Délibérations du Comité sénatorial permanent des
Banques et du commerce
Fascicule no 36 - Témoignages du 21 mars 2018
OTTAWA, le mercredi 21 mars 2018
Le Comité sénatorial permanent des banques et du commerce se réunit aujourd’hui, à 16 h 18, afin d’étudier, pour en faire rapport, les questions et préoccupations relatives à la cybersécurité et à la cyberfraude.
Le sénateur Douglas Black (président) occupe le fauteuil.
Le président : Bonjour et bienvenue à mes collègues ainsi qu’aux membres du grand public qui sont présents dans la salle ou qui suivent les délibérations du Comité sénatorial permanent des banques et du commerce sur le Web. Je m’appelle Doug Black. Je suis un sénateur de l’Alberta et j’ai le privilège de présider ce comité.
Je demanderais maintenant à mes collègues de se présenter à tour de rôle, en commençant par la sénatrice Unger.
La sénatrice Unger : Je m’appelle Betty Unger et je suis d’Edmonton, en Alberta.
La sénatrice Wallin : Pamela Wallin, sénatrice de la Saskatchewan.
La sénatrice Ringuette : Pierrette Ringuette du New Brunswick.
Le sénateur Marwah : Sabi Marwah, Ontario.
Le sénateur Wetston : Howard Wetston, Ontario.
La sénatrice Stewart Olsen : Carolyn Stewart Olsen, Nouveau-Brunswick.
Le sénateur MacDonald : Michael MacDonald de la Nouvelle-Écosse.
Le président : Comme toujours, nous pouvons également compter sur les excellents services de notre greffière et de nos analystes de la Bibliothèque du Parlement.
Nous poursuivons aujourd’hui notre étude des questions et des préoccupations relatives à la cybersécurité et à la cyberfraude, y compris les menaces cybernétiques qui pèsent sur les secteurs financier et commercial du Canada, la situation actuelle relative aux technologies de cybersécurité, et les mesures et règlements en matière de cybersécurité au Canada et à l’étranger. J’ai le plaisir de souhaiter la bienvenue à M. Florian Kerschbaum, directeur par intérim de l’Institut de la cybersécurité et de la protection des renseignements personnels de l’Université de Waterloo, qui est également professeur agrégé à la faculté de l’informatique de la même université.
Je veux rappeler à mes collègues sénateurs que M. Kerschbaum devait comparaître devant nous en octobre dernier, mais que la séance en question a dû être annulée. Monsieur Kerschbaum, je vais donc vous laisser la parole pour vos observations préliminaires, après quoi nous passerons aux questions des membres du comité.
Merci beaucoup d’être des nôtres aujourd’hui.
Florian Kerschbaum, directeur par intérim, Institut de la cybersécurité et de la protection des renseignements personnels, Université de Waterloo : Merci.
Mesdames et messieurs les sénateurs, je suis heureux de témoigner aujourd’hui devant le Comité sénatorial permanent des banques et du commerce pour vous parler de cybersécurité. Je suis professeur agrégé en informatique à l’Université de Waterloo et directeur de l’Institut de la cybersécurité et de la protection des renseignements personnels de cette université. Je suis à l’emploi de celle-ci depuis janvier 2017 seulement. Auparavant, j’ai travaillé pendant 11 ans en Allemagne pour la société SAP, un distributeur de logiciels européen.
Je vais me pencher aujourd’hui sur trois aspects de la situation actuelle des technologies de cybersécurité.
Il y a premièrement la principale difficulté liée à la cyberdéfense, à savoir le fait qu’il est beaucoup plus difficile de se défendre que d’attaquer.
Deuxièmement, il y a un manque d’incitatifs pour la cybersécurité dans l’industrie et au sein du gouvernement. Autrement dit, il faut se demander pourquoi les entreprises n’investissent pas suffisamment pour enrayer le problème et ce que le gouvernement pourrait faire pour changer les choses.
Troisièmement, il faut noter l’importance de la recherche fondamentale sur les défis liés à la cybersécurité ainsi que de l’éducation dans ce domaine. Il s’agit de savoir en quoi la science est une pièce du casse-tête de la cybersécurité et comment elle peut contribuer à améliorer la situation.
Je vais d’abord parler de cyberdéfense. Il est essentiel de comprendre qu’il est beaucoup plus difficile d’assurer la cyberdéfense d’un système que de mener des cyberattaques. Alors qu’il suffit aux pirates informatiques de trouver une seule faille, les victimes de leurs attaques doivent bloquer tous les points d’accès possibles. Ce déséquilibre rend la tâche des responsables de la sécurité des systèmes beaucoup plus ardue et les oblige à consacrer à la cyberdéfense des sommes démesurées par rapport aux fonds nécessaires aux pirates.
Notre seule stratégie pour contrer la vulnérabilité inhérente des systèmes informatiques est la défense en profondeur qui consiste à mettre en place de multiples couches de mécanismes de sécurité et à déployer un nouveau mécanisme toutes les fois qu’un pirate réussit à en contourner un. Or, comme je l’expliquerai dans quelques instants, la défense en profondeur est rarement mise en œuvre dans la pratique. De plus, elle n’est pas très bien comprise au niveau scientifique; j’aborderai aussi cette question un peu plus tard.
Si on reconnaît que la cybersécurité exige des efforts considérables, on peut alors se demander pourquoi nous abordons la question d’un point de vue stratégique devant votre comité.
Même si, à l’échelle nationale personne ne remet en question la pertinence de protéger nos infrastructures essentielles contre les attaques et le vol de données perpétrés par des pirates faisant partie d’organisations criminelles ou des agents d’États-nations, les marchés ne récompensent pas les bonnes pratiques en matière de cybersécurité. Pour plusieurs, la cybersécurité, c’est l’absence d’activités néfastes, et non pas la présence de caractéristiques positives.
Seules les entreprises spécialisées incluent de véritables options de sécurité et de protection des renseignements dans leurs produits. Les graves atteintes à la protection des données n’ont pas d’effet à long terme sur le cours des actions ou le comportement des consommateurs. En fait, des entreprises ont profité de leurs mauvaises pratiques en matière de cybersécurité pour créer de nouveaux débouchés tels que l’assurance contre le vol d’identité.
C’est pourquoi les entreprises ne cherchent pas à innover dans le domaine de la cybersécurité. Elles se contentent d’investir le minimum pour assurer la poursuite des activités et donner une impression de protection des renseignements. Un peu comme quand un ours passe à l’attaque, l’important, ce n’est pas de courir plus vite que l’ours, mais bien de courir plus vite que les autres proies. Dans le fond, les cyberattaquants finissent toujours par trouver une proie et, à l’occasion, cette proie se trouve au Canada — ce qui n’est pas surprenant, compte tenu de tous les ours qui vivent dans ce pays — pardonnez-moi mon humour.
Le manque d’innovation en cybersécurité de la part de l’industrie est grave. Même dans le marché du capital-risque, on entend souvent dire que « les clients ne paient pas pour la sécurité ».
La réglementation pourrait représenter une solution, mais le rôle du gouvernement à cet égard n’est pas clair. Les organismes d’application de la loi et du renseignement réclament un accès plus facile aux données personnelles. Il est important de comprendre qu’en affaiblissant la protection des renseignements personnels, on affaiblit également la cybersécurité et on mine l’efficacité de la défense en profondeur. Lorsqu’on permet à un organisme gouvernemental d’avoir accès aux données, on ouvre du même coup la porte aux cyberattaquants habiles. Il est clair que l’accès pratiquement gratuit aux données permet aux organismes d’application de la loi et du renseignement de travailler à moindre coût, mais ces organismes arrivaient à résoudre des crimes et à collecter des renseignements avant même l’avènement des téléphones intelligents et d’Internet. Il est possible d’intercepter des données à la source, même lorsque de solides mesures de chiffrement sont en place.
Si l’on reconnaît que la situation de l’innovation en cybersécurité est peu reluisante, on peut se demander ce qu’on peut faire pour corriger la situation actuelle. En tant que chercheur, j’estime qu’il faudra pour ce faire relever des défis fondamentaux.
D’abord, la majorité des pratiques et de la recherche liées à la cybersécurité sont fondées sur le cycle violation, correction, nouvelle violation. Lorsque les spécialistes de la sécurité détectent des attaques, ils modifient ou réparent le système pour corriger les failles et empêcher une autre attaque du même genre. Malgré cela, le système est de nouveau corrompu peu de temps après, souvent à cause d’une attaque à peine différente de la première.
À mon avis, plutôt que de simplement nous attaquer au problème de façon superficielle en y consacrant le moins de fonds possible, nous devons miser sur la recherche fondamentale afin de régler le problème à la source. Pour relever les défis liés à la cybersécurité, il faut recourir à la recherche scientifique fondamentale sur la science de la cybersécurité et chercher à comprendre, par exemple, comment concevoir un logiciel sécurisé en présence de programmeurs humains ou ce que l’on entend par « sécurisé ».
Si l’on regarde ce qui se fait à l’étranger, on voit que les États-Unis ont créé les centres d’excellence universitaires de la National Security Agency et qu’ils financent de nombreux programmes de l’IARPA (Intelligence Advanced Research Projects Activity) qui visent à améliorer les technologies fondamentales de cybersécurité, depuis les concepts théoriques jusqu’à des produits concrets.
L’Allemagne, mon pays d’origine, a mis sur pied un institut national Helmholtz et prévoit ouvrir un institut Max-Planck consacré à la science de la cybersécurité.
Comme je l’ai souligné, si on n’améliore pas les incitatifs offerts, l’industrie ne cherchera pas à relever ces défis. L’Université de Waterloo est reconnue mondialement dans le domaine de la cybersécurité. Son nouvel Institut de la cybersécurité et de la protection des renseignements personnels est bien placé pour s’attaquer à ces défis en adoptant l’approche interdisciplinaire voulue. Nous avons établi un premier partenariat avec la Banque Royale du Canada, et une quarantaine de membres de notre corps professoral se penchent sur les problèmes de cybersécurité ou de protection des renseignements personnels.
Au Canada, le financement de la recherche permet de conjuguer intérêts de l’industrie et objectifs scientifiques, mais nous pourrions devoir en faire davantage. Pour que le Canada puisse demeurer concurrentiel dans le domaine de la science de la cybersécurité, il pourrait être nécessaire que le gouvernement accorde du financement de démarrage, que ce soit pour des centres d’excellence ou des projets phares. Un centre national d’excellence pourrait mousser la réputation du Canada en matière de recherche en cybersécurité et contribuer à sensibiliser les personnes voulues à l’importance d’accroître les fonds investis en la matière. Les fruits de la recherche fondamentale pourraient ensuite servir à modifier le portrait de la cybersécurité dans les domaines des banques et du commerce au Canada, notamment en favorisant l’essor de la prochaine génération de chefs de file en cybersécurité et en nous permettant de surmonter les défis fondamentaux devant lesquels nous nous trouvons actuellement.
L’Université de Waterloo offre de nombreux programmes en informatique au niveau du baccalauréat et de la maîtrise qui comprennent des cours optionnels axés sur la cybersécurité, mais elle n’a encore aucun programme avec spécialisation en sécurité informatique. Cela pourrait changer si l’industrie et le gouvernement accroissent leur financement. Nous formons cependant plusieurs doctorants en sécurité informatique et en protection des renseignements chaque année. Je suis convaincu que l’Institut de la cybersécurité et de la protection des renseignements personnels de l’Université de Waterloo peut jouer un rôle crucial dans l’éducation, la science et l’innovation liées à la cybersécurité au Canada.
Le président : Merci beaucoup. Nous passons aux questions, en commençant par la sénatrice Stewart Olsen.
La sénatrice Stewart Olsen : Merci beaucoup de votre présence aujourd’hui. Je suis ravie de ce que j’ai pu entendre jusqu’à maintenant. Cela fait partie des sujets qui m’intéressent au plus haut point. Il est vraiment important de pouvoir former d’excellents spécialistes en cybersécurité en se mettant à la tâche avant même l’université. Je me réjouis de voir l’Université de Waterloo offrir de la formation, mais je crois vraiment qu’il devrait y avoir un programme avec spécialisation, et j’estime que nous devrions exercer des pressions en ce sens.
Selon vous, comment devrions-nous nous y prendre pour réaliser des progrès à ce chapitre? Faudrait-il sensibiliser davantage les jeunes à la possibilité de faire carrière comme analyste en cybersécurité? Il faudrait leur expliquer bien clairement les raisons pour lesquelles une telle carrière pourrait les intéresser, car nous avons manifestement besoin de nouvelles ressources.
M. Kerschbaum : Merci pour cette excellente question.
Il y a quelques aspects à considérer. Précisons d’abord qu’il y a déjà un certain nombre d’emplois liés à la cybersécurité. Ces emplois sont habituellement très bien rémunérés, même en comparaison avec les autres secteurs de l’informatique. Il y a assurément une demande sur le marché du travail. Je ne sais donc pas s’il est vraiment nécessaire d’intervenir à ce niveau.
Il y a ensuite la question de la formation à proprement parler. La cybersécurité est une matière interdisciplinaire qui renferme de multiples facettes. Il est notamment difficile pour l’Université de Waterloo de combiner les compétences de ses différents professeurs à cette fin. L’Institut de la cybersécurité pourra éventuellement nous faciliter les choses. Il faudra peut-être toutefois s’employer à renforcer certaines compétences en sécurité informatique, par exemple par rapport aux logiciels et aux réseaux, comparativement à ce qui est disponible actuellement.
Il faut se demander en troisième lieu ce qui peut motiver quelqu’un à devenir spécialiste en cybersécurité. Il m’arrive de traiter dans mes cours de la tournure d’esprit d’un spécialiste en sécurité qui doit très souvent chercher à déceler des lacunes, à voir les choses sous un angle différent et à tout décortiquer. Il y a assurément des gens qui ont toutes les prédispositions voulues pour ce faire. Nous pourrions sans doute essayer de les mobiliser encore plus tôt, comme vous l’avez suggéré.
Au niveau de l’école secondaire, il faut d’abord et avant tout s’assurer de sensibiliser les jeunes à l’importance de la cybersécurité. Il faut voir à ce que chacun ne soit pas ennuyé par le fait de devoir déverrouiller son téléphone ou saisir un mot de passe, mais qu’il comprenne plutôt que c’est absolument nécessaire pour protéger ses données. Nous sommes très heureux d’offrir cette formation au niveau du baccalauréat à l’Université de Waterloo, car les étudiants l’apprécient beaucoup, mais il faudra un effort additionnel pour en faire un programme avec spécialisation.
Le sénateur Wetston : Je vous remercie de votre présence.
J’aimerais vous poser deux ou trois questions d’ordre général. Ce que vous dites sur les génies de la cybersécurité me rappelle que j’ai déjà dit ne pas vouloir être actuaire non plus. Je ne peux pas poser des questions complexes sur le sujet, mais je vais en poser deux ou trois d’ordre général.
Évidemment, vous avez travaillé en Allemagne pendant un certain nombre d’années. C’est une nation très industrialisée où beaucoup de travaux scientifiques sont faits. Pouvez-vous me dire si, selon vous, l’Allemagne est beaucoup plus avancée que le Canada sur le plan de la cybersécurité? Si c’est le cas, sur quoi repose votre point de vue?
M. Kerschbaum : Permettez-moi de vous répondre en deux volets. En ce qui concerne la cybersécurité au pays, je ne suis probablement pas le témoin idéal pour répondre à la question. Je sais qu’en Allemagne, il y a ce qu’on appelle le BSI, l’institut de sécurité informatique, qui fait partie du ministère responsable d’améliorer la cybersécurité au gouvernement et également d’appuyer le secteur public. Toutefois, je ne suis pas un spécialiste qui serait en mesure de faire cette comparaison.
Permettez-moi de passer à l’autre volet, dont je peux parler, c’est-à-dire la recherche sur la cybersécurité. À mon avis, l’Allemagne est bien en avance sur le Canada à ce chapitre. Elle compte deux ou trois centres sur la cybersécurité reconnus à l’échelle internationale, à Bochum, à Darmstadt et peut-être également à Karlsruhe ou à Munich, tandis qu’au Canada, il n’y a probablement que l’Université de Waterloo qui est reconnue à l’échelle internationale. Dans les instituts que j’ai mentionnés, je crois qu’il est plus facile pour les chercheurs d’investir dans les aspects fondamentaux de la recherche sur la sécurité.
Le sénateur Wetston : Permettez-moi de vous poser une question plus concrète en ce sens qu’elle porte sur l’offensive et la défensive. Des témoins ont comparu précédemment et je me rappelle leur avoir demandé s’il s’agissait simplement d’une question de défensive, comme dans le sport, ou d’offensive. Ils nous ont répondu. J’ignore si vous avez eu l’occasion de lire la transcription de la réunion, mais vous pourriez peut-être regarder ce que la personne a dit.
Si je pose cette question — et loin de moi l’idée de m’acharner sur l’Allemagne, mais de toute évidence, vous y avez passé beaucoup de temps —, c’est que si une banque allemande et une banque canadienne étaient la cible d’une attaque et que les deux passaient à l’offensive, laquelle gagnerait? Laquelle des deux banques est mieux préparée à faire face à des menaces à la cybersécurité? Le savez-vous?
M. Kerschbaum : Je pense que les banques canadiennes sont assez bien préparées à prendre la chose au sérieux; et il en est de même pour les banques allemandes. Ce serait probablement comparable. Si les deux passaient à l’attaque, je crois que nous entrerions dans une guerre nucléaire et que les deux perdraient.
Le sénateur Wetston : C’est rassurant. Merci.
Le sénateur MacDonald : C’est formidable de vous accueillir, monsieur. Comme bien des gens de mon âge, j’aime la technologie, mais je ne la comprends pas toujours. Je l’utilise le plus possible, mais il semble que la sécurité préoccupe tout le monde maintenant, surtout si l’on ne s’y connaît pas bien, que la technologie nous aveugle un peu et qu’on a besoin d’orientation. Vous dites que les clients ne paient pas pour la sécurité, mais à mon avis, le gouvernement devrait le faire.
Nous utilisons encore des BlackBerry. Il y a quelques années, j’étais dans le bureau d’un membre du Congrès américain. Il revenait d’un voyage en Chine et on avait dit aux gens de ne pas utiliser leur iPhone. La seule chose qu’ils pouvaient utiliser, c’était leurs vieux BlackBerry, qu’ils ont ressortis et apportés. À Ottawa, on nous permet d’utiliser des iPhone depuis quelques années. Bon nombre de gens abandonnent leur BlackBerry, mais ce n’est pas mon cas. J’utilise encore le mien.
Pourriez-vous nous donner votre point de vue là-dessus? Se peut-il que le gouvernement du Canada soit un peu imprudent ou négligent, ou bien c’est parce qu’il n’y a pas lieu de s’inquiéter lorsqu’il s’agit des appareils que nous utilisons pour communiquer?
M. Kerschbaum : Je pense que toute personne qui joue un rôle de responsable doit être très prudente. Je vais prendre l’exemple de l’Allemagne encore une fois. Bien sûr, on a appris dans les nouvelles au pays que la NSA avait mis sur écoute le téléphone d’Angela Merkel. Elle n’utilisait pas le téléphone fourni par le gouvernement allemand pour cela et ce numéro de téléphone était suivi.
Il faut comprendre que ce ne sera jamais sécuritaire à 100 p. 100. Toutefois, nous devons également comprendre qu’il nous faut nous soucier de notre sécurité, ce qui nous ramène à la première question. Nous devons accepter certains désagréments, comme utiliser un BlackBerry plutôt qu’un iPhone. Assurément, des pratiques exemplaires devraient être suivies. Je crois qu’on devrait faire des recommandations aux membres du gouvernement quant aux appareils qu’ils sont censés utiliser selon le but, comme dans le cas d’Angela Merkel.
Le sénateur MacDonald : Je veux m’assurer d’une chose. L’entreprise de technologie chinoise Huawei est énorme et l’on craint qu’elle achète des entreprises de haute technologie canadiennes et américaines. Aux États-Unis, les responsables de la sécurité sont extrêmement préoccupés à cet égard et ils ont dit que le gouvernement devrait être inquiet; pourtant le gouvernement du Canada a dit que nous ne devrions pas nous inquiéter. De quel côté vous rangez-vous dans l’évaluation de cette menace? Êtes-vous du même avis que le gouvernement américain ou le gouvernement canadien?
M. Kerschbaum : Encore une fois, c’est une question difficile. Je ne fais pas partie de l’entreprise Huawei. Je sais qu’elle consacre beaucoup d’efforts à améliorer la sécurité de ses produits. Toutefois, ses principaux projets sont réalisés en Chine. J’imagine qu’un organisme de renseignement aurait une idée de ce qui se passe en Chine, et j’aurais confiance en cet avis.
Le sénateur Marwah : Monsieur Kerschbaum, je vous remercie de vos observations.
J’aimerais tout d’abord féliciter l’Université de Waterloo pour l’Institut de la cybersécurité et de la protection des renseignements personnels qu’elle a établi récemment. C’est formidable. Elle a toujours joué un rôle de premier plan dans les TI.
Dans vos remarques, vous avez dit qu’un des moyens de faire de vrais progrès ou de s’attaquer aux défis de la cybersécurité, c’est d’offrir des incitatifs. Pourriez-vous nous expliquer ce que vous entendez par « incitatifs » et nous dire qui devraient les offrir?
M. Kerschbaum : C’est une très bonne question. Puisqu’une entreprise doit faire des profits, elle doit concevoir un produit qui permet de les maximiser. Maintenant, si de mauvaises pratiques en matière de cybersécurité n’ont pas de répercussions sur ses profits et ne figurent que parmi les dépenses, alors l’entreprise investira moins dans la cybersécurité. Cela commence donc par une prise de conscience chez les utilisateurs qui ne choisissent pas des produits.
Nous avions la question suivante : si vous aviez le choix entre un iPhone et un BlackBerry, et que vous saviez que le BlackBerry est plus sécuritaire, si on ne vous disait pas d’utiliser le BlackBerry, l’utiliseriez-vous ou opteriez-vous plutôt pour le iPhone? Donc, dans la réflexion, on ne tient pas compte de l’aspect sécuritaire, mais naturellement, la plupart des gens choisiraient le téléphone le plus récent, soit le iPhone. Bien entendu, une entreprise doit s’adapter. Elle se dit qu’elle va maintenant fabriquer un téléphone plus rapide et plus beau qui inclut plus de fonctions et, de ce fait, elle n’accordera pas beaucoup d’attention à la cybersécurité.
Cependant, si l’on regarde les choses d’un point de vue canadien, alors bien entendu, c’est déplorable, car des données cruciales ou les données de Canadiens pourraient être utilisées de façon abusive. Par conséquent, c’est très difficile. Je ne veux pas nécessairement proposer une solution, mais à mon avis, les centres d’excellence aux États-Unis, les programmes de recherche ou les investissements en cybersécurité constituent une réponse à ce que j’appellerais presque un échec du marché en cybersécurité. C’est pourquoi la question qui se pose est la suivante : que doivent faire une nation ou un gouvernement devant cet échec du marché en un sens?
Nous pourrions axer nos efforts sur l’information et amener les gens à s’intéresser davantage aux questions de sécurité. Peut-être que les choses s’arrangeront au fil du temps. Je ne le prédirais pas, mais nous voyons que d’autres gouvernements investissent dans la cybersécurité et paient la facture pour l’industrie en quelque sorte.
Je suppose qu’à long terme cela mettra de la pression sur le Canada. Il faut du moins distancer les concurrents.
Le sénateur Marwah : Je ne comprends toujours pas ce que vous entendez par « incitatifs ». Des incitatifs pour qui? Parlez-vous d’incitatifs fiscaux? De quoi s’agit-il?
M. Kerschbaum : Je parle d’incitatifs au sens économique, de la maximisation des profits. Si l’on veut maximiser les profits, on n’investit pas beaucoup d’argent pour atteindre un niveau de sécurité élevé. Pour une entreprise, il s’agit d’investir de l’argent dans d’autres volets que celui de la sécurité.
La sénatrice Wallin : J’ai une question liée à celle du sénateur Marwah qui porte sur votre observation selon laquelle les clients ne paient pas pour la sécurité. À qui appartient-il de le faire? Puisque cela va de soi et que c’est indispensable, si l’on croit qu’il appartient au gouvernement de le faire, dans notre cas, il y a des questions liées à la protection des renseignements personnels, aux compétences et au financement qui entrent en jeu.
Puisqu’il y a des opérateurs de mégadonnées qui sont beaucoup plus grands que nos gouvernements, alors quelle est la prochaine étape? Vous dites que les clients ne paieront pas et que rien n’encourage les entreprises à cet égard. De qui cela relève-t-il?
M. Kerschbaum : Je crois qu’il appartient au gouvernement de le faire. Il faut investir davantage dans la cybersécurité, qu’il s’agisse d’un ensemble d’organismes, de programmes visant à améliorer la cybersécurité ou, bien entendu, de la recherche et de l’éducation. Dans la recherche fondamentale, il est difficile pour les chercheurs en cybersécurité d’obtenir du financement. Si un projet va vraiment bon train et qu’il est ultramoderne, qu’on a une idée qui présente un risque élevé et qui pourrait permettre de surmonter une partie des problèmes que nous avons, il peut être très difficile de trouver quelqu’un qui est prêt à s’associer au projet. Ensuite, il faut opter pour des programmes de financement plus concurrentiels, tandis que mes collègues allemands peuvent s’adresser à la même entreprise et dire : « J’ai assez d’argent; je vais le faire pour vous gratuitement », et ils peuvent y travailler.
La sénatrice Wallin : Il y a donc lieu de poser la question. Nous voyons actuellement la crise — j’ignore quel autre nom donner à cette situation — sur les mégadonnées, Facebook et tout ce qui s’est passé au cours des deux derniers jours, mais puisque c’est tous les jours, ils ont l’argent. Croyez-vous qu’une taxe pourrait être imposée? Le gouvernement n’a pas l’argent qu’il faut pour payer pour ce type de recherche. C’est une énorme entreprise qui est très coûteuse. Obtient-on l’argent de ces gens-là? Comment cela fonctionnerait-il, selon vous?
M. Kerschbaum : Je ne suis pas un spécialiste quant à la façon de mettre cela en œuvre, et je ne veux pas nécessairement qu’on impose quelque chose, mais si l’on dépense de l’argent, il faut en amasser.
Le sénateur Tkachuk : J’avais un certain nombre de questions. Pour revenir à ce que vous disiez dans la première partie de votre exposé au sujet des compétences requises en matière de cybersécurité, quelles sont les compétences nécessaires au niveau de l’école secondaire? Quelle matière les élèves doivent-ils étudier si le domaine les intéresse et quels sont les meilleurs domaines d’étude?
M. Kerschbaum : C’est une très bonne question. Je crois qu’au secondaire, il est trop tôt pour étudier la cybersécurité. Habituellement, cela commence après l’acquisition de compétences de base, l’apprentissage du fonctionnement d’un système informatique. C’est seulement par la suite qu’on plonge dans les aspects précis qui permettront à quelqu’un de devenir un professionnel de la cybersécurité.
Toutefois, il y a la notion de conscience concernant la sécurité. Il s’agit de comprendre qu’il y a un besoin en matière de sécurité, qu’il faut protéger ses renseignements personnels; une personne décide ce qu’elle partage sur Facebook, et si elle le fait, elle doit comprendre ce que cela signifie pour ses données. Ces décisions doivent être bien comprises, probablement même avant l’école secondaire.
Le sénateur Tkachuk : Doit-on être bon en mathématiques et en physique? Dans quelle matière faut-il être doué pour devenir informaticien?
M. Kerschbaum : Il s’agit essentiellement d’une combinaison de mathématiques et de génie.
Le sénateur Tkachuk : La physique, la géométrie et ainsi de suite? À votre avis, quels sont les secteurs les plus vulnérables aux cyberattaques dans notre pays et quels sont les secteurs les plus dangereux pour les cyberattaques, si vous deviez établir un ordre?
M. Kerschbaum : C’est une très bonne question. Lorsque de nouveaux produits sont conçus et déployés pour l’innovation et qu’on utilise des ordinateurs, ils sont habituellement déployés au détriment de la sécurité. Si l’on utilise l’Internet des objets pour les villes, c’est-à-dire qu’il y aurait des capteurs et des actionneurs partout, je pense que cela poserait d’énormes risques. Le domaine de l’Internet des objets est de loin au premier rang de mon classement.
À l’heure actuelle, la plupart des appareils de l’Internet des objets ne conviennent pas sur le plan de la cybersécurité et nous ne savons pas quelles incidences auront bon nombre d’aspects de la cybersécurité.
Les répercussions sont énormes, car il y a souvent des effets sur des choses concrètes, tandis que si j’entre par effraction dans une banque et qu’on perd beaucoup d’argent, je vais probablement être en mesure de récupérer des bits et des octets en quelque sorte. Cependant, si quelqu’un meurt, c’est permanent.
Le sénateur Tkachuk : D’accord. Donc, pour ce qui est de la technologie des véhicules autonomes, si ce qui est dit est vrai et si ce qu’on essaie de faire est vrai, il me semble qu’il serait assez facile de bousiller tout le système.
M. Kerschbaum : Oui, ce sera probablement le cas. Même les technologies utilisées, si nous pensons aux technologies d’apprentissage machine — parce que j’essaie en quelque sorte de comprendre le monde qui m’entoure selon un point de vue probabiliste, dans certains cas. J’essaie de déterminer si telle affiche ressemble à un panneau d’arrêt. Et il existe des façons de tromper un algorithme qui essaie de détecter un panneau d’arrêt, mais qui verra un panneau indiquant la limite de vitesse. C’est alors que des problèmes surviennent. En particulier, si je détermine la future menace pour les systèmes informatiques, si nous parlons de recherche, alors nous n’avons pas compris du tout ce domaine d’apprentissage machine, de sécurité et de vie privée.
Le sénateur Tkachuk : J’ai une autre question. Vous avez dit plus tôt qu’il y a un manque d’incitatifs ou de bons incitatifs parce que le marché des valeurs mobilières n’a pas réagi en quelque sorte à la cybersécurité ou à un problème. Je ne sais pas si Facebook a divulgué l’information, si l’information a été volée, si elle est a été vendue par quelqu’un dans le système ou vendue au profit de l’entreprise. Néanmoins, cela a énormément pénalisé Facebook dans le marché des valeurs mobilières. Je ne sais pas combien de temps la situation durera. Néanmoins, il y a eu une réaction immédiate.
Ne pensez-vous pas qu’un énorme problème, chez CIBC, disons, causerait exactement la même situation? Ne serait-il pas catastrophique pour elle si des tonnes de comptes étaient touchés par une cyberattaque? Cela voudrait dire que les gens peuvent y accéder, à mon avis.
M. Kerschbaum : Je présume que cela ferait les manchettes et que nous en entendrions parler. Toutefois, pensez au moment où vous décidez avec quelle banque vous ferez affaire. Est-ce que vous décidez en premier lieu de changer de banque maintenant parce que vos comptes ont été touchés, mais votre solde est le même et il n’y a pas vraiment de conséquences financières? Si la banque perd votre solde et n’est pas capable de le récupérer, alors vous changeriez assurément de banque.
Le président : C’est trop tard.
M. Kerschbaum : C’est trop tard, oui, mais à moins d’en sentir les conséquences, est-ce que le vol de vos données suffira pour vous convaincre de faire 500 mètres de plus jusqu’au prochain guichet? Je n’en suis pas certain.
Le sénateur Tkachuk : Tout dépend de la situation. Si des dizaines et des dizaines de comptes avaient été piratés, vous pouvez être certain que je voudrais sortir mon argent de cette banque. Je crois que c’est ce que feraient la plupart des gens.
La sénatrice Ringuette : Dans un autre ordre d’idées, des témoins ont dit au comité que des pirates servent de pions à ceux qui orchestrent de telles attaques. Jusqu’à maintenant, nous n’avons pas parlé de ces chefs d’orchestre. Je présume que bon nombre de ces pirates ne sont ni ingénieurs ni informaticiens. Certains sont très jeunes; ils sont intelligents, astucieux et créatifs, comme vous le mentionniez.
À quel point multiplie-t-on les efforts pour recruter ces grands esprits?
M. Kerschbaum : Des recherches sont faites à ce sujet, et les chercheurs s’entendent généralement là-dessus.
D’abord, pour devenir un professionnel de la sécurité, il faut posséder un grand sens de l’éthique. C’est donc très mal vu d’embaucher d’anciens chapeaux noirs à titre d’experts en sécurité. Il faut être très prudent. Il n’est pas impossible que vous ayez affaire à quelqu’un qui vous a piraté auparavant. Si vous lui donnez accès au réseau interne, comment savoir qu’il ne vous attaquera pas de l’intérieur?
La sénatrice Ringuette : Non, je veux dire à des fins de recherche. Ils savent comment s’introduire frauduleusement dans les systèmes, alors ils devraient savoir comment éliminer les risques d’introduction.
M. Kerschbaum : On peut présumer que les plus doués travaillent du bon côté, et qu’il est plus payant pour les autres de se tourner vers le piratage. C’est une analyse quelque peu simpliste de la chose, mais j’imagine que les gens compétents travaillent à la défense ou du bon côté, et qu’il n’est pas nécessaire d’être un criminel pour bien gagner sa vie.
L’éducation pourrait être une piste de solution, mais il est peu probable que nous recrutions les pirates. Vous allez comprendre ma logique. Si nous devons encore contrer des attaques de la part de pirates qui sont moins compétents que les experts en sécurité, c’est qu’il est beaucoup plus difficile d’assurer une cyberdéfense que de perpétrer une cyberattaque, d’où mon premier argument. Il est relativement facile d’enseigner à des non-initiés comment pirater un nouveau produit, par exemple un produit de l’Internet des objets (IdO). Je dirais que 10 élèves sur 10 réussiraient si on leur donnait un peu d’information. Cependant, pour enseigner à quelqu’un comment développer un produit de l’IdO qui pourrait résister à de telles attaques, il faudrait sans doute se rendre au doctorat.
Le président : Avant de passer au deuxième tour, j’aimerais revenir sur quelques-unes des questions posées par mes collègues.
D’après vos commentaires, j’en conclus que la recherche en matière de cybersécurité au Canada accuse un certain retard par rapport à d’autres pays du G7. Le Canada traîne un peu derrière, si je vous ai bien compris.
M. Kerschbaum : Par comparaison aux premiers pays du G7, certainement.
Le président : Merci beaucoup. Prenons les États-Unis, par exemple, que vous avez mentionnés à quelques reprises. Les centres d’excellence américains sont-ils affiliés à des universités? Sont-ils financés par l’industrie? Aidez-nous à comprendre la structure de ces organisations, s’il vous plaît.
M. Kerschbaum : Ils sont majoritairement financés par le gouvernement. Le gouvernement a établi des centres d’excellence à vocation académique, qui visent principalement les étudiants à la maîtrise en cybersécurité; l’objectif est aussi de contribuer au financement de bourses d’études et de chaires d’enseignement dans les universités.
Il y a également des programmes de financement, comme l’IARPA, qui sont voués précisément aux technologies de cybersécurité. Ces programmes sont aussi ouverts aux entreprises, mais on voit souvent des projets menés conjointement par les universités et l’industrie.
Le président : Pourriez-vous nous donner le nom de quelques instituts ou centres de recherche aux États-Unis? Ce peut-être maintenant ou plus tard.
M. Kerschbaum : Je suis diplômé de l’Université Purdue, où est situé l’institut CERIAS, qui fait partie du réseau de centres d’excellence de la NSA.
Le président : Merci beaucoup. Elle a d’ailleurs une bonne équipe de basketball.
M. Kerschbaum : N’a-t-elle pas perdu?
Le président : Elle a perdu, mais cela reste une bonne équipe. Très bien, merci pour votre réponse.
Puisqu’il y a cet incubateur à Waterloo — je parle des 40 professionnels qui travaillent avec vous —, pourrait-on aller plus loin et en faire un centre d’excellence pour le Canada? Que faudrait-il pour concrétiser ce projet?
M. Kerschbaum : Je crois que oui, et je crois que cela prendra du temps et de l’engagement de la part de l’Université de Waterloo. Il faudrait sans doute prévoir des fonds supplémentaires afin d’offrir des bourses d’études pour attirer des étudiants de talent; et peut-être financer quelques chaires d’enseignement spécialisé supplémentaires.
Le président : Merci beaucoup. Vous avez parlé de l’IRAP ou de l’IPAC, ou quelque chose comme cela. En parlant des centres d’excellence, vous avez dit qu’il y a un programme de subventions aux États-Unis appelé…
M. Kerschbaum : L’IARPA.
Le président : Je veux m’assurer que nos analystes ont pu le noter correctement, car nous allons vouloir en savoir plus là-dessus.
Une dernière question, si vous le voulez bien. Savez-vous de quelle manière l’État allemand travaille avec l’industrie dans ce domaine?
M. Kerschbaum : Je ne le sais pas exactement, mais je peux vous dire qu’une des fonctions du BSI, en Allemagne, est de formuler des recommandations à l’intention des entreprises et d’établir des normes de sécurité. Pour conclure un contrat de vente avec le gouvernement, ou pour obtenir un sceau d’approbation, les entreprises doivent satisfaire à différents critères de sécurité. Le tout est documenté. Les normes sont mises à jour régulièrement et il est possible de les consulter.
Le président : Merci beaucoup. C’est très intéressant.
La sénatrice Ringuette : Pour poursuivre dans la même veine, la certification ISO est reconnue mondialement; est-ce qu’on travaille à une certification semblable pour l’industrie en matière de cybersécurité?
M. Kerschbaum : À ma connaissance, il y a certains efforts déployés notamment en vue de mettre en œuvre une plateforme de gestion du cycle de vie du développement des logiciels. On travaille à la mise en place de quelques mécanismes. Cependant, pour ce qui est de la certification ISO, il y a des paramètres techniques qui se rattachent au processus, si je peux m’exprimer ainsi. Je peux vous donner un exemple : combien de symboles doit contenir une clé cryptographique? Ces paramètres changent au fil du temps. Alors les deux sont nécessaires : le processus et les paramètres. En Europe, il y a aussi l’institut ENISA, qui émet sporadiquement des recommandations concernant les paramètres à appliquer.
La sénatrice Ringuette : Il y a des efforts qui sont faits en ce sens à l’échelle internationale.
M. Kerschbaum : À l’échelle internationale, tout à fait, oui.
Le sénateur Wetston : J’aimerais revenir brièvement sur le volet éducation. Je suis persuadé que la science est importante, et je suis aussi persuadé que notre monde est de plus en plus mené par la technologie et les avancées technologiques. Je crois que nous sommes tous d’accord là-dessus. Témoigner devant notre comité sénatorial revient ni plus ni moins à nous faire des recommandations, dont nous allons évidemment tenir compte pour produire notre rapport. Voici la question que je me pose : vous êtes probablement ici depuis assez longtemps pour savoir que nous avons sous-financé les programmes de sciences, technologies, génie, mathématiques et sciences informatiques au Canada. Récemment, des efforts ont été déployés afin d’encourager l’élaboration de plus d’initiatives d’enseignement liées à ces matières, et c’est sans doute essentiel. Êtes-vous aussi de cet avis? Je présume que oui.
Pensez-vous que favoriser ces matières pourrait être une bonne chose, puisque cela pourrait se traduire par un bassin d’étudiants et de chercheurs mieux ferrés sur la cybersécurité? Serait-ce aussi votre recommandation?
M. Kerschbaum : Absolument.
Le sénateur Wetston : Avez-vous des suggestions à nous faire quant à la manière de procéder?
M. Kerschbaum : Cela déborde un peu de mon champ de compétence, mais je peux vous parler de mon expérience personnelle. Quand j’étais au secondaire, en Allemagne, il n’y avait pas de cours d’informatique. Maintenant, les élèves en dernière année du secondaire ont ce choix. C’est un grand pas en avant. Je crois aussi que savoir comment se servir de ce type de technologies est un élément clé de l’équation, de même qu’être au courant des principes de protection des données et de la vie privée, entre autres choses.
À la base, un ordinateur est un instrument mathématique, et plus on maîtrise les mathématiques, mieux on comprend l’informatique.
Le sénateur Wetston : Pour le secteur corporatif, notamment les grandes entreprises publiques — et pas seulement celles liées aux services financiers —, la cybersécurité est un des plus grands enjeux qui soient, aux côtés de la protection de la propriété intellectuelle, des données ou des services financiers, ou encore des changements climatiques, qui arrivent assez loin sur la liste. C’est ce qui ressort invariablement des rencontres des grands forums comme le Forum économique mondial, où les PDG de multinationales publiques présentent leur vision globale des affaires ou d’autres secteurs. Si c’est le cas, pensez-vous que nous ne prenons pas ce risque suffisamment au sérieux pour investir dans la sécurité ou les programmes d’éducation connexes? Et je fais référence autant au gouvernement qu’aux entreprises. Êtes-vous de cet avis?
M. Kerschbaum : En effet. C’est intéressant que vous ayez mentionné les changements climatiques, causés par la pollution, au nombre des grandes menaces. Bien sûr, sans réglementation, les entreprises ne feraient pas grand-chose pour prévenir la pollution. Il y a peut-être un parallèle à faire avec la cybersécurité.
Le président : Très intéressant.
La sénatrice Unger : Merci beaucoup pour votre témoignage.
Dans votre déclaration préliminaire, vous avez fait référence à l’intelligence artificielle. Pouvez-vous nous dire à quel point sont reliés l’intelligence artificielle et la cybersécurité, les véhicules autonomes et ces choses-là?
M. Kerschbaum : C’est une très bonne question. J’aime particulièrement cela, parce que cela renvoie à la recherche. Nous ne le savons pas vraiment. Ce que je peux vous dire, c’est qu’il y aura de nouvelles menaces issues de l’apprentissage machine, que nous ne comprenons pas encore. Nous ne savons pas comment ces nouvelles menaces pourraient se présenter. Les choses s’éclaircissent peu à peu, à mesure que la technologie se développe. L’apprentissage machine offre de nombreux avantages, et nous voulons les préserver, mais nous voulons aussi prévenir les menaces. Dans certains cas, nous n’avons peut-être même pas les bons outils pour faire les choses correctement. C’est un côté de la médaille. De l’autre, l’apprentissage machine pourrait bien changer le paysage de la cybersécurité. Par exemple, si on trouve le moyen de remplacer les pirates par l’apprentissage machine pour mener des attaques, il faudra aussi développer des mesures semblables pour assurer la cyberdéfense. Je veux entre autres lancer des projets de recherche qui emploieront l’apprentissage machine afin de déceler des failles. Il y a donc effectivement des liens à faire entre les deux. Mais nous ne sommes pas encore en mesure de comprendre tout cela parfaitement.
La sénatrice Unger : Merci.
Pouvez-vous nous parler du chiffrement? La plupart des banques ont une icône indiquant une communication chiffrée. Quel parallèle peut-on faire entre le chiffrement et les autres mesures de sécurité, comme les mots de passe?
M. Kerschbaum : Le cryptage actuellement déployé excelle à protéger les données pendant leur transmission sur Internet ou leur stockage sur disque. Mais, entre les deux, une brèche subsiste, un talon d’Achille, entre le cryptage, l’envoi à la banque, le décryptage, le traitement et le cryptage de nouveau, puis le stockage sur disque.
Le cryptage est très fort.
L’un de mes objectifs de recherche, depuis 11 ans, est de fermer cette brèche. Cela reste très coûteux, mais, en théorie, c’est faisable. Si vous préfériez une défense en profondeur, nous pourrions opter pour un cryptage d’un meilleur rapport efficacité/coûts, dans cet intervalle, puis recouvrir le tout d’une deuxième couche qui le protégerait contre les attaques qui suivent une intrusion.
Actuellement, des mesures différentes s’imposent. Nous avons particulièrement besoin de protéger cet intervalle sans cryptage. L’ex-directeur de l’institut Sirius, à Purdue, a dit que crypter des données sur Internet, c’est comme envoyer de l’argent d’un clochard sur un banc de parc à un autre clochard sur un autre banc de parc. Il y a un fond de vérité là-dedans; mais il faut aussi comprendre que, faute de cryptage, le camion blindé qui circule entre les deux se serait peut-être fait attaquer. Le cryptage nous a protégés de cette éventualité.
Le cryptage réduit efficacement ce risque, mais il en subsiste toujours un résidu. Ce risque résiduel se situe actuellement à cette étape intermédiaire où les données sont encore difficilement cryptables. Nous avons besoin d’accéder à ces comptes, par des mots de passe et ce genre de trucs.
On s’efforce actuellement de sécuriser davantage le cryptage, de remplacer les mots de passe, par exemple. Une initiative, l’alliance FIDO permet de brancher une puce dans l’ordinateur pour remplacer tous ses mots de passe de façon très intéressante. J’espère que ces nouveautés se généraliseront. Elles sont mises en œuvre dans certains produits de gros distributeurs de logiciels comme Google et Microsoft, mais je ne crois pas qu’un de vous en ait vu. J’en ai une chez moi.
Encore une fois, nous devons mieux nous rendre compte de l’utilisation de ces moyens qu’on emporte avec soi pour remplacer les mots de passe par la cryptographie.
Le président : Vous faites un excellent témoin. Vous nous avez été très utile. Nous arrivons à la fin de notre étude. Nos questions deviennent très pointues sur notre éventuel objectif, et vous nous avez beaucoup éclairés. Puis-je aussi ajouter que Waterloo est très chanceuse de vous avoir et je pense que le Canada est fortuné de pouvoir profiter de vos compétences dans ce domaine. Merci beaucoup de votre contribution.
M. Kerschbaum : Merci.
Le président : Avant de présenter notre prochain groupe de témoins, un groupe exceptionnel, je pense qu’il est utile de faire une sorte de tour de table pour présenter les sénateurs qui vous questionneront après vos exposés.
Le sénateur Tkachuk : Je suis le sénateur Tkachuk, de la Saskatchewan.
La sénatrice Stewart Olsen : Carolyn Stewart Olsen, du Nouveau-Brunswick.
Le sénateur Wetston : Howard Wetston, de l’Ontario.
Le sénateur Marwah : Sabi Marwah, de l’Ontario.
Le sénateur Black : Doug Black, de l’Alberta.
[Français]
La sénatrice Ringuette : Pierrette Ringuette, du Nouveau-Brunswick.
[Traduction]
La sénatrice Wallin : Pamela Wallin, de la Saskatchewan.
La sénatrice Unger : Betty Unger, de l’Alberta.
[Français]
Le sénateur Dagenais : Jean-Guy Dagenais, du Québec.
[Traduction]
Le président : J’ai le plaisir de présenter, aux membres de notre comité et à notre auditoire sur le Web, Mme Colleen Merchant, directrice générale de la cybersécurité nationale à Sécurité publique Canada, le surintendant principal Jeff Adam, qui est commissaire adjoint par intérim aux opérations techniques de la Gendarmerie royale du Canada, et M. André Boucher, qui est chef adjoint associé à la sécurité des TI au Centre de la sécurité des télécommunications.
Je suis ravi de vous accueillir. Vous êtes le dernier groupe de témoins pour cette étude. Nous avons donc beaucoup de questions pour vous et nous espérons que vous avez les réponses.
Nous commençons par les exposés, plus précisément celui de Mme Merchant.
Colleen Merchant, directrice générale, Direction de la cybersécurité nationale, Sécurité publique Canada : Merci d’avoir invité Sécurité publique Canada à venir vous parler de cybersécurité, relativement à l’annonce récente du budget de 2018.
Comme vous le savez, les Canadiens vivent dans une ère numérique, et aucun aspect de nos vies n’a échappé aux technologies numériques et à Internet. Le rythme des changements technologiques ne ralentit pas.
[Français]
La technologie numérique offre d’énormes avantages et possibilités pour la prospérité économique et le développement social du Canada. Cependant, comme toute technologie, elle présente son lot de risques et de danger. La cybersécurité est ce qui nous permet de tirer pleinement parti des avantages de l’ère numérique et d’en atténuer les risques.
[Traduction]
Reconnaissant l’avènement de cette ère numérique, le budget de 2018 a proposé un financement significatif à hauteur de 507,7 millions de dollars en cinq ans et de 108,8 millions par année, ensuite, d’une nouvelle Stratégie nationale de cybersécurité.
Aujourd’hui, je voudrais vous parler de l’évolution de la cybersécurité au Canada, mettre en relief ce que l’examen de la cybersécurité nous a appris et montrer son influence sur la nouvelle stratégie et la vision à venir de la cybersécurité.
Le Canada a publié sa première Stratégie nationale de cybersécurité en 2010. Elle était alors conçue comme le plan de défense du gouvernement contre les cybermenaces. Ses trois piliers étaient la sécurisation des systèmes du gouvernement du Canada; la formation de partenariats pour sécuriser les systèmes vitaux à l’extérieur de la fonction publique fédérale; l’aide aux Canadiens pour qu’ils se protègent en ligne.
La stratégie de 2010 représentait la perception qu’avait le gouvernement du Canada de la cybersécurité comme moyen de défense contre de multiples cybermenaces. La cybersécurité a évolué et, comme chez beaucoup de nos alliés, elle est devenue une priorité du gouvernement. Le prisme au travers duquel nous la percevons maintenant nous révèle l’indispensabilité acquise par les technologies numériques pour notre mode de vie et le caractère essentiel de la cybersécurité pour l’innovation et la prospérité au Canada.
Dans notre société de plus en plus interconnectée, tous les Canadiens contribuent activement à l’établissement et au maintien de la cyberrésilience de notre pays, ce qui rend indispensable la collaboration des gouvernements avec le secteur privé et les universités pour sécuriser nos infrastructures numériques, créer des occasions, stimuler l’investissement et favoriser la recherche-développement de pointe.
Vous vous rappellerez peut-être que, en 2015, le ministre de la Sécurité publique a été chargé de diriger un examen des mesures alors en vigueur pour protéger les Canadiens et les infrastructures essentielles contre les cybermenaces. L’objectif de l’examen était de renouveler la démarche cybersécuritaire du Canada.
[Français]
L’examen interne comprenait un examen de la gouvernance fédérale en matière de cybersécurité, un examen de protection des systèmes de gouvernement du Canada et l’évaluation susmentionnée de la Stratégie nationale de cybersécurité du Canada de 2010 à 2015.
[Traduction]
Des consultations publiques ont eu lieu pendant tout 2016. Y ont participé toutes les provinces, deux territoires et des intervenants de l’étranger. Les participants étaient notamment des fonctionnaires, l’industrie de la cybersécurité, des dirigeants et associations du secteur privé, des propriétaires et exploitants d’infrastructures essentielles, des représentants d’organisations policières, des universités et des Canadiens intéressés.
Elles ont ainsi dégagé trois grands thèmes. D’abord, les participants se disaient inquiets devant la menace croissante de la cybercriminalité. On appuyait l’action de la police pour combattre la cybercriminalité tout en protégeant aussi la vie privée dans le cyberespace.
Ensuite, il fallait améliorer les compétences et les connaissances au Canada en matière de cybersécurité. Les lacunes dans les cybercompétences, chez les actifs, compliquaient la tâche d’améliorer la cybersécurité dans les organisations. Il fallait augmenter les connaissances dans toutes les tranches d’âge des effectifs des secteurs privé et public.
Enfin, on a réclamé l’initiative fédérale à plusieurs titres en matière de cybersécurité, notamment la clarification des rôles, des responsabilités et la responsabilisation à l’échelon fédéral, de même que la création d’un pôle bien visible de collaboration avec les partenaires de l’extérieur. Les joueurs veulent que l’État fédéral se charge d’un rôle de premier plan à l’échelle nationale et sur la scène internationale, pour favoriser la collaboration entre les spécialistes de la cybersécurité, diriger les investissements vers l’industrie de la cybersécurité, faciliter la mise en commun de l’information et sauvegarder les droits et libertés dans le cyberespace. On demande aussi à l’État fédéral d’énoncer des normes nationales de cybersécurité pour l’édiction de lois.
La Stratégie nationale de cybersécurité fait suite aux constatations de l’examen de la cybersécurité et lui imprime une orientation nouvelle. Elle précise trois objectifs pour atteindre la sécurité et la prospérité dans l’ère numérique. Le premier est de doter les systèmes canadiens sécurisés et résilients de capacités augmentées, grâce à une collaboration plus grande avec les partenaires; le gouvernement du Canada protégera mieux les Canadiens contre la cybercriminalité, il réagira à l’évolution des menaces et aidera à la défense des systèmes essentiels à l’État et au secteur privé. Le deuxième est un cyberécosystème innovant et adaptable. Le gouvernement du Canada appuiera la recherche de pointe, il encouragera l’innovation numérique et développera les cybercompétences et les cyberconnaissances pour positionner le Canada parmi les chefs de file mondiaux de la cybersécurité. Troisième objectif : il faut une direction, une gouvernance et une collaboration efficaces. L’État fédéral, en collaboration avec les provinces, les territoires et le secteur privé, jouera un rôle de premier plan pour promouvoir la cybersécurité au Canada et, en coordination avec ses alliés, il travaillera à modifier l’environnement international de la cybersécurité en faveur du Canada.
[Français]
Cette nouvelle approche correspond à l’évolution dynamique des technologies numériques et montre combien elles sont devenues essentielles à notre mode de vie. Elle reconnaît aussi l’énorme potentiel pour ce qui est de l’innovation et de l’expertise numérique canadienne dans le domaine de la cybersécurité.
[Traduction]
La stratégie, qui se veut un ensemble de mesures d’orientation, englobe de nombreuses initiatives initiales. Parmi elles, un centre fusionné d’opérations de cybersécurité, le Centre canadien pour la cybersécurité, qui sera dirigé par le Centre de la sécurité des télécommunications, et une Unité nationale de coordination de la lutte contre la cybercriminalité, à la GRC, comme service national de police, occuperont une place à part.
Je laisserai aux animateurs respectifs de chacune de ces initiatives le soin d’en parler.
Le ministère de la Sécurité publique a reçu en gros 25 millions de dollars sur cinq ans pour la nouvelle stratégie. Même si l’affectation de ces fonds n’est pas encore tout à fait arrêtée, le ministère conservera ses responsabilités dans la direction de la coordination nationale et la prise de décisions stratégiques en matière de cybersécurité. Il continuera notamment de collaborer avec ses homologues des provinces et des territoires ainsi que ses partenaires de l’administration fédérale, le secteur privé et les universités pour atteindre les objectifs de la nouvelle stratégie. On continuera notamment d’appuyer ce travail au moyen d’un programme de subventions et de contributions pour encourager la recherche et les activités permettant d’atteindre plus rapidement ces objectifs.
[Français]
Sécurité publique Canada cherche aussi des fonds pour mettre en application une méthode de gestion des risques globale qui permettra aux propriétaires et exploitants d’infrastructures essentielles de mieux protéger leurs systèmes et leurs données.
[Traduction]
À cette fin, on misera sur des programmes couronnés de réussite de collaboration directe avec les propriétaires et exploitants de réseaux pour les aider à en augmenter la résilience. Ils auraient davantage accès à une formation technique, à des exercices et à des évaluations de la vulnérabilité de leur réseau, qui leur procureraient les connaissances et les compétences nécessaires pour qu’ils sécurisent leurs cybersystèmes.
Enfin, Sécurité publique Canada continuera de surveiller la mise en œuvre de la Stratégie nationale de cybersécurité et en mesurera les progrès par rapport aux engagements internes. À ce titre, le ministère collaborera étroitement avec le nouveau Centre canadien pour la cybersécurité ainsi qu’avec l’Unité nationale de coordination de la lutte contre la cybercriminalité pour assurer la coordination et l’exhaustivité de nos efforts dans cette première étape de la stratégie.
[Français]
En conclusion, je tiens à mettre l’accent sur le fait que les cybermenaces sont en constante évolution et que le Canada et les Canadiens doivent faire en sorte d’avoir une longueur d’avance en la matière pour que nous puissions continuer de tirer parti de la technologie numérique.
[Traduction]
Sécurité publique Canada a noué des relations excellentes et assidues avec les établissements financiers de tout le Canada et il compte poursuivre cette collaboration.
Merci encore de votre invitation à venir témoigner. Je suis prête à répondre à vos questions.
Surintendant principal Jeff Adam, commissaire adjoint par intérim, Opérations techniques, Gendarmerie royale du Canada : Bonjour, monsieur le président, mesdames et messieurs les membres du comité. Merci d’avoir invité la GRC à venir parler de la cybercriminalité au Canada et des initiatives récentes annoncées dans le budget fédéral de 2018.
[Français]
Pour commencer, j’aimerais prendre le temps de présenter le contexte dans lequel se déroulent les activités en matière de cybercriminalité de la GRC.
[Traduction]
La cybercriminalité est un important problème de sécurité publique et d’application de la loi au Canada et un problème complexe qu’une organisation ne peut pas régler toute seule. Même si tous les cas ne sont pas signalés par le public, elle semble prendre de l’ampleur au Canada. En 2016, près de 24 000 cybercrimes ont été signalés à la police, soit une augmentation de 58 p. 100 par rapport à 2014.
À l’échelle mondiale, on a estimé les coûts économiques annuels de la cybercriminalité à des centaines de milliards de dollars. En ce qui concerne le secteur financier et le secteur commercial au Canada, le volume et la gravité de la cybercriminalité dont sont victimes les Canadiens et les entreprises ont également augmenté considérablement.
La cybercriminalité comprend de nouveaux crimes tels que le piratage informatique, les intrusions dans les réseaux et le vol de données, qui sont des crimes visant la technologie. Elle englobe également les crimes plus traditionnels, qui prennent une envergure et une importance nouvelles dans le cyberespace, tel que les escroqueries en ligne, le blanchiment d’argent et l’exploitation sexuelle des enfants, qui sont des crimes commis au moyen de la technologie.
En tant que service national de police du Canada, la GRC a le vaste mandat d’enquêter sur les criminels dans l’espace cybernétique afin de les arrêter ou de perturber leurs activités. Pour appliquer la loi, elle s’emploie à déterminer les menaces de cybercrime et à en établir l’ordre de priorité jusqu’à fournir des preuves numériques à l’appui des enquêtes, en passant par le renseignement criminel, les enquêtes sur les activités criminelles dans le cyberespace et la perturbation de ces activités.
Pour les organismes d’application de la loi, la lutte contre la cybercriminalité exige une vaste coopération entre les polices nationales et étrangères, qui intègre de nouvelles compétences techniques et de nouveaux outils aux mesures d’application traditionnelles de la loi, et qui exige un engagement avec les organisations du secteur public et privé, y compris celles du secteur financier. La stratégie de lutte contre la cybercriminalité de la GRC, publiée en 2015, fait état du rôle cybernétique dans plusieurs secteurs d’application de la loi, y compris la coordination et l’harmonisation à l’échelle nationale, la collecte et l’analyse de renseignements, des mesures de répression et d’enquête adaptées, ainsi que des compétences, de la formation et des outils spécialisés.
Malgré les progrès réalisés à ce jour, les organismes d’application de la loi doivent vaincre d’importants obstacles dans leur lutte contre la cybercriminalité au Canada. Le modèle de service de police canadien est basé sur l’hypothèse selon laquelle le délinquant, la victime et le système de justice relèvent pour la plupart de la même autorité judiciaire. Toutefois, comme nous le savons, la plupart des cybercrimes se commettent dans plusieurs juridictions sinon dans plusieurs pays, et ils ont une incidence sur des victimes dans l’ensemble des administrations traditionnelles, ce qui désorganise l’application de la loi.
Les outils traditionnels d’enquête sont mal adaptés à la volatilité des données et à la fluidité des voies d’information dans l’environnement numérique d’aujourd’hui.
Les organismes d’application de la loi ont besoin d’un moyen d’obtenir de l’information et du renseignement, peu importe l’administration, et d’un mécanisme visant à coordonner les efforts d’enquête. Il n’est pas efficient pour les divers services de police d’affecter leurs maigres ressources d’enquête à la même activité criminelle, chacun pour soi. De plus, on croit que tous les cas de cybercriminalité ne sont pas déclarés, et les divers mécanismes de signalement employés au Canada sèment la confusion chez le public. La déclaration partielle des crimes déforme la réalité et empêche une lutte à plus grande échelle, mieux coordonnée et mieux ciblée.
Pour relever ces défis et renforcer la capacité du Canada de lutter contre la cybercriminalité, le gouvernement a récemment annoncé 116 millions de dollars sur cinq ans et 23,2 millions par année, par la suite, afin de mettre sur pied l’Unité nationale de coordination de la lutte contre la cybercriminalité de la GRC.
L’unité sera un service de police national, supervisé par la GRC, appuyant les organismes d’application de la loi dans l’ensemble du Canada et collaborant avec eux. Elle servira de centre de coordination des enquêtes sur les cybercrimes au Canada et unira ses efforts à ceux des partenaires étrangers pour lutter contre la cybercriminalité. Elle fournira conseils et avis pour les enquêtes sur la cybercriminalité aux organismes canadiens d’application de la loi, entreprendra une analyse du renseignement et des statistiques et établira et maintiendra des partenariats stratégiques avec des intervenants principaux, y compris le secteur privé. Le Centre canadien pour la cybersécurité récemment annoncé sera un partenaire essentiel de l’unité. L’unité établira un mécanisme national de signalement public afin que les citoyens et les entreprises du Canada signalent les incidents de cybercriminalité aux organismes d’application de la loi, ce qui réglera le problème de leur sous-déclaration et améliorera grandement la compréhension des organismes d’application de la loi quant à la nature et à la portée de la cybercriminalité au Canada.
Grâce à ces nouveaux investissements, la GRC jouera un rôle essentiel dans l’avancement de la nouvelle Stratégie nationale de cybersécurité du Canada et elle sera mieux positionnée pour réduire la menace, l’impact et la victimisation liés à la cybercriminalité au Canada.
Merci de votre temps. Je serai heureux de répondre à toutes vos questions.
Le président : Merci. Nous allons maintenant entendre André Boucher, qui est chef adjoint associé, Sécurité des TI, pour le Centre de la sécurité des télécommunications.
André Boucher, chef adjoint associé, Sécurité des TI, Centre de la sécurité des télécommunications : Bonjour, monsieur le président et distingués membres du comité. J’aimerais d’abord remercier le comité de m’avoir invité à prononcer quelques mots en compagnie de mes collègues de la GRC et de Sécurité publique. C’est avec plaisir que je me présente devant vous pour discuter de la cybersécurité au Canada. En tant que chef adjoint associé à la Sécurité des technologies de l’information, il va sans dire qu’il s’agit d’un sujet qui me tient à cœur. Par souci de concision, et dans la mesure où le CST s’est déjà présenté devant vous dans le cadre de la présente étude, je ne parlerai pas de la mission et du mandat du CST. Je vous donnerai plutôt quelques détails concernant les éléments de cybersécurité associés au CST qui ont été annoncés lors du budget de 2018.
Comme l’a décrit Mme Merchant, le budget de 2018 fait mention d’importants investissements dans la cybersécurité du Canada, notamment le nouveau Centre canadien pour la cybersécurité.
[Français]
Le nouveau centre constituera la pièce maîtresse de la Stratégie nationale de cybersécurité que le gouvernement mettra en œuvre pour accroître la sécurité des Canadiens et des entreprises canadiennes en ligne. L’un des principaux concepts visés par la création du centre est de rassembler l’expertise et les outils du gouvernement en matière de cybersécurité sous un même toit.
Le fait est que la majorité de cette expertise existe aujourd’hui au CST. Le CST veille à la protection des renseignements les plus sensibles du Canada depuis plus de 70 ans. En tant que centre d’excellence du Canada en matière de cyberopérations, l’organisme hébergera le Centre canadien pour la cybersécurité, réunissant du même coup l’expertise opérationnelle du CST et celle de ses collègues de Sécurité publique Canada et de Services partagés. En regroupant sous un seul toit la cyberexpertise opérationnelle du gouvernement fédéral, le nouveau centre permettra au gouvernement du Canada de disposer d’une source unifiée de conseils, d’orientations, de services et de soutien spécialisés concernant les questions opérationnelles liées à la cybersécurité. Ainsi, les citoyens et les entreprises du Canada pourront compter sur une source bien établie et fiable de conseils en matière de cybersécurité.
Pour le Canada, la mise en place du centre se traduira par des interventions du gouvernement plus rapides, mieux coordonnées, et plus cohérentes en cas de cybermenace, ainsi que par une meilleure communication des informations entre le gouvernement du Canada et ses partenaires du secteur privé. De plus, le centre fera avancer les partenariats et le dialogue avec d’autres administrations, avec le milieu des affaires, le milieu universitaire, et les partenaires internationaux. Enfin, le centre permettra d’accroître la cyberprotection et la défense du gouvernement, du secteur privé et des Canadiens.
Comme il a été mentionné précédemment, les partenariats sont essentiels à la réussite de la mission de notre organisme. C’est pourquoi la mise en place du nouveau Centre canadien pour la cybersécurité marque une étape déterminante pour la cybersécurité au Canada.
[Traduction]
En conclusion, je tiens à remercier encore une fois le comité de m’avoir donné l’occasion de m’adresser à vous cet après-midi et je serai heureux de répondre à vos questions.
Le président : Merci beaucoup à tous. Nous allons maintenant passer aux questions.
La sénatrice Stewart Olsen : Nous vous remercions de votre présence ici aujourd’hui. Vos témoignages nous sont très utiles. Je suis arrivée tard dans cette étude alors vous me pardonnerez si je soulève des questions que vous avez déjà abordées.
Après vous avoir entendu et avoir examiné la proposition de budget, je suis curieuse d’en apprendre plus sur le nouveau Centre canadien pour la cybersécurité. D’après ce que vous dites, monsieur Boucher, vous ferez un travail d’avant-plan à cet égard. Comment allez-vous collaborer avec la GRC et les divers secteurs? Je ne suis pas certaine de comprendre comment vous allez pouvoir travailler avec tout le monde et accroître vos activités. Ce n’est pas beaucoup d’argent pour ce qu’on vous demande de faire. Pouvez-vous nous expliquer comment tout cela se déroulera?
M. Boucher : Je vous remercie de votre question. Je crois que le message clé dans le budget, c’est que le CST sera responsable de regrouper les éléments des entités fédérales en matière de cybersécurité. On reconnaît que le travail des organisations distinctes en matière de cybersécurité n’est peut-être pas aussi efficace qu’il devrait l’être. Pour répondre à votre question au sujet des ressources, nous prenons les organisations existantes, les effectifs en place, et nous les regroupons afin d’uniformiser le travail et d’accroître l’efficacité des ressources existantes. Cela répond peut-être à votre questionnement au sujet des ressources.
On fait beaucoup de bon travail au gouvernement fédéral. C’est une question de nécessité pour les ministères. Nous avons constaté qu’il y avait un important chevauchement et des frictions entre les ministères, et qu’il y avait de moins en moins d’uniformité. Pour nos clients, qu’il s’agisse du gouvernement fédéral ou de nos partenaires du secteur privé, c’était déroutant. Ce qui est au cœur de cette annonce, c’est le regroupement de ces éléments sous une direction unique. Quant à la façon de faire, nous devons avoir un plan et construire le centre.
Il est raisonnable de s’attendre à ce que la toute première étape consiste à fusionner les éléments — le CST, Sécurité publique et Services partagés — et à créer une harmonie entre nous. On peut faire une analogie et dire qu’il y aura un guichet unique pour le gouvernement.
En ce qui a trait à l’unité de la cybercriminalité et aux autres entités qui travaillent dans le domaine cybernétique, elles existeront toujours, mais comme nous avons l’occasion de bâtir un centre ensemble, nous allons pouvoir établir nos activités ensemble et assurer un synchronisme dès le départ.
Nous avons l’occasion de repartir à neuf et de faire un meilleur travail avec les ressources en place.
La sénatrice Stewart Olsen : Je comprends. Ce qui me fait hésiter, c’est qu’il ne semble pas y avoir de responsable. Je ne crois pas que ce soit la recette du succès, bien franchement. Je crois qu’il faudra faire les choses assez rapidement. On a fait l’annonce et il faut regrouper tous ces éléments assez rapidement. On n’a pas désigné de responsable et tout le monde voudra décider. Pourriez-vous commenter cela?
M. Boucher : Tout à fait. Je dirais que le CST est responsable de la partie qui nous est attribuée.
La sénatrice Stewart Olsen : Une partie.
M. Boucher : Tout à fait. Et je crois qu’il faut que les membres de la communauté travaillent ensemble.
Une voix : De quelle partie êtes-vous responsable?
M. Boucher : De l’intégration des activités du CST en matière de cybersécurité à celles du CCRIC de Sécurité publique et des centres des opérations de la sûreté du gouvernement du Canada à Services partagés. C’est une quantité importante de ressources qui coexistent à l’heure actuelle.
Nous savons que nous sommes responsables de regrouper ces éléments et je crois que déjà, en créant une approche d’équipe, nous allons accomplir un travail très important.
La sénatrice Stewart Olsen : Madame Merchant, dans votre exposé, vous avez parlé de favoriser l’éducation afin d’obtenir l’expertise dont nous allons avoir besoin pour l’élaboration de cette subvention, mais je ne vous ai pas entendu dire comment vous y arriveriez.
Nous avons toutes sortes de centres d’excellence dans les études et tout cela, mais ces gens sont déjà les experts et nous n’en avons pas suffisamment. Comment allez-vous procéder pour aller de l’avant?
Mme Merchant : Nous en faisons déjà beaucoup et nous allons accroître nos activités. Par exemple, nous travaillons en étroite collaboration avec les établissements universitaires alors qu’ils créent de nouveaux programmes très intéressants dans le domaine de la cybersécurité; nous avons un programme de subventions et contributions, dont profitent de nombreuses universités. L’Université Ryerson et quelques autres ont profité de ce financement pour faire des travaux de recherche et intégrer les ensembles de compétences que nous préconisons.
De plus, l’éducation et le développement des compétences à un niveau inférieur relèvent des provinces et des territoires.
Comme je l’ai dit plus tôt, il sera très important pour nous non seulement de maintenir les relations avec les provinces et les territoires de manière à aller dans la même direction et à avoir les mêmes priorités en matière de formation et de perfectionnement des compétences, mais aussi de transmettre notre orientation aux universités et aux autres établissements d’études par l’entremise du programme de subventions et de contributions.
Je tiens à souligner que dans le cadre de l’examen de la cybersécurité, nous avons bien compris qu’il était important de déterminer comment développer les compétences, même au niveau élémentaire. Nous sommes donc très sensibles à cela.
La sénatrice Stewart Olsen : Merci.
La sénatrice Wallin : Nous vous remercions de votre présence ici aujourd’hui. Lorsque vous avez parlé de 500 millions de dollars sur cinq ans pour une stratégie en matière de cybersécurité, ce que j’ai compris, c’est que vous bâtissiez un cadre, une organisation bureaucratique et que vous déterminiez les rôles de chacun en la matière. Est-ce qu’une partie des fonds sera consacrée aux outils, à l’équipement et à la surveillance ou est-ce que les fonds serviront uniquement à établir le cadre?
Mme Merchant : En ce qui a trait à la stratégie, il y a deux volets : il y a la stratégie en soi, qui énonce les trois objectifs à atteindre, et il y a le financement associé aux initiatives en vue de réaliser la stratégie.
La sénatrice Wallin : Donnez-moi un exemple.
Mme Merchant : Des initiatives? Le centre cybernétique ou l’Unité nationale de coordination de la lutte contre la cybercriminalité.
La sénatrice Wallin : Est-ce qu’ils sont financés? Lorsque vous avez une unité, est-ce que les fonds couvrent les salaires et l’équipement? J’essaie de comprendre où iront les fonds.
M. Adam : Pour le financement de l’unité nationale de coordination, il faudra une infrastructure de GI/TI de sorte que la population puisse dénoncer la cybercriminalité facilement. Nous aurons besoin d’analyses, qui orienteront notre manière d’intervenir.
À l’heure actuelle, nous n’avons aucune idée de ce qui se passe au Canada, par exemple. Ce serait bien de pouvoir coordonner ce qui se passe au Canada avec nos alliés internationaux pour tenter de comprendre les problèmes et de les régler.
Une partie des fonds octroyés à la GRC servira aux équipes spécialisées en matière de cyberenquête. On propose d’établir deux…
La sénatrice Wallin : Ce sont des gens, qui reçoivent un chèque de paie?
M. Adam : Oui. Ce sont notamment des enquêteurs, des gens qui ont une expertise technique, qui viennent du domaine des opérations techniques. On intègre donc le volet d’intervention en matière d’application de la loi.
La sénatrice Wallin : Je vous en parle parce que je veux revenir à la question dont nous avons discuté avec notre témoin précédent, c’est-à-dire : qui est responsable? Je vais formuler la question ainsi : le gouvernement canadien a-t-il les moyens de se protéger et de protéger les Canadiens contre les menaces en matière de sécurité?
Je sais que nous ne savons pas quel est le degré de cette menace, mais comment est-ce qu’on finance cela? Lorsqu’on pense à Facebook, qui a perdu 50 milliards en 48 heures et qu’on pense ensuite à ces 108 millions de dollars… Ce n’est pas du tout la même catégorie. Est-ce que le gouvernement peut s’acquitter de cette tâche et, dans l’affirmative, comment financerait-on cela?
Mme Merchant : En ce qui a trait au financement, j’aimerais connaître la réponse. Mais en ce qui a trait à la capacité du gouvernement de faire tout cela, la réponse est claire : il n’a pas cette capacité. C’est pour cela que les partenariats sont si importants. Et il n’y a pas seulement les partenariats entre le gouvernement fédéral et les provinces et les territoires, ou entre le gouvernement fédéral et le secteur privé, les propriétaires d’infrastructures essentielles et les exploitants; nous avons tous un rôle à jouer à cet égard.
Ce que nous avons compris de l’examen, c’est que ces organisations ou ces entités cherchent un responsable. Qui sera le multiplicateur de force? Qui sera responsable d’établir les meilleurs partenariats, les meilleures façons de jumeler les besoins aux personnes qui peuvent y répondre? C’est la voie que nous voulons suivre avec la nouvelle stratégie en matière de cybersécurité.
M. Boucher : Si je peux ajouter quelque chose, le gouvernement est actuellement responsable de se protéger, et c’est ce qu’il fait. On consacre déjà d’importantes sommes à la protection du gouvernement.
Cet argent nous aidera à regrouper les éléments et à accroître notre efficacité, afin de ne pas devenir des victimes et de ne pas faire les manchettes, comme cela a été le cas de certaines entreprises du secteur privé cette semaine.
Ce ne sont donc pas uniquement des chiffres; il ne faut pas l’oublier.
La sénatrice Wallin : Je comprends. Mais vous parlez de protéger le gouvernement et il y avait une autre partie à ma question, à laquelle vous pourrez peut-être répondre plus tard : qu’en est-il des Canadiens?
[Français]
Le sénateur Dagenais : J’ai une question complémentaire à poser à M. Adam concernant les budgets. Depuis les cinq dernières années, la GRC a hérité de plusieurs mandats, y compris la lutte au terrorisme et à la cybercriminalité. Pouvez-vous nous dresser un tableau de l’évolution de vos effectifs depuis les cinq dernières années et du nombre de personnes qui vont être mobilisées en ce qui a trait à la cybercriminalité? Si vous prenez des personnes pour combattre la cybercriminalité, et d’autres pour combattre le terrorisme, c’est parce que vous déplacez des effectifs.
Le service des enquêtes peut être négligé, parce que j’imagine qu’il nécessite plus de personnes et un budget plus important. Est-ce qu’on vous donne un plus gros budget et plus d’employés, ou est-ce que vous déplacez seulement des gens, ce qui, malencontreusement, peut faire en sorte que d’autres dossiers soient négligés?
[Traduction]
M. Adam : C’est bien connu : nous n’avons pas assez d’enquêteurs. Nous les recrutons le plus vite possible afin de maintenir un niveau correspondant à notre financement. Il n’y aura jamais assez d’argent pour permettre aux policiers d’attraper tous les criminels, tous les gens qui font des excès de vitesse… c’est impossible.
La GRC doit donc établir l’ordre des priorités en fonction des plus grandes menaces pour la sécurité publique et pour les Canadiens, y compris l’économie canadienne.
À certains moments, nous avons dû intervenir de manière unidirectionnelle et tenter de miser sur ce que nous avions. Dans le cas présent, il ne s’agit pas seulement de la GRC, bien que le financement lui soit octroyé. Je suis président du comité de l’Association canadienne des chefs de police sur le crime électronique. Le sous-comité sur la cybercriminalité relève de moi. Les agents de l’application de la loi tentent donc de trouver des façons de lutter contre la cybercriminalité, et ce à partir de la base, au niveau du détachement. Il ne s’agit pas nécessairement d’un nouveau type de crime, comme l’était le terrorisme. Il s’agit d’une nouvelle façon de s’adonner à des activités criminelles.
Bien qu’on puisse penser que la cybercriminalité est un monde en soi, la plupart des criminels se servent uniquement de vecteurs cybernétiques pour réaliser leurs activités. Cela ne change pas vraiment ce que nous faisons, mais plutôt la façon dont nous faisons les choses. On revoit certaines choses, notamment — et je parle franchement ici — la nécessité d’avoir un fusil pour faire enquête sur la cybercriminalité. Bien honnêtement, je préfère en avoir un, mais je n’en ai pas besoin.
Nous songeons à changer nos méthodes d’enquête, puisque les criminels peuvent se trouver n’importe où dans le monde. Ils peuvent même être des jeunes qui n’ont jamais quitté le sous-sol de leurs parents.
Il faut donc changer notre vision quant à la façon d’enquêter, aux personnes avec qui nous collaborons et aux résultats des enquêtes. Pour répondre à votre question en détail, nous allons créer deux nouvelles équipes, recruter de nouveaux analystes et avoir de nouvelles capacités pour analyser ce qui se passe et diriger nos efforts le mieux possible.
[Français]
Le sénateur Dagenais : Y a-t-il quelque chose qui est prévu dans le budget de 2018 pour vos effectifs?
[Traduction]
M. Adam : Nous avons obtenu ce que nous avions demandé, en partie.
Le sénateur Tkachuk : J’aimerais vous poser quelques questions. Madame Merchant, monsieur Boucher, avez-vous une expérience en matière de cybersécurité?
Mme Merchant : J’ai étudié le génie aérospatial et j’ai un diplôme d’études supérieures en physique théorique. Je travaille toutefois dans le domaine de la cybersécurité depuis de nombreuses années.
M. Boucher : Je vous remercie de votre question. J’ai un baccalauréat en informatique, une maîtrise en génie logiciel et un diplôme d’études supérieures en études de la défense. J’ai passé 32 ans dans l’armée, dont 15 ans à travailler dans le domaine de la cybersécurité.
Je travaille au Centre de la sécurité des télécommunications depuis cinq ans.
Le sénateur Tkachuk : Vous n’avez pas idée à quel point cela me rassure. Je suis un peu perdu parce que Mme Merchant est la directrice générale de la Direction de la cybersécurité nationale et nous avons aussi le Centre de la sécurité des télécommunications.
Êtes-vous liés l’un à l’autre? Qui est le patron? Qui est responsable de tout cela? Est-ce vous? Est-ce que c’est Mme Merchant?
Mme Merchant : Le mot « responsable » est assez vaste. Je crois que le gouvernement du Canada fonctionne mieux à l’intérieur que ce qu’il en paraît à l’extérieur. Il y a au moins 14 ministères et organismes qui ont une incidence ou une responsabilité directe à l’égard de la cybersécurité; cela dépend donc du mandat de chaque ministère et de leurs responsabilités en vertu des lois qui s’appliquent à eux. On a toutefois accordé à Sécurité publique la responsabilité de coordonner ces ministères et organismes et aussi de coordonner le travail avec le secteur privé selon les besoins en cas d’incident.
Ainsi, à l’heure actuelle, nous assurons un rôle de coordination tant pour les questions de politiques que pour les questions relatives aux incidents opérationnels. Et je dis « à l’heure actuelle » parce que le volet opérationnel et le volet de gestion des incidents seront transférés au centre lorsqu’il sera créé.
Le sénateur Tkachuk : Je ne sais pas si cela existe, et vous allez me le dire, mais est-ce qu’il y a une unité au sein de l’Agence du revenu du Canada? Il y a certainement des gens qui s’intéressent à la cybersécurité au RPC, d’après moi, car on peut y prendre des renseignements personnels, ou peut-être à la Défense nationale. Est-ce un peu ainsi que c’est structuré?
Mme Merchant : Selon la façon dont c’est structuré en général, chaque ministère a la responsabilité de veiller à la sécurité de ses renseignements délicats et des renseignements personnels qu’il traite, et cela se fait par l’intermédiaire du Commissariat à la protection de la vie privée.
Pour ce qui est de la cybersécurité, il y a des ministères. Nous avons 10 secteurs des infrastructures essentielles, et ce sont des ministères qui assument une part de responsabilités de ces secteurs des infrastructures essentielles, par exemple, Transports Canada pour le transport, Ressources naturelles Canada pour l’énergie, et ainsi de suite. Donc, ces 10 ministères s’intéressent à la cybersécurité dans l’optique des infrastructures essentielles.
De plus, vous avez des ministères qui ont un intérêt particulier, comme Affaires mondiales Canada. Par exemple, la Convention de Budapest sur la criminalité, que Jeff a mentionnée, a une portée internationale. Nous voulons que les pays partageant les mêmes vues se réunissent et fassent partie de cela, de sorte que nous puissions travailler à l’échelle internationale. Affaires mondiales assumerait la responsabilité de ce genre de choses.
Puis nous avons le ministère de la Défense nationale, qui est responsable des aspects militaires de la cybersécurité, tant au Canada qu’à l’étranger, et le Centre de la sécurité des télécommunications, par exemple. De nombreux ministères interviennent sous divers angles et il faut pour cela une étroite coordination.
Le sénateur Tkachuk : Qu’est-ce qui représente la plus grande menace, à votre point de vue? Vient-elle du Canada ou de gouvernements étrangers? D’après vous, d’où vient la plus grande menace d’attaques contre les systèmes gouvernementaux? Nous avons beaucoup débattu de cela. Il doit bien y avoir des choses qui vous inquiètent et auxquelles vous consacrez beaucoup de temps.
M. Boucher : Bien des choses nous inquiètent. Pour ajouter à la description de Colleen, à l’échelon opérationnel, vous avez divers ministères qui se protègent eux-mêmes, qui se défendent eux-mêmes, et qui sont intégrés ensemble. La plupart sont regroupés sous l’égide de Services partagés, qui se défend aussi lui-même et assure sa propre surveillance, puis vous avez pour l’ensemble le CST, qui exerce une surveillance et travaille à détecter les acteurs malveillants.
Franchement, je dirais que notre plus grande menace — que nous sommes sur le point de régler — se situe aux points de jonction entre ces entités. Il y a beaucoup de points de jonction et d’entités, et nous sommes exposés, en ce moment, à cause de cela. Plus nous scellons ces points jonctions, moins nous serons exposés, plus nous serons dans une bulle, et mieux nous serons en mesure de détecter les problèmes et d’y répondre.
Qui sont les acteurs malveillants qui nous préoccupent? Il y en a une myriade, et nous devons mieux les caractériser afin de mieux comprendre leurs attitudes et la façon dont ils vont fonctionner, ce qui les intéresse, et ce qui les motive vraisemblablement. Ils vont du jeune dans son sous-sol qui veut montrer ce qu’il peut faire à ses amis à l’acteur étatique qui est bien organisé et doté d’excellentes ressources.
Entre ces deux extrêmes, il y a toute une gamme d’acteurs, dont le cybercriminel et le militant motivé par une vision du monde différente de la nôtre. Ils ont tous des intentions différentes, mais aussi des capacités différentes. Je dirais cependant que nous sommes préoccupés parce que bon nombre de ces cybercapacités négatives sont de plus en plus offertes sur le marché. Vous n’avez pas besoin d’un aussi grand raffinement qu’avant pour produire de graves conséquences.
Le sénateur Wetston : Je vais poursuivre dans la même veine que le sénateur Tkachuk. Il y a beaucoup de points de jonction au pays, pas juste à l’échelon fédéral. Qu’est-ce que vous êtes en mesure d’accomplir, alors que toutes les provinces doivent aussi s’occuper de questions de cybersécurité? Que proposez-vous comme interface avec les provinces? Bien sûr, monsieur Adam, vous devez manifestement le faire régulièrement par l’application de la loi.
Pouvez-vous me donner une idée de la façon dont cette stratégie pourrait, d’une manière ou d’une autre, influencer la capacité des provinces d’être aussi en mesure de répondre aux menaces à la cybersécurité?
Mme Merchant : Au sein de Sécurité publique Canada, depuis que nous assumons ce vaste rôle de coordination, nous avons ce que nous appelons des « réseaux sectoriels ». Je vais commencer par le plus petit élément. Nous commençons par un secteur, et nous nous réunissons avec les membres du gouvernement fédéral, des provinces, des territoires et du secteur privé au sein de ce secteur, afin d’échanger de l’information et de tirer le maximum de toutes les connaissances collectives de ce secteur.
Nous avons aussi un groupe de discussion multisectoriel où nous réunissons les 10 secteurs des infrastructures essentielles — au sein du gouvernement fédéral, des provinces et territoires et du secteur privé —, de sorte qu’il y a un échange de renseignements et de pratiques exemplaires entre les secteurs. Notre sous-ministre copréside le groupe de discussion multisectoriel national, qui rassemble les PDG des associations représentant les 10 secteurs. C’est donc ainsi que nous travaillons ensemble d’une manière plus formelle.
Dans un cadre beaucoup plus optionnel, on trouve au sein de Sécurité publique Canada le Centre canadien de réponse aux incidents cybernétiques, le CCRIC, dont les représentants ont comparu devant le comité en octobre.
Le CCRIC a des partenariats avec les provinces et territoires comportant des infrastructures essentielles. C’est un concept. C’est un guichet unique où les gens peuvent non seulement signaler les incidents ou signaler anonymement des logiciels malveillants ou des problèmes sur leur réseau. L’information est anonymisée, et le CCRIC est en mesure de transmettre des rapports, des alertes ou des avertissements à l’ensemble des membres du partenariat, soit à plus de 1 200 entités diverses.
Il y a des mécanismes opérationnels servant à diffuser très rapidement l’information de sorte que toute la communauté puisse faire face aux incidents, aux problèmes ou aux menaces. Il y a aussi une façon plus officielle de passer par la structure de gestion, la structure bureaucratique, de l’ensemble des provinces, territoires et secteurs des infrastructures essentielles.
M. Boucher : Prenez le CCRIC et les experts du gouvernement fédéral, rassemblez-les dans un centre cybernétique — et cela est lié à la question de la sénatrice Wallin —, un nouveau lieu dont vous ouvrez les portes aux entités du secteur privé, aux Canadiens, aux citoyens et aux petites entreprises, et vous pouvez diffuser ces connaissances sur la cybersécurité, sur les menaces et les mesures que vous pouvez prendre, transmettre cette expertise, créer l’effectif et les outils, et travailler ensemble.
C’est la vision du centre cybernétique; la création d’un lieu qui rassemble ces gens.
Le sénateur Wetston : Nous avons entendu d’autres témoins qui accusent un peu de retard dans l’établissement de ce type de centre. Je ne vous demanderai pas vos observations, car vous ne serez probablement pas d’accord, mais ça va. Lisez les transcriptions.
Le SCRS est-il exclu de la Stratégie nationale de cybersécurité du Canada? Est-ce qu’il profite d’une partie de cette largesse dont profitent les entités qui sont devant nous aujourd’hui? Selon la sénatrice Stewart Olsen, ce n’est pas assez d’argent. Nous avons entendu cela.
Mme Merchant : Outre ce qui a déjà été annoncé dans le budget, nous devons attendre les détails relatifs aux fonds qui ont été affectés à d’autres initiatives.
Le sénateur Wetston : Surintendant principal, avez-vous déjà poursuivi quelqu’un dans cet espace, en matière de cybersécurité?
M. Adam : Oui.
Le sénateur Wetston : Est-ce qu’il y a eu beaucoup de cas?
M. Adam : Quand je m’occupais de poursuites au Nouveau-Brunswick, et en tant que premier membre du Groupe de la criminalité technologique dans les provinces de l’Atlantique — c’était moi —, M. Cabana était aux produits de la criminalité.
Le sénateur Wetston : J’ai eu l’occasion de travailler avec lui.
M. Adam : Excellent. Je n’y ai passé que deux ans avant de partir. L’essentiel de mon travail était la recherche d’éléments de preuve informatique à l’appui d’autres crimes, c’est-à-dire trouver des preuves dans les ordinateurs. Cependant, je suis au courant de deux cas, dont un pirate informatique qui vendait des mots de passe et un individu qui avait fait disparaître l’espace web d’une société aux États-Unis.
Le sénateur Wetston : Merci beaucoup.
La sénatrice Ringuette : Concernant le demi-milliard de dollars — vous avez parlé de diffusion des connaissances et ainsi de suite —, allez-vous miser sur le secteur privé pour une partie de ces fonds à des fins de recherche?
Mme Merchant : Dans notre cas, cela vient de notre programme de subventions et de contributions, qui est ouvert aux provinces, aux territoires, au secteur privé et au milieu universitaire.
La sénatrice Ringuette : Pour l’objectif de créer une bulle, de diffuser les connaissances et de fournir des renseignements sur les problèmes et enjeux, ne pourriez-vous pas utiliser cela comme point de déclenchement pour développer le financement des recherches à l’avenir, pour ces problèmes et enjeux?
[Français]
M. Boucher : On le fait déjà aujourd’hui. Au CST, on favorise déjà des partenariats privés. Le problème, ce n’est pas de trouver les ressources, mais de trouver et de cerner le bon problème et de réunir les gens de l’académie.
La sénatrice Ringuette : Donc, ce que vous êtes en train de créer devrait vous aider à cerner le problème.
M. Boucher : Oui, madame.
La sénatrice Ringuette : D’accord.
[Traduction]
Nous avons Santé Canada qui étiquette ce qu’il y a dans la nourriture que nous consommons. Nous avons les trucs électriques, les normes CSA, pour les appareils que nous utilisons. Est-ce qu’on envisage de créer quelque chose au Canada pour aider les consommateurs canadiens lors de l’achat de téléphones ou d’ordinateurs portatifs — un système de cote pour la cybersécurité?
Mme Merchant : Il existe au Nouveau-Brunswick une entité appelée CyberNB, et elle fait la promotion de la norme Cyber Essentials. Je crois que c’est en train de prendre son envol. Cela permet aux sociétés ou aux fabricants d’obtenir la certification de leurs produits.
Le sénateur Tkachuk : Je crois qu’elle le savait.
La sénatrice Ringuette : Vous voyez la synergie que j’ai avec ma circonscription.
Mme Merchant : Oui. Je veux souligner, comme je l’ai mentionné dans mes notes, que l’examen nous a permis d’entendre que les gens souhaitent des mesures législatives, des normes ou des lignes directrices qui aideraient les consommateurs, notamment à accéder à ces produits. C’est une chose dont nous sommes au courant et dont nous tenons compte.
La sénatrice Ringuette : À quelle fin?
Nous parlons de cybersécurité pour l’appareil gouvernemental et le secteur privé, mais il y a les citoyens et les consommateurs de ces produits sans fil et de tous les gadgets technologiques que nous achetons.
Mme Merchant : Ce sujet en particulier est d’un grand intérêt pour ISDE.
La sénatrice Ringuette : Ce ministère se trouve-t-il dans votre bulle?
Mme Merchant : Quelle bulle?
La sénatrice Ringuette : La bulle de M. Boucher.
[Français]
M. Boucher : Ils font définitivement partie des gens avec qui on élabore les grandes idées avec lesquelles on prévoit aller de l’avant. La difficulté, c’est que certaines choses sont peut-être en cours d’élaboration et n’ont pas encore été annoncées. On aura plus de matériel à offrir au cours des mois à venir. Ce genre d’idées est certainement au centre de nos discussions.
Le sénateur Dagenais : J’ai une deuxième question qui s’adresse à M. Adam. Juste avant vous, un spécialiste de l’Université de Waterloo nous a parlé de travaux de recherche qui sont menés à l’université et qui sont très intéressants et très avancés. Si je suis un pirate, pourquoi ne m’inscrirais-je pas comme étudiant à l’Université de Waterloo afin d’être bien informé de ce qui se fait? Y a-t-il des actions de sécurité qui sont menées afin d’éviter le piratage de nos connaissances et de ce qu’on enseigne dans les universités?
[Traduction]
M. Adam : Nous avons déjà de la difficulté à vérifier nos propres gens, sans nous occuper des étudiants universitaires.
Franchement, j’espère que les universités connaissent les étudiants auxquels elles donnent de tels renseignements, mais d’après moi, les étudiants qui sont inscrits à l’université devraient y avoir accès.
À l’instar de nos partenaires, nous utilisons les universités pour la réalisation de projets de recherche, mais nous soumettons les étudiants à des vérifications de sécurité, en pareils cas. Nous travaillons avec les instructeurs, et nous cloisonnons l’information à laquelle les étudiants ont accès. Il n’y a aucune garantie, car n’importe qui peut devenir pirate, mais nous n’avons pas vécu cela. Rien ne peut empêcher quiconque d’apprendre ce qu’il veut, où il veut, puis d’utiliser ses connaissances à des fins criminelles.
[Français]
Le sénateur Dagenais : Merci, monsieur Adam.
[Traduction]
Le sénateur Marwah : C’est vraiment très rassurant d’entendre tout ce qui se fait, mais je crois que chacun de vous a signalé que c’est un espace en évolution très constante et rapide. Compte tenu de cela, comment vous battez-vous pour l’emporter dans la chasse aux talents? Tous les jeunes veulent travailler pour des entreprises en démarrage, pour Google ou pour Facebook, malgré les problèmes que ces entreprises ont.
Autrement dit, quel pourcentage de vos budgets serait consacré au recrutement, à la formation et à la recherche vous permettant de rester à l’affût des développements?
M. Boucher : Je peux certainement commencer, car le Centre de la sécurité des télécommunications a de l’expérience sur le terrain.
Vous ne devriez pas trouver surprenant que les Canadiens soient motivés par d’autres choses que l’argent. Les entreprises en démarrage et la vie sur la côte Ouest de n’importe quel pays présentent à n’en pas douter des attraits pour les gens, mais la noble cause d’être là à défendre la nation et à veiller à la sécurité des Canadiens réussit aussi à en faire revenir certains.
Au CST, nous perdons parfois d’excellents talents. Je suis fier de dire que souvent, ils nous reviennent parce que l’attrait de travailler pour remplir les poches de quelqu’un d’autre s’étiole rapidement, après avoir eu la voiture sport et le bel appartement, et ils constatent qu’il manque un sens à leur vie. Ils reviennent.
C’est un élément de succès que nous avons maintenant. Je ne vous mentirai pas; c’est un défi constant et nous devons continuer d’offrir un lieu de travail attrayant pour les jeunes, un lieu qui peut s’adapter aux cultures changeantes des jeunes générations, qui peut suivre le rythme de la technologie et qui offre de la formation constante, et ainsi de suite. Je pense que vous comprenez très bien cela. C’est à nous qu’il incombe d’offrir cet environnement. Je suis désolé, mais je n’ai par les chiffres relatifs aux ressources que nous consacrons à ces efforts.
Le sénateur Marwah : Est-ce un montant faible, moyen ou élevé? Avez-vous une idée? Serait-ce 5 p. 100 de votre budget, ou 25 p. 100?
M. Boucher : Je vais devoir vous revenir avec les chiffres.
Le sénateur Marwah : J’aimerais savoir ce que c’est.
M. Boucher : C’est un montant qui assure notre succès.
M. Adam : Je peux vous donner une estimation du total des efforts de recrutement de la GRC, mais cela ne vise pas la réponse aux besoins particuliers d’un petit contingent technique qui ne passerait pas nécessairement par la Division Dépôt.
J’ai une ressource permanente qui a pour tâche de recruter des gens à des fins technologiques à l’échelle du Canada. Comme mon ami l’a dit, la GRC offre deux choses aux étudiants. Du côté du génie, plutôt que de travailler pour une grande société où ils sont appelés à produire un petit aspect d’une composante complète, nos employés participent au processus entier, de l’étape de la conception à celle du déploiement d’un outil utilisé à l’avant-scène, sur le terrain. C’est très gratifiant pour eux.
L’autre chose, c’est ce que nous appelons les menottes. Pas que nous menottions nos gens. Nous menottons les méchants. Si nous le pouvons, nous soulignons les efforts de tout membre civil de l’effectif qui travaille pour les ingénieurs, les techniciens, les personnes qui luttent contre les pirates informatiques et autres si ces efforts mènent à une arrestation. Nous faisons un effort particulier pour souligner cela, parce que ce que nous offrons d’unique à nos employés, c’est l’occasion d’arrêter un méchant. Cela nous aide grandement à garder nos employés — ceux que cela motive.
Mme Merchant : J’entretiens beaucoup de rapports à l’échelle internationale avec nos alliés, entre autres, et cela n’a rien d’un problème unique. L’une des choses que nous constatons, c’est que nous devons commencer à influencer les jeunes très tôt, car plus nous sommes interconnectés et plus nous comptons sur la technologie numérique — nos systèmes financiers se numérisent et nous nous dirigeons vers les véhicules automatisés —, plus nous aurons besoin de gens qui sont habiles dans ce domaine pour tout ce qui s’en vient.
Nous tendons la main aux sociétés du secteur privé et aux organismes sans but lucratif dont la mission est d’insuffler aux jeunes et aux enfants l’intérêt et le goût pour les technologies numériques de toutes les manières possibles. Il n’y a pas que l’aspect technologique. Nous avons besoin d’avocats qui s’y connaissent, et de gens qui comprennent la comptabilité. L’assurance contre les incidents cybernétiques est stupéfiante. Il n’est pas question que de la technologie.
La sénatrice Stewart Olsen : Pourquoi ne vous mettez-vous pas à détacher des gens de divers secteurs? Vous allez assumer une grande partie des responsabilités de divers ministères, comme le CANAFE. Je serais portée à croire que les gens qui travaillent au CANAFE seraient déjà à mi-chemin sur le plan de leurs capacités d’enquête.
Je serais portée à croire qu’avec le regroupement, le financement devrait aussi être transféré des divers ministères au centre. Avez-vous pensé à détacher de vos propres gens? Je sais que ce serait difficile, mais je pense quand même que ce serait une excellente façon d’aller de l’avant.
Mme Merchant : De mon point de vue, ce que nous voyons dans les ministères, c’est que nous comptons beaucoup sur les détachements et sur les affectations entre ministères afin de favoriser l’acquisition de compétences et la meilleure compréhension de la façon dont toutes les pièces mobiles s’imbriquent. C’est un élément crucial de notre coffre à outils.
Le président : Je vous remercie tous beaucoup. Vous nous avez fourni de l’information extrêmement utile et nous vous savons gré d’accorder autant d’attention à cet enjeu, car nous en sommes venus à apprendre, comme vous le savez manifestement, que c’est une menace importante non seulement pour le gouvernement, mais aussi pour le monde des affaires. Nous devons évidemment protéger notre pays contre ce genre de menaces. Je vous remercie de ce que vous faites, et je vous remercie d’avoir été là aujourd’hui.
(La séance est levée.)