Délibérations du Comité sénatorial permanent des
Banques et du commerce
Fascicule no 37 - Témoignages du 28 mars 2018
OTTAWA, le mercredi 28 mars 2018
Le Comité sénatorial permanent des banques et du commerce se réunit aujourd’hui, à 16 h 15, pour étudier, pour en faire rapport, les questions et préoccupations relatives à la cybersécurité et à la cyberfraude, puis à huis clos, pour étudier un projet d’ordre du jour (travaux futurs).
Le sénateur Douglas Black (président) occupe le fauteuil.
[Traduction]
Le président : Bonjour et bienvenue à mes collègues et aux membres du public qui nous assistent à la réunion du Comité sénatorial permanent des banques et du commerce, en personne ou sur le Web.
Je m’appelle Doug Black. Je suis un sénateur de l’Alberta et j’ai le privilège de présider le comité.
J’invite les sénateurs qui sont ici à se présenter à notre invité, que je vous présenterai par la suite.
Le sénateur Marwah : Sabi Marwah, sénateur de l’Ontario.
La sénatrice Wallin : Pamela Wallin, sénatrice de la Saskatchewan.
[Français]
La sénatrice Ringuette : Pierrette Ringuette, du Nouveau-Brunswick.
[Traduction]
Le sénateur Tannas : Scott Tannas, de l’Alberta.
[Français]
Le sénateur Dagenais : Jean-Guy Dagenais, du Québec.
[Traduction]
Le sénateur Wetston : Howard Wetston, de l’Ontario.
Le président : Aujourd’hui, nous terminons notre étude sur les questions et préoccupations relatives à la cybersécurité et à la cyberfraude, y compris les cybermenaces pesant sur le secteur financier et commercial au Canada, l’état actuel des technologies de cybersécurité, et les mesures et les règlements liés à la cybersécurité au Canada et à l’étranger.
Chers collègues, avant de présenter notre témoin, j’aimerais vous informer — et du coup informer M. Ghorbani — que, en raison de la tenue de votes au Sénat, la réunion se terminera dans 35 minutes. Vous aurez environ cinq minutes pour votre exposé. Ensuite, nous passerons aux questions; les sénateurs veilleront à être le plus précis possible.
Permettez-moi de vous présenter M. Ali Ghorbani, qui est directeur de l’Institut canadien de la cybersécurité à l’Université du Nouveau-Brunswick, et qui témoigne par vidéoconférence. M. Ghorbani a occupé divers postes dans le milieu universitaire au cours des 35 dernières années. Actuellement, il est titulaire de la Chaire de recherche du Canada, niveau 1, en cybersécurité, et doyen de la faculté d’informatique depuis 2008.
Bienvenue au comité, monsieur Ghorbani. Nous avons hâte d’entendre votre exposé. Veuillez commencer, s’il vous plaît.
Ali Ghorbani, directeur, Institut canadien de la cybersécurité, Université du New Brunswick : Merci, monsieur le président. Bonjour à tous les membres du comité sénatorial. Merci d’avoir invité l’Institut canadien sur la cybersécurité de l’Université du Nouveau-Brunswick à parler de cybersécurité aujourd’hui.
On observe une croissance sans précédent dans le domaine de la cybernétique, y compris en matière de cybersécurité et de cyberanalyse. Le marché mondial de la cybersécurité est vaste et ne cesse de prendre de l’expansion : on estime que sa taille atteindra 170 milliards de dollars d’ici 2020. La croissance du marché est directement liée à la hausse des coûts découlant des cyberattaques menées à l’échelle mondiale. On estime que ces coûts seront de 2 100 milliards de dollars d’ici 2020. On prévoit également une pénurie de 1,8 million de travailleurs dans le domaine de la cybersécurité mondiale d’ici 2022. Pour toutes ces raisons, l’élaboration d’une nouvelle génération de solutions de cybersécurité et la formation de professionnels hautement qualifiés suscitent énormément d’intérêt.
Le Nouveau-Brunswick met l’accent de façon stratégique sur les innovations technologiques en matière de cybersécurité. Depuis l’an 2000, l’Université du Nouveau-Brunswick a joué un rôle important dans le succès des activités de recherche et d’innovation en matière de cybersécurité menées au Canada. À l’heure actuelle, l’Université du Nouveau-Brunswick compte de loin le plus important groupe de recherche sur la sécurité des réseaux du pays et elle est bien placée pour diriger les efforts en ce sens par l’intermédiaire de l’Institut canadien sur la cybersécurité.
L’institut travaille présentement en collaboration avec des représentants de l’industrie et des gouvernements provinciaux et fédéral afin de faire du Canada une plaque tournante reconnue mondialement en matière d’innovation et de développement des compétences.
Autrefois, seuls les experts de la technologie se préoccupaient de la cybersécurité et de la protection des renseignements personnels : aujourd’hui, c’est tout le monde des affaires et l’ensemble de la société qui s’en inquiètent. La cybersécurité n’est plus un simple problème de TI : c’est un problème opérationnel qui touche tout le monde. Ce ne sont plus les appareils qui constituent le maillon faible de la chaîne en matière de sécurité, mais bien les utilisateurs. Ainsi, on considère maintenant que le facteur humain représente la plus grande menace à la cybersécurité. C’est pourquoi nous sommes convaincus qu’il faut créer des solutions multidisciplinaires conçues selon une approche axée sur l’humain pour assurer la cybersécurité.
L’Institut canadien sur la cybersécurité est le premier établissement à rassembler des chercheurs d’un éventail de disciplines universitaires pour mettre en commun des idées d’avant-garde et mener des recherches novatrices. L’institut est un service complet de formation multidisciplinaire, de recherche et de développement et d’entrepreneuriat qui met à profit l’expertise de chercheurs issus de domaines comme les sciences, l’administration, l’informatique, le génie, l’éducation, le droit et les sciences sociales. L’institut a actuellement une équipe de près de 50 personnes formée de chercheurs, de techniciens et d’étudiants des cycles supérieurs. Il est en outre doté d’infrastructures de pointe.
La formation et l’éducation en matière de cybersécurité sont loin d’être suffisantes pour répondre aux besoins actuels et futurs. La pénurie de main-d’œuvre spécialisée dans ce domaine qui sévit au Canada contribue à la vulnérabilité des secteurs public et privé ainsi que des gouvernements. L’Institut canadien sur la cybersécurité vise à former des employés hautement qualifiés qui se spécialisent dans la cybersécurité et la protection des renseignements personnels. L’Institut offre également des programmes de formation qui répondent aux besoins réels des secteurs public et privé dans ces domaines.
La cybersécurité est une science qui consiste à gérer les risques et à éviter les surprises. Il s’agit d’un problème pratique, auquel il faut trouver des solutions pratiques. L’Université du Nouveau-Brunswick a été l’une des premières organisations à reconnaître que la cybersécurité est une industrie et elle a participé, en 2000, à la création de Q1Labs inc., laquelle a été rachetée par IBM en 2011.
Aujourd’hui, la cybercriminalité est en hausse, et aucune organisation ne peut se considérer totalement à l’abri des cyberattaques. Les établissements de soins de santé, les services financiers et les gouvernements se trouvent en tête de lice des cibles des cybercriminels. On croit qu’un grand pourcentage des cyberattaques est attribuable à des employés, la plupart du temps à la suite d’erreurs humaines. En effet, tous peuvent tomber dans le piège des tentatives d’hameçonnage. Selon le sondage national sur la fraude, aux États-Unis seulement, les coûts des attaques internes s’élèvent à environ 400 milliards de dollars par année, dont 348 milliards de dollars sont directement liés aux comportements des utilisateurs.
Par conséquent, la surveillance et la gestion des habitudes des utilisateurs sont primordiales pour établir des rapports sur la cybersécurité et la conformité. L’Institut canadien sur la cybersécurité travaille présentement à la création d’une solution axée sur les utilisateurs afin de contrecarrer les activités malveillantes autant à l’intérieur qu’à l’extérieur des organisations.
L’institut s’efforce d’éduquer et de sensibiliser la population et le secteur privé au moyen d’activités, d’ateliers et de discussions sur l’importance de la cybersécurité et sur les façons de naviguer en toute sécurité.
Enfin, bien que les questions de cybersécurité soient souvent de nature technique, l’adoption de politiques législatives et réglementaires revêt une importance de plus en plus grande et nécessite la participation des intervenants des secteurs public et privé.
Je vous remercie encore une fois de m’avoir invité à venir vous parler aujourd’hui. C’est avec plaisir que je répondrai à vos questions.
Le président : Merci beaucoup, monsieur Ghorbani. Avant de passer aux questions, je tiens à vous féliciter du travail que vous faites à l’Université du Nouveau-Brunswick. C’est très impressionnant. J’ai hâte d’en apprendre davantage grâce aux questions de mes collègues. Nous commençons par le sénateur Marwah.
Le sénateur Marwah : Merci de vos observations, monsieur Ghorbani. Toutes mes félicitations à vous et à l’Université du Nouveau-Brunswick. Vous êtes à l’avant-garde des questions de cybersécurité et des enjeux connexes.
Monsieur Ghorbani, à la fin de votre exposé, vous avez notamment indiqué que l’adoption de politiques législatives et réglementaires revêt une importance de plus en plus grande et nécessite la participation des intervenants des secteurs public et privé. Selon vous, quelles lois et quels règlements doit-on moderniser et adapter au XXIe siècle? Doit-on combler certains manques par la création de nouvelles politiques, tant des mesures législatives que des règlements, pour favoriser les progrès dans le domaine cybernétique?
M. Ghorbani : Au fil du temps, j’en suis venu à la conclusion qu’il convient d’examiner la réglementation à laquelle les entreprises, petites et grandes, doivent se conformer pour entreprendre leurs activités. Il existe actuellement une multitude d’exigences réglementaires applicables au lancement d’une entreprise, mais nous n’avons aucune exigence sur la protection des données et des infrastructures de l’entreprise ni aucune exigence pour que l’entreprise démontre qu’elle a fait l’acquisition de technologies et de solutions visant à protéger ses données, ses activités et ses employés. Il n’existe actuellement aucune certification quelconque permettant de confirmer qu’une entreprise a mis en place les mécanismes et les technologies nécessaires pour protéger ses propres opérations de même que celles d’autres entités avec lesquelles elle fait affaire.
C’est de cela que je parlais lorsque j’ai mentionné l’absence de mesures, à ce moment-ci, d’où la nécessité que les secteurs privé et public unissent leurs efforts pour cerner les mesures de cybersécurité nécessaires lors de la création d’une société quelconque, mesures qui doivent être mises en place avant le lancement des activités.
Le sénateur Marwah : Un de nos témoins précédents a mentionné que le stockage de données pose problème, en particulier lorsqu’on passe d’une administration à l’autre. Le stockage compte beaucoup d’aspects; l’exploitation se fait à un endroit, mais les données sont stockées ailleurs dans le monde, ce qui complique la collecte de données.
Y a-t-il d’autres situations de ce genre qui, selon vous, nous empêche de mettre en place un système de cybersécurité plus robuste?
M. Ghorbani : Les données sont au centre de tout cela, évidemment, mais il convient également de réglementer les interactions des entités avec des organismes étrangers, à l’extérieur de nos frontières. Il ne s’agit pas seulement des données; cela concerne aussi les communications entre les parties, tant au Canada qu’à l’extérieur du pays. Il faut aussi réglementer et établir les paramètres de ces communications.
Le sénateur Wetston : Je voulais parler de la structure du marché dans lequel les activités de cybersécurité évoluent.
Je pose la question parce qu’il me semble que sur le plan de la cybersécurité — j’aimerais avoir vos commentaires à ce sujet, si possible —, le nombre relativement petit de fournisseurs de technologies de cybersécurité importantes comporte des risques.
Par exemple, si tout le monde utilise les services web d’Amazon comme service d’infonuagique, cela expose le système à un nouveau type de vulnérabilité. J’ai lu cela dans les médias récemment.
Pourrais-je avoir vos commentaires à ce sujet? Est-ce préoccupant, à votre avis? Est-ce bien ce qui se produit?
M. Ghorbani : Cela ne me préoccupe pas. Ce qui est préoccupant, ce sont les divers monopoles pour les multiples technologies que nous utilisons. Je ne peux toutefois me prononcer sur d’autres aspects, car je n’ai tout simplement pas assez de renseignements sur l’incidence que cela pourrait avoir pour la société et les gens en général.
Si vous précisiez votre question davantage, je pourrais peut-être y répondre.
Le sénateur Wetston : Voici à quoi je veux en venir, je suppose : on se trouve à créer une autre vulnérabilité dans ce marché lorsqu’on fait appel à divers fournisseurs tiers qui sont les seuls ou les principaux fournisseurs de services de lutte contre les risques relatifs à la cybersécurité. Je parle de la connaissance de ces technologies, de la capacité de régler les problèmes liés à l’acquisition de ces technologies par d’autres entreprises à des fins de protection contre les cybermenaces. Voilà essentiellement à quoi je veux en venir.
Avez-vous observé cela dans le marché?
M. Ghorbani : Seulement lorsque les tiers sont situés dans des administrations peu connues, des endroits que nous connaissons moins bien, à l’extérieur de l’Amérique du Nord ou de l’Europe, par exemple. Dans ces cas, l’utilisation des technologies pourrait susciter davantage de préoccupations.
Au Canada et chez notre voisin du Sud, la crédibilité des fournisseurs tiers et le lien de confiance avec eux sont bien établis. Essentiellement, ces fournisseurs sont fiables; il y a donc peu de raisons d’être préoccupé, même si on devrait toujours garder à l’esprit qu’il existe un certain risque, un risque inconnu, lorsqu’on acquiert et qu’on utilise la technologie d’un tiers à des fins de sécurité.
[Français]
Le sénateur Dagenais : Monsieur Ghorbani, je vais plutôt vous poser des questions au sujet de la compagnie Equifax. Vous savez que, lorsqu’il y a un vol d’identité, on suggère aux gens de contacter la compagnie Equifax qui va recueillir des données et les protéger.
Par contre, les usagers d’Equifax n’ont pas été chanceux, parce qu’il y a eu des atteintes aux données d’Equifax, ce qui a fait réagir la compagnie. Les institutions financières qui font appel à Equifax ont-elles apporté des changements quant à leur façon de recueillir des renseignements auprès de cette compagnie?
De plus, est-ce que la compagnie Equifax a elle-même modifié sa façon de travailler afin de mieux protéger les données de ses usagers?
[Traduction]
M. Ghorbani : C’est une excellente question, et elle est extrêmement importante. J’aimerais toutefois aller plus loin que le cas d’Equifax. Je tiens à mentionner que nous sommes tous conscients que sur le marché noir, le vol d’identité, l’achat de toutes les pièces liées à une identité, coûte 4 ou 5 $. Cela dit, la question importante que cela soulève est de savoir qui contrôle les données. À mon avis, nous avons tendance à accorder le contrôle des données à leurs propriétaires. Ils pourraient ainsi décider des modalités — le moment, la façon, les circonstances et le volume — de la communication des données à une tierce partie.
Dans l’état actuel des choses, Equifax et d’autres entités semblables, ou Facebook, d’ailleurs, exercent un plein contrôle sur les données des utilisateurs. Par conséquent, les utilisateurs n’ont pratiquement pas leur mot à dire concernant la divulgation ou l’utilisation de leurs renseignements personnels par d’autres parties, que ce soit pour déterminer le moment ou la quantité.
J’ai entendu dire, ou j’ai lu, qu’Equifax a réglé certains problèmes, mais je ne sais pas si cela a été rendu public. J’ignore si les correctifs qui ont été apportés ont été rendus publics. Ils ont fait des changements sur le plan technologique. J’imagine que les protocoles d’échange de données avec les clients et les utilisateurs ont été modifiés et mis à jour.
Voilà ce que je sais au sujet d’Equifax. Je suis convaincu qu’il faudra régler cette question à l’avenir, pour que le propriétaire des données exerce le contrôle complet sur ses renseignements personnels, sur les circonstances dans lesquels ils peuvent être communiqués et sur leur utilisation.
La sénatrice Wallin : Merci beaucoup. Je vous remercie de comparaître au comité. Comme vous le savez, nous sommes au cœur de notre étude sur cet enjeu. C’est un concept très difficile à saisir, étant donné son ampleur.
Pour ce qui est des réponses que nous cherchons, cela concerne trois domaines. J’ai été heureuse de vous entendre dire aujourd’hui que les gens représentent actuellement le maillon le plus faible de la cybersécurité. Je pense que nous devons nous concentrer sur cet aspect, en particulier sur la responsabilité individuelle.
Vous avez parlé des grandes lacunes du deuxième aspect, le cadre réglementaire.
Nous avons également entendu des témoignages sur les poursuites pénales à cet égard. On nous a indiqué qu’il pourrait être préférable, dans de tels cas, d’avoir recours à des sanctions fiscales ou à des accusations d’espionnage économique plutôt qu’à d’autres mesures. Ce serait comme réussir à faire condamner Al Capone en vertu d’une loi sur les fraudes.
Pourriez-vous nous présenter vos observations sur ce que nous devrions faire sur les trois plans suivants : les gens, la réglementation et la justice pénale?
M. Ghorbani : Merci beaucoup de la question. Lorsque j’ai mentionné les gens, j’espérais qu’on me poserait également une question sur l’éducation.
La sensibilisation et l’éducation du public sont essentielles à une stratégie de cybersécurité efficace. Je crois personnellement qu’il faut tenir compte de la somme des volets qui composent normalement la cybersécurité, soit la cyberéthique, la cybersûreté et la cybersécurité. Ces trois aspects devraient être abordés ensemble à différentes étapes de l’enseignement scolaire, et dans cette optique, nous devons enseigner aux gens à se protéger dans le cyberespace.
C’est la réalité. Il ne faut pas attendre l’université pour aborder la question. Nous devons intégrer cette notion au système scolaire et commencer tôt.
Notre position est quelque peu radicale. La cybersécurité doit devenir une matière obligatoire, au même titre que les autres matières scientifiques enseignées à l’école, pas un cours optionnel. Il faut solidifier le maillon faible, c’est-à-dire le facteur humain, les gens qui invitent les pirates et les intrus à s’infiltrer dans nos systèmes et qui leur permettent d’accéder à nos données, à notre propriété intellectuelle et à notre réseau.
Pour ce qui est de poursuivre les intrus mal intentionnés, je suis moins ferré dans ce domaine. Dans un cas ciblé, nous pouvons bien sûr stopper les intrus et mettre un frein à leurs activités, et veiller à recueillir suffisamment de preuves pour que les forces de l’ordre puissent poursuivre les fautifs. C’est effectivement quelque chose que peuvent faire les spécialistes en sécurité des réseaux et en cybersécurité.
Je n’irai pas plus loin, mais il est possible de cibler les auteurs d’activités malveillantes, et il est aussi possible de recueillir des éléments de preuve en vue de poursuites éventuelles. Mais ce n’est pas toujours évident.
Par exemple, vous avez entendu parler aujourd’hui du rançongiciel qui a essentiellement paralysé les services des forces d’opérations spéciales, du moins une partie, de la police d’Atlanta. Le groupe responsable, SamSam, a immédiatement retiré le site web contenant les données du paiement. Il est donc difficile de savoir où se trouvent les pirates et quoi faire à propos de cette activité criminelle.
Ai-je répondu à toutes vos questions?
La sénatrice Wallin : Oui, elles ont toutes été cochées. Merci.
Le sénateur Day : Merci beaucoup. Comment ça va à Fredericton?
M. Ghorbani : Il fait un temps absolument magnifique aujourd’hui : du verglas.
Le sénateur Day : Le verglas a un certain charme. Nous sommes aussi gâtés par le verglas aujourd’hui, à Ottawa.
Je crois qu’il serait utile pour mes collègues et moi de comprendre la portée du mandat de l’institut. Je connais l’Université du Nouveau-Brunswick, et je sais que vous avez plusieurs facultés, mais je présume que l’Institut canadien de la cybersécurité est appelé à collaborer avec d’autres universités et des organisations externes?
Vous avez dit que votre stratégie était axée sur l’innovation technologique en matière de cybersécurité, mais il y a d’autres domaines. Comme vous l’avez souligné, c’est une question qui touche l’ensemble de la société, alors j’imagine que d’autres secteurs mettent l’accent sur des éléments différents. Est-ce que cela fait aussi partie du mandat de l’institut?
M. Ghorbani : Absolument. Je ne voulais pas trop m’étendre sur le sujet dans mon exposé. Je suis heureux que vous ayez posé la question.
Généralement, un institut, c’est essentiellement un endroit permettant à des chercheurs de mener des projets de recherche-développement, de recherche fondamentale ou de recherche désintéressée.
Le nôtre est légèrement différent. Nous regroupons en fait trois secteurs : le gouvernement, l’industrie et le milieu académique. Je demeure convaincu que les trois sont essentiels à une stratégie efficace de cybersécurité.
Nos chercheurs mènent des projets de recherche fondamentale et de recherche désintéressée, mais nous tâchons aussi d’ouvrir nos activités à d’autres disciplines. Nous faisons donc appel à des chercheurs dans les domaines des mathématiques, des sciences, du droit et de l’éducation, et nous mettons particulièrement l’accent sur les sciences sociales, la sociologie et la psychologie.
Nous avons déjà abordé le sujet, mais les petites comme les grandes organisations peuvent devenir membre de notre institut et bénéficier de nos services, qui consistent en gros à de la recherche-développement. À l’heure actuelle, six grandes entreprises canadiennes sont membres de l’institut, et elles proviennent de toutes les sphères, du secteur financier, surtout du secteur développeurs-utilisateurs, et chacune de ces entreprises a au moins deux ou trois projets en cours avec nous. L’institut a ainsi plus d’une quinzaine de projets en branle en collaboration avec l’industrie.
Nous travaillons aussi avec une multitude d’instituts à l’échelle internationale, y compris au Canada. Notre institut est un des membres fondateurs de Global Epic, une organisation mondiale qui se veut l’écosystème des écosystèmes en matière d’innovation et de recherche en cybersécurité.
Le Canada, Israël, le Royaume-Uni, les États-Unis et différentes parties se sont réunis pour créer Global Epic. Nous avons un protocole d’entente avec les États-Unis, des instituts en Nouvelle-Zélande, en Australie et en Europe, avec le Royaume-Uni. C’est plus qu’un institut; c’est une mini université qui touche à peu près à tout, et qui a aussi un volet commercial. Nous concevons des solutions pour l’industrie.
Je n’ai mentionné que Q1 Labs, mais plusieurs entreprises sont nées de nos efforts d’essaimage au fil des ans. Récemment, il y a eu Sentrant, une entreprise de détection des fraudes en ligne, qui a été achetée par la société américaine Nielson.
Notre mandat comporte des activités commerciales, de la recherche fondamentale, de la recherche désintéressée et des collaborations à l’échelle du monde.
Le sénateur Day : Très intéressant, merci.
La sénatrice Ringuette : Merci beaucoup. Je suis très fière du travail que vous faites.
Vous dites qu’il n’existe pas de loi pour contraindre les entreprises à protéger leurs données et leurs communications. À une séance précédente, j’ai demandé à un des témoins si on travaillait à l’élaboration d’une certification pour les entreprises en ce qui a trait à la cybersécurité, à l’éthique et à la sécurité, un peu à la manière de la norme ISO. On m’a répondu qu’une entreprise du Nouveau-Brunswick travaillait à l’élaboration d’une telle certification.
Est-ce que vous travaillez avec ce groupe?
M. Ghorbani : Oui, merci d’avoir posé la question. Le tout a commencé avec une organisation du Nouveau-Brunswick appelée « CyberNB »; notre institut s’y est greffé et est maintenant un des principaux moteurs de l’initiative.
Une entreprise du Royaume-Uni, Cyber Essentials, s’est installée au Canada. D’après ce que j’ai pu voir, elle a beaucoup de succès auprès des entités gouvernementales et du secteur privé. Elle dispose d’une technologie pouvant faciliter la certification, qui consiste essentiellement à atténuer les risques et à récupérer une copie de secours du système au besoin; mais sur le plan de la certification, la technologie permet surtout de veiller à ce que toutes les conditions de sécurité soient respectées lorsqu’il est question des activités menées dans le cyberespace. Cette entreprise s’appelle « Cyber Essentials ». Nous participons à ces projets, et nous espérons certainement que d’autres pourront offrir une telle technologie et des solutions relatives à la certification au Canada, car c’est très important.
Je peux vous dire que j’ai moi-même participé à l’essaimage de trois entreprises, et personne ne m’a jamais demandé si je me conformais à une réglementation quelconque afin de protéger mon système lors de l’achat d’ordinateurs, de l’installation des postes de travail ou de l’achat de services Internet. Cette certification est importante, et je pense que ce serait une bonne chose si le Canada adoptait une telle norme.
La sénatrice Ringuette : Vous avez dit faire partie d’un réseau international — vous avez utilisé le terme « écosystème » —, alors est-ce que le travail fait en vue de la certification est transmis à vos partenaires mondiaux? Pourrait-on ainsi s’attendre un jour à avoir une certification semblable à la norme ISO? Et je ne parle pas nécessairement de la réglementation des entreprises, mais du sentiment de sécurité qu’une telle norme pourrait procurer aux clients potentiels qui doivent fournir certains renseignements.
M. Ghorbani : En effet. Je dois dire que Global Epic n’en est qu’à ses débuts. Le tout a commencé il y a 11 mois, si je ne me trompe pas. Et c’est une des grandes initiatives que nous avons entreprises. Un de nos objectifs serait de consolider les technologies employées par les différentes administrations en vue de cette certification, et voir en quoi pourrait consister une solution plus universelle. Après tout, le cyberespace est universel. Il n’est pas limité par des frontières précises. C’est un de nos projets.
Nous avons d’autres mandats à réaliser, et nous le faisons notamment grâce à l’échange de talents provenant de différents pays. Pour ce faire, nous visitons notamment nos partenaires et nous veillons à échanger nos connaissances, notre savoir-faire et nos constatations, dans le but ultime d’enrichir notre base de connaissances sur ce qui menace la cybersécurité à l’échelle du monde.
Le président : Monsieur Ghorbani, que pourrait faire le comité pour contribuer au développement de la cybersécurité au Canada? Quelles seraient vos principales recommandations?
M. Ghorbani : En gros, l’éducation, l’éducation et l’éducation. C’est fondamental. C’est ainsi que nous pourrons nous assurer que la prochaine génération saura se protéger dans le cyberespace. Ce serait ma recommandation.
Nous pourrions aussi concevoir diverses technologies afin de protéger nos données à l’intérieur de nos frontières. Nous pourrions mettre en place une réglementation concernant l’accès et l’entreposage des données.
Tous ces éléments sont critiques à la protection des données dans le cyberespace, mais je dirais qu’un obstacle majeur à cela en ce moment est le manque de connaissances au sein de la population. Nos enfants ont accès à des appareils intelligents dès l’âge de cinq ans. Dans l’Internet des objets du futur, c’est là que tout va se jouer. Nous devons nous assurer que la cybersécurité fera partie des sciences enseignées très tôt à l’école. Il ne faudra pas attendre que ces enfants-là aient 18 ans.
Cela dit, j’aimerais ajouter quelque chose, car cela me tient à cœur. En ce moment, au Canada et ailleurs, un grand mouvement s’organise pour envoyer des spécialistes dans les écoles afin d’enseigner aux élèves comment protéger leur vie privée et leurs renseignements personnels dans le cyberespace.
C’est excellent, mais j’ai dû admettre l’an dernier qu’au Nouveau-Brunswick nous avions négligé les personnes âgées. Elles sont elles aussi grandement vulnérables et doivent être informées des mesures de sécurité à prendre lorsqu’elles surfent sur le Web, qu’elles font leurs transactions bancaires en ligne, et ainsi de suite.
Notre institut a ainsi élaboré un programme de cybersécurité à l’intention des aînés. Nous voulons visiter différents endroits et collaborer avec diverses organisations afin d’offrir des séances de sensibilisation sur les principes fondamentaux permettant aux utilisateurs d’être relativement en sécurité sur Internet et dans le cyberespace.
Encore une fois, j’insiste pour dire que l’éducation est un facteur majeur, mais d’autres vous diront peut-être qu’il faut établir un nouveau centre de formation sur la protection des infrastructures essentielles; cela fait d’ailleurs partie de nos activités. Nous devons assurer une protection sans faille de nos infrastructures essentielles, de façon à ce qu’aucune de nos grandes infrastructures ne subisse une défaillance. Une telle défaillance peut avoir un effet boule de neige catastrophique pour le secteur financier et la société, au bout du compte.
Je vous recommanderais également de prendre toute mesure qui nous permettrait d’accorder une grande attention à nos infrastructures essentielles et de les protéger en tout temps, car les répercussions d’une défaillance s’avéreraient monumentales pour la société.
Le président : Merci beaucoup, monsieur Ghorbani. Vos commentaires nous seront très utiles. Merci d’avoir pris le temps de nous faire part de votre expertise incontestée. Félicitations encore une fois pour le travail que vous faites, et j’espère que nous continuerons d’entendre parler de votre institut.
M. Ghorbani : Merci à vous tous.
(La séance se poursuit à huis clos.)
(La séance se poursuit à huis clos.)