Délibérations du Comité sénatorial permanent des
Transports et des communications
Fascicule nº 14 - Témoignages du 4 avril 2017
OTTAWA, le mardi 4 avril 2017
Le Comité sénatorial permanent des transports et des communications se réunit aujourd'hui, à 9 h 31, pour étudier les questions techniques et réglementaires liées à l'arrivée des véhicules branchés et automatisés.
Le sénateur Michael L. MacDonald (vice-président) occupe le fauteuil.
[Traduction]
Le vice-président : Aujourd'hui, le Comité sénatorial permanent des transports et des communications poursuit son étude des questions techniques et réglementaires liées à l'arrivée des véhicules branchés et automatisés.
Ce matin, nous avons deux groupes de témoins. Nous accueillons maintenant le premier groupe. Nous avons le surintendant principal Eric Stubbs, qui est directeur général du Service national des enquêtes criminelles et des Services de police contractuels et autochtones à la Gendarmerie royale du Canada, et Mme Colleen Merchant, la directrice générale de la Direction de la cybersécurité nationale à Sécurité publique Canada.
Je vous remercie de participer à la réunion. Je vous invite à présenter vos exposés. Ensuite, nous passerons aux questions des sénateurs.
Surintendant principal Eric Stubbs, directeur général, Service national des enquêtes criminelles, Services de police contractuels et autochtones, Gendarmerie royale du Canada : Monsieur le président, honorables membres du comité, bonjour. Merci de nous accueillir ici ce matin.
Comme le président l'a indiqué, je suis le surintendant principal Eric Stubbs, directeur général du Service national de la police criminelle de la GRC, ici à Ottawa. Mon collègue, le surintendant principal Jeff Adam, directeur général des Services d'enquêtes techniques, qui devait m'accompagner aujourd'hui, ne peut malheureusement être présent en raison d'un problème d'ordre opérationnel survenu ce matin. Il est spécialiste des questions liées à la cybersécurité. Heureusement, mon collègue de la Sécurité publique est aussi un spécialiste de la cybersécurité. J'espère que l'absence de mon collègue ne posera pas problème.
Je tiens à vous remercier de nous avoir invités à prendre la parole devant le comité tandis que vous examinez les questions d'ordre réglementaire et technique ayant trait au déploiement des véhicules connectés et automatisés.
En raison de la possibilité d'utilisation des véhicules automatisés par le grand public, la GRC s'intéresse vivement à la mise en œuvre de cette technologie et à la manière dont nous continuerons de faire appliquer certains éléments du Code criminel, des codes de la route provinciaux et de la Loi réglementant certaines drogues et autres substances, entre autres lois et règlements.
La question des véhicules connectés et automatisés évolue rapidement, ce qui a mené la GRC à se pencher sur la politique et les répercussions opérationnelles potentielles entourant cette avancée technologique.
Aujourd'hui, nous voulons vous faire part de certains défis qui se posent et d'éléments à prendre en considération, du point de vue de l'application de la loi, tandis que nous tentons de mieux comprendre ensemble les répercussions de ces véhicules sur la sécurité routière, sur la cybersécurité et sur les exigences législatives ou réglementaires.
L'industrie de l'automobile dit que les véhicules automatisés mèneront à la réduction de la probabilité de collisions entre véhicules. C'est une bonne chose. Toutefois, il faut se rappeler que la conduite d'un véhicule requiert la capacité de lire les panneaux de signalisation, de rouler dans diverses conditions météorologiques, de tenir compte des autres utilisateurs de la route, comme les cyclistes.
En fait, il y a la possibilité de risques accrus de collisions entre véhicules et piétons. Les véhicules automatisés seront vraisemblablement électriques, donc très silencieux, et ils pourraient ne pas être dotés de la capacité de déceler des mouvements subtils du corps ou du regard ou encore la distraction des piétons. Voilà quelques-unes des inquiétudes qui se posent quant à la réactivité des véhicules automatisés. Aussi, un certain nombre de défis intéressants pourraient se poser pour les policiers appelés à intervenir sur les lieux d'une collision mettant en cause un véhicule automatisé, notamment pour déterminer qui contrôlait le véhicule lors de la collision et, en fin de compte, établir qui est la personne à mettre en accusation s'il est déterminé que la voiture automatisée est celle ayant causé la collision.
Parce qu'elles mettent l'accent sur la sécurité routière, les forces de l'ordre canadiennes se réjouissent à l'idée de travailler avec l'industrie et avec les ministères fédéraux et provinciaux à l'élaboration de procédures policières et de pratiques exemplaires pour contribuer au maintien de la sécurité sur nos routes.
Les véhicules automatisés pourraient être utilisés pour faire subir de graves menaces à la police, aux infrastructures et à la sécurité publique. Les organismes policiers pourraient devoir être en mesure de désactiver des véhicules automatisés dans des circonstances exigeantes afin de sauver des vies. Il faudra donc explorer un programme de contre- mesures pour mettre les véhicules automatisés hors d'état de nuire.
Il existe aussi une possibilité que des personnes tentent de pirater des véhicules automatisés à des fins criminelles, par exemple la désactivation du système de freinage et de la direction, dans le but de causer intentionnellement des collisions. Une fois encore, les forces de l'ordre pourraient avoir besoin d'une façon d'intercepter et de stopper ces véhicules, dans l'intérêt de la sécurité publique.
Il pourrait s'avérer nécessaire de changer certaines lois pour assurer la sécurité des routes pour les Canadiens et atténuer le risque que des véhicules automatisés soient utilisés pour mener des activités criminelles. Il faudra peut-être envisager de modifier les articles du Code criminel se rapportant à la conduite dangereuse de véhicules à moteur causant la mort ou des lésions corporelles, à la négligence criminelle causant la mort ou des lésions corporelles et à la conduite avec facultés affaiblies.
Certains scénarios pourraient se produire et entraîner la nécessité de modifier la Loi réglementant certaines drogues et autres substances, par exemple si des trafiquants de drogue utilisent des véhicules automatisés pour livrer de la drogue dans nos collectivités.
En ce qui concerne les codes de la route provinciaux, il faudra se pencher sur les scénarios dans lesquels des véhicules ne respectent pas les codes de la route ou enfreignent certaines lois en raison de problèmes techniques. Tout en appuyant l'innovation et en améliorant les options de transport pour les Canadiens, il faudra créer des lois et des règlements pour déterminer comment les personnes ne possédant normalement pas de permis de conduire — notamment les jeunes et les personnes âgées ayant perdu leur permis de conduire — pourront utiliser les véhicules automatisés.
Une chose qui pourrait s'avérer avantageuse pour les forces de l'ordre et la sécurité publique serait de doter ces véhicules de la capacité de reconnaître les signaux des véhicules d'urgence afin de libérer la voie à l'approche des véhicules de première intervention. Pour les premiers intervenants, il serait alors beaucoup plus facile de répondre aux appels au 911 et d'atteindre rapidement leur destination.
Les organismes canadiens de l'application de la loi prennent des mesures afin de mieux faire connaître et de mieux comprendre cette technologie en émergence. Par conséquent, la GRC veut participer à l'effort de collaboration à tous les échelons du gouvernement et avec les intervenants de l'industrie pour aider à créer un environnement qui tient compte de ces considérations sur le plan de la sécurité publique et de l'application de la loi.
Je vous remercie de m'avoir donné l'occasion de prendre la parole devant vous aujourd'hui. Je serai heureux de répondre à vos questions.
Colleen Merchant, directrice générale, Direction de la cybersécurité nationale, Sécurité publique Canada : Monsieur le président, mesdames et messieurs les sénateurs, j'aimerais vous remercier d'avoir invité des représentants de Sécurité publique Canada à venir vous parler des enjeux de cybersécurité liés aux véhicules automatisés et connectés. Comme cela a été indiqué, je m'appelle Colleen Merchant. Je suis directrice générale de la Direction de la cybersécurité nationale à Sécurité publique Canada.
Avant de vous soumettre des observations précises sur les véhicules automatisés et connectés, j'aimerais rapidement exposer aux membres du comité des renseignements sur le rôle de Sécurité publique Canada, et plus particulièrement celui du Centre canadien de réponse aux incidents cybernétiques, ou CCRIC.
[Français]
En appui à la mission de Sécurité publique Canada qui consiste à bâtir un Canada sécuritaire et résilient, le Centre canadien de réponse aux incidents cybernétiques (CCRIC) contribue à la sécurité et à la résilience des cybersystèmes essentiels qui sous-tendent la sécurité nationale, la sécurité publique et la prospérité économique du Canada. En tant qu'équipe nationale d'intervention chargée de traiter les incidents informatiques, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, la préparation, l'intervention et le rétablissement en cas de cyberincident.
[Traduction]
Le CCRIC est un point de contact unique permettant aux propriétaires et aux exploitants d'infrastructure essentielle au Canada de signaler les cyberincidents au gouvernement du Canada.
Son personnel fournit un appui et donne des conseils, et il coordonne l'échange d'information et les interventions en cas d'incident, en plus de collaborer avec des partenaires au pays et à l'étranger pour régler les questions de cybersécurité.
[Français]
Le CCRIC s'efforce de comprendre le portrait des menaces cybernétiques qui planent sur le pays grâce aux renseignements connexes qu'il reçoit de ses partenaires de confiance, y compris les autres ministères, les organisations responsables des infrastructures essentielles et les partenaires internationaux.
[Traduction]
Le CCRIC communique à ses partenaires des renseignements par l'entremise d'avis automatisés aux victimes, du portail de la communauté du CCRIC, de téléconférences communautaires et des listes de distribution de produits techniques et exécutifs. Le CCRIC interagit régulièrement avec les ministères fédéraux dont le mandat comprend la cybersécurité, le plus souvent avec le Centre de la sécurité des télécommunications, le Service canadien du renseignement de sécurité, le Conseil de la radiodiffusion et des télécommunications canadiennes, le ministère de la Défense nationale, la Gendarmerie royale du Canada et Services partagés Canada.
Le CCRIC a également noué des liens avec Transports Canada et avec Innovation, Sciences et Développement économique Canada. D'ailleurs, fait pertinent pour la présente discussion, le CCRIC a récemment participé à un atelier sur les véhicules automatisés et connectés avec ces deux ministères. S'il faut reconnaître le potentiel des véhicules automatisés dans de nombreux domaines de la vie au Canada, les préoccupations que le gouvernement et le secteur privé portent une grande attention aux questions de cybersécurité afin que nous puissions tirer parti des avantages attendus de ces véhicules.
[Français]
L'automne dernier, Sécurité publique Canada a mené la première consultation fédérale sur la cybersécurité pour réaliser l'engagement prévu dans le mandat du ministre, lequel consiste à examiner de quelle manière le Canada protège son infrastructure essentielle et ses citoyens des menaces cybernétiques. Nous avons reçu plusieurs présentations portant sur les possibilités qu'offrent les véhicules automatisés de même que sur les risques potentiels qu'ils représentent pour la cybersécurité.
[Traduction]
L'industrie est consciente des risques potentiels de compromission. Ces risques sont notamment la compromission d'un véhicule par le truchement de ses systèmes connectés; compromission de plusieurs véhicules utilisant la communication entre véhicules et, enfin, la compromission de l'infrastructure technique qui sera mise en place pour soutenir l'exploitation des véhicules automatisés. S'il arrivait qu'un véhicule soit physiquement contrôlé par un tiers ayant un accès non autorisé à ses systèmes, il pourrait en résulter des collisions et, éventuellement, des blessures physiques aux passagers ou à des piétons. Dans le cas d'un véhicule commercial, il pourrait y avoir dégradation ou destruction des marchandises transportées.
[Français]
Les gouvernements et l'industrie connaissent aussi les risques possibles liés au vol de renseignements personnels qui sont présents dans le véhicule, chez les fournisseurs ou chez les exploitants de l'infrastructure essentielle connexe.
[Traduction]
Les voleurs, qui cherchent sans cesse de nouvelles façons d'augmenter leurs profits, pourraient alors revendre les données ainsi volées sur les marchés virtuels ou voler directement de l'argent par l'entremise des systèmes informatiques corrompus. Heureusement, comme l'ont souligné mes collègues de Transports Canada et d'Innovation, Sciences et Développement économique Canada, les compromissions de véhicules connectés demeurent pour l'instant un sujet de recherche.
[Français]
Bien entendu, toutes les nouvelles ne sont pas mauvaises. Des mesures peuvent être prises pour atténuer ces risques potentiels tout en assurant la réalisation des avantages associés aux véhicules automatisés et connectés. Certaines sont déjà en place, et Sécurité publique Canada a un rôle important à jouer à cet égard.
[Traduction]
L'atténuation des craintes liées à la cybersécurité des véhicules automatisés et connectés nécessitera des efforts coordonnés dans plusieurs secteurs, dont l'élaboration de règlements et de normes, la recherche ainsi que le signalement des vulnérabilités et des incidents.
En tant qu'équipe d'intervention en cas d'incident informatique nationale, le CCRIC est bien placé pour transmettre de l'information, comme des conseils en matière d'atténuation, des alertes et des avis aux propriétaires et aux exploitants de l'infrastructure essentielle. À titre d'intermédiaire de confiance et de guichet principal de signalement des incidents liés à la cybersécurité au sein du gouvernement, le CCRIC assume une fonction qui sera essentielle dans la communication opportune de renseignements sur les menaces cybernétiques liées aux véhicules automatisés et connectés avec les propriétaires et les exploitants de l'infrastructure essentielle et les partenaires de l'industrie. La campagne Pensez cybersécurité, dirigée par Sécurité publique Canada, sert quant à elle à informer le public sur les questions liées à la cybersécurité et aux pratiques exemplaires. Cette ressource pourrait un jour inclure des conseils à l'intention des citoyens pour assurer la cybersécurité de leur véhicule connecté.
[Français]
Parlant d'avenir, j'ai mentionné un peu plus tôt que Sécurité publique Canada avait récemment procédé à une consultation publique sur la cybersécurité. Les résultats de cette dernière contribuent à l'élaboration de la nouvelle approche du gouvernement canadien en matière de cybersécurité. Cette nouvelle approche repose sur une vision de l'avenir dans laquelle les entreprises, les organismes, les gouvernements et la population canadienne jouent un rôle actif dans le développement et le maintien de la résilience du pays en matière de cybersécurité.
[Traduction]
Pour s'adapter aux nouvelles technologies et à l'environnement de sécurité qui est en constante évolution, le gouvernement doit assumer un rôle de leader dans la protection de la population et de notre infrastructure essentielle. Il doit également encourager les entreprises et les particuliers à adopter des pratiques connexes qui sont à la fois responsables et favorables à l'innovation et à la prospérité. La nouvelle approche du Canada reconnaît l'importance d'agir dans plusieurs domaines afin d'obtenir un effet positif additionnel sur la cybersécurité des véhicules autonomes. Voici quelques secteurs d'intérêt dans lesquels des politiques pourraient être élaborées à cette fin : adopter des lois qui instaureraient des mesures relatives à la cybersécurité, lesquelles protégeraient les cybersystèmes qui font l'objet d'une réglementation fédérale, mais qui relèvent de la propriété privée et qui sont essentiels à la sécurité nationale et à la sécurité du public; accroître l'échange de renseignements entre le gouvernement et l'industrie sur les menaces et les vulnérabilités en matière de cybersécurité; établir des mesures pour appuyer l'innovation et augmenter la disponibilité des professionnels de la sécurité des technologies de l'information; trouver des façons d'intégrer la sécurité dans la conception des produits qui fonctionnent sur Internet, aussi connus sous le nom d'Internet des objets.
[Français]
De plus amples renseignements sur la nouvelle stratégie du Canada, les initiatives s'y rapportant et leur pertinence par rapport à la cybersécurité des véhicules automatisés seront offerts dans les semaines et les mois qui viennent. Sécurité publique Canada continuera de travailler, par l'entremise du CCRIC, avec Transports Canada et Innovation, Sciences et Développement économique Canada sur cet important enjeu.
[Traduction]
J'aimerais conclure mon intervention en vous remerciant de m'avoir offert l'occasion de venir vous parler aujourd'hui. C'est avec plaisir que je répondrai à vos questions.
Le sénateur Terry M. Mercer (président suppléant) occupe le fauteuil.
Le président suppléant : Je vous remercie tous les deux de ces excellents exposés. Nous commençons par la sénatrice Griffin.
La sénatrice Griffin : Nous avons au pays un problème qui pourrait toucher certaines régions plus que d'autres, soit le taux plutôt élevé d'analphabétisme fonctionnel. J'essaie de comprendre ce que cela pourrait signifier pour nous dans la nouvelle ère technologique dans laquelle nous vivons, surtout en ce qui concerne les véhicules connectés. Je constate que l'industrie aura de plus en plus de difficulté à trouver des professionnels qualifiés. À cela s'ajoutent, selon moi, les difficultés qu'éprouve le citoyen moyen par rapport à ces véhicules. À mon avis, il faudra beaucoup de formation, surtout pour les professionnels du domaine, et je ne suis pas certaine que le Canada est prêt. J'aimerais avoir votre avis là-dessus.
Mme Merchant : Comme je l'ai indiqué, nous venons de terminer une étude sur la cybersécurité au cours de laquelle nous avons mené une vaste consultation auprès de la population, des universitaires, des acteurs de l'industrie et de nos partenaires du gouvernement. Nous avons préparé un sondage en ligne, qui était essentiellement un document de consultation. Les questions portaient sur quatre sujets; 2 399 personnes ont répondu. Nous avons également reçu 90 mémoires. Les réponses que nous avons obtenues nous ont permis de constater qu'il existe de nombreux champs d'action, dont deux méritent d'être soulignés ici. D'abord, il convient d'accroître l'éducation et la sensibilisation du public sur les questions de cybersécurité; ensuite, il faut améliorer la formation offerte aux professionnels de la cybersécurité et de l'application de la loi. Ce sont deux des quatre thèmes de base pour lesquels nous avons reçu des commentaires. Par conséquent, nous accorderons évidemment une attention particulière à ces aspects à l'avenir.
M. Stubbs : En ce qui concerne la gestion du parc de véhicules automatisés, les gouvernements provinciaux devront peut-être demander aux instances de réglementation des véhicules de modifier et de mettre à jour les exigences pour l'obtention d'un permis pour les personnes qui voudront utiliser un véhicule autonome ou un véhicule connecté, de façon à ce qu'ils aient les connaissances adéquates pour utiliser ce type de véhicule sur les routes.
La sénatrice Griffin : C'est un bon point. Les responsables pourraient être passablement occupés, surtout si cela suscite un engouement réel, mais je crois qu'on pourrait se trouver avec deux catégories. D'abord, il y aura ceux qui veulent adopter les technologies les plus récentes, qui seront prêts à suivre une formation ou qui comprendront rapidement le fonctionnement des véhicules. L'autre catégorie sera formée de gens plus âgés qui ont conduit toute leur vie et qui voudront garder leur véhicule actuel ou un véhicule semblable.
J'aime votre commentaire sur la collaboration avec les provinces. Je suppose que vous parlez d'une réelle collaboration avec les provinces et que vous ne vous contenterez pas de leur confier cette responsabilité.
M. Stubbs : Vous pouvez en être assurée.
[Français]
Le sénateur Cormier : Merci de vos présentations. Ma question s'adresse à Mme Merchant. Vous avez mentionné que le gouvernement travaillait avec l'industrie sur la question des menaces et de la vulnérabilité en matière de cybersécurité. Comment le gouvernement du Canada, votre ministère ainsi que les autres ministères collaborent-ils avec le secteur privé de l'automobile, compte tenu du haut taux de compétitivité qui existe entre les différents constructeurs automobiles?
[Traduction]
Mme Merchant : Le CCRIC n'a pas de lien comme tel avec le secteur de l'automobile. Toutefois, nous travaillons en étroite collaboration avec Transports Canada — qui a ce lien — et, par conséquent, avec le secteur de l'automobile, de façon à favoriser une compréhension adéquate des enjeux de cybersécurité liés à l'industrie de l'automobile.
Les consultations menées dans le cadre de notre étude sur la cybersécurité nous ont aussi permis de constater le vif intérêt que suscitent l'élaboration et la promotion de normes et de pratiques exemplaires, et les questions liées à la certification et aux mesures législatives. Nous porterons donc une attention particulière à ces enjeux au fil de l'évolution des véhicules automatisés et connectés.
Le président suppléant : La sénatrice Griffin a soulevé la question de la formation et mentionné que ce n'est peut-être pas une forme acceptable au Canada. Je rappelle aux membres, puisque personne autour de cette table n'a participé à ce voyage, que le comité s'est rendu en Estonie dans le cadre d'une étude sur une société sans papier. Nous avons découvert qu'après la chute du mur de fer, lorsque le pays est devenu indépendant, l'Estonie a tenté de devenir un pays sans papier. On y utilise très peu de papier. Impossible d'écrire un chèque en Estonie, car personne ne sait quoi faire avec ce document. Nous avons visité un des centres de formation du pays où l'on enseigne aux citoyens comment utiliser — pour employer la terminologie canadienne — une carte de débit pour tout payer, y compris pour acheter un journal dans une boîte à journaux ou faire un appel téléphonique. Nous nous sommes rendus dans une école primaire où les jeunes de 3e et de 4e année utilisaient leur propre carte de débit pour acheter leur repas du midi et leur billet d'autobus.
Donc, il existe des centres de formation qui fonctionnent. À l'époque, les autorités en Estonie nous ont dit que les centres de formation étaient ouverts aux personnes de tous les âges, y compris les personnes âgées, car depuis que le pays a adopté la voie du sans papier, c'est un problème pour tout le monde. Tous les citoyens devaient apprendre comment utiliser correctement une carte de débit.
Le sénateur Runciman : Merci, monsieur le président. Ma question s'adresse au surintendant principal. Peut-être en avez-vous parlé et je ne vous ai pas entendu, mais, selon vous, compte tenu de la technologie sur le marché, les autorités policières devraient-elles disposer de la technologie nécessaire pour prendre le contrôle des systèmes informatiques des véhicules? Si oui, quelle est votre opinion concernant les conséquences de cette prise de contrôle sur la vie privée des citoyens? Aussi, quels changements législatifs faudrait-il apporter pour permettre une telle prise de contrôle?
M. Stubbs : Merci, sénateur. Concernant la capacité de prendre le contrôle d'un véhicule automatisé, j'ai mentionné qu'il faudrait examiner l'option d'un programme de contre-mesures. Évidemment, il faudrait étudier tous les scénarios hypothétiques et, selon les circonstances, en ayant à l'esprit la sécurité du public, il serait peut-être utile que nous ayons la capacité d'arrêter un véhicule grâce à un appareil conçu à cette fin. Ce serait dans des situations très extrêmes, mais c'est une possibilité. Encore une fois, ce sont des avenues qu'il faudrait explorer en collaboration avec l'industrie pour nous assurer d'avoir la capacité de prendre le contrôle de ces systèmes.
Nous vivons une situation semblable avec les UAV, notre programme de drones. Nous examinons les contre- mesures qui nous permettraient de prendre le contrôle des appareils déjà en circulation. Nous travaillons à ce programme et je crois que nos besoins sont sensiblement les mêmes concernant l'industrie des UAV et des véhicules automatisés.
Nous devrons également examiner la question de la vie privée des citoyens. Il est aussi question de la quantité de données personnelles enregistrées dans les systèmes des véhicules automatisés et de l'accès à ces données, que ce soit pour des raisons de sécurité nationale ou à la suite d'un accident de la route. Il a même lieu de se demander si nous devrions avoir accès à ces données. Devons-nous d'abord obtenir un mandat de perquisition? C'est certainement une chose qu'il faudra examiner.
Le sénateur Runciman : Les conséquences sont si nombreuses. Vous avez tous les deux parlé de consultation avec l'industrie. J'aimerais connaître la réaction de l'industrie à l'idée qu'il faudrait adopter une approche privilégiant la sécurité au moment d'installer ce genre de technologie à Ottawa. L'industrie est-elle réceptive? Est-ce un sujet abordé dans le cadre de ces consultations?
M. Stubbs : Je peux commencer. La semaine dernière, j'ai eu l'occasion de rencontrer des représentants de l'industrie et nous avons abordé le sujet. L'importance que l'industrie accorde à la sûreté et à la sécurité des véhicules a certainement raffermi ma confiance.
C'est un aspect prioritaire pour l'industrie auquel elle accorde de l'importance, ce qui a certainement raffermi ma confiance.
Mme Merchant : Notre processus de consultation ne portait pas précisément sur l'industrie automobile. C'était plus général. Par contre, je dois admettre que j'ai été un peu surprise par l'intérêt des intervenants, même dans le secteur privé, pour l'établissement et la promotion de ces normes, pratiques exemplaires et certifications, y compris la législation. Donc, de façon générale, l'idée a été bien accueillie.
Le sénateur Runciman : On me dit qu'il existe sur le marché une technologie moderne de la sécurité et de la vérification numérique de l'identité. Est-ce le genre de technologie que le gouvernement devrait obliger les fabricants d'automobiles à installer dans leurs véhicules avant de pouvoir les vendre?
M. Stubbs : Nous appuyons certainement toute mesure qui permet d'accroître la sûreté et la sécurité de ces véhicules sur la route.
Le sénateur Runciman : J'ai lu un article dans le cadre de mes recherches en vue de cette séance. Lorsque je parle de l'éventail de conséquences... vous dites que les seules fois où un véhicule branché a été compromis, c'est dans un environnement de recherche, mais nous avons appris qu'au Texas, des individus ont réussi à avoir accès aux porte-clés de voitures et à voler plus de 100 voitures. Ils ont eu accès à l'information nécessaire par l'entremise d'ateliers de réparation qui disposaient de cette information et qui ont vendu cette information aux individus en question. C'est le genre de conséquences avec lesquelles les gouvernements, autorités policières et agences de sécurité devront composer.
Le sénateur Michael L. MacDonald (vice-président) occupe le fauteuil.
Le sénateur Mercer : J'imagine que la situation dont vient de parler le sénateur Runciman est déjà possible, si des individus mal intentionnés peuvent obtenir l'information nécessaire auprès des ateliers de réparation, et l'on ne parle pas des véhicules sans conducteurs ou automatisés.
Nous n'avons pas parlé de la différence entre les véhicules automatisés et branchés, mais bon nombre d'entre nous avons appris dernièrement la différence entre ces deux types de véhicules. Les questions de sécurité sont différentes.
Ce qui m'inquiète, c'est que la plupart des véhicules branchés seront utilisés dans le transport en commun. Nous en avons eu un exemple lors de notre visite à Edmonton. C'est très impressionnant. Si un individu assis dans son sous-sol avec rien d'autre à faire que s'amuser réussit à infiltrer le réseau de voitures sans conducteurs — les véhicules automatisés —, il pourrait causer beaucoup de dégâts. Des témoins nous ont parlé de flottes de camions de transport sans conducteurs. Quelqu'un pourrait infiltrer le réseau et arrêter ces camions ou perturber leurs déplacements.
Imaginez, surintendant principal Stubbs, les maux de tête pour la PPO si 20 semi-remorques s'arrêtaient soudainement sur la 401 ou faisaient autre chose qui perturberait la circulation sur cette autoroute? Ce ne serait pas une attaque contre une autoroute, mais bien une attaque contre l'économie du pays. Comment ferez-vous pour contrer de telles attaques? Quelle est votre solution à ce problème?
M. Stubbs : Au fur et à mesure que les choses évoluent — et elles évoluent rapidement —, les autorités policières seront continuellement confrontées aux individus qui souhaitent pirater, non seulement les véhicules, mais aussi les réseaux. C'est une tâche perpétuelle.
Comme pour la situation dont nous avons parlé précédemment, nous devons travailler avec l'industrie et le gouvernement pour comprendre ce qui se passe, quels réseaux ou systèmes peuvent être infiltrés et quelles seraient les conséquences potentielles de telles infiltrations.
Malheureusement, comme c'est le cas dans la plupart des incidents, nous sommes en mode réactif lorsque survient un incident sur la 401. Il faudra certainement faire un effort considérable pour travailler avec l'industrie afin de comprendre la situation.
S'il y a lieu, nous ou l'industrie pourrions prendre le contrôle de tels véhicules. Je sais que certains ont mentionné que l'industrie — les principaux fabricants de ces véhicules — pourrait mettre sur pied un centre pour surveiller leurs véhicules sur la route et peut-être intervenir dans de telles situations. L'interaction entre l'industrie et les autorités policières à cet égard reste encore à définir.
Le sénateur Mercer : J'ignore comment les Canadiens réagiraient. Je conduis une Jeep. Je ne suis pas très enthousiaste à l'idée que Chrysler suive mes déplacements en Nouvelle-Écosse. Je préférais que ce soit la GRC. Je suis plus à l'aise à interagir avec la GRC qu'avec un concessionnaire automobile qui cherche à me vendre un véhicule ou qui veut savoir si j'ai abusé du véhicule que je veux donner en échange. Ça me semble un sujet plus inquiétant.
Que fait la GRC pour être concurrentielle? Des rapports et documents publiés récemment montrent assez clairement que les membres de la GRC sont considérablement moins bien payés que leurs homologues d'autres forces policières au pays et dans le monde. Comment faites-vous pour être concurrentiel?
Il est question d'embaucher des gens qui comprennent la haute technologie et qui savent comment contrer les pirates informatiques, comment anticiper de telles attaques et trouver des façons d'identifier ces attaques et de les neutraliser. Comment réussirez-vous à attirer ces gens si vous n'offrez pas un salaire concurrentiel à celui que pourrait leur offrir Chrysler?
M. Stubbs : Évidemment, la rémunération de nos membres est une question litigieuse et je crois que l'ensemble de la GRC le sait. Je ne suis pas disposé aujourd'hui à aborder la question, mais des processus sont en cours pour tenter de remédier à la situation.
Évidemment, nous participons activement au recrutement et maintien en poste de spécialistes de la cybersécurité, des gens qui s'y connaissent. Nous menons actuellement une campagne de recrutement agressive. J'étais au dépôt la semaine dernière. Il était stimulant de voir l'endroit plein de troupes actives. J'y ai assisté à une remise de diplôme.
Beaucoup de gens souhaitent se joindre à notre organisation. Encore une fois, le recrutement de gens ayant ces compétences spécialisées demeure un défi.
Le sénateur Mercer : C'est une bonne nouvelle de savoir que le dépôt est plein. C'est la première fois depuis longtemps qu'on nous dit qu'il y a un effectif complet de cadets au dépôt. C'est une bonne nouvelle.
J'aurais une question de nature pratique à vous poser. Quelqu'un a parlé des accidents impliquant des voitures sans conducteur. Disons qu'il y a un incident et que quelqu'un appelle la police ou les premiers répondants. Comment réagiront les premiers répondants lorsqu'ils arriveront sur les lieux d'un accident impliquant une voiture sans conducteur? Qui est responsable du véhicule?
M. Stubbs : Sénateur, c'est une question qui doit être examinée et réglée. Il existe de nombreux scénarios possibles.
Nous vivons déjà ce genre de situation lorsqu'une personne impliquée dans un accident avec un véhicule normal fuit les lieux de l'accident. S'il n'y a personne sur les lieux, il faut déterminer qui était au volant et les causes de l'accident. C'est un peu la même chose.
Si un véhicule sans conducteur est impliqué dans un accident, est-ce le fabricant qui est responsable si l'accident a été causé par une défectuosité mécanique? Est-ce le propriétaire du véhicule? Est-ce la personne qui a programmé la voiture pour le trajet du point A au point B?
Le sénateur Mercer : Que se passe-t-il si le véhicule est piraté? Qui est responsable? Est-ce le pirate? Est-il responsable des dommages causés?
M. Stubbs : La personne qui utilise ou qui a programmé le véhicule a-t-elle piraté le véhicule et pris le contrôle des fonctions essentielles à la conduite, comme les freins et le mécanisme de direction, et causé un accident? Ce sont des points qu'il faudrait déterminer.
C'est la même chose si quelqu'un vol un véhicule et est impliqué dans un accident. Habituellement, le propriétaire du véhicule n'est pas responsable si le voleur accidente le véhicule. Il faudrait établir des parallèles avec ce genre de situation, mais il est clair qu'il faut examiner davantage la question.
Le sénateur Mercer : Nous avons beaucoup de travail à faire.
La sénatrice Bovey : Merci pour ces exposés. Ce sont des questions intéressantes, interreliées et très complexes.
J'aimerais revenir sur quelques points que d'autres ont soulevés. Nous savons qu'en Californie, les autorités policières ont fait des projections selon lesquelles elles n'auront pas besoin d'autant d'agents — peut-être se trompent- elles —, ce qui pourrait entraîner des pertes d'emploi. Avez-vous examiné la question, peut-être pas de l'angle de la perte d'emploi, mais peut-être de l'angle d'un changement de poste au sein de la GRC ou du recyclage? L'aspect recyclage me préoccupe.
Cela nous ramène aux subventions de recherche. En 2014, des subventions de recherche ont été accordées à divers projets liés à ce dossier et j'aimerais savoir où sont passées ces subventions et quels travaux ont été réalisés grâce à elles.
M. Stubbs : Concernant les pertes d'emplois, ce serait hypothétique de faire des prévisions quant à l'impact que tout cela pourrait avoir sur l'effectif. Évidemment, au fil des ans, il y aura un mélange de véhicules traditionnels et de véhicules branchés sur les routes et, peut-être aussi, des véhicules automatisés. Il faudra attendre pour voir les conséquences.
Dorénavant, les chefs de police du Canada, de l'Amérique du Nord, voire, du monde devront évaluer la situation et garder un œil sur la sécurité routière et ajuster l'effectif en conséquence s'il y a une augmentation des problèmes liés à la sécurité routière, une baisse des besoins en matière d'application des règles de vitesse ou une augmentation des comportements erratiques ou du nombre d'accidents. Ils devront s'ajuster ou modifier leurs priorités en matière d'affectation des ressources.
Évidemment, il est toujours possible de réaffecter des ressources à d'autres secteurs. Il y aura peut-être plus de réaffectation de ressources que de pertes d'emplois.
La sénatrice Bovey : Est-ce un aspect dont vous tenez compte dans votre recrutement? Examinez-vous les changements possibles liés à l'arrivée de ces véhicules?
M. Stubbs : Non. Nous ne tenons pas compte de l'impact potentiel des véhicules automatisés dans nos efforts de recrutement.
La sénatrice Bovey : Concernant les subventions de recherche offertes par le gouvernement fédéral, est-ce que des subventions ont été accordées dans le cadre du Programme de coopération en matière de cybersécurité qui offre des bourses de recherches en appui à des projets?
Mme Merchant : Oui. D'ailleurs, nous recevons 300 000 $ par année de ce programme et nous venons tout juste de lancer une nouvelle demande de propositions. Nous en avons lancé 21, ce qui est beaucoup pour ce programme, car les fonds ne sont pas élevés. Ce programme est toujours en vigueur.
À ma connaissance, aucune demande de proposition jusqu'à maintenant ne portait uniquement sur les véhicules branchés ou automatisés.
La sénatrice Bovey : Ces fonds sont-ils remis à des universités ou à des entreprises de l'industrie?
Mme Marchant : Les deux.
Le sénateur Eggleton : J'aimerais parler de la préparation des gouvernements du pays à l'égard de ces véhicules et des mécanismes et structures en place pour composer avec tout cela. J'ai parlé de plusieurs entités au sein du gouvernement fédéral — chacun de vous en représente une — qui jouent un rôle sur le plan des enjeux associés aux véhicules automatisés et branchés, de la législation, de la réglementation, bref, de tous les aspects associés à ces véhicules.
Nous savons que, au sein des gouvernements, le cloisonnement domine. Ce dossier requiert une grande réflexion horizontale et pangouvernementale impliquant tant le gouvernement fédéral que les gouvernements provinciaux. Je me demande quelles structures additionnelles nous devons mettre en place.
La réponse à la question concernant les discussions avec l'industrie m'a préoccupé. Madame Merchant, vous avez dit que vous ne parliez pas directement aux gens de l'industrie, mais que le ministère des Transports leur parlait. Ensuite, le surintendant principal a dit qu'il voulait participer au processus, mais je n'ai pas eu l'impression que ce genre de participation était rendue possible pour tous les aspects du dossier.
Je me demande comment nous pourrions faire adopter une approche pangouvernementale par rapport à ce dossier. À qui devrait-on confier le rôle d'intervenant principal pour favoriser la circulation d'information entre les divers organismes gouvernementaux et l'industrie?
Je sens que la situation évolue assez rapidement. Les Américains ont mené des études et ils semblent avoir mieux coordonné la communication entre les divers acteurs. Nous pourrions suivre leur exemple et celui d'autres pays aussi. Nous n'avons pas à réinventer la roue parce que tous les pays développés vivent ou vivront la même situation. Je me demande quels mécanismes ou quelles structures nous devons mettre en place pour permettre l'adoption d'une approche horizontale et pangouvernementale, ainsi que pour faire en sorte que tous les acteurs qui doivent travailler ensemble le font.
Mme Merchant : Je ne pense pas que la situation soit aussi grave qu'elle le semble peut-être. Je tiens à souligner que j'ai dit qu'en ce moment, nous n'avons pas de relation officielle avec l'industrie des transports. Toutefois, évidemment, nous échangeons avec les intervenants de l'industrie. Le CCRIC collabore avec au-delà de 1 000 partenaires desquels il obtient des renseignements sur les menaces, quand c'est possible.
Le ministère des Transports a une relation officielle en vertu du Plan d'intervention d'urgence du gouvernement fédéral. Plusieurs ministères entretiennent des relations officielles avec l'industrie, ainsi qu'avec les propriétaires et les exploitants d'infrastructures essentielles, par exemple, le ministère des Transports pour les transports, le ministère des Finances pour les banques et RNCan pour le secteur énergétique.
Quant à la façon dont le gouvernement doit s'organiser à l'interne pour gérer le dossier, c'est tout à fait vrai que nombre de ministères et d'organismes sont concernés d'une façon quelconque par la cybersécurité. Le cyber est omniprésent; c'est donc difficile de ne pas être touché.
Notre structure de gouvernance est assez bien coordonnée. Elle intègre toute la hiérarchie, jusqu'à l'échelon du sous- ministre. Elle réunit la plupart des représentants qui s'intéressent à la cybersécurité ou qui jouent un rôle dans ce dossier au sein du gouvernement fédéral, en collaboration avec les provinces, les territoires et le secteur privé. C'est principalement de ces discussions que les recommandations relatives aux questions opérationnelles et stratégiques sont issues.
Nous organisons aussi des réunions sur la cybersécurité avec les provinces et les territoires; les participants vont jusqu'à l'échelon du sous-ministre.
M. Stubbs : J'appuie les remarques de Mme Merchant. Les organismes doivent absolument s'organiser pour aller de l'avant.
J'en ai parlé brièvement, mais Transports Canada a organisé une réunion à laquelle il a convié les directeurs généraux de maints organismes gouvernementaux pour se pencher sur l'industrie du drone ou des UAV, qui a évolué assez rapidement. J'ai siégé au comité pendant quelques années. Nous avons travaillé ensemble pour essayer de maîtriser — je ne veux pas dire « l'épidémie », parce que c'est péjoratif — la prolifération de l'utilisation de drones par la population générale. Nos efforts ont mené à l'élaboration des règles sur l'utilisation des drones à des fins récréatives que le ministre Garneau a annoncées le mois dernier. J'ai participé à la conférence de presse qu'il a donnée à l'aéroport Billy Bishop pour faire cette annonce. Nous avons bien travaillé ensemble — Transports Canada, nous et les autres organismes concernés — pour réagir assez rapidement à cette technologie émergente en pleine évolution.
D'après moi, on pourrait procéder de la même façon pour l'industrie qui nous occupe afin d'assurer la participation de l'ensemble du gouvernement et aussi de nos partenaires provinciaux.
Le sénateur Eggleton : Il y a beaucoup de consultations, mais qui les dirige? Qui est à la tête du programme? Qui en assure la coordination? Qui est responsable?
Mme Merchant : Sécurité publique est responsable de la coordination dans l'ensemble du gouvernement. Toutefois, un des points qui a été soulevé durant les consultations, c'est que, bien qu'il y ait de la coordination, c'est difficile de savoir à qui signaler quelque chose, par exemple. À qui signale-t-on un cybercrime ou une menace, un incident ou une attaque? Aussi, quand quelque chose est signalé, il arrive que plusieurs ministères réagissent, étant donné les mandats divers des ministères. Votre question est très pertinente.
Le sénateur Eggleton : Il faudrait l'approfondir. Merci.
[Français]
La sénatrice Saint-Germain : Avant de poser ma question, j'aimerais souligner qu'aujourd'hui, le Sénat reçoit un certain nombre d'étudiantes dans le cadre du programme À voix égales, de l'Université Carleton. J'ai donc le plaisir d'être accompagnée d'une étudiante qui s'intéresse beaucoup à la gouvernance politique, comme ses collègues. J'aimerais féliciter les responsables de ce programme à l'université, parce qu'un jour, peut-être, parmi les stagiaires d'aujourd'hui, on retrouvera de futurs sénateurs qui seront bien préparés.
Je vous remercie de vos interventions qui sont très intéressantes. Pour faire suite à la question du sénateur Eggleton, j'ai une préoccupation liée au rôle de prévention que doivent jouer le Parlement, comme législateur, et le gouvernement, qui travaillent ensemble dans l'intérêt public. Vos deux présentations et les présentations précédentes ont mis en évidence un mot qu'on a entendu très souvent : « réagir ». Il faudra réagir. En termes législatifs, ne faudrait- il pas agir dès maintenant pour prévenir et être plus coercitif?
Vous avez soulevé les enjeux liés à des amendements futurs au Code criminel, notamment en ce qui concerne la prévention, les enjeux liés à la sécurité routière et ceux qui sont liés à d'éventuelles modifications à la Loi réglementant certaines drogues et autres substances. Cela m'apparaît clair et plus facile malgré tout, mais n'y a-t-il pas lieu de prévoir des lois suivies de réglementations coercitives à l'égard des fabricants, notamment en ce qui concerne l'adaptation des véhicules, afin de mieux prévenir les abus en exigeant un contrôle à distance? Sans blâmer l'industrie, il y a des coûts inhérents à ces exigences, et peut-être que l'industrie n'accorde pas la priorité à ces enjeux en raison des coûts, mais c'est le rôle du gouvernement et du législateur d'axer leurs efforts sur la prévention et l'intérêt public. Ne faudrait-il pas légiférer de manière plus coercitive afin que les fabricants produisent des voitures qui répondront aux meilleures normes de sécurité publique?
[Traduction]
M. Stubbs : Nous appuierions toute tentative du Parlement d'élaborer des lois qui amélioreraient la sécurité des véhicules automatisés ou branchés. J'ai mentionné brièvement que lorsque j'ai rencontré les gens de l'industrie, j'ai été impressionné par l'accent qu'ils placent sur la sécurité de leurs produits. Si nous voulons nous fonder sur cette préoccupation pour collaborer avec eux aux fins de prévention dans le but d'assurer la sécurité des véhicules sur la route et la sûreté des Canadiens, d'après moi, ce processus pourrait commencer n'importe quand et il devrait commencer maintenant afin que tout le monde collabore à l'atteinte de cet objectif.
[Français]
La sénatrice Saint-Germain : Qui sera responsable, qui sera le leader? À l'heure actuelle, il y a un comité de concertation, des sous-ministres et des sous-ministres adjoints. Qui réfléchit à cette question en ce moment? Les voitures se fabriquent. Je reprends une expression en français : « Il ne faut pas laisser passer le train ». Il ne faut pas laisser passer la voiture électrique non plus. Il me semble qu'il y aurait dès maintenant des éléments de législation à faire adopter. Qui serait ce leader? Y a-t-il des concertations avec les autres gouvernements, notamment celui des États- Unis, pour harmoniser ces lois qui seraient de nature préventive?
[Traduction]
M. Stubbs : Qui sera responsable, et pouvons-nous faire quelque chose maintenant? Comme je viens de le dire, je pense qu'il conviendrait de commencer maintenant. La technologie existe et elle évolue; il serait donc recommandé de prévenir plutôt que de réagir. Pour ce qui est de nommer un responsable parmi les organismes gouvernementaux, je ne voudrais pas lier un autre organisme que le mien. Toutefois, selon les exemples de collaboration dont j'ai été témoin depuis que je suis ici, je pense que la réponse, c'est qu'un organisme assumera le rôle de responsable et lancera le processus visant à faire adopter une approche pangouvernementale.
Le vice-président : Voilà qui met fin aux questions. Je remercie M. Stubbs et Mme Merchant de leur participation.
Mesdames et messieurs, je suis ravi de vous présenter nos prochains témoins : M. Richard Pierson, directeur général de la Cyberdéfense, et M. Scott Jones, chef adjoint de la Sécurité des technologies de l'information, tous deux du Centre de la sécurité des télécommunications, le CST.
Le CST est l'organisme national de cryptologie du Canada. Il fournit des services en sécurité des technologies de l'information au gouvernement du Canada, ainsi qu'une assistance technique et opérationnelle aux organismes fédéraux chargés de l'application de la loi et de la sécurité.
Merci d'être des nôtres. Je vous prie de commencer votre exposé, après quoi les sénateurs vous poseront des questions.
Scott Jones, chef adjoint, Sécurité des TI, Centre de la sécurité des télécommunications : Bonjour, monsieur le président, bonjour, distingués membres du comité. Je suis Scott Jones, chef adjoint de la Sécurité des TI au Centre de la sécurité des télécommunications Canada. Comme monsieur vient de le dire, M. Richard Pierson, directeur général de la Cyberdéfense, m'accompagne aujourd'hui. Nous sommes heureux de pouvoir participer à votre étude sur les questions techniques et réglementaires liées à l'arrivée des véhicules branchés et automatisés.
L'introduction de la prochaine génération de véhicules munis d'une plus grande connectivité sans fil et de capacités de conduite automatique est imminente; de fait, elle est déjà amorcée. C'est pourquoi il est opportun et important de se pencher sur les questions réglementaires et techniques qui entoureront l'arrivée de ces véhicules.
[Français]
Comme l'ont mentionné d'autres témoins, la jonction de ces technologies pourrait représenter pour le Canada et les Canadiens de nombreux avantages économiques et sociaux. On pense entre autres à l'amélioration des déplacements des biens et services, et à une plus grande sécurité sur nos routes. D'un autre côté, nous risquons d'être plus vulnérables en nous exposant aux cybermenaces d'États-nations, de criminels, de terroristes et de pirates informatiques qui chercheront à exploiter ces nouvelles technologies du transport pour des motifs différents : pour l'argent, pour créer le chaos, ou seulement parce qu'ils en ont l'occasion.
À titre de chef de la Sécurité des TI pour le principal organisme technique chargé de la cybersécurité du gouvernement, mon objectif ce matin est de vous expliquer le rôle essentiel joué par la cybersécurité pour protéger le Canada et les Canadiens contre les cybermenaces. Comme il s'agit de mon premier témoignage devant ce comité, j'aimerais tout d'abord vous mettre en contexte et vous parler du CST, des activités de l'organisme et de la manière dont nous exécutons ces activités.
[Traduction]
Le CST est l'un des principaux organismes de sécurité et de renseignement du Canada. Le mandat et les pouvoirs du CST sont énoncés dans la Loi sur la défense nationale, et l'organisme relève du ministre de la Défense nationale. Notre mandat compte trois volets. La partie A comprend la collecte de renseignement étranger, en conformité avec les priorités du gouvernement du Canada en matière de renseignement. Le deuxième volet de notre mandat, la partie B, autorise le CST à fournir des avis, des conseils et des services pour aider à protéger les renseignements électroniques et les infrastructures d'information importantes pour le gouvernement du Canada. Ce sont les activités du CST dont je suis responsable. Enfin, le troisième volet de notre mandat, la partie C, consiste à fournir de l'assistance technique et opérationnelle aux organismes fédéraux chargés de l'application de la loi et de la sécurité, dans l'exercice des fonctions que la loi leur confère.
En ce qui a trait à la cybersécurité, nous misons sur notre expertise technique du cyberespace pour défendre activement les systèmes du gouvernement fédéral en les surveillant afin de repérer les cybermenaces complexes et d'agir pour les neutraliser. En outre, le CST contribue à soutenir le secteur privé, particulièrement les exploitants d'infrastructures essentielles, en fournissant de l'information, des outils avancés et des conseils en matière d'atténuation des cybermenaces.
[Français]
Nos réseaux sont de plus en plus interreliés et les aspects de notre quotidien qui dépendent de la connectivité se multiplient sans cesse. On peut donc s'attendre à ce que les cybermenaces aient des conséquences de plus en plus graves. Les véhicules connectés et automatisés deviendront sans doute des cibles de choix pour de nombreux auteurs de menaces, ce qui les rendra particulièrement vulnérables aux vols et aux infractions de toutes sortes. La cybersécurité est essentielle dans l'environnement dynamique des cybermenaces.
Nous croyons que, pour accroître la cybersécurité, il faut former et sensibiliser adéquatement les intervenants. C'est pourquoi nous avons élaboré les 10 meilleures mesures de sécurité des TI, pour réduire l'exposition aux menaces et les vulnérabilités, entre autres, du gouvernement. La liste se trouve sur notre site web, ainsi qu'une panoplie de conseils, d'avis et d'alertes. Nous avons récemment pris des mesures pour sensibiliser davantage le public, notamment en lançant un compte Twitter, en publiant plus de contenu sur notre site web et en produisant des vidéos publiques au sujet de nos activités de cyberdéfense.
[Traduction]
Évidemment, les questions de cybersécurité relatives aux véhicules branchés et automatisés pourraient avoir des répercussions physiques prononcées dans le monde réel. C'est pour cette raison que nous sommes ici aujourd'hui.
Malheureusement, il est impossible pour une entité unique de combattre seule toutes les cybermenaces. Nous sommes tous responsables de la cybersécurité et nous devrons compter sur la coopération, l'expertise et l'innovation pour protéger la sécurité du Canada et des Canadiens. Merci de nous donner l'occasion de participer à votre étude. Maintenant, mon collègue et moi serons ravis de répondre à vos questions.
Le vice-président : Merci, messieurs.
La sénatrice Griffin : Merci. Votre exposé était très intéressant. Je suis tout à fait d'accord avec vous que la formation et la sensibilisation seront essentielles au renforcement de la cybersécurité. Quelle a été l'ampleur des consultations menées auprès des provinces et des territoires concernant la cybersécurité, surtout par rapport à l'avenir des véhicules automatisés, par exemple?
M. Jones : Nous participons à de nombreux forums intersectoriels, notamment avec les provinces et les territoires. De fait, il y a quelques semaines, j'ai eu une discussion avec les DPI de divers territoires et provinces.
Toutefois, concernant les thèmes généraux de la cybersécurité, nous n'avons pas encore vraiment creusé la question des véhicules autonomes. Nous examinons plutôt les mesures générales que nous allons prendre pour protéger les renseignements, principalement sur le plan de la protection des renseignements personnels qui nous sont confiés.
Cela dit, d'après moi, avec les véhicules autonomes, la réalité physique de la menace et l'élément intangible de la cybersécurité, que les gens n'ont pas encore saisi, convergeront. Maintenant que ce sont nos voitures, maintenant que c'est quelque chose de tangible et de visible, je pense que nous allons pouvoir accroître nos activités de sensibilisation, mais nous en sommes encore aux toutes premières étapes sur ce plan.
La sénatrice Griffin : Je ne sais pas si vous avez entendu les deux témoins précédents, mais par rapport à la formation donnée aux conducteurs pour les préparer à cela, le représentant de la GRC a dit que les provinces devront peut-être être prêtes à faire subir des essais additionnels aux nouveaux conducteurs qui cherchent à obtenir un permis et aux conducteurs expérimentés qui veulent renouveler leur permis. Cette obligation aura des incidences majeures sur les provinces, et il devra y avoir beaucoup de coopération non seulement entre les provinces, mais aussi de la part du gouvernement fédéral. On ne peut pas rejeter l'entière responsabilité sur les provinces. Il y aura beaucoup de travail à faire.
M. Jones : Vous avez tout à fait raison. C'est la caractéristique principale de la cybersécurité en général : elle concerne non seulement le gouvernement fédéral et les autres ordres de gouvernement — les provinces, les territoires et les municipalités seront évidemment très touchés —, mais aussi le secteur privé, les constructeurs d'automobiles et les citoyens mêmes. Nous devons tous connaître les différentes menaces et le rôle que nous devons jouer par rapport aux véhicules. Pour la première fois, nous avons essentiellement des téléphones intelligents dotés de roues que nous devons mettre à jour pour des raisons non seulement de performance, mais aussi de sécurité.
Comment faire pour relier tous les différents systèmes? Je pense que ce sera très compliqué, car, malheureusement, à l'heure actuelle, la sécurité influe sur la commodité. Il devra y avoir une bonne discussion pour trouver une façon d'établir un équilibre qui permette de protéger à la fois la sécurité et la commodité.
La sénatrice Griffin : En outre, il y a beaucoup de gens qui réparent des voitures, qui possèdent de petites entreprises privées. Ce ne sont pas des concessionnaires ou des entreprises majeures. Nous devons aussi songer à ce groupe-là. C'est là que les choses se corsent, car au Canada, l'industrie de la réparation de véhicules génère 91 milliards de dollars. Les habitants des régions rurales pourraient se retrouver avec peu d'endroits où faire faire des réparations. Ils seront obligés de se rendre à la grande ville la plus proche simplement parce qu'on les aura exclus. C'est donc une question très vaste. La cybersécurité aura beaucoup de répercussions sur les gens. Si j'achète une voiture d'occasion ou si je veux faire réparer ma voiture dans un garage privé près de chez moi, ce sont toutes des questions qui me concerneront en ma qualité de citoyenne. Merci.
[Français]
La sénatrice Saint-Germain : Je vous remercie de votre présentation, et de vous être exprimé en français.
Les analystes de la Bibliothèque du Parlement nous accompagnent dans notre étude, et ils ont attiré notre attention sur un rapport publié par le Government Accountability Office américain dans lequel les acteurs de l'industrie ont souligné l'importance de pouvoir faire des mises à jour à distance par réseau hertzien, OTA, du logiciel des véhicules afin de permettre aux fabricants de réagir promptement et efficacement en cas d'incident lié à la cybersécurité. On parle de réagir. Je le répète, on a beaucoup entendu le mot « réagir » au sein de ce comité.
Le rapport américain a conclu que seul un petit nombre de fabricants ont aujourd'hui la capacité d'effectuer des mises à jour OTA. Ne faudrait-il pas être plus exigeant envers l'industrie afin d'éviter des coûts qui pourraient survenir plus tard dans le cadre de nouvelles lois qui imposeront d'autres exigences? Croyez-vous que, en matière de cybersécurité, il devrait déjà y avoir des exigences législatives spécifiques pour les fabricants au Canada?
M. Jones : Je pense que les difficultés se situent au niveau des mises à jour OTA. Il faut s'assurer d'avoir les bonnes mises à jour pour les véhicules. Dans ces niveaux de sécurité, il y a trois concepts liés à la sécurité : la confidentialité, l'intégrité et la fiabilité. Dans ce cas, c'est l'intégrité qui est primordiale pour protéger le véhicule. La responsabilité de créer ces règlements revient peut-être à Transports Canada. Par exemple, dans le domaine de l'aviation, les manufacturiers ont l'exigence de créer les mises à jour pour les systèmes aériens, alors ils ont la certitude qu'il s'agit des bonnes mises à jour. Le domaine de l'aviation demeure un bon modèle dans ce cas-ci.
La sénatrice Saint-Germain : Comment expliquez-vous qu'aujourd'hui seul un petit nombre de fabricants a la capacité d'effectuer les mises à jour? Est-ce parce qu'ils ne trouvent pas cela important? Est-ce par manque d'expertise et de formation? Comment pouvons-nous contrer ce phénomène?
M. Jones : Premièrement, les consommateurs ne demandent pas les mises à jour. Il s'agit davantage d'exigences de sécurité. Deuxièmement, ce n'est pas possible pour les citoyens et pour les consommateurs de vérifier si la mise à jour est authentique. En général, ne nous sommes pas en mesure de savoir à quel moment une mise à jour est requise pour régler un problème.
Les véhicules sont un bon exemple d'appareils où la complexité a beaucoup augmenté depuis les 30 dernières années. Maintenant, cela demeure de la magie pour la plupart des citoyens lorsqu'il s'agit de comprendre comment tout cela fonctionne et comment régler les problèmes. Il en va de même pour la sécurité et, plus particulièrement, pour la cybersécurité, parce que nous acceptons les méthodes de travail avec les accessoires électroniques, sans savoir comment ils fonctionnent.
La sénatrice Saint-Germain : Auriez-vous une recommandation à nous suggérer? Votre réponse me préoccupe. Je vous remercie de votre franchise, car vous ne dorez pas la pilule, mais que pourrait-on faire?
M. Jones : Je vais vous répondre en anglais, parce que ma réponse sera très technique.
[Traduction]
C'est important d'utiliser des mesures de protection comme le chiffrement et la signature numérique lorsqu'on fait des mises à jour. L'industrie de l'aviation est vraiment le modèle à suivre pour les mises à jour sûres.
Je gère le Programme de validation des modules cryptographiques du CST, qui vise à valider les systèmes de chiffrement. Ainsi, quand on fait la mise à jour d'un véhicule, qu'il s'agisse d'un avion ou d'une voiture, on sait que la mise à jour vient du constructeur et qu'elle a été approuvée. C'est la version qu'il a mise à l'essai. Une fois la mise à jour validée, elle peut être installée.
À l'heure actuelle, lorsque nous mettons nos systèmes à jour, en général, nous ne sommes pas certains que la mise à jour vient du constructeur original. Notre but est de confirmer, premièrement, que si le véhicule a été fabriqué par tel constructeur, ce constructeur a approuvé la mise à jour et il l'a mise à l'essai; et deuxièmement, que la mise à jour répond aux normes de Transports Canada. Ensuite, elle peut être installée correctement. En gros, c'est le processus de mise à jour sécuritaire.
La sénatrice Saint-Germain : C'est très intéressant. Merci.
Le sénateur Mercer : Merci pour votre exposé, et merci de nous aider à mieux comprendre la cybersécurité.
Votre présence tombe à point puisqu'une nouvelle a paru ce matin ou hier soir, je ne me rappelle plus exactement, concernant la sécurité dans cet édifice même et nos appareils électroniques. J'espère que le CST maîtrise la situation parce que c'est un enjeu important.
Mon collègue, l'ancien ministre de la Défense nationale, affirme qu'il ne connaît rien à ce sujet. Il se souvient de la Loi sur les secrets officiels.
C'est intéressant qu'il n'y ait pas eu d'intégration directe entre les gens comme vous, qui faites la surveillance, et les agents de Transports Canada, qui établissent les règles, ou ceux de la GRC, qui sont sur le terrain. Le CST accomplit du travail important, mais vous n'êtes pas les premiers intervenants. Il doit y avoir de l'intégration.
Comment allons-nous nous y prendre pour que cette intégration se fasse? Allons-nous attendre qu'il y ait une crise, que les choses tournent mal, qu'un pirate s'en prenne à une flotte de véhicules autonomes de transport pour paralyser l'autoroute 401 pendant une vingtaine d'heures, ce qui entraînerait des pertes de millions, voire de milliards, de dollars pour notre économie? Ne devrions-nous pas prévoir le coup?
M. Jones : Nous travaillons beaucoup en coulisse avec différents intervenants. À titre d'exemple, je vous parlais tout à l'heure de ces forums intersectoriels sur les infrastructures essentielles auxquels participent notamment les constructeurs.
J'ose espérer que nous n'aurons pas à attendre une situation aussi catastrophique du point de vue économique que celle que vous décrivez. Voilà quelques années déjà que nous nous efforçons de jeter les bases d'une action davantage proactive en matière de cybersécurité, tout au moins dans le contexte du gouvernement du Canada, car il faut bien dire que nous devions jusqu'à maintenant nous contenter de réagir dans les cas où il y a compromission. C'est désormais un peu le contraire qui se produit; nous pouvons intervenir proactivement pour empêcher quelqu'un d'agir de façon malveillante. Nous disposons ainsi de plus de temps pour commencer à réfléchir à certains des nouveaux enjeux qui se présentent.
Il va de soi qu'il convient d'accorder une attention toute particulière dans ce contexte à l'évolution technologique. Comme je l'indiquais précédemment, c'est sans doute grâce à cette évolution que la cybersécurité recevra finalement l'attention qu'elle mérite, car il y a des répercussions directes dans la vie des gens. Malheureusement, nos téléphones intelligents sont en quelque sorte une abstraction. Nous ne sommes pas vraiment touchés. Si quelqu'un usurpe votre identité et prend de l'argent dans votre compte bancaire, la banque va généralement vous rembourser. Il y a quelques démarches à faire, mais vous vous en tirez sans conséquences. C'est bien différent dans le cas qui nous intéresse. Il ne s'agit pas de simples prophéties de malheur; il y aura des conséquences bien concrètes.
Nous travaillons effectivement avec Transports Canada. Nous essayons d'établir les relations nécessaires. Il est primordial de travailler en coopération avec l'ensemble du secteur privé, car notre centre ne possédera pas nécessairement l'expertise voulue relativement à ces véhicules. Nous allons donc chercher à établir des partenariats. Nous sommes les experts en matière de cybermenaces et nous sommes capables de voir venir certaines choses, mais nous allons devoir collaborer avec les constructeurs. Par exemple, dans le secteur de l'aviation, il faut travailler avec les constructeurs qui emploient des experts en avionique et en systèmes d'aviation.
Il en va de même pour les véhicules autonomes. Nous devons travailler avec les constructeurs pour nous assurer de savoir comment les logiciels sont conçus et pour veiller à ce que des mesures de sécurité soient intégrées dans l'ensemble du processus.
Le sénateur Mercer : Comment le CST pourrait-il contribuer à prévenir cette catastrophe dont j'ai parlée : toute une flotte de véhicules autonomes qui serait paralysée? Si vous parvenez à bloquer les quatre principaux passages frontaliers entre l'Ontario et les États-Unis, vous empêchez pour ainsi dire plus de 60 p. 100 de nos échanges avec les Américains. Nous perdrions ainsi non seulement beaucoup d'argent, mais aussi de nombreux emplois.
Quelles mesures prenez-vous à cet effet actuellement et comment comptez-vous vous y prendre à l'avenir lorsque le jour viendra où des véhicules autonomes se présenteront à la frontière?
M. Jones : Je pense qu'il y a trois éléments à considérer. Nous avons d'abord un programme dans le cadre duquel nous fournissons des conseils et des orientations d'ordre général quant à la façon de bien faire les choses dès le départ. Il s'agit de rehausser les normes en matière de cybersécurité. Certaines organisations n'ont jamais eu à se préoccuper des questions de sécurité. Nous devons les aider à se donner les normes nécessaires, à se mettre au fait de ces enjeux et à acquérir l'expérience dont elles ont besoin. C'est en quelque sorte le volet cyberprotection de notre travail qui vise à s'assurer que l'on fait pour le mieux dès le début du processus.
Deuxièmement, il y a nos relations avec l'industrie et nos partenariats avec le secteur privé. Non seulement voulons- nous leur faire bénéficier de notre expertise, mais nous cherchons également à mettre nos outils et nos techniques à leur disposition. À titre d'exemple, nous leur offrons des outils que nous avons conçus expressément pour les besoins du programme de défense du gouvernement. Nos différents partenaires sont ainsi mieux aptes à se défendre contre les cybermenaces.
Troisièmement, nous faisons appel à nos spécialistes du renseignement à l'étranger afin de mieux comprendre les menaces qui pourraient nous venir d'ailleurs dans le monde. Nous pouvons ainsi aider les gens à se préparer en conséquence. Ce sera donc un mélange de mesures proactives — c'est-à-dire que l'on s'assurera de concevoir les choses en pensant davantage à la sécurité —, de relations entre les provinces, les territoires, le fédéral et le secteur privé. Il faut d'ailleurs savoir que ce seront des relations d'un genre très différent de celles que connaît habituellement le gouvernement qui a l'habitude de s'appuyer grandement sur la réglementation, voire sur la confrontation dans certains cas. Aux fins de la cybersécurité, nous cherchons à établir des relations davantage fondées sur la coopération, et je dois vous avouer que je ne sais pas trop comment nous allons y parvenir, car il y a actuellement beaucoup de méfiance, et même un manque de confiance dans certains cas. Il y a enfin l'aspect défense et les moyens à prendre pour savoir ce qui se passe un peu partout dans le monde.
Nous allons donc chercher à agir sur ces trois plans. Le volet relations se distingue du fait qu'il crée un précédent. Il nous faudra donc un certain temps pour nous donner la crédibilité voulue, mais également l'expertise nécessaire.
Le sénateur Mercer : Merci. Le simple fait que nous accueillions aujourd'hui les représentants du Centre de la sécurité des télécommunications montre bien tout le sérieux de la chose. C'est une organisation qui prend rarement la parole en public. Je vous en suis d'autant plus reconnaissant.
[Français]
Le sénateur Boisvenu : Je ne sais pas si c'est moi ce matin qui s'est levé avec un mal de dos, mais j'ai l'impression que les témoignages font référence aux mêmes questions que nous nous sommes déjà posées. Je trouve que nous n'avons pas beaucoup progressé. Vous êtes des spécialistes qui devez avoir une vision de l'avenir. J'ai l'impression que personne au gouvernement fédéral ne propose une telle vision. On se pose tous les mêmes questions. Je me sens relativement pessimiste à l'idée de nous doter nous-mêmes d'une vision.
Dans la dernière décennie, du moins depuis les cinq dernières années, nous sommes témoins de l'arrivée des voitures semi-autonomes. Je pense à la dernière voiture que j'ai achetée. Comme je vieillis et que je suis moins alerte, ma voiture est dotée de caméras à 360 degrés, de freins d'urgence et d'un contrôle automatique de vitesse. J'ai une conduite préventive grâce à mes équipements. Grâce aux derniers dispositifs installés dans ma voiture, je suis maintenant en contact direct avec le fabricant. Il y a déjà dans nos autos des mécanismes de communication à risque. Aucun organisme, comme le vôtre, n'affirme qu'il faudrait agir, qu'il faudrait revoir la réglementation et protéger les conducteurs. D'ici cinq ans, avant que la génération de voitures autonomes n'arrive sur le marché, il y aura une évolution immense dans l'automatisation des véhicules, où les conducteurs seront de plus en plus dépendants des technologies de la communication. Ce n'est pas dans 20 ans, comme les voitures autonomes. C'est déjà là. J'ai l'impression qu'on n'a pas de vision sur les façons de modifier la réglementation et de protéger les consommateurs.
Je suis un peu déçu, ce matin, des témoignages. Nous abordons les mêmes questions que nous nous sommes déjà posées au lieu de définir des orientations à venir. Je ne sais pas quelle est votre réaction quant à mon commentaire. J'aimerais connaître votre point de vue.
[Traduction]
M. Jones : Vous avez tout à fait raison. Nous nous efforçons surtout pour le moment de sécuriser les communications gouvernementales sur lesquelles pèse la menace immédiate. C'est le défi que nous devons relever actuellement. Nous disposons de ressources très limitées. Il y a trois ans à peine, nous nous préoccupions surtout de freiner les intrusions. C'était la menace du moment. Nous sommes désormais en mesure de tenter d'enrayer la menace avant qu'elle se manifeste. Je conviens toutefois avec vous que nous devons chercher à voir ce que l'avenir nous réserve. Je crois que l'on peut observer une manifestation très concrète de ce phénomène avec l'Internet des objets, par exemple, où de plus en plus de choses sont interconnectées, dont les véhicules. Que devons-nous faire pour que tout se passe de manière sécuritaire? J'ose espérer que le simple fait que nous soyons ici pour répondre à vos questions nous incitera à en poser nous-mêmes lorsque viendra le temps d'acheter des véhicules semblables à titre de simples consommateurs.
Je pose désormais toutes sortes de questions lorsque je fais des achats. À titre d'exemple, lorsque Hydro Ottawa a voulu installer chez moi un compteur intelligent, j'ai cherché à savoir comment cela fonctionne, quelles précautions de sécurité sont prises et comment on pouvait s'assurer que quelqu'un n'allait pas abaisser notre température à zéro et faire geler toutes les conduites de la maison.
C'est d'abord une question de sensibilisation. Si nous posons toutes ces questions, les constructeurs voudront être capables d'y répondre et s'assureront d'inclure les composantes recherchées et d'investir dans la sécurité. Nous devons maintenant nous pencher sur les enjeux émergents. J'ai pour ma part commencé à m'intéresser à l'Internet des objets et à la manière dont les choses sont interreliées afin d'évaluer les risques pour les infrastructures essentielles. C'est une autre des menaces qui pèsent sur nous.
Je suis un peu rassuré du fait que l'industrie des transports nous sert en quelque sorte de modèle quant à la manière dont la cybertechnologie doit évoluer. Il y a encore beaucoup à faire à ce chapitre actuellement. Dans le secteur des transports, tout a commencé avec des routes sans lignes et sans règles fondamentales alors que les gens se déplaçaient en voiture à cheval. Nous avons maintenant tout un éventail de règles et de règlements. Il faut qu'il se passe la même chose dans le cyberunivers, mais nous ne sommes pas encore rendus là. Ces technologies ne sont pas ancrées dans le concret comme c'est le cas pour le transport. C'est sans doute la meilleure analogie que l'on puisse faire, et voilà maintenant que ces deux secteurs vont converger. Nous devons nous intéresser en priorité aux risques associés à cette technologie émergente.
Je n'aurais sans doute pas dû parler de menace. Reste quand même que vous avez tout à fait raison. Nous n'en avons pas fait suffisamment pour nous assurer d'être proactifs.
[Français]
Le sénateur Boisvenu : Je suis heureux que vous en parliez, car il y a toute la problématique des infrastructures, des changements d'emploi, et de tout le contexte socioéconomique. Le dénominateur commun des voitures autonomes sera les communications. Il s'agit d'une auto qui sera prise en charge par un réseau de communications. J'essaie de comprendre pourquoi le gouvernement fédéral n'a pas de chef-lieu — chez vous, sans doute — où l'on réfléchit aux défis qui se poseront en matière de communications, à la fois pour protéger les renseignements privés des citoyens et pour prévenir la cybercriminalité. Votre rôle ne vous apparaît-il pas essentiel comme leader dans ce domaine? Nous avons rencontré des gens du ministère des Transports, de la Gendarmerie royale du Canada, et ce sont des silos très fermés. Il n'y a pas de dénominateur commun qui rejoint tous ces gens-là.
[Traduction]
M. Jones : Je pense que nous devons abattre les cloisons entre les différents silos. Il faut que vous sachiez bien que nous sommes préoccupés au plus haut point.
Il y a plusieurs éléments à prendre en compte. Il faut considérer la façon dont ces véhicules sont construits et la manière dont ils sont connectés. À l'heure actuelle, il est nécessaire dans bien des cas de se rendre chez le concessionnaire pour effectuer une mise à jour. Votre position n'est pas communiquée. Il s'agit de dispositifs indépendants et de ces capteurs dont vous parliez. Mais à partir du moment où vous commencez à connecter tous ces systèmes ensemble, c'est une autre histoire. On peut se demander par exemple pourquoi, dans certains modèles, le système de divertissement doit être relié au système de contrôle du véhicule. Il serait bon de séparer toutes ces composantes de manière à atténuer les risques. C'est essentiellement ce que nous faisons pour protéger les renseignements classifiés du gouvernement. Nous essayons de faire en sorte que les différents systèmes demeurent séparés. On pourrait faire la même chose avec les véhicules.
Il s'agit de voir comment le système est conçu pour déterminer la façon dont se font les communications au moment où une décision est prise. Selon moi, ce sont les données qui sortent de ces véhicules autonomes qui font intervenir toute une série d'autres considérations en matière de cybersécurité. Dans cette perspective, il n'y a pas seulement la crainte que quelqu'un puisse, par exemple, faire dévier un véhicule de son parcours, mais aussi le fait qu'il devient possible de savoir où se trouve le véhicule, qui est à bord, combien il y a de passagers. De nombreux aspects liés à la protection de la vie privée entrent en ligne de compte dans le contexte de la cybersécurité. Les données sont communiquées. On peut savoir où une personne s'en va.
Il m'est arrivé de laisser mon téléphone ouvert alors que je me rendais au travail en voiture. Au retour, lorsque je démarre le moteur, une connexion s'établit avec mon véhicule et on m'apprend que je suis à 35 minutes de chez moi. C'est très intéressant, mais cela indique également que l'on me suit à la trace. Il y a donc deux aspects, dont celui de la sécurité sur lequel j'ai insisté tout particulièrement, car nous cherchons en priorité à contrer les menaces, mais je crois que nous devons également envisager la cybersécurité d'un point de vue global. Pour avoir pris connaissance de quelques-uns de vos autres travaux, je sais que vous vous êtes penchés sur cette dimension. Je pense donc qu'il faut surtout envisager les solutions semblables pour protéger les véhicules, et le faire de concert avec les constructeurs.
Il va de soi que nous appuyons les efforts de Transports Canada. La mesure dans laquelle le ministère parviendra à assumer son rôle de réglementation et de protection de notre système de transport sera déterminante. C'est assurément Transports Canada qui devra prendre les commandes de l'initiative et nous allons l'appuyer en notre qualité d'experts en cybersécurité.
Le sénateur Runciman : Je ne crois pas que vous ayez eu tort de parler d'une menace. C'est aussi une possibilité nouvelle, mais je crois que les risques sont considérables.
Vous êtes un peu sur la défensive. Vous semblez ne pas vouloir trop vous avancer, mais la situation peut devenir tout de même très préoccupante quand on pense à des événements comme le piratage du Conseil national de recherches. Nous savons qu'il y a des gens qui cherchent par tous les moyens à obtenir des renseignements, et ce, pour une variété de raisons. C'est particulièrement le cas dans l'industrie automobile qui est totalement intégrée aux États-Unis.
Quelle forme prend la consultation ou la coopération avec vos homologues américains relativement à cet enjeu dont les impacts sont majeurs pour nos deux économies nationales?
M. Jones : Nos relations avec nos collègues des États-Unis prennent surtout la forme de consultations générales au sujet des menaces et des enjeux avec lesquels nous devons composer. Nous regardons ce qui se passe du côté de nos infrastructures essentielles et de notre infrastructure des télécommunications. Comment pouvons-nous nous assurer que les systèmes intégrés de l'Amérique du Nord sont protégés? Nous veillons à mettre en commun nos indicateurs de compromission, mais également nos efforts pour déterminer quelles menaces l'avenir nous réserve.
Je n'ai toutefois participé à aucun échange semblable dans le secteur des transports. Le dialogue a surtout porté d'une manière générale sur les infrastructures essentielles, la sécurité à la frontière et les activités de cette nature.
Le sénateur Runciman : C'est un peu inquiétant compte tenu de l'évolution rapide de la technologie. J'ai noté que vous avez parlé de l'importance de la sensibilisation en indiquant qu'il fallait que les consommateurs posent des questions pour obliger les constructeurs à prendre certaines mesures, mais je suis un peu sceptique à ce sujet. Je ne suis pas un grand partisan des interventions gouvernementales, mais je pense que le gouvernement devrait jouer un rôle plus actif dans ce secteur afin de s'assurer du respect des exigences nécessaires pour protéger notre vie privée et veiller à notre sécurité nationale.
J'ai notamment déjà proposé que les véhicules autonomes et connectés soient obligatoirement équipés de systèmes de sécurité et de vérification de l'identité avant de pouvoir être mis en vente. Je verrais bien votre agence formuler une recommandation à cet effet à Transports Canada et à vos homologues américains.
Il faut également considérer que ce ne sont pas toutes les autos qui circulent dans notre pays qui sont construites au Canada et aux États-Unis, comme nous le savons bien. Il est déjà arrivé par le passé que des produits arrivent au Canada avec des dispositifs de surveillance intégrés aux composantes du constructeur. Peut-être que je comprends mal votre rôle, mais j'ai l'impression que vous devriez intervenir plus activement pour que le gouvernement et les décideurs aient accès à toute l'information et à tous les conseils nécessaires à cette fin.
M. Jones : Je pense en fait que vous avez très bien compris notre rôle. Nous essayons de faire différentes choses pour renseigner les gens d'une manière générale. C'est seulement parfois une question de priorités. Nous n'avons tout simplement pas les ressources suffisantes pour faire le nécessaire dans des secteurs comme ceux de l'énergie, des télécommunications ou de l'automobile. C'est d'ailleurs pour cette raison que nous collaborons avec Sécurité publique Canada et d'autres instances dans certains domaines.
Je pense que vous avez mis le doigt sur certains aspects problématiques. Il y a la question des importations. Des produits arrivent au pays, et il faut mettre en place les mesures de contrôle et la réglementation nécessaires pour protéger ces véhicules. Il est bien certain que je me pose toutes sortes de questions du point de vue de la cybersécurité. Je me demande comment nous procédons pour les mises à jour, si l'on satisfait aux normes de sécurité et comment nous nous assurons que les mises à jour sont belles et bien faites.
Sans vouloir dénigrer qui que ce soit, il existe cette mentalité de piratage qui nous incite à vouloir débrider nos téléphones intelligents ou les modifier d'une quelconque autre manière pour qu'ils soient un peu plus rapides, un peu plus performants. Je ne vois pas pourquoi il en serait autrement avec les automobiles. Si votre téléphone en arrive à mal fonctionner, il va rester dans votre poche et vous allez simplement devoir vous en passer. Si votre auto a des problèmes parce que vous avez fait telle ou telle chose, c'est une autre paire de manches. Il se peut que les gens veuillent procéder à des mises à jour particulières sur leur véhicule de telle sorte qu'il puisse dépasser les limites de vitesse, utiliser des systèmes de contrôle différents ou avoir une suspension plus rigide, par exemple.
La menace peut venir de différents endroits. Il y a ainsi des gens qui vont essayer de pirater les véhicules, simplement parce que c'est chose possible pour eux. Ils vont trouver du plaisir à faire immobiliser une voiture au beau milieu de la 401 ou de la 417, simplement pour prouver que cela peut se faire. La situation est bien différente si l'on parle d'un État qui veut le faire pour servir ses objectifs nationaux ou de terroristes qui pourraient se servir d'un véhicule autonome en le détournant de manière à causer des dommages, ou à semer la mort et la destruction.
Nous allons examiner les différents scénarios possibles. C'est ainsi que nous allons procéder; nous allons travailler avec Transports Canada pour cerner les menaces et essayer de les contrer. Nous devons toutefois y consacrer davantage de temps. La croissance est beaucoup plus rapide que ce que nous avions prévu, comme c'est le cas dans bien des domaines, y compris ceux des téléphones intelligents et des télécommunications.
Le sénateur Eggleton : En écoutant vos réponses, je me demandais dans quelle mesure il vous est possible de discuter avec les concepteurs de ces systèmes, les gens de l'industrie automobile. J'ai l'impression que vous devriez leur parler régulièrement, mais je ne sais pas si vous le faites ou non.
Nos véhicules sont déjà connectés dans une large mesure. Ils vont l'être de plus en plus et les véhicules autonomes vont faire leur apparition.
J'estime que vous devriez avoir déjà amorcé ce dialogue. Il devrait exister une tribune vous permettant d'en discuter régulièrement avec les gens de l'industrie, en incluant bien sûr les États-Unis, compte tenu de la pleine intégration du secteur automobile des deux côtés de la frontière. J'ai l'impression que c'est essentiel. Avez-vous les ressources suffisantes pour ce faire?
M. Jones : Nous ne disposons pas de ressources à cette fin actuellement. Nous travaillons par exemple avec le National Institute of Standards and Technology. Nous avons un partenariat avec cette agence américaine pour discuter des éléments de sécurité qui devraient être inclus, mais nous ne travaillons pas avec les constructeurs pour l'instant.
Le sénateur Eggleton : Je pense qu'il faudrait que vous le fassiez.
Le gouvernement américain a publié un document intitulé Cybersecurity Best Practices for Modern Vehicles. Avez- vous un guide semblable sur les pratiques exemplaires en matière de cybersécurité pour les véhicules modernes? Avez- vous participé à un projet de la sorte?
M. Jones : Je suis désolé, mais je n'ai rien fait de tel.
Le vice-président : J'ai une question que j'aimerais adresser à nos deux témoins. Nous collaborons avec nos voisins du Sud dans le cadre du Conseil de coopération réglementaire Canada-États-Unis. Selon le plan de travail des véhicules connectés de ce conseil, les deux pays vont collaborer à l'élaboration des exigences d'agrément des composantes du système des véhicules connectés et à l'élaboration d'un système de gestion des certificats de sécurité pour ces véhicules. Je me demandais si vous pouviez expliquer aux sénateurs l'importance des certificats de sécurité pour les véhicules autonomes et les véhicules connectés?
M. Jones : Vous parlez bien des certificats?
Le vice-président : Oui.
M. Jones : Si j'ai bien compris votre question, cela nous ramène sans doute aux trois concepts de confidentialité, d'intégrité et de disponibilité dont je parlais précédemment. Ce sont en fait les bases de tout système de sécurité. Je pense qu'il est question ici en fait d'intégrité, car il s'agit de déterminer les moyens à prendre pour s'assurer que le système est bien tel qu'on l'anticipait. Les certificats font partie de ce concept de cryptographie à clé publique. Certains vont parler d'une signature, car vous approuvez la mise à jour. Ce n'est pas en fait une signature à proprement parler. Vous utilisez un dispositif numérique qui va confirmer qu'il n'y a pas eu de manipulations ou de modifications, que le système vient directement du constructeur d'origine. C'est une façon de vérifier que vos mises à jour sont valides.
Par exemple, lors de la mise à jour d'un téléphone cellulaire, il y a, tout au moins dans le cas d'Apple, un message indiquant qu'il y a vérification de la mise à jour avant l'installation. Le certificat de sécurité est vérifié pour s'assurer qu'il a été approuvé comme il se doit et qu'il s'agit bien de la mise à jour demandée, et non pas de quelque chose d'autre que quelqu'un pourrait vous envoyer.
C'est sans doute de cela que l'on parle lorsqu'il est question de certificats. Le même système est utilisé pour la mise à jour du système d'un avion, par exemple, et c'est le Programme de validation des modules cryptographiques dont je vous parlais.
Le vice-président : Monsieur Pierson, vouliez-vous ajouter quelque chose?
Richard Pierson, directeur général, Cyberdéfense, Sécurité des TI, Centre de la sécurité des télécommunications : C'est bon, merci.
Le vice-président : S'il n'y a pas d'autres questions, j'aimerais remercier les représentants du Centre de la sécurité des télécommunications pour leur participation à notre séance d'aujourd'hui.
Honorables sénateurs, je tiens à vous mentionner que notre budget pour l'étude sur les véhicules autonomes a été présenté hier au Sous-comité des budgets. Il sera maintenant soumis au comité de la régie interne. Une fois la décision de ce comité rendue, nous espérons qu'il puisse être déposé au Sénat dès jeudi.
Le sénateur Mercer : L'Association canadienne des ex-parlementaires tient toujours son souper annuel à peu près à la même période, et nous devons justement nous réunir ce soir-là. Je voulais demander à notre comité directeur s'il pouvait envisager la possibilité que la séance en question soit reportée de manière à accommoder ceux parmi nous qui souhaiteraient participer à cet important événement en compagnie de leurs anciens collègues. C'est une association dont nous allons tous faire partie à plus ou moins brève échéance.
Le vice-président : Vous avez mon soutien, sénateur Mercer, mais il faudra bien sûr que j'en parle à notre président qui est absent cette semaine.
Le sénateur Mercer : C'est justement dans ce but que j'ai soulevé la question.
Le sénateur Runciman : Pourquoi ne présenterions-nous pas une motion?
Le sénateur Mercer : Je propose que nous ne tenions pas de séance le 12 avril.
Le sénateur Eggleton : Avon-nous des témoins prévus ce jour-là?
Victor Senna, greffier du comité : Oui, nous avons des témoins.
Le sénateur Eggleton : Est-ce que ce sont des fonctionnaires fédéraux?
M. Senna : Non, il s'agit des représentants d'une organisation non gouvernementale, le Conseil canadien des administrateurs en transport motorisé, le CCATM. Nous allons vérifier le calendrier, mais ils ont confirmé leur présence.
Le sénateur Eggleton : Vous pourriez les faire comparaître à un autre moment. Ils ne viennent pas d'Europe ou de Californie tout de même.
Le vice-président : Oui, c'est tout à fait possible. Voulez-vous présenter une motion?
Le sénateur Mercer : Oui.
Le vice-président : Il est proposé par le sénateur Mercer, appuyé par le sénateur Runciman, que nous annulions et reportions notre séance du 12 avril.
(La séance est levée.)