Délibérations du Comité sénatorial permanent des
Banques et du commerce
Fascicule no 35 - Témoignages du 28 février 2018
OTTAWA, le mercredi 28 février 2018
Le Comité sénatorial permanent des banques et du commerce se réunit aujourd’hui, à 16 h 30, afin d’étudier, pour en faire rapport, les questions et préoccupations relatives à la cybersécurité et à la cyberfraude.
Le sénateur Douglas Black (président) occupe le fauteuil.
Le président : Bonjour et bienvenue à mes collègues et aux membres du public qui nous regardent peut-être sur le Web. Aujourd’hui, vous êtes devant le Comité sénatorial permanent des banques et du commerce. Nous vous souhaitons la bienvenue. Je m’appelle Doug Black et je suis président du comité. D’autres sénateurs se joindront à nous. Je m’excuse, mais nous venons de terminer un vote au Sénat. J’invite les sénateurs qui sont ici à se présenter.
Le sénateur Marwah : Sabi Marwah, de l’Ontario.
Le sénateur Tannas : Scott Tannas, de l’Alberta.
[Français]
Le sénateur Dagenais : Jean-Guy Dagenais, du Québec.
[Traduction]
La sénatrice Stewart Olsen : Carolyn Stewart Olsen, du Nouveau-Brunswick.
Le sénateur Wetston : Howard Wetston, de l’Ontario.
Le président : Je vous remercie beaucoup d’être ici. Puisque nous commençons avec un peu de retard et que je ne veux pas nous priver des renseignements importants que vous nous communiquerez, la réunion sera prolongée jusqu’à 17 h 30, au besoin.
Aujourd’hui, nous reprenons notre étude sur les questions et préoccupations relatives à la cybersécurité et à la cyberfraude, y compris les cybermenaces pesant sur le secteur financier et commercial au Canada; le vol d’identité, l’atteinte à la vie privée et les autres activités frauduleuses ciblant les consommateurs canadiens et les petites entreprises; l’état actuel des technologies de cybersécurité; et les mesures et les règlements liés à la cybersécurité au Canada et à l’étranger.
Je suis heureux de souhaiter la bienvenue à Annette Ryan, sous-ministre adjointe déléguée, Direction de la politique du secteur financier, ministère des Finances Canada, à Ron Morrow, directeur général, Département de la Stabilité financière, Banque du Canada, à Judy Cameron, directrice principale, Législation, approbations et politique stratégique, Bureau du surintendant des institutions financières Canada, et à Theresa Hinz, directrice, Approbations et précédents, Bureau du surintendant des institutions financières Canada.
Je vous demande de donner vos présentations préliminaires de cinq minutes et ensuite les sénateurs vous poseront des questions.
Annette Ryan, sous-ministre adjointe déléguée, Direction de la politique du secteur financier, ministère des Finances Canada : Je vous remercie d’avoir invité mes collègues et moi à parler aujourd’hui sur cet important sujet qu’est la cybersécurité.
[Français]
Je m’appelle Annette Ryan. Je suis sous-ministre adjointe déléguée à la Direction de la politique du secteur financier du ministère des Finances. La Direction de la politique du secteur financier est responsable de fournir des conseils stratégiques sur le secteur financier au Canada, notamment le cadre des institutions financières sous réglementation fédérale, les systèmes financiers de compétence fédérale, les emprunts et les investissements fédéraux, le commerce des services financiers, ainsi que les questions liées aux marchés de capitaux. La Direction collabore étroitement avec un certain nombre d’organismes fédéraux du secteur financier, y compris la Banque du Canada et le Bureau du surintendant des institutions financières, dont des représentants sont ici présents.
La cybersécurité est un enjeu de premier plan, autant pour le secteur privé que pour le gouvernement fédéral. Au cours des dernières années, ce sujet a pris de plus en plus d’importance pour tous les ordres de gouvernement et à l’échelle internationale.
[Traduction]
Les changements rapides dans le domaine de la technologie, dont bon nombre sont adoptés avec empressement par les Canadiens, révolutionnent la façon dont le secteur financier offre ses services et interagit avec ses clients. Avant de se pencher davantage sur les risques que comporte la technologie, il convient de souligner que les innovations technologiques dans le secteur financier comportent également de nombreuses possibilités pour les entreprises et les consommateurs, notamment la commodité d’effectuer des opérations financières à tout moment et partout.
Bien entendu, des risques majeurs accompagnent ces possibilités. Comme les Canadiens collaborent de plus en plus avec les fournisseurs de services financiers dans un environnement en ligne et mobile, les risques augmentent proportionnellement.
Dans le secteur financier, les cyberattaques menacent d’interrompre les services fournis par les institutions financières, de mettre en péril la confidentialité des renseignements du client et d’entraîner un risque à la réputation des institutions financières. Les cyberattaques peuvent éventuellement interrompre des services financiers qui sont essentiels pour les systèmes financiers nationaux et internationaux et ainsi compromettre la stabilité financière. Du point de vue de la réglementation du gouvernement, ce sont des risques importants qui doivent être pris en compte adéquatement. Conformément à la responsabilité du ministre des Finances concernant la santé générale du système financier canadien, nous abordons les discussions sur la cybersécurité sous l’angle de la stabilité financière.
La portée mondiale croissante des fournisseurs de services financiers — qu’il s’agisse d’importantes institutions financières ou de fournisseurs de services de transfert d’argent sur Internet — signifie qu’un maillon faible de la chaîne peut entraîner un risque au système financier dans son ensemble, si ce dernier n’est pas bien gouverné et coordonné. Comme les témoins précédents vous l’ont appris, les cybermenaces et les vulnérabilités qu’elles exploitent continuent de se produire et d’évoluer. Une augmentation de la résilience du secteur financier et un renforcement des processus de rétablissement nécessitent donc des mesures coordonnées à tous les niveaux.
[Français]
Le ministère des Finances du Canada joue un rôle actif en favorisant la coordination de plusieurs acteurs qui participent aux discussions sur la cybersécurité dans le secteur financier, qu’il s’agisse des institutions financières elles-mêmes, d’autres organismes gouvernementaux fédéraux et provinciaux ou de partenaires internationaux. Nous maintenons un dialogue continu avec les représentants d’institutions financières sous réglementation fédérale. Nous croyons qu’il est important de les entendre parler directement de leurs préoccupations relatives à la cybersécurité et de connaître les mesures que le gouvernement peut prendre pour les régler.
Nous jouons un rôle de facilitateur entre le secteur financier et les autres ministères qui ont des responsabilités en matière de programmes relativement à la cybersécurité, notamment la Sécurité publique, qui mène les initiatives plus élargies du gouvernement fédéral en matière de cybersécurité, y compris la Stratégie de cybersécurité du Canada.
[Traduction]
Je sais que ces thèmes ont été discutés lors de témoignages précédents, ce qui nous amène au budget d’hier puisque nous avons entendu des représentations semblables de ces sources.
Le budget de 2018 annonce d’importants investissements — plus d'un demi-milliard de dollars pour les cinq prochaines années — pour lancer une Stratégie nationale de cybersécurité exhaustive qui renforcera la sécurité des Canadiens et des entreprises canadiennes en ligne.
Au cœur de ce nouveau plan du gouvernement se trouve la création du Centre canadien pour la cybersécurité, qui permettra d’établir une source centralisée qui offrira conseils et expertise en matière de cybersécurité à nos partenaires clés, y compris le secteur privé. La nouvelle stratégie mènera également à la création de l’Unité nationale de coordination de la lutte contre la cybercriminalité qui créera un mécanisme national permettant aux Canadiens de rapporter les cybercrimes aux autorités responsables de l’application de la loi et qui leur donne de nouvelles ressources pour mener des enquêtes sur les cybercrimes et poursuivre les cybercriminels en justice.
La Stratégie nationale de cybersécurité contribuera à améliorer la résilience du Canada en matière de cybersécurité, nous positionnera pour réagir plus vite aux cyberattaques et rehaussera le niveau de cybersécurité pour tous les Canadiens.
Nous croyons également que nous pouvons apprendre de l’expérience des autres pays et nous participons activement à des initiatives à l’échelle internationale, notamment au sein du Conseil de stabilité financière, du G20 et du G7. Dans le même ordre d’idées, le ministère des Finances Canada, la Banque du Canada et le Bureau du surintendant des institutions financières ont été des membres actifs du Groupe d’experts cybernétiques du G7, qui relève des ministres des Finances du G7 et des gouverneurs des banques centrales. Le groupe a publié des documents qui énumèrent des pratiques exemplaires que des membres du G7 peuvent adopter et fournissent des balises aux autres pays qui cherchent à améliorer leur sécurité. Le groupe fait progresser les travaux visant à identifier et à gérer les risques des tiers et à promouvoir une coordination internationale rapide des efforts d’intervention et de rétablissement dans l’éventualité d’une attaque cybernétique importante dans le secteur financier.
Comme le Canada a assuré la présidence du G7 en 2018, nous dirigeons des progrès supplémentaires dans ces domaines de coordination précis. Nous croyons fermement que le renforcement de la sécurité et de la résilience dans le cyberespace nécessite une coopération et une collaboration étroite, sur le plan national et international, des divers acteurs responsables de la cybersécurité. Plus important encore, les personnes qui assument des rôles conjoints dans le secteur privé et le secteur public devraient travailler de concert, et nous voulons fortement continuer de travailler avec l’industrie, conformément à la Stratégie nationale de cybersécurité qui a été annoncée hier. Nous attendons avec intérêt de connaître les points de vue des autres témoins convoqués devant votre comité et, en particulier, les réflexions du comité à l’égard du secteur financier.
Ron Morrow, directeur général, Département de la Stabilité financière, Banque du Canada : Monsieur le président, distingués membres du comité, bonjour. Je vous remercie de m’avoir invité à vous parler aujourd’hui d’un important sujet d’actualité.
[Français]
Si vous me le permettez, je commencerai par présenter brièvement le rôle de la Banque du Canada au sein du système financier canadien. La banque a pour mandat de promouvoir la stabilité et l’efficience du système financier canadien. À cette fin, elle offre des services de banque centrale, dont plusieurs mécanismes lui permettent de fournir des liquidités au système financier. Elle assure la surveillance des principales infrastructures canadiennes des marchés financiers. Elle effectue et publie des analyses et des recherches, et elle contribue à l’élaboration et à la mise en œuvre des politiques publiques.
L’ampleur et la gravité des cybermenaces s’étant accrues, la banque accorde de plus en plus de temps et d’attention aux risques que ces menaces font peser sur la stabilité financière. C’est pourquoi nous les considérons comme une vulnérabilité, comme nous l’avons mentionné dans notre Revue du système financier en novembre dernier.
[Traduction]
Nous considérons les cyberrisques comme une vulnérabilité structurelle parce qu’ils sont le reflet de réalités structurelles, comme un recours croissant aux technologies de l’information pour offrir des services financiers. Des plateformes informatiques complexes ont permis au secteur financier de servir les clients plus efficacement. Cependant, elles ont également créé davantage d’occasions de mener des cyberattaques réussies.
Le degré élevé d’interconnexion implique qu’une seule attaque contre une institution financière pourrait se propager au système en entier. Par conséquent, les cybermenaces sont devenues une des grandes vulnérabilités que les participants au système financier et les autorités de réglementation devront prendre en considération pendant encore longtemps.
[Français]
Cela étant dit, comment la banque contribue-t-elle à atténuer cette vulnérabilité et à préserver la stabilité du système financier canadien? Elle a dégagé trois priorités à cet égard : premièrement, s’assurer que les infrastructures des marchés financiers soumises à sa surveillance prennent les bonnes mesures pour atténuer les cybermenaces; deuxièmement, appuyer les actions concertées destinées à accroître la résilience du système financier dans son ensemble en collaboration avec les participants au système financier; troisièmement, investir et tout mettre en œuvre pour s’assurer que la Banque du Canada peut elle-même résister aux cybermenaces.
[Traduction]
Je donnerai au comité un peu plus de précisions sur les initiatives que nous prenons dans ces trois domaines, mais je voulais d’abord faire un rapide survol des infrastructures de marchés financiers, ou IMF, et de leur rôle au sein du système financier. Les IMF, par exemple le Système de transfert de paiements de grande valeur (le système de paiements de gros utilisé au Canada), servent de plateforme centrale pour les transactions financières.
Les banques et les autres institutions financières sont, pour leur part, liées aux IMF comme les rayons d’une roue. Ces infrastructures favorisent, en définitive, la sûreté et l’efficience des échanges de fonds et de produits financiers entre les participants du marché financier. Il est donc de la plus haute importance de protéger les IMF contre les cybermenaces. Dans ce contexte, laissez-moi vous parler un peu plus de notre première priorité, s’assurer que les IMF soumises à la surveillance de la banque prennent les mesures appropriées pour atténuer les cybermenaces. Les infrastructures de marchés financiers évaluent leur propre cyberrésilience à l’interne, et elles demandent aussi à des experts de l’extérieur de procéder à de telles évaluations.
Des mesures sont ensuite déterminées et entreprises pour améliorer la cyberrésilience. De plus, à titre de surveillant, la Banque du Canada étudie ces évaluations et plans d’action, veillant ainsi à ce que des outils et des pratiques de cybersécurité adéquats soient en place pour protéger les systèmes essentiels des IMF. Il s’agit d’un processus continu, puisque les cybermenaces ne cessent d’évoluer.
Pour ce qui concerne notre deuxième priorité — collaborer avec d’autres parties pour accroître la cyberrésilience du système financier —, nous nous servons de la Revue du système financier pour attirer l’attention sur les cybermenaces, comme nous l’avons fait en novembre dernier. Nous entreprenons également d’autres initiatives ponctuelles. En voici quelques exemples :
La banque pilote un projet sur la continuité des opérations en partenariat avec les principaux participants au système de paiement de gros afin de faciliter un rétablissement rapide dans l’éventualité où un participant clé dans le système de paiement serait victime d’un cyberincident grave. Nous avons contribué à la rédaction de lignes directrices internationales sur la cyberrésilience des IMF, qui a aidé à évaluer la posture de cybersécurité de ces infrastructures au Canada et à l’étranger.
Nous participons aux travaux en matière de cybersécurité entrepris par certains forums internationaux, y compris le Groupe d’experts du G7 sur la cybersécurité et nous prévoyons également des simulations en salle avec les IMF afin de mieux comprendre comment elles réagiraient en cas de cyberattaque et reprendraient leurs activités par la suite.
Enfin, notre troisième priorité consiste à veiller à ce que la banque puisse elle-même résister aux cybermenaces. Pour ce faire, nous nous livrons à un processus d’examen continu de nos pratiques de gestion des cyberrisques par rapport aux normes internationales, et nous faisons les investissements nécessaires pour nous défendre contre toute une gamme de cybermenaces en rapide évolution.
[Français]
Merci de votre attention.
[Traduction]
Je me ferai maintenant un plaisir de répondre à vos questions.
Judy Cameron, directrice principale, Législation, approbations et politique stratégique, Bureau du surintendant des institutions financières Canada : Merci de m’avoir invitée à prendre la parole devant le comité aujourd’hui.
Comme vous le savez tous, le BSIF est l’instance de réglementation prudentielle des institutions financières fédérales, y compris des plus grandes banques et sociétés d’assurances du Canada. Je m’appelle Judy Cameron et je suis la directrice principale de Législation, approbations et politique stratégique. Je suis ici avec ma collègue, Theresa Hinz.
[Français]
Je tiens d’abord à féliciter le comité d’avoir entrepris cette étude. Comme l’ont fait remarquer mes collègues, la technologie a eu une incidence importante et positive sur le mode de fonctionnement des institutions financières, mais elle les a également exposées à un risque accru de cyberattaques.
[Traduction]
L’étude de la cybersécurité, aussi bien que des cybermenaces auxquelles le secteur financier canadien fait face, arrive à point nommé et est importante. Mes collègues de Finances Canada et de la Banque du Canada ont traité de leurs initiatives visant à promouvoir la résilience du secteur financier canadien face aux cyberattaques. J’aimerais vous offrir des observations complémentaires en touchant à trois thèmes : les déclarations de cyberincidents d’envergure, la nature singulière des cyberrisques et les implications pour l’approche du BSIF, et les directives du BSIF sur l’impartition.
Parlons d’abord des déclarations de cyberincidents.
[Français]
Je comprends pourquoi les membres du comité s’intéressent à la déclaration centralisée des cybermenaces. Cette façon de faire est susceptible de produire des renseignements précieux englobant divers secteurs d’activité économique.
[Traduction]
Le BSIF s’attend à ce que les plus grandes institutions financières l’informent des cyberincidents importants dont elles ont eu connaissance, même s’ils n’ont pas provoqué de perturbation observable telle qu’une panne des services en ligne. Nous nous concentrons sur les cyberincidents importants, car ils risquent de perturber le secteur financier. Nous sommes à l’affût des tendances que révéleraient les renseignements que nous recevons, et nous communiquons ensuite ses constatations importantes aux institutions financières.
La déclaration n’est qu’un élément de la réponse. Le BSIF souhaite avant tout que les institutions financières soient résilientes en cas de cyberattaque.
Le cyberrisque diffère considérablement des autres facteurs de risque que gère couramment le BSIF, tels que le risque du crédit et le risque du marché. Ces risques financiers classiques sont plus faciles à mesurer et à prévoir au moyen de données et d’indicateurs financiers. Nous pouvons utiliser les renseignements afin d’établir des normes et des règles pour gérer les risques et pour veiller à ce que les institutions financières s’y conforment.
En revanche, le cyberrisque est en mutation constante et il est difficile à mesurer. Le BSIF doit donc aborder le cyberrisque sous un angle différent. En plus d’examiner la capacité d’une institution à détecter et à prévenir les menaces, nous attachons aussi une grande importance à sa cyberrésilience. La cyberrésilience renvoie à la capacité d’une institution de prévoir une cyberattaque, d’y résister, de l’endiguer et de s’en remettre rapidement, avant qu’elle ne compromette ses activités ou qu’elle cause du tort à ses clients.
Le BSIF a publié un modèle d’évaluation de la cybersécurité pour aider les institutions financières à déterminer dans quelle mesure elles sont prêtes à réagir aux cybermenaces. Ce modèle énumère les diverses caractéristiques qui devraient figurer dans un cadre de cybersécurité. Pour effectuer l’évaluation, l’institution doit réfléchir à l’état actuel de ses pratiques en matière de cybersécurité. Pour l’institution, la connaissance de son propre état de préparation est la première étape à franchir avant de décider s’il convient ou non de renforcer ses mécanismes de cyberdéfense et ses stratégies de reprise des activités.
Par ailleurs, le BSIF a procédé récemment à un examen de la cybersécurité dans le cadre duquel il a demandé à certaines des plus grandes institutions canadiennes de réagir à un scénario de cyberincident grave, mais vraisemblable. Le scénario prévoyait une atteinte aux données des clients dans les locaux d’une tierce partie qui aurait entraîné une recrudescence du nombre de comptes bancaires piratés et mis à sec.
Grâce à cet examen, le BSIF a pu évaluer les capacités de détection et de prévention des institutions participantes et déterminer comment elles pourraient réagir à un cyberincident qui évoluerait rapidement.
Je vais maintenant parler du cyberrisque et de l’impartition. Les consommateurs s’attendent désormais à ce que les banques innovent sans cesse au chapitre des services qu’elles offrent. Nous sommes conscients de cela. Depuis 30 ans, nous avons vu l’argent comptant et les chèques être supplantés par les virements électroniques et les cartes sans contact. Les services bancaires sont maintenant accessibles presque partout dans le monde grâce aux appareils mobiles.
Ces transformations n’ont été possibles que parce que les institutions financières ont misé sur la technologie pour mettre au point des systèmes fortement intégrés, en collaboration avec un large éventail de partenaires. Comme les institutions financières dépendent de leurs partenaires, les lignes directrices du BSIF en matière d’impartition leur prescrivent de gérer avec la plus grande rigueur possible leurs relations avec des tierces parties. Nous obligeons les institutions financières à rendre compte des services qu’elles externalisent et nous nous attendons à ce qu’elles fassent preuve de diligence raisonnable à l’endroit des tiers fournisseurs de services.
Nous examinons les lignes directrices pour déterminer si elles sont encore pertinentes dans le contexte des cybermenaces grandissantes et de l’importance que nous accordons à la cyberrésilience. En conclusion, j’aimerais vous dire quelques mots sur ce que l’avenir nous réserve.
Vous avez entendu dire que les cyberrisques constituent une menace commune et que leur gestion passe par une compréhension commune du problème et une réponse coordonnée.
[Français]
Pour ces raisons, le Bureau du surintendant des institutions financières s’entretient régulièrement avec bon nombre de témoins qui se présentent devant ce comité.
[Traduction]
Qui plus est, le BSIF collabore avec des organismes de normalisation et des groupes d’experts à l’étranger, car les institutions financières canadiennes ont des partenaires partout dans le monde. Le BSIF participe activement aux travaux du Groupe d’experts en cybersécurité du G7, ainsi qu’à des initiatives de mise en commun de l’information avec le Conseil de stabilité financière, le G20 et le Groupe des superviseurs principaux.
Un des volets du mandat du BSIF consiste à être sans cesse attentif aux risques émergents et croissants, notamment ceux qui menacent la cybersécurité. C’est pourquoi nous avons hâte de prendre connaissance des recommandations qui découleront de l’étude que mène votre comité. Je vous remercie, monsieur le président.
Le président : Madame Hinz, souhaitez-vous ajouter quelque chose?
Theresa Hinz, directrice, Approbations et précédents, Bureau du surintendant des institutions financières Canada : Non, je n’ai rien à ajouter à la déclaration liminaire.
Le président : Merci.
La sénatrice Stewart Olsen : J’ai deux questions portant sur l’annonce faite hier et j’aimerais aussi obtenir vos commentaires sur une autre proposition.
L’annonce d’hier était très avare de détails. Je me demande donc à quel moment on peut s’attendre à ce que tous les éléments soient mis en place. Les deux entités sont fort occupées, et je me demande combien de temps il faudra avant qu’elles puissent mettre sur pied une organisation viable.
Mme Ryan : C’est une excellente question, madame la sénatrice. Je ne sais pas à quel moment précisément le nouveau centre pourra entreprendre ses activités. Selon moi, les ressources débloquées serviront à appuyer les efforts en cours au sein de divers organismes et ministères, en particulier au Centre de la sécurité des télécommunications, à la GRC et à Sécurité publique Canada. Les ressources sont bienvenues. Ces efforts permettront de renforcer le leadership, la gouvernance et la collaboration au sein des entités qui travaillent déjà ensemble. Les services continueront d’être offerts, mais je ne connais pas la date précise du début des opérations.
La sénatrice Stewart Olsen : Je demanderais à tous les témoins de me faire part de leurs commentaires. On dit que l’objectif est de réunir sous un même toit les activités déjà en cours et les cyberexperts. Je ne vois rien de précis là-dedans. Existe-t-il une disposition — ou devrait-il y en avoir une — prévoyant notamment que les experts canadiens collaborent avec les universités et les collèges? Il s’agit vraiment d’un secteur axé sur les jeunes, qui évolue rapidement. Je me demande ce que vous en pensez. Êtes-vous en faveur d’une initiative de ce genre?
Mme Ryan : Le budget vise à atteindre ces objectifs. Tout cela fait partie de la volonté de bâtir un écosystème sûr et adapté. Il s’agit de questions comme la formation et le recrutement de la prochaine vague de gens qui seront dûment formés et qui feront preuve d’un esprit d’innovation. Il s’agit également de mettre en place un large éventail de compétences et d’aptitudes, en vue de former plus d’employés en sécurité et en résilience des cybersystèmes.
La sénatrice Stewart Olsen : De nouveau, faute de détails, je me demande comment les responsables vont s’y prendre, mais c’est une bonne nouvelle.
M. Morrow : D’autres pays mettent déjà en œuvre des initiatives comme celle dont vous avez parlé. Ils assument un rôle de chef de file en tentant d’améliorer les programmes d’éducation et d’attirer une nouvelle vague de gens prêts à lutter contre cette menace. Je suis persuadé que les mesures prévues dans le budget nous seront très utiles à cet égard.
Les forces du marché devraient aussi nous aider, en ce sens que la demande de cyberexperts est assez forte. Il sera donc rentable pour les étudiants d’investir dans ce type d’éducation.
Mme Cameron : Comme vient de le dire Ron, la demande de personnes possédant ces compétences est très forte. D’après nos discussions avec les institutions et les autres organes de réglementation, nous savons que, comme la demande est forte, il est parfois difficile de recruter et de garder des gens ayant ces compétences. Pour nous tous, il est très important de compter sur un tel effectif pour lutter contre les cybermenaces. À l’instar de mes collègues, je pense qu’un programme d’appui à l’éducation est utile. Toutefois, nous avons peu de renseignements sur la suite des choses.
Le sénateur Tannas : Je vous remercie d’être ici aujourd’hui. J’aimerais comprendre la situation du Canada par rapport aux autres pays du G7.
Madame Ryan, on a parlé de la Stratégie nationale de cybersécurité du Canada et du Centre canadien pour la cybersécurité. Est-ce que d’autres pays disposent déjà d’une stratégie et d’un centre semblables, ou sommes-nous à l’avant-garde à cet égard?
Mme Ryan : Je suis convaincue que tous les pays du G7 agissent très rapidement pour mettre en place des arrangements et des mécanismes d’échange de renseignements semblables aux nôtres. Je pense que le Royaume-Uni peut être un bon modèle pour le Canada, car ce pays a fait de l’excellent travail avec son centre de cybersécurité.
Le Royaume-Uni publie habituellement un certain nombre de documents. Le rapport annuel de l’an dernier était une bonne source d’information sur les types de menaces et la façon dont le centre s’est organisé pour réagir à celles-ci. Il s’agit donc d’un modèle semblable.
Le sénateur Tannas : Depuis combien de temps ce centre existe-t-il?
Mme Ryan : Il faudrait que je fasse des recherches à ce sujet, monsieur le sénateur.
Le sénateur Tannas : Pour ce qui est des institutions financières canadiennes, pourriez-vous nous donner une idée de la situation de la Banque du Canada par rapport à des organisations semblables dans d’autres pays? Comment les institutions financières du Canada se comparent-elles à celles des autres pays du G7?
M. Morrow : Pour ce qui est de la Banque du Canada, je vais répondre à la question en deux volets. Tout d’abord, nous nous employons à faire en sorte que les infrastructures des marchés financiers que nous surveillons disposent de plans efficaces et résilients en matière de cybersécurité. Je dirais que nous figurons parmi les chefs de file mondiaux en ce qui a trait à la collaboration avec les infrastructures des marchés financiers. Cette collaboration nous permet de veiller à ce qu’elles disposent de plans solides et à ce qu’elles soient aussi résilientes que possible.
Deuxièmement, pour ce qui est de la cyberrésilience de la Banque du Canada, je dirais que nous sommes dans une bonne position, mais la situation évolue sans cesse. Les personnes mal intentionnées ne cessent de se perfectionner. Comme dans le cas de bien d’autres institutions, la Banque du Canada doit faire face tous les jours à de nombreuses tentatives visant à porter atteinte à ses systèmes. Jusqu’ici, nous avons toujours réussi à écarter ces menaces. Nous devons continuellement investir dans la technologie et les ressources humaines pour conserver une longueur d’avance.
Mme Cameron : Le BSIF est membre d’un certain nombre de groupes internationaux. Il fait partie du Groupe des superviseurs principaux, soit un regroupement d’organismes de réglementation du monde entier qui discutent de défis communs, dont la cybersécurité. Ces discussions nous ont appris que chacun des pays dispose d’une stratégie différente, car les mandats des organismes de réglementation sont légèrement différents les uns des autres. En gros, ils ont adopté des approches semblables. Je suis d’avis que le Royaume-Uni semble avoir une longueur d’avance et que les autres pays peuvent donc apprendre de son expérience. Je dirais que les Pays-Bas se trouvent aussi dans la même catégorie que le Royaume-Uni. Toutefois, nous ne tirons pas de la patte. Nous apprenons de nos partenaires mondiaux, et je suis persuadée que ceux-ci s’inspirent de certains éléments du système canadien.
Le sénateur Tannas : C’est bon à savoir.
Le sénateur Marwah : J’ai été ravi d’apprendre la création du Centre canadien pour la cybersécurité. C’est une source d’expertise unique attendue depuis longtemps et plus que bienvenue.
Vous avez tous parlé de la vulnérabilité du secteur financier, évidemment, compte tenu de vos expériences et de vos institutions. Or, je crois que Mme Cameron a dit que l’efficacité est tributaire d’une menace commune. Face à une menace commune, notre efficacité est à la mesure du maillon le plus faible. Nous parlons des institutions financières et des compagnies d’assurance, mais qu’en est-il des autres secteurs, des entreprises de télécommunications, d’hydroélectricité, de services publics? Comment sont-elles amenées à effectuer cette analyse des cybermenaces? Il est évident que les entreprises de télécommunications ne sont pas du ressort du BSIF ni de la Banque du Canada. Alors, qui incite les autres acteurs à effectuer cette analyse des cybermenaces? Qui dit : « Nous devons nous pencher là-dessus tous ensemble, car si des entreprises d’hydroélectricité ou de télécommunications sont attaquées, nous serons tous très vulnérables »? Qui amène les autres parties à travailler ensemble?
Mme Cameron : C’est une excellente question. Comme ce n’est pas du ressort du BSIF, je vais céder la parole à Mme Ryan.
Mme Ryan : D’abord, je dirais qu’au gouvernement du Canada, c’est le ministère de la Sécurité publique qui a la responsabilité générale de cartographier la cybersécurité au pays. Il examine ainsi comment différents systèmes interagissent les uns avec les autres dans les secteurs des finances, des télécommunications et de l’énergie. Il travaille activement à évaluer les risques et à les gérer.
J’aimerais souligner que c’est l’un des objectifs de haut niveau liés à l’annonce budgétaire de plus d’un demi-milliard de dollars pour les cinq prochaines années qui vise à augmenter l’attention accordée à ces systèmes cruciaux, afin de s’assurer qu’ils sont solides et résilients et, comme l’a dit Ron, qu’ils continuent de répondre aux risques émergents de la meilleure façon possible.
Je signale que la banque, en particulier, mène des travaux sur la résilience pour mettre à l’essai un certain nombre de scénarios dans lesquels les risques proviennent d’autres secteurs. Nous poursuivons également les discussions avec nos partenaires du G7 en ce qui concerne les risques liés à des tiers, qui peuvent provenir d’un autre secteur ou d’une autre partie de l’industrie. Nous nous employons activement à évaluer ces risques et à prévoir des mesures pour préparer les systèmes à faire face à ces risques.
M. Morrow : J’ai une ou deux choses à ajouter. Nous avons travaillé avec les banques, les institutions financières et les infrastructures des marchés financiers afin d’examiner les secteurs dont nous sommes fortement tributaires, en particulier les secteurs de l’énergie, des télécommunications et, dans une certaine mesure, des transports. Résultat : nous avons relevé un certain nombre de domaines pour lesquels nous avions certaines préoccupations au chapitre de la distribution d’énergie, de l’électricité — en particulier dans certaines régions de l’Ontario —, de la résilience des télécommunications et de la concentration de l’équipement dans certains secteurs.
Nous avons pu mener de bonnes discussions avec des gens d’autres secteurs et nous renseigner un peu sur la façon dont ils atténuent ces risques; nous en sommes ressortis plus à l’aise et rassurés quant à ce qu’ils faisaient pour gérer ces risques.
Le nouveau centre et les nouvelles initiatives annoncés dans le budget seront encore plus utiles pour réunir les secteurs à une même table afin de tenir des discussions plus détaillées et plus ouvertes.
Le sénateur Marwah : Ce nouveau centre servira-t-il de point de coordination pour surveiller tous les risques, ou est-il trop tôt pour le dire? Vous avez mentionné, je crois, que le ministère des Travaux publics assumera le leadership, mais en un sens, il le fera et il ne le fera pas. C’est en général très fragmenté; il est très difficile de réunir tous les éléments pour comprendre quelles sont les vulnérabilités. Personne n’agit d’une main ferme pour examiner l’ensemble des risques; chaque secteur agit en vase clos, sans comprendre ce qui se passe ailleurs.
Mme Ryan : C’est tout à fait l’objectif des nouvelles initiatives : accroître le leadership, la cohésion et la collaboration dans les efforts qui sont actuellement déployés. Le nouveau centre mettra l’accent plus particulièrement sur les risques liés aux cybermenaces. Il y a encore des menaces étendues à la sécurité publique qui touchent tous les secteurs, et ces risques opérationnels au sens plus large englobent l’ensemble des cyberrisques. Nous devrons continuer d’y porter attention, mais le nouveau centre se penchera d’une façon plus délibérée et plus coordonnée sur les cyberrisques auxquels font face les cybersystèmes essentiels.
[Français]
Le sénateur Dagenais : Ma question s’adresse à Mme Ryan. En septembre dernier, Equifax a été victime d’un vol d’identité, alors que les numéros de carte de crédit et les renseignements personnels de plus de 209 000 Américains ont été volés. Equifax a mis 40 jours avant de rendre ce vol public, ce qui a laissé amplement de temps aux fraudeurs pour agir.
Au Canada également, l’entreprise a fourni très peu d’information concernant le vol. Avez-vous une certaine autorité sur ces entreprises qui sont reliées à toutes les institutions financières et qui gèrent une telle quantité de données personnelles? De quel délai dispose l’institution financière pour informer ses clients lorsqu’ils ont été victimes d’un vol d’identité?
Mme Ryan : C’est une excellente question, sénateur. Afin de vous fournir une réponse plus précise, je vais m’exprimer en anglais.
[Traduction]
La question que vous posez concerne un certain nombre de responsabilités. D’abord, la Loi sur la protection des renseignements personnels et les documents électroniques précise les exigences que les entreprises doivent respecter relativement à la protection des renseignements personnels des Canadiens, notamment pour le type d’institution comparable à celle dont vous parlez.
Ensuite, le signalement des atteintes aux données est visé par cette loi, selon le type d’institution, et pour les agences d’évaluation de crédit, ainsi que différents organismes de réglementation, qu’ils soient provinciaux ou fédéraux. Cet ensemble d’exigences à l’égard des entreprises, ainsi que la surveillance, selon le type de renseignements personnels qu’elles conservent, sont en place. Sur le plan des risques liés au secteur financier, nous cherchons à déterminer à quel moment ils constituent un risque systémique pour le secteur financier. C’est une marge distincte de travail qui est en cause.
[Français]
Le sénateur Dagenais : Je reste sur le même sujet. À partir des signalements que vous avez colligés, avez-vous fait une analyse des cyberattaques qui se sont produites dans les institutions financières? Peut-être que M. Morrow pourra me le dire. Je ne crois pas que vous ayez la réponse, mais pourriez-vous nous dire où se trouvent, dans le monde, les auteurs de ces attaques?
[Traduction]
Mme Ryan : Je serai heureuse de laisser mes collègues répondre également. La véritable expertise pour ce type d’analyse se trouve au Centre de la sécurité des télécommunications, ou CST, qui doit établir un juste équilibre entre, d’une part, la surveillance et l’analyse des risques dans le cyberespace ainsi que le travail avec les institutions et les entreprises, notamment, afin d’améliorer leur résilience et de collaborer dans un espace de confiance et, d’autre part, le signalement exhaustif au public de toutes les attaques et de tous les incidents.
Je vous assure que ce type d’analyse se produit en temps réel, plus que quotidiennement. La vigilance est constante. En ce qui concerne les signalements publics, je m’adresserais à des organismes comme le CST ou au ministère de la Sécurité publique, qui sont très près de cette surveillance.
[Français]
Le sénateur Dagenais : Le fait de centraliser l’information permettrait peut-être de resserrer les règles.
Est-ce que certaines cyberattaques seraient demeurées secrètes parce que les banques ont préféré accuser une perte et indemniser les victimes pour éviter de créer un climat d’inquiétude chez leur clientèle?
[Traduction]
Mme Cameron : Nous avons dit à nos institutions que nous attendions d’elles qu’elles signalent tout incident cybernétique. Nous ne nous attendons pas à ce que les banques nous cachent des choses, mais nous ne savons pas ce que nous ne savons pas.
[Français]
Le sénateur Dagenais : C’était une tentative. Je vous remercie.
[Traduction]
Mme Cameron : Nous ne surveillons pas ce qui se passe dans les banques. Nous ne pouvons pas vraiment faire de commentaire sur ce dont nous n’entendons pas parler.
Le sénateur Wetston : Je vous remercie de votre présence aujourd’hui.
Permettez-moi de revenir sur votre dernière remarque à propos de ce que vous savez et de ce que vous ne savez pas, ce qui est toujours un défi. Vous savez, bien sûr, que les organismes de réglementation des valeurs mobilières jouent un rôle à cet égard. Comme vous le savez, j’ai déjà travaillé dans ce domaine. Personnellement, j’ai beaucoup travaillé sur les principes de l’infrastructure des marchés financiers, malheureusement, car cela va bien au-delà de mon champ de compétence.
Au sujet des signalements, que je trouve très importants — et je n’adresse pas ma question nécessairement à Mme Cameron, car vous avez peut-être tous une observation à formuler —, les Autorités canadiennes en valeurs mobilières ont publié des lignes directrices dans ce domaine et exigent que les émetteurs assujettis — et les banques sont des émetteurs assujettis — signalent et divulguent publiquement toutes les cyberattaques ou menaces importantes. Je ne sais pas si vous les examinez par rapport à ce qui vous est signalé. Combien de temps y consacrez-vous?
La Commission des valeurs mobilières vient d’annoncer une mise à jour, car comme vous le savez, la plupart de nos banques et de nos institutions financières sont intercotées. La Commission des valeurs mobilières exige maintenant une meilleure divulgation. Je pense que M. Clayton est allé un peu plus loin quant aux lignes directrices auxquelles il s’attend à cet égard. La divulgation et la transparence sont importantes. Avez-vous des observations à formuler au sujet de l’ampleur de la divulgation et de son importance au-delà du simple fait que les banques vous signalent ce qui se passe?
Mme Cameron : Comme vous le savez sûrement, le Bureau du surintendant des institutions financières a un régime différent de celui des organismes de réglementation des valeurs mobilières. Quand nous obtenons des renseignements, nous ne les divulguons pas. Nous ne le pouvons pas.
Nous nous attendons à ce que les principales institutions financières nous signalent les cyberincidents majeurs. Pour ce qui est des règlements des Autorités canadiennes en valeurs mobilières, qu’entend-on par « important »? Comme la beauté, l’importance est une notion subjective.
Nous avons des signalements, mais pas un nombre considérable. J’ai ici les détails. Les banques ont signalé huit incidents majeurs depuis 2016. Nous leur demandons également de nous informer des cyberincidents notables. Nous recevons habituellement deux ou trois signalements de cyberincidents notables par trimestre. Du point de vue de la Commission des valeurs mobilières, un incident « important » signifie probablement qu’il a des répercussions sur ses résultats financiers et, par conséquent, sur le cours de ses actions. Vous êtes le spécialiste dans ce domaine.
Le sénateur Wetston : C’est presque cela, c’est certain.
Mme Cameron : Ces incidents n’ont pas nui à leurs opérations d’une façon importante.
Le sénateur Wetston : Je vois. La seule raison pour laquelle je m’intéresse à cette question, c’est que les États-Unis et le Canada se rapprochent sur le plan de la divulgation. Avec toutes nos entreprises intercotées, c’est utile. Cependant, des deux côtés de la frontière, on s’attend à ce que les entreprises fournissent des renseignements personnalisés, propres à l’entité et non standard — on l’espère — à propos de l’état de préparation, des risques et des incidents relatifs à la cybersécurité. Je demande si vous êtes au courant de cela ou si vous le voyez de cette façon. Je comprends l’aspect confidentiel lié aux signalements au BSIF, et j’ai toujours eu des questions à ce sujet. Je dis toutefois que cet aspect pourrait contribuer à combler ce vide, et je crois que ce serait important. M. Morrow ou Mme Ryan ont peut-être aussi des commentaires à faire là-dessus. Je pense que c’est un aspect important.
Mme Cameron : J’en suis consciente et j’ai lu le document que vous citez il y a quelques jours. C’est le genre de renseignements que le BSIF s’attend à ce que les institutions lui fournissent, mais d’une façon beaucoup plus détaillée que dans une déclaration publique.
Le sénateur Wetston : C’est utile. Je pense que les signalements sont importants.
J’ai beaucoup de documents. J’ai fait beaucoup de lecture, et il me tarde de poser mes questions. J’ai bien aimé le point qu’a soulevé le sénateur Marwah. Le dirigeant d’une autre organisation, à propos de l’écosystème, a dit : « Comme l’a indiqué un dirigeant, mon risque est le vôtre, et votre risque est le mien. » J’ai trouvé que c’était une manière intéressante de voir les choses.
Mme Cameron : Oui. Cela rejoint le commentaire sur le maillon le plus faible.
Le sénateur Wetston : Existe-t-il des normes ou des protocoles, en général, pour régler ce genre de problème? Je le vois comme une cascade de risques. Dans le budget, on a annoncé de nouvelles initiatives importantes, mais qu’avez-vous fait jusqu’ici au BSIF, au ministère des Finances ou dans les banques pour régler ce problème?
Mme Cameron : Leur interdépendance ou les répercussions des risques sur les autres…
Le sénateur Wetston : Que faites-vous pour réduire au minimum les risques?
Le sénateur Marwah a soulevé cette question avant moi. Monsieur Morrow, j’ai ici votre document. Je ne sais pas qui me l’a remis. Peut-être l’avez-vous fourni au comité. C’est un document qui a été rédigé récemment. Je peux vous le fournir. Il est intitulé Cyber Security: Protecting the Resiliency of Canada’s Financial System. Vous en êtes l’un des auteurs. Vous mettez l’accent sur la coopération et la coordination, mais pas seulement au sein du gouvernement, dans le secteur public et le secteur privé; voilà pourquoi je soulève cette question. C’est important, en particulier si l’on va au-delà des services financiers, et les services financiers ne relèvent pas tous du fédéral. Avez-vous des commentaires à ce sujet?
M. Morrow : Il y a deux dimensions; d’abord, en fait de cadre permettant de s’assurer que les gens atteignent le niveau approprié de cyberrésilience, qu’ils dépassent les attentes et que l’on évalue correctement les normes, il en existe un certain nombre dans le monde pour mesurer l’état de préparation en matière de cybersécurité. La plupart de ces cadres sont fongibles et sont comparables les uns aux autres. Nous avons adopté l’un de ces cadres; nous maintenons les infrastructures des marchés financiers à un certain niveau de maturité à l’intérieur de ce cadre et nous sommes en mesure de le démontrer.
De plus, des exercices de simulation sont utilisés pour mettre à l’essai l’interconnexion. Lors d’exercices où l’on trouve non seulement les infrastructures des marchés financiers, mais aussi leurs participants et diverses autres personnes, on vérifie dans quelle mesure les gens sont préparés à une action coordonnée, afin de contribuer à préserver cette résilience.
Comme dernier point, je souligne qu’une multitude de groupes des secteurs privé et public ont vu le jour dans le but de permettre aux gens de partager des renseignements très détaillés et très confidentiels au sujet des atteintes à la cybersécurité en partant du principe que ce n’est pas une question de concurrence. Tout le monde est gagnant si nous échangeons des renseignements.
Cela se produit. Le problème, parfois, c’est que la quantité de renseignements que l’on peut communiquer se limite au cercle de confiance que l’on veut tracer. C’est un défi constant.
Le sénateur Wetston : Ma prochaine question comporte deux parties et porte sur l’interconnexion. Elle a été un déclencheur de la crise financière, comme nous le savons tous, et elle peut l’être encore sur le plan du risque ou de la résilience en matière de cybersécurité; l’interconnexion peut mener à un risque systémique. Quelle est votre opinion à ce sujet par rapport aux menaces à la cybersécurité, en particulier dans le contexte de l’interconnexion qui existe au sein des marchés financiers?
M. Morrow : C’est l’une des raisons pour lesquelles la cybersécurité est un facteur de vulnérabilité majeur pour nous. Un problème dans une institution peut très rapidement se propager à une autre; la cybermenace ne se transmettra pas nécessairement, mais le simple fait que le système d’une institution ou d’une infrastructure centrale est en panne signifie que les paiements et les transactions ne se font pas, et cela peut entraîner une cascade de défaillances dans les autres institutions. C’est donc une caractéristique grave de cette vulnérabilité sur le plan de la cybersécurité, et c’est pourquoi il est très important de veiller à ce que tout le monde soit bien préparé et s’efforce d’atteindre un certain niveau de résilience afin qu’il n’y ait pas de maillon faible évident dans le système.
Mme Ryan : Les nouvelles ressources consacrées à la cybersécurité tiennent compte de l’importance des systèmes essentiels. Nous nous sommes employés à identifier les composantes des systèmes dont l’interconnexion est la plus grande et dont nous devons nous préoccuper le plus. Nous travaillons ensemble. De nouvelles ressources seront affectées à ces cybersystèmes essentiels; nous tentons également de déterminer quel sera le prochain ensemble de cercles concentriques. Cela reflète le travail, dont j’ai parlé plus tôt, concernant les risques liés à des tiers que nous accomplissons au pays, en collaboration avec nos partenaires du G7, pour définir la prochaine série de menaces dont il faudra se préoccuper.
Le sénateur Wetston : Incluez-vous la technologie de chaîne de blocs dans cela?
M. Morrow : Il est moins question de la technologie de chaîne de blocs que des tiers fournisseurs de services. Si tout le monde utilise les services web d’Amazon pour l’informatique dématérialisée, alors il y aura une nouvelle vulnérabilité.
Le président : J’ai quelques brèves questions à poser concernant l’organisme dont on a annoncé la création hier.
Doit-on comprendre que le ministère de la Sécurité publique dirigera cet organisme, ou cela n’a-t-il pas encore été déterminé?
Mme Ryan : Je pense qu’il est préférable d’attendre une annonce plus détaillée, monsieur le sénateur. Le Centre de la sécurité des télécommunications y participera dans une très large mesure.
Le président : Très bien. La question de la direction, si elle a été établie, n’est pas encore publique.
Mme Ryan : Les documents budgétaires se résument aux annonces publiques, et un certain nombre de détails devront être annoncés.
Le président : Très bien. La même réponse s’applique-t-elle à la question suivante : de qui relèvera l’organisme?
Mme Ryan : C’est la même réponse, monsieur le sénateur.
Le président : Merci beaucoup. La sénatrice Stewart Olsen a posé tout à l’heure une question très importante. De toute évidence, considérant le temps que vous y consacrez et que nous y consacrons, cet enjeu est actuellement à l’ordre du jour. En fait, nous sommes peut-être même un peu en retard. Le facteur temps devient très important. Dans le document qui sera rendu public, nous dira-t-on quand cet organisme sera opérationnel? Pouvez-vous nous en parler maintenant?
Mme Ryan : Sénateur, je préfère répéter les commentaires faits dans la première réponse, qui sont que beaucoup de ces mesures sont déjà en cours de réalisation, mais que nos ressources sont limitées. À mesure que les plans prennent forme, prennent place, et que les approbations nécessaires sont obtenues et ainsi de suite, nous sommes saisis par l’urgence du besoin et nous sommes portés à accélérer les choses.
Le président : J’aime beaucoup l’expression « saisis par l’urgence du besoin ». Je tiens à souligner ce que le sénateur Marwah a dit et son analyse des préoccupations que nous avons au sujet du secteur privé. En gros, dans notre économie, je ne pense pas que je m’en ferais autant pour les banques canadiennes et leur capacité de surmonter ces difficultés que pour les sociétés de pipelines, les contrôleurs aériens, ou ce que vous voulez. Il devient donc essentiel, dans une stratégie, que nous ayons ces liens, comme le sénateur Marwah l’a clairement indiqué.
Croyez-vous que, au centre du gouvernement, on comprend que c’est essentiel?
Mme Ryan : Oui, merci beaucoup, sénateur. Il est bel et bien question, dans les documents budgétaires, de la nécessité de se pencher sur les systèmes critiques sur lesquels les Canadiens comptent. Ceux des services financiers, des transports, de l’énergie reçoivent donc une attention particulière.
J’attire votre attention sur l’annonce au sujet de la nécessité de protéger aussi les entreprises canadiennes et les citoyens canadiens sur Internet, de manière plus générale, point de vue qui est soutenu par des conseils dignes de confiance et la construction d’un écosystème, mais aussi une attention bien réelle et concentrée à la nécessité de considérer ces attaques comme des crimes donnant lieu à enquêtes et à des poursuites pour que les Canadiens et les entreprises canadiennes soient protégés. Lorsque nous constatons que certains systèmes posent plus de risques pour les Canadiens et les entreprises canadiennes, nous accroissons les ressources et intensifions la liaison, la gouvernance et le leadership.
Le président : Permettez-moi de tous vous remercier d’être ici aujourd’hui pour nous aider dans nos délibérations. Vous êtes extrêmement utiles en raison de vos connaissances. Je vous remercie aussi du travail que vous faites quotidiennement au service des Canadiens. Cela a été un plaisir de vous accueillir et votre présence nous est profitable.
Notre deuxième groupe, sénateurs, représente Paiements Canada et se compose de Justin Ferrabee, chef des opérations, et Martin Kyle, dirigeant principal de la sécurité de l’information.
D’après ce que je comprends, M. Ferrabee va nous présenter un exposé préliminaire, après quoi les sénateurs auront sans aucun doute des questions à lui poser. Merci d’être venu.
Monsieur Ferrabee, vous avez la parole.
Justin Ferrabee, chef des opérations, Paiements Canada : Je vous remercie, monsieur le président et membres du comité, d’avoir invité Paiements Canada à contribuer à votre étude des questions et préoccupations relatives à la cybersécurite et à la cyberfraude pour en faire rapport. Je m’appelle Justin Ferrabee et je suis accompagnée de mon collègue, Martin Kyle, dirigeant principal de la sécurité de l’information.
Je prendrai quelques minutes pour vous aider à placer Paiements Canada — anciennement l’Association canadienne des paiements — dans le contexte du système financier avant d’entrer dans les détails de l’approche de Paiements Canada à l’égard de la cybersécurite et de la cyberfraude et d’aborder certaines questions et préoccupations qui, selon nous, n’ont toujours pas été réglées.
Paiements Canada est l’infrastructure de marchés financiers du Canada relative aux paiements. Nous concevons et mettons en œuvre les systèmes nationaux de compensation et de règlement du Canada, et nous assurons l’interaction de ces systèmes avec d’autres réseaux de paiements et infrastructures de marchés financiers. Paiements Canada est une entité peu connue de la plupart des Canadiens, mais elle joue un rôle essentiel dans l’économie et dans les activités quotidiennes des institutions financières et des entreprises du pays.
Les systèmes de Paiements Canada assurent que les paiements entre les institutions financières, qui représentent l’ensemble des paiements effectués par les particuliers canadiens, les entreprises et les gouvernements, sont effectués en toute sécurité chaque jour.
Nous sommes guidés par notre mandat et les objectifs de politique publique que sont la sûreté, l’efficacité et l’efficience des systèmes de compensation et de règlement canadiens. Ces objectifs sont entérinés dans notre loi en vertu du ministère des Finances : la Loi canadienne sur les paiements.
Les institutions financières qui offrent des services de paiement sont tenues d’être membres de Paiements Canada et de financer nos opérations. Nos systèmes sont sous la surveillance de la Banque du Canada, du fait de notre importance pour la stabilité de l’ensemble du système financier.
Paiements Canada ne fonctionne pas au niveau « détail » de la chaîne des paiements, où sont conçues les nouvelles technologies de paiement numérique. Notre articulation se situe au niveau macro et a pour objet d’assurer le règlement efficace et sans risque des comptes financiers entre les institutions financières.
Cependant, en consultation avec nos membres et nos intervenants, nous tenons à jour un cadre de règles et de normes qui facilite le déploiement de nouveaux produits et services de paiement, un aspect qui nous intéresse tout particulièrement alors que nous cherchons à moderniser nos systèmes et nos règles.
Nous prenons au sérieux notre plus importante priorité de sûreté et d’efficacité. Elle retient l’intérêt, les ressources et les investissements avant tout autre besoin, aujourd’hui et dans un monde modernisé.
Cela signifie que nous concevons, examinons, modifions et actualisons nos systèmes alors que nous surveillons les risques. Nous demeurons constamment vigilants et intervenons au besoin pour nous assurer de gérer les risques de façon appropriée.
Étant donné que les cybermenaces continuent d’évoluer rapidement, Paiements Canada continue d’accroître ses défenses contre ce secteur de risque opérationnel. Nous avons un plan d’action sur la cybersécurité qui est fondé sur certains principes de conception sécurisée et sur les normes de l’industrie. Le plan prévoit de notre part une constante surveillance des lacunes, et leur correction, afin d’assurer la résilience de nos opérations. Il s’agit de reconnaître les biens sensibles et leur contexte environnemental, de protéger l’infrastructure qui les abrite, de détecter les menaces visant à compromettre l’infrastructure, de réagir aux événements et aux incidents et de se rétablir après des intrusions potentielles.
Paiements Canada fonctionne au sein d’un réseau d’institutions financières, d’organismes de réglementation et d’autres infrastructures du marché financier. Par conséquent, nous sommes tenus de respecter des normes de sécurité élevées qui comprennent le Document d’orientation sur la cyberrésilience pour les infrastructures des marchés financiers, le Programme de sécurité de la clientèle (PSC) de SWIFT et le Cadre de cybersécurité du National Institute of Standards and Technology.
En retour, nous établissons des règles et des normes auxquelles nos membres doivent adhérer et qui concernent la sécurité des effets de paiement et la connectivité des systèmes. De concert avec nos partenaires du secteur financier, nous collaborons à la cybersécurité et à la coordination de la gestion dans l’ensemble de l’écosystème par l’entremise de groupes importants de l’industrie comme le Conseil canadien de gouvernance en matière de cybersécurité des services financiers, le Groupe de spécialistes de la cybersécurité des institutions financières canadiennes et l’Information Sharing and Analysis Centre.
De plus, nous dressons des plans pour une résilience élevée et participons à des exercices interorganisationnels pour assurer la continuité des activités et la reprise après sinistre. Nous restons également en contact et échangeons des renseignements avec des organismes publics partenaires et des organisations non gouvernementales du milieu de la cybersécurité. Ces liens comprennent Sécurité publique Canada, le Centre canadien de réponse aux incidents cybernétiques et la Direction générale de la protection des infrastructures essentielles, le Centre de la sécurité des télécommunications — Développement des écosystèmes de cybersécurité, l’Équipe nationale des infrastructures essentielles de la GRC et l’Échange canadien de menaces cybernétiques (ECMC).
En étroite collaboration avec nos membres, notre superviseur et notre organisme de réglementation, nous entreprenons actuellement un programme d’envergure qui permettra de moderniser complètement l’infrastructure. Nous mettons l’accent sur les principes de la sécurité et de la solidité dans cette initiative de modernisation et nous nous assurons que l’environnement modernisé continue de garantir les paiements pour l’économie canadienne.
Cette diligence nous permet de déceler certaines lacunes qui échappent à notre contrôle et que votre organisme pourrait influencer. Nous aimerions aborder ces lacunes aujourd’hui.
En premier lieu, il apparaît clairement nécessaire d’assurer une coordination publique-privée pour réagir aux attaques contre les infrastructures essentielles, et aussi de déterminer dans le secteur public un seul point de contact précis pour les dirigeants principaux de la sécurité de l’information du secteur privé. Ces améliorations faciliteront notre partage de l’information — de façon protégée — tout en nous aidant à gérer les attaques futures, et à les prévenir. Nous espérons que les nouveaux organismes énoncés dans le budget de 2018 du gouvernement fédéral — le Centre canadien pour la cybersécurité et l’Unité nationale de coordination de la lutte contre la cybercriminalité — nous aideront à résoudre cet enjeu.
En deuxième lieu, les infrastructures des marchés financiers constituent l’épine dorsale de l’économie. Il faut accorder la priorité à ces cybersystèmes systémiques pour la reprise avec les fournisseurs et l’infrastructure en cas de perturbation généralisée. Une politique qui étend les exigences de cybersécurité à la chaîne d’approvisionnement des systèmes essentiels contribuera à l’amélioration de la résilience des composantes dépendantes aux infrastructures nationales et au système financier dans son ensemble.
En dernier lieu, nous sommes convaincus qu’il serait possible de faire davantage pour remédier à la pénurie de compétences en cybersécurité. Une pénurie de personnes compétentes sévit déjà et, compte tenu de l’augmentation et de la gravité des menaces, il faut élaborer des politiques et des stratégies permettant de former, d’attirer et de retenir des travailleurs qualifiés.
Bien que chaque organisation ait la responsabilité de se protéger elle-même contre les cyberattaques, il sera beaucoup plus efficace d’engager une action collective du réseau à cet effet, englobant les entités publiques et privées. À l’avenir, il sera important de considérer la cybersécurité comme un enjeu qui touche l’ensemble de l’économie canadienne et de notre sécurité nationale, en raison des interdépendances évidentes. Paiements Canada est impatient de contribuer à une stratégie de défense du réseau et de la promouvoir.
Le mandat de Paiements Canada est explicitement axé sur la sécurité et la solidité du système de paiement. Par conséquent, nous attendons avec impatience les recommandations découlant de l’étude et du rapport du comité. Je vous remercie de votre temps. Nous serons heureux de répondre à vos questions.
Le président : Je vous remercie beaucoup, monsieur Ferrabee. C’était un très bon exposé.
Je vais démarrer la période des questions par la vice-présidente.
La sénatrice Stewart Olsen : D’après votre exposé, vous avez déjà un très bon service de cybersécurité en activité. Comment envisagez-vous votre interaction avec le nouvel organisme? Êtes-vous quelque peu préoccupé? Je sais que les services comme le SCRS ou la GRC ne parlent pas beaucoup de leurs problèmes de sécurité. On devient très protecteur lorsqu’il y a une menace. Je ne suis pas certaine que nous puissions surmonter cet obstacle avec les nouveaux organismes. Pourriez-vous nous dire ce que vous pensez de ces deux choses, s’il vous plaît?
M. Ferrabee : Oui. Premièrement, nous n’avons pas encore suffisamment d’information sur ce qui sera prévu dans le cadre du budget pour connaître les détails. Nos activités touchent l’ensemble de la fonction publique fédérale et divers secteurs. Nous supposons que ces intervenants apporteront leur contribution d’une certaine façon, et que nous allons collaborer dans le cadre de ce processus ou de tout autre régime à venir.
Nous allons bâtir ces relations de façon proactive afin de déterminer comment procéder. Nous sommes en quelque sorte les premiers à vouloir participer.
Deuxièmement, les difficultés concernant l’échange de renseignements évoluent, car on commence par déterminer les renseignements qui peuvent et ne peuvent pas être échangés, puis, à mesure qu’on bâtit la confiance et qu’on met en place des conditions, des procédures et des mesures de sécurité, on peut échanger plus de renseignements. Comme Ron Morrow l’a souligné, il s’agit d’établir un cercle de confiance et de l’élargir au fil du temps. Pour cela, il y a des conditions préalables à respecter.
Nous avons acquis de l’expérience et obtenu du succès en la matière. Nous croyons être en mesure de réussir. L’intérêt collectif grandira à mesure que les intervenants prendront conscience des cybermenaces. Nous sommes persuadés que c’est ce qui se passera de plus en plus et que des normes de participation seront établies.
Martin Kyle, dirigeant principal de la sécurité de l’information, Paiements Canada : Pour le moment, nous recevons des renseignements sur les menaces de la part des organismes actuellement en place. Je m’attends à ce que cet échange de renseignements se poursuive à l’avenir selon un processus remanié. Comme Justin Ferrabee l’a indiqué, à mesure que nous bâtirons les cercles de confiance et que nous peaufinerons nos méthodes, nous allons continuer d’échanger des renseignements avec ces organismes.
La sénatrice Stewart Olsen : Très bien. J’ai hâte de voir cela. Merci.
Le sénateur Marwah : Merci à vous deux. J’ai bien aimé lire vos mémoires et vos déclarations préliminaires.
Vous dites que vous croyez fermement qu’on peut en faire davantage pour remédier au manque d’effectifs qualifiés en matière de cybersécurité, et cela signifie certainement que nous manquons de personnel. Vous ajoutez ceci : « À l’avenir, il sera important de considérer la cybersécurité comme un enjeu qui touche l’ensemble de l’économie canadienne et de notre sécurité nationale, en raison des interdépendances évidentes. »
En lisant cela, je me demande à qui on pourrait confier une telle tâche. À un nouvel organisme ou aux nombreux organismes déjà en place? Qui est chargé de ce dossier actuellement? Si on fait abstraction du nouvel organisme, qui a la responsabilité de coordonner les efforts afin qu’aucun détail ne soit négligé?
M. Kyle : Sécurité publique Canada organise un forum national intersectoriel sur les infrastructures essentielles qui regroupe des intervenants de 10 secteurs d’infrastructure essentiels désignés. Cela permet de coordonner les activités de renseignement et d’organiser des séances — voire des exercices — dans tous ces secteurs.
Encore une fois, comme l’annonce d’hier l’indique, il pourrait y avoir une certaine réorganisation. Je ne sais pas exactement ce qui sera fait différemment à l’avenir, mais, actuellement, c’est le ministère de la Sécurité publique qui coordonne nos activités à l’échelle nationale en ce qui concerne les infrastructures essentielles.
Le sénateur Marwah : Selon vous, le ministère fait-il le nécessaire, ou croyez-vous que, à ce chapitre, il y aurait d’autres améliorations à apporter à l’ensemble de nos stratégies et politiques?
M. Kyle : Nous sommes sur la bonne voie. Il y a quelques semaines, j’ai servi de modérateur lors d’une discussion organisée par l’OCDE. On s’est demandé notamment comment les intervenants responsables des infrastructures essentielles interagissent en cas de cybermenace. Un représentant des États-Unis a expliqué que, dans son pays, on procède à des exercices de cybermenace qui font appel à divers secteurs comme les finances, les télécommunications, l’énergie et l’électricité.
Je sais donc que la section responsable des infrastructures essentielles a discuté de cette possibilité avec les intervenants responsables des infrastructures essentielles au Canada. Nous sommes sur la bonne voie, mais nous pouvons encore en faire davantage.
Le sénateur Marwah : À votre avis, quel est le meilleur modèle à suivre parmi ceux que vous avez vus? Y a-t-il un modèle en particulier qui vous semble tout à fait adéquat sur le plan de l’organisation, que ce soit au Royaume-Uni ou au sein de l’Union européenne? L’approche des États-Unis est plus fragmentée que la nôtre. Quel pays ou quel modèle propose la meilleure méthode ou la méthode la plus efficace possible?
M. Kyle : Je ne peux pas vraiment faire de commentaires sur les modèles des autres pays, si ce n’est que tous les pays sont actuellement aux prises avec les mêmes problèmes que nous. Le nombre, la fréquence et la gravité des cyberattaques augmentent. Pendant que nous sommes réunis ici pour étudier ce problème, les pays avec lesquels j’ai interagi font la même chose.
Le président : Monsieur Ferrabee, avez-vous quelque chose à ajouter? Le sénateur Marwah aimerait savoir s’il y a un modèle ou un pays en particulier sur lequel nous devrions nous pencher.
M. Ferrabee : En ce qui concerne plus particulièrement les infrastructures de paiement et la façon d’interagir avec d’autres infrastructures, l’approche varie énormément d’un pays à l’autre. Nous travaillons en étroite collaboration avec les autres pays. Il y a environ quatre ans, un comité de hauts fonctionnaires du G7 a été mis sur pied afin de se pencher précisément sur ces questions. Je dirais que nous nous situons dans le quartile supérieur sur le plan de l’organisation. Sans vouloir en dire trop, je crois que nous sommes dans la catégorie des pays dont le modèle semble fonctionner.
Le président : Merci beaucoup.
Le sénateur Tannas : Merci de votre présence. Nous avons beaucoup parlé de ce que j’appellerais les menaces à grande échelle que constituent notamment les milliers — voire les millions — de tentatives d’atteinte à la sécurité de grands réseaux. Cependant, je me demande si votre position particulière vous permet de vous pencher sur les menaces à petite échelle qui touchent les Canadiens ordinaires en plus de ce que vous essayez de faire. Je parle notamment des rançons qui sont payées à des gens qui prennent des ordinateurs en otage et qui, par exemple, exigent 200 $ pour débloquer l’accès aux données. Il y a aussi des fraudeurs qui communiquent avec les gens par courriel ou par téléphone pour soutirer de l’argent à de vieilles dames en leur faisant croire qu’elles doivent encore verser de l’impôt à l’agence du revenu. Il y a également de l’hameçonnage ou de fausses factures d’entreprise.
Or, je n’ai jamais entendu parler de l’imposition de mesures réparatoires à cet égard. Les gens envoient l’argent, et on leur dit : « Oh, eh bien, désolé, mais l’argent n’est plus là. » Où est-il allé? N’y a-t-il pas des mesures qui sont prises ou des discussions sur la façon de s’organiser pour que l’argent qui est transféré d’une institution financière canadienne à une institution financière américaine ne puisse pas se volatiliser?
Autrement dit, dans le cadre de cette discussion, est-ce qu’on se penche sur des moyens pour récupérer cet argent pour les Canadiens ordinaires?
Je sais qu’il faut y aller au cas par cas. Nous avons appris que cela se produit probablement des millions de fois. J’ai été victime de cela dans le milieu des affaires, et mon ordinateur a aussi été piraté; j’ai dû payer beaucoup d’argent, et on m’a seulement répondu : « C’est dommage. Vous avez perdu votre argent. »
Or, n’êtes-vous pas les mieux placés pour trouver des façons de récupérer cet argent ou d’endiguer ce flot? Y a-t-il des gens qui se penchent là-dessus, ou est-ce qu’on s’intéresse seulement aux menaces à grande échelle qui pèsent sur les grandes banques, sur le secteur hydroélectrique, et cetera? C’est un aspect tout aussi important, mais ne devrait-on pas se pencher sur les deux aspects?
M. Ferrabee : Je vais tenter de répondre le premier et de ne pas vous décevoir. En tant qu’infrastructure du marché financier, Paiements Canada va plus en profondeur que cela. Par exemple, nous nous occupons des échanges entre les institutions financières, qui constituent un très petit groupe. Comme ce sont ces institutions qui interagissent avec les clients, ce sont elles qui s’occupent des consommateurs, et l’ACFC est l’organisme qui défend les Canadiens dans les dossiers qui touchent les questions financières et les consommateurs de services financiers.
Nous ne nous occupons pas de cet échelon du système de paiement. Que nous ayons ou non un avis sur la question, Paiements Canada est une infrastructure dont le champ d’activité, aussi important soit-il, est limité et ne couvre pas la consommation.
Le sénateur Tannas : Si j’envoie un paiement, il ne passe pas du tout par votre infrastructure.
M. Ferrabee : Il sera traité par nos membres — les banques —, puis, finalement, par notre infrastructure lors des transactions entre les banques. Cependant, nous ne participons pas à l’autorisation des paiements ou aux processus à l’échelle du consommateur.
Le sénateur Tannas : Qu’en est-il des institutions financières aux États-Unis? Vous occupez-vous de cela ou seulement des institutions qui font partie du système financier canadien?
M. Ferrabee : Nous nous occupons également des virements.
Le sénateur Tannas : Alors, mon institution financière se sert de votre infrastructure pour envoyer mon paiement quelque part. Y a-t-il des gens, quelque part, qui se demandent où va cet argent et comment le récupérer si on s’aperçoit, le lendemain, que le paiement a été obtenu frauduleusement?
M. Kyle : Les virements passent par un réseau séparé, le réseau SWIFT, dont les utilisateurs sont les institutions financières. En me fondant sur l’expérience que j’ai acquise avant d’être à Paiements Canada, je dirai que la possibilité de révoquer des paiements en cas de fraude relève en grande partie des institutions financières et de leur pouvoir de négociation avec leurs homologues.
Pour revenir à un argument soulevé pendant une discussion précédente dans le cadre de cette étude, la difficulté à trouver ces délinquants et à les poursuivre en justice découle du fait que le crime en question touche plus d’un État. Je crois que cela répond à la première partie de votre question.
Votre question porte sur deux aspects : la difficulté de trouver les délinquants et de les poursuivre en justice, et les recours des consommateurs. Ce sont principalement les institutions financières de détail qui sont en mesure de recouvrer des paiements qui pourraient avoir été obtenus frauduleusement ou d’indemniser la victime du crime en question.
J’espère avoir répondu à quelques-unes de vos questions, mais ce sont là des responsabilités qui ne font pas partie du champ d’activité de Paiements Canada.
Le président : Ce sont d’excellentes questions. Gardez-les pour demain, lorsque nous allons entendre des représentants de la Chambre de commerce du Canada et de Mastercard. L’intérêt du consommateur est un aspect très important.
Le sénateur Wetston : J’ai une question générale. La Banque des règlements internationaux a fait beaucoup de travail à l’égard des infrastructures du marché financier. A-t-elle fait quelque chose récemment pour orienter votre travail en ce qui a trait aux cyberattaques ou aux menaces à la cybersécurité?
M. Ferrabee : Nous travaillons avec la Banque du Canada dans ce dossier. Il va de soi que nous travaillons de concert afin d’interpréter les résultats de ces travaux et de les adapter à notre situation.
M. Kyle : Il existe un document en particulier qui, si je ne m’abuse, a été mentionné dans notre déclaration préliminaire, et qui établit une norme à laquelle nous adhérons : le Document d’orientation sur la cyberrésilience pour les infrastructures des marchés financiers. Ce document a été publié par la Banque des règlements internationaux, et des gens de la Banque du Canada ont contribué à l’élaboration du contenu.
Le sénateur Wetston : Vous n’y participez pas directement?
M. Kyle : Nous n’avons pas participé à l’élaboration du document, mais nous adhérons aux principes qui y sont définis.
Le sénateur Wetston : Selon vous, y a-t-il d’autres composantes vulnérables au sein du système de transfert de paiements de grande valeur, que ce soit à l’échelle des paiements, de la compensation ou des règlements? Avez-vous une idée des composantes qui pourraient être vulnérables ou exposées davantage à une cyberattaque?
M. Kyle : Pour des raisons qui peuvent sembler évidentes, nous n’avons pas l’habitude de discuter des structures ou des composantes de sécurité. Même si nous avons une idée des composantes qui sont plus fortes ou plus faibles, nous n’en discutons pas, mais nous signalons les lacunes aux autorités concernées au besoin.
Le sénateur Wetston : Je suppose que, ce qui importe, c’est de savoir s’il y a des écarts entre les systèmes, et si vous les avez cernés, même si, bien sûr, vous ne voudriez pas les exposer au cas où des cybercriminels s’intéresseraient également à cette information, pour des raisons évidentes. Cependant, y a-t-il des écarts? Si c’est le cas, êtes-vous au courant, et prenez-vous les mesures qui s’imposent pour y remédier? Pouvez-vous répondre à cette question?
M. Ferrabee : Il y a bel et bien des écarts, notamment selon l’échelle, le nombre de participants et la confiance à l’égard du système. Plus le système est petit, plus le niveau de confiance est élevé. Notre système est très petit et dessert un petit nombre de membres, ce qui fait que le niveau de confiance est élevé. Le risque augmente avec la taille du système.
Le sénateur Wetston : Je considère les choses en fonction du fait que, de façon générale, notre société se numérise de plus en plus. Je ne sais pas quel terme sera employé dans 10 ans, mais nous pourrions ne plus nous désigner comme des humains. Nous pourrions être des robots dont toutes les activités seraient numérisées et gérées par des systèmes d’intelligence artificielle.
Vous conviendrez sans doute que, de nos jours, on peut recueillir suffisamment de données en une journée pour faire une analyse ou n’importe quoi d’autre, alors que, il y a cinq ou six ans, il aurait fallu des mois pour recueillir les mêmes données. À mon sens, cela rend les données plus vulnérables aux cyberattaques.
Dans le contexte de l’intelligence artificielle et des mégadonnées — ou quel que soit le terme employé; je ne me souviens plus du terme exact pour désigner cette technologie —, craignez-vous que le fait de pouvoir recueillir et structurer un grand volume de données potentiellement importantes en une journée plutôt que sur une longue période rende ces données plus vulnérables à des attaques?
M. Ferrabee : Je vais tenter de répondre de façon générale. On observe actuellement une accélération des capacités et une utilisation plus vaste des technologies, ce qui nous force à rester à jour. Nous faisons des investissements considérables pour mettre nos méthodes à jour, et nous sommes à l’affût des nouvelles réalités et de leurs conséquences.
Je pense que la réponse courte est que nous sommes effectivement conscients de ces risques. Les méthodes sont plus avancées, ce qui entraîne plus de risques et nous force donc à faire preuve d’une plus grande vigilance.
Le sénateur Wetston : Les données sont-elles plus accessibles?
M. Ferrabee : Parce qu’elles sont plus nombreuses? C’est possible. Nous élaborons nos systèmes de manière à éviter que ces conditions nous rendent plus vulnérables. Nous sommes conscients de cette contrainte.
Le sénateur Wetston : Croyez-vous, toujours selon votre expérience et votre champ d’activité, évidemment, que les auteurs de cyberattaques ont des méthodes aussi avancées et efficaces que les vôtres?
M. Ferrabee : Tout à fait.
Le sénateur Wetston : Ont-ils des méthodes plus efficaces?
M. Ferrabee : C’est très possible.
Le sénateur Wetston : Je suppose que c’est ce qui nous inquiète.
M. Ferrabee : C’est ce qui nous inquiète, et nous ne savons pas dans quelle mesure nous sommes à la hauteur, mais nous persévérons.
[Français]
Le sénateur Dagenais : Merci à nos invités.
Je vais revenir sur la culture du secret qui caractérise certains organismes et même certaines institutions en cause. Dans quelle mesure cette culture du secret risque-t-elle de retarder la prise de décisions lors d’une cyberattaque, et quelles en sont les conséquences?
[Traduction]
M. Ferrabee : C’est une très bonne question. Il est difficile de connaître l’ampleur de cette culture du secret chez nos collègues ou nos partenaires.
Le problème que nous devons résoudre et que nous tentons d’expliquer ici, c’est que, étant donné la rapidité à laquelle les choses évoluent, la collaboration devient de plus en plus importante, et elle exige de ne pas avoir de secrets.
Nous essayons également de nous adapter à cet égard, et cela se reflète surtout dans les efforts que nous faisons pour rendre nos échanges plus transparents, et nous sommes conscients qu’il s’agit d’une difficulté avec laquelle nous devons composer dans nos relations avec nos partenaires.
[Français]
Le sénateur Dagenais : On sait que les institutions financières font affaire avec leur clientèle. Parfois, pour des raisons stratégiques, elles ne veulent pas alerter leurs clients ou créer un climat de suspicion, car cela pourrait nuire à l’institution. On peut donc cultiver une certaine culture du secret.
Il est important de prendre rapidement les choses en main et d’aviser le client, car si ce dernier, pour quelque raison que ce soit, n’est pas avisé de ce qui se passe, il peut continuer à se mettre dans une position très critique.
[Traduction]
M. Ferrabee : Nous n’allons certainement pas maintenir le secret si nous prenons connaissance d’un problème. Nous n’allons pas maintenir le secret ou restreindre le niveau de transparence pour ces raisons. Si nous ne sommes pas conscients du problème, il est difficile pour nous de le cerner. Si nous pouvons cerner un problème par l’entremise de nos systèmes, nous allons prendre les mesures nécessaires.
[Français]
Le sénateur Dagenais : Vouliez-vous ajouter quelque chose, monsieur Kyle?
M. Kyle : Oui, merci.
[Traduction]
Les consommateurs victimes de cyberfraude ou de gestes malveillants ont des recours auprès de leur institution financière. Par ailleurs, des modifications seront apportées prochainement au régime de réglementation au titre de la LPRPDE afin d’exiger la publication d’avis au sujet des atteintes à la sécurité. Ces modifications permettront d’accroître la transparence à l’égard des graves atteintes à la sécurité partout au pays.
Dans certaines provinces, dont l’Alberta — je crois que c’est aussi le cas au Québec, mais je n’en suis pas sûr —, on exige la publication d’avis sur les atteintes à la sécurité. Les consommateurs de ces provinces peuvent s’adresser au commissaire à la protection de la vie privée de leur province afin d’obtenir de l’information sur ces atteintes à la sécurité, même dans le secteur financier, afin de savoir si leurs renseignements personnels ont été compromis.
Voilà ce qui se passe entre les établissements bancaires de détail et les consommateurs. Dans notre cas, le nombre d’intervenants qui se connectent à nos systèmes et qui transfèrent des fonds est beaucoup plus limité. Avec le secteur bancaire comme tel, nous entretenons des liens étroits, ce qui signifie que, dans notre milieu, le niveau de confiance, d’interaction et d’échange de renseignements est beaucoup plus élevé. Je tenais à établir la distinction entre notre façon d’interagir avec les intervenants de notre milieu et la façon dont le consommateur interagit avec le système financier de détail.
[Français]
Le sénateur Dagenais : J’ai une question un peu plus pointue : avez-vous une idée du nombre de personnes qui peuvent être impliquées dans la lutte contre les cyberattaques?
[Traduction]
M. Ferrabee : À Paiements Canada?
[Français]
Le sénateur Dagenais : Oui, entre autres.
[Traduction]
M. Ferrabee : Nous n’allons pas préciser le nombre de personnes que nous employons et l’ampleur des ressources que nous déployons, mais je vous assure que les moyens sont considérables.
[Français]
Le sénateur Dagenais : Merci beaucoup.
[Traduction]
Le président : Je vous remercie infiniment tous les deux. Cette séance a été fort instructive pour nous. Nous essayons de nous renseigner davantage sur le sujet, et vous y avez beaucoup contribué aujourd’hui. Nous vous en sommes reconnaissants.
(La séance est levée.)