collaborerons avec Services partagés Canada et le Conseil du Trésor pour nous assurer d’intervenir. Dans le cas d’un incident qui touche une infrastructure essentielle ou d’un incident de cybersécurité de nature générale, selon qu’il s’agisse ou non d’une enquête criminelle, d’une enquête de la GRC ou d’une enquête générale, ce serait le ministère de la Sécurité publique. Dans le cas d’un incident lié à la sécurité nationale, soit un État qui tenterait de compromettre notre infrastructure essentielle, par exemple, nous offririons du soutien au Service canadien du renseignement de sécurité qui serait responsable du dossier. Cependant, tout dépend vraiment du type de pouvoirs. Nous poursuivons nos efforts diligents notamment dans ce domaine, et nous le faisons sur une base continue. Lorsqu’un incident survient, la première étape est de déterminer l’organisme qui sera responsable du dossier et la façon dont nous collaborerons.
Le sénateur Massicotte : Nous avons parlé plus tôt des citoyens et des consommateurs. Parlons du portrait global. Quel est le niveau de menace? À quel point devrions-nous être convaincus que notre résilience est suffisante et que nous ne devrions pas être menacés? Par exemple, nous avons des infrastructures essentielles et des centrales hydroélectriques et nucléaires, et vous avez fait allusion aux pipelines et aux questions organisationnelles. Par exemple, vous avez parlé avec des collègues de votre propre gouvernement, soit Services partagés Canada. Cet été, une attaque a interrompu durant quelques jours les services de l’Agence du revenu du Canada. Cela nous a certainement tous inquiétés. Il y a beaucoup d’information. Nos renseignements pourraient être compromis. À quel point sommes-nous convaincus que nous ne courrons aucun risque concernant ces secteurs très importants de notre infrastructure ou ces renseignements gouvernementaux?
M. Jones : En fait, c’est une démarche secteur par secteur. Si nous regardons la situation, le niveau de menace augmente. En particulier, la cybercriminalité connaît une croissance rapide. Les criminels ont un énorme intérêt financier à investir de l’argent dans ce domaine. Dans la majorité des incidents de cybercriminalité, il y a un numéro d’urgence où vous pouvez acheter des outils, obtenir du soutien, demander de l’aide, et cetera. La taille de l’infrastructure est assez étonnante. Le niveau de menace continue de croître.
Au gouvernement du Canada, nous avons pris énormément de mesures pour renforcer notre résilience. L’incident auquel vous avez fait allusion a touché l’Agence du revenu du Canada, mais ses effets se sont également fait sentir à Statistique Canada. Nous avons pris des mesures proactives pour nous assurer que nos données n’avaient pas été compromises. Nous étions suffisamment au courant de la situation pour prendre une mesure proactive lorsque nous avons découvert que le système était vulnérable.
Selon l’endroit où vous regardez, certains organismes ont beaucoup d’expérience dans la cybersécurité, mais nous ne pouvons pas en dire autant pour d’autres. C’est quelque chose de très inquiétant. Je ne vais pas essayer de vous laisser entendre que le niveau de cybersécurité au Canada est élevé. Il y en a certains qui accusent un énorme retard en la matière, et nous devons collaborer avec eux. À l’opposé, il y a des organismes qui investissent énormément dans leur protection en vue de renforcer leur résilience.
Le secteur bancaire est l’un des secteurs qui investissent en la matière. Il voit cela comme une menace, mais il le voit aussi comme un aspect au sujet duquel il doit conserver une longueur d’avance pour maintenir la confiance des consommateurs. Nous collaborons avec le secteur et bon nombre d’institutions bancaires. Ces groupes continuent d’investir. En fait, un grand nombre de banques participent à un important regroupement sur la cybersécurité que je dirige pour le gouvernement du Canada.
Si vous examinez divers éléments de l’infrastructure essentielle, c’est vraiment variable, mais je dirais que le niveau de résilience en général au Canada est probablement faible.
La sénatrice Unger : Monsieur Jones, vous avez parlé de votre mandat. La partie A comprend la collecte de renseignement étranger, conformément aux priorités en matière de renseignement du gouvernement du Canada. Dans votre exposé, vous avez parlé des organismes avec lesquels vous travaillez. Quelle est la grosseur de votre organisme?
M. Jones : La Sécurité des TI du CST ou le CST en général?
La sénatrice Unger : Votre secteur précis.
M. Jones : Nous sommes actuellement 497, et cela augmente légèrement. Nos responsabilités touchent ce dont nous avons parlé aujourd’hui, soit principalement la cyberdéfense, mais nous fournissons aussi tout l’équipement cryptographique qu’utilise le gouvernement du Canada. Nous nous occupons du chiffrement de chaque dispositif de communication des Forces canadiennes. Nous leur fournissons l’équipement qu’elles utilisent pour protéger leurs données, les clés, et cetera. Nous collaborons très étroitement avec les Forces canadiennes pour ce faire. Toutefois, le nombre est un peu trompeur. Nous avons probablement environ 200 ou 250 personnes qui s’occupent en gros de la cybersécurité.
Le vice-président : Merci beaucoup. C’est un bon commentaire pour clore notre réunion. Nous sommes très reconnaissants des commentaires des représentants du Centre de la sécurité des télécommunications. Messieurs Jones et Boucher, merci de votre présence. Continuez votre bon travail. Nous comptons sur vous.
(La séance est levée.)